BÀI TẬP LỚN MẠNG TRUYỀN THƠNG Đề 01: Tìm hiểu hệ thống FireWall hệ điều hành Window LỜI NĨI ĐẦU An tồn thơng tin nhu cầu quan trọng cá nhân xã hội quốc gia thể giới Mạng máy tính an tồn thơng tin tiến hành thơng qua phương pháp vật lý hành Từ đời mạng máy tính đem lại hiệu vô to lớn tất lĩnh vực đời sống Bên cạnh người sử dụng phải đối mặt với hiểm họa thông tin mạng họ bị công An tồn thơng tin mạng máy tính bao gồm phương pháp nhằm bảo vệ thông tin lưu giữ truyền mạng An tồn thơng tin mạng máy tính lĩnh vực quan tâm đặc biệt đồng thời công việc khó khăn phức tạp Thực tế chứng tỏ có tình trạng đáng lo ngại bị tẩn cơng thơng tin q trình xử lý, truyền lưu giữ thông tin Những tác động bất hợp pháp lên thơng tin với mục đích làm tổn thất, sai lạc, lấy cắp tệp lưu giữ tin, chép thông tin mật, giả mạo người phép sử dụng thông tin mạng máy tính Tường lửa khơng dạng phần mềm (như tường lửa Windows), mà cịn phần cứng chuyên dụng mạng doanh nghiệp Các tường lửa phần cứng giúp máy tính cơng ty có thê phân tích liệu đê đảm bảo mahvare thâm nhập vào mạng, kiểm sốt hoạt động máy tính mà nhân viên họ sử dụng Nó lọc liệu phép máy tính lướt web, vơ hiệu hóa việc truy cập vào loại liệu khác CHƯƠNG 1: TỔNG QUAN VỀ FIREWALL Khái niệm Thuật ngữ Firewall có nguồn gốc từ kỹ thuật thiết kế xây dựng để ngăn chặn, hạn chế hỏa hoạn Trong công nghệ thông tin, Firewall kỹ thuật tích hợp vào hệ thống mạng để chống truy nhập trái phép, nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập không mong muốn vào hệ thống Firewall miêu tả hệ thống phòng thủ bao quanh với “chốt” để kiểm sốt tất luồng lưu thơng nhập xuất Có thể theo dõi khóa truy cập chốt Hình 1.1 :Firewall đặt mạng riêng mạng công cộng Các mạng riêng Internet thường bị đe dọa kẻ công Để bảo vệ liệu bên người ta thường dùng Firewall Firewall có cách phép người dùng hợp lệ qua chặn lại người dùng khơng hợp lệ Firewall thiết bị phần cứng chương trình phần mềm chạy host bảo đảm kết hợp hai Trong trường hợp, phải có hai giao tiếp mạng, cho mạng mà bảo vệ, cho mạng bên ngồi Firewall gateway điểm nối liền hai mạng, thường mạng riêng mạng công cộng Internet Các Firewall router đơn giản Chức Chức Firewall kiểm sốt luồng thông tin từ Internet Internet Thiết lập chế điều khiển dịng thơng tin mạng bên (Intranet) mạng Internet Cụ thể là: • • Cho phép cấm dịch vụ truy nhập (từ Intranet Internet) Cho phép cấm dịch vụ phép truy nhập vào (từ Internet vào Intranet) Theo dõi luồng liệu mạng Internet Intranet Kiểm soát địa truy nhập, cấm địa truy nhập Kiểm soát người sử dụng việc truy nhập người sử dụng Kiểm sốt nội dụng thơng tin thông tin lưu chuyển mạng Phân loại 3.1 Firewall cứng • • • • Tường lửa phần cứng lựa chọn hợp lý bạn dùng phiên Windows trước Nhiều điểm truy cập (access point) không dây sử dụng cho mạng gia đình đóng gói dạng tổng hợp tất một, tích hợp tường lửa phần cứng với broadband router Việc dùng tường lửa cho hệ thống mạng bạn đơn giản việc thêm máy trả lời điện thoại vào đường điện thoại bạn Bạn cần đặt tường lửa vào kết nối Ethernet modem cáp/DSL máy tính bạn (Đúng với hầu hết loại tường lửa) Hình 1.2: Firewall kết nối Enthernet modem cáp/DSL máy tính Đặc điểm Firewall cứng: • • • • • Không linh hoạt Firewall mềm: (Không thể thêm chức năng, thêm quy tắc firewall mềm) Có thể quản ý tập trung Đơn giản, dễ lắp đặt, cấu hình, quản lý Firewall cứng hoạt động tầng thấp Firewall mềm (Tầng Network tầng Transport) Firewall cứng kiểm tra nội dung gói tin Ví dụ Firewall cứng: NAT (Network Address Translate) 3.2 Firewall mềm Có nhiều nhà cung cấp Tường lửa phần mềm mà bạn sử dụng bạn dùng phiên Windows trước Các nhà cung cấp có loại tường lửa khác sử dụng Windows Dưới danh sách số nhà cung cấp: • Internet Security Systems (ISS): BlackICE PC Protection • • • • Network Asociates: McAfee Personal Firewall Symantec: Norton Personal Firewall Tiny Software: Tiny Personal Firewall Zone Labs: ZoneAlarm Đặc điểm Firewall mềm: Tính linh hoạt cao thêm, bớt quy tắc, chức Firewall mềm hoạt động tầng cao Firewall cứng (tầng ứng dụng) Firewall mềm kiểm tra nội dụng gói tin (thơng qua từ khóa) Ví dụ Firewall mềm: Zone Alarm, Norton Firewall… Nguyên lý hoạt động Firewall Firewall hoạt động chặc chẽ với giao thức TCP/IP, giao thức làm việc theo thuật toán chia nhỏ liệu nhận từ ứng dụng mạng, hay nói xác dịch vụ chạy giao thức (Telnet, SMTP, DNS, SMNP,NFS…) thành gói liệu (data packets) gán cho packet địa nhận dạng, tái lập lại đích cần gửi đến, loại Firewall liên quan nhiều đến packet số địa chúng Bộ lọc packet cho phép hay từ chỗi packet mà nhận Nó kiểm tra tồn liệu để định xem đoạn liệu có thỏa mãn số luật lệ lọc packet hay không Các luật lệ lọc packet dựa thông tin đầu packet (header), dùng phép truyền packet mạng Bao gồm: • • • • • • • • Địa Ip nơi xuất phát (Source) Địa IP nơi nhận (Destination) Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel …) Cổng TCP/UDP nơi xuất phát Cổng TCP/UDP nơi nhận Dạng thông báo ICMP Giao diện packet đến Giao diện packet Nếu packet thỏa luật lệ thiết lập trước Firewall packet chuyển qua, khơng thỏa bị loại bỏ Việc kiểm soát cổng làm cho Firewall có khả có phép số loại kết nối định phép vào hệ thống mạng cục Cũng nên lưu ý việc kiểm tra dựa header packet nên bọ lọc khơng kiểm sốt nội dung thơng tin packet Các packet chuyển qua mang theo hành động với ý đồ ăn cắp thông tin phá hoại kẻ xấu Trong phần sau tìm hiểu kỹ thuật để vượt tường lửa 5 Ứng dụng Firewall Hình 1.3: Firewall bảo vệ máy tính Nếu máy tính bạn không bảo vệ, bạn kết nối Internet, tất giao thông vào mạng cho phép, hacker, trojan, virus co thể truy cập lấy cắp thông tin cá nhân bạn máy tính Chúng cài đặt đoạn mã để cơng file liệu máy tính Chúng sử dụng máy tính bạn để cơng máy tính khác gia đình doanh nghiệp khác kết nối Internet Một firewall giúp bạn khỏi gói tin hiểm độc trước đến hệ thống bạn 5.1 Firewall bảo vệ ? Nhiệm vụ Firewall bảo vệ vấn đề sau: Dữ liệu: Những thông tin cần bảo vệ yêu cầu tính bảo mật, tính tồn vẹn tính kịp thời • Tài ngun hệ thống • Danh tiếng cơng ty sở hữu thơng tin cần bảo vệ • 5.2 Firewall bảo vệ chống lại ? Firewall hệ thống bảo vệ chống lại công từ bên ngồi Tấn cơng trực tiếp: • Cách thứ dùng phương pháp dò mật trực tiếp Thơng qua chương trình dị tìm mật với số thông tin người sử dụng ngày sinh, tuổi, địa v.v…và kết hợp với thư viện người dùng tạo ra, kẻ cơng dò mật bạn Trong số trường hợp khả thành cơng lên tới 30% • Cách thứ hai sử dụng lỗi chương trình ứng dụng thân hệ điều hành sử dụng từ vụ công để chiếm quyền truy cập (có quyền người quản trị hệ thống) Nghe trơm: Có thể biết tên, mật khẩu, thơng tin truyền qua mạng thơng qua chương trình cho phép đưa vi giao tiếp mạng (NIC) vào chế độ nhận tồn thơng tin lưu truyền qua mạng Giả mạo địa IP: Là Hacker thường dùng cách để mạo danh máy tính hợp pháp nhằm chiếm quyền điều khiển trình duyệt web máy tính bị cơng Vơ hiệu hóa chức hệ thống (deny service): Đây kiểu công nhằm tê liệt tồn hệ thống khơng cho thực chức mà thiết kế Kiểu công ngăn chặn phương tiện tổ chức cơng phương tiện để làm việc truy nhập thông tin mạng Lỗi người quản trị hệ thống: Yếu tố người với tính cách chủ quan khơng hiểu rõ tầm quan trọng việc bảo mật hệ thống nên dễ dàng để lộ thông tin quan trọng cho hacker Ngày nay, trình độ hacker ngày giỏi hơn, hệ thống mạng chậm chạp việc xử lý lỗ hổng Điều địi hỏi người quản trị mạng phải có kiến thức tốt bảo mật mạng để giữ vững an tồn cho thơng tin hệ thống Đối với người dùng nhân, họ biết hết thủ thuật để tự xây dựng cho Firewal, nên hiểu rõ tầm quan trọng bảo mật thông tin cho cá nhân Qua tự tìm hiểu để biết số cách phịng tránh cơng đơn giản hacker Vấn đề la ý thức, có ý thức để phịng ttránh khả an toàn cao CHƯƠNG II: NHỮNG THIẾT KẾ CƠ BẢN CỦA FIREWALL Dual-homed Host Firewall kiến trúc kiểu Dual- homed host xây dựng dựa máy tính dualhomed host Một máy tính gọi dual-homed host có hai network interface, có nghĩa máy có gắn hai card mạng giao tiếp hai mạng khác nhau, máy tính đỏng vai trị router mềm Kiến trúc dual - homed host đơn giản, máy dual - homod host giữa, bên nối với internet bên lại nối với mạng nội (mạng cần bảo vệ) Gồm có đặc điểm sau: Phải disable chức louting dual-homed host để cấm hịan tồn lưu thơng IP từ ngịai vào o Các hệ thống bên bên dual-homed host có thê liên lạc với dualhomed host mà chúng khơng liên lạc trực tiêp với o Dual-bomod host cung cấp dịch vụ thông qua proxy server login trực tiếp o Kiến trúc screenetl Host Trong kiến trúc chức bảo mật cung cấp bời chức packet filtering screening router Packet filtering screening router setup silo cho bastion host máy internal network mà host internet mở kết nối đến.Packet fìltering cho phép bastion host mở kêt nôi(hợp pháp) bên ngồi(extemal network) Thường Packet filtcring thực cơng việc sau : Cho phép internal hosts mở kết nối đến host intenet số dịch vụ phép o Cấm tất kết từ internal hosts o Khi hacker cơng vào bastion host khơng cịn rào chắn cho internal hosts Kiến trúc Screened Subnet Host Thêm môt perimeter network để cô lập internal network với internet Như dù hacker công vào bastion host rào chắn phải vượt qua interior router.Các lưu thông internal network bảo vệ an toàn cho dù bastion bị "chiếm“ Các dịch vụ tin cậy có khả dễ bị cơng nên đề Ở perimeter network Bastion host điểm liên lạc cho kết nối từ vào như: SMTP; FTP, DNS Còn việc truy cập dịch vụ từ internal clients đến server internet điều khiển sau : Set up packet filtering hai exterior interior router phép internal clients truy cập servers bên cách trực tiếp o Set up proxy Server bastion host phép internal clients truy cập servers bên cách giản tiếp o Sử dụng nhiều basion host Với mơ hình tốc độ đáp ứng cho người sử dụng bên ( local user) phần khơng vị ảnh hưởng hoạt động người sử dụng bên mạng (external user) Kiến trúc ghép chung Router Router Router phải cho phép áp dụng luật cho dòng pocket vào interface 10 Do ghép chung router nên kiến trúc máy làm giảm lớp bảo vệ mạng bên trong, nói kiến trúc ghép chung router router nằm kiến trúc Screened host Screened Subnet host Kiến trúc ghép chung Bastion Host va Router Kiến trúc sử dụng cho mạng có đường nối dung giao thức SLIP PPP internet Kiểu ghép chung Bastion host router (Exterior router) gần giống với Screened Subner Host Nó cho tốc độ đáp ứng thường thấp mà chấp nhận tốc độ đường truyền thấp, chúc lọc router ít, chức lọc gói chủ yếu router 11 CHƯƠNG III: CÁC THÀNH PHẦN VÀ CƠ CHẾ HOẠT ĐỘNG CỦA FIREWALL Bộ lọc gói (Packet Filting) 1.1 Nguyên lý hoạt động Khi nói đến việc lưu thông liệu mạng với thông qua Firewall điều có nghĩa Firewall hoạt động chặt chẽ với giao thức TCl/IP Vì giao thức làm việc theo thuật toán chia nhỏ liệu nhân từ ứng dụng mạng hay nói xác dịch vụ chạy giao thức (Telnet SMTP, DNS SMNP, NFS ) thành gói liệu (data pakets) gán cho paket địa chi để nhận dạng tái lập lại đích cần gửi đến loại Firewall liên quan nhiều đến packet số địa chúng Bộ lọc Packet cho phép hay từ chối packet mà nhận Nó kiểm tra tồn đoạn liệu đẽ quyét định xcĩn đoạn liệu có thỏa mãn sô Các luật lệ lọc packet hay không Các luật lệ lọc packet dựa thông tin Ở đầu packet (packet header), dùng phép truyền packet mạng Đó là: o o o o o o o o Địa chi IP nơi xuất phát (Source) Địa IP nơi nhận( Destination) Những thủ tục truyền tin (TCP UDP lCMP IP tunnel,…) Cổng TCP/UDP nơi xuất phát Cổng TCP/UDP nơi nhân Dạng thông báo lCMP Giao diện packet đến Giao diện packet Nếu luật lệ lọc packet thoả mãn packet chuyển qua firewall Nếu không packet bị bỏ Nhờ mà Firewall ngăn cản kết nối vào máy chủ mạng xác đinh, khoá việc truy cập vào hệ thống mạng nội từ đia chi không cho phép Hơn việc kiểm sốt cơng làrn cho Filewall có khà cho phép số loại kết nối định vào loại máy chủ có dịch vụ (Telnet SMTP FTP ) phép chạy hệ thống mạng cuc 1.2 Ưu điếm hạn chế hệ thống Firewall sử dụng lọc Packet Ưu điểm: o Chi phí thấp chế lọc packet đựợc bao gồm phần mềm router 12 o Ngoài ra, Iọc packet suôt người sử dụng úng dụng khơng u câu huấn luyện đặc biệt Hạn Chế: o Viêc định nghĩa chế độ lọc package môt việc phức tạp, đòi hỏi người quản tri mạng cần hiểu biết chi tiết vê dich vụ Internet, dạng packet header, giá tri cụ thể nhân trường Khi địi hỏi lọc lớn, luật lệ lọc trở nên dài phức tạp, khẽ đẽ quản lý điều khiển o Do làm việc dựa header packet rõ ràng lọc packet khơng kiềm sốt nói dung thơng tin packet (các packet chuyền qua mang theo hành động ý đồ ăn cắp thông tin hay phá hoại kẻ xẩu Cống ứng dụng (Application-Ievel Gateway) 2.1 Nguyên lý họat động Đây loại Firewall thiểt kế để tăng cường chức kiếm soát loại dịch vụ giao thức cho phép truy cập vào hệ thống mạng Co chế hoạt động dựa cách thức goi Proxy service Proxy service code đặc biệt cài dặt gateway cho ứng dụng Nếu người quan trị mạng không cài đặt proxy code cho ứng dụng đó, dịch vụ tương ứng khơng cung cấp khơng thể chuyến thơng tin qua firewall Ngồi proxy code định cẩu hình đề hỗ trợ số đặc điểm ứng dụng mà ngưòi quản trị mạng cho chẩp nhận từ chối Một cồng ửng dụng thường coi pháo đài (bastion host) thiết kể đặt biệt để chổng lại tẩn cơng từ bên ngồi Những biện pháp đảm báo an ninh baslion host là: Baslion host ln chạy version an tồn (secure version) Các phần mềm hệ thống (Operatịng System) Các version an toàn thiết kế chuyên cho mục đích chống lại tân công vào Operating System đảm bảo tích hợp firewall o Chỉ dịch Vụ mà người quản tri mạng cho cần thiết cài đặt bastion host đơn giản dich vụ khơng cài đặt khơng thể bi công Thông thường chi số giới bạn ứng dụng cho o 13 o o o o 2.2 dịch vụ Telnet, DNS, FTP, SMTP xác thực user cài đặt bastion host Baslion host yêu cầu nhiều mức độ xác thực khác ví dụ user password hay smart card Mỗi proxy đặt Cấu hình phép truy nhập sồ máy chủ đinh điều có nghĩa lệnh đặc điểm thiết lập cho proxy với số máy chủ toàn hệ thống Mỗi proxy trì nhật ký ghi chép lại tồn chi tiết giao thơng qua , kết nối khoàng thời gian kết nối Nhật ký có ích việc tìm theo dấu vết hay ngăn chặn kẻ phả hoại Mỗi proxy độc lập vớí proxies khác bastion host Điều cho phép dễ dàng trình Cài đặt proxy hay tháo gỡ proxy có vấn đề Ưu điềm hạn chể Ưu diếm: Cho phép người quản trị mạng hoàn toàn điều khiền dịch vụ mạng ứng dụng proxy bạn chế Iệnh quyểt định máy chủ có thề truy nhập dịch vụ o Cho phép người quản tri mạng hoàn toàn điều khiền dich vụ cho phép vắng mặt proxy cho dịch vụ tương ứng có nghĩa dịch vụ bị khoá o Cổng ứng dụng cho phép kiếm tra độ xác thực tốt có nhật ký ghi chép lại thơng tin truy nhập hệ thống o Luật lệ lọc fìlltering cho cổng ứng dụng dễ dàng cấu hình kiểm tra hơ so với lọc packet o Hạn chế: Yêu cầu cảc users thay đổi thao tác, thay đổi phần mềm cài đặt máy client cho truy nhập vào dịch vụ proxy Chảng hạn telnet truy nhập qua cổng úng dụng đòi hỏi hai bước để nối với máy chủ bước thơi Tuy nhiên, có số phần mềm client cho phép ứng dụng cổng ứng dụng suốt cách cho phép user máy đích khơng phải cổng ứng dụng lệnh Telnet Cống vòng (Circuit-level gateway) 14 Cổng Vịng chức đặc biệt thực cổng ứng dụng Cổng vòng đơn giản chuyên tiêp (relay) kêt nôi TCP mà không thực bât kỳ hành động xử lý hay lọc packet 15 CHƯƠNG IV: ỨNG DỤNG VÀ GIẢI PHÁP TƯỜNG LỬA CHO DOANH NGHIỆP Giới thiệu Ngày việc sử dụng internet phổ biến gần toàn doanh nghiệp Đối với chịu trách nhiệm quản lý hệ thống mạng máy tính cho tổ chức doanh nghiệp môi trường kinh doanh thi có lẽ bào mật - an tồn liệu vấn đề hàng đầu tình Một công cụ hiệu nhât thông dụng sử dụng tường lừa (íĩre wall) nhằm kiêm sốt truy cập từ bên vào mạng nội giao dịch ra/vào mạng Tuy nhiên, đầu tư cho tường lửa tốn kém, to chức - doanh nghiệp vừa nhỏ Trong trường hợp này, có lẽ giải pháp thiêt bị có thê xử lý chức an toàn hợp lý Thiết bị bảo mật Tất một' phải đáp ứng yêu cẩu bảo mật - an toàn liệu tổ chức – doanh nghiệp cách hiệu mà không cần đến nhiều tầng thiết bị đắt tiền phức tạp, cộng thêm nhân viên chuyên trách Điều quà thật cần thiết tình trạng Internet đầy rẫy moi đe dọa sầu máy tính, chương trình phá hoại ãn cắp thông tin, lỗ hổng bảo mật hệ điều hành ứng dụng Giải pháp firewall cho doanh nghiệp nhỏ ISA Server Enterprise 2000, ISA Server Enterprise 2004 Đây phần mềm có chức : o Bảo vệ mạng chống công từ Internet o Cho phép Client bên mạng nội truy cập dịch vụ ngồi Internet, có kiểm sốt Mơ hình triển khai ISA Server Intemal Network Internet Sonicwall PRO 2040 Firewall dành cho doanh nghiệp loại vừa có thê đáp ứng yêu cẩu, dề dàng nhận điều lấy thiết bị khỏi hộp, có thê đặt bàn, kệ tủ, 16 lắp vào rack IU SonicWALL Pro 2040 kết hợp hệ điều hành mở rộng SonicOS hệ SonicWALL kiến trúc phẩn cứng có khả chịu tải tốt, miễn cấu hình đúng, tất nhiên không đơn giản Khi sử dụng, người dùng phải cài đặt os mở rộng SonicWALL khai thác nhiều tính nâng cao cấp kết nối đến nhiều ĨSP để dự phòng, cân tải với Pro 2040 khác, thiết lập NAT dựa theo sách kết WAN dự phịng Mặc dù có thê vận hành Pro 2040 mà khơng cần hệ điều hành SonicOS Enhanced, phải cài hệ điều hành có the kích hoạt cổng giao tiếp thứ tư thiết bị cổng có chức cổng WAN, LAN, hay DMZ, nối sang thiết bị Pro 2040 khác đê dự phòng SonicWall khơng thua đối thủ, tích hợp chức phịng chống virus lọc nội dung Pro 2040 hồn tồn làm vừa lịng, chẳng hạn, trang bị xử lý chi làm nhiệm vụ mã hóa hiệu suất châng có khác biệt dùng chế độ mã hóa AES-256 hay 3DES Hàng loạt công già lập ngăn chặn virus thử bị ngăn cản Firewall THIẾT LẬP MỘT FIREWALL CHO DOANH NGHIỆP Lựa chọn giải pháp Firewall phần cứng Firewall phần mềm đề xây dưng Firewall cho doanh nghiệp Việc thiết lập Firewall dựa vào yếu to sau: Trước hết cần xác định tài nguvên cần bảo vệ: o Máy trạm, o Máy chủ o Các thiết bị mạng: Bộ định tuyến (Router), Getway, Repeater o Các máy đầu cuối o Các chương trình phần mềm o Cáp mạng o Thông tin lưu trữ tệp liệu Nghiên cứu vấn đề sau: o Bảo vệ tài nguyên khỏi bị phá hoại o Xác suất nguy đe doạ Mức độ quan trọng nguồn tài nguyên o Các biện pháp thực để bảo vệ tài nguyên với thời gian nhanh nhất, đỡ tổn o Kiểm tra sách an ninh mạng định kì Nhận dạng mối đe doạ: o Truy nhập trái phép: Nói chung việc sử dụng tài nguyên mà không cho phép trước bị coi truy cập trái phép o Nguy đế lộ thông tin: Việc để lộ thông tin mối đe doạ cần phải xác định rõ giá trị hay độ nhạy cảm thông tin lưu trữ 17 máy Ở mức hệ thống việc để lọt mật truy nhập hệ thong có thê tạo thuận lợi cho việc truy nhập trái phép tương lai o Từ chối dịch vụ: Các mạng dùng để kểt nối nguồn tài nguyên có giá trị máy tính sở liệu cung cấp dịch vụ mà quan dựa vào Neu dịch vụ không sần sàng dẫn đến ảnh hưởng công việc kinh doanh cùa đơn vị, Rẩt khó có thê đốn trước hình thức từ chối dịch vụ, liệt kê sơ ví dụ từ chối dịch vụ: Hệ thống máy bị dừng gói tin cúa kẻ phá hoại  Mạng bị dừng bị tràn lưu lượng  Các thiết bị bảo vệ mạng bị phá hỏng  o Các điểm truy nhập: Điểm truy nhập mà người sử dụng trái phép vào hệ thống Neu ta có nhiều điểm truy nhập làm tăng nguy cho mạng, o Các hệ thống có cấu hình khơng đúng: Những kẻ đột nhập vào mạng chúng thường cổ gang phá hoại máy chù mạng Các máy tính chủ đóng vai trị Server Telnet mục tiêu phổ biến Neu máy tính chủ khơng cấu hình cách đắn hệ thống dễ bị phá hoại o Virus: Khí độ phức tạp phần mềm tăng lên độ phức tạp Virus hệ thơng tăng, cỏ lẽ khơng có phần mềm mà khơng bị nhiễm Virus Các Virus an toàn biết đến cách rộng rãi phương pháp phổ biến đế truy nhập trái phép Neu việc cài đặt hệ thống mở biết đen cách rộng rãi kẻ đột nhập có thê sử dụng điếm yếu chương trình chạy chế độ ưu tiên để truy nhập hệ thong chế độ đặc quyền o Các mối đe doạ từ bên ngoài: Những người thường truy nhập trực tiếp phần mềm máy tính mạng nhiều so với phần cứng Nếu người định phá hoại thi người tạo mối đe doạ đáng kể cho an toàn cùa mạng Neu người tiếp cận dễ dàng với hệ thống hệ thống dễ bị phá hoại Người phá hoại dỗ dàng chạy giải mã giao thức nắm bắt phần mềm đê phân tích lưu lượng giao thức Hầu hết ứng dụng TCP/IP (Telnet, FTP) chi có chế xác minh yểu mật chuyên dạng văn bàn rõ nghĩa An toàn vật lý: Nếu thân máy tính khơng an tồn mặt vật lý chế an tồn phần mềm dễ dàng bị bỏ qua Trong trường họp máy trạm DOS, 18 WINDOWS khơng có chế bão vệ phần mềm Đối với hệ điều hành Unix khơng có người quản lý đĩa vật lý bị đánh tráo, ta đê hệ thống chế độ đặc quyền thi máy trạm coi bị bỏ ngỏ Nói cách khác kẻ đột nhập có thê tạm dừng máy tính lại đưa trở lại chế độ ưu đãi sau lấy chương trình Trojan-hores vào thực hành động khác nhằm làm cho hệ thong trớ nên rộng mớ cho vụ công tương lai CÀI ĐẶT VÀ CÁU HÌNH FIREWALL Sau tiến hành cài đặt Firewall cho doanh nghiệp phần mềm ISA Server 2004 Firewall Tìm hiểu phần mềm ISA Server 2004 Firewall Trong số sản phẩm tường lửa (firewall) thị trường ISA Server 2004 Microsì nhiều người u thích khả báo vệ hệ thống mạnh mẽ với chế quản lý linh hoạt ISA Server 2004 Firewall có hai phiên Standard Enterprise phục vụ cho môi trường khác ISA Server 2004 Standard đáp ứng nhu cẩu bảo vệ chia sẻ băng thông cho công ty có quy mơ trung bình Với phiên có thê xây dựng Firewall đê kiểm sốt lng liệu vào hệ thống mạng nội cơng ty, kiểm sốt q trình truy cập người dùng theo giao thức, thời gian nội dung nhằm ngăn chận việc kết nối vào trang web cỏ nội dung khơng thích hợp Bên cạnh cịn triển khai hệ thống VPN Site to Site hay Remote Access hỗ trợ cho việc truy cập từ xa, trao đơi liệu văn phịng chi nhánh Đối với cơng ty có hệ thống máy chủ quan trọng Mail Server, Web Server cần bảo vệ chật chẽ môi trường riêng biệt ISA 2004 cho phép triên khai vùng DMZ (thuật ngữ vùng phi quân sự) ngăn ngừa tương tác trực tiếp người bên bên ngồi hệ thống Ngồi tính bão mật thơng tin trên, ISA 2004 cịn có hệ thống đệm (cache) giúp kết nối Internet nhanh thông tin trang web lưu sẵn RAM hay đĩa cứng, giúp tiết kiệm đáng kể bãng thông hệ thống Chính lý mà sản phấm Firewall có tên gọi Internet Security & Aceleration (bảo mật tăng tốc Internet) ISA Server 2004 Enterprise sử dụng mơ hình mạng lớn, đáp ứng nhiều yêu cầu truy xuất người dùng bên ngồi hệ thống Ngồi tính cỏ ISA Server 2004 Standard, Enterprise cho phép thiết lập hệ thống mảng ISA Server sử dụng sách, điều giúp dễ dàng quản lý cung cấp tính Load Balancing (cân tải) Cài đặt ISA Server Yêu cầu cài đặt: ISA 2004 phải cài đặt ừên phần cứng phần mềm sau: 19 Phần cứng tối thiểu: - CPU: 500MHz - RAM: 256MB - Hard Disk: phân vùng NTFS, >=150MB dung lượng trống - Máy có card mạng • Phần mềm: - Windows 2000 server, SP4 - Windows 2003 server Sau thiết lập đầy đù thông tin cần thiết, tiến hành cài đặt ISA Server 2004 Standard máy tính dùng làm Firewall Bước 1: Chạy file Setup click vào Install ISA Server 2004 Bước 2: Trong hộp thoại Microsoft ISA Server 2004 - Installation Wizard, ta click Next Bước 3: Sau ta chọn I accept the terms in the license agreement vàsau click Next Bước 4: Ta điền đầy đủ thông tin số serial vào click Next Bước 5: Ta chọn cài đặt chế độ Custom click Next Bước 6: Mặc định có hai dịch vụ Firewall Services ISA Server Management, ta chọn thêm Firewall Client Installation Share Rồi click Next Bước 7: Ta click vào Add Bước 8: Ta cung cấp dãy địa chi IP chứa máy tính mạng nội (From, To) Lưu ý, dãy địa chi phải chứa IP giao tiếp mạng Insidc Rồi click Add Sau OK Bước 9: Trong hộp thoại Internal Network ta click Next Bước 10: Ta chọn Allow computers running earlier version of Firewall Client software to connect Rồi chọn Next Bước 11: Trong hộp thoại Services ta click Next Bước 12: Trong hộp thoại Ready to install the Program ta click Install Sau q trình cài đật bắt đầu Xong ta bấm Finish để hồn tất • 20 CHƯƠNG V: TỔNG KẾT Tường lửa ngày đóng vai trị quan trọng việc bảo vệ mạng tổ chức tránh danh sách gần vô tận công đến từ Internet Sự lựa chọn tường lửa củng thường định cách vị trí ưr xa kết nối với hệ thống trung tâm đế truy cập vào tài nguyên cần thiết để thực nhiệm vụ quan trọng dễ dàng Tường lửa "bức tường" nằm mạng (như Internet) máy tính (hoặc mạng nội bộ) mà bào vệ Mục đích an ninh dành cho người dùng cá nhân khóa Tuy nhiên, tường lửa cỏ thê làm nhiều Do nằm mạng (internet mạng nội bộ), tường lửa có thê phân tích tất lưu lượng vào khòi mạng định làm với liệu vào Tường lửa có nhiều quy tắc để dựa vào cung cấp quyền truy cập liệu vào mạng Tường lửa không chi dạng phần mềm (như tường lửa Windows), mà cịn có thê phần cứng chuyên dụng mạng doanh nghiệp Các tường lửa phần cứng giúp máy tính cơng ty cỏ thể phân tích liệu đe đảm bảo rang malware thâm nhập vào mạng, kiểm sốt hoạt động máy tính mà nhân viên họ sử dụng Nó lọc liệu đế chi cho phép máy tính lướt web, vô hiệu hỏa việc truy cập vào loại liệu khác 21 22 ... thử bị ngăn cản Firewall THIẾT LẬP MỘT FIREWALL CHO DOANH NGHIỆP Lựa chọn giải pháp Firewall phần cứng Firewall phần mềm đề xây dưng Firewall cho doanh nghiệp Việc thiết lập Firewall dựa vào... Software: Tiny Personal Firewall Zone Labs: ZoneAlarm Đặc điểm Firewall mềm: Tính linh hoạt cao thêm, bớt quy tắc, chức Firewall mềm hoạt động tầng cao Firewall cứng (tầng ứng dụng) Firewall mềm kiểm... (thơng qua từ khóa) Ví dụ Firewall mềm: Zone Alarm, Norton Firewall? ?? Nguyên lý hoạt động Firewall Firewall hoạt động chặc chẽ với giao thức TCP/IP, giao thức làm việc theo thuật toán chia nhỏ liệu