Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 124 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
124
Dung lượng
591 KB
Nội dung
Tìm hiểu về an toàn và bảo mật trên mạng Máy chủ pháo đài, bảo mật mạng máy tính LỜI MỞ ĐẦU Những năm cuối của thế kỉ 20 được coi là thời đại bùng nổ thông tin, cùng với nó là sự phát triển mạnh mẽ của những ngành công nghệ cao: điện tử, vật liệu mới Đặc biệt, công nghệ thông tin đã được áp dụng, len lỏi vào hầu hết các lĩnh vực của đời sống xã hội, nó góp phần đáng kể trong việc công nghiệp hoá hiện đại hoá của mỗi một quốc gia. Trong những năm gần đây, hệ thống mạng máy tính của nước ta phát triển một cách mạnh mẽ. Hầu hết các ngành đều đã dần dần từng bước đưa ứng dụng tin học vào phục vụ công việc của ngành. Đặc biệt từ năm 1997 nước ta chính thức kết nối vào hệ thống Internet toàn cầu, sau hơn 5 năm chúng ta đó cú hàng trăm ngàn thuê bao Internet. Internet thực sự là một nguồn tài nguyên thông tin rộng lớn và phong phú nhất hiện nay. Đặc biệt là trong thời đại kinh tế tri thức, nắm bắt được thông tin sớm và chính xác có ý nghĩa vô cùng quan trọng, giúp cho các doanh nghiệp, các tổ chức, chính phủ hoạch định chính sách, chiến lược, đảm bảo sự phát triển bền vững của doanh nghiệp, tổ chức cũng như một quốc gia. Lợi ích từ việc sử dụng hệ thống Internet là rất lớn, tuy nhiên bản thân Internet cũng chứa đựng rất nhiều mối hiểm hoạ thường trực từ những tin tặc (hacker), chỳng luụn tìm cách thâm nhập vào bên trong các mạng nội bộ để khai thác thông tin, phá hoại hệ thống thông tin của chúng ta. Có những kẻ lợi dụng Internet để truyền bá thông tin bất hợp pháp nhằm truyền bá tư tưởng phản động, văn hoá phẩm không lành mạnh Vấn để cần đặt ra là làm thế nào để ngăn chặn sự xâm nhập trái phép từ bên ngoài vào hệ thống mạng nội bộ cũng như kiểm soát được thông tin trên mạng, đồng thời phải đảm bảo cho việc hoạt động bình thường của hệ thống. Trong bản báo cáo thực tập chuyên ngành này bao gồm 3 phần: Tìm hiểu về an toàn và bảo mật trên mạng PhầnI: Bảo mật mạng máy tính. Là một cách nhìn tổng quan về vấn đề giữ an toàn cho mạng máy tính: có những kiểu tấn công mạng như thế nào và cỏc cỏch phòng chống. Phần II: Máy chủ pháo đài Phần này nghiên cứu về lý thuyờt và thực hành để xây dựng và vận hành một máy chủ pháo đài. Phần III: Tấn công từ chối dịch vụ Phần này nghiên cưu một cách sơ bộ kiểu tấn công rất phổ biến trên mạng hiện nay là kiểu tấn công từ chối dịch vụ. Tìm hiểu về an toàn và bảo mật trên mạng Phần I: Bảo mật mạng máy tính 1. Hệ thống cần bảo vệ những gì Bức tường lửa về cơ bản là một thiết bị bảo vệ. Khi xây dựng một bức tường lửa, điều đầu tiên ta cần quan tâm là chúng ta muốn bảo vệ cái gì. Khi kết nối với Internet, có 3 thứ sẽ gặp nguy hiểm, đó là: • Dữ liệu : là thông tin được lưu trữ trong máy tính • Nguồn tài nguyên : là bản thân những máy tính • Danh tiếng của chúng ta 1.1.Dữ liệu Dữ liệu có ba đặc tính riêng rẽ cần được bảo vệ, đó là : • Tính bảo mật ( Secrecy): ta không muốn những người khác xem được dữ liệu • Tính toàn vẹn(Integrity): ta không muốn những người khác có thể thay đổi được dữ liệu • Tính sẵn sàng(Availability): ta muốn chắc chắn là ta lúc nào cũng có thể sử dụng được dữ liệu Mọi người đều có khuynh hướng tập trung vào sự tổn thất liên quan đến tính bảo mật, và điều đó là đúng vì đó là sự tổn thất lớn. Rất nhiều tổ chức có những thông tin rất bí mật như những thông tin về mẫu sản phẩm mới, về tài chính, hay trong các trường đại học thì là những thông tin liên quan đến quản lý sinh viên được lưu trong máy tính. Nói cách khác, trong máy tính của chúng ta luụn cú những thông tin quan trong khác nhau mà chúng ta không muốn những người không nên biết được biết đến. Tìm hiểu về an toàn và bảo mật trên mạng Giả sử ta không có những dữ liệu cần bảo mật, chúng ta vẫn phải quan tâm đến an toàn trên mạng vì ngoài tính bảo mật, ta còn phải quan tâm đến tính toàn vẹn và sẵn sàng của dữ liệu. Nếu như dữ liệu của ta không cần bảo mật, chúng ta vẫn có nguy cơ trong trường hợp dữ liệu bị xoá hay bị sửa đổi đi. Hậu quả là chúng ta sẽ phải tốn rất nhiều thời giờ và tiền bạc để khôi phục lại dữ liệu. Ngoài ra nếu an toàn mạng bị phỏ, thỡ nhà quản trị tiêu tốn rất nhiều tiền của và công sức cho việc khôi phục lại hiện trạng cho mạng như ban đầu. 1.2. Nguồn tài nguyên Hầu hết mọi người muốn sử dụng những chiếc máy tính của chính mình và buộc người khác phải trả chi phí khi sử dụng máy tính của họ. Nhưng không ai có thể đòi hỏi điều này đối với những kẻ xâm nhập trái phép. Chúng ta phải tiêu tốn rất nhiều thời gian và tiền bạc cho tài nguyên và ta có quyền quyết định chúng phải được sử dụng như thế nào. Hơn nữa, trên thực tế, trong các cuộc tấn công tên Internet, kẻ tấn công sau khi đã làm chủ được hệ thống bên trong có thể sử dụng sử dụng cỏc mỏy này để phục vụ cho mục đích của họ như chạy các chương trình dò mật khẩu người dùng, sử dụng các liên kết mạng sẵn có để tiếp tục tấn công các hệ thống khác v.v 1.3. Danh tiếng của chúng ta Trong một số trường hợp, các hacker ăn cắp user của mạng máy tính của chúng ta rồi dựng nú để truy nhập Internet và thực hiện các cuộc tấn công vào các mạng máy tính khác. Trong hầu hết các trường hợp, các mạng bị tấn công đó sẽ gọi đến mạng chúng ta và chất vấn về việc có người dùng ở đây xâm nhập vào mạng của họ. Điều này sẽ ảnh hưởng rất lớn đến uy tín của mạng. Tìm hiểu về an toàn và bảo mật trên mạng Đôi khi, những kẻ mạo danh cũn dựng thư điện tử của mạng chúng ta để gửi những thư có nội dung xấu đến các nơi khác. Điều này cũng có ảnh hưởng rất xấu đến mạng của chúng ta. 2. Những nguy hiểm hệ thống phải đương đầu 2.1. Những kiểu tấn công Có rất nhiều kiểu tấn công khác nhau vào hệ thống, và có nhiều cách để phân loại chúng. Trong phần này, ta chia các kiểu tấn công thành 3 loại : xâm nhập, từ chối dịch vụ và ăn cắp thông tin a. Xâm nhập Kiểu tấn công vào hệ thống thông thường nhất là xâm nhập (intrusions), bằng xâm nhập, tin tặc có khả năng sử dụng những máy tính của hệ thống như những người quản lý hệ thống thực sự. Tin tặc có hàng chục con đường để xâm nhập vào. Chúng có thể dùng kiểu tấn công bằng mánh lới (tìm hiểu tên tuổi của người lãnh đạo cấp cao của công ty, sau đó giả danh là người đó gọi điện đến người quản trị hệ thống yêu cầu đổi mật khẩu truy cập) hay dựng cỏch đoỏn mật khẩu (sử dụng việc thử hàng loạt tên và mật khẩu khác nhau để tìm ra tên và mật khẩu đúng) và có thể dựng cỏc cỏch phức tạp để truy nhập vào mạng mà không cần dùng tên và mật khẩu. Tường lửa có thể chống lại kiểu tấn công bằng xâm nhập. Một cách lý tưởng, tường lửa khoá tất cả các đường vào hệ thống nếu như không biết tên và mật khẩu. Khi được cài đặt hoàn hảo, nó làm giảm số lượng tài khoản có khả năng truy cập từ bên ngoài, do đó làm giảm nguy cơ tấn công bằng đoán mật khẩu hay dựng mỏnh khoộ. Nhiều hệ thống thiết kế tường lửa chỉ cho Tìm hiểu về an toàn và bảo mật trên mạng phép mật khẩu đưa vào một lần mà thôi, nếu như sai mật khẩu thì lập tức từ chối truy nhập ngay lập tức để tránh việc đoán mật khẩu. b. Từ chối dịch vụ Kiểu tấn công từ chối dịch vụ là kiểu tấn công hệ thống bằng cách ngăn cản người dùng sử dụng các dịch vụ của hệ thống Tin tặc làm tràn ngập hệ thống mạng bằng những thông điệp, hay những yêu cầu hệ thống làm cho mạng phải mất nhiều thời gian để trả lời những thông điệp và yêu cầu đó, mạng sẽ có thể bị nghẽn vì quá tải. Trong khi làm tràn ngập là một cách thức thông thường và đơn giản nhất để tiến hành tấn công từ chối dịch vụ, tin tặc thông minh hơn có thể làm vô hiệu hoỏ cỏc dịch vụ, thay đổi đường dẫn hay thay thế chúng. Khó có thể tránh được tất cả các cuộc tấn công từ chối dịch vụ. Ví dụ rất nhiều mạng thiết kế để người dùng sẽ bị khoá sau một số lần truy cập sai. Thiết kế như vậy để bảo vệ kiểu tấn công bằng cách đoán mật khẩu. Nhưng mặt khác, nó tạo cơ hội cho tin tặc tấn công bằng từ chối dịch vụ. Nú khoỏ tài khoản của bất kỳ người dùng nào bằng cách thử truy nhập vào mạng nhiều lần bằng tài khoản đó. Nguy cơ của việc bị tấn công bằng từ chối dịch vụ là không thể tránh khỏi. Nếu hệ thống chấp nhận việc nhận thông tin từ bên ngoài : thư điện tử, gói tin thì rất có khả năng hệ thống sẽ bị làm nghẽn. Điều quan trọng là khi thiết lập những dịch vụ, phải đảm bảo rằng nếu như một dịch vụ bị nghẽn (flooded) thì phần còn lại của hệ thống vẫn phải hoạt động đồng thời với việc tìm kiếm và sửa chữa lỗi. c. Ăn cắp thông tin Tìm hiểu về an toàn và bảo mật trên mạng Một số kiểu tấn công cho phép tin tặc lấy được dữ liệu mà không cần trực tiếp sử dụng máy tính của hệ thống. Dữ liệu đó có thể là tài khoản của người dùng là tên truy nhập và mật khẩu. Tin tặc có thể lấy được dữ liệu đó bằng cách nối trộm thiết bị vào mạng và thu lấy tất cả thông tin đi qua. Thông tin về tên truy nhập và mật khẩu thường dễ dàng đoán ra ở ngay thông tin tương tác ban đầu trong rất nhiều mạng máy tính. Việc nối trộm vào mạng để dò la thông tin thường được gọi là sniffing. 3. Các phương pháp để bảo vệ hệ thống Ở trên là liệt kê một loạt các kiểu tấn công. Thông thường người quản trị mạng chọn rất nhiều kiểu bảo mật, từ kiểu bảo mật gọi là “ Bảo mật qua việc che giấu” và bảo mật máy chủ , đến bảo mật cho toàn mạng. 3.1. Bảo mật qua việc che giấu Một kiểu bảo mật được sử dụng thông thường là “bảo mật qua việc che giấu”. Với kiểu bảo mật này, hệ thống được an toàn đơn giản là không ai biết gì về nó : sự tồn tại của nó, nội dung bên trong, các biện pháp bảo mật hay những cỏi khỏc. Kiểu này thường khó có thể làm việc được lõu vỡ có rất nhiều cách để tìm ra một hệ thống. Nhiều người cho rằng thậm chí khi tin tặc tìm thấy hệ thống, chúng cũng không thèm để ý đến khi thấy đó chỉ là một mạng máy tính nhỏ. Trong thực tế thì lại khác. có rất nhiều tin tặc nhằm vào bất kỳ hệ thống nào nếu có thể. Đối với chúng, những mạng nhỏ được coi là những mục tiêu dễ tấn công nhất. 3.2. Bảo mật máy chủ Kiểu bảo mật máy chủ là kiểu hay sử dụng nhất hiện nay. Theo kiểu này, hệ thống thiết lập bảo mật cho từng máy chủ một cách riêng rẽ. Khó Tìm hiểu về an toàn và bảo mật trên mạng khăn lớn nhất cho kiểu bảo mật này là nó rất phức tạp khi thiết lập cho những hệ thống lớn. Những hệ thống hiện đại bao gồm nhiều máy chủ từ nhiều nhà cung cấp khác nhau, chạy với nhiều hệ điều hành khác nhau, và mỗi máy chủ với hệ điều hành khác nhau đó sẽ có vấn đề riêng về bảo mật. Thậm chí khi hệ thống chỉ gồm máy chủ từ một nhà cung cấp, việc sử dụng các phiên bản khác nhau của một hệ điều hành sẽ dẫn đến nhiều vấn đề về bảo mật khác nhau. Ngay cả khi những máy chủ đó chạy cùng một phiên bản của hệ điều hành, các cài đặt khác nhau (các dịch vụ chạy trờn cỏc mỏy là khác nhau) có thể gây ra các vấn đề về bảo mật khác nhau. Kiểu bảo mật máy chủ chỉ nên áp dụng ở những hệ thống mạng nhỏ, hay ở những hệ thống đòi hỏi phải được bảo mật thật cao. Tuy nhiên mọi mạng thực sự đều cần vài mức bảo mật máy chủ trong toàn bộ kế hoạch bảo mật. Thậm chí khi hệ thống sử dụng kiểu bảo mật toàn mạng (được trình bày ở phần tiếp theo), một số thiết lập áp dụng kiểu bảo mật máy chủ cũng rất có ích. Ví dụ như một hệ thống mạng được bảo vệ bởi một bức tường lửa thì cũng có một số phần của hệ thống phải đứng ngoài tường lửa để liên hệ với các mạng khác cần được bảo mật theo kiểu bảo mật máy chủ. Vấn đề là nếu chỉ một kiểu bảo mật máy chủ thụi thỡ sẽ không đạt hiệu quả về kinh tế (trừ những hệ thống nhỏ, đơn giản); nó đòi hỏi quá nhiều hạn chế và nhiều người để vận hành. 3.3. Bảo mật toàn mạng Khi hệ thống mạng luôn thay đổi và phát triển, và khi việc bảo mật chúng theo kiểu bảo mật từng máy chủ càng ngày càng khó khăn, rất nhiều mạng đã chuyển sang kiểu bảo mật toàn mạng. Với kiểu bảo mật toàn mạng, hệ thống tập trung vào quản lý truy nhập mạng cho rất nhiều máy chủ và các dịch vụ chạy ở trên các máy chủ đó chứ không bảo mật từng máy chủ một. Tìm hiểu về an toàn và bảo mật trên mạng Phương pháp bảo mật toàn mạng bao gồm xây dựng tường lửa để bảo vệ hệ thống mạng bên trong, sử dụng việc kiểm tra quyền truy cập một cách chặt chẽ( như vào mật khẩu một lần), và sử dụng mó hoỏ để bảo vệ những dữ liệu quan trọng khi dữ liệu đó truyền trên mạng. Một hệ thống mạng dùng phương pháp bảo mật toàn mạng sẽ đạt được hiệu quả rất lớn. Ví dụ một tường lửa bảo vệ mạng có thể bảo vệ hàng trăm, hàng ngàn những máy tính chống lại sự tấn công từ bên ngoài mà không hề cần đến mức bảo vệ từng máy chủ cho từng máy tính. 4. Tường lửa Internet Như đã nói trên, tường lửa là một kiểu bảo mật hữu hiệu trong bảo mật hệ thống. Phần này đề cập ngắn gọn về tác dụng của tường lửa đối với bảo mật mạng máy tính. Trong xây dựng, một tường lửa được thiết kế để ngăn lửa không cháy lan từ một phần của ngôi nhà đến các phần khác. Về nguyên lý, một tường lửa Internet thực hiện cùng công việc đú : nú ngăn những nguy hiểm của Internet lan sang mạng máy tính của chúng ta. Trong thực tế, một tường lửa Internet giống như một cái hào của lâu đài thời Trung cổ hơn là tường lửa trong xây dựng. Nó thực hiện các chức năng sau: • Nó hạn chế người đi vào tại những điểm cần kiểm soát cẩn thận • Nó ngăn cản những tin tặc lại gần những điểm cần bảo vệ • Nó hạn chế người đi ra tại những điểm cần kiểm soát cẩn thận Một tường lửa Internet thường được thiết lập tại điểm kết nối giữa mạng bên trong và Internet. Như hình vẽ : Tìm hiểu về an toàn và bảo mật trên mạng Tất cả dòng thông tin đi từ Internet vào hay đi từ mạng bên trong ra đều phải qua tường lửa, do đó tường lửa có khả năng đảm bảo những thông tin đó là tin cậy. Một tường lửa có chức năng chia, hạn chế và phân tích thông tin. Thông thường, một tường lửa là một tập hợp của các thiết bị phần cứng : một bộ dẫn đường (router), một máy tính chủ, hay là một sự kết hợp của các router, máy tính và mạng với phần mềm thích hợp. Có rất nhiều cách thức để định cấu hình những thiết bị đó và điều này phụ thuộc vào chiến lược, ngân quỹ của từng mạng. Một tường lửa ít khi là một thực thể vật lý đơn chiếc, thông thường một tường lửa bao gồm nhiều phần, và một số trong đó thực hiện các nhiệm vụ khác bên cạnh chức năng là một phần của tường lửa. Kết nối với Internet hầu như luôn là một phần của tường lửa. 4.1 Tường lửa có thể làm gì Tường lửa có thể làm nhiều việc trong việc bảo mật mạng. Dưới đây là liệt kê một số ưu điểm của việc sử dụng tường lửa a. Một tường lửa là trung tâm cho những quyết định bảo mật [...]... nhập vào các file trong máy chủ FTP, người dùng truy nhập vào mạng với tên truy nhập đặc biệt “anonymous” Để thiết lập server FTP ẩn danh, mạng phải đảm bảo rằng người dùng không thể truy cập vào những vựng khỏc và những file khác trong mạng Tìm hiểu về an toàn và bảo mật trên mạng Mạng cũng phải đảm bảo rằng người dùng không thể sử dụng máy chủ một cách không thích hợp 5.3 Tin tức thảo luận trên mạng. .. kiểm tra bảo mật Nờn dùng một số phần mềm kiểm tra các lỗi bảo mật để kiểm tra máy chủ pháo đài Các phần mềm này sẽ phát hiện những lỗi bảo mật cũn sút trong hệ thống Sau đó thực hiện sửa các lỗi bảo mật đó f Kết nối máy chủ pháo đài với Internet Tìm hiểu về an toàn và bảo mật trên mạng Sau khi hoàn thành việc bảo mật cho máy chủ pháo đài ta tiến hành việc kết nối máy chủ pháo đài vào mạng và kết nối... này, mạng phải được định dạng sao cho không để các dịch vụ khác bị nghẽn Giao thức truyền tin tức mạng (NNTP) được sử dụng để truyền tin tức thảo luận trên mạng Khi cài đặt máy chủ phục vụ dịch vụ tin tức thảo luận, phải thực hiện bảo mật cao nhất để đảm bảo cho NNTP không thể tấn công vào mạng Một số mạng cài đặt máy chủ pháo đài để bảo mật cho dịch vụ này Tìm hiểu về an toàn và bảo mật trên mạng. .. nhất.Cỏi mà chúng ta cần bảo vệ là những dịch vụ mà ta sẽ dùng Tìm hiểu về an toàn và bảo mật trên mạng hay cung cấp lên mạng Internet Do đó phần này đi vào xem xét các dịch vụ của Internet và những vấn đề về bảo mật liên quan Có rất nhiều các dịch vụ Internet chuẩn người dùng mạng yêu cầu, và hầu hết các mạng đều cố gắng cung cấp Có nhiều lý do quan trọng trong việc sử dụng các dịch vụ đó Nếu không có chỳng... khi bị nguy hiểm, nhưng không thể nói là hoàn toàn không bị Tìm hiểu về an toàn và bảo mật trên mạng nguy hiểm Giả mạo thư điện tử là việc dễ dàng thực hiện, và giả mạo thư điện tử có thể dẫn đến hai kiểu tấn công : tấn công vào thanh danh của mạng và tấn công vào giao dịch xã hội ( Ví dụ : hacker có thể giả mạo thư của người quản trị mạng gửi cho người dùng mạng với yêu cầu là đổi password truy nhập)... tính dùng Trong thời gian đầu của Internet, mỗi mạng đều có một bảng danh sách các máy chủ, trong đó liệt kê tất cả cỏc tờn và địa chỉ số của những máy tính trên Internet mà họ quan tâm Do có hàng triệu máy chủ trên Internet nên việc mỗi mạng máy tính có một bảng danh sách máy chủ của tất cả cỏc mỏy trờn Internet là Tìm hiểu về an toàn và bảo mật trên mạng không thực tế Thay vào đó, dịch vụ cung cấp.. .Tìm hiểu về an toàn và bảo mật trên mạng Tường lửa giống như một điểm kiểm tra Tất cả dòng thông tin vào và ra phải qua một điểm kiểm tra duy nhất Hệ thống có khả năng bảo mật lớn vì tường lửa cho phép hệ thống tập trung những biện pháp bảo mật vào điểm kiểm tra này, điểm mà mạng bên trong nối với Internet b Một tường lửa có thể thi hành những chính sách bảo mật Rất nhiều những... mới và hoàn toàn dựa trên nền Internet, dựa vào một phần của những dịch vụ có sẵn, và một phần vào một giao thức mới, giao thức truyền siêu văn bản (HTTP) WWW là một tập hợp của những máy chủ HTTP trên Internet Ngày nay có rất nhiều tổ chức và cá nhân phát triển Web cho người dùng và phần mềm cho máy chủ Web sử dụng công nghệ liên kết siêu văn bản để kết nối Tìm hiểu về an toàn và bảo mật trên mạng. .. nguy hiểm Vì lý do này, cấu trúc mạng con có lọc trở nên phổ biến Tìm hiểu về an toàn và bảo mật trên mạng 6.3.3 Cấu trúc mạng con có lọc Cấu trúc mạng con có lọc là cấu trúc máy chủ có lọc cộng thêm một lớp bảo mật nữa bằng cách đưa thêm một mạng vòng ngoài để cách ly giữa mạng bên trong và Internet Ta sẽ giải thích lý do tại sao lại thực hiện như vậy Như thiết kế ban đầu, máy chủ pháo đài là những... kết nối giữa mạng bên trong và mạng bên ngoài Máy chủ đại diện như tên gọi, là trung gian cho các giao tiếp dịch vụ giữa các máy trạm trong mạng và Internet Thay cho việc dựng cỏc dịch vụ Internet trực tiếp, từng máy trạm làm việc với máy chủ đại diện Máy chủ đại diện thực hiện tất cả giao tiếp giữa người dùng và những dịch vụ Internet một cách bí mật Tìm hiểu về an toàn và bảo mật trên mạng Dùng máy . phần: Tìm hiểu về an toàn và bảo mật trên mạng PhầnI: Bảo mật mạng máy tính. Là một cách nhìn tổng quan về vấn đề giữ an toàn cho mạng máy tính: có những kiểu tấn công mạng như thế nào và cỏc. biết đến. Tìm hiểu về an toàn và bảo mật trên mạng Giả sử ta không có những dữ liệu cần bảo mật, chúng ta vẫn phải quan tâm đến an toàn trên mạng vì ngoài tính bảo mật, ta còn phải quan tâm đến. vào quản lý truy nhập mạng cho rất nhiều máy chủ và các dịch vụ chạy ở trên các máy chủ đó chứ không bảo mật từng máy chủ một. Tìm hiểu về an toàn và bảo mật trên mạng Phương pháp bảo mật toàn