Đang tải... (xem toàn văn)
Các hình thức tấn công qua mạng Internet cũng như biện pháp chung để bảo vệ, ngăn chặn những cuộc tấn công đó
Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368 MỤC LỤC LỜI MỞ ĐẦU 3 Phần 1: AN TỒN THƠNG TIN TRÊN MẠNG (NETWORKSECURITY) .5 1. Tổng quan về an ninh, an tồn trên mạng Internet (Internet Security). .5 2. Tại sao cần có an ninh mạng ? .6 2.1. Thực tế về sự phát triển Internet 6 2.2. Thực trạng an ninh trên mạng ở Việt Nam trong thời gian qua .7 3. Các hình thức tấn cơng trên mạng Internet 8 3.1. Tấn cơng trực tiếp 8 3.2. Nghe trộm trên mạng .8 3.3. Giả mạo địa chỉ IP 9 3.4. Vơ hiệu hố các chức năng của hệ thống .9 3.5. Lỗi của người quản trị hệ thống .10 3.6. Tấn cơng vào các yếu tố con người 10 3.7. Một số kiểu tấn cơng khác .11 4. Phân loại kẻ tấn cơng 11 5. Phương pháp chung ngăn chặn các kiểu tấn cơng .12 6. Phương thức mã hóa - bảo mật thơng tin 14 6.1. Đặc điểm chung của các phương thức mã hóa .14 6.2. Các phương thức mã hóa 17 Phần 2: KHÁI NIỆM VÀ CHỨC NĂNG CỦA FIREWALL .21 1. Lịch sử 21 2. Định nghĩa FireWall 23 3. Phân loại FireWall .24 4. Sự cần thiết của FireWall .26 Lớp Cơng Nghệ Thơng Tin K47 1 Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368 5. Chức năng chính của FireWall 26 6. Cấu trúc của FireWall 27 7. Các thành phần của FireWall và cơ chế hoạt động 28 8. Vai trò của FireWall 33 9. Phải chăng tường lửa rất dễ bị phá .34 10. Những hạn chế của FireWall 35 Phần 3: MÔ HÌNH VÀ ỨNG DỤNG CỦA FIREWALL 36 1. Một số mô hình Firewall thông dụng .36 1.1. Packet filtering: 36 1.2. Dual-homed host: .38 1.3. Demilitarized Zone (Screened-subnet Firewall) .39 1.4. Proxy service: .42 2. Ứng dụng 43 2.1. Quản lý xác thực (Authenti-cation) 43 2.2. Quản lý cấp quyền (Autho-rization) 44 2.3. Quản lý kế toán (Accounting management). .44 KẾT LUẬN 46 TÀI LIỆU THAM KHẢO 47 Lớp Công Nghệ Thông Tin K47 2 Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368 LỜI MỞ ĐẦU INTERNET ngày nay không còn xa lạ gì với chúng ta nữa, nó đã trở thành mạng dữ liệu công cộng làm cho việc liên lạc cá nhân, công việc trở nên thuận tiện hơn nhiều. Với lợi ích to lớn của nó, mạng Internet cùng với các công nghệ liên quan đã mở ra một cánh cửa làm tăng số lượng các vụ tấn công vào những công ty, cơ quan và cả những cá nhân, nơi lưu giữ những dữ liệu nhạy cảm như bí mật quốc gia, số liệu tài chính, số liệu cá nhân . Hậu quả của các cuộc tấn công này có thể chỉ là phiền phức nhỏ, nhưng cũng có thể làm các dữ liệu quan trọng bị xóa, sự riêng tư bị xâm phạm và chỉ sau vài ngày, thậm chí vài giờ sau, toàn bộ hệ thống có thể bị tê liệt hoàn toàn… Do đó, song song với việc phát triển và khai thác các dịch vụ trên Internet, rất cần nghiên cứu giải quyết vấn đề đảm bảo an ninh trên mạng. Như vậy, có thể nói việc tìm hiểu và nghiên cứu về công nghệ Firewall đã và đang trở thành một vấn đề cấp thiết, đặc biệt là đối với những người chuyên sâu về lĩnh vực bảo mật. Trong khuôn khổ của đề án này, em xin trình bày khái quát về vấn đề "Internet Security". Các hình thức tấn công qua mạng Internet cũng như biện pháp chung để bảo vệ, ngăn chặn những cuộc tấn công đó. Và đi sâu vào nghiên cứu một loại thiết bị bảo vệ mạng khỏi thế giới bên ngoài đó là bức tường lửa (Firewall). Lớp Công Nghệ Thông Tin K47 3 Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368 Nội dung của đề án bao gồm 3 phần: Phần1: An toàn thông tin trên mạng. Phần2: Khái niệm và chức năng của Firewall. Phần3: Mô hình và ứng dụng của Firewall. Trong quá trình thực hiện đề án do còn hạn chế về nhiều mặt nên không thể tránh khỏi có những sai sót, em rất mong nhận được những ý kiến đóng góp, chỉ bảo của các thày cô và những người quan tâm đến vấn đề này. Em xin chân thành cảm ơn cô giáo Nguyễn Quỳnh Mai đã nhiệt tình giúp đỡ và hướng dẫn em trong suốt thời gian thực hiện đề án này. Em xin chân thành cảm ơn! Hà nội, tháng 10/2008 Lớp Công Nghệ Thông Tin K47 4 Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368 Phần 1: AN TOÀN THÔNG TIN TRÊN MẠNG (NETWORKSECURITY) 1. Tổng quan về an ninh, an toàn trên mạng Internet (Internet Security). Mạng máy tính toàn cầu (Internet) là mạng của các mạng máy tính được kết nối với nhau qua giao thức TCP/IP nhằm trao đổi và xử lý thông tin tương hỗ. Các mạng được điều hành hoạt động bởi một hoặc nhiều loại hệ điều hành mạng. Như vậy, hệ điều hành mạng có thể điều phối một phần của mạng và là phần mềm điều hành đơn vị quản lý nhỏ nhất trên toàn bộ mạng. Điều khác nhau giữa mạng máy tính và xã hội loài người là đối với mạng máy tính chúng ta phải quản lý tài sản khi mà các ngôi nhà đều luôn mở cửa. Các biện pháp vật lý là khó thực hiện vì thông tin và thiết bị luôn cần được sử dụng. Trên hệ thống mạng mở như vậy, bảo vệ thông tin bằng mật mã là ở mức cao nhất song không phải bao giờ cũng thuận lợi và không tốn kém. Thường thì các hệ điều hành mạng, các thiết bị mạng sẽ lãnh trách nhiệm lá chắn cuối cùng cho thông tin. Vượt qua lá chắn này thông tin hầu như không còn được bảo vệ nữa. Gối trên nền các hệ điều hành là các dịch vụ mạng như: Thư điện tử (Email), WWW, FTP, News, . làm cho mạng có nhiều khả năng cung cấp thông tin. Các dịch vụ này cũng có các cơ chế bảo vệ riêng hoặc tích hợp với cơ chế an toàn của hệ điều hành mạng. Lớp Công Nghệ Thông Tin K47 5 Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368 Internet là hệ thống mạng mở nên nó chịu tấn công từ nhiều phía kể cả vô tình và hữu ý. Các nội dung thông tin lưu trữ và lưu truyền trên mạng luôn là đối tượng tấn công. Nguy cơ mạng luôn bị tấn công là do người sử dụng luôn truy nhập từ xa. Do đó thông tin xác thực người sử dụng như mật khẩu, bí danh luôn phải truyền đi trên mạng. Những kẻ xâm nhập tìm mọi cách giành được những thông tin này và từ xa truy nhập vào hệ thống. Càng truy nhập với tư cách người dùng có quyền điều hành cao thì khả năng phá hoại càng lớn. Nhiệm vụ bảo mật và bảo vệ vì vậy mà rất nặng nề và khó đoán định trước. Nhưng tập trung lại gồm ba hướng chính sau: Bảo đảm an toàn cho phía server. Bảo đảm an toàn cho phía client. Bảo mật thông tin trên đường truyền. 2. Tại sao cần có an ninh mạng ? 2.1. Thực tế về sự phát triển Internet. Bật máy tính lên, kết nối vào mạng Internet là người sử dụng đã đến với một thế giới của thông tin, tri thức và các giao dịch điện tử. Như vậy cũng có nghĩa là người sử dụng đã bắt đầu phải đương đầu với các vụ tấn công trên đó: virus, mất cắp dữ liệu, các giao dịch tài chính . Càng giao thiệp rộng thì càng dễ bị tấn công. Theo CERT (Computer Emegency Response Team), năm 1989 có 200 vụ tấn công, truy nhập trái phép trên mạng được báo cáo; năm 1991 có 400 vụ; năm 1993 có 1400 vụ; năm 1994 có 2241 vụ… Riêng năm 2000 có 22.000 vụ tấn công trên mạng, hết năm 2001 là 46.000 vụ, nhiều hơn hai lần so với năm trước. Như vậy số vụ tấn công ngày càng tăng, một phần cũng do kỹ thuật ngày càng mới. Lớp Công Nghệ Thông Tin K47 6 Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368 2.2. Thực trạng an ninh trên mạng ở Việt Nam trong thời gian qua. Trong những năm vừa qua cùng với các Website nối tiếng trên thế giới bị tấn công như (Yahoo, Amazon.com, eBay, Buy.com) các Website của Việt nam cũng không nằm ngoài mục tiêu đột kích của các hacker. Gần đây nhất là vụ tấn công của các hacker vào Website của Vitranet. Thay vì hiện nội dung trang Web của mạng thông tin thương mại thị trường Việt nam lại là nội dung của trang Web có nội dung không lành mạnh khi người sử dụng gõ vào dòng địa chỉ: http://www.vinaone.com. Tuy nhiên, do số lượng các trang Web của Việt Nam còn ít, số lượng người sử dụng Internet chưa nhiều (cả nước có khoảng 40.000 thuê bao Internet) nên nếu có bị tấn công cũng gây thiệt hại không đáng kể. Trong thời gian qua, các đường truyền Internet của Việt Nam vốn có lưu lượng rất thấp so với thế giới đã một số lần bị tắc vào các giờ cao điểm. Tuy nhiên các trang Web của nước ta lo ngại nhất là các hacker phá hoại, sửa chữa làm sai lệch thông tin . chứ không sợ "dội bom". Bản thân mạng VNN cũng đã nhiều lần bị tấn công dưới hình thức bom thư. Hàng ngàn bức thư từ nhiều địa điểm trên thế giới đã đồng loạt gửi về mạng nhưng sự tắc nghẽn không đáng kể. Việc đối phó với hình thức tấn công này không phải là quá khó nhưng để đi tới một giải pháp tối ưu, triệt để thì lại là vấn đề đáng bàn. Để đối phó với các hình thức tấn công từ bên ngoài, Ban điều phối mạng Internet Việt Nam cũng đã đưa ra những nghiên cứu, dự phòng. Cụ thể là sử dụng các thiết bị như Firewall, máy chủ uỷ quyền và tổ chức phân cấp công việc, trách nhiệm cụ thể. Các thông tin quan trọng nhất được lưu vào đĩa quang (hacker không xóa được) để nếu trang Web bị hacker vào làm sai lệch thì xóa toàn bộ rồi lại nạp từ đĩa quang sang. Thêm vào đó Nhà nước còn quy định các máy tính nối mạng không được Lớp Công Nghệ Thông Tin K47 7 Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368 truy cập vào các cơ sở dữ liệu quan trọng, bí mật quốc gia. Đồng thời không cho thiết lập các đường hotline (đường truy cập trực tiếp) vào các trang Web quan trọng nhất. 3. Các hình thức tấn công trên mạng Internet. 3.1. Tấn công trực tiếp. Những cuộc tấn công trực tiếp thông thường được sử dụng trong giai đoạn đầu để chiếm được quyền truy nhập hệ thống mạng bên trong. Điển hình cho tấn công trực tiếp là các hacker sử dụng một phương pháp tấn công cổ điển là dò tìm cặp tên người sử dụng và mật khẩu thông qua việc sử dụng một số thông tin đã biết về người sử dụng để dò tìm mật khẩu, đây là một phương pháp đơn giản dễ thực hiện. Ngoài ra các hacker cũng có thể sử dụng một chương trình tự động hoá cho việc dò tìm này. Chương trình này có thể dễ dàng lấy được thông tin từ Internet để giải mã các mật khẩu đã mã hoá, chúng có khả năng tổ hợp các từ trong một từ điển lớn dựa theo những quy tắc do người dùng tự định nghĩa. Trong một số trường hợp, khả năng thành công của phương pháp này cũng khá cao, nó có thể lên tới 30%. Phương pháp sử dụng các lỗi của các chương trình ứng dụng và bản thân hệ điều hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được tiếp tục để chiếm quyền truy nhập. Trong một số trường hợp phương pháp này cho phép kẻ tấn công có được quyền của người quản trị hệ thống (root hay administrator). 3.2. Nghe trộm trên mạng. Thông tin gửi đi trên mạng thường được luân chuyển từ máy tính này qua hàng loạt các máy tính khác mới đến được đích. Điều đó, khiến cho thông tin của ta có thể bị kẻ khác nghe trộm. Tồi tệ hơn thế, những kẻ Lớp Công Nghệ Thông Tin K47 8 Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368 nghe trộm này còn thay thế thông tin của chúng ta bằng thông tin do họ tự tạo ra và tiếp tục gửi nó đi. Việc nghe trộm thường được tiến hành sau khi các hacker đã chiếm được quyền truy nhập hệ thống hoặc kiểm soát đường truyền. May mắn thay, chúng ta vẫn còn có một số cách để bảo vệ được nguồn thông tin cá nhân của mình trên mạng Intemet. Bạn có thể mã hoá cho nguồn thông tin của mình trước khi gửi đi qua mạng Internet. Bằng cách này, nếu như có ai đón được thông tin của mình thì đó cũng chỉ là những thông tin vô nghĩa. 3.3. Giả mạo địa chỉ IP. Giả mạo địa chỉ có thể được thực hiện thông qua sử dụng khả năng dẫn đường trực tiếp. Với cách tấn công này kẻ tấn công gửi các gói tin tới mạng khác với một địa chỉ giả mạo, đồng thời chỉ rõ đường dẫn mà các gói tin phải đi. Thí dụ người nào đó có thể giả mạo địa chỉ của bạn để gửi đi những thông tin có thể làm ảnh hưởng xấu tới bạn. 3.4. Vô hiệu hoá các chức năng của hệ thống. Đây là kiểu tấn công làm tê liệt hệ thống, làm mất khả năng cung cấp dịch vụ (Denial of Service - DoS) không cho hệ thống thực hiện được các chức năng mà nó được thiết kế. Kiểu tấn công này rất khó ngăn chặn bởi chính những phương tiện dùng để tổ chức tấn công lại chính là những phương tiện dùng để làm việc và truy cập thông tin trên mạng. Một thí dụ về trường hợp có thể xảy ra là một người trên mạng sử dụng chương trình đẩy ra những gói tin yêu cầu về một trạm nào đó. Khi nhận được gói tin, trạm luôn luôn phải xử lý và tiếp tục thu các gói tin đến sau cho đến khi bộ đệm đầy, dẫn tới tình trạng những nhu cầu cung cấp dịch vụ của các máy khác đến trạm không được phục vụ. Điều đáng sợ là các kiểu tấn công DoS chỉ cần sử dụng những tài nguyên giới hạn mà vẫn có thể làm ngưng trệ dịch vụ của các site lớn và Lớp Công Nghệ Thông Tin K47 9 Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368 phức tạp. Do vậy loại hình tấn công này còn được gọi là kiểu tấn công không cân xứng (asymmetric attack). Chẳng hạn như kẻ tấn công chỉ cần một máy tính PC thông thường với một modem tốc độ chậm vẫn có thể tấn công làm ngưng trệ các máy tính mạnh hay những mạng có cấu hình phức tạp. Điều này được thể hiện rõ qua các đợt tấn công vào các Website của Mỹ đầu tháng 2/2000 vừa qua. 3.5. Lỗi của người quản trị hệ thống. Đây không phải là một kiểu tấn công của những kẻ đột nhập, tuy nhiên lỗi của người quản trị hệ thống thường tạo ra những lỗ hổng cho phép kẻ tấn công sử dụng để truy nhập vào mạng nội bộ. 3.6. Tấn công vào các yếu tố con người. Đây là một hình thức tấn công nguy hiểm nhất nó có thể dẫn tới những tổn thất hết sức khó lường. Kẻ tấn công có thể liên lạc với người quản trị hệ thống thay đổi một số thông tin nhằm tạo điều kiện cho các phương thức tấn công khác. Ngoài ra, điểm mấu chốt của vấn đề an toàn, an ninh trên Internet chính là người sử dụng. Họ là điểm yếu nhất trong toàn bộ hệ thống do kỹ năng, trình độ sử dụng máy tính, mạng Internet không cao. Chính họ đã tạo điều kiện cho những kẻ phá hoại xâm nhập được vào hệ thống thông qua nhiều hình thức khác nhau như qua Email. Kẻ tấn công gửi những chương trình, virus và những tài liệu có nội dung không hữu ích hoặc sử dụng những chương trình không rõ nguồn gốc, thiếu độ an toàn. Thông thường những thông tin này được che phủ bởi những cái tên hết sức ấn tượng mà không ai có thể biết được bên trong nó chứa đựng cái gì. Và điều tồi tệ nhất sẽ xảy ra khi người sử dụng mở hay chạy nó. Lúc đó có thể thông tin về người sử dụng đã bị tiết lộ hoặc có cái gì đó đã hoạt động Lớp Công Nghệ Thông Tin K47 10 [...]... chớnh ca Firewall l kim soỏt lung thụng tin t gia Intranet v Internet Thit lp c ch iu khin dũng thụng tin gia mng bờn trong (Intranet) v mng Internet C th l: Cho phộp hoc cm nhng dch v bờn trong truy nhp ra ngoi (t Intranet ra Internet) Cho phộp hoc cm nhng dch v bờn ngoi truy nhp vo trong (t Internet vo Intranet) Theo dừi lung d liu mng gia Internet v Intranet Lp Cụng Ngh Thụng Tin K47 26 Website:... s truy cp trỏi phộp nhm bo v cỏc ngun thụng tin ni b cng nh hn ch s xõm nhp vo h thng ca mt s thụng tin khỏc khụng mong mun Internet FireWall l mt tp hp thit b (bao gm phn cng v phn mm) c t gia mng ca mt t chc, mt cụng ty, hay mt quc gia (Intranet) v Internet Intranet firewall Internet Trong mt s trng hp, Firewall cú th c thit lp trong cựng mt mng ni b v cụ lp cỏc min an ton Vớ d nh mụ hỡnh Lp Cụng... thng vụ pht nht Sõu Morris l cuc tn cụng din rng u tiờn i vi an ninh Internet Cng ng mng ó khụng h chun b cho mt cuc tn cụng nh vy v ó hon ton b bt ng Sau ú, cng ng Internet ó quyt nh rng u tiờn ti cao l phi ngn chn khụng cho mt cuc tn cụng bt k no na cú th xy ra, h bt u cng tỏc a ra cỏc ý tng mi, nhng h thng v phn mm mi lm cho mng Internet cú th tr li an ton Lp Cụng Ngh Thụng Tin K47 21 Website: http://www.docs.vn... xut hin vo cui nhng nm 1980 khi Internet vn cũn l mt cụng ngh khỏ mi m theo khớa cnh kt ni v s dng trờn ton cu í tng u tiờn c ó hỡnh thnh sau khi hng lot cỏc v xõm phm nghiờm trng i vi an ninh liờn mng xy ra vo cui nhng nm 1980 Nm 1988, mt nhõn viờn ti trung tõm nghiờn cu NASA Ames ti California gi mt bn ghi nh qua th in t ti ng nghip rng: "Chỳng ta ang b mt con VIRUS Internet tn cụng! Nú ó ỏnh Berkeley,... FireWall Nu mỏy tớnh ca bn khụng c bo v, khi bn kt ni Internet, tt c cỏc giao thụng ra vo mng u c cho phộp, vỡ th hacker, trojan, virus cú th truy cp v ly cp thụng tin cỏ nhõn cu bn trờn mỏy tớnh Chỳng cú th ci t cỏc on mó tn cụng file d liu trờn mỏy tớnh Chỳng cú th s dng mỏy tớnh cu bn tn cụng mt mỏy tớnh ca gia ỡnh hoc doanh nghip khỏc kt ni Internet Mt Firewall cú th giỳp bn thoỏt khi gúi tin... giỳp cho thụng tin c bo v an ton, khụng b k khỏc li dng Ngy nay, trờn Internet ngi ta ó s dng nhiu phng phỏp bo mt khỏc nhau nh s dng thut toỏn mó i xng v mó khụng i xng Lp Cụng Ngh Thụng Tin K47 13 Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368 (thut toỏn mó cụng khai) mó hoỏ thụng tin trc khi truyn i trờn mng Internet Tuy nhiờn ngoi cỏc gii phỏp phn mm hin nay ngi ta cũn ỏp dng... thc mó húa - bo mt thụng tin Mt trong nhng bin phỏp bo mt thng s dng ú l ỏp dng cỏc c ch mó hoỏ Sau õy s phõn tớch mt s c ch mó hoỏ m bo tớnh an ton v tin cy d liu thng c s dng trong cỏc dch v trờn mng Internet 6.1 c im chung ca cỏc phng thc mó húa Trong cỏc phng thc mó húa, mi phng thc u ch yu tp trung gii quyt 6 vn chớnh nh sau: a Authentication: Hot ng kim tra tớnh xỏc thc mt thc th trong giao tip... ngi s dng ó t ci t nú lờn trờn mỏy ca mỡnh Ngoi ra hin nay cũn rt nhiu kiu tn cụng khỏc m chỳng ta cũn cha bit ti v chỳng c a ra bi nhng hacker 4 Phõn loi k tn cụng Cú rt nhiu k tn cụng trờn mng ton cuInternet v chỳng ta cng khụng th phõn loi chỳng mt cỏch chớnh xỏc v y c, tuy nhiờn cỏc chuyờn gia ó phõn chia ra my loi sau: Th nht l nhng ngi qua ng H l nhng k bun chỏn vi cụng vic hng ngy, mun gii... phỏp phn mm hin nay ngi ta cũn ỏp dng c cỏc gii phỏp phn cng Mt yu t ch cht chng li truy nhp bt hp phỏp l yu t con ngi, chỳng ta phi luụn luụn giỏo dc mi ngi cú ý thc trong vic s dng ti nguyờn chung Internet, trỏnh nhng s c lm nh hng ti nhiu ngi nhiu quc gia Bo mt trờn mng l c mt quỏ trỡnh u tranh tim n nhng ũi hi s hp tỏc ca mi ngi, ca mi t chc khụng ch trong phm vi nh hp ca mt quc gia no m nú bao... toỏn (Accounting) Lp Cụng Ngh Thụng Tin K47 27 Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368 Cỏc bc tng la bo v cỏc ti nguyờn trờn mng, c quan khụng cho nhng ngi khụng c phộp trờn Internet rng ln truy nhp 7 Cỏc thnh phn ca FireWall v c ch hot ng Mt FireWall chun bao gm mt hay nhiu thnh phn sau: a B lc packet (Packet filtering router) b Cng ng dng (Application level gateway hay proxy