BẢO MẬT MẠNG MÁY TÍNH potx

Bảo mật mạng để làm gì? An toàn cho sự hoạt động của toàn bộ hệ thống mạng  Bảo mật cao trên nhiều phương diện  Khả năng kiểm soát cao  Đảm bảo tốc độ nhanh  Mềm dẻo và dễ sử dụ

BẢO MẬT MẠNG MÁY TÍNH

I Bảo mật mạng để làm gì?

 An toàn cho sự hoạt động của toàn bộ hệ thống mạng

 Bảo mật cao trên nhiều phương diện

 Khả năng kiểm soát cao

 Đảm bảo tốc độ nhanh

 Mềm dẻo và dễ sử dụng

 Trong suốt với người sử dụng

 Đảm bảo kiến trúc mở

Bảo vệ gì?

Nhu cầu bảo vệ thông tin trên Internet có thể chia thành ba loại

gồm:

a. Bảo vệ dữ liệu;

b. Bảo vệ các tài nguyên sử dụng trên mạng và

c. Bảo vệ danh tiếng của cơ quan

b Bảo vệ các tài nguyên sử

dụng trên mạng

sau khi tấn công thành công kẻ tấn công có thể:

 chạy các chương trình dò mật khẩu

 sử dụng các liên kết mạng sẵn có để tiếp tục tấn công các

hệ thống khác

 Mua bán qua mạng mà không để lại dấu vếtvv

c Bảo vệ danh tiếng của cơ

II.Các kiểu tấn công mạng

1. Tấn công trực tiếp

2. Nghe trộm

3. Giả mạo địa chỉ

4. Vô hiệu các chức năng của hệ thống

5. Lỗi của người quản trị hệ thống

6. Tấn công vào yếu tố con người

1 Tấn công trực tiếp

Mục đích :chiếm được quyền truy nhập bên trong

 dò tìm tên người sử dụng và mật khẩu (thủ công hay dùng chương trình)

 sử dụng các lỗi của chương trình ứng dụng và bản thân hệ điều hành để chiếm quyền

administrator



3.Giả mạo địa chỉ

 với hệ thống mạng chỉ chấp nhận các IP riêng(được cho

là an toàn)

 kẻ tấn công gửi các gói tin IP tới mạng bên trong với một địa chỉ IP giả mạo, đồng thời chỉ rõ đường dẫn mà các gói tin IP phải gửi đi

 Ví dụ: các trang web chặn các IP từ việt nam , muốn vào thì fake IP

4 Vô hiệu các chức năng của hệ

thống (DoS)

 Đây là kiểu tấn công nhằm tê liệt hệ thống, không cho nó thực hiện chức năng mà nó thiết kế

 Kiểu tấn công này ít có khả năng ngăn chặn, do những công

cụ tấn công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên mạng

 Ví dụ sử dụng lệnh ping

5 Lỗi của người quản trị hệ

6 Tấn công vào yếu tố con

người

 Kẻ tấn công có thể liên lạc với một người quản trị hệ

thống, giả làm một người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệ thống, hoặc thậm chí thay đổi một số cấu hình của hệ thống để thực hiện các phương pháp tấn công khác

 Cần hướng dẫn người sử dụng mạng nội bộ về những yêu cầu bảo mật đề cao cảnh giác với những hiện tượng đáng nghi  khó

III Bảo mật máy tính

 Bảo mật máy tính là gì?

 Tại sao chúng ta lạii quan tâm đến bảo mật máy tính?

 Ai có thể xâm nhập vào máy tính của chúng ta ?

 Có dễ dàng để xâm nhập vào máy tính của chúng ta hay

không

Cách lợi dụng máy tính của bạn

có chủ ý -Intentional misuse of your computer Trojan horse programs

 Back door and remote administration programs

 Denial of service

 Being an intermediary for another attack

 Unprotected Windows shares

 Mobile code (Java, JavaScript, and ActiveX)

 Không chạy chương trình mà không rõ nguồn gốc

 Bỏ chức năng dấu phần mở rộng của fire

 Luôn vá các lỗ hổng của chương trình cũng như hệ điều

hành

 Tắt máy hay ngắt kết nối khi không sử dụng đến máy

 Không cho các script hoạt động như JS, ActiveX

 Không cho các script hoạt động, kích hoạt trong các email

 Luôn backup dữ liệu

 Làm đĩa boot khẩn cấp khi có sự cố

 Firewall là một kỹ thuật được tích hợp vào hệ thống mạng

để chống sự truy cập trái phép, nhằm bảo vệ các nguồn

thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống Firewall là một cơ chế (mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi các mạng không tin tưởng (Untrusted network).

 Thông thường Firewall đặt giữa mạng bên trong (Intranet) của một công ty, tổ chức, ngành hay một quốc gia, và

Mạng nội bộ bên trong

 Theo dõi luồng dữ liệu mạng giữa Internet và Intranet

 Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập

 Kiểm soát người sử dụng và việc truy nhập của

người sử dụng

 Kiểm soát nội dung thông tin thông tin lưu chuyển

trên mạng

2 Các thành phần

 Firewall chuẩn bao gồm một hay nhiều các thành phần

sau đây:

a. Bộ lọc packet (packet-filtering router)

b. Cổng ứng dụng (application-level gateway hay proxy

server)

c. Cổng mạch (circuite level gateway)

a Bộ lọc paket (Paket filtering

router)

Nguyên lý

Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định Địa chỉ IP nơi xuất phát ( IP Source address)

 Địa chỉ IP nơi nhận (IP Destination address)

 Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)

 Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)

 Cổng TCP/UDP nơi nhận (TCP/UDP destination port)

 Dạng thông báo ICMP ( ICMP message type)

 Giao diện packet đến ( incomming interface of packet)

 Giao diện packet đi ( outcomming interface of packet)



Các mô hình

 Paket filtering router

 Screened Host Firewall

 Single- Homed Bastion Host

 Dual- Homed Bastion Host

 Screened-Subnet Firewall

Paket filtering router

Screened Host Firewall

 Mô hình single- Homed Bastion Host

 Mô hình Dual- Homed Bastion Host

cần phải cấm không cho user logon vào bastion host.

 Screened-Subnet Firewall

Bộ lọc paket -Ưu điểm

 Đa số các hệ thống firewall đều sử dụng bộ lọc packet Một trong những ưu điểm của phương pháp dùng bộ lọc packet

là chi phí thấp vì cơ chế lọc packet đã được bao gồm trong mỗi phần mềm router

 Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng

và các ứng dụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả

Bộ lọc paket -Hạn chế

 Việc định nghĩa các chế độ lọc packet là một

việc khá phức tạp; đòi hỏi người quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạng packet header, và các giá trị cụ thể có thể nhận trên mỗi trường Khi đòi hỏi vể sự lọc càng lớn, các luật lệ vể lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển

 Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet không kiểm soát được nôi dung thông tin của packet Các packet chuyển qua vẫn có thể mang theo những hành động với

ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu.

hay ngăn chặn kẻ phá hoại

 Mỗi proxy đều độc lập với các proxies khác trên bastion

host Điều này cho phép dễ dàng quá trình cài đặt một proxy mới, hay tháo gỡ môt proxy đang có vấn để

Cổng ứng dụng -Ưu điểm

 Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy nhập

được bởi các dịch vụ

 Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào cho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là các dịch vụ ấy

bị khoá

 Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó

có nhật ký ghi chép lại thông tin về truy nhập hệ thống

 Luật lệ lọc filltering cho cổng ứng dụng là dễ dàng cấu hình

và kiểm tra hơn so với bộ lọc packet

Cổng ứng dụng -Hạn chế

 Yêu cầu các users thay đổi thao tác, hoặc thay đổi phần mềm đã cài đặt trên máy client cho truy nhập vào các dịch

vụ proxy

Phần mềm firewall - proxy

SERVER

 SMTP Gateway - Proxy server cho dịch vụ SMTP (Simple

Mail Tranfer Protocol)

 FTP Gateway - Proxy server cho dịch vụ Ftp

 Telnet Gateway - Proxy server cho dịch vụ Telnet

 HTTP Gateway - Proxy server cho dịch vụ HTTP (World Wide Web)

 Rlogin Gateway - Proxy server cho dịch vu rlogin

 Plug Gateway - Proxy server cho dịch vụ kết nối server tức thời dùng giao thức TCP (TCP Plug-Board Connection

server)

 SOCKS - Proxy server cho các dịch vụ theo chuẩn SOCKS

 NETACL - Điều khiển truy nhập mạng dùng cho cac dịch vụ khác

 IP filter ? Proxy điều khiển mức IP

c Cổng chuyển mạch (circuit-Level

Gateway)

 Cổng chuyển mạch là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng dụng Cổng chuyển mạch đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc packet nào

do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm

 Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-drivent attack) Khi có một số chương trình được chuyển theo thư điện tử, vượt qua firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây

 Một ví dụ là các virus máy tính Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc,

sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để

mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của firewall

VI Các giải pháp thực hiện



 Kết nối trực tiếp đơn

 Kết nối song song

 Kết nối gián tiếp

Kết nối trực tiếp đơn

Mạng nội bộ bên trong

Kết nối trực tiếp đơn

 Ưu điểm

 Chi phí thực hiện thấp hơn so với các giải pháp khác

 Có khả năng kiểm soát toàn bộ việc truy nhập từ ngoài vào,

Kết nối song song trực tiếp

Mạng

nội bộ

bên trong

Kết nối song song trực tiếp

 Ưu điểm

 Chế độ thực hiện an toàn cao, nhanh

 Có khả năng kiểm soát toàn bộ việc truy nhập từ ngoài vào, và từ trong ra

 Cho phép thống kê và quản lý, đánh giá việc

truy nhập hệ thống Hỗ trợ tốt cho quyết định

Kết nối gián tiếp

Mạng nội bộ bên trong

 Ưu điểm

 Chi phí thực hiện thấp so với các giải pháp khác

 Có khả năng thống kê toàn bộ việc truy nhập từ ngoài vào,

và từ trong ra

 Nhược điểm

 Không cho phép ngăn chặn những truy nhập cố ý hoặc phá hoại từ bên ngoài cũng như từ trong ra