Bảo mật mạng máy tính và firewall

Nắm bắt được nhu cầu củacác tổ chức và doanh nghiệp, một số tập đoàn công nghệ thông tin và truyền thông hàngđầu trên thế giới đã đưa ra nhiều giải pháp bảo mật cũng như các Firewall cả

TRƯỜNG ĐẠI HỌC VINH

KHOA CÔNG NGHỆ THÔNG TIN

-BÁO CÁO

ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC

Sinh viên thực hiện: Nguyễn Văn An – Mã sinh viên:

Lớp:

Giáo viên hướng dẫn:ThS (hoặc TS.) Hồ Văn Tèn

Nghệ An, tháng 12 năm 2012

1

LỜI CẢM ƠN

Sau 2 tháng nỗ lực thực hiện đồ án tốt nghiệp đã phần nào hoàn chỉnh Ngoài

sự cố gắng hết mình của bản thân còn nhận được sự hỗ trợ rất lớn từ bạn bè, thầy cô

và gia đình

Trước hết, em cảm ơn đến các thầy cô đã truyền đạt những kiến thức quý báocho chúng em trong suốt quá trình học tập Đặc biệt, em xin gởi lời cảm ơn chân

thành và sâu sắc đến thầy THS Nguyễn Quang Ninh, thầy đã tận tình hướng dẫn giúp

đỡ và đóng góp cho chúng em nhiều ý kiến quý báu trong suốt quá trình làm đồ án

Cám ơn gia đình, bạn bè cũng như các bạn chung khóa đã luôn bên cạnh vàcho những lời khuyên chân thành Cám ơn thầy cô ở khoa CNTT Đại học Vinh đãtạo điều kiện tốt nhất để em cũng như các bạn khác thực hiện đồ án một cách thuận lợi

LỜI NÓI ĐẦU

Ngày nay, việc duy trì hệ thống mạng nội bộ hoạt động ổn định , nhanh chóng,

an toàn và tin cậy đang là vấn đề được các tổ chức và doanh nghiệp đặc biệt quan tâm.Trong đó, yếu tố an toàn mạng luôn được đặt lên hàng đầu Nắm bắt được nhu cầu củacác tổ chức và doanh nghiệp, một số tập đoàn công nghệ thông tin và truyền thông hàngđầu trên thế giới đã đưa ra nhiều giải pháp bảo mật cũng như các Firewall (cả phầncứng lẫn phần mềm) để bảo vệ môi trường mạng được trong sạch

Cùng với sự ra đời và phát triển của máy tính và mạng máy tính là vấn đề bảo mậtthông tin, ngăn chặn sự xâm phạm và đánh cắp thông tin trong máy tính và thông tin cánhân trên mạng máy tính khi mà ngày càng có nhiều hacker xâm nhập và phá huỷ dữ liệuquan trọng làm thiệt hại đến kinh tế của công ty nhà nước

Được sự hướng dẫn nhiệt tình và chu đáo của thầy giáo THS Nguyễn Quang Ninh

em đã tìm hiểu và nghiên cứu đồ án tốt nghiệp: “Bảo mật mạng máy tính và Firewall”.

Đồ án trình bày những vấn đề tổng quan về bảo mật mạng, firewall

Với lòng biết ơn sâu sắc, em xin chân thành cảm ơn thầy THS Nguyễn Quang Ninh

cùng các thầy cô giáo trong khoa CNTT _Đại hoc Vinh đã nhiệt tình hướng dẫn giúp đỡ

MỤC LỤC

LỜI CẢM ƠN 1

LỜI NÓI ĐẦU 2

MỤC LỤC 3

Chương 1: TỔNG QUAN VỀ MẠNG MÁY TÍNH 6

1.2.1 Giao Thức không có khả năng tìm đường: 9

1.2.3 Giao Thức Định Tuyến .13

1.3.3 Mail Server 16

1.3.4 Truyền file (FTP): 17

1.3.5 Truy cập từ xa (Telnet): 17

1.3.6 Mạng riêng ảo (VPN) 17

1.3.7 World Wide Web: 18

CHƯƠNG II : BẢO MẬT MẠNG VÀO FIREWALL 19

I TỔNG QUAN VỀ BẢO MẬT MẠNG 19

2.1 Định nghĩa bảo mật mạng: 19

2.1.1 Các yếu tố cần quan tâm khi phân tích bảo mật mạng: 20

2.1.2 Các yếu tố cần được bảo vệ : 20

2.2 Các kiểu tấn công mạng: 20

2.2.1 Thăm dò(reconnaissance): 20

2.2.2 Đánh lừa (IP spoofing): 20

2.2.3 Tấn công từ chối dịch vụ (Denial of services): 20

2.2.4 Tấn công trực tiếp password: 20

2.2.5 Thám thính(agent): 21

2.2.6 Tấn công vào yếu tố con người: 21

2.3 Các mức độ bảo mật: 21

2.3.1Quyền truy nhập: 21

2.3.2 Đăng nhập/Mật khẩu(login/password): 21

2.3.3 Mã hóa dữ liệu(Data encryption): 21

2.3.4 Bảo vệ vật lý (Physical protect): 22

2.3.5 Bức tường lửa (firewall): 22

2.4 Các biện pháp bảo vệ an toàn hệ thống: 22

2.4.1 Quyền hạn tối thiểu (Least Privilege): 22

2.4.2 Bảo vệ theo chiều sâu (Defense in Depth): 22

2.4.3 Nút thắt (choke point): 22

2.4.4 Điểm xung yếu nhất (Weakest point): 23

4

2.4.5 Hỏng trong an toàn (Fail–Safe Stance): 23

2.4.6 Sự tham gia toàn cầu: 23

2.4.7 Kết hợp nhiều biện pháp bảo vệ: 23

2.4.8 Đơn giản hóa: 23

2.5 Các chính sách bảo mật: 23

2.5.1 Kế hoạch bảo mật mạng: 24

2.5.2Chính sách bảo mật nội bộ: 24

2.5.3 Phương thức thiết kế: 25

2.5.4 Thiết kế chính sách bảo mật mạng: 25

2.5.4.1 Phân tích nguy cơ mất an ninh: 25

2.5.4.2 Xác định tài nguyên cần bảo vệ: 25

2.5.4.3 Xác định các mối đe dọa bảo mật mạng: 25

2.5.4.4Xác định trách nhiệm người sử dụng mạng: 26

 2.5.4.5 Kế hoạch hành động khi chính sách bị vi phạm: 27

2.5.4.6 Xác định các lỗi an ninh: 28

II : FIREWALL 29

2.6 Tìm hiểu về Firewall 29

2.6.1 Khái niệm Firewall 29

2.6.2.1Firewall mềm 29

-Đặc điểm của Firewall mềm: 30

2.6.3 Vì sao cần Firewall 30

2.6.4 Chức năng

30

2.6.5 Nhiệm vụ Firewall 30

2.6.6 Những hạn chế của firewall 31

2.6.7 Các thành phần của Firewall và nguyên lý hoạt động 31

2.6.7.1Bộ lọc gói (Packet Filtering) 31

2.6.7.2 Cổng ứng dụng ApplicationLevelGateway 33

2.6.7.3 Cổng vòng: 34

2.2.8.1Dual homed host: 35

2.2.9 Demilitarized Zone(DMZ) 39

CHƯƠNG III : GIỚI THIỆU PHẦN MỀM ISA 2006, CÀI ĐẶT VÀ CẤU HÌNH ISA 2006 CHO MÔ HÌNH DOANH NGHIỆP VỪA VÀ NHỎ 42

3.1 Tổng quan về ISA Server 2006 42

3.1.1 Các phiên bản của ISA Server 2006 42

3.1.2 Tính năng Firewall 43

3.2 Nhu cầu người sử dụng đặt ra cho hệ thống mô hình và giải pháp 44

3.3 Mô hình và giải pháp 45

3.3.1 Mô hình: 45

3.3.2 Giải pháp : 45

3.4 TIẾN HÀNH CÀI ĐẶT : 46

5

3.4.1.Đăt Địa chỉ ip 46

3.4.2 Cài đặt 46

3.4.2.1Nâng cấp Server lên Domain Controler 47

3.4.2.2 Cài đặt ISA Server 2006 trên máy ISA Server 48

3.4.2.3 Cấu hình Firewall 51

3.4.2.4 Đánh giá mô hình: 61

KẾT LUẬN 63

Tài Liệu Tham Khảo 65

6

Chương 1: TỔNG QUAN VỀ MẠNG MÁY TÍNH

Giới thiệu mạng máy tính và các mô hình mạng

Giới thiệu mạng máy tính

Mạng máy tính bao gồm nhiều thành phần, chúng được nối với nhautheo một cách thức nào đó và cùng sử dụng chung một ngôn ngữ

- Các thiết bị đầu cuối (End System) kết nối với nhau tạo thành mạng có thể là các máy tính (Computer) hoặc các thiết bị khác Nói chung hiện nay ngày càng nhiều các loại thiết bị có khả năng kết nối vào mạng máy tính như điện thoại di động, Tivi, …

- Môi trường truyền (media) mà truyền thông được thực hiện qua đó Môi trường truyền có thể là các loại dây dẫn (cáp), sóng (đối với các mạng không dây),…

- Giao thức (protocol) là quy tắc quy định cách thức trao đổi dữ liệu giữa các thực thể

Tóm lại, mạng máy tính là một tập hợp các máy tính và các thiết bị khác(các nút), chúng sử dụng một giao thức mạng chung để chia sẻ tài nguyênvới nhau nhờ các phương tiện truyền thông mạng

Các mô hình mạng

Một máy tính có trên mạng có thể thuộc một trong 3 loại như sau:

- Máy khách (client): không cung cấp tài nguyên mà chỉ sử dụng tài nguyên trên mạng

- Máy chủ (server): Cung cấp tài nguyên và dịch vụ cho máy trên mạng

-Peer: Sử dụng tài nguyên trên mạng đồng thời cung cấp tài nguyên trên mạng

Mô hình khách chủ (client/server)

Các máy khách được nối với máy chủ nhận quyền truy cập mạng và tài nguyênmạng từ các máy chủ Máy chủ quản lý tất cả tài nguyên và các quyền truy cậpvào mạng

7

Hình : Mô hình trạm chủ (Client/Sever)

- Đặc điểm:

- Độ an toàn và tính bảo mật thông tin: Có độ an toàn và bảo mật thông tin cao Người quản trị mạng quyền truy nhập thông tin cho các máy

- Khả năng cài đặt: Khó cài đặt

- Đòi hỏi về phần cứng và phần mềm: Đòi hỏi có máy chủ, hệ điều hành mạng và các phần cứng bổ sung

- Quản trị mạng: Phải có quản trị mạng

- Xử lý và lưu trữ tập trung: Có -Chi phí cài đặt: cao

Mô hình mạng ngang hàng(Peer-to-Peer)

8

Mạng ngang hàng là mạng được tạo ra bởi hai hay nhiều máy tính được kết nối với nhau và chia sẻ tài nguyên mà không phải thông qua một máy chủ dành riêng.

Hình : Mô hình mạng ngang hàng (Peer to Peer)

-Đặc Điểm:

- Độ an toàn và tính bảo mật thông tin: Độ an toàn và bảo mật kém, phụ thuộc vào mức truy nhập được chia sẻ

- Khả năng cài đặt: Dễ cài đặt

- Đòi hỏi về phần cứng và phần mềm: Không cần máy chủ, hệ điều hành mạng

- Quản trị mạng: Không cần có quản trị mạng

- Xử lý và lưu trữ tập trung: Không

Hình : Mô phỏng cách thức truyền dữ liệu giữa hai hệ thống

Một tập hợp tiêu chuẩn để trao đổi thông tin giữa hai hệ thống máy tínhhoặc hai thiết bị máy tính với nhau được gọi là giao thức Các giao thứcnày còn được gọi là các nghi thức hoặc định ước của máy tính

1.2.1 Giao Thức không có khả năng tìm đường:

NetBIOS

NetBIOS là một giao diện ứng dụng cho phép các ứng dụng truy cập các dịch vụ

trên mạng thông qua phương tiện truyền tải mạng như NetBEUI, TCP/IP,

và SPX/IPX Cung cấp giao diện lập trình cho các ứng dụng nằm ở lớpPhiên làm việc (mô hình mạng OSI )

NetBIOS còn có thể được đóng gói theo các tiêu chuẩn truyền của các bộgiao thức TCP/IP và SPX/IPX (giao thức hỗ trợ định tuyến)

10

Hình : Mô hình Ipv4

NetBEUI (NetBIOS Extended User Interface)

Là giao thức nằm ở lớp Transport layer (mô hình OSI) NetBEUI có cùng nguồn gốc với NetBIOS, chúng cùng thuộc một bộ giao thức mạng chuẩn sau này được tách ra

Giao thức có khả năng tìm đường

IPX/SPX

IPX (Internetwork Packet eXchange) là giao thức chính được sử dụng trong

hệ điều hành mạng Netware của hãng Novell Giao thức này thuộc lớp mạng (networklayer) trong mô hình mạng 7 lớp OSI Nó tương tự như giao thức IP (InternetProtocol) trong TCP/IP IPX chứa địa chỉ mạng (netword Address) và cho phép cácgói thông tin được chuyển qua các mạng hoặc phân mạng (subnet) khác nhau IPXkhông bảo đảm việc chuyển giao một thông điệp hoặc gói thông tin hoàn chỉnh, cũngnhư IP, các gói tin được "đóng gói" theo giao thức IPX có thể bị "đánh rơi"(dropped) Do vậy, các ứng dụng có nhu cầu truyền tin "bảo đảm" thì phải sử dụnggiao thức SPX thay vì IPX

SPX là một giao thức mạng thuộc lớp vận chuyển (transport layer networkprotocol) trong mô hình mạng OSI gồm 7 lớp Cũng như IPX, SPX là giaothức (native protocol) của các hệ điều mạng Netware của hãng Novell.Tương tự như giao thức TCP trong bộ TCP/IP, SPX là giao thức đảm bảo

11

toàn bộ thông điệp truyền đi từ một máy tính trong mạng đến một máy tínhkhác một cách chính xác SPX sử dụng giao thức IPX của Netware như là

cơ chế vận chuyển (TCP sử dụng IP)

TCP/IP

Hình : Mô hình TCP/IP

- TCP (Transmission Control Protocol )

Cung cấp các chức năng vận chuyển, nó bảo đảm việc toàn bộ lượng dữ liệu(dưới dạng bytes) được truyền và nhận một cách chính xác từ máy truyềncho tới máy nhận

Đặc trưng công nghệ: TCP là một giao thức hướng nối, tin cậy:

- Vận chuyển end-to-end, tin cậy, đúng thứ tự, thông qua các phương

+ Dùng cơ chế báo nhận

+ Dùng số thứ tự các gói tin

+ Dùng phương pháp kiểm soát lỗi mã dư vòng

+ Điều khiển lưu lượng bằng cửa sổ trượt có kích thước thay đổi

 Do vậy TCP là một giao thức tương đối phức tạp

UDP (User Datagram protocol) - là một phần của TCP/IP - là một giao thứctruyền thông thay thế cho TCP nhưng không đảm bảo bằng TCP,UDPđược sử dụng phổ biến cho các ứng dụng truyền âm thanh và phim thờigian thực đó là các ứng dụng bị truyền lỗi không được truyền lại

12

Hình : Cấu trúc gói tin TCP

- IP (Internet Protocol)

IP chấp nhận các gói dữ liệu từ các giao thức TCP và UDP, cộng thêm cácthông tin của riêng nó và "chuyển giao" thông tin cho bộ phần truyền dữliệu

- Đặc trưng công nghệ:

+ Không phải thiết lập; giải phóng kết nối

+ Packets có thể đi theo các con đường khác nhau

+ Không có cơ chế phát hiện/khắc phục lỗi truyền

 IP là giao thức đơn giản, độ tin cậy không cao

- Các chức năng chính:

+ Định nghĩa khuôn dạng gói dữ liệu (IP packet)

+ Định nghĩa phương thức đánh địa chỉ IP

+ Chon đường (Routing)

+ Cắt/hợp dữ liệu (Fragmentation/ Reassembly)

13

Hình : Các lớp địa chỉ IP

Vì vậy, Giao thức TCP/IP được phát triển từ mạng ARPANET và Internet vàđược dùng như giao thức mạng và giao vận trên mạng Internet TCP(Transmission Control Protocol) là giao thức thuộc tầng giao vận và IP(Internet Protocol) là giao thức thuộc tầng mạng của mô hình OSI

Hiện nay các máy tính của hầu hết các mạng có thể sử dụng giao thức TCP/

IP để liên kết với nhau thông qua nhiều hệ thống mạng với kỹ thuậtkhác nhau Giao thức TCP/IP thực chất là một họ giao thức cho phép các

hệ thống mạng cùng làm việc với nhau thông qua việc cung cấp phươngtiện truyền thông liên mạng

- So sánh mô hình OSI và TCP/IP

14

Hình : So sánh hai mô hình OSI và TCP/IP

sẽ được học từ những router khác Khi quá trình định tuyến tĩnh được sửdụng, nhà quản trị mạng sẽ cấu hình thông tin về những mạng ở xa bằng tay

15

cho router.

16

RIP

RIP là giao thức định tuyến vector khoảng cách xuất hiện sớm nhất Nósuất hiện vào năm 1970 bởi Xerox như là một phần của bộ giao thứcXerox Networking Services (XNS)

- Chu kỳ cập nhật của RIP là 30 giây

- Thông số định tuyến của RIP là số lượng hop, giá trị tối đa là 15 hop

- Một số giới hạn của RIP

+ Không mang thông tin subnet mask trong thông tin định tuyến

+ Gửi quảng bá thông tin định tuyến theo địa chỉ 255.255.255.255

+ Không hỗ trợ xác minh thông tin nhận được

+ Sử dụng cho mạng vừa và nhỏ

IGRP

Trước những nhược điểm vốn có của RIP như: metric là hop count, kíchthước mạng tối đa là 15 hop Cisco đã phát triển một giao thức độc quyềncủa riêng mình là IGRP để khắc phục những nhược điểm đó Cụ thể làmetric của IGRP là sự tổ hợp của 5 yếu tố, mặc định là bandwidth và delay:

IGRP không sử dụng hop count trong metric của mình, tuy nhiên nó vẫntheo dõi được hop count Một mạng cài đặt IGRP thì kích thước mạng cóthể nên tới 255 hop.Ưu điểm nữa của IGRP so với RIP là nó hỗ trợ đượcunequal-cost load sharing và thời gian update lâu hơn RIP gấp 3 lần.Tuynhiên bên cạnh những ưu điểm của mình so với RIP, IGRP cũng có nhữngnhược điểm đó là giao thức độc quyền của Cisco

Các dịch vụ hạ tầng trên Internet

DHCP (Dynamic Host Config Protolcol)

DHCP là giao thức Cấu hình Host động,DHCP được thiết kế làm giảmthời gian chỉnh cấu hình cho mạng TCP/IP bằng cách tự động gán các địachỉ IP cho khách hàng khi họ vào mạng DHCP tập trung việc quản lý địachỉ IP ở các máy tính trung tâm chạy chương trình DHCP Mặc dù có thểgán địa chỉ IP vĩnh viễn cho bất cứ máy tính nào trên mạng, DHCP chophép gán tự động Để khách có thể nhận địa chỉ IP từ máy chủ DHCP, bạnkhai báo cấu hình để khách “nhận địa chỉ tự động từ một máy chủ”

Hoạt động của DHCP

DHCP tự động hóa mạng lưới giao thông Ngay cả trong các mạng nhỏ làhữu ích vì nó có thể dể dàng gắn máy mới vào mạng.

Khi một DHCP cấu hình máy khách (một máy tính, hay một mạng nào đó,nhận thiết bị) kết nối đến mạng, DHCP client gởi 1 truy vấn đến phát sóngyêu cầu thông tin IP cần thiết từ DHCP server Các DHCP server quản límột database địa chỉ IP và thông tin về các tham số cấu hình máy kháchnhư cổng mặc định, tên miền, các máy chủ DNS, các máy chủ khác nhưmáy chủ thời gian và nhiều thiết bị khác Khi DHCP server nhận được yêucầu hợp lệ DHCP server sẽ chọn 1 địa chỉ IP trong database của nó tớimáy client, một hợp đồng thuê với thời gian định kì(mặc định là 8 ngày)

DNS service

DNS (Domain Name System) là Hệ thống tên miền được phát minh vào năm

1984 cho Internet, chỉ một hệ thống cho phép thiết lập tương ứng giữa địachỉ IP và tên miền Hệ thống tên miền (DNS) là một hệ thống đặt tên theothứ tự cho máy vi tính, dịch vụ, hoặc bất kì nguồn lực tham gia vàoInternet Nó liên kết nhiều thông tin đa dạng với tên miền được gán chonhững người tham gia Quan trọng nhất là, nó chuyển tên miền có ý nghĩacho con người vào số định danh (nhị phân), liên kết với các trang thiết bịmạng cho các mục đích định vị và địa chỉ hóa các thiết bị khắp thế giới

Hình : Mô hình câyDNS (hierarchical)

- Dịch vụ DNS hoạt động theo mô hình Client-Server

- Server : có chức năng là phân giải tên thành IP và ngược lại IP thành tên, được gọi là Name Server, lưu trữ cơ sở dữ liệu của DNS

- Client : truy vấn phân giải tên đến DNS server được gọi là Resolver, chứacác hàm thư viện dùng để tạo các truy vấn (query) đến Name Server.

- DNS được thi hành như 1 giao thức của tầng Application trong mô hìnhmạng TCP/IP

- DNS là 1 cơ sở dữ liệu dạng phân tán được tổ chức theo mô hình cây

- Nguyên tắc làm việc

Mỗi nhà cung cấp dịch vụ vận hành và duy trì DNS server riêng của mình,gồm các máy bên trong phần riêng của mỗi nhà cung cấp dịch vụ đótrong Internet Tức là, nếu một trình duyệt tìm kiếm địa chỉ của mộtwebsite thì DNS server phân giải tên website này phải là DNS server củachính tổ chức quản lý website đó chứ không phải là của một tổ chức (nhàcung cấp dịch vụ) nào khác

INTERNIC (Internet Network Information Center) chịu trách nhiệm theodõi các tên miền và các DNS server tương ứng INTERNIC là một tổchức được thành lập bởi NFS (National Science Foundation), AT&T vàNetwork Solution, chịu trách nhiệm đăng ký các tên miền của Internet.INTERNIC chỉ có nhiệm vụ quản lý tất cả các DNS server trên Internet chứkhông có nhiệm vụ phân giải tên cho từng địa chỉ

DNS có khả năng tra vấn các DNS server khác để có được một cái tên đã được phân giải

DNS server của mỗi tên miền thường có hai việc khác biệt Thứ nhất,chịu trách nhiệm phân giải tên từ các máy bên trong miền về các địa chỉInternet, cả bên trong lẫn bên ngoài miền nó quản lý Thứ hai, chúng trả lờicác DNS server bên ngoài đang cố gắng phân giải những cái tên bên trongmiền nó quản lý - DNS server có khả năng ghi nhớ lại những tên vừa phângiải Để dùng cho những yêu cầu phân giải lần sau Số lượng những tênphân giải được lưu lại tùy thuộc vào quy mô của từng DNS

1.3.3 Mail Server

E-mail (Electronic mail) là thư điện tử, là một hình thức trao đổi thư từ nhưngthông qua mạng Internet Dịch vụ này được sử dụng rất phổ biến và không đòi hỏi haimáy tính gửi và nhận phải kết nối online trên mạng

Tại mỗi Mail Server thông thường gồm hai dịch vụ: POP3 (Post Office Protocol 3) làmnhiệm vụ giáo tiếp mail giữa Mail Client và Mail Server, SMTP (Simple E-mail TransferProtocol) làm nhiệm vụ giao tiếp mail giữa các máy Mail Server

Exchange Server là phần mềm của hãng Microsoft, chạy trên các máy chủ, cho phép gửi

và nhận thư điện tử cũng như các dạng khác của truyền thông thông qua mạng máy tính.Được thiết kế chủ yếu để giao tiếp với Microsoft Outlook nhưng Exchange Server cũng

có thể giao tiếp tốt với các phần mềm khác như Outlook Express hay các ứng dụng thưđiện tử khác.

Exchange Server được thiết kế cho cả doanh nghiệp lớn và nhỏ với ưu điểm nổi trội là dễquản trị, hỗ trợ nhiều tính năng và có độ tin cậy cao

Tin nhắn được gửi từ các thiết bị Client như máy tính cá nhân (PC), máy trạm hay cácthiết bị di động như điện thoại di động, các thiết bị Client này kết nối với mạng máy tínhtập trung với Server hay các máy MainFrame là nơi lưu trữ các hộp thư Các Server kếtnối tới mạng Internet hoặc mạng riêng (private network) nơi thư điện tử được gửi tới đểnhận thư điện tử của người sử dụng

1.3.5 Truy cập từ xa (Telnet):

Telnet là dịch vụ có trong bất cứ hệ điều hành nào do vậy chúng được sử dụng ngaylúc chúng ra đời Telnet cho phép bạn đăng nhập vào hệ thống từ một thiết bị đầu cuốinào trên mạng Nó sử dụng để cung cấp các dịch vụ của Internet hoàn toàn giống như bạnquay số để nối trực tiếp vào Internet bằng modem

1.3.6 Mạng riêng ảo (VPN)

+ Khái niệm Virtual Private Network

Về căn bản, mỗi Virtual Private Network là một mạng riêng ảo sử dụng một

mạng chung (thường là Internet) để kết nối cùng với các site (các mạng riêng lẻ) haynhiều người sử dụng từ xa Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng nhưđường truyền (leased line), mỗi VPN sử dụng các kết nối ảo được dẫn đường qua Internet

từ mạng riêng các công ty với các site hay các nhân viên từ xa

VPN là mạng ảo nội bộ, người dùng khi đi công tác xa sử dụng VPN để nối tới cácdịch vụ đang chạy hoặc những chương trình cụ thể giống như đang ngồi tại văn phòng

Đó là lý do cho cái tên ảo

+ Các dạng giao thức của VPN

Có 3 dạng giao thức nổi bật được sử dụng trong VPN:

- IP Security (IPSec): Được phát triển bởi IETF, IPSec là một chuẩn mở đảmbảo chắc chắn quá trình trao đổi dữ liệu được an toàn với phương thức xác nhận ngườidùng qua mạng công cộng Không giống với những kỹ thuật mã hõa khác, IPSec thựchiện ở tầng thứ 7 trong mô hình OSI (Open System Interconnect), có thể chạy độc lập so

với các ứng dụng chạy trên mạng Vì thế hệ thống mạng sẽ được bảo mật hơn mà khôngcần dùng bất kỳ chương trình bảo mật nào.

- Point-to-point Tunneling Protocol (PPTP): Phát triển bởi Microsoft, 3COM, vàAscend Communications, PPTP là một sự chọn lựa để thay thế cho IPSec Tuy nhiênIPSec vẫn còn được sử dụng nhiều trong một số Tunneling Protocol PPTP thực hiện ởtầng thứ 2 (Data Link Layer)

- Layer 2 Tunneling Protocol (L2TP) được phát triển bởi Cisco System, L2TPđược dự định sẽ thay thế cho IPSec Tuy nhiên IPSec vẫn chiếm ưu thế hơn so về bảomật trên Internet L2TP là sự kết hợp giữa Layer 2 Forwarding (L2F) và PPTP và đượcdùng để rộng rãi để đóng gói frame sử dụng giao thức Point-to-Point để gửi qua các loạimạng như X.25, FR, ATM

+ Ưu điểm và nhược điểm của VPN

-Ưu điểm:

- Sự tin cậy : Người gửi có thể mã hoá các gói dữ liệu trước khi truyền chúngqua mạng công cộng Bằng cách làm như vậy, không một ai có thể truy cập thông tin màkhông được cho phép Và nếu có lấy được thì cũng không đọc được

- Tính toàn vẹn giữ liệu : người nhận có thể kiểm tra rằng dữ liệu đã đượctruyền qua mạng Internet mà không có sự thay đổi nào

- Xác thực nguồn gốc: Người nhận có thể xác thực nguồn gốc của gói dữ liệu,

đảm bảo và công nhận nguồn thông tin

- Giảm chi phí thường xuyên

- Tạo ra tính mềm dẻo trong việc quản lý mạng của công ty

- Đảm bảo an toàn thông tin và tính toàn vẹn dữ liệu

Nhược điểm:

- Phụ thuộc trong môi trường Internet

- Thiếu sự hỗ trợ một số giao thức kế thừa

1.3.7 World Wide Web:

World Wide Web (WWW) hay Web là một dịch vụ mới nhất và có hiệu quả nhấttrên Internet WWW với những đặc trưng của riêng nó cùng với tổ hợp các dịch vụ thôngtin đã biến nó trở thành một dịch vụ rất hữu ích nhưng lại rất dễ hiểu

Tài liệu WWW được viết bằng ngôn ngữ HTML (HyperText Markup Language)hay còn gọi là ngôn ngữ siêu văn bản Dưới dạng nguyên thủy nó giống như văn bản bìnhthường nhưng nó có thêm một số lệnh định dạng HTML bao gồm nhiều cách liên kết vớicác tài nguyên FTP, Gopher server, WAIS server và Web server Web server trao đổi cáctài liệu HTML bằng giao thức HTTP (HyperText Transfer Protocol) hay gọi là giao thứctruyền siêu văn bản

Việc dịch vụ WWW có thể cho phép kết nối các thông tin trên quy mô lớn, sử dụngđơn giản đã giúp nó trở thành một dịch vụ quan trọng trên Internet Tài liệu HTML cókhả năng cung cấp các nội dung có giá trị và các thông tin bổ ích,

CHƯƠNG II : BẢO MẬT MẠNG VÀO FIREWALL

Khi nguyên cứu một hệ thống mạng chúng ta cần phải kiểm soát vấn đề bảo mậtmạng ở các cấp độ sau:

 Mức mạng: Ngăn chặn kẻ xâm nhập bất hợp pháp vào hệ thống mạng

 Mức server: Kiểm soát quyền truy cập, các cơ chế bảo mật, quá trình nhận dạngngười dùng, phân quyền truy cập, cho phép các tác vụ

 Mức cơ sở dữ liệu: Kiểm soát ai? được quyền như thế nào? với mỗi cơ sở dữliệu

 Mức mật mã: Mã hoá toàn bộ file dữ liệu theo một phương pháp nào đó và chỉ chophép người có “ chìa khoá” mới có thể sử dụng được file dữ liệu

Router FireWall

Core Switch

Email server Database

Technology

Users DMZ

Hình : Sơ đồ mạng thông dụng hiện nay.

2.1.1 Các yếu tố cần quan tâm khi phân tích bảo mật mạng:

+ Vấn đề con người: Trong bảo mật mạng yếu tố con người cũng rất quan trọng.Khi nghiên cứu đến vấn đề bảo mật mạng cần quan tâm xem ai tham gia vào hệ thốngmạng, họ có tránh nhiệm như thế nào Ở mức độ vật lý khi một người không có thẩmquyền vào phòng máy họ có thể thực hiện một số hành vi phá hoại ở mức độ vật lý

+ Kiến trúc mạng: Kiến trúc mạng cũng là một vấn đề mà chúng ta cần phảiquan tâm khi nghiên cứu, phân tích một hệ thống mạng Chúng ta cần nghiên cứu hiệntrạng mạng khi xây dựng và nâng cấp mạng đưa ra các kiểu kiến trúc mạng phù hợp vớihiện trạng và cơ sở hạ tầng ở nơi mình đang định xây dựng

+ Phần cứng và phần mềm:

Mạng được thiết kế như thế nào Nó bao gồm những phần cứng và phần mềm nào

và tác dụng của chúng Xây dựng một hệ thống phần cứng và phần mềm phù hợp với hệthống mạng cũng là vấn đề cần quan tâm khi xây dựng hệ thống mạng Xem xét tínhtương thích của phần cứng và phần mềm với hệ thống và tính tương thích giữa chúng

2.1.2 Các yếu tố cần được bảo vệ :

+ Bảo vệ dữ liệu (tính bảo mật, tính toàn vẹn và tính kíp thời)

+ Bảo vệ tài nguyên sử dụng trên mạng để tránh sử dụng tài nguyên này vào mụcđính tấn công của kẻ khác

+ bảo vệ danh tiếng

2.2 Các kiểu tấn công mạng:

Cùng với sự phát triển nhanh chóng của mạng thì nó cũng để lại nhiều lỗ hổng đểhacker có thể tấn công Các thủ đoạn tấn công ngày càng trở nên tinh vi hơn Các phươngpháp tấn công thường gặp là :

2.2.1 Thăm dò(reconnaissance):

Đó chính là hình thức hacker gửi vài thông tin truy vấn về địa chỉ IP hoặc domainname bằng hình thức này hacker có thể lấy được thông tin về địa chỉ IP và domain name

từ đó thực hiện các biện pháp tấn công khác

2.2.2 Đánh lừa (IP spoofing):

Kỹ thuật này được sử dụng khi hacker giả mạo địa chỉ IP tin cậy trong mạng nhằmthực hiện việc chèn thông tin bất hợp pháp vào trong phiên làm việc hoặc thay đổi bảntin định tuyến để thu nhận các gói tin cần thiết

2.2.3 Tấn công từ chối dịch vụ (Denial of services):

Kiểu tấn công này nhằm tắc nghẽn mạng bằng cách hacker gửi các gói tin với tốc độcao và liên tục tới hệ thống bảo mật nhằm làm tê liện hệ thống chiếm hết băng thông sửdụng

2.2.4 Tấn công trực tiếp password:

Đó là kiểu tấn công trực tiếp vào username và password của người sử dụng nhằm ăncắp tài khoải sử dụng vào mục đích tấn công Hacker dùng phần mềm để tấn công (vị dụnhư Dictionary attacks)

2.2.5 Thám thính(agent):

Hacker sử dụng các các phần mềm vius, trojan thường dùng để tấn công vào máytrạm làm bước đệm để tấn công vào máy chủ và hệ thống Kẻ tấn công có thể nhận đượccác thông tin hữu ích từ máy nạn nhân thông qua các dịch vụ mạng

2.2.6 Tấn công vào yếu tố con người:

Hacker có thể tấn công vào các lỗ hổng do lỗi nhà quản trị hệ thống hoặc liên lạc với

nhà quản trị hệ thống giả mạo là người sủ dụng thay đổi username và password

Thông tin (Information)

2.3.1Quyền truy nhập:

Đây là lớp bảo vệ sâu nhất nhằm kiểm soát tài nguyên mạng kiểm soát ở mức độfile và việc xác định quyền hạn của người dùng do nhà quản trị quyết định như: chỉđọc( only read), chỉ ghi (only write), thực thi(execute)

2.3.2 Đăng nhập/Mật khẩu(login/password):

Đây là lớp bảo vệ mức độ truy nhập thông tin ở mức độ hệ thống Đây là mức độbảo vệ được sử dụng phổ biến nhất vì nó đơn giản và ít tốn kém Nhà quản trị cung cấpcho mỗi người dùng một username và password và kiểm soát mọi hoạt động của mạngthông qua hình thức đó Mỗi lần truy nhập mạng người dùng phải đăng nhập nhậpusername và password hệ thống kiểm tra thấy hợp lệ mới cho đăng nhập

2.3.3 Mã hóa dữ liệu(Data encryption):

Đó là sử dụng các phương pháp mã hoá dữ liệu ở bên phát và thực hiện giải mã ởbên thu bên thu chỉ có thể mã hóa chính xác khi có khoá mã hóa do bên phát cung cấp

2.3.4 Bảo vệ vật lý (Physical protect):

Đây là hình thức ngăn chạn nguy cơ truy nhập vật lý bất hợp pháp vào hệ thống nhưngăn cấm tuyệt đối người không phận sự vào phòng đặt máy mạng, dùng ổ khoá máytính, hoặc cài đặt cơ chế báo động khi có truy nhập vào hệ thống

2.3.5 Bức tường lửa (firewall):

Đây là hình thức ngăn chặn sự xâm nhập bất hợp pháp vào mạng nội bộ thông quafirewall Chức năng của tường lửa là ngăn chặn các truy nhập trái phép (theo danh sáchtruy nhập đã xác định trước) và thậm chí có thể lọc các gói tin mà ta không muốn gửi đihoặc nhận vào vì một lý do nào đó Phương thức bảo vệ này được dùng nhiều trong môitrường liên mạng Internet

2.4 Các biện pháp bảo vệ an toàn hệ thống:

Đối với mỗi hệ thống mạng, không nên cài đặt và chỉ sử dụng một chế độ an toàn cho

dù nó có thể rất mạnh, mà nên lắp đặt nhiều cơ chế an toàn khác nhau để chúng có thể hỗtrợ lẫn nhau và có thể đẳm bảo an toàn ở mức độ cao

2.4.1 Quyền hạn tối thiểu (Least Privilege):

Một nguyên tắc cơ bản nhất của an toàn nói chung là trao quyền tối thiểu Có nghĩalà: Bất kỳ một đối tượng nào trên mạng chỉ nên có những quyền hạn nhất định mà đốitượng đó cần phải có để thực hiện các nhiệm vụ của mình và chỉ có những quyền đó màthôi Như vậy, mọi người sử dụng đều không nhất thiết được trao quyền truy nhập mọidich vụ Internet, đọc và sửa đổi tất cả các file trong hệ thống… Người quản trị hệ thốngkhông nhất thiết phải biết các mật khẩu root hoặc mật khẩu của mọi người sử dụng …Nhiều vấn đề an toàn trên mạng Internet bị xem là thất bại khi thực hiện nguyên tắcQuyền hạn tối thiểu Vì vậy, các chương trình đặc quyền phải được đơn giản đến mức cóthể và nếu một chương trình phức tạp, ta phải tìm cách chia nhỏ và cô lập từng phần mà

nó yêu cầu quyền hạn.

2.4.2 Bảo vệ theo chiều sâu (Defense in Depth):

Đối với mỗi hệ thống, không nên cài đặt và chỉ sử dụng một chế độ an toàn cho dù nó

có thể rất mạnh, mà nên lắp đặt nhiều cơ chế an toàn để chúng có thể hỗ trợ lẫn nhau

2.4.4 Điểm xung yếu nhất (Weakest point):

Một nguyên tắc cơ bản khác của an toàn là: “Một dây xích chỉ chắc chắn khi mắt nốiyếu nhất được làm chắc chắn” Khi muốn thâm nhập vào hệ thống của chúng ta, kẻ độtnhập thường tìm điểm yếu nhất để tấn công vào đó Do vậy, với từng hệ thống, cần phảibiết điểm yếu nhất để có phương án bảo vệ

2.4.5 Hỏng trong an toàn (Fail–Safe Stance):

Nếu một hệ thống chẳng may bị hỏng thì nó phải được hỏng theo một cách nào đó đểngăn chặn những kẻ lợi dụng tấn công vào hệ thống hỏng đó Đương nhiên, việc hỏngtrong an toàn cũng hủy bỏ sự truy nhập hợp pháp của người sử dụng cho tới khi hệ thốngđược khôi phục lại

Nguyên tắc này cũng được áp dụng trong nhiều lĩnh vực Chẳng hạn, cửa ra vào tựđộng được thiết kế để có thể chuyển sang mở bằng tay khi nguồn điện cung cấp bị ngắt

để tránh giữ người bên trong

Dựa trên nguyên tắc này, người ta đưa ra hai quy tắc để áp dụng vào hệ thống an toàn:

- Default deny Stance: Chú trọng vào những cái được phép và ngăn chặn tất cả nhữngcái còn lại

- Default permit Stance: Chú trọng vào những cái bị ngăn cấm và cho phép tất cảnhững cái còn lại Những gì không bị ngăn cấm thì được phép

Theo quan điểm về vấn đề an toàn trên thì nên dùng quy tắc thứ nhất, còn theo quanđiểm của các nhà quản lý thì lại là quy tắc thứ hai

2.4.6 Sự tham gia toàn cầu:

Để đạt được hiệu quả an toàn cao, tất cả các hệ thống trên mạng toàn cầu phải thamgia vào giải pháp an toàn Nếu tồn tại một hệ thống có cơ chế an toàn kém, người truynhập bất hợp pháp có thể truy nhập vào hệ thống này và sau đó dùng chính hệ thống này

để truy nhập vào các hệ thống khác

2.4.7 Kết hợp nhiều biện pháp bảo vệ:

Trên liên mạng, có nhiều loại hệ thống khác nhau được sử dụng, do vậy, phải cónhiều biện pháp bảo vệ để đảm bảo chiến lược bảo vệ theo chiều sâu Nếu tất cả các hệ

thống của chúng ta đều giống nhau và một người nào đó biết cách thâm nhập vào một hệthống thì cũng có thể thâm nhậo được vào các hệ thống khác.

2.4.8 Đơn giản hóa:

Nếu ta không hiểu một cái gì đó, ta cũng không thể biết được liệu nó có an toàn haykhông Chính vì vậy, ta cần phải đơn giản hóa hệ thống để có thể áp dụng các biện pháp

an toàn một cách hiệu quả hơn

2.5 Các chính sách bảo mật:

Kế hoạch an toàn thông tin phải tính đến các nguy cơ từ bên ngoài và từ trong nội

bộ, đồng thời phải kết hợp cả các biện pháp kỹ thuật và các biện pháp quản lý Sau đây làcác bước cần tiến hành:

• Xác định các yêu cầu và chính sách an toàn thông tin: Bước đầu tiên trong kế hoạch

an toàn thông tin là xác định các yêu cầu truy nhập và tập hợp những dịch vụ cung cấpcho người sử dụng trong và ngoài cơ quan, trên cơ sở đó có được các chính sách tươngứng

• Thiết kế an toàn vòng ngoài: Việc thiết kế dựa trên các chính sách an toàn được xácđịnh trước Kết quả của bước này là kiến trúc mạng cùng với các thành phần phần cứng

và phần mềm sẽ sử dụng Trong đó cần đặc biệt chú ý hệ thống truy cập từ xa và cơ chếxác thực người dùng

• Biện pháp an toàn cho các máy chủ và máy trạm: Các biện pháp an toàn vòng ngoài,

dù đầy đủ đến đâu, cũng có thể không đủ để chống lại sự tấn công, đặc biệt là sự tấn công

từ bên trong Cần phải kiểm tra các máy chủ và máy trạm để phát hiện những sơ hở vềbảo mật Đối với Filewall và các máy chủ ở ngoài cần kiểm tra những dạng tấn công(denial of service)

• Kiểm tra thường kỳ: Cần có kế hoạch kiểm tra định kỳ toàn bộ hệ thống an toànthông tin, ngoài ra cần kiểm tra lại mỗi khi có sự thay đổi về cấu hình

2.5.1 Kế hoạch bảo mật mạng:

Có một chính sách bảo mật mạng đúng đắn và hiệu quả để có thể bảo vệ các thông tin,các tài nguyên của một công ty, tổ chức nói riêng hay của một bộ, ngành, của một quốc gianói chung là vấn đề hết sức quan trọng Nếu như các tài nguyên và thông tin mà công ty đó

có trên mạng là đáng được bảo vệ thì một chính sách bảo mật mạng là đáng được thựchiện Hầu hết các cơ quan đều có các thông tin nhạy cảm và các bí mật cạnh tranh trênmạng máy tính của họ, vì vậy chúng ta sẽ cần một chính sách bảo mật mạng đề bảo vệ tàinguyên và thông tin của công ty

Để có một chính sách bảo mật mạng hiệu quả thì chúng ta phải trả lời được câu hỏi:loại dịch vụ nào, loại tài nguyên nào người dùng được phép truy nhập và loại nào thì bịcấm?

2.5.2 Chính sách bảo mật nội bộ:

Một tổ chức có thể có nhiều bộ phận ở nhiều nơi, mỗi bộ phận có mạng riêng Nếu tổchức lớn thì mỗi mạng phải có ít nhất một người quản trị mạng Nếu các nơi không nốivới nhau thành mạng nội bộ thì chính sách an ninh cũng có những điểm khác nhau

Thông thường thì tài nguyên mạng ở mỗi nơi bao gồm:

• Thông tin trong các tệp và các CSDL

Chính sách an ninh tại chỗ phải cân nhắc đến việc bảo vệ các tài nguyên này Đồngthời cũng phải cân nhắc giữa các yêu cầu an ninh với các yêu cầu kết nối mạng bởi vìmột chính sách bảo vệ tốt cho mạng này lại bất lợi cho mạng khác

2.5.3 Phương thức thiết kế:

Tạo ra một chính sách mạng có nghĩa là lập nên các thủ tục và kế hoạch bảo vệ tàinguyên của chúng ta khỏi mất mát và hư hại Một hướng tiếp cận khả thi là trả lời các câuhỏi sau :

• Chúng ta muốn bảo vệ tài nguyên nào ?

• Chúng ta cần bảo vệ tài nguyên trên khỏi những người nào ?

• Có các mối đe doạ như thế nào ?

• Tài nguyên quan trọng tới mức nào ?

• Chúng ta sẽ dùng cách nào để bảo vệ tài nguyên theo cách tiết kiệm và hợp lý nhất

• Kiểm tra lại chính sách theo chu kỳ nào để phù hợp với các thay đổi về mục đíchcũng như về hiện trạng của mạng ?

2.5.4 Thiết kế chính sách bảo mật mạng:

2.5.4.1 Phân tích nguy cơ mất an ninh:

Trước khi thiết lập chính sách ta cần phải biết rõ tài nguyên nào cần được bảo vệ, tức

là tài nguyên nào có tầm quan trọng lớn hơn để đi đến một giải pháp hợp lý về kinh tế.Đồng thời ta cũng phải xác định rõ đâu là nguồn đe doạ tới hệ thống Nhiều nghiên cứucho thấy rằng, thiệt hại do những kẻ “đột nhập bên ngoài” vẫn còn nhỏ hơn nhiều so với

sự phá hoại của những “người bên trong” Phân tích nguy cơ bao gồm những việc :

• Ta cần bảo vệ những gì ?

• Ta cần bảo vệ những tài nguyên khỏi những gì ?

• Làm thế nào để bảo vệ ?

2.5.4.2 Xác định tài nguyên cần bảo vệ:

Khi thực hiện phân tích ta cũng cần xác định tài nguyên nào có nguy cơ bị xâm phạm.Quan trọng là phải liệt kê được hết những tài nguyên mạng có thể bị ảnh hưởng khi gặpcác vấn đề về an ninh

- Phần cứng: Vi xử lý, bản mạch, bàn phím, terminal, trạm làm việc, máy tính cácnhân, máy in, ổ đĩa, đường liên lạc, server, router

- Phần mềm: Chương trình nguồn, chương trình đối tượng, tiện ích, chương trìnhkhảo sát, hệ điều hành, chương trình truyền thông.

- Dữ liệu: Trong khi thực hiện, lưu trữ trực tuyến, cất giữ off–line, backup, các nhật

ký kiểm tra, CSDL truyền trên các phương tiện liên lạc

- Con người: Người dùng, người cần để khởi động hệ thống

- Tài liệu: Về chương trình , về phần cứng, về hệ thống, về thủ tục quản trị cục bộ

- Nguồn cung cấp: giấy in, các bảng biểu, băng mực, thiết bị từ

2.5.4.3 Xác định các mối đe dọa bảo mật mạng:

Sau khi đã xác định những tài nguyên nào cần được bảo vệ, chúng ta cũng cần xácđịnh xem có các mối đe doạ nào nhằm vào các tài nguyên đó Có thể có những mối đedọa sau:

 Truy nhập bất hợp pháp:

Chỉ có những người dùng hợp pháp mới có quyền truy nhập tài nguyên mạng, khi đó

ta gọi là truy nhập hợp pháp Có rất nhiều dạng truy nhập được gọi là bất hợp pháp chẳnghạn như dùng tài khoản của người khác khi không được phép Mức độ trầm trọng củaviệc truy nhập bất hợp pháp tuỳ thuộc vào bản chất và mức độ thiệt hại do truy nhập đógây nên

 Để lộ thông tin:

Để lộ thông tin do vô tình hay cố ý cũng là một mối đe dọa khác Chúng ta nên định racác giá trị để phản ánh tầm quan trọng của thông tin Ví dụ đối với các nhà sản xuất phầnmềm thì đó là: mã nguồn, chi tiết thiết kế, biểu đồ, thông tin cạnh tranh về sản phẩm Nếu

để lộ các thông tin quan trọng, tổ chức của chúng ta có thể bị thiệt hại về các mặt như uy tín,tính cạnh tranh, lợi ích khách hàng

 Từ chối cung cấp dịch vụ:

Mạng thường gồm những tài nguyên quý báu như máy tính, CSDL và cung cấp cácdịch vụ cho cả tổ chức Đa phần người dùng trên mạng đều phụ thuộc vào các dịch vụ đểthực hiện công việc được hiệu quả

Chúng ta rất khó biết trước các dạng từ chối của một dịch vụ Có thể tạm thời liệt kê

ra một số lỗi mạng bị từ chối: quá tải đường truyền, router bị vô hiệu hóa, do virus

2.5.4.4 Xác định trách nhiệm người sử dụng mạng:

 Ai được quyền dùng tài nguyên mạng:

Ta phải liệt kê tất cả người dùng cần truy nhập tới tài nguyên mạng Không nhất thiếtliệt kê toàn bộ người dùng Nếu phân nhóm cho người dùng thì việc liệt kê sẽ đơn giảnhơn Đồng thời ta cũng phải liệt kê một nhóm đặc biệt gọi là các người dùng bên ngoài,

đó là những người truy nhập từ một trạm đơn lẻ hoặc từ một mạng khác

 Sử dụng tài nguyên thế nào cho đúng:

Sau khi xác định những người dùng được phép truy nhập tài nguyên mạng, chúng taphải tiếp tục xác định xem các tài nguyên đó sẽ được dùng như thế nào Như vậy ta phải

đề ra đường lối cho từng lớp người sử dụng như: Những nhà phát triển phần mềm, sinhviên, những người sử dụng ngoài

 Ai có quyền cấp phát truy nhập:

Chính sách an ninh mạng phải xác định rõ ai có quyền cấp phát dịch vụ cho ngườidùng Đồng thời cũng phải xác định những kiểu truy nhập mà người dùng có thể cấp phátlại Nếu đã biết ai là người có quyền cấp phát truy nhập thì ta có thể biết được kiểu truynhập đó được cấp phát, biết được người dùng có được cấp phát quá quyền hạn không Taphải cân nhắc hai điều sau:

- Truy nhập dịch vụ có được cấp phát từ một điểm trung tâm không?

- Phương thức nào được dùng để tạo tài khoản mới và kết thúc truy nhập?

Nếu một tổ chức lớn mà không tập trung thì tất nhiên là có nhiều điểm trung tâm đểcấp phát truy nhập, mỗi điểm trung tâm phải chịu trách nhiệm cho tất cả các phần mà nócấp phát truy nhập

 Người dùng có quyền hạn và trách nhiệm gì:

Cần phải xác định rõ quyền lợi và nghĩa vụ của người sử dụng nhằm đảm bảo choviệc quản lý và hoạt động bình thường của mạng Đảm bảo tính minh bạch và riêng tưcho người dùng, cũng như người dùng phải có trách nhiệm bảo tài khoản của mình

 Người quản trị hệ thống có quyền hạn và trách nhiệm gì:

Người quản trị hệ thống thường xuyên phải thu thập thông tin về các tệp trong các thưmục riêng của người dùng để tìm hiểu các vấn đề hệ thống Ngược lại, người dùng phảigiữ gìn bí mật riêng tư về thông tin của họ Nếu an ninh có nguy cơ thì người quản trịphải có khả năng linh hoạt để giải quyết vấn đề

 Làm gì với các thông tin quan trọng: Theo quan điểm an ninh, các dữ liệu cực kỳ

quan trọng phải được hạn chế, chỉ một số ít máy và ít người có thể truy nhập Trước khicấp phát truy nhập cho một người dùng, phải cân nhắc xem nếu anh ta có khả năng đó thìanh ta có thể thu được các truy nhập khác không Ngoài ra cũng phải báo cho người dùngbiết là dịch vụ nào tương ứng với việc lưu trữ thông tin quan trọng của anh ta

 2.5.4.5 Kế hoạch hành động khi chính sách bị vi phạm:

Mỗi khi chính sách bị vi phạm cũng có nghĩa là hệ thống đứng trước nguy cơ mất anninh Khi phát hiện vi phạm, chúng ta phải phân loại lý do vi phạm chẳng hạn như dongười dùng cẩu thả, lỗi hoặc vô ý, không tuân thủ chính sách

 Phản ứng khi có vi phạm:

Khi vi phạm xảy ra thì mọi người dùng có trách nhiệm đều phải liên đới Ta phải định

ra các hành động tương ứng với các kiểu vi phạm Đồng thời mọi người đều phải biết cácquy định này bất kể người trong tổ chức hoặc người ngoài đến sử dụng máy Chúng taphải lường trước trường hợp vi phạm không cố ý để giải quyết linh hoạt, lập các sổ ghichép và định kỳ xem lại để phát hiện các khuynh hướng vi phạm cũng như để điều chỉnhcác chính sách khi cần

 Phản ứng khi người dùng cục bộ vi phạm:

Người dùng cục bộ có các vi phạm sau:

- Vi phạm chính sách cục bộ

- Vi phạm chính sách của các tổ chức khác

Trường hợp thứ nhất chính chúng ta, dưới quan điểm của người quản trị hệ thống sẽ tiếnhành việc xử lý Trong trường hợp thứ hai phức tạp hơn có thể xảy ra khi kết nối Internet,chúng ta phải xử lý cùng các tổ chức có chính sách an ninh bị vi phạm.

 Chiến lược phản ứng:

Chúng ta có thể sử dụng một trong hai chiến lược sau:

- Bảo vệ và xử lý

- Theo dõi và truy tố

Trong đó, chiến lược thứ nhất nên được áp dụng khi mạng của chúng ta dễ bị xâmphạm Mục đích là bảo vệ mạng ngay lập tức xử lý, phục hồi về tình trạng bình thường đểngười dùng tiếp tục sử dụng được, như thế ta phải can thiệp vào hành động của người viphạm và ngăn cản không cho truy nhập nữa Đôi khi không thể khôi phục lại ngay thìchúng ta phải cách ly các phân đoạn mạng và đóng hệ thống để không cho truy nhập bấthợp pháp tiếp tục

2.5.4.6 Xác định các lỗi an ninh:

Ngoài việc nêu ra những gì cần bảo vệ, chúng ta phải nêu rõ những lỗi gì gây ra mất

an ninh và làm cách nào để bảo vệ khỏi các lỗi đó Trước khi tiến hành các thủ tục anninh, nhất định chúng ta phải biết mức độ quan trọng của các tài nguyên cũng như mức

độ của nguy cơ

a Lỗi điểm truy nhập:

Lỗi điểm truy nhập là điểm mà những người dùng không hợp lệ có thể đi vào hệthống, càng nhiều điểm truy nhập càng có nguy có mất an ninh

b Lỗi cấu hình hệ thống:

Khi một kẻ tấn công thâm nhập vào mạng, hắn thường tìm cách phá hoại các máy trên

hệ thống Nếu các máy được cấu hình sai thì hệ thống càng dễ bị phá hoại Lý do của việccấu hình sai là độ phức tạp của hệ điều hành, độ phức tạp của phần mềm đi kèm và hiểubiết của người có trách nhiệm đặt cấu hình Ngoài ra, mật khẩu và tên truy nhập dễ đoáncũng là một sơ hở để những kẻ tấn công có cơ hội truy nhập hệ thống

c Lỗi phần mềm:

Phần mềm càng phức tạp thì lỗi của nó càng phức tạp Khó có phần mềm nào màkhông gặp lỗi Nếu những kẻ tấn công nắm được lỗi của phần mềm, nhất là phần mềm hệthống thì việc phá hoại cũng khá dễ dàng Người quản trị cần có trách nhiệm duy trì cácbản cập nhật, các bản sửa đổi cũng như thông báo các lỗi cho người sản xuất chươngtrình

d Lỗi người dùng nội bộ:

Người dùng nội bộ thường có nhiều truy nhập hệ thống hơn những người bên ngoài,nhiều truy nhập tới phần mềm hơn phần cứng do đó đễ dàng phá hoại hệ thống Đa số cácdịch vụ TCP/IP như Telnet, FTP, … đều có điểm yếu là truyền mật khẩu trên mạng màkhông mã hoá nên nếu là người trong mạng thì họ có khả năng rất lớn để có thể dễ dàngnắm được mật khẩu với sự trợ giúp của các chương trình đặc biệt

e Lỗi an ninh vật lý:

Các tài nguyên trong các trục xương sống (backbone), đường liên lạc, Server quantrọng đều phải được giữ trong các khu vực an toàn về vật lý An toàn vật lý có nghĩa làmáy được khoá ở trong một phòng kín hoặc đặt ở những nơi người ngoài không thể truynhập vật lý tới dữ liệu trong máy

II : FIREWALL

2.6 Tìm hiểu về Firewall

2.6.1 Khái niệm Firewall

Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng đểngăn chặn, hạn chế hỏa hoạn Trong công nghệ mạng thông tin, Firewall làmột kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập tráiphép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhậpkhông mong muốn vào hệ thống Cũng có thể hiểu Firewall là một cơ chếbảo vệ mạng tin tưởng khỏi các mạng không tin tưởng

Internet Firewall là một thiết bị (Phần cứng + Phần mềm) giữa mạng củamột tổ chức, một công ty, một quốc gia (Intranet) và Internet Nó thực hiệnvai trò bảo mật các thông tin Intranet từ thế giới Internet bên ngoài

Phân loại và đặc điểm Firewall

Firewall cứng

Là những firewall được tích hợp trên Router

Hình : Minh họa Firewall cứng

Đặc điểm của Firewall cứng:

- Không được linh hoạt như Firewall mềm: (Không thể thêm chức năng, thêmquy tắc như firewall mềm)

- Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Network và tầng Transport)

- Firewall cứng không thể kiểm tra được nột dung của gói tin

Ví dụ :Firewall cứng: NAT (Network Address Translate).

2.6.2.1 Firewall mềm

Là những Firewall được cài đặt trên Server

Hình : Minh họa Firewall mềm

-Đặc điểm của Firewall mềm:

- Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng

- Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứng dụng)

- Firewal mềm có thể kiểm tra được nội dung của gói tin

Ví dụ về Firewall mềm: ISA Server 2006, Zone Alarm, Norton Firewall, Internet security acceleration …

2.6.3 Vì sao cần Firewall

Hình : Các luồng dữ trao đổi dữ liệu từ PC ra Internet và ngược lại khi có

Firewall và không có Firwall

Nếu máy tính của bạn không được bảo vệ, khi bạn kết nối Internet, tất cả các giao thông ra vào mạng đều được cho phép, vì thế hacker, trojan, virus có thể truy cập và lấy cắp thông tin cá nhân cuả bạn trên máy tính Chúng có thể cài đặt các đoạn mã để tấn công file dữ liệu trên máy tính Đồng thời chúng còn

sử dụng máy tính cuả bạn để tấn công một máy tính của gia đình hoặc doanh nghiệp khác kết nối Internet Một firewall có thể giúp bạn thoát khỏi gói tin hiểm độc trước khi nó đến

2.6.4 Chức năng

Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet

và Internet Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong Intranet và mạng Internet Cụ thể là:

- Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet)

- Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet

vào Intranet)

- Theo dõi luồng dữ liệu mạng giữa Internet và Intranet

- Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập

- Kiểm soát người sử dụng và việc truy nhập của người sử dụng

- Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng

2.6.5 Nhiệm vụ Firewall

Nhiệm vụ cơ bản của FireWall là bảo vệ những vấn đề sau :

- Dữ liệu : Những thông tin cần được bảo vệ do những yêu cầu sau:

- Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không

"đi qua" nó Một cách cụ thể, firewall không thể chống lại một cuộc tấn công từ

một đường dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm.

- Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-driven attack) Khi có một số chương trình được chuyển theo thư điện tử, vượt qua firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây

- Một ví dụ là các virus máy tính Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của firewall

 Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi

2.6.7 Các thành phần của Firewall và nguyên lý hoạt động

Firewall chuẩn bao gồm một hay nhiều các thành phần sau đây:

- Bộ lọc packet (packet-filtering router)

- Cổng ứng dụng (application-level gateway hay proxy server)

- Cổng mạch (circuite level gateway)

2.6.7.1Bộ lọc gói (Packet Filtering)

a Nguyên lý hoạt động.

Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông quaFirewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thứcTCI/IP Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhậnđược từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụchạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS ) thành các gói

dữ liệu (data pakets) rồi gán cho các paket này những địa chỉ để có thể nhậndạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quanrất nhiều đến các packet và những con số địa chỉ của chúng.Bộ lọc packetcho phép hay từ chối mỗi packet mà nó nhận được Nó kiểm tra toàn bộđoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong sốcác luật lệ của lọc packet hay không Các luật lệ lọc packet này là dựa trêncác thông tin ở đầu mỗi packet (packet header),

dùng để cho phép truyền các packet đó ở trên mạng Đó là:

- Địa chỉ IP nơi xuất phát ( IP Source address)

- Địa chỉ IP nơi nhận (IP Destination address)

- Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)

- Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)

- Cổng TCP/UDP nơi nhận (TCP/UDP destination port)

- Dạng thông báo ICMP ( ICMP message type)

- Giao diện packet đến ( incomming interface of packet).

- Giao diện packet đi ( outcomming interface of packet)

Nếu luật lệ lọc packet được thoả mãn thì packet được chuyển quafirewall Nếu không packet sẽ bị bỏ đi Nhờ vậy mà Firewall có thể ngăncản được các kết nối vào các máy chủ hoặc mạng nào đó được xác định,hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉkhông cho phép Hơn nữa, việc kiểm soát các cổng làm cho Firewall cókhả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủnào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP ) đượcphép mới chạy được trên hệ thống mạng cục bộ

b.Ưu điểm và hạn chế

- Ưu điểm

Đa số các hệ thống firewall đều sử dụng bộ lọc packet Một trong những ưuđiểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọcpacket đã được bao gồm trong mỗi phần mềm router Ngoài ra, bộ lọcpacket là trong suốt đối với người sử dụng và các ứng dụng, vì vậy nókhông yêu cầu sự huấn luyện đặc biệt nào cả

- Hạn chế

Việc định nghĩa các chế độ lọc packet là một việc khá phức tạp; đòi hỏi ngờiquản trị mạng cần có hiểu biết chi tiết về các dịch vụ Internet, các dạngpacket header, và các giá trị cụ thể có thể nhận trên mỗi trường Khi đòihỏi về sự lọc càng lớn, các luật lệ về lọc càng trở nên dài và phức tạp, rấtkhó để quản lý và điều khiển Do làm việc dựa trên header của các packet,

rõ ràng là bộ lọc packet không kiểm soát được nội dung thông tin củapacket Các packet chuyển qua vẫn có thể mang theo những hành động với

ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu