Tìm hiểu về internet security & accelration server 2006

Cùng với sự phát triển không ngừng của Internet và các dịch vụ trênInternet, số lượng các vụ tấn công trên Internet cũng tăng theo cấp số nhân.Trong khi các phương tiện thông tin đại chú

TRƯỜNG ĐẠI HỌC VINH KHOA CÔNG NGHỆ THÔNG TIN

CHƯƠNG 1 TỔNG QUAN VỀ AN TOÀN THÔNG TIN TRÊN MẠNG 1.1 Mạng máy tính và vấn đề an toàn mạng

Ngày nay, Internet đã trở thành mạng dữ liệu công cộng làm cho việc liênlạc cá nhân, công việc trở nên thuận tiện hơn nhiều Khối lượng trao đổi quaInternet được tăng theo số mũ mỗi ngày Ngày càng nhiều các công ty, các chinhánh ngân hàng thông qua mạng Internet để liên lạc với nhau

Cùng với sự phát triển không ngừng của Internet và các dịch vụ trênInternet, số lượng các vụ tấn công trên Internet cũng tăng theo cấp số nhân.Trong khi các phương tiện thông tin đại chúng ngày càng nhắc nhiều đếnInternet với những khả năng truy nhập thông tin dường như đến vô tận của nó,thì các tài liệu chuyên môn bắt đầu đề cập nhiều đến vấn đề bảo đảm và an toàn

dữ liệu cho các máy tính được kết nối vào mạng Internet

Rõ ràng rằng mạng Internet đã làm thay đổi cuộc sống của con người, làmthay đổi công việc kinh doanh làm cho nó trở nên dễ dàng hơn Nhưng đồng thờivới lợi ích to lớn của nó, mạng Internet cùng với các công nghệ liên quan đã mở

ra một cánh cửa làm tăng số lượng các vụ tấn công vào những công ty , Doanhnghiệp và cả những cá nhân, nơi lưu giữ những dữ liệu nhạy cảm như bí mậtQuốc gia, số liệu tài chính, số liệu cá nhân Hậu quả của các cuộc tấn công này

có thể chỉ là phiền phức nhỏ, nhưng cũng có thể làm suy yếu hoàn toàn, các dữliệu quan trọng bị xóa, sự riêng tư bị xâm phạm, và chỉ sau vài ngày, thậm chívài giờ sau, toàn bộ hệ thống có thể bị tê liệt hoàn toàn

Song song với việc xây dựng nền tảng về công nghệ thông tin, cũng nhưphát triển các ứng dụng máy tính trong sản xuất, kinh doanh, khoa học, giáodục, xã hội, thì việc bảo vệ những thành quả đó là một điều không thể thiếu

Sử dụng các bức tường lửa (Firewall) để bảo vệ mạng nội bộ (Intranet), tránh sựtấn công từ bên ngoài là một giải pháp hữu hiệu, đảm bảo được các yếu tố:

An toàn cho sự hoạt động của toàn bộ hệ thống mạng

Bảo mật cao trên nhiều phương diện

Khả năng kiểm soát cao

1993, và 2241 vào năm 1994 Những vụ tấn công này nhằm vào tất cả các máytính có mặt trên Internet, các máy tính của tất cả các công ty lớn như AT&T,IBM, các trường đại học, các cơ quan nhà nước, các tổ chức quân sự, nhà băng Một số vụ tấn công có quy mô khổng lồ (có tới 100.000 máy tính bị tấn công).Hơn nữa, những con số này chỉ là phần nổi của tảng băng Một phần rất lớn các

vụ tấn công không được thông báo, vì nhiều lý do, trong đó có thể kể đến nỗi lo

bị mất uy tín, hoặc đơn giản những người quản trị hệ thống không hề hay biếtnhững cuộc tấn công nhằm vào hệ thống của họ

Không chỉ số lượng các cuộc tấn công tăng lên nhanh chóng, mà cácphương pháp tấn công cũng liên tục được hoàn thiện Điều đó một phần do cácnhân viên quản trị hệ thống được kết nối với Internet ngày càng đề cao cảnhgiác Cũng theo CERT, những cuộc tấn công thời kỳ 1988-1989 chủ yếu đoántên người sử dụng-mật khẩu (UserID-password) hoặc sử dụng một số lỗi của cácchương trình và hệ điều hành (security hole) làm vô hiệu hệ thống bảo vệ, tuynhiên các cuộc tấn công vào thời gian gần đây bao gồm cả các thao tác như giảmạo địa chỉ IP, theo dõi thông tin truyền qua mạng, chiếm các phiên làm việc từxa

Trước tình hình đó thì việc bảo vệ an toàn thông tin cho một hay một hệthống máy tính trước nguy cơ bị tấn công từ bên ngoài khi kết nối vào Internet làmột một vấn đề hết sức cấp bách Nhu cầu bảo vệ thông tin trên Internet có thể

chia thành ba loại gồm: bảo vệ dữ liệu, bảo vệ các tài nguyên sử dụng trên

mạng và bảo vệ danh tiếng của cơ quan

Tính vẹn toàn: Thông tin không bị mất mát hoặc sửa đổi, đánh tráo

Tính kịp thời: Yêu cầu truy nhập thông tin vào đúng thời điểm cần thiết.Trong các yêu cầu này, thông thường yêu cầu về bảo mật được coi là yêucầu số 1 đối với thông tin lưu trữ trên mạng Tuy nhiên, ngay cả khi nhữngthông tin này không được giữ bí mật, thì những yêu cầu về tính vẹn toàn cũngrất quan trọng Không một cá nhân, một tổ chức nào lãng phí tài nguyên vật chất

và thời gian để lưu trữ những thông tin mà không biết về tính đúng đắn củanhững thông tin đó

Bảo vệ các tài nguyên sử dụng trên mạng

Trên thực tế, trong các cuộc tấn công trên Internet, kẻ tấn công, sau khi đãlàm chủ được hệ thống bên trong, có thể sử dụng các máy này để phục vụ chomục đích của mình như chạy các chương trình dò mật khẩu người sử dụng, sửdụng các liên kết mạng sẵn có để tiếp tục tấn công các hệ thống khác…

Bảo vệ danh tiếng của cơ quan

Phần lớn các cuộc tấn công không được thông báo rộng rãi, và một trongnhững nguyên nhân là nỗi lo bị mất uy tín của cơ quan, đặc biệt là các công tylớn và các cơ quan quan trọng trong bộ máy nhà nước Trong trường hợp ngườiquản trị hệ thống chỉ được biết đến sau khi chính hệ thống của mình được dùnglàm bàn đạp để tấn công các hệ thống khác, thì tổn thất về uy tín là rất lớn và cóthể để lại hậu quả lâu dài

Để thực hiện các yêu cầu trên thì trên thế giới đã xuất hiện nhiều phầnmềm với những tính năng khác nhau mà người ta gọi là Firewall

1.3 Các kiểu tấn công mạng

Có rất nhiều kiểu tấn công vào các hệ thống và cũng có nhiều cách đểphân loại các kiểu tấn công này Ở đây, chúng ta tạm chia các kiểu tấn côngthành các loại sau:

1.3.1 Tấn công trực tiếp

Phần lớn các cuộc tấn công vào hệ thống là trực tiếp Những kẻ tấn côngmuốn sử dụng máy tính của chúng ta như là những người dùng hợp pháp và họ

có hàng tá cách để chiếm được quyền truy nhập vào bên trong

Một phương pháp tấn công cổ điển là dò cặp tên người dùng và mật khẩu(username/password) Đây là phương pháp đơn giản, dễ thực hiện và không đòihỏi một điều kiện đặc biệt nào để bắt đầu Kẻ tấn công có thể sử dụng nhữngthông tin như tên người dùng, ngày sinh, địa chỉ, số nhà… để đoán mật khẩu.Trong trường hợp có được danh sách người dùng và những thông tin về môitrường làm việc thì sẽ có những chương trình tự động hoá về việc dò tìm mậtkhẩu này Một số chương trình có thể lấy được dễ dàng từ Internet để giải cácmật khẩu đã mã hoá của hệ thống, chúng có khả năng như thử các tổ hợp các từtrong một từ điển lớn theo những nguyên tắc do người dùng tự định nghĩa.Trong một số trường hợp, khả năng của phương pháp này có thể lên tới 30%

Một phương pháp khác là sử dụng các lỗi của chương trình ứng dụng vàbản thân hệ điều hành Đây là phương pháp đã được sử dụng từ những vụ tấncông đầu tiên và vẫn tiếp tục được sử dụng để chiếm quyền truy nhập Trongmột số trường hợp, phương pháp này cho phép kẻ tấn công có được quyền củangười quản trị hệ thống

1.3.2 Nghe trộm

Có một số kiểu tấn công cho phép kẻ tấn công lấy được thông tin màkhông cần sử dụng máy tính một cách trực tiếp Thông thường, những kẻ tấncông khai thác các dịch vụ Internet mà chúng có ý định lấy thông tin Nhiều dịch

vụ Internet được thiết kế cho các mạng cục bộ và chỉ được bảo mật ở mức độthấp, điều này cho phép những mạng này được sử dụng một cách an toàn để đi

ngang qua Internet Cách dễ dàng nhất để lấy thông tin trên mạng là nghe trộm.Đặt một thiết bị nghe trộm là cách dễ dàng và đáng tin cậy để lấy được thôngtin.

Việc nghe trộm thường được tiến hành ngay sau khi kẻ tấn công đã chiếmđược quyền truy nhập vào hệ thống thông qua các chương trình cho phép đưacard giao tiếp mạng (Network Interface Card) vào chế độ nhận toàn bộ thông tinlưu truyền trên mạng

1.3.3 Giả mạo địa chỉ

Việc giả mạo địa chỉ IP có thể được thực hiện thông qua việc sử dụng khảnăng dẫn đường trực tiếp (source-routing) Với cách tấn công này, kẻ tấn cônggửi các gói tin IP tới mạng bên trong với một địa chỉ IP giả mạo (thông thường

là địa chỉ của một mạng hoặc một máy được coi là an toàn đối với mạng bêntrong), đồng thời chỉ rõ đường dẫn mà các gói tin IP phải gửi đi

1.3.4 Vô hiệu hoá các chức năng của hệ thống

Đây là kiểu tấn công nhằm làm tê liệt hệ thống, không cho nó thực hiệnchức năng mà nó thiết kế Kiểu tấn công này không thể ngăn chặn được vìnhững phương tiện được tổ chức tấn công cũng chính là các phương tiện để làm

việc và truy nhập thông tin trên mạng Ví dụ sử dụng lệnh ping với tốc độ cao

nhất có thể, buộc một hệ thống tiêu hao toàn bộ tốc độ tính toán và khả năng củamạng để trả lời các lệnh này, dẫn đến không còn các tài nguyên để thực hiệnnhững công việc được yêu cầu khác

1.3.5 Tấn công vào yếu tố con người

Kẻ tấn công có thể liên lạc với người quản trị hệ thống, giả làm một người

sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đốivới hệ thống, hoặc thậm chí thay đổi một số cấu hình của hệ thống để thực hiệncác phương pháp tấn công khác Với kiểu tấn công này thì không một thiết bịnào có thể ngăn chặn được một cách hữu hiệu, và chỉ có một cách giáo dụcngười dùng mạng nội bộ về những yêu cầu bảo mật để đề cao cảnh giác vớinhững hiện tượng đáng nghi Nói chung, yếu tố con người luôn là một điểm yếu

Các phương thức dùng trong an ninh mạng trên từng lớp khác nhau

trong bất kỳ một hệ thống bảo vệ nào, và chỉ có sự giáo dục cộng với tinh thầnhợp tác từ phía người sử dụng mới có thể nâng cao được độ an toàn của hệ thốngbảo vệ

1.4 Các giải pháp cho an ninh mạng

1.4.1 Giải pháp an ninh bằng giao thức

Trong mô hình TCP/IP định nghĩa rất nhiều giao thức để đảm bảo tính anninh cho mạng và dữ liệu truyền trên mạng, mỗi giao thức hoạt động ở mỗi tầngriêng biệt và thực hiện các chức năng khác nhau

Trong phần này chúng tôi xin được trình bày 2 giao thức điên hình làNAT và IPSec

NAT (Network Address Translation)

Thông thường một gói tin truyền từ điểm nguồn đến điểm đích có thể phảiqua rất nhiều nút mạng Tuy nhiên hầu như không có nút nào trong các nútmạng này thay đổi nội dung của gói tin trừ các thông tin cần thiết như là địa chỉ

IP đích, địa chỉ MAC Nếu ta sử dụng cơ chế NAT trong mạng thì một số thôngtin của gói tin IP sẽ bị thay đổi, chẳng hạn: IP nguồn, IP đích…Mặt khác, để

đảm bảo việc trao đổi thông tin giữa các nút mạng thì các sự thay đổi này cầnphải được lưu lại để phục vụ cho việc chuyển đổi ngược lại khi cần thiết.

Tại sao phải dùng đến NAT ?

Nếu ta kết nối vào Internet thông qua dial-up thì các ISP sẽ chỉ cung cấpcho ta một địa chỉ IP duy nhất, các gói tin gửi đi sẽ được reply nếu nó có đúngđịa chỉ nguồn do ISP cung cấp Trong trường hợp muốn dùng nhiều địa chỉ IPkhác nhau trong mạng thì ta phải dùng đến cơ chế NAT Theo đó trong mạng sẽ

có một máy (máy multi-homed hoặc bộ định tuyến) chạy phần mềm NAT, cóthể gọi máy tinh này là NAT box Tất cả các gói tin gửi từ trong mạng ra ngoài

sẽ phải qua NAT box và nó sẽ chịu trách nhiệm chuyển đổi địa chỉ IP nguồn (làđịa chỉ không được chấp nhận ở mạng ngoài) thành địa chỉ hợp lệ mà ISP đãcung cấp Khi gói tin đi vào mạng thì nó sẽ chỉ biết gửi thông tin cho NAT box.Như thế, theo quan điểm của máy bên ngoài, mỗi datagram đến từ NAT box vàmỗi lời đáp cũng trả về cho NAT box Bằng cách nào gói tin đến được đúng địachỉ máy cần gửi trong mạng? Thực ra, NAT duy trì một bảng chuyển đổi, nó sẽ

sử dụng để thực hiện việc ánh xa Mỗi dòng trong bảng xác định 2 giá trị: địa chỉ

IP của máy trên Internet và địa chỉ IP nội bộ của máy trong mạng Để làm được

điều này thì trong NAT box sẽ lưu lại trạng thái (state) của các gói tin tương ứng với từng máy trong mạng đã được gửi đi Trạng thái này có thể là các port

nguồn trong các dịch vụ đối với các dịch vụ hướng kết nối như TCP, và thông

tin về Session đối với các dịch vụ không hướng kết nối như UDP Vì thế, khi gói tin gửi cho NAT box thì nó sẽ tra bảng trạng thái mà nó đã lưu để chuyển đổi

địa chỉ cho phù hợp với máy cần nhận trong mạng Cơ chế này thường được ápdụng cho các ISP mà chỉ được cung cấp số ít địa chỉ IP trong khi có một sốlượng lớn host

Ý nghĩa của việc dùng NAT trong bảo mật

Với việc dùng NAT thì các máy bên trong mạng sẽ trở nên trong suốt vớimôi trường ngoài vì địa chỉ IP của nó không hợp lệ, vì thế việc tấn công vào mộtmáy cụ thể nào đó trong mạng là điều khó khăn

Giới hạn của NAT

NAT không biết về các thông tin tầng trên trong gói tin

NAT thực hiện thay đổi địa chỉ IP nên không thực hiện được cơ chếauthentication trong IPSec khi kết nối end-to-end

IPSec

Với việc sử dụng NAT ta mới chỉ hạn chế được việc tấn công vào trong

mạng chứ không đảm bảo được tính mật (secret) và xác thực (authentication) vì

thông tin vẫn có thể bị nghe trộm Vì vậy cần phải mã hoá thông tin

IPSec được thêm vào để tăng cường tính toàn vẹn, xác thực và mã hoá dữliệu IPSec kết nối End-to-End và tạo một đường hầm (tunnel) bảo mật trên đó

Giao thức IPSec bao gồm 2 phần: Authentication Header (AH) và

Encapsulating Security Payload (ESP).

Authentication Header (AH)

Authentication Header (AH) cung cấp cơ chế xác thực và tính toàn vẹn

cho các gói tin IP truyền giữa 2 hệ thống Điều này có thể thực hiện được bằngcách áp dụng hàm băm một chiều đối với gói tin IP để tạo mẫu thông điệp(message digest) Nếu bất cứ phần nào của datagram bị thay đổi trong quá trìnhtruyền thì nó sẽ bị phát hiện bởi người nhận khi nó thực hiện cùng một hàm bămmột chiều trên gói tin đó và so sánh giá trị của mẫu thông điệp mà người gửicung cấp Trên thực tế hàm băm một chiều cũng bao gồm việc dùng chung khoámật giữa 2 hệ thống Điều đó có nghĩa là tính xác thực đã được bảo đảm

Khi một mẫu thông điệp được dùng để xác thực thì AH đồng thời đạtđược 2 mục đích:

Xác nhận tính hợp lệ của người gửi vì người gửi biết khoá mật được dùng

để tạo mẫu thông điệp đã được tính toán

Cho biết dữ liệu không bị thay đổi trong quá trình truyền

AH có định dạng như sau:

Next Header Length Reserved

Security Parameters Index

Authentication Data

8 bits 8 bits 16 bits

Hình 1.4.3 Format of Authentication Header

Phía người nhận sử dụng trường Security Parameters Index để kiểm tra

giao thức xác thực và khoá xác thực (authentication protocol and authenticationkey) Sau đó, người nhận sử dụng khoá xác thực để thực hiện tính toán MD5

Xác thực MD5 được thực hiện trên tất cả các trường của gói tin IP màkhông thay đổi trong quá trình truyền (các trường thay đổi như hop counter hayIpv6 routing pointer được coi là có giá trị 0) Kết quả tính toán của người nhận

sẽ được so sánh với giá trị trong trường Authentication Data Nếu khác nhau thì

gói tin này sẽ bị huỷ

1.4.2 Giải pháp an ninh mạng bằng hệ thống

1.4.2.1 Firewall

Firewall là một thiết bị (phần cứng + phần mềm) nằm giữa mạng của một

tổ chức, một công ty hay một quốc gia (mạng Intranet) và mạng Internet bênngoài Vai trò chính của nó là bảo mật thông tin, ngăn chặn sự truy nhập không

Mô hình tổng quan Firewall

mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bên trong (Intranet) tớimột số địa chỉ nhất định trên Internet

Firewall là một thiết bị bảo vệ, vì vậy nó phải là một thiết bị có độ an toànrất cao Nếu được xây dựng trên hệ thống máy tính thì firewall phải được xâydựng trên những hệ thống máy tính mạnh, có khả năng chịu lỗi cao Ngoài ra hệđiều hành dùng trên máy tính này phải là những phiên bản an toàn, ổn định

Trong hình trên ta thấy tất cả các thông tin đi vào và ra khỏi mạng nội bộđều phải qua firewall Firewall chịu trách nhiệm loại bỏ các thông tin không hợp

lệ Để biết thông tin qua nó có hợp lệ hay không thì firewall phải dựa vào tậpluật (rules) mà nó đặt ra Chúng ta sẽ tìm hiểu kỹ hơn về vấn đề này trong phầnsau

Firewall có thể ngăn chặn được nhiều kiểu tấn công nhưng không đủ đểngăn chặn tất cả các cách tấn công làm nguy hại đến hệ thống mạng cần bảo vệ

Vì thế ta phải kết hợp với các biện pháp khác để nâng cao độ an toàn cho mạngcàng mạnh càng tốt Trong phần tiếp theo ta sẽ đề cập chi tiết hơn về Firewall

1.4.2.2 IDS (Intrusion Detection System)

Như đã trình bày ở trên, Firewall hay IPSec chỉ là phương pháp với nhiệm

vụ chủ yếu là phòng thủ, tức là chủ yếu ngăn chặn các loại hình tấn công từ bênngoài vào và đảm bảo an toàn khi truyền dữ liệu tức là chống tấn công một cáchthụ động Ngày nay, các kiểu tấn công ngay từ bên trong mạng đã trở nên phổ

biến và đặc biệt nguy hiểm Chẳng hạn như việc phát tán các virus Trojan, truycập và sử dụng trái phép tài nguyên mạng, hoạt động gián điệp… Những loại tấncông từ bên trong này quả thật là rất khó phát hiện và hậu quả mà nó gây racũng không phải là nhỏ.

Vì những lý do trên nên để hệ thống an ninh mạng của ta được hoàn thiệnthì cần phải có một hệ thống có khả năng phát hiện được các kiểu tấn công ngay

từ trong mạng Hệ thống đảm nhận chức năng này có tên là IDS

Intrusion Detection là quá trình theo dõi các sự kiện xảy ra trong hệ thốngmạng máy tính và phân tích chúng để tìm ra những dấu hiệu của sự xâm phạm(intrusion) nhằm đảm bảo tính mật, tính toàn vẹn, tính sẵn sàng cho hệ thống.Những sự xâm phạm thường được gây ra bởi những kẻ tấn công (attackers) truycập vào hệ thống từ Internet, những người dùng hợp pháp cố gắng truy cập đếnnhững tài nguyên không thuộc thẩm quyền của mình hoặc sử dụng sai nhữngquyền đã được cho phép

Các kỹ thuật dò tìm sự xâm phạm

Một lần nữa ta phải khẳng định rằng việc xây dựng một hệ thống IDSkhông phải là chuyện đơn giản Ví dụ như cần phải có một cơ sở dữ liệu lưu trữcác hành vi của từng người sử dụng trong mạng Những hành vi này có thể làthói quen làm việc gì đó trên mạng, hay thường vào một site nào đó của mộtngười dùng cụ thể Khi có một hành động bất thường xảy ra (so với thói quenthường ngày) thì đòi hỏi IDS phải có sự theo dõi gắt gao cho tất cả các hànhđộng của người sử dụng này và dĩ nhiên những thông tin này phải được lưutrong CSDL để nếu lần sau người này có truy cập vào mạng thì ta có cơ chếquản lý khác Như vậy việc xây dựng và tổ chức một CSDL như thế này là rấtkhó

Tuy nhiên, một cách tổng quát, một hệ thống IDS thường dựa vào cáccách sau để xác định sự xâm phạm:

Quan sát các bất thường xảy ra trong hệ thống Với cách này, hệ thống sẽphân tích hàng loạt các đặc tính ban đầu (đặc tính ở trạng thái bình thường) của

hệ thống và so sánh với phản ứng (đặc tính sẽ có) của hệ thống tương ứng vớicác giá trị (hành vi) nhận được Việc cảnh báo sẽ được tiến hành nếu các đặctính của hệ thống tính toán ra không phù hợp với đặc tính đã có

Quan sát sự bất thường của người sử dụng Cách này thường dùng để xácđịnh các xâm phạm từ bên trong mạng (bao gồm các thành viên trong mạng vàcác thành viên đã được xác thực)

Quan sát một số tiến trình vượt quá mức đặc quyền cho phép Cách này sẽxác định các chuỗi lệnh thực thi nào sẽ thi hành các hành động không được phéptrong hệ thống Cách này thông thường được sử dụng để phát hiện dấu vết củavirus

CHƯƠNG II TỔNG QUAN VỀ HỌ GIAO THỨC TCP/IP

Thuật ngữ (Terminology)

● Protocol, Unit, Stack, và Suite

Giao thức (protocol) là một tập các luật quản trị các thao tác truyền thôngnào đó Ví dụ, IP bao gồm một tập các luật để định tuyến dữ liệu, và TCP baogồm các luật để truyền dữ liệu được liên tục, tin cậy

Một PDU (protocol data unit) hay gói tin (packet) là một đơn vị dữ liệu đãđược định dạng dùng để truyền trong mạng Thông tin chứa trong một PDUthường được gọi là tải trọng (payload) của nó

Ngăn xếp giao thức (protocol stack) là một tập các giao thức được sắp xếptheo lớp cùng hoạt động để cung cấp các thao tác truyền thông giữa các ứngdụng Ví dụ, TCP, IP và Ethernet tạo thành một ngăn xếp giao thức

Bộ giao thức (protocol suite) là một họ các giao thức hoạt động cùng nhaumột cách thích hợp Họ giao thức TCP/IP bao gồm một số lượng lớn các chứcnăng từ việc tìm ra địa chỉ vật lý trên các card mạng cho đến dịch vụ thư tíndùng để tìm đường cho thư điện tử

● Host

Host là một máy tính trên đó có chạy các ứng dụng và có một hoặc nhiềungười dùng (user) Một host có hỗ trợ TCP/IP có thể đóng vai trò là một thiết bịđầu cuối trong truyền thông Chú ý rằng, máy tính cá nhân (PCs), các trạm làmviệc (workstation), máy tính nhỏ (minicomputer) và máy mainframe đều thoảmãn các đặc điểm của một host và tất cả đều có thể hỗ trợ TCP/IP

● Router

Một router sẽ thực hiện việc định tuyến dữ liệu trong một mạng Trước

đây, các tài liệu chuẩn về TCP/IP thường sử dụng từ gateway mà bây giờ người

ta gọi là router Trong lĩnh vực truyền thông, thuật ngữ gateway còn có ý nghĩa

thực hiện chuyển đổi loại giao thức nào đó

● Internet

Thuật ngữ internet (chữ i viết thường) được hiểu là một tập các mạng(LAN hoặc WAN) được kết nối với nhau thông qua các router Thuật ngữInternet (chữ I viết hoa) cho biết đây là một loại mạng internet đặc biệt, liên kếthàng ngàn mạng lại với nhau.

● Nút mạng, hệ thống và thành phần mạng (Network node, System vàNetwork Element)

Thuật ngữ nút mạng, hệ thống và thành phần mạng được dùng để nói đếnmột thực thể truyền thông trong một mạng mà không muốn chỉ rõ nó là mộthost, một router hay một thiết bị nào khác, chẳng hạn như bridge Chẳng hạnnhư mục đích của việc quản trị mạng là kiểm soát và theo dõi tất cả các nútmạng trong một mạng

CHƯƠNG III TỔNG QUAN VỀ INTERNET FIREWALL 3.1 Khái niệm tường lửa

Tường lửa (firewall) thông thường là một kiến trúc nhằm để ngăn chặnkhông cho lửa lan ra, thường là những bức tường gạch ngăn cách hoàn toàn cácphần của một tòa nhà Còn trong xe ô tô chẳng hạn thì firewall là một bức váchkim loại ngăn cách động cơ và ngăn hành khách Tương tự như vậy, Internetfirewall được thiết kế để ngăn chặn mạng nội bộ của chúng ta khỏi những “ngọnlửa” (ở đây chính là sự xâm nhập bất hợp pháp) trên Internet, hoặc để ngăn chặnnhững thành viên trong mạng nội bộ bằng cách ngăn ngừa họ với những thôngtin xấu của Internet …

INTERNET INTRANET

độ an toàn rất cao, phải được xây dựng trên những hệ thống máy tính mạnh, cókhả năng lỗi rất thấp hoặc có cơ chế chịu được lỗi

Mô hình tường lửa

3.2 Các thành phần của hệ thống Firewall

Firewall chuẩn bao gồm một hay nhiều thành phần sau đây:

Bộ lọc gói tin (packet-filtering router)

Cổng ứng dụng (application-level gateway hay proxy server)

Cổng mạch (circuit level gateway)

3.2.1 Bộ lọc gói tin

Bộ lọc gói tin có khả năng điều khiển luồng thông tin trên mạng thôngqua việc phân tích các gói tin vào hay ra khỏi mạng và cho phép gói tin đi quahay không dựa trên địa chỉ nguồn và địa chỉ đích của gói tin Trong bộ lọc góitin gồm có một tập luật chỉ rõ loại gói tin nào sẽ được phép đi qua và loại nào sẽ

bị ngăn cấm (bị chặn) Bộ lọc gói tin có thể được cài đặt trên một bộ định tuyến(router) hay trên một máy chủ nào đó (host)

Trong ngữ cảnh của giao thức TCP/IP, một bộ lọc gói kiểm tra mỗi gói tinriêng biệt, giải mã thông tin của gói tin như địa chỉ đích, nguồn, cổng đích,nguồn, trạng thái kết nối … và thực hiện lọc gói tin dựa vào tập luật

M¹ng néi bé Internet

M¹ng an toµn Packet Filtering

Một tập luật bao gồm các luật chủ yếu để chặn header của gói tin IP như:địa chỉ nguồn, địa chỉ đích, cổng nguồn, cổng đích, dạng gói tin IP từ đó cóthể:

FORWARD: tiến hành xử lý theo một tập luật nào đó

DROP: từ chối, không cho phép đi qua

Mô hình bộ lọc gói tin

ACCEPT: chấp nhận, cho phép gói tin đi qua.

Ngoài ra còn có các định nghĩa luật khác phụ thuộc từng bộ lọc gói tin cụthể

Bộ lọc gói tin đặc biệt hữu dụng để chống lại các cuộc tấn công từ bênngoài cũng như từ bên trong đã nêu trên, hơn nữa nó còn có ưu điểm là chi phíthấp, xử lý nhanh không gây trở ngại cho tốc độ đường truyền của mạng, trongsuốt đối với người sử dụng và các ứng dụng Hơn nữa, việc kiểm soát các cổnglàm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào cácloại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP…)được phép mới chạy được trên hệ thống mạng cục bộ Tuy nhiên, nhược điểmlớn nhất của bộ lọc gói tin là không xử lý được dữ liệu trong từng gói tin, cónghĩa không xác thực được người dùng và cũng do chỉ làm việc với header củacác packet, rõ ràng là bộ lọc packet không kiểm soát được nội dung thông tincủa packet

3.2.2 Cổng ứng dụng (Application level gateway hay proxy server)

Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soátcác loại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng Cơ chế

hoạt động của nó dựa trên cách thức gọi là dịch vụ uỷ quyền (Proxy service) Proxy service là các bộ code đặc biệt cài đặt trên gateway cho từng ứng dụng.

Nếu người quản trị không cài đặt proxy code cho một ứng dụng nào đó, dịch vụtương ứng sẽ không được cung cấp và do đó không thể chuyển thông tin quafirewall được Ngoài ra, proxy code có thể được cấu hình để hỗ trợ chỉ một sốđặc điểm trong ứng dụng mà người quản trị mạng cho là chấp nhận được trongkhi từ chối những đặc điểm khác

Một cổng ứng dụng thường được coi như là một pháo đài bảo vệ (Bastionhost), bởi vì nó được thiết kế đặc biệt để chống lại sự tấn công từ bên ngoài.Những biện pháp đảm bảo an ninh của một bastion host là:

Bastion host luôn chạy các version an toàn (secure version) của các phầnmềm hệ thống (Operation system) Các version an toàn này được thiết kếchuyên cho mục đích chống lại sự tấn công vào Hệ điều hành, cũng như đảmbảo sự tích hợp firewall

Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được càiđặt trên bastion host, đơn giản chỉ vì nếu một dịch vụ không được cài đặt, nókhông thể bị tấn công Thông thường, chỉ một số giới hạn các ứng dụng cho cácdịch vụ như Telnet, DNS, FTP, SMTP và xác thực user được cài đặt trên bastionhost

Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một số máy chủnhất định Điều này có nghĩa là bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉđúng với một số máy chủ trên toàn hệ thống

Mỗi proxy duy trì một nhật ký ghi chép lại toàn bộ chi tiết của giao thôngqua nó, mỗi kết nối và khoảng thời gian kết nối Nhật ký này đặc biệt có íchtrong việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại

Sơ đồ hệ thống proxy server

Mỗi proxy đều độc lập với các proxy khác trên bastion host Điều nàygiúp cho việc cài đặt một proxy mới hay tháo gỡ một proxy đang có vấn đề được

dễ dàng

Ưu điểm

Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụtrên mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủnào có thể truy nhập được bởi các dịch vụ

Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụnào cho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng cónghĩa là dịch vụ ấy bị khoá

Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có nhật ký ghichép lại thông tin về truy nhập hệ thống

Việc cấu hình và kiểm tra các luật lọc filtering cho cổng ứng dụng dễdàng hơn so với bộ lọc gói tin

Hạn chế

Người dùng cần phải thay đổi thao tác, hoặc thay đổi phần mềm đã cài đặttrên máy client để truy nhập vào các dịch vụ proxy Chẳng hạn, Telnet truy nhậpqua cổng ứng dụng đòi hỏi phải qua 2 bước để nối với máy chủ Tuy nhiên, cũng

đã có một số phần mềm client cho phép ứng dụng trên cổng ứng dụng là trongsuốt, bằng cách cho phép user chỉ ra máy đích chứ không phải cổng ứng dụngtrên lệnh Telnet

Những hạn chế của Firewall

Firewall không đủ thông minh như con người để có thể đọc hiểu từng loạithông tin và phân tích nội dung tốt hay xấu Nó chỉ có thể ngăn chặn sự xâmnhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ cácthông số địa chỉ

Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công nàykhông “đi qua” nó Một cách cụ thể, firewall không thể chống lại một cuộc tấn

công từ một đường kết nối qua dial-up, hoặc sự rò rỉ thông tin do dữ liệu bị saochép bất hợp pháp lên đĩa mềm.

Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu drivent attack) Một chương trình có thể được chuyển theo thư điện tử, vượt quafirewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây

(data-Một ví dụ là các virus máy tính Firewall không thể làm nhiệm vụ rà quétvirus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liêntục của các virus mới và do có rất nhiều cách để mã hoá dữ liệu, thoát khỏi khảnăng kiểm soát của firewall

Tuy nhiên, firewall vẫn là một giải pháp được áp dụng rộng rãi

Trong số những sản phẩm tường lữa (firewall) trên thị trường hiện nay thì ISA Server 2006 của Microsoft được nhiều người yêu thích do khả năng bảo vệ hệ thống mạnh mẽ cùng với cơ chế quản lý linh hoạt ISA Server 2006 Firewall có hai phiên bản Standard và Enterprise phục vụ cho những môi trường khác nhau.

ISA Server 2006 Standard đáp ứng nhu cầu bảo vệ và chia sẻ băng thôngcho các công ty có quy mô trung bình Với phiên bản này chúng ta có thể xâydựng firewall để kiểm soát các luồng dữ liệu vào và ra hệ thống mạng nội bộ củaDoanh nghiệp, kiểm soát quá trình truy cập của người dùng theo giao thức, thờigian và nội dung nhằm ngăn chặn việc kết nối vào những trang web có nội dungkhông thích hợp Bên cạnh đó chúng ta còn có thể triển khai hệ thống VPN Site

to Site hay Remote Access hỗ trợ cho việc truy cập từ xa, hoặc trao đổi dữ liệugiữa các văn phòng chi nhánh Đối với các công ty có những hệ thống máy chủquan trọng như Mail Server, Web Server cần được bảo vệ chặt chẽ trong mộtmôi trường riêng biệt thì ISA 2006 cho phép triển khai các vùng DMZ (thuậtngữ chỉ vùng phi quân sự) ngăn ngừa sự tương tác trực tiếp giữa người bên trong

và bên ngoài hệ thống Ngoài các tính năng bảo mật thông tin trên, ISA 2006còn có hệ thống đệm (cache) giúp kết nối Internet nhanh hơn do thông tin trangweb có thể được lưu sẵn trên RAM hay đĩa cứng, giúp tiết kiệm đáng kể băng

thông hệ thống Chính vì lý do đó mà sản phẩm firewall này có tên gọi làInternet Security & Aceleration (bảo mật và tăng tốc Internet)

ISA Server 2006 Enterprise được sử dụng trong các mô hình mạng lớn,đáp ứng nhiều yêu cầu truy xuất của người dùng bên trong và ngoài hệ thống.Ngoài những tính năng đã có trên ISA Server 2006 Standard, bản Enterprise còncho phép thiết lập hệ thống mảng các ISA Server cùng sử dụng một chính sách,điều này giúp dễ dàng quản lý và cung cấp tính năng Load Balancing(cânbằngtải)

Trong đồ án này chúng tôi trình bày cách thức triển khai hệ thống ISAServer (Standar và Enterprise) cho một Doanh nghiệp có số lượng nhân viêntrên 50 người Để cung cấp dịch vụ chia sẻ Internet, Doanh nghiệp sử dụng mộtđường ADSL và hệ thống ISA Server 2006 Firewall

CHƯƠNG III: Cài đặt ISA Server 2006

Yêu cầu cấu hình cơ bản

Internet link

bandwidth

7.5 megabits per second (Mbps)

Up to 25 Mbps Up to T3

45 Mbps

Up to 90 Mbps

Xeon3.0–

4.0 GHz

Xeon DualCore

AMD DualCore

2.0–3.0GHz

Số VPN ðồng

thời kết nối

3.2.Tiến trình cài đặt

Trước tiên cài đặt ISA thì yêu cầu máy ISA phải có ít nhất 2 card mạng,một card nối với mạng bên trong (Internal) và card mang còn lại nối ra Internet(External)

Cho đĩa ISA server 2006 vào và chọn Install ISA server 2006

Trong cửa sổ Setup type chọn Typical nếu bạn muốn cài đặt theo chế độmặc định và chọn Custom nếu muốn cài đặt bằng tay dưới đây tôi chọn Custom

 Next

Sau đó chúng ta nhấp Next

Tại cửa sổ Internal Network nhấp Add

Chọn tiếp Add Adapter

Trong Select Network Adapter, chọn card mang nào trực tiếp nối vàoLAN  OK

Nhấp Next

Nhấp Next  Install Finish

Đây là giao diện của ISA server 2006 sau khi chúng ta cài thành công

CHƯƠNG IV PHÂN LOẠI VÀ CẤU HÌNH ISA SERVER CLIENTS

Một ISA Server 2006 client là máy tắnh kết nối đến các nguồn tài nguyênkhác thông qua ISA Server 2006 firewall Nhìn chung, các ISA Server 2006client thýờng đýợc đặt trong một Internal hay perimeter network DMZ và kếtnối ra Internet qua ISA Server 2006

4.1 Phân loại

Có 3 loại ISA Server 2006 client:

SecureNAT client là máy tắnh đýợc cấu hình với thông số chắnh Defaultgateway giúp định tuyến ra Internet thông qua ISA Server 2006 firewall NếuSecureNAT client nằm trên Mạng trực tiếp kết nối đến ISA Server 2006firewall, thông số default gateway của SecureNAT client chắnh là IP address củanetwork card trên ISA Server 2006 firewall gắn với Network đó NấuSecureNAT client nằm trên một Network ở xa ISA Server 2006 firewall, khi đóSecureNAT client sẽ cấu hình thông số default gateway là IP address của routergần nó nhất, Router này sẽ giúp định tuyến thông tin từ SecureNAT client đếnISA Server 2006 firewall ra Internet

Web Proxy client là máy tắnh có trình duyệt internet (vd:InternetExplorer) đýợc cấu hình dùng ISA Server 2006 firewall nhý một Web Proxyserver của nó Web browser có thể cấu hình để sử dụng IP address của ISAServer 2006 firewall làm Web Proxy server của nó cấu hình thủ công, hoặc cóthể cấu hình tự động thông qua các Web Proxy autoconfiguration script của ISAServer 2006 firewall Các autoconfiguration script cung cấp mức độ tùy biến caotrong việc điều khiển làm thế nào để Web Proxy clients có hể kết nối Internet.Tên của User (User name) đýợc ghi nhận trong các Web Proxy logs khi máytắnh đýợc cấu hình nhý một Web Proxy client

Firewall client là máy tắnh có cài Firewall client software Firewall clientsoftware chặn tất cả các yêu cầu thuộc dạng Winsock application (thông thýờng,

là tất cả các ứng dụng chạy trên TCP và UDP) và ðẩy các yêu cầu này trực tiếpðến Firewall service trên ISA Server 2006 firewall User names sẽ tự ðộng ðýợcðýa vào Firewall service log khi máy tình Firewall client thực hiện kết nốiInternet thông qua ISA Server 2006 firewall.

Dươi đây là bảng so sánh các dạng ISA server 2006 Client

Cần phải cài ðặt Không, chỉ cần xác lập

thông số default gateway

Yes Cần cài ðặtsoftware

Không, chỉ cần cấuhình các thông sốphù hợp tại trìnhduyệt Web- Webbrowser

Hỗ trợ Hệ ðiều

hành nào

Bất cứ OS nào hỗ trợTCP/IP

Chỉ Windows Bất kì OS nào có

hỗ trợ các Webapplication

Hỗ trợ Protocol Nhờ có bộ lọc ứng dụng

-Application filters cóthể hỗ trợ các ứng dụngchạy kết hợp nhiều

multiconnectionprotocols

Hầu hết các ứng

Internet hiệnnay

HTTP(HTTPS), và FTP

Trong Internet Protocol (TCP/IP) Properties dialog box, chúng ta khai báo

IP, Subnet mask, DNS, quan trọng nhất là khai báo Default Gateway sao chomọi thông tin hướng ra internet phải được định tuyến đến ISA server

Mô hình SecureNAT Client

4.2.2 Web Proxy Client

Chúng ta cấu hình trên Internet Explorer

Trên máy CLIENT, right click Internet Explorer icon nằm trêndesktop,click Properties

Trong Internet Properties dialog box, click Connections tab trênConnections tab, click LAN Settings button

Trong Local Area Network (LAN) Settings dialog box Tại Proxy serverchúng ta điền IP của ISA server và port 8080

4.2.3 Firewall Client

Vào thư mục Client trong đĩa ISA 2006 chạy file setup.exe

Chọn option I accept the terms in the licene agreement  Next  Next.

Chọn option Connect ti this ISA server computer, nhập vào IP internalcủa máy ISA  Next  Install

CHƯƠNG V Triển khai ISA server 2006 5.1 Tạo Rule

Tạo Rule cho phép người quản trị có thể cho phép hay cấm bất kỳ máynào trong mạng hay toàn bộ mạng Sau đây là các bước tạo ra 1 Access Rule

Chạy chương trình ISA bằng các click chuột vào ISA server ManagementRight click vào Firewall Policy  chọn New  chọn Access Rule

Sau đó của sổ New Access Rule wizard hiện ra chúng ta gõ tên cho Rule

chẳng hạn như Allow Internal to Internet vào ô Access Rule Name  Next

Sau đó chúng ta chọn hành động cho rule là Allow ( cho phép) hay Deny (cấm ) và click next

Sau đó chúng ta sẽ chọn Protocol cho rule, nếu chúng ta cho máy trạmtruy cập Internet và Email thì chúng ta chỉ chọn các giao thức như DNS, http,https, POP3,SMTP để chọn rule ta click Add  Next

Bước tiếp theo chúng ta chọn Source cho rule click Add sau đó chon cáibạn muốn add ở đây tôi chọn Internal và Local Host Đây là nguồn là nhữngmang hay máy tính bạn muốn cho phép hay cấm

Tiếp theo chúng ta sẽ chon Destination click Add  chọn điểm đến

Chọn Next  sau đó chúng ta chọn User cho rule

Sau đó chúng ta có thể xem lại các option chúng ta đã chọn và finish đểkết thúc việc tạo rule

Cuối cùng chúng ta chọn Apply để thực thi Rule

5.2 Publish Web

Tại máy ISA Server bật chương trình ISA lên tiếp tục trong FirewallPolicy tạo một Rule mới bằng cách chọn New  Web Site Publishing Rule

Sau đó chúng ta đặt tên cho Rule ( vd như Publish wed )

Trong Rule Action chọn Allow  Next

Chọn Publish a single Web site or load balancer trong Publishing Type Next

Với Rule này chúng ta sẽ Publish dịch vụ HTTP trước nên trong ServerConnection Sercurity tôi chọn lựa chọn Use non-secured connections to conectthe published Web server or server farm  Next

Internal site name bạn nhập tên của Wed server và click vào ô “ Use acomputer name or IP address to connect to the published server” sau đó điền IPcủa Wed server vào ô  Next

Trong Internal Publishing Details bạn chừa trống ô Path  Next