Nghiên cứu giải pháp bảo mật thông tin trên mạng máy tính sử dụng công nghệ tường lửa dựa trên phần mềm IPCop

1.3 An toàn an ninh cho các doanh nghiệp vừa và nhỏ Trong khi công nghệ mạng và Internet mang lại nhiều cơ hội phát triển vàcạnh tranh mới cho các doanh nghiệp vừa và nhỏ thì cũng là lúc

MỤC LỤC

MỤC LỤC 1

DANH MỤC HÌNH ẢNH 5

DANH MỤC CÁC CHỮ VIẾT TẮT 8

LỜI MỞ ĐẦU 9

Chương 1 10

AN NINH MẠNG VỚI DOANH NGHIỆP VỪA VÀ NHỎ 10

1.1 Tình hình phát triển Internet ở Việt Nam 10

1.2 Lợi ích Internet với các doanh nghiệp 13

1.2.1 Thương mại điện tử 13

1.2.2 Internet và thương mại điện tử 14

1.3 An toàn an ninh cho các doanh nghiệp vừa và nhỏ 16

1.3.1 Các phương pháp tấn công cơ bản 18

1.3.1.1 Tấn công do thám18 1.3.1.2 Tấn công truy nhập 19 1.3.1.3 Tấn công từ chối dịch vụ 20 1.3.1.4 Tấn công tâm lý 21 1.3.2 Các biện pháp giảm thiểu rủi ro 23

1.3.2.1 Thuê chuyên gia bảo mật 23 1.3.2.2 Kiểm tra bảo mật 24 1.3.2.3 Đề ra các chính sách bảo mật 24 1.4 Các giải pháp về an ninh mạng 27

1.4.1 Giải pháp về phần cứng 27

1.4.2 Giải pháp về phần mềm 28

Chương 2 29

TỔNG QUAN VỀ TƯỜNG LỬA 29

2.1 Khái niệm và chức năng của tường lửa 29

2.1.1 Khái niệm 29

2.1.2 Chức năng tường lửa 30

2.1.2.1 Tường lửa bảo vệ những vấn đề gì ? 30

2.1.2.2 Tường lửa bảo vệ chống lại những vấn đề gì ? 30

2.1.3 Cấu trúc, thành phần và cơ chế hoạt động tường lửa 32

2.1.3.1 Cấu trúc 32 2.1.3.2 Thành phần và cơ chế hoạt động 32 2.1.3.3 Những hạn chế của tường lửa 39 2.2 Một số kiến trúc về tường lửa 40

2.2.1 Kiến trúc Dual – homed Host 40

2.2.2 Kiến trúc Screened Host 42

2.2.3 Kiến trúc Screened Subnet Host 43

Chương 3 48

GIỚI THIỆU CHUNG VỀ TƯỜNG LỬA IPCOP 48

3.1 Giới thiệu và mục đích của tường lửa IPCop 48

3.1.1 Giới thiệu về tường lửa IPCop 48

3.1.2 Lịch sử của IPCop 49

3.1.3 Sự khác nhau giữa SmoothWall và IPCop 49

3.2 Những thành phần và tính năng của tường lửa IPCop 50

3.2.1 Các thành phần 50

3.2.1.1 Giao diện web 50 3.2.1.2 Giao diện mạng 50 3.2.2 Các tính năng quan trọng của tường lửa IPCop 51

3.2.2.1 Web proxy 51 3.2.2.2 DHCP và Dynamic DNS 52 3.2.2.3 Quản trị lưu lượng mạng 53 3.2.2.4 Port Forwarding 53 3.2.2.5 Intrusion Detection 54 3.2.2.6 DMZ Pinholes 56 3.2.2.7 Quản trị truy nhập từ bên ngoài 56 3.2.2.8 Quản trị tùy chọn tường lửa 57 3.2.2.9 Quản lý chức năng ghi nhật ký 57 Chương 4 60

TRIỂN KHAI VÀ QUẢN TRỊ IPCOP 60

4.1 Cài đặt tường lửa IPCop 60

4.1.1 Mô hình triển khai tường lửa IPCop 60

4.1.2 Cài đặt thực nghiệm 60

4.2 Thiết lập chức năng quản trị 68

4.2.1 Thay đổi mật khẩu 68

4.3.2 Truy cập an toàn với SSH 68

4.3.3 GUI Settings 70

4.3.4 Shutdown 71

4.3 Giám sát trạng thái của hệ thống 71

4.3.1 System Status 71

4.3.2 Network Status 72

4.3.3 System Graphs 73

4.3.4 Traffic Graphs 74

4.3.5 Giám sát kết nối 74

4.4 Quản trị chức năng của các dịch vụ 75

4.4.1 Advanced Proxy 75

4.4.1.1 Cài đặt và cập nhật chức năng Advanced Proxy 75 4.4.1.2 Cấu hình chung proxy 76 4.4.1.3 Cấu hình Upstream proxy 77 4.4.1.4 Thiết lập chức năng ghi nhật kí 78 4.4.1.5 Quản lý bộ đệm 78 4.4.1.6 Thiết lập port 79 4.4.1.7 Điều khiển truy nhập mạng 80 4.4.1.8 Hạn chế thời gian81 4.4.1.9 Hạn chế tải về và tải lên81 4.4.1.10 Quản lý băng thông 81 4.4.1.11 Lọc theo các tập tin mở rộng 82 4.4.1.12 Chặn kết nối theo trình duyệt 83 4.4.1.13 Quyền riêng tư 83 4.4.1.14 Lọc URL 84 4.4.1.15 Cấu hình xác thực 84 4.4.2 URL Filter 84

4.4.2.1 Thiết lập chung lọc URL 85

4.4.2.2 Điều khiển truy nhập mạng 86

4.4.2.3 Thiết lập nâng cao 88

4.4.2.4 Nâng cấp, bảo trì URL filter 89

4.4.3 Block Out Traffic 90

4.4.3.1 Cài đặt 90

4.4.3.2 Thiết lập cấu hình 91

4.4.4 Mạng riêng ảo 93

4.4.4.1 Cài đặt VPN 93

4.4.4.2 Mô hình Client to Site 93

4.4.4.3 Mô hình Site to Site 95

KẾT LUẬN 98 TÀI LIỆU THAM KHẢO 100

DANH MỤC HÌNH ẢNH

Hình 1.1: Sơ đồ kết nối IXP với VNIX 12

Hình 2.1: Bộ lọc gói tin 33

Hình 2.2: Cổng lọc ứng dụng 35

Hình 2.3: Cổng vòng 38

Hình 2.4: Cổng mạch 38

Hình 2.5: Sơ đồ kiến trúc Dual–homed Host 40

Hình 2.6: Sơ đồ kiến trúc Screened Host 42

Hình 2.7: Sơ đồ kiến trúc Screened Subnet Host 43

Hình 2.8: Sơ đồ kiến trúc sử dụng 2 Bastion Host 45

Hình 2.9: Sơ đồ kiến trúc ghép chung Router trong và Router ngoài 46

Hình 2.10: Sơ đồ kiến trúc ghép chung Bastion Host và Router ngoài 47

Hình 3.1: Traffic Shapping 53

Hình 3.2: Port Forwarding 54

Hình 3.3: Truy cập bên ngoài 56

Hình 3.4: Tùy chọn tường lửa 57

Hình 3.5: Log Sumary 57

Hình 3.6: Proxy log 58

Hình 3.7: Firewall Log 58

Hình 3.8: System Log 59

Hình 3.9: Phát hiện xâm nhập 59

Hình 4.1: Mô hình triển khai IPCop 60

Hình 4.2: Giao diện cài IPCop 61

Hình 4.3: Lựa chọn ngôn ngữ 61

Hình 4.4: Bắt đầu cài đặt 62

Hình 4.5: Cấu hình mạng 62

Hình 4.6: Hoàn tất cấu hình 63

Hình 4.7: Đặt tên cho tường lửa 63

Hình 4.8: Menu cấu hình mạng 64

Hình 4.9: Giao diện thiết lập IP cho DNS và Gateway 65

Hình 4.10: Lựa chọn cấu hình DHCP 65

Hình 4.11: Cấu hình mật khẩu cho tài khoản root 65

Hình 4.12: Giao diện cài đặt hoàn tất 66

Hình 4.13: Giao diện khởi động 66

Hình 4.14: Màn hình đăng nhập thành công 66

Hình 4.15: Giao diện cài đặt 67

Hình 4.16: Kết nối đến IPCop với quyền Admin 68

Hình 4.17: Truy cập SSH 69

Hình 4.18: Đăng nhập vào IPCop qua SSH 70

Hình 4.19: Thiết lập ngôn ngữ 70

Hình 4.20: Thiết lập thời gian shutdown 71

Hình 4.21: Trạng thái hệ thống 72

Hình 4.22: Trạng thái mạng 73

Hình 4.23: Đồ thị CPU 74

Hình 4.24: Đồ thị vùng Green 74

Hình 4.25: Giám sát kết nối 74

Hình 4.26: Cấu hình chung cho proxy 76

Hình 4.27: Cấu hình upstream proxy 77

Hình 4.28: Thiết lập chức năng ghi nhật 78

Hình 4.29: Chức năng quản lý cache 78

Hình 4.30: Thiết lập port 79

Hình 4.31: Giao diện cấu hình điều khiển truy nhập 80

Hình 4.32: Hạn chế thời gian truy nhập 81

Hình 4.33: Hạn chế download/upload 81

Hình 4.34: Hạn chế băng thông 82

Hình 4.35: Chặn các tập tin mở rộng 82

Hình 4.36: Cấu hình web browser 83

Hình 4.37: Cấu hình privacy 83

Hình 4.38: Bật tính năng URL filter 84

Hình 4.39: Thiết lập lọc chung cho URL Filter 85

Hình 4.40: Điều khiển truy nhập của URL Filter 87

Hình 4.41: Thiết lập cảnh báo 87

Hình 4.42: Tùy chọn nâng cao cho URL Filter 88

Hình 4.43: Nâng cấp & bảo trì URL Filter 89

Hình 4.44: Định nghĩa nhóm dịch vụ 92

Hình 4.45: Mô hình Client to Site 94

Hình 4.46: Mô hình Site to Site 95

Hình 4.47: Trạng thái kết nối Site to Site bên Hà Nội 96

Hình 4.48: Trạng thái kết nối Site to Site bên Hồ Chí Minh 97

DANH MỤC CÁC CHỮ VIẾT TẮT

Viết

tắt

ADSL Asymmetric Digital Subscriber

Line

Đường thuê bao bất đối xứng

FTP File Transfer Protocol Giao thức truyền tệp tin

IDC Informations Development

Center

Trung tâm phát triển Tin học

ISP Internet Service Provider Nhà cung cấp dịch vụ kết nối

Internet thuê lại kênh quốc tế và đường trục quốc gia từ IXP

IXP Internet Exchange Provider Nhà cung cấp dịch vụ và quản lý

hạ tầng kết nối Internet

NIC Network Interface Card Cạc giao tiếp mạng

OECD Organization for Economic

Cooperation and Development

Tổ chức hợp tác và Phát triển kinh tế

PPP Point-to-Point Protocol Giao thức kết nối điểm-điểm

SLIP Serial Line Internet Protocol Giao thức kết nối Internet đã lỗi

thờiVNIC Vietnam Internet Network

Information Center

Trung tâm Internet Việt Nam

VNIX Vietnam National Internet

eXchange

Trạm trung chuyển lưu lượng Internet Việt Nam

Đi tìm một lời giải cho bài toán này thật không hề đơn giản và mong muốn hệthống xây dựng của mình hoàn hảo thì lại càng khó khăn hơn Sau một thờigian dài tìm hiểu trong các tài liệu, các diễn đàn và thực tế tại một số công ty,

em đề xuất một giải pháp bảo vệ hệ thống phù hợp, có chiều sâu, hiệu quả caovới hầu hết các doanh nghiệp vừa và nhỏ hiện nay Bởi vậy đề tài của em có

tên là: “Nghiên cứu giải pháp bảo mật thông tin trên mạng máy tính sử

dụng công nghệ tường lửa dựa trên phần mềm IPCop” Đồ án này gồm

những nội dung chính sau:

- Chương I: An ninh mạng với doanh nghiệp vừa và nhỏ

- Chương II: Tổng quan về tưởng lửa

- Chương III: Giới thiệu chung về IPCop

- Chương IV: Triển khai và quản trị tường lửa IPCop.

Dù đã có nhiều cố gắng, song với kiến thức về lĩnh vực an toàn thông tin cònhạn chế nên đồ án không thể tránh khỏi những sai sót, kính mong được sự góp

ý và nhận xét quý báu của các thầy cô và các bạn, để hệ thống có thể hoànthiện hơn khi đi vào thực tế cuộc sống

Chương 1

AN NINH MẠNG VỚI DOANH NGHIỆP VỪA VÀ NHỎ1.1 Tình hình phát triển Internet ở Việt Nam

Ngày 19/11/1997, dịch vụ Internet chính thức có mặt tại Việt Nam Lúc

đó, Internet được xem là dịch vụ cao cấp dành cho một nhóm cá nhân, tập thểthật sự có nhu cầu Hạ tầng ban đầu ấy có tốc độ 64Kbps khi kết nối quốc tế,dung lượng chỉ đủ cho khoảng 300 người sử dụng Khách hàng đầu tiên lànhững cán bộ cao cấp của các cơ quan ban ngành, sử dụng với mục đích làgiới thiệu với các cấp lãnh đạo cao hơn để vận động “mở cửa” cho Internet.Năm 2002, để tạo động lực cạnh tranh, nhà nước không còn cho phépVNPT độc quyền khai thác hạ tầng kỹ thuật và cho phép thành lập các IXPkhác Quy định này đã làm thị trường Internet Việt Nam có sự đột phá mới.Giá cước ngày càng rẻ, thủ tục ngày càng đơn giản Từ một nhà IXP và bốnISP ban đầu, số lượng nhà kinh doanh dịch vụ Internet đang hoạt động thực tếtrên thị trường gồm có bốn IXP và tám ISP “Thời sơ khai” của Internet ViệtNam chỉ có các dịch vụ cơ bản như: thư điện tử, truy cập cơ sở dữ liệu, truyền

dữ liệu, truy nhập từ xa Thì nay, các loại hình dịch vụ đã rất đa dạng vàphong phú

Năm 2003, với các quyết định cho giảm cước truy cập sử dụng Internetngang với các quốc gia trong khu vực, thậm chí có khung cước còn rẻ hơn,đồng thời cho phép các doanh nghiệp tự mình áp dụng các chính sách quản lý

và ấn định mức cước, số khách hàng thuê bao của các ISP tăng đột biến.VNPT tăng 258%, NetNam - 227%, Viettel - 184% và FPT - 174%

Theo số lượng thống kê về tình hình phát triển Internet Việt Nam từVNNIC, số lượng mới nhất:

- Tổng băng thông kênh kết nối quốc tế của Việt Nam :

Total International connection bandwidth of Vietnam 308676 Mbps

- Tổng băng thông kênh kết nối trong nước:

Total domestic connection bandwidth 417926 Mbps

(trong đó băng thông kết nối qua trạm trung chuyển

VNIX:

(Connection bandwidth through VNIX)

107000 Mbps

- Tổng lưu lượng trao đổi qua trạm trung chuyển VNIX:

- Tổng số tên miền vn đã đăng ký:

- Tổng số tên miền Tiếng Việt đã đăng ký:

- Tổng số địa chỉ IPv4 đã cấp :

- Số lượng địa chỉ IPv6 qui đổi theo đơn vị /64 đã cấp :

Allocated Ipv6 address 54951049216 /64 địa chỉ

- Tổng thuê bao băng rộng :

Total broad bandwidth Subscribers 4293280

Sơ đồ kết nối với VNIX :

Hình 1.1: Sơ đồ kết nối IXP với VNIX

Theo số liệu thống kê của tổ chức Liên minh Viễn thông quốc tế (ITU) năm

2010, Việt Nam là một trong những nước có tỷ lệ người dân sử dụng Internetcao nhất trong khu vực Đông Nam Á, chiếm 31,06% dân số, chỉ đứng sau 3nước là Singapore (70%), Malayxia (55,3%) và Brunay (50%); nhưng đứngtrước 6 nước: Philippines (25%), Thái Lan (21,2%), Indonesia (9,1%), Lào(7%), Campuchia (1,26%), Mianma (0,22%); đồng thời vượt khá xa tỷ lệtrung bình của khu vực Đông Nam Á (17,86%), khu vực châu Á (17,27%) vàthế giới (21,88%)

Đó là những con số “biết nói”, không cần phải nhiều lời cũng đủ thấy ViệtNam không bao giờ coi Internet là kẻ thù như tổ chức "Phóng viên không biêngiới" đã nêu trong cái gọi là “Báo cáo thường niên 2012” vào trung tuần tháng

3 mới đây Ngược lại, Internet ở Việt Nam luôn được quan tâm phát triển toàndiện và là “người bạn đồng hành” của Việt Nam trong quá trình hội nhập

Không dừng lại ở đó, hiện nay Việt Nam đang tập trung ưu tiên xây dựng

hạ tầng cơ sở thông tin hiện đại, cập nhật với thế giới, băng thông rộng, chấtlượng cao, giá thành ngày càng giảm Hạ tầng cơ sở thông tin ngày càng bảođảm chuyển tải không chỉ tiếng nói qua mạng điện thoại, mà còn là hình ảnh,video không chỉ phục vụ cho viễn thông, mà còn đáp ứng các nhu cầu khácnhau của xã hội Việt Nam cũng đang tiến tới hình thành siêu xa lộ thông tin

ở trong nước

Những minh chứng trên đây đủ cơ sở để khẳng định rõ ràng rằng: ViệtNam không bao giờ có ý định hay ra quyết định nào ngăn cản hoạt động củaInternet, mà luôn tạo điều kiện để phát triển các dịch vụ Internet đúng hướng.Khoản 3, Điều 4, Nghị định 97/2008/ NĐ-CP ngày 28-8-2008 của Chính phủ

đã khẳng định: "Tạo điều kiện thuận lợi cho các tổ chức, cá nhân tham giacung cấp và sử dụng dịch vụ Internet, đồng thời tăng cường công tác tuyêntruyền, giáo dục, hướng dẫn pháp luật về Internet Có biện pháp để ngăn chặnnhững hành vi lợi dụng Internet gây ảnh hưởng đến an ninh quốc gia, vi phạmđạo đức, thuần phong mỹ tục, vi phạm các quy định của pháp luật và để bảo

vệ trẻ em khỏi tác động tiêu cực từ Internet"

1.2 Lợi ích Internet với các doanh nghiệp

Theo số liệu khảo sát, 92% các doanh nghiệp ở Việt Nam có kết nốiInternet Đó là một ngạc nhiên nếu biết rằng Internet chỉ mới bắt đầu pháttriển ở Việt Nam từ những năm 2000 Đâu là lý do chính để các doanh nghiệphưởng ứng và sử dụng Internet Câu trả lời chính là lợi ích đem lại từ thươngmại điện tử Những lợi ích này là rất thiết thực đối với các doanh nghiệp

1.2.1 Thương mại điện tử

Nếu một trong những công đoạn của giao dịch thương mại như tìm kiếmđối tác, thoả thuận hợp đồng, trao đổi hàng hóa và dịch vụ, thanh toán, đượcthực hiện bằng công cụ điện tử thì giao dịch thương mại đó có thể được coi làthương mại điện tử Khi một doanh nghiệp gửi fax cho các khách hàng tiềmnăng để chào hàng, thoả thuận chi tiết hợp đồng qua e-mail, chuyển tiền qua

hệ thống ngân hàng, tất cả những việc đó đều thuộc phạm trù của thương mạiđiện tử với ý nghĩa tổng quát của nó

1.2.2 Internet và thương mại điện tử

Sau khi Internet ra đời và được phổ biến rộng rãi thì thương mại điện tửmới thực sự có bước nhảy vọt Khái niệm thương mại điện tử hiện nay hàm ýthương mại Internet nhiều hơn Theo thống kê của IDC và OECD, vớiInternet, thương mại điện tử đã đạt mức tăng trưởng từ 50 tỷ USD vào năm

1998, lên đến 111 tỷ năm 1999 và dự tính sẽ đạt mức 1000 tỷ USD vào nhữngnăm 2003-2005 Qua hệ thống Internet với hàng trăm triệu máy tính trên khắpcác châu lục, các doanh nhân ngày này đã thực sự có một công cụ đặc biệthữu hiệu để giao dịch, tìm kiếm đối tác cũng như chào hàng các sản phẩm

a Tìm kiếm đối tác, sản phẩm, dịch vụ

Ngày nay, các doanh nghiệp có thể tìm đối tác một cách dễ dàng hơnthông qua các công cụ tìm kiếm trên Internet, đặc biệt là đối tác tại các nướcphát triển, nơi có tỷ lệ phổ cập Internet rất cao Chỉ cần vào một trong nhữngcông cụ tìm kiếm như www.google.com, www.yahoo.com, gõ vào từ khoáliên quan đến vấn đề cần tìm, chỉ vài giây sau đã có một danh sách khá dài.Sau vài giờ phân loại, sàng lọc thông tin, các doanh nghiệp đã có thể có trongtay một danh sách các đối tác tiềm năng Để xem thông tin chi tiết về một đốitác cũng như sản phẩm, dịch vụ mà họ cung cấp, có thể vào trực tiếp cácwebsite của họ So với cách làm truyền thống là qua các danh bạ điện thoại,các catalog, phương pháp mới này có rất nhiều ưu điểm: nhanh hơn, chínhxác hơn, tiết kiệm hơn Nói một cách khác, hiệu quả hơn nhiều Nếu doanhnghiệp muốn tìm kiếm một loại sản phẩm, dịch vụ nào đó cho doanh nghiệpmình, cũng qua Internet, sau một lát đã có danh sách các nhà sản xuất Bảng

so sánh tham số của các sản phẩm cùng loại cũng có thể tìm được khá dễ dàngtrên Internet

b Thoả thuận hợp đồng

Một trong những điểm quan trọng nhất trong công đoạn thoả thuận hợpđồng là xác định giá cả Với Internet, việc xác định giá cho một sản phẩm vàdịch vụ cụ thể nào đó khá dễ dàng và nhanh chóng Các doanh nghiệp có thểgửi thư hỏi giá, thư báo giá đến các đối tác, cũng có thể đưa giá sản phẩm,dịch vụ của mình trên website để tất cả những ai quan tâm có thể xem được

Các doanh nghiệp cũng có thể trao đổi, đàm phán trực tiếp với đối tác ở nướcngoài, cũng như trong nước qua Internet mà không tốn tiền điện thoại đườngdài cũng như không tốn kém thời gian và tiền bạc để thực hiện các chuyếncông tác đến nơi doanh nghiệp sản xuất để tìm hiểu thêm về các sản phẩm.Internet có các công cụ hữu hiệu để làm những việc này, đó là website, e-mail, các công cụ để hội đàm như ICQ, MS Messenger, AIM, … và hội nghịtrực tuyến, đàm thoại từ xa …

c Thanh toán

Thanh toán là một trong những vấn đề gây nhiều bàn cãi và khó hiểu trongthương mại điện tử Nếu không kể đến những hợp đồng lớn giữa các công ty,vẫn được thực hiện theo các phương thức truyền thống như trong giao dịchngoại thương thông qua tín dụng thư hoặc chuyển tiền, trong các giao dịchnhỏ, việc thanh toán có thể được thực hiện qua thẻ tín dụng như Master Card,Visa Card, American Express Khách hàng chỉ cần nhập một số thông tin vềthẻ tín dụng của mình, toàn bộ các công việc còn lại sẽ được các ngân hàngthực hiện Rất tiện lợi, nhưng hiện tại thanh toán qua mạng vẫn tiềm ẩn nhữngrủi ro so với các cách thức thanh toán bằng tiền mặt trước đây

d Vận chuyển hàng hoá, dịch vụ

Các doanh nghiệp không thể truyền bộ quần áo hay món đồ thủ công mỹnghệ qua mạng nhưng thông tin thì có thể Tuy nhiên thông tin cũng là hànghoá Các sản phẩm, dịch vụ liên quan đến thông tin như dịch thuật, tư vấn,đào tạo, các dịch vụ báo chí, truyền thông đều có thể được vận chuyển mộtcách dễ dàng qua Internet, rất nhanh và rất tiết kiệm Đối với các hàng hoákhác phải chuyển theo các kênh truyền thống như đường biển, đường hàngkhông, đường bộ Internet vẫn là một trợ thủ đắc lực khi giúp các doanhnghiệp theo dõi được tình trạng cũng như vị trí của hàng hoá trên đường vậnchuyển Các công ty vận tải biển, các công ty chuyển phát nhanh thường cungcấp các dịch vụ này cho khách hàng của mình như một công cụ marketinghiệu quả

Với những lợi ích to lớn đem lại cho các doanh nghiệp, khi mà thời gian,tiền bạc cũng như hiệu quả kinh doanh là quan trọng, các doanh nghiệp sẵn

sàng bỏ tiền để có được các kết nối Internet ngay cả khi giá cả và chất lượngdịch vụ chưa thực sự tương xứng với số tiền bỏ ra Không chỉ vậy, thế giớingày càng phát triển, công việc không chỉ gói gọn trong từng khu vực riêng

lẻ, đã và đang có những dây chuyền sản xuất liên hoàn trên nhiều quốc gia vànhiều khu vực, mỗi doanh nghiệp tham gia và là một mắt xích trong dâytruyền đó, khi đó kết nối Internet là một yêu cầu bắt buộc với doanh nghiệptrong việc liên kết với các doanh nghiệp khác trên toàn thế giới

Tuy nhiên, luôn có tính hai mặt của một vấn đề, lợi ích từ kết nối Internetvới doanh nghiệp là điều rõ ràng, nhưng khi kết nối vào Internet các doanhnghiệp cũng phải đối đầu với rủi ro tiềm ẩn trong Internet Các doanh nghiệpcần xác định rõ được những mối nguy hại này và đề ra các biện pháp phòngtránh vì đôi khi thiệt hại gây ra từ Internet là khá nghiêm trọng

1.3 An toàn an ninh cho các doanh nghiệp vừa và nhỏ

Trong khi công nghệ mạng và Internet mang lại nhiều cơ hội phát triển vàcạnh tranh mới cho các doanh nghiệp vừa và nhỏ thì cũng là lúc nó làm dấylên nhu cầu cần phải bảo vệ hệ thống máy tính trước các đe dọa về tấn công.Ngày nay, thậm chí cả những doanh nghiệp nhỏ nhất cũng cảm thấy họcần phải thực hiện các hoạt động kinh doanh thương mại điện tử và kéo theo

đó là nhiều nhân tố cần phải làm để đảm bảo cho mô hình này hoạt động tốt.Tuy nhiên, theo Jim Browning - phó chủ tịch kiêm giám đốc nghiên cứudoanh nghiệp vừa và nhỏ của Gartner: “Hầu hết các doanh nghiệp không nhìnnhận đúng mực tầm quan trọng của bảo mật, họ thường xem nhẹ chúng trongkhi đó phải là ưu tiên hàng đầu trước khi tiến hành các hoạt động kinh doanhthương mại điện tử”

Nếu không được bảo vệ đúng mực, mỗi phần của hệ thống mạng sẽ trởthành mục tiêu tấn công của tin tặc, của đối thủ cạnh tranh hay thậm chí là cácnhân viên bất mãn trong công ty Mặc dù phần lớn các doanh nghiệp vừa vànhỏ thực hiện quản lý, bảo mật mạng và sử dụng Internet nhưng theo thống kêcủa Gartner; nhưng hơn một nửa trong số họ thậm chí không biết là mình bịtin tặc tấn công

Cũng như nhiều loại hình tội phạm khác, các đe doạ về mạng và tàinguyên Internet xuất phát từ cộng đồng nhỏ Tuy nhỏ, nhưng những nhân tốnày lại không ngừng lớn mạnh bởi ít có cách nào kiềm chế họ một cách hiệuquả; chỉ cần một công cụ tấn công được phát tán lên mạng, là ngay lập tức rấtnhiều hệ thống máy tính trở thành mục tiêu tấn công thông qua các lỗ hổngphần mềm vừa được phát tán đó Những kẻ đứng đằng sau các vụ tấn côngnày có thể là hacker, cracker hoặc "nội gián".

Những phi vụ tấn công này mang tính phức tạp, nó thường xuất phát từđộng cơ chính trị, tài chính hoặc sở thích của một cá nhân nào đó và rồithường chỉ nhắm tới một công ty hoặc hệ thống máy tính cụ thể Mục đíchkhông nằm ngoài ý định sửa đổi cơ sở dữ liệu, đánh cắp tài sản, đánh cắpthông tin cá nhân, làm cho mình trở nên nổi tiếng hoặc cài đặt các chươngtrình do thám để cho phép kẻ đột nhập có thể khởi phát các cuộc tấn công từchính hệ thống máy tính nạn nhân Đặc biệt trong xu hướng hiện tại, khi màtin tặc bắt đầu liên kết với các tổ chức tội phạm trong mục đích kiếm tiền từnhững hoạt động phá hoại của mình Các hành động phá hoại ngày càng tinh

vi hơn, được chuẩn bị kỹ lưỡng hơn và hoạt động âm thầm hơn Không phôtrương ầm ỹ, các tin tặc này sau khi đột nhập vào hệ thống thực hiện các hành

vi phá hoại xong lặng lẽ rút lui trong khi không quên xóa đi các dấu vết xâmnhập Các doanh nghiệp thường không có khả năng phát hiện các xâm nhậpnày cho đến khi chịu những hậu quả từ nó, khi đó thiệt hại có thể lớn hơnnhiều so với số tiền bỏ ra để trang bị toàn bộ hệ thống bảo mật cho doanhnghiệp Và rất tiếc là không phải doanh nghiệp nào cũng có sự chuẩn bị đốiphó với các tình huống này, với họ đảm bảo công việc hiện tại hoạt động ổnđịnh quan trọng hơn là chuẩn bị đối phó với các rủi ro trong tương lai vì một

lý do đơn giản với họ là không có đủ năng lực để đánh giá được mức độ vàthời gian khi nào các rủi ro này xảy ra Họ vẫn đang sống chung với các nguy

cơ tiềm tàng

1.3.1 Các phương pháp tấn công cơ bản

Sau đây là các phương pháp tấn công cơ bản vào hệ thống của các doanhnghiệp

1.3.1.1 Tấn công do thám

Là phương pháp tấn công thu thập thông tin để khởi phát cho một cuộc tấncông thực sự sau này Giống như trong một trận chiến, trước mỗi trận đánhcần có các hoạt động trinh thám để biết được đối phương là ai, bố trí như thếnào Bất kỳ tin tặc nào cũng cần các hoạt động này trước khi thực sự tấn côngvào mạng doanh nghiệp Các hoạt động do thám có thể tiến hành như là một

sự thu thập thông tin về mục tiêu từ nhiều nguồn khác nhau Lượng thông tincàng nhiều càng tốt, thông tin đó có thể không có giá trị vì không được sửdụng nhưng đôi khi là hữu ích với tin tặc Đầu tiên là cái nhìn tổng quan vềdoanh nghiệp, các thông tin có thể thu thập được như doanh nghiệp đó tên là

gì, đã phát triển trong bao lâu, công ty đó đặt địa điểm ở đâu, với quy mô vàtầm vóc của công ty từ đó tin tặc có cái nhìn đầu tiên để đánh giá mức độphức tạp cũng như bảo mật của hệ thống mạng doanh nghiệp

Sau những đánh giá sơ bộ ban đầu, tin tặc có thể sử dụng các công cụchuyên biệt để tiến hành các hành vi càn quét thu thập thông tin về hệ thốngmạng doanh nghiệp Các thông tin đó có thể là sơ đồ kết nối mạng, các thiết

bị có trong mạng, hệ thống tường lửa của doanh nghiệp, các máy chủ đanghoạt động, các máy vi tính cá nhân, máy in… Cao hơn nữa, tin tặc cố gắngxác định chi tiết từng điểm trong hệ thống mạng, xác định xem nút mạng đóhoạt động như thế nào, nhà sản xuất ra thiết bị đó cũng như các dịch vụ đanghoạt động trên các máy chủ Tuy thuộc vào trình độ của tin tặc, các giai đoạnnày có thể thực hiện âm thầm hoặc lộ liễu, thông thường các hoạt động nàydiễn ra thường xuyên do bất kỳ một tin tặc nào trên thế giới đều có thể thựchiện các hành vi đó với một hệ thống mạng doanh nghiệp, chỉ có sự khác biệt

là thông tin thu thập đuợc có ích đến mức nào đối với tin tặc cũng như tin tặc

có thể khai thác được gì từ các thông tin thu thập Đôi khi các hành động thuthập thông tin này được ẩn giấu trong những truy cập thông thường của người

sử dụng, nếu không có sự hiểu biết, quản trị mạng thậm chí không biết hệthống mình đang bị thu thập thông tin Lý do thật đơn giản, vì quản trị mạngkhông có đủ thời gian để kiểm soát tất cả truy cập trong hàng ngàn truy cậpvào hệ thống, đồng thời không thể kiểm soát khi các hoạt động thu thập thôngtin này diễn ra ở ngoài hệ thống từ các nguồn khác đến với tin tặc

1.3.1.2 Tấn công truy nhập

Là phương pháp lợi dụng điểm yếu của mạng thường là lỗi hoặc lỗ hổngbảo mật để xâm nhập vào mạng Ngay sau quá trình thu thập, khi tin tặc cảmthấy đủ thông tin về hệ thống tin tặc sẽ bắt đầu tấn công vào hệ thống mạng.Thông thường giai đoạn này phụ thuộc vào trình độ của tin tặc, đây cũng làgiai đoạn quan trọng nhất khi bảo vệ một hệ thống doanh nghiệp Các tin tặccấp thấp có thể sử dụng các bộ công cụ có sẵn để tìm kiếm các lỗ hổng bảomật, các công cụ này thường chứa đựng các lỗ hổng đã được công bố và pháthiện trước đó, cũng như đi kèm với nó là các chương trình để khai thác lỗibảo mật Với các tin tặc cao cấp hơn, họ có thể nhanh chóng tự mình tìm racác lỗi của hệ thống cũng như phát hiện ra các lỗi hoặc cách thức xâm nhậpchưa được phát hiện trước đó Điểm mấu chốt của quá trình này là tin tặc saukhi tìm ra lỗ hổng trong hệ thống sẽ nhanh chóng thực hiện các hành vi thâmnhập để giành một quyền sử dụng tài nguyên nào đó trong mạng, đó có thể làquyền kiểm soát một thiết bị hay một tài khoản của người sử dụng trong hệthống

Ngay khi có được một quyền truy cập trong hệ thống, điều tiếp theo là tintặc mở rộng quyền kiểm soát của mình đối với hệ thống Tin tặc có thể sửdụng tài nguyên vừa chiếm đuợc để tiếp tục thu thập thông tin và các lỗ hổngbảo mật khác mà quá trình do thám trước đây chưa tìm ra được, đồng thời tintặc cũng cố gắng nâng cao quyền hạn của mình đối với tài nguyên chiếm

được Đó là các hành vi tấn công Leo thang phân quyền, từ một tài khoản

người sử dụng bình thường, tin tặc cố gắng nâng cao quyền hạn của mình lênmột tài khoản cấp cao hơn hoặc thậm chí lên mức cao nhất là tài khoản quảntrị hệ thống hoặc tài khoản gốc (root) Khi đó tin tặc có thể mở rộng quyềnkiểm soát các tài nguyên trong hệ thống mạng doanh nghiệp của mình, tùy ý

sử dụng các tài nguyên đó theo ý muốn cá nhân cũng như sử dụng vào cácmục đích xâm nhập khác

Một khi đoạt được quyền trong hệ thống, hệ thống đã bị xâm nhập và hạgục, không hẳn toàn bộ hệ thống bị kiểm soát nhưng một phần hệ thống bịchiếm quyền điều khiển cũng có thể làm toàn bộ hệ thống bị ngưng trệ một

khi tin tặc muốn phá hoại Như một thành trì đã bị đánh chiếm, tin tặc giờ đây

có thể toàn quyền sử dụng hệ thống mình chiếm được vào mục đích cá nhân,

Ở đây các hành vi phá hoại bắt đầu diễn ra, đánh cắp dữ liệu khách hàng, sửađổi thông tin hệ thống, tải về máy các tài liệu công ty hoặc có thể tiến hànhphá hoại hệ thống như cài đặt virus phá hủy ổ cứng, gây các hoạt động làngưng trệ hệ thống đang hoạt động Cũng có khi tin tặc tấn công hệ thốngmạng vì những mục đích vụ lợi, các hoạt động phá hoại diễn ra âm thầm lặng

lẽ, dữ liệu được kín đáo tải ra ngoài, các thông tin bị sao chép bất hợp pháp,lặng lẽ thả các phần mềm gián điệp để tiếp tục thu thập thông tin trongmạng… Mọi hành vi đều có thể diễn ra trong giai đoạn này tùy theo mụcđích tin tặc

Ngay sau khi thực hiện các hành vi phá hoại thành công, hoặc thỏa mãnvới những chiến tích mình đạt được, tin tặc bắt đầu hành vi rút lui khỏi hệthống mạng Trong giai đoạn này, tin tặc cố gắng xóa hết dấu vết các hành vithâm nhập của mình, có thể kể đến là việc xóa bỏ các hành động được ghichép trong các hệ thống theo dõi hoạt động mạng, các hệ thống giám sát….Cũng trong giai đoạn này, tin tặc có thể cài đặt các phần mềm gián điệp vào

hệ thống mạng công ty lên những nơi ít bị nghi ngờ nhất, điều này đảm bảocho tin tặc có thể quay lại và thâm nhập vào hệ thống mạng trong lần tiếp theomột cách nhanh chóng và tốn ít thời gian hơn so với lần tấn công trước đây.Cũng có khi tin tặc rút lui không để lại dấu vết, không một dấu hiệu nào được

để lại, tin tặc tự tin mình có thể quay lại và thâm nhập hệ thống một lần nữa

1.3.1.3 Tấn công từ chối dịch vụ

Ngay cả khi một hệ thống được thiết kế để có thể phòng chống được cáccuộc tấn công truy cập, khi mà mọi lỗ hổng trong hệ thống đã được sửa chữa,mọi truy cập bất hợp lệ hoặc khác thường đều bị từ chối, khi mà các nỗ lựcthâm nhập vào hệ thống của tin tặc là không thành công, không có nghĩa là hệthống được an toàn Hệ thống vẫn có thể bị phá hoại từ bên ngoài, trong hiệntại đó có thể là các cuộc tấn công từ chối dịch vụ

Tấn công từ chối dịch vụ là phương pháp tấn công mạnh tay nhất hiện naybằng cách gửi một số lượng lớn truy vấn thông tin tới máy chủ hoặc dịch vụ,

gây ra hiện tượng quá tải, khiến máy tính không thể hoặc khó có thể truy cập

từ bên ngoài

Sự nguy hiểm của tấn công từ chối dịch vụ ở chỗ nó không xuất phát từbên trong mạng doanh nghiệp Tấn công từ chối dịch vụ xuất phát từ bênngoài mạng Internet, khi tin tặc huy động các tài nguyên ngoài mạng trongmột cuộc chiến phá hoại của mình Về bản chất, do nó xuất phát từ bên ngoàinên các hệ thống mạng doanh nghiệp không thể nào dừng các cuộc tấn côngnày lại cho đến khi nào tin tặc chưa kết thúc hành vi phá hoại Cuộc tấn công

từ chôi dịch vụ hiện nay ngày càng tinh vi cũng như mở rộng quy mô pháhoại Có thể kể đến các cuộc tấn công từ chối dịch vụ trước đây như “Ping ofDeath”, SYN flood, Land Attack, UDP flood, DdoS, Smurf Attack… Ngàycàng nhiều các danh sách về cách thức tấn công từ chối dịch vụ mới được sửdụng, khó có thể nói hết cách thức tấn công từ chối dịch vụ nhưng có thểkhẳng định trong Internet hiện tại, đây là một nỗi lo ngại với mọi doanhnghiệp, nếu không có sự chuẩn bị kỹ về các khả năng có thể xảy ra, một hệthống mạng doanh nghiệp được đầu tư phát triển cẩn thận cũng có thể bị thổibay bởi một cá nhân phát động tấn công trên mạng Thiệt hại là không chỉ tiêutốn nhiều tiền bạc và công sức mà đôi khi còn mất rất nhiều thời gian để khắcphục hậu quả Với những cuộc tấn công lớn và kéo dài, doanh nghiệp có thể

bị ngưng trệ hoạt động kinh doanh của mình, hậu quả thiệt hại vô cùng to lớn,trong khi không thể tự mình chấm dứt các hành vi phá hoạt đó một cách triệt

để được

1.3.1.4 Tấn công tâm lý

Đây là kiểu tấn công khác vào mạng doanh nghiệp, kẻ tin tặc có thể khôngnhất thiết phải là một chuyên gia mạng hoặc xâm nhập mạng Ở đây lỗ hổngđược khai thác chính là yếu tố con người Sự nguy hiểm của kiểu tấn côngnày ở chỗ, hệ thống không có cách nào ngăn cản truy cập từ cuộc tấn côngnày một khi nó thành công

Có thể hình dung một mạng doanh nghiệp với hệ thống bảo mật đượctrang bị hiện đại, các lỗ hổng được sửa chữa thường xuyên và toàn bộ, tin tặckhông có cách nào đột nhập vào hệ thống Tuy nhiên các nhân viên trong

doanh nghiệp chưa có ý thức cao về bảo mật hệ thống, và đó chính là lỗ hổnglớn được dùng để tấn công hệ thống Trong những nỗ lực qua giao tiếp củamình, tin tặc cố gắng lợi dụng yếu tố con người để thu thập các thông tin thâmnhập hệ thống Khi một người dùng thiếu cảnh giác, tin tặc gọi điện thoại trựctiếp đến người dùng đó, giả mạo mình như một quản trị mạng mới của công

ty và yêu cầu tài khoản truy cập để sửa chữa hệ thống, kịch bản đó diễn rathường xuyên nhưng trong số toàn bộ nhân viên, không thể tránh một vàingười thiếu xót trong việc nhận định mình đang bị lợi dụng Một cách ungdung tin tặc có được các thông tin mình mong muốn và đăng nhập vào hệthống với tư cách một người sử dụng hợp pháp, hệ thống không có cách thứcnào phân biệt đâu là người sử dụng, đâu là tin tặc một khi các dấu hiệu nhậnbiết đều hợp lệ và thế là hệ thống bị hạ gục

Ngày càng nhiều các kịch bản lừa đảo được dựng lên đánh vào yếu tố conngười, tin tặc ngày càng ranh mãnh và nhạy bén hơn, từng sự kiện nổi bậttrong thời điểm lúc đó đều được tận dụng để thực hiện các hành vi tấn côngtâm lý và người sử dụng trong mạng Không phải ai trong hệ thống cũng cóthể có đủ sự cảnh giác và kinh nghiệm chống lại các cuộc tấn công này Vàkhi tin tặc gặp được người cần tìm, thâm nhập đã thành công

Thực tế với một môi trường mạng doanh nghiệp, còn rất nhiều nguy cơtiềm ẩn khác có thể xảy ra Đó có thể là các cuộc xâm nhập vật lý, các hành viphá hoại thông qua việc gửi các tập tin đính kèm có chứa các mã độc hại tớingười sử dụng… Mọi thứ đều có thể xảy ra và các doanh nghiệp cần có sựchuẩn bị cho những điều nêu trên, bảo mật luôn đi kèm với sự toàn diện, như

là một chuỗi mắt xích liên hoàn, một khâu bảo mật yếu kém cũng có thể gâynên sự đổ vỡ của toàn bộ hệ thống

1.3.2 Các biện pháp giảm thiểu rủi ro

Sau khi xác định được các mối nguy hiểm tiềm tàng có thể xảy ra với hệthống, các doanh nghiệp cần xây dựng các chính sách để khắc phục những rủi

ro có thể xảy ra với doanh nghiệp Các chính sách này cần nhất quán và toàndiện khắc phục những điểm yếu có thể bị tin tặc lợi dụng Tuy nhiên có mộtvấn đề đặt ra là các doanh nghiệp vừa và nhỏ mặc dù có thể được cảnh báo về

các vấn đề có thể xảy ra nhưng lại thiếu đi các nhân sự và tiền bạc để có thểtriển khai cho bản thân mình, lý do chủ yếu xuất phát từ các yếu tố tài chínhdoanh nghiệp Và một số biện pháp sau thường được áp dụng với doanhnghiệp vừa và nhỏ.

1.3.2.1 Thuê chuyên gia bảo mật

Rõ ràng các doanh nghiệp vừa và nhỏ không có đủ tài chính để có thể thuêhẳn một chuyên gia bảo mật chăm sóc cho hệ thống doanh nghiệp mình Cácchuyên gia bảo mật cần có những kiến thức và kinh nghiệm phong phú tronglĩnh vực bảo mật, họ là những con người toàn năng, hiểu biết nhiều lĩnh vựckhác nhau, hiểu biết cách thức tin tặc xâm nhập vào hệ thống, đôi khi chính

họ trước đó cũng từng làm tin tặc, kiến thức của họ cần được không ngừngnâng cao theo kịp với sự phát triển của công nghệ Và chính vì họ tuyệt vờinhư vậy, mời họ về làm hẳn ở công ty cần một sự đầu tư tài chính không nhỏ.Giải pháp đi thuê họ có vẻ khả thi hơn, các chuyên gia bảo mật sẽ thiết kế hệthống doanh nghiệp sao cho đáp ứng được mức độ nào đó về bảo mật, vớikinh nghiệm của mình, họ sẽ tìm cách bít các lỗ hổng có thể bị lợi dụng đểthâm nhập vào hệ thống, đồng thời đề ra những cách thức thắt chặt bảo mậtcho doanh nghiệp

Tất nhiên với các doanh nghiệp vừa và nhỏ, luôn có ít nhất một quản trịmạng để chăm sóc hệ thống, tuy nhiên vấn đề đặt ra là quản trị mạng thườngphải kiêm nhiều công việc khác nữa Đảm bảo hệ thống mạng vận hành ổnđịnh đã là một công việc vất vả, họ không có đủ thời gian để có thể chăm sóctốt đến vấn đề an toàn hệ thống, mà như đã biết, chỉ một lỗ hổng thôi cũng cóthể gạ gục hệ thống doanh nghiệp Rõ ràng khi đó việc thuê một chuyên giabảo mật hay đúng hơn là việc sử dụng một công ty khác chuyên trách về vấn

đề bảo mật sẽ đảm bảo nâng cao mức độ bảo mật cho doanh nghiệp Có thể sự

có mặt của họ là không liên tục, các lỗ hổng không được kiểm tra hay khắcphục ngay lập tức nhưng mọi lỗ hổng có tính căn bản hoặc đã phát hiện sẽđược khắc phục triệt để

1.3.2.2 Kiểm tra bảo mật

Đi cùng với việc thuê chuyên gia bảo mật triển khai hệ thống bảo mật chodoanh nghiệp, các doanh nghiệp cũng nên tiến hành việc kiểm tra bảo mật cho

hệ thống mạng doanh nghiệp mình Việc tiến hành kiểm tra có thể được thựchiện bằng các phần mềm chuyên biệt có trên mạng được cung cấp bởi các nhà

an ninh bảo mật Các phần mềm này sẽ được cập nhập thường xuyên và gầnnhư tức thời các lỗ hổng đã được phát hiện cũng như các lỗ hổng chưa đượccông bố như các lỗ hổng zero day… Cũng có thể doanh nghiệp thuê mộtcông ty bảo mật khác, người sẽ phụ trách việc kiểm tra bảo mật cho doanhnghiệp mình, thông báo các lỗi có thể mắc phải cũng như đề ra một số biệnpháp để khắc phục lỗi đó

Với việc triển khai các biện pháp bảo mật là chưa đủ, chỉ có kiểm tra thực

tế mới có thể đánh giá được an ninh của hệ thống mạng Các nhà kiểm tra bảomật có thể được đóng vai trò như là các hacker, cố gắng xâm nhập mạng công

ty theo những cách thức như là một tin tặc thực thụ Trong quá trình xâmnhập đó, các lỗ hổng cũng như khiếm khuyết có thể được phát hiện và cácbiện pháp phòng chống được đề ra để bịt các lỗ hổng đó Việc triển khai cácgiải pháp an ninh bảo mật ở trên cũng như thuê các chuyên gia bảo mật ởdưới có thể giúp các doanh nghiệp vừa và nhỏ không cần bỏ ra quá nhiều chiphí vẫn có thể có được hiệu quả tốt đẹp, vấn đề vướng mắc ở đây là khi có sự

cố bất ngờ xảy ra, doanh nghiệp không thực sự có năng lực khắc phục ngay

khoanh vùng và xác định đối tượng thâm nhập Trong các doanh nghiệp nhỏ,

họ chú trọng đến sự hoạt động của hệ thống hơn là các chính sách cụ thể, chỉcần công việc diễn ra bình thường là có thể coi như hệ thống hoạt động tốt,các nhân viên không được phổ biến quyền hạn cũng như trách nhiệm vớichính sách bảo mật, một khi xảy ra lỗi, rất khó có thể xác định nguyên nhâncũng như cách khắc phục lỗi Đồng thời với nó, sự không phân quyền hạn sẽlàm cho mọi người đều có những quyền như nhau, đôi khi những quyền đó làkhông cần thiết và có thể gây nguy hại cho hệ thống một khi tin tặc lợi dụngđược

Đề ra chính sách rõ ràng, phân quyền sử dụng hợp lý, đó là những yêu cầubắt buộc một doanh nghiệp khi muốn nâng cao bảo mật của hệ thống mình.Trong vấn đề triển khai cụ thể, một doanh nghiệp vừa và nhỏ có thể áp dụngcác giải pháp kiến nghị sau trong chính sách bảo mật của mình

- Tiến hành đánh giá về chính sách bảo mật hiện có (các quy định củacông ty về quản lý thông tin vào ra)

- Thực hiện vá lỗi và xây dựng hệ thống bảo mật phù hợp quy mô và trình

độ công ty, một vài kỹ thuật sau có thể được sử dụng :

+ Kiểm soát truy cập: Xác nhận danh tính và quyết định có cho phép truycập vào mạng hay không Việc xác thực có thể thông qua mật khẩuhoặc các biện pháp phức tạp khác như sử dụng thiết bị như thẻ nhânviên Cũng có thể sử dụng các biện pháp mã hóa truy cập với các khóariêng được cấp cho từng người

+ Tường lửa: Giải pháp phần mềm hoặc phần cứng giúp ngăn chặn các nỗlực xâm nhập từ bên ngoài hoặc chỉ cho phép dữ liệu hợp pháp đi vàomạng Đồng thời cũng ngăn cản dữ liệu từ trong mạng đi ra ngoài mộtcách không minh bạch Hầu hết các doanh nghiệp cho phép dữ liệuđược tự do đi ra ngoài và điểm này được lợi dụng để tin tặc cài cácphần mềm backdoor vào hệ thống

+ Quản lý định danh: Nhận dạng người dùng và trạng thái chấp nhận hiệntại; xác định và thi hành quyền truy cập tài nguyên hệ thống và mạnglưới (thông qua Policy công ty) Điều này liên quan tới quyền hạn của

từng người trong hệ thống, không phải ai khi đăng nhập thành công vào

hệ thống cũng có toàn quyền với các tài nguyên mạng, mỗi người đượccung cấp môi trường phù hợp và đủ với công việc của mình, mọi quyềnhạn khác đều cần được xóa bỏ

+ Phát hiện xâm nhập: Là khả năng của phần mềm có thể phân tích hoạtđộng của mạng, phát hiện hành vi xâm nhập vào gửi thông báo chongười quản trị

+ Ngăn chặn đe doạ: Là việc liên kết nhiều công nghệ bảo mật (tường lửa,phát hiện/bảo vệ xâm nhập) và dịch vụ mạng thông minh để giảm thiếutác động của những đe doạ đã biết hoặc chưa được biết đến

+ VPN (Virtual Private Network): Mạng riêng ảo cho phép máy tính cóthể kết nối (truy cập từ xa) một cách an toàn và bảo mật hơn tới hệthống mạng doanh nghiệp thông qua mạng Internet

- Thiết lập các chính sách và quy trình khai thác tài nguyên công ty phùhợp: quy định quyền sử dụng tài nguyên của từng phòng ban, cá nhân;thiết lập các quy trình khai thác và bảo mật thông tin doanh nghiệp (cầnđược thể hiện bằng văn bản và báo cáo công việc, càng rõ càng tốt); hìnhthành nên các quy trình xử lý sự cố có thể xảy ra (tấn công, tai nạn, hưhỏng vật lý…) thiết lập các kế hoạch duy trì, bảo dưỡng và nâng cấp hệthống…

- Tổ chức thông báo rộng rãi các chính sách đến toàn thể nhân viên công

ty Đồng thời tổ chức các buổi tập huấn, đào tạo nhân viên nhằm áp dụngtriệt để các quy định về khai thác tài nguyên công ty

1.4 Các giải pháp về an ninh mạng

Bản thân các doanh nghiệp vừa và nhỏ cũng có những nhận thức ban đầu

về các mối lo ngại bảo mật và họ sẵn sàng bỏ tiền ra để trang bị các thiết bịbảo mật cho doanh nghiệp, tất nhiên giá cả của thiết bị đó phải ở mức chấpnhận được Các nhà cung cấp dịch vụ bảo mật đã bắt tay vào để tạo ra các sảnphẩm cung cấp hệ thống an toàn tất cả trong một cho một công ty nhỏ Cácgiải pháp đó có thể là phần cứng cũng như phần mềm nhưng đặc điểm nổi trội

của nó là được tạo nên nhắm đến các doanh nghiệp vừa và nhỏ Được tối ưucho mục đích sử dụng, các doanh nghiệp vừa và nhỏ không cần đến một hệthống phức tạp với độ an toàn cao, họ chỉ cần một hệ thống có thể bảo vệ họvừa đủ trước các mối an ninh bên ngoài, đồng thời họ cũng muốn tích hợpnhiều tính năng để có thể khai thác từ các sản phẩm bảo mật đó

Bằng cách điểm qua một số sản phẩm hiện tại, có thể từ đó nhận đưa racác nhận định hữu ích từ các chuyên gia bảo mật mạng đối với vấn đề an ninhmạng cho các doanh nghiệp vừa và nhỏ

1.4.1 Giải pháp về phần cứng

Về tổng thể, tường lửa phần cứng cung cấp mức độ bảo vệ cao hơn so vớitường lửa phần mềm và dễ bảo trì hơn Tường lửa phần cứng cũng có một ưuđiểm khác là không chiếm dụng tài nguyên hệ thống trên máy tính như tườnglửa phần mềm Tường lửa phần cứng là một lựa chọn rất tốt đối với các doanhnghiệp nhỏ, đặc biệt cho những công ty có chia sẻ kết nối Internet Có thể kếthợp tường lửa với một bộ định tuyến trên cùng một hệ thống phần cứng và sửdụng hệ thống này để bảo vệ cho toàn bộ mạng Tường lửa phần cứng có thể

là một lựa chọn đỡ tốn chi phí hơn so với tường lửa phần mềm thường phảicài trên mọi máy tính cá nhân trong mạng

Trong số các công ty cung cấp tường lửa phần cứng có thể kể tới Linksys(http://www.linksys.com) và NetGear (http://www.netgear.com) Tính năngtường lửa phần cứng do các công ty này cung cấp thường được tích hợp sẵntrong các bộ định tuyến dùng cho mạng của các doanh nghiệp nhỏ và mạnggia đình

1.4.2 Giải pháp về phần mềm

Nếu không muốn tốn tiền mua tường lửa phần cứng thì bạn có thể sử dụngtường lửa phần mềm Về giá cả, tường lửa phần mềm thường không đắt bằngtường lửa phần cứng, thậm chí một số còn miễn phí (phần mềm ComodoFirewall Pro 3.0, PC Tools Firewall Plus 3.0, ZoneAlarm Firewall 7.1 …) vàbạn có thể tải về từ mạng Internet

So với tường lửa phần cứng, tường lửa phần mềm cho phép linh động hơn,nhất là khi cần đặt lại các thiết lập cho phù hợp hơn với nhu cầu riêng củatừng công ty Chúng có thể hoạt động tốt trên nhiều hệ thống khác nhau, khácvới tường lửa phần cứng tích hợp với bộ định tuyến chỉ làm việc tốt trongmạng có quy mô nhỏ Tường lửa phần mềm cũng là một lựa chọn phù hợp đốivới máy tính xách tay vì máy tính sẽ vẫn được bảo vệ cho dù mang máy tính

đi bất kỳ nơi nào

Các tường lửa phần mềm làm việc tốt với Windows 98, Windows ME vàWindows 2000 Chúng là một lựa chọn tốt cho các máy tính đơn lẻ Các công

ty phần mềm khác làm các tường lửa này Chúng không cần thiết choWindows XP bởi vì XP đã có một tường lửa cài sẵn

 Ưu điểm:

- Không yêu cầu phần cứng bổ sung

- Không yêu cầu chạy thêm dây máy tính

- Một lựa chọn tốt cho các máy tính đơn lẻ

 Nhược điểm:

- Chi phí thêm: hầu hết các tường lửa phần mềm tốn chi phí

- Việc cài đặt và và đặt cấu hình có thể cần để bắt đầu

- Cần một bản sao riêng cho mỗi máy tính

Chương 2 TỔNG QUAN VỀ TƯỜNG LỬA2.1 Khái niệm và chức năng của tường lửa

2.1.1 Khái niệm

Trong ngành mạng máy tính, bức tường lửa (tiếng Anh: firewall) là rào

chắn mà một số cá nhân, tổ chức, doanh nghiệp, cơ quan nhà nước lập ranhằm ngăn chặn người dùng mạng Internet truy cập các thông tin khôngmong muốn hay ngăn chặn người dùng từ bên ngoài truy nhập các thông tinbảo mật nằm trong mạng nội bộ

Tường lửa là một thiết bị phần cứng hay một phần mềm hoạt động trongmột môi trường máy tính nối mạng để ngăn chặn một số liên lạc bị cấm bởichính sách an ninh của cá nhân hay tổ chức, việc này tương tự với hoạt độngcủa các bức tường ngăn lửa trong các tòa nhà Tường lửa còn được gọi là

Thiết bị bảo vệ biên giới (Border Protection Device - BPD), đặc biệt trong

các ngữ cảnh của NATO, hay bộ lọc gói tin trong hệ điều hành BSD - mộtphiên bản Unix của Đại học California, Berkeley

Nhiệm vụ cơ bản của tường lửa là kiểm soát giao thông dữ liệu giữa haivùng tin cậy khác nhau Các vùng tin cậy điển hình bao gồm: mạng Internet(vùng không đáng tin cậy) và mạng nội bộ (một vùng có độ tin cậy cao) Mụcđích cuối cùng là cung cấp kết nối có kiểm soát giữa các vùng mạng với độtin cậy khác nhau thông qua việc áp dụng một chính sách an ninh và mô hìnhkết nối dựa trên nguyên tắc quyền tối thiểu

Cấu hình đúng đắn cho các tường lửa đòi hỏi kỹ năng của người quản trị

hệ thống Việc này đòi hỏi hiểu biết đáng kể về các giao thức mạng và về anninh máy tính Những lỗi nhỏ có thể biến tường lửa thành một công cụ anninh vô dụng

2.1.2 Chức năng tường lửa

Tường lửa quyết định những dịch vụ nào từ bên trong được phép truy cập

từ bên ngoài, những người nào từ bên ngoài được phép truy cập đến các dịch

vụ bên trong và cả những dịch vụ nào bên ngoài được phép truy cập bởinhững người bên trong.

2.1.2.1 Tường lửa bảo vệ những vấn đề gì ?

Bảo vệ dữ liệu: Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.Những thông tin cần được bảo vệ do những yêu cầu sau:

- Bảo mật: Một số chức năng của tường lửa là có thể cất giấu thông tinmạng tin cậy và nội bộ so với mạng không đáng tin cậy và các mạng bênngoài khác Tường lửa cũng cung cấp một mũi nhọn trung tâm để đảm bảo

sự quản lý, rất có lợi khi nguồn nhân lực và tài chính của một tổ chức cógiới hạn

- Tính toàn vẹn

- Tính kịp thời

- Tài nguyên hệ thống

- Danh tiếng của công ty sở hữu các thông tin cần bảo vệ

2.1.2.2 Tường lửa bảo vệ chống lại những vấn đề gì ?

Tường lửa bảo vệ chống lại những sự tấn công từ bên ngoài

- Chống lại việc Hacking : Hacker là những người hiểu biết và sự dụngmáy tính rất thành thạo và là những người lập trình rất giỏi Khi phân tích vàkhám phá ra các lổ hổng hệ thống nào đó, sẽ tìm ra những cách thích hợp đểtruy cập và tấn công hệ thống Có thể sử dụng các kỹ năng khác nhau để tấncông vào hệ thống máy tính Ví dụ có thể truy cập vào hệ thống mà khôngđược phép truy cập và tạo thông tin giả, lấy cắp thông tin Nhiều công ty đang

lo ngại về dữ liệu bảo mật bị đánh cắp bởi các hacker Vì vậy, để tìm ra cácphương pháp để bảo vệ dữ liệu thì tường lửa có thể làm được điều này

- Chống lại việc sửa đổi mã: Khả năng này xảy ra khi một kẻ tấn công sửađổi, xóa hoặc thay thế tính xác thực của các đoạn mã bằng cách sử dụng virus,worm và những chương trình có chủ tâm Khi tải dữ liệu trên Internet có thểdẫn tới tải các đọan mã có dã tâm, thiếu kiến thức về bảo mật máy tính, những

tập tin tải về có thể thực thi những quyền theo mục đích của những ngườidùng trên một số trang website.

- Từ chối các dịch vụ đính kèm: Từ chối dịch vụ là một loại ngắt hoạtđộng của sự tấn công Lời đe dọa tới tính liên tục của hệ thống mạng là kếtquả từ nhiều phương thức tấn công giống như làm tràn ngập thông tin hay là

sự sửa đổi đường đi không được phép Bởi thuật ngữ làm tràn ngập thông tin,

là một người xâm nhập tạo ra môt số thông tin không xác thực để gia tăng lưulượng trên mạng và làm giảm các dịch vụ tới người dùng thực sự Hoặc một

kẻ tấn công có thể ngắm ngầm phá hoại hệ thống máy tính và thêm vào phầnmềm có dã tâm, mà phần mềm này sẽ tấn công hệ thống theo thời gian xácđinh trước

- Tấn công trực tiếp: Cách thứ nhất là dùng phương pháp dò mật khẩu trực

tiếp Thông qua các chương trình dò tìm mật khẩu với một số thông tin vềngười sử dụng như ngày sinh, tuổi, địa chỉ … và kết hợp với thư viện dongười dùng tạo ra, kẻ tấn công có thể dò được mật khẩu Trong một số trườnghợp khả năng thành công có thể lên tới 30% Ví dụ như chương trình dò tìm

mật khẩu chạy trên hệ điều hành Unix có tên là Crack Cách thứ hai là sử

dụng lỗi của các chương trình ứng dụng và bản thân hệ điều hành đã được sửdụng từ những vụ tấn công đầu tiên và vẫn được để chiếm quyền truy cập (cóđược quyền của người quản trị hệ thống)

- Nghe trộm: Có thể biết được tên, mật khẩu, các thông tin truyền qua

mạng thông qua các chương trình cho phép đưa giao tiếp mạng vào chế độnhận toàn bộ các thông tin lưu truyền qua mạng

- Vô hiệu hoá các chức năng của hệ thống: Đây là kiểu tấn công nhằm làm

tê liệt toàn bộ hệ thống không cho thực hiện các chức năng được thiết kế.Kiểu tấn công này không thể ngăn chặn được do những phương tiện tổ chứctấn công cũng chính là các phương tiện để làm việc và truy nhập thông tintrên mạng

- Lỗi người quản trị hệ thống: Ngày nay, trình độ của các hacker ngày

càng giỏi hơn, trong khi đó các hệ thống mạng vẫn còn chậm chạp trong việc

xử lý các lỗ hổng của mình Điều này đòi hỏi người quản trị mạng phải có

kiến thức tốt về bảo mật mạng để có thể giữ vững an toàn cho thông tin của

hệ thống Đối với người dùng cá nhân, không thể biết hết các thủ thuật để tựxây dựng cho mình một tường lửa, nhưng cũng nên hiểu rõ tầm quan trọngcủa bảo mật thông tin cho mỗi cá nhân Qua đó, tự tìm hiểu để biết một sốcách phòng tránh những sự tấn công đơn giản của các hacker Vấn đề là ýthức, khi đã có ý thức để phòng tránh thì khả năng an toàn sẽ cao hơn

- Yếu tố con người: Với những tính cách chủ quan và không hiểu rõ tầmquan trọng của việc bảo mật hệ thống nên dễ dàng để lộ các thông tin quantrọng cho hacker Ngoài ra thì còn dùng tường lửa để chống lại sự “giả mạođịa chỉ IP “

2.1.3 Cấu trúc, thành phần và cơ chế hoạt động tường lửa

2.1.3.1 Cấu trúc

Tường lửa bao gồm : Một hoặc nhiều hệ thống máy chủ kết nối với các bộđịnh tuyến hoặc có chức năng định tuyến Các phần mềm quản lý an ninhchạy trên hệ thống máy chủ Thông thường là các hệ quản trị xác thực(Authentication), cấp quyền (Authorization) và kế toán (Accounting)

2.1.3.2 Thành phần và cơ chế hoạt động

Một tường lửa bao gồm một hoặc nhiều thành phần sau đây:

 Bộ lọc gói tin (Packet Filtering)

 Cổng ứng dụng (Application Gateway)

 Cổng mạch ( Circuit Level Gateway )

Bộ lọc gói tin (Packet Filtering):

Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông quatường lửa thì điều đó có nghĩa rằng tường lửa hoạt động chặt chẽ với giaothức liên mạng TCP/IP Vì giao thức này làm việc thuật toán chia nhỏ các dữliệu nhận được trên mạng, hay nói cách chính xác hơn là các dịch vụ chạytrên các giao thức ( Telnet, SMTP, FTP, DNS, NSF ….) chia thành các gói dữliệu rồi gán cho các gói tin này các địa chỉ có thể nhận dạng, tái lập ở đích cần

gửi đến do đó các loại tường lửa cũng liên quan nhiều đến các gói tin và cáccon số địa chỉ của chúng

Hình 2.1: Bộ lọc gói tin

Bộ lọc gói tin cho phép hoặc từ chối mỗi gói tin mà nó nhận được Nókiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãnmột số luật lệ của lọc gói tin hay không Các luật lệ lọc gói tin này dựa trên

các thông tin ở đầu mỗi gói tin dùng để cho phép truyền gói tin trên mạng Đó

là:

 Địa chỉ IP nguồn (IP Souce Addresss)

 Địa chỉ IP đích (IP Destination Address)

 Thông tin về giao thức (tập các luật) điều khiển gói (loại gói tin TCP,UDP, ICMP, IP tunnel)

 Cổng TCP/UDP nguồn (TCP/UDP Souce port)

 Cổng TCP/UDP đích (TCP/UDP Destination port)

 Dạng thông báo ICMP (ICPM messager type)

 Giao diện gói tin đến ( incomming interface of packet )

 Giao diện gói tin đi ( outcomming interface of packet )

Nếu luật lệ được thỏa mãn thì gói tin sẽ được chuyển qua tường lửa nếukhông gói tin sẽ bị loại bỏ Nhờ vậy mà tường lửa có thể ngăn cản các kết nối

vào các máy chủ hoặc mạng nào đó xác định hoặc khóa truy cập vào trongtrong hệ thống mạng nội bộ từ những địa chỉ không cho phép Hơn nữa việckiểm soát các cổng làm cho tường lửa có khả năng chỉ cho phép một số loạikết nối nhất định vào các loại máy chủ nào đó hoặc chỉ cho phép một số dịch

vụ nào đó (FTP, SSH, HTTP … ) mới được chạy trên hệ thống mạng cục bộ(LAN)

Đa phần các tường lửa đều sử dụng bộ lọc gói tin vì:

 Tương đối đơn giản và tính dễ thực thi

 Nhanh và dễ sử dụng

 Chi phí thấp và ít ảnh hưởng đến hiệu xuất của mạng

 Rất hiệu quả trong việc đóng khối các kiểu riêng biệt của lưu lượng, vàđôi khi nó là một phần của hệ thống tường lửa tổng quan Ví dụ: telnet

có thể dễ dàng được đóng khối bằng cách áp dụng một filter để đóngkhối TCP cổng 23 (telnet)

 Nhược điểm:

 Việc định nghĩa các chế độ lọc gói tin là việc phức tạp, nó đòi hỏingười quản trị mạng hiểu biết chi tiết về các dịch vụ Internet, các dạngpacket header và các giá trị cụ thể trên các trường Khi đòi hỏi về sự lọccàng lớn thì các luật lệ về lọc càng dài và phức tạp vì vậy rất khó quản

lý và điều khiển

 Do làm việc dựa trên packet header nên bộ lọc gói tin không kiểm soátđược nội dung thông tin của gói tin Các gói tin chuyển qua vẫn có thểmang theo mã độc

 Thông tin địa chỉ trong một gói có thể bị xuyên tạc hoặc bị đánh lừa bởingười gửi

 Dữ liệu hoặc các yêu cầu chứa trong một gói cho phép có thể có điềukhông mong muốn xảy ra, một hacker khai thác một chỗ sai sót trong

một chương trình Web server hoặc sử dụng một mật mã bất chính đểthu được quyền điều khiển hoặc truy cập.

 Packet Filter không thể thực hiện việc xác thực người dùng

số đặc điểm trong ứng dụng, mà người quản trị mạng cho là chấp nhận đượctrong khi từ chối các đặc điểm khác

Hình 2.2: Cổng lọc ứng dụng

Một số cổng ứng dụng được xem như là một pháo đài (bastion host), bởi

vì nó được thiết kế đặc biệt để chống lại sự tấn công bên ngoài Những biệnpháp đảm bảo an ninh cho một bastion host là:

 Bastion host luôn chạy các phiên bản an toàn của các phần mềm hệthống Các phiên bản an toàn này được thiết kế chuyên cho mục đíchchống lại sự tấn công vào Operating Systems, cũng như là đảm bảo tíchhợp tường lửa

 Chỉ những dịch vụ cho là cần thiết mới được cài trên basion host, đơngiản là chỉ vì nếu một dịch vụ không được cài đặt, dịch vụ đó sẽ không

bị tấn công Thông thường chỉ một số giới hạn cho các dịch vụ Telnet,DNS, FTP, SMTP và xác thực người dùng là được cài đặt trên basionhost

 Basion host có thể yêu cầu nhiều mức xác thực khác nhau Ví dụ: mậtkhẩu người dùng hay smart card mỗi proxy được đặt cấu hình để chophép truy nhập chỉ một số các máy chủ nhất định Điều này có nghĩarằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúng với một sốmáy chủ trên toàn hệ thống

 Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ các chi tiếtlưu thông qua nó, mỗi sự kết nối, khoảng thời gian kết nối Nhật ký nàyrất có ích trong việc tìm dấu vết hoặc ngăn chặn kẻ phá hoại

 Mỗi proxy đều độc lập với các proxy khác trên Basion host Điều nàycho phép dễ dàng cài đặt một số proxy mới, hay tháo gỡ một proxyđang có vấn đề Ví dụ một người khác ngoài mạng muốn sử dụng dịch

vụ Telnet để kết nối vào hệ thống mạng qua Basion host có Telnetproxy Quá trình xảy ra như sau:

o Máy bên ngoài telnet đến Basion host Basion host kiểm tra mậtkhẩu, nếu hợp lệ thì máy bên ngoài được phép vào giao diện củaTelnet proxy Telnet proxy cho phép một tập nhỏ những lệnh củatelnet và quyết định những máy chủ nội bộ nào máy bên ngoàiđược phép truy nhập

o Máy bên ngoài chỉ ra máy đích và Telnet proxy tạo một kết nốiriêng tới máy chủ đích và chuyển các lệnh tới máy chủ đích dưới

sự ủy quyền của máy bên ngoài Máy bên ngoài tin rằng Telnetproxy là máy chủ thật ở trong, còn máy chủ bên trong tin rằngTelnet proxy là máy thật

 Cho phép người quản trị mạng hoàn toàn điều khiển dịch vụ trên mạng,bởi vì ứng dụng proxy hạn chế một số lệnh và quyết định những máychủ nào có thể truy nhập vào các dịch vụ.

 Cho phép người quản trị mạng điều khiển được những dịch vụ nào chophép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứngnghĩa là dịch vụ ấy bị khóa

 Cổng ứng dụng kiểm tra độ xác thực rất tốt, và nó có nhật ký ghi lại cácthông tin về truy nhập hệ thống

 Luật filtering (lọc) cho cổng ứng dụng là dễ dàng cấu hình và kiểm trahơn bộ lọc gói tin

 Yêu cầu các người dùng biến đổi thao tác hoặc biến đổi phần mềm đãcài đặt trên máy trạm cho truy cập vào các dịch vụ proxy Ví dụ: telnettruy cập qua cổng ứng dụng đòi hỏi hai bước để nối với máy chủ chứkhông phải một bước Tuy nhiên, cũng đã có một số phần mềm máytrạm cho phép ứng dụng trên cổng là trong suốt, bằng cách cho người

dùng chỉ ra máy đích chứ không phải ứng dụng trên cổng telnet.

 Yêu cầu tài nguyên để xử lý khá cao và làm giảm khả năng xử lý củamạng

Cổng mạch ( Circuit Level Gateway )

Cổng vòng là một chức năng đặc biệt có thể thực hiện được thông quacổng ứng dụng Cổng vòng chỉ đơn giản là chuyển tiếp các kết nối TCP màkhông thực hiện bất cứ hành động xử lý hay lọc gói tin nào

Hình 2.3: Cổng vòng

Hình trên minh họa một hành động telnet qua cổng vòng Cổng vòng chỉđơn giản chuyển tiếp kết nối qua tường lửa mà không thực hiện lọc hay điềukhiển các thủ tục của telnet Cổng vòng làm việc như một sợi dây, sao chépcác byte giữa kết nối bên trong và kết nối bên ngoài Tuy nhiên vì sự kết nốinày trên tường lửa nên nó che dấu mạng nội bộ.

Circuit Level Gateway(CLG) hoạt động ở lớp session của mô hình OSI,hoặc lớp TCP của mô hình TCP/IP Chúng giám sát việc bắt tay TCP giữa cácgói để xác định rằng một phiên yêu cầu là phù hợp Thông tin tới máy tính từ

xa thông qua một CLG, làm cho máy tính ở xa đó nghĩ là thông tin đến từgateway Điều này che dấu được thông tin về mạng được bảo vệ CLG thường

có chi phí thấp và che dấu được thông tin về mạng mà nó bảo vệ Ngược lại,chúng không lọc các gói

Hình 2.4: Cổng mạch

Tường lửa không chỉ cho phép hoặc không cho phép gói tin mà còn xácđịnh kết nối giữa hai đầu cuối có hợp lệ theo các luật hay không, sau đó mởmột phiên làm việc và cho phép luồng lưu thông và có sự giới hạn thời gian.Một kết nối được xem là hợp lệ phải dựa vào các yếu tố sau:

 Mật khẩu (password)

Mỗi phiên trao đổi dữ liệu đều được kiểm tra và giám sát Tất cả cácluồng lưu lượng đều bị cấm trừ khi một phiên được mở Loại proxy servernày cung cấp kết nối (có điều khiển) giữa các hệ thống nội và ngoại Có mộtmạch ảo giữa người dùng nội và proxy server Các yêu cầu Internet đi quamạch này đến proxy server và proxy server chuyển giao yêu cầu này đếnInternet sau khi thay đổi địa chỉ IP Người dùng ngoại chỉ thấy địa chỉ IP củaproxy server Các phản hồi được proxy server nhận và gửi đến người dùngthông qua mạng ảo Mặc dù luồng lưu thông được phép đi qua, các hệ thốngbên ngoài không bao giờ thấy được hệ thống nội bộ bên trong Loại kết nốinày thường được dùng để kết nối người dùng bên trong được ủy thác vớiInternet

Cổng vòng thường được dùng để kết nối ra ngoài khi mà quản trị mạngthật sự tin tưởng những người dùng bên trong Ưu điểm lớn nhất là mộtBasion host có thể cấu hình như một hỗn hợp cung cấp cổng ứng dụng chokết nối đến và cổng vòng cho kết nối đi Điều này làm cho hệ thống tường lửa

dễ dàng sử dụng cho người trong mạng nội bộ muốn truy cập trực tiếp raInternet, trong khi vẫn cung cấp chức năng tường lửa để bảo vệ mạng nội bộtránh khỏi sự tấn công bên ngoài Circuit Level Filtering có ưu điểm nổi trộihơn so với Packet Filter Nó khắc phục được sự thiếu sót của giao thức UDPđơn giản và dể bị tấn công Bất lợi của Circuit Level Filtering là hoạt động ởtầng Transport và cần có sự cải tiến đáng kể của việc cài đặt để cung cấp cácchức năng truyền tải (chẳng hạn như Winsock)

2.1.3.3 Những hạn chế của tường lửa

Tường lửa không đủ thông minh như con người để có thể đọc hiểu từngloại thông tin và phân biệt nội dung tốt hay xấu của nó Tường lửa có thểngăn chặn các nguồn thông tin không mong muốn nhưng phải xác định rõthông số

Tường lửa không thể ngăn chặn một cuộc tấn công không đi qua nó

Tường lửa cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data

- driver attacks) khi có một chương trình được chuyển theo email vượt quatường lửa và bắt đầu hoạt động trong mạng

Một ví dụ là các virus máy tính và mã độc, tường lửa không thể làmnhiệm vụ rà quét virus đi qua nó, do tốc độ làm việc, sự xuất hiện các biến thể

và sự xuất hiện của các virus mới với nhiều cách mã hóa dữ liệu vượt quá khảnăng kiểm soát của tường lửa

Loại virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khảnăng kiểm soát của tường lửa

2.2 Một số kiến trúc về tường lửa

2.2.1 Kiến trúc Dual – homed Host

Hình 2.5: Sơ đồ kiến trúc Dual–homed Host

Dual–homed Host là hình thức xuất hiện đầu tiên trong cuộc đấu để bảo

vệ mạng nội bộ Dual–homed Host là một máy tính có hai giao tiếp mạng:một nối với mạng cục bộ và một nối với mạng bên ngoài

Hệ điều hành của Dual–homed Host được sửa đổi để chức năng chuyểncác gói tin giữa hai giao tiếp mạng này không hoạt động Để làm việc đượcvới một máy trên Internet, người dùng ở mạng cục bộ trước hết phải đăngnhập vào Dual–homed Host và từ đó bắt đầu phiên làm việc

 Ưu điểm của Dual–homed Host:

 Cài đặt dễ dàng, không yêu cầu phần cứng hoặc phần mềm đặc biệt