Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 65 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
65
Dung lượng
1,17 MB
Nội dung
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa Đề Tài Nghiên cứu về tưởng lửa Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 1 Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa Mục Lục PHẦN I: TỔNG QUAN VỀ AN TOÀN THÔNG TIN TRÊN MẠNG 3 CÁC HÌNH THỨC TẤN CÔNG 5 1.1 Tấn công trực tiếp: 5 1.2. Nghe trộm: 6 1.3. Giả mạo địa chỉ: 7 1.4. Vô hiệu các chức năng của hệ thống (DoS, DDoS): 7 1.5. Lỗi của người quản trị hệ thống: 9 1.6. Tấn công vào yếu tố con người: 9 CÁC DỊCH VỤ BẢO VỆ THÔNG TIN TRÊN MẠNG 9 Dịch vụ bí mật (Confidentiality) 10 Dịch vụ xác thực (Authentication) 11 Không thể chối bỏ (Nonrepudiation) 12 CÁC KỸ THUẬT BẢO VỆ THÔNG TIN TRÊN MẠNG 13 GIẢI PHÁP TỔNG THỂ CHO AN TOÀN THÔNG TIN TRÊN MẠNG 16 PHẦN II: FIREWALL 24 GIỚI THIỆU VỀ FIREWALL 24 ĐỐI TƯỢNG BẢO VỆ 25 PHÂN LOẠI KẺ TẤN CÔNG 27 INTERNET FIREWALL 28 a. Ưu điểm: 44 b. Hạn chế: 44 BASTION HOST 52 NGUYÊN LÝ CƠ BẢN ĐỂ THIẾT KẾ VÀ XÂY DỰNG BASTION HOST 52 CÁC LOẠI BASTION HOST ĐẶC BIỆT 53 CHỌN MÁY 54 CHỌN VỊ TRÍ VẬT LÝ ĐẶT BASTION HOST 55 VỊ TRÍ BASTION HOST TRÊN MẠNG 55 CHỌN DỊCH VỤ MẠNG MÀ BASTTION HOST CUNG CẤP 56 LÍ DO KHÔNG CUNG CẤP TÀI KHOẢN TRUY CẬP TRÊN BASTION HOST 57 XÂY DỰNG MỘT BASTION HOST AN TOÀN VÀ CHỐNG LẠI SỰ TẤN CÔNG 57 CÁC DỊCH VỤ INTERNET 59 WORLD WIDE WEB (WWW) 59 ELECTRONIC MAIL ( EMAIL-THƯ ĐIỆN TỬ ) 60 FTP(FILE TRANSFER PROTOCOLS) 61 PROXY 62 PROXY LÀ GÌ??? 62 TẠI SAO PROXY RA ĐỜI 64 TỔNG KẾT CHUNG VỀ PROXY 65 Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 2 Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa PHẦN I: TỔNG QUAN VỀ AN TOÀN THÔNG TIN TRÊN MẠNG An toàn thông tin là nhu cầu rất quan trọng đối với cá nhân cũng như đối với xã hội và các quốc gia trên thế giới. Mạng máy tính an toàn thông tin được tiến hành thông qua cá phương pháp vật lý và hành chính. Từ khi ra đời cho đến nay mạng máy tính đã đem lại hiệu quả vô cùng to lớn trong tất cả các lĩnh vực của đời sống. Bên cạnh đó người sử dụng phải đối mặt với các hiểm họa do thông tin trên mạng của họ bị tấn công. An toàn thông tin trên mạng máy tính bao gồm các phương pháp nhằm bảo vệ thông tin được lưu giữ và truyền trên mạng. An toàn thông tin trên mạng máy tính là một lĩnh vực đang được quan tâm đặc biệt đồng thời cũng là một công việc hết sức khó khăn và phức tạp. Thực tế đã chứng tỏ rằng có một tình trạng rất đáng lo ngại khi bị tấn công thông tin trong quá trình xử lý, truyền và lưu giữ thông tin. Những tác động bất hợp pháp lên thông tin với mục đích làm tổn thất, sai lạc, lấy cắp các tệp lưu giữ tin, sao chép các thông tin mật, giả mạo người được phép sử dụng thông tin trong các mạng máy tính. Sau đây là một vài ví dụ điển hình về các tác động bất hợp pháp vào các mạng máy tính: Các sinh viên trường Đại học Tổng hợp Mỹ đã lập và cài đặt vào máy tính một chương trình bắt chước sự làm việc với người sử dụng ở xa. Bằng chương trình họ đã nắm trước được nhu cầu của người sử dụng và hỏi mật khẩu của họ. Đến khi bị phát hiện các sinh viên này đã kịp lấy được mật khẩu của hơn 100 người sử dụng hợp pháp hệ thống máy tính. Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 3 Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa Các nhân viên của hãng CDC(Mỹ) đã “xâm nhập” vào trung tâm tính toán của một hãng sản xuất hóa phẩm và đã phá hủy các dữ liệu lưu giữ trên băng từ gây thiệt hại cho hãng này tới hơn 100.000$. Hãng bách khoa toàn thư của Anh đã đưa ra tòa 3 kĩ thuật viên trong trung tâm máy tính của mình với lời buộc tội họ đã sao chép từ ổ đĩa của máy chủ tên tuổi gần 3 triệu khách hàng đáng giá của hãng để bán cho hãng khác. Chiếm vị trí đáng kể hơn cả trong số các hành động phi pháp tấn công mạng máy tính là các hành vi xâm nhập vào hệ thống, phá hoại ngầm, gây nổ, làm hỏng đường cáp kết nối và các hệ thống mã hóa. Song phổ biến nhất vẫn là việc phá hủy các phần mềm xử lý thông tin tự động, chính các hành vi này thường gây thiệt hại vô cùng lớn lao. Cùng với sự gia tăng của nguy cơ đe dọa thông tin trong các mạng máy tính, vấn đề bảo vệ thông tin càng được quan tâm nhiều hơn. Sau kết quả nghiên cứu điều tra của của viện Stendfooc (Mỹ), tình hình bảo vệ thông tin đã có những thay đổi đáng kể. Đến năm 1985 nhiều chuyên gia Mỹ đi đến kết luận rằng các tác động phi pháp trong hệ thống thông tin tính toán đã trở thành tai họa quốc gia.Khi có đủ các tài liệu nghiên cứu, hiệp hội luật gia Mỹ tiến hành một cuộc nghiên cứu đặc biệt. Kết quả là gần một nửa số ý kiến thăm dò thông báo rằng trong năm 1984 họ đã là nạn nhân của các hành động tội phạm được thực hiện bằng máy tính, rất nhiều trong số các nạn nhân này đã thông báo cho chính quyền về tội phạm., 39% số nạn nhân tuy có thông báo nhưng lại không chỉ ra được mục tiêu mà mình nghi vấn. Đặc biệt nhiểu là các vụ phạm pháp xảy ra trên mạng máy tính của các cơ quan kinh doanh và nhà băng. Theo các chuyên gia, tính đến trước năm 1990 ở Mỹ lợi lộc thu được từ việc thâm nhập phi pháp vào các hệ thống thông tin đã lên tới gần 10 triệu đô la. Tổn thất trung bình mà nạn nhân phải trả vì các vụ phạm pháp ấy từ 400.000 đến 1.5 triệu đô la. Có hãng đã phải tuyên bố phá sản vì một nhân Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 4 Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa viên cố ý phá bỏ tất cả các tài liệu kế toán chứa trong bộ nhớ của máy tính về số nợ của các con nợ. CÁC HÌNH THỨC TẤN CÔNG. 1.1 Tấn công trực tiếp: Những cuộc tấn công trực tiếp thông thường được sử dụng trong giai đoạn đầu để chiếm được quyền truy nhập bên trong. Một phương pháp tấn công cổ điển là dò tìm tên ngời sử dụng và mật khẩu. Đây là phương pháp đơn giản, dễ thực hiện và không đòi hỏi một điều kiện đặc biệt nào để bắt đầu. Kẻ tấn công có thể sử dụng những thông tin như tên người dùng, ngày sinh, địa chỉ, số nhà vv để đoán mật khẩu. Trong trường hợp có được danh sách người sử dụng và những thông tin về môi trường làm việc, có một trương trình tự động hoá về việc dò tìm mật khẩu này. Một chương trình có thể dễ dàng lấy được từ Internet để giải các mật khẩu đã mã hoá của các hệ thống unix có tên là crack, có khả năng thử các tổ hợp các từ trong một từ điển lớn, theo những quy tắc do người dùng tự định nghĩa. Trong một số trường hợp, khả năng thành công của phương pháp này có thể lên tới 30%. Phương pháp sử dụng các lỗi của chương trình ứng dụng và bản thân hệ điều hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được tiếp tục để chiếm quyền truy nhập. Trong một số trường hợp phương pháp này cho phép kẻ tấn công có được quyền của người quản trị hệ thống (root hay administrator). Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 5 Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa Hai ví dụ thường xuyên được đưa ra để minh hoạ cho phương pháp này là ví dụ với chương trình sendmail và chương trình rlogin của hệ điều hành UNIX. Sendmail là một chương trình phức tạp, với mã nguồn bao gồm hàng ngàn dòng lệnh của ngôn ngữ C. Sendmail được chạy với quyền ưu tiên của người quản trị hệ thống, do chương trình phải có quyền ghi vào hộp thư của những người sử dụng máy. Và Sendmail trực tiếp nhận các yêu cầu về thư tín trên mạng bên ngoài. Đây chính là những yếu tố làm cho sendmail trở thành một nguồn cung cấp những lỗ hổng về bảo mật để truy nhập hệ thống. Rlogin cho phép người sử dụng từ một máy trên mạng truy nhập từ xa vào một máy khác sử dụng tài nguyên của máy này. Trong quá trình nhận tên và mật khẩu của người sử dụng, rlogin không kiểm tra độ dài của dòng nhập, do đó kẻ tấn công có thể đưa vào một xâu đã được tính toán trước để ghi đè lên mã chương trình của rlogin, qua đó chiếm được quyền truy nhập. 1.2. Nghe trộm: Việc nghe trộm thông tin trên mạng có thể đưa lại những thông tin có ích như tên, mật khẩu của người sử dụng, các thông tin mật chuyển qua mạng. Việc nghe trộm thường được tiến hành ngay sau khi kẻ tấn công đã chiếm được quyền truy nhập hệ thống, thông qua các chương trình cho phép bắt các gói tin vào chế độ nhận toàn bộ các thông tin lưu truyền trên mạng. Những thông tin này cũng có thể dễ dàng lấy được trên Internet. Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 6 Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa 1.3. Giả mạo địa chỉ: Việc giả mạo địa chỉ IP có thể được thực hiện thông qua việc sử dụng khả năng dẫn đường trực tiếp (source-routing). Với cách tấn công này, kẻ tấn công gửi các gói tin IP tới mạng bên trong với một địa chỉ IP giả mạo (thông thường là địa chỉ của một mạng hoặc một máy được coi là an toàn đối với mạng bên trong), đồng thời chỉ rõ đường dẫn mà các gói tin IP phải gửi đi. 1.4. Vô hiệu các chức năng của hệ thống (DoS, DDoS): Đây là kểu tấn công nhằm tê liệt hệ thống, không cho nó thực hiện chức năng mà nó thiết kế. Kiểu tấn công này không thể ngăn chặn được, do những phương tiện đợc tổ chức tấn công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên mạng. Ví dụ sử dụng lệnh ping với tốc độ cao nhất có thể, buộc một hệ thống tiêu hao toàn bộ tốc độ tính toán và khả năng của mạng để trả lời các lệnh này, không còn các tài nguyên để thực hiện những công việc có ích khác. Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 7 Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa Hình 1 Mô hình tấn công DdoS • Client là một attacker sắp xếp một cuộc tấn công • Handler là một host đã được thỏa hiệp để chạy những chương trình đặc biệt dùng đê tấn công • Mỗi handler có khả năng điều khiển nhiều agent • Mỗi agent có trách nhiệm gửi stream data tới victim Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 8 Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa 1.5. Lỗi của người quản trị hệ thống: Đây không phải là một kiểu tấn công của những kẻ đột nhập, tuy nhiên lỗi của người quản trị hệ thống thờng tạo ra những lỗ hổng cho phép kẻ tấn công sử dụng để truy nhập vào mạng nội bộ. 1.6. Tấn công vào yếu tố con người: Kẻ tấn công có thể liên lạc với một ngời quản trị hệ thống, giả làm một người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệ thống, hoặc thậm chí thay đổi một số cấu hình của hệ thống để thực hiện các phương pháp tấn công khác. Với kiểu tấn công này không một thiết bị nào có thể ngăn chặn một cách hữu hiệu, và chỉ có một cách giáo dục người sử dụng mạng nội bộ về những yêu cầu bảo mật để đề cao cảnh giác với những hiện tượng đáng nghi. Nói chung yếu tố con ngời là một điểm yếu trong bất kỳ một hệ thống bảo vệ nào, và chỉ có sự giáo dục cộng với tinh thần hợp tác từ phía người sử dụng có thể nâng cao được độ an toàn của hệ thống bảo vệ. CÁC DỊCH VỤ BẢO VỆ THÔNG TIN TRÊN MẠNG Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 9 Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa Chúng ta có thể coi các dịch vụ bảo vệ thông tin như là “bản sao” của các thao tác bảo vệ tài liệu vật lý. Các tài liệu vật lý có các chữ kí và thông tin về ngày tạo ra nó. Chúng được bảo vệ nhằm chống lại việc đọc trộm, giả mạo, phá hủy… Chúng có thể được công chứng, chứng thực, ghi âm, chụp ảnh… Tuy nhiên có các điểm khác nhau giữa tài liệu điện tử và tài liệu giấy: - Ta có thể phân biệt giữa tài liệu giấy nguyên bản và một tài liệu sao chép. Nhưng tài liệu điện tử chỉ là một dãy các bit nên không thể phân bệt được đâu là tài liệu “nguyên bản” đâu là tài liệu sao chép. - Một sự thay đổi trong tài liệu giấy đều để lại dấu vết như vết xóa, tẩy… Tuy nhiên sự thay đổi tài liệu điện tử hoàn toàn không để lại dấu vết. Dưới đây là các dịch vụ bảo vệ thông tin trên mạng máy tính. Dịch vụ bí mật (Confidentiality) Dịch vụ bí mật bảo đảm rằng thông tin trong hệ thống máy tính và thông tin được truyền chỉ được đọc bởi những bên được ủy quyển. Thao tác đọc bao gồm in, hiển thị,…Nói cách khác, dịch vụ bí mật bảo vệ dữ liệu được truyền chống lại các tấn công bị động nhằm khám phá nội dung thông báo. Thông tin được bảo vệ có thể là tất cả dữ liệu được truyền giữa hai người dùng trong một khoảng thời gian hoặc một thông báo lẻ hay một số trường trong thông báo. Dịch vụ này còn cung cấp khả năng bảo vệ luồng thông tin khỏi bị tấn công phân tích tình huống. Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 10 [...]... viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 Nghiên cứu khoa học • Đề tài: Nghiên cứu về tường lửa Bức tường lửa (Firewall) Để bảo vệ từ xa một máy tính hoặc cho cả một mạng nội bộ, người ta thường dùng các hệ thống đặc biệt là tường lửa Chức năng của các tường lửa là ngăn chặn các thâm nhập trái phép (theo danh sách truy nhập xác định trước) và thậm chí... viên:5417123 Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa Các chướng ngại Điều khiển Các phương pháp bảo vệ Vật lý Máy móc Mã hóa thông tin Chương trình Quy định Tổ chức Cướng bức Luật pháp Kích thích Đạo đức Hình 3: Các phương pháp và phương tiện bảo vệ thông tin 21 Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 Các phương tiện bảo vệ Nghiên cứu khoa... viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa thống thông tin Các biện pháp tổ chức cần được quan tâm một cáh đầy đủ trong quá trình thiết kế, xây dựng và hoạt động của hệ thống Các phương tiện luật pháp bao gồm các điều khoản luật pháp của nhà nước qui định về nguyên tắc sử dụng và xử lí thông tin, về việc tiếp cận có hạn chế thông tin và những... dịch vụ Mặt khác, dịch vụ toàn vẹn phi kết nối chỉ quan tâm đến việc sử đổi thông báo Dịch vụ toàn vẹn này thiên về phát hiện hơn là ngăn chặn 11 Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa Không thể chối bỏ (Nonrepudiation) Dịch vụ không thể chối bỏ ngăn chặn người gửi hay người nhận chối bỏ thông... Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 Nghiên cứu khoa học • Đề tài: Nghiên cứu về tường lửa Điều khiển sự tiếp cận: Điều khiển sự tiếp cận là phương pháp bảo vệ thông tin bằng cách kiểm soát việc sử dụng tất cả các tài nguyên của hệ thống Trong một mạng máy tính cần xây dựng các qui định rõ ràng và chặt chẽ về chế độ làm việc của người sử dụng, các kĩ thuật viên sử dụng các... Hạnh_Mã sinh viên:5417123 Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa GIẢI PHÁP TỔNG THỂ CHO AN TOÀN THÔNG TIN TRÊN MẠNG Khi nói đến giả pháp tổng thể cho an toàn thông tin trên mạng, các chuyên gia đểu nhấn mạnh một thực tế là không có thứ gì là an toàn tuyệt đối Hệ thống bảo vệ có chắc chắn đến đâu đi nữa rồi cũng có lúc bị vô hiệu hóa bởi những kẻ phá hoại điêu luyện về kĩ xảo và có đủ thời... Thị Hạnh_Mã sinh viên:5417123 Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa đăng kí tên và mật khẩu trước Người quản trị mạng có trách nhiệm quản lí, kiểm soát mọi hoạt động của mạng và xác định quyền truy nhập của những người sử dụng khác tùy theo thời gian và không gian, nghĩa là một người sử dụng chỉ được phép vào mạng ở những thời điểm và từ những vị trí xác định Về lí thuyết, nếu mọi người... vệ khác nhau - Thống nhất và chuẩn hóa các phương tiện bảo vệ 23 Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa PHẦN II: FIREWALL GIỚI THIỆU VỀ FIREWALL Ngày nay, ở bất kỳ đâu chúng ta cũng nghe nói đến mạng Internet, các phương tiện thông tin đại chúng như báo chí, phát thanh, truyền hình… Qua mạng... viên:5417123 Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa ĐỐI TƯỢNG BẢO VỆ Nhu cầu bảo vệ thông tin trên mạng có thể chia thành ba loại gồm: Bảo vệ dữ liệu; Bảo vệ các tài nguyên sử dụng trên mạng và Bảo vệ uy tín của cơ quan 1.1 Đối với dữ liệu Những thông tin lưu trữ trên hệ thống máy tính cần được bảo vệ do các yêu cầu sau: - Tính bí mật (Secrecy): Những thông tin có giá trị về kinh tế, quân... đến sau khi chính hệ thống của mình được dùng làm bàn đạp để tấn công các hệ thống khác, thì tổn thất về uy tín là rất lớn và có thể để lại hậu quả lâu dài 26 Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa PHÂN LOẠI KẺ TẤN CÔNG Có rất nhiều kẻ tấn công trên mạng toàn cầu-Internet và chúng ta cũng không . Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa Đề Tài Nghiên cứu về tưởng lửa Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 1 Nghiên. viên:5417123 18 Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa • Bức tường lửa (Firewall) Để bảo vệ từ xa một máy tính hoặc cho cả một mạng nội bộ, người ta thường dùng các hệ thống đặc biệt là tường lửa. . CHUNG VỀ PROXY 65 Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 2 Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa PHẦN I: TỔNG QUAN VỀ AN