Tìm hiểu an tồn bảo mật mạng LỜI MỞ ĐẦU Những năm cuối kỉ 20 coi thời đại bùng nổ thông tin, với phát triển mạnh mẽ ngành công nghệ cao: điện tử, vật liệu Đặc biệt, công nghệ thông tin áp dụng, len lỏi vào hầu hết lĩnh vực đời sống xã hội, góp phần đáng kể việc cơng nghiệp hố đại hố quốc gia Trong năm gần đây, hệ thống mạng máy tính nước ta phát triển cách mạnh mẽ Hầu hết ngành bước đưa ứng dụng tin học vào phục vụ công việc ngành Đặc biệt từ năm 1997 nước ta thức kết nối vào hệ thống Internet toàn cầu, sau năm có hàng trăm ngàn thuê bao Internet Internet thực nguồn tài nguyên thông tin rộng lớn phong phú Đặc biệt thời đại kinh tế tri thức, nắm bắt thơng tin sớm xác có ý nghĩa vơ quan trọng, giúp cho doanh nghiệp, tổ chức, phủ hoạch định sách, chiến lược, đảm bảo phát triển bền vững doanh nghiệp, tổ chức quốc gia Lợi ích từ việc sử dụng hệ thống Internet lớn, nhiên thân Internet chứa đựng nhiều mối hiểm hoạ thường trực từ tin tặc (hacker), chúng ln tìm cách thâm nhập vào bên mạng nội để khai thác thông tin, phá hoại hệ thống thơng tin Có kẻ lợi dụng Internet để truyền bá thông tin bất hợp pháp nhằm truyền bá tư tưởng phản động, văn hố phẩm khơng lành mạnh Vấn để cần đặt làm để ngăn chặn xâm nhập trái phép từ bên vào hệ thống mạng nội kiểm sốt thơng tin mạng, đồng thời phải đảm bảo cho việc hoạt động bình thường hệ thống Trong báo cáo thực tập chuyên ngành bao gồm phần: PhầnI: Bảo mật mạng máy tính Tìm hiểu an tồn bảo mật mạng Là cách nhìn tổng quan vấn đề giữ an toàn cho mạng máy tính: có kiểu cơng mạng cách phòng chống Phần II: Máy chủ pháo đài Phần nghiên cứu lý thuyêt thực hành để xây dựng vận hành máy chủ pháo đài Phần III: Tấn công từ chối dịch vụ Phần nghiên cưu cách sơ kiểu công phổ biến mạng kiểu cơng từ chối dịch vụ Tìm hiểu an toàn bảo mật mạng Phần I: Bảo mật mạng máy tính Hệ thống cần bảo vệ Bức tường lửa thiết bị bảo vệ Khi xây dựng tường lửa, điều ta cần quan tâm muốn bảo vệ Khi kết nối với Internet, có thứ gặp nguy hiểm, là:  Dữ liệu : thông tin lưu trữ máy tính  Nguồn tài nguyên : thân máy tính  Danh tiếng 1.1.Dữ liệu Dữ liệu có ba đặc tính riêng rẽ cần bảo vệ, :  Tính bảo mật ( Secrecy): ta không muốn người khác xem liệu  Tính tồn vẹn(Integrity): ta khơng muốn người khác thay đổi liệu  Tính sẵn sàng(Availability): ta muốn chắn ta lúc sử dụng liệu Mọi người có khuynh hướng tập trung vào tổn thất liên quan đến tính bảo mật, điều tổn thất lớn Rất nhiều tổ chức có thơng tin bí mật thơng tin mẫu sản phẩm mới, tài chính, hay trường đại học thơng tin liên quan đến quản lý sinh viên lưu máy tính Nói cách khác, máy tính ln có thơng tin quan khác mà không muốn người khơng nên biết biết đến Tìm hiểu an toàn bảo mật mạng Giả sử ta khơng có liệu cần bảo mật, phải quan tâm đến an toàn mạng ngồi tính bảo mật, ta cịn phải quan tâm đến tính tồn vẹn sẵn sàng liệu Nếu liệu ta không cần bảo mật, có nguy trường hợp liệu bị xoá hay bị sửa đổi Hậu phải tốn nhiều thời tiền bạc để khôi phục lại liệu Ngồi an tồn mạng bị phá, nhà quản trị tiêu tốn nhiều tiền công sức cho việc khôi phục lại trạng cho mạng ban đầu 1.2 Nguồn tài nguyên Hầu hết người muốn sử dụng máy tính buộc người khác phải trả chi phí sử dụng máy tính họ Nhưng khơng đòi hỏi điều kẻ xâm nhập trái phép Chúng ta phải tiêu tốn nhiều thời gian tiền bạc cho tài nguyên ta có quyền định chúng phải sử dụng Hơn nữa, thực tế, công tên Internet, kẻ công sau làm chủ hệ thống bên sử dụng sử dụng máy để phục vụ cho mục đích họ chạy chương trình dị mật người dùng, sử dụng liên kết mạng sẵn có để tiếp tục cơng hệ thống khác v.v 1.3 Danh tiếng Trong số trường hợp, hacker ăn cắp user mạng máy tính dùng để truy nhập Internet thực công vào mạng máy tính khác Trong hầu hết trường hợp, mạng bị cơng gọi đến mạng chất vấn việc có người dùng xâm nhập vào mạng họ Điều ảnh hưởng lớn đến uy tín mạng Tìm hiểu an tồn bảo mật mạng Đơi khi, kẻ mạo danh cịn dùng thư điện tử mạng để gửi thư có nội dung xấu đến nơi khác Điều có ảnh hưởng xấu đến mạng Những nguy hiểm hệ thống phải đương đầu 2.1 Những kiểu cơng Có nhiều kiểu cơng khác vào hệ thống, có nhiều cách để phân loại chúng Trong phần này, ta chia kiểu công thành loại : xâm nhập, từ chối dịch vụ ăn cắp thông tin a Xâm nhập Kiểu công vào hệ thống thông thường xâm nhập (intrusions), xâm nhập, tin tặc có khả sử dụng máy tính hệ thống người quản lý hệ thống thực Tin tặc có hàng chục đường để xâm nhập vào Chúng dùng kiểu cơng mánh lới (tìm hiểu tên tuổi người lãnh đạo cấp cao cơng ty, sau giả danh người gọi điện đến người quản trị hệ thống yêu cầu đổi mật truy cập) hay dùng cách đoán mật (sử dụng việc thử hàng loạt tên mật khác để tìm tên mật đúng) dùng cách phức tạp để truy nhập vào mạng mà không cần dùng tên mật Tường lửa chống lại kiểu công xâm nhập Một cách lý tưởng, tường lửa khoá tất đường vào hệ thống tên mật Khi cài đặt hồn hảo, làm giảm số lượng tài khoản có khả truy cập từ bên ngồi, làm giảm nguy cơng đốn mật hay dùng mánh khoé Nhiều hệ thống thiết kế tường lửa cho Tìm hiểu an tồn bảo mật mạng phép mật đưa vào lần mà thơi, sai mật từ chối truy nhập để tránh việc đoán mật b Từ chối dịch vụ Kiểu công từ chối dịch vụ kiểu công hệ thống cách ngăn cản người dùng sử dụng dịch vụ hệ thống Tin tặc làm tràn ngập hệ thống mạng thông điệp, hay yêu cầu hệ thống làm cho mạng phải nhiều thời gian để trả lời thông điệp yêu cầu đó, mạng bị nghẽn q tải Trong làm tràn ngập cách thức thông thường đơn giản để tiến hành công từ chối dịch vụ, tin tặc thông minh làm vơ hiệu hố dịch vụ, thay đổi đường dẫn hay thay chúng Khó tránh tất công từ chối dịch vụ Ví dụ nhiều mạng thiết kế để người dùng bị khoá sau số lần truy cập sai Thiết kế để bảo vệ kiểu cơng cách đốn mật Nhưng mặt khác, tạo hội cho tin tặc cơng từ chối dịch vụ Nó khố tài khoản người dùng cách thử truy nhập vào mạng nhiều lần tài khoản Nguy việc bị công từ chối dịch vụ tránh khỏi Nếu hệ thống chấp nhận việc nhận thơng tin từ bên ngồi : thư điện tử, gói tin có khả hệ thống bị làm nghẽn Điều quan trọng thiết lập dịch vụ, phải đảm bảo dịch vụ bị nghẽn (flooded) phần cịn lại hệ thống phải hoạt động đồng thời với việc tìm kiếm sửa chữa lỗi c Ăn cắp thơng tin Tìm hiểu an tồn bảo mật mạng Một số kiểu công cho phép tin tặc lấy liệu mà không cần trực tiếp sử dụng máy tính hệ thống Dữ liệu tài khoản người dùng tên truy nhập mật Tin tặc lấy liệu cách nối trộm thiết bị vào mạng thu lấy tất thông tin qua Thông tin tên truy nhập mật thường dễ dàng đốn thơng tin tương tác ban đầu nhiều mạng máy tính Việc nối trộm vào mạng để dị la thơng tin thường gọi sniffing Các phương pháp để bảo vệ hệ thống Ở liệt kê loạt kiểu công Thông thường người quản trị mạng chọn nhiều kiểu bảo mật, từ kiểu bảo mật gọi “ Bảo mật qua việc che giấu” bảo mật máy chủ , đến bảo mật cho toàn mạng 3.1 Bảo mật qua việc che giấu Một kiểu bảo mật sử dụng thông thường “bảo mật qua việc che giấu” Với kiểu bảo mật này, hệ thống an tồn đơn giản khơng biết : tồn nó, nội dung bên trong, biện pháp bảo mật hay khác Kiểu thường khó làm việc lâu có nhiều cách để tìm hệ thống Nhiều người cho chí tin tặc tìm thấy hệ thống, chúng khơng thèm để ý đến thấy mạng máy tính nhỏ Trong thực tế lại khác có nhiều tin tặc nhằm vào hệ thống Đối với chúng, mạng nhỏ coi mục tiêu dễ công 3.2 Bảo mật máy chủ Kiểu bảo mật máy chủ kiểu hay sử dụng Theo kiểu này, hệ thống thiết lập bảo mật cho máy chủ cách riêng rẽ Khó Tìm hiểu an toàn bảo mật mạng khăn lớn cho kiểu bảo mật phức tạp thiết lập cho hệ thống lớn Những hệ thống đại bao gồm nhiều máy chủ từ nhiều nhà cung cấp khác nhau, chạy với nhiều hệ điều hành khác nhau, máy chủ với hệ điều hành khác có vấn đề riêng bảo mật Thậm chí hệ thống gồm máy chủ từ nhà cung cấp, việc sử dụng phiên khác hệ điều hành dẫn đến nhiều vấn đề bảo mật khác Ngay máy chủ chạy phiên hệ điều hành, cài đặt khác (các dịch vụ chạy máy khác nhau) gây vấn đề bảo mật khác Kiểu bảo mật máy chủ nên áp dụng hệ thống mạng nhỏ, hay hệ thống đòi hỏi phải bảo mật thật cao Tuy nhiên mạng thực cần vài mức bảo mật máy chủ toàn kế hoạch bảo mật Thậm chí hệ thống sử dụng kiểu bảo mật tồn mạng (được trình bày phần tiếp theo), số thiết lập áp dụng kiểu bảo mật máy chủ có ích Ví dụ hệ thống mạng bảo vệ tường lửa có số phần hệ thống phải đứng tường lửa để liên hệ với mạng khác cần bảo mật theo kiểu bảo mật máy chủ Vấn đề kiểu bảo mật máy chủ thơi khơng đạt hiệu kinh tế (trừ hệ thống nhỏ, đơn giản); đòi hỏi nhiều hạn chế nhiều người để vận hành 3.3 Bảo mật toàn mạng Khi hệ thống mạng thay đổi phát triển, việc bảo mật chúng theo kiểu bảo mật máy chủ ngày khó khăn, nhiều mạng chuyển sang kiểu bảo mật toàn mạng Với kiểu bảo mật toàn mạng, hệ thống tập trung vào quản lý truy nhập mạng cho nhiều máy chủ dịch vụ chạy máy chủ khơng bảo mật máy chủ Tìm hiểu an toàn bảo mật mạng Phương pháp bảo mật toàn mạng bao gồm xây dựng tường lửa để bảo vệ hệ thống mạng bên trong, sử dụng việc kiểm tra quyền truy cập cách chặt chẽ( vào mật lần), sử dụng mã hoá để bảo vệ liệu quan trọng liệu truyền mạng Một hệ thống mạng dùng phương pháp bảo mật toàn mạng đạt hiệu lớn Ví dụ tường lửa bảo vệ mạng bảo vệ hàng trăm, hàng ngàn máy tính chống lại cơng từ bên ngồi mà không cần đến mức bảo vệ máy chủ cho máy tính Tường lửa Internet Như nói trên, tường lửa kiểu bảo mật hữu hiệu bảo mật hệ thống Phần đề cập ngắn gọn tác dụng tường lửa bảo mật mạng máy tính Trong xây dựng, tường lửa thiết kế để ngăn lửa không cháy lan từ phần nhà đến phần khác Về nguyên lý, tường lửa Internet thực cơng việc : ngăn nguy hiểm Internet lan sang mạng máy tính Trong thực tế, tường lửa Internet giống hào lâu đài thời Trung cổ tường lửa xây dựng Nó thực chức sau:  Nó hạn chế người vào điểm cần kiểm sốt cẩn thận  Nó ngăn cản tin tặc lại gần điểm cần bảo vệ  Nó hạn chế người điểm cần kiểm soát cẩn thận Một tường lửa Internet thường thiết lập điểm kết nối mạng bên Internet Như hình vẽ : Tìm hiểu an toàn bảo mật mạng Tất dịng thơng tin từ Internet vào hay từ mạng bên phải qua tường lửa, tường lửa có khả đảm bảo thơng tin tin cậy Một tường lửa có chức chia, hạn chế phân tích thơng tin Thơng thường, tường lửa tập hợp thiết bị phần cứng : dẫn đường (router), máy tính chủ, kết hợp router, máy tính mạng với phần mềm thích hợp Có nhiều cách thức để định cấu hình thiết bị điều phụ thuộc vào chiến lược, ngân quỹ mạng Một tường lửa thực thể vật lý đơn chiếc, thông thường tường lửa bao gồm nhiều phần, số thực nhiệm vụ khác bên cạnh chức phần tường lửa Kết nối với Internet phần tường lửa 4.1 Tường lửa làm Tường lửa làm nhiều việc việc bảo mật mạng Dưới liệt kê số ưu điểm việc sử dụng tường lửa a Một tường lửa trung tâm cho định bảo mật