CHƯƠNG I LỜI NÓI ĐÀU TỐNG QUAN VÈ AN TOÀN THÔNG TIN TRÊN tính mạng máy tính có vai MÁY trò quan trọng sống MẠNG TÍNH Máy ngày Ngày lĩnh vực cần đến máy tính, máy tính hữu ích với Chính nhò' có máy tính phát triến làm cho khoa học kỹ thuật phát triển vuợt bậc, kinh tế phát triển nhanh chóng thần kỳ Cùng với đời phát triến máy tính mạng máy tính vấn đề bảo mật An thông ngăntinchặn xâm phạm đánh cắpđối thông máycũng tínhnhu toàntin,thông nhu cầu quan trọng với tin cá nhân thông tin cá nhân mạng máy tính mà ngày có nhiều hacker xâm nhập tố huỷ chứcdữxãliệu hộiquan trọng quốc gia thếkinh giới.tế Trước khitysử phá làm thiệt hại đến công nhàdụng nuớc.máy tính mạng máy tính an toàn thông tin tiến hành thông qua phưong pháp vật lý Được hướng dẫn nhiệt tình chu đáo thày giáo Hoàng Sỹ Tưong em máy tính đem quảkhai vô hành tìm hiếu Từ nghiên cứuđờiđềcho tài đến thựcnay tập mạng tốt nghiệp: “Khai tháclạivàhiệu triển lớntường tronglửa tất Checkpoint” lĩnh vực kinh tế, trị, xã hội Bên phần to mềm Báocủa cáo đời gồmsống phần chính: TÔNG QUAN VÈ AN TOÀN MẠNG MẢY cạnh- người sử dụng mạng phảiTHÔNG đối mặtTIN vớiTRÊN họa TỈNH thông tin - CÁC THÀNH PHẢN CHÍNH CỦA MỘT MÔ HÌNH MẠNG AN TOÀN mạng họ bị công An toàn thông tin mạng máy tính bao gồm - TỎNG VÈ FIREWAL phưong pháp QUAN nhằm bảo vệ thông tin lưu giữ truyền mạng An toàn - FIREWALL CHECKPOINT thông tin mạng máy tính lĩnh vực đặc biệt quan tâm đồng nội nghiên khăn bao gồm nhiều thời Do dung công việccứu hết rộng sức khó phức tạp.kiến thức mẻ, thời gian kiến thức hạn chế, việc nghiên cứu chủ yếu dựa lý thuyết nên chắn đề tài tỏmong đóngrấtgóp Có tránh nhiều khởi kiện thiếu thực tếsót đế Em chứng nhận có tìnhsựtrạng đángý kiến thầy cô giáo bạn bè lo ngại công thông tin trình xử lý, truyền lun giữ thông tin Với tác lòng biếtbấtơnhợp sâupháp sắc, lên em thông xin chân thành thầy Sỹ lạc, Tương Những động tin với mụccảm đíchơnlàm tổnHoàng thất, sai lấy thầy cô giáo khoa An Toàn Thông Tin Học viên kỹ thuật mật mã cắp tệp lưu giữ tin, chép thông tin mật, giả mạo người phép sử nhiệt tình hướng dẫn giúp đỡ em hoàn thành đọt thực tập dụng thông tin mạng máy tính Sau vài ví dụ điển hình Cuối bất cảm ơncác bạnmạng bè, người thân tác động hợpxin pháp vào máy tính : bên tôi, kịp thời động viên giúp đỡ thời gian vừa qua Các sinh viên trường Đại học Tống hợp Mỹ lập cài đặt vào Em xin chân thành cảm ơn ! máy tính chương trình bắt chước làm việc với người sử dụng xa Bằng Hà Nội, năm 2009 chương trình họ nắm đượctháng trước2 nhu cầu người sử dụng hỏi mật Sinh viên họ Đen phát sinh viên kịp lấy mật 100 Lê Quang Hòa người sử dụng hợp pháp hệ thống máy tính Các nhân viên hãng CDC (Mỹ) “thâm nhập“ vào trung tâm tính toán hãng sản xuất hoá phẩm phá huỷ liệu lưu giữ băng từ gây thiệt hại cho hãng tới 100.000 $ Hãng bách khoa toàn thư Anh đưa kỹ thuật viên trung tâm máy tính với lời buộc tội họ chép từ đĩa máy tính tên tuối gần triệu khách hàng đáng giá hãng đế bán cho hãng khác hành vi phá huỷ phần mềm xử lý thông tin tự động, hành vi thường gây thiệt hại vô lớn lao Điều tất yếu với gia tăng nguy đe dọa thông tin mạng máy tính, vấn đề bảo vệ thông tin quan tâm nhiều Sau kết nghiên cún điều tra viện Stendíboc (Mỹ), tình hình bảo vệ thông tin có thay đổi đáng kể Đen năm 1985 nhiều chuyên gia Mỹ đến kết luận tác động phi pháp hệ thống thông tin tính toán trở thành tai họa quốc gia Khi có đủ tài liệu nghiên cứu, hiệp hội luật gia Mỹ tiến hành nghiên cún đặc biệt Ket gần nửa số ý kiến thăm dò thông báo năm 1984 họ nạn nhân hành động tội phạm thực máy tính, nhiều sổ nạn nhân thông báo cho quyền tội phạm, 39% số nạn nhân có thông báo lại không mục tiêu mà nghi vấn Đặc biệt nhiều vụ phạm pháp xảy mạng máy tính quan kinh doanh nhà băng Theo chuyên gia, tính đến trước năm 1990 Mỹ lợi lộc thu việc thâm nhập phi pháp vào hệ thống thông tin lên tới gần 10 triệu đô la, đồng thời tốn thất trung bình mà nạn nhân phải trả vụ vi phạm từ 100 400 nghìn đến 1.5 triệu đô la Có hãng phải tuyên bố phá sản nhân viên cố ý phá bở tất tài liệu kế toán chứa nhớ máy tính số nợ nợ Chương trình bầy hình thức công thông tin mạng, dịch vụ an toàn thông tin mô hình an toàn thông tin mạng 1.1 CÁC HÌNH THỨC TÁN CÔNG ĐÓI VÓI THÔNG TIN TRÊN MẠNG Trên mạng máy tính, thông tin bao gồm nhiều loại khác văn bản, hình ảnh, âm Chúng lưu giữ thiết bị ổ đĩa, băng từ truyền qua kênh công khai Những thông tin có giá trị luôn chịu mối đe dọa người quyền biết nội dung thông tin Họ người bất hợp pháp người nội quan, tố chức có thông tin cần bảo vệ Hình minh họa luồng thông tin truyền từ nơi gửi (nguồn thông tin) đến nơi nhận (đích thông tin) Trên đường truyền công khai thông tin bị công người không uỷ quyền nhận tin, ta gọi kẻ công Tài nguyên thông tin bị phá huỷ, không sẵn sàng phục vụ không sử dụng Đây hình thức công làm khả sẵn sàng phục vụ thông tin Những ví dụ kiểu công phá huỷ đĩa cứng, cắt đứt đường truyền tin, vô hiệu hoá hệ thống quản lý tệp 1.1.2 Chặn bắt thông tin (Interception) Kẻ công truy nhập tới tài nguyên thông tin Đây hình thức công vào tính bí mật thông tin Trong số tình kẻ công thay chương trình máy tính o o Nỹiiớo ihồog lia Đích ihóa$ lia (a)Luóag blahihườaâ o—H o (b) Nỹẳa ctự.a ihoaỹ lia HI ĩ Các công đổi vói thông tin mạng 1.1.3 Sửa đối thông tin (ModiHcation) Kẻ công truy nhập, chỉnh sửa thông tin mạng Đây hình thức công lên tính toàn vẹn thông tin Nó thay đổi giá trị tệp liệu, sửa đổi chương trình đế vận hành khác sửa đối nội dung thông báo truyền mạng 1.1.4 Chèn thông tin giả (Fabrication) Kẻ công chèn thông tin liệu giả vào hệ thống Đây hình thức công lên tính xác thực thông tin Nó việc chèn thông báo giả mạo vào mạng hay thêm ghi vào tệp Các kiếu công phân chia thành hai lớp công chủ động bị động Hình các kiểu công thuộc lớp công chủ động, công bị động tương ứng Tấn công bị động Là kiếu công chặn bắt thông tin nghe trộm quan sát truyền tin Mục đích kẻ công biết thông tin truyền mạng H2 ỉ Các tẩn công bị động chủ động Việc khám phá nội dung thực cách nghe trộm nói chuyện điện thoại, đọc trộm thư điện tử xem trộm nội dung tệp tin rõ Trong kiếu phân tích luồng thông tin, kẻ công thu thông báo truyền mạng tìm cách khám phá thông tin Neu nội dung thông báo bị mã hoá đối phương quan sát mẫu thông báo đế xác định vị trí định danh máy tính liên lạc quan sát tần số độ dài thông báo trao đổi từ đoán chất liên lạc Tấn công bị động khó bị phát không làm thay đôi số liệu không đế lại dấu vết rõ ràng Biện pháp hũu hiệu đế chống lại kiểu công ngăn chặn phát Tấn công chủ động Là công sửa đối luồng số liệu hay tạo luồng số liệu giả chia làm loại nhở sau : -Đóng giả (Masquerade) : Một thực (người dùng, máy tính, chương trình, ) đóng giả thực khác -Dùng lại (Replay) : Thụ động bắt thông báo sau truyền lại nhằm đạt mục đích bất hợp pháp -Sửa đôi thông bảo (Modification of messages) : Một phận thông báo hợp lệ sửa đối thông báo bị làm trễ thay đổi trật tự’ để đạt mục đích bất hợp pháp - Từ chối cung cấp dịch vụ (Deniaỉ of Service) : Ngăn cấm việc sử dụng bình thường quản lý tiện ích truyền thông Tấn công có chủ ý cụ thể, ví dụ kẻ công ngăn cản tất thông báo chuyến tới đích (như dịch vụ kiếm tra an toàn chẳng hạn), vô hiệu hoá mạng tạo tình trạng tải với thông báo họ làm giảm hiệu mạng Chúng ta thấy hai kiểu công chủ động thụ động có đặc trưng khác Kiểu công thụ động khó phát có biện pháp đế ngăn chặn thành công Mặt khác kiếu công chủ động dễ phát nhung lại khó ngăn chặn tuyệt đối, đòi hỏi việc bảo vệ vật lý tất phương tiện truyền thông lúc, nơi Giải pháp đế chống lại kiểu công phát chúng khôi phục mạng bị phá vỡ thông tin bị trễ 1.2 CÁC DỊCH VỤ BẢO VỆ THÔNG TIN TRÊN MẠNG - Ta phân biệt tài liệu giấy nguyên tài liệu chép Nhung tài liệu điện tử dãy bit nên phân biệt tài liệu “nguyên bản“ chép - Một thay đối tài liệu giấy đế lại dấu vết vật lý vết xoá, tẩy, Tuy nhiên thay đối tài liệu điện tử không đế lại dấu vết vật lý - Một chứng gắn với tài liệu vật lý dựa đặc trưng vật lý tài liệu độ sắc chữ ký tay dấu công chứng viên Một chứng tài liệu điện tử phải dựa vào biếu diễn bên thông tin Dưới dịch vụ bảo vệ thông tin mạng máy tính : 1.2.1 Dịch vụ bí mật (Coníĩdentiality) Dịch vụ bí mật bảo đảm thông tin hệ thống máy tính thông tin truyền đọc bên uỷ quyền Thao tác đọc bao gồm in, hiến thị, Nói cách khác, dịch vụ bí mật bảo vệ liệu truyền chống lại công bị động nhằm khám phá nội dung thông báo Thông tin bảo vệ tất liệu truyền hai người dùng khoảng thời gian thông báo lẻ hay số trường thông báo Dịch vụ cung cấp khả bảo vệ luồng thông tin khỏi bị công phân tích tình 1.2.2 Dịch vụ xác thực (Authentication) Dịch vụ xác thực đảm bảo việc truyền thông xác thực nghĩa người gửi người nhận không bị mạo danh Trong trường hợp có thông báo đơn tín hiệu cảnh báo, tín hiệu chuông, dịch vụ xác thực đảm bảo với bên nhận thông báo đến từ bên nêu danh Trong trường hợp có giao dịch xảy ra, dịch vụ xác thực đảm bảo hai bên giao dịch xác thực kẻ giả danh làm bên trao đổi Nói cách khác, dịch vụ xác thực yêu cầu nguồn gốc thông báo nhận dạng với định danh 1.2.3 Dịch vụ toàn vẹn (Integrity) Dịch vụ toàn vẹn áp dụng cho thông báo, luồng thông báo hay sổ trường thông báo Dịch vụ toàn vẹn định hướng kết nối (connection-oriented) áp dụng cho luồng thông báo bảo đảm thông báo nhận có nội dung giống gửi, không bị nhân bản, chèn, sửa đối, thay đổi trật tự hay dùng lại kể hủy hoại số liệu Như dịch vụ toàn vẹn định hướng kết nối quan tâm đến việc thay đối thông báo từ chối dịch vụ Mặt khác dịch vụ toàn vẹn phi kết nối quan tâm đến việc sửa đối thông báo Dịch vụ toàn vẹn liên quan đến công chủ động nên thiên phát hon ngăn chặn 1.2.4 Không chối bỏ (Nonrepudiation) Dịch vụ không chối bỏ ngăn chặn người gửi hay người nhận chối bỏ thông báo truyền Khi thông báo gửi người nhận chứng minh người gửi nêu danh gửi Khi thông báo nhận người gửi chứng minh thông báo nhận người nhận họp pháp 1.2.5 Kiểm soát truy nhập (Access control) Kiểm soát truy nhập khả hạn chế kiểm soát truy nhập đến hệ thống máy tính ứng dụng theo đường truyền thông Mỗi thực thể muốn truy nhập phải định danh hay xác nhận có quyền truy nhập phù họp 1.2.6 sẵn sàng phục vụ (Availability) sẵn sàng phục vụ đòi hỏi tài nguyên hệ thống máy tính sẵn sàng nhũng bên uỷ quyền cần thiết Các công làm giảm khả sẵn sàng phục vụ 1.3 MÔ HÌNH CỦA HỆ THÓNG BẢO MẶT THÔNG TIN TRÊN MẠNG DÙNG KỸ THUẬT MẬT MÃ Các mối đe dọa chủ yếu tới an toàn hệ thống mạng xuất phát từ tính mở kênh truyền thông (chúng cổng dùng cho truyền thông hợp pháp tiến trình Client, server) hậu làm cho hệ thống bị công nghe trộm, giả mạo, sửa đổi trái phép, Chúng ta phải thừa nhận kênh truyền thông, tất mức phần cứng phần mềm hệ thống chịu nguy hiểm mối đe doạ Một kênh liên lạc máy khách hàng hợp pháp máy chủ hợp pháp bị nghe trộm Một máy chủ hợp pháp bị công máy mạo danh máy khách hàng Kẻ công làm thay đối trạng thái máy chủ truy nhập tụ' tới thông tin mật lưu giữ máy chủ Một máy khách hàng hợp pháp bị công máy chủ mạo danh Kẻ công từ máy chủ mạo danh truy nhập tới thông tin lưu giữ máy khách hàng tạo giao dịch giả Biện pháp đế ngăn chặn kiếu công : Xây dựng kênh truyền thông an toàn đế tránh việc nghe trộm Thiết kế giao thức xác nhận lẫn máy khách hàng máy chủ : + Các máy chủ phải đảm bảo máy khách hàng máy người dùng mà chúng đòi hỏi + Các máy khách hàng phải đảm bảo máy chủ cung cấp dịch vụ đặc trưng máy chủ uỷ quyền cho dịch vụ + Đảm bảo kênh truyền thông “tươi“ nhằm tránh việc dùng lại thông báo 1.3.1 Các kỹ thuật bảo vệ thông tin mạng Các kỹ thuật bảo vệ thông tin mạng bao gồm : mã hoá, xác thực điều khiển truy nhập 1.3.1 ỉ Mã hoả Việc mã hoá thông báo có vai trò sau : Nó dùng đế che dấu thông tin mật đặt hệ thống Như biết kênh truyền thông vật lý bị công nghe trộm xuyên tạc thông báo Theo truyền thống việc trao đổi thư từ mật mã dùng hoạt động quân sự, tình báo Điều dựa nguyên tắc thông báo mã hoá với khoá mã xác định giải mã người biết khoá ngược tương ứng Nó dùng đế hỗ trợ chế truyền thông xác thực cặp người Nó dùng để cài đặt chế chữ ký số Chữ ký số có vai trò chữ ký thông thường việc xác nhận với thành viên thứ ba thông báo không bị thay đổi thông báo tạo người uỷ nhiệm đặc biệt Khả đế cung cấp chữ ký số dựa nguyên tắc có việc có người uỷ nhiệm người gửi thực làm người khác không Điều đạt việc đòi hỏi thành viên thứ ba tin cậy mà có chứng định danh người yêu cầu đế mã thông báo đế mã dạng ngắn thông báo gọi digest tương tự’ checksum Thông báo digest mã đóng vai trò chữ ký kèm với thông báo 1.3.1.2 Cơ chế xác thực Trong hệ thống nhiều người dùng tập trung chế xác thực thường đơn giản Định danh người dùng xác thực việc kiểm tra mật khấu phiên giao dịch Cách tiếp cận dựa vào chế quản lý tài nguyên hệ thống nhân hệ điều hành Nó chặn tất phiên giao dịch cách giả mạo người khác Trong mạng máy tính việc xác thực biện pháp mà nhờ định danh máy chủ máy khách hàng xác minh đáng tin cậy Cơ chế dùng để đạt điều dựa quyền sở hữu khoá mã Từ thực tế người uỷ nhiệm có quyền sở hữu khoá bí mật, suy người uỷ nhiệm người có định danh mà đòi hỏi Việc sở hữu mật bí mật dùng đế xác nhận định danh người sở hữu Các dịch vụ xác thực dựa vào việc dùng mật mã có độ an toàn cao Dịch vụ phân phối khoá có chức tạo, lưu giữ phân phối tất khoá mật mã cần thiết cho tất người dùng mạng 1.3.1.3 Các chế điều khiên truy nhập Các chế điều khiến truy nhập dùng đế đảm bảo có số người dùng gán quyền truy nhập tới tài nguyên thông tin (tệp, tiến trình, cổng truyền thông) tài nguyên phần cứng (máy chủ in, Processor, Gateway ) Các chế điều khiến truy nhập xảy hệ điều hành đa người dùng không phân tán Trong UNIX hệ thống nhiều người dùng khác, tệp tài nguyên thông tin chia sẻ quan trọng chế điều khiến 1.3.2 Mô hình hệ thống bảo mật thông tin mạng dùng kỹ thuật mật mã Hình mô hình hệ thống bảo mật thông tin mạng dùng kỹ thuật mật mã Mô hình bao gồm hai người uỷ nhiệm (Principal) người thu tin bất hợp pháp mà ta gọi đối thủ (Opponent) hay kẻ công Thông báo truyền hai người uỷ nhiệm thông qua kênh truyền thông Những người uỷ nhiệm giao dịch cần phải hợp tác để trao đổi thông tin Một kênh thông tin lôgic thiết lập đế định tuyến qua kênh truyền công khai từ nguồn đến đích dùng chung giao thức truyền thông (như TCP/IP chang hạn) hai người uỷ nhiệm Việc trao đối thông tin phải đảm bảo chổng lại công tới tính bí mật, xác thực, thông tin S.O loàn ao loàa H3 ỉ Mô hình bảo mật mạng máy tỉnh dừng kỹ thuật mật mã 1.3.2.1 Các thành phần mô hình bảo mật thông tin mạng máy tính dũng kỹ thuật mật mã Thông tin cần bảo vệ : thông tin có giá trị cần trao đổi mạng người uỷ nhiệm Các phép biến đối an toàn thông tin : bao gồm thao tác sử dụng kỹ thuật mật mã đế giữ bí mật xác thực thông tin mã hoá, tạo chữ số Khoá mật mã : Là thông tin bí mật chia sẻ người uỷ nhiệm mà kẻ công không biết Khoá mật mã dùng phép biến đổi an toàn thông tin Kênh thông tin : kênh truyền thông công khai Kẻ công thu Hình 2.25 Nhập hostname mà bạn muốn cho phép truy nhập tới FW Hình 2.26 Finish đêt kêt thúc trình cài đạt cho SmartConsole NGX R65 o o More Security Solutions Contact Intormation Thank you for installing Check Point Software Cancel Đack Finish Hình 4.2 27 Nhấn Finish đế kết thúc trình cài đặt 4.3 Tạo sách bảo mật Khởi động SmartDashboard Từ menu Start chọn Program >Checkpoint Smart Console R60 Chọn SmarthDashboard từ menu Smart Console Màn hình login xuất SmartDashboard NGXR65 I ịEỊcroo Modej (* Name ịadmin User c GX ~3 J Certiíicate: Password: SmartCenter Server: I- Read Only More Options >> |172.18.1.100 Hình 4.3.1 Login SmaríDashboard ŨK I fìuit J Jầ «1 A |J m E e ~ 1, J \k°'ỉQ “SQi 1Ễ °ts □ §::: r Ềị 8i X Ey,n ^ Corporate-interm D Corporaầe-dns-e: Corporate-WA-pi http->SOAP-requ Từ Chú câyý danh khôngsách thayđôi đối tượng tên đối SmathDashBroad, tượng hệ thống chọn tạo ra.Network Việc thay Object đố ảnh hưởng tới vấn đề xác thực, điều gây cố Login cài Checkpoint đặt sách Tạo đối tượng Webserver *V" Corporate-dmz-n □ Corporate-interní eb servers □ Corporate-dns-e: ỊỊỊ Corporale-WA-pi Corporale-dmz-n hrttp TừFilecây đối tượng Click phải vào biểu tượng Node Ẹdit View Manage Ruies Poky ™SmaựMap SecuritySearch Ịchuột "ỆWindow NATHelp Ị táĩ SmartDefense I Content Inspection Ị & SmartDeíense Services Ị H Connectra ] o VPN I lẳỊ Q°s Ị Deskto 2!^ http->SOAP-requ Eì ỉịi Netvvork Obịects IRBO [g] Check Gateways oPoint !}; 11 liLhdps Limit %Access A toQ, □ " - Rule (Rule « |j 1) Ei ffl VPN Access Rules (Rules 2-5) IL smtp * Branch-OfficeRules for 5pecific Sites (Rules 6-8) gv‘ Common Rules - All Sites (Rules 9-15) X Connectra-gw I ■" Security I jgj NAT I J SmartDeíense I U Content Inspection I SmartDeíenseServices I H Connecỉra I Q VPN I QoS I 'Q ■ 0í*- 1^ |Ek ^ |rn10 CorporateClusteB 5U Netvvork obịects E Ị§) Check Point ess Rules (Rules 2-5) Corporate-Cluste i Corporate-gw New Check Point )r Speciíic Sites (Rules 6-8) □? Corporate-intern Common Rules - All Sites (Rules 9-15) ! Corporate-WA-pi Delete nt ị SortCopy Tree ► [_| AquaNet_UK_sgsnl' o Inter Paste m % ỵẾ ẾịỊãĩ |j [Fo Q Host, hình Host Node xuất nhập phải vào cột No luật Clean Up cácClick thôngchuột tin sau: Chọn add Rule>Above từ hộp menu Hệ thống tạo luật mặc định luật Clean Up Hình 4.3.9 Gói chỉnh sách Chọn OKthông tậptin luật rỗng xuấthình hiện.luật Stealth Dùng sau đế cấu Tạo luật Clean Up Chọn Rules>add Rule>Top, luật Stealth mặc định xuất tập luật Name Rule Sũ: Security I TỄ3 NAT I )0t SmartDefense I Content Inspection I 'Q SmartDefense Services I H Connectra I © VPN I Scource: any Action: DROP Track: Log Service: Any Action: Hình 4.3.10 Luật mặc định tạo DROP Track: Log phải cốt Hình 4.3.8 Thuộc đổi tượng mạng LAN_0 Nhấn chuột Track, hộp menutính xuất Chọn OK Chọn Log Hình 4.3.6 Thuộc tính đối tương web Server Chấp chọn mặc định khác cho trường VPN, Install On, Chọnnhận Menucác Filetùy > Save NAME SOURCE DESTINATION VPN SERVICE ACTION www.myweb.cp Security I ig3 NAT I tjUf SmartDefense I Content Inspection I SmartDePense Services I ££ Connectra I cess intenet Rule Hình 4.3.13.Xác nhận luật Steaỉth Chọn đối tượng fwabc, cà Click OK CleanUp Rules Any Trattic fwabc Xác nhận luật Stealth tạo sau: yveb server Rule * Any VPN I * Any Any Traffic www.myweb.cp [*] o * Any http Hình 4.3.15.Xác nhận luật yvebserver Định nghĩa luật để truy cập Internet Tạo luật cho phép máy bên truy cập Internet Chọn webserver rule Từ menu rules, chọn add rule>Below Sử dụng thông tin đế cấu hình luật truy cập Internet: Name: Access Source: Destination: internet LAN_0 Hình 4.3.14 Đối tượng mạng đưa vào any Service: http Định nghĩa luật cho webserver Action: ACCEPT ■■■ Security I Ịj53 NAT I ttảlt SmartDeíense I MỈ Content Inspection ] SmartDefense Services IH Connectra I VPN Định nghĩa luật cho phép máy từ bên truy cập webserver Chọn luật Stealth Từ Menu Rules chọn add rule>Below Sử dụng thông tin4.3.16.Luật đế cấu hình truy luật webserver.cập Hình Cài đặt sách: Name: webserver Internet rule Source: any Từ menu chọn Policy>Install Destination: www.myweb.cp Hộp thoại cần báo SmarthDashBoard xuất chọn họp Check box: Don’t http showService: this message again Action: ACCEPT Click OK hộp Install Policy xuất Xác nhận ràng fwabc có trường Installation Targets hình sau Click OK đế cài đặt sách Sau sách cài đặt Click vào nút Close đế quay Smarth Dashboard Hình 4.3 \1 Cài đặt chỉnh sách Xác định ngưòi dùng hệ thống tưòng lửa Định nghĩa mẫu (Template) ngưòi dùng Việc định nghĩa phân quyền cho người dùng tổn nhiều thời gian Thay tạo hoàn toàn người dung, tạo sãn mẫu đế dùng tạo người dùng Tạo nhóm Từ menu chọn manage> User and administrator Màn hình User and administrator Hình 4.3.18 Định nghĩa người dùng quản trị Chọn New> User Group Hộp Group Properties va nhập thông tin sau: Hình 4.3.19 Định nghĩa nhóm người dùng Chọn OK, nhóm người dùng Vanphong xuất hộp User and Administrator Tạo mẫu người dùng Từ hộp User and administrator, chọn nút New Chọ New>template Hộp new template Trong trường Template nam, nhập templatevanphong Chọn vào thẻ Personal Dùng thông tin sau để cấu hình cho thẻ Expiration Date: Accept Default Setting Hình 4.3.20 Định nghĩa thuộc tỉnh template Chọn đối tượng nhóm vanphong từ trường available Groups Click vào nút add, đối tượng vanphong xuất trường belongs to groups Chọn thẻ Authentication,và chọn Checkspoint password từ menu thả xuống Chú ý: mật tạo người dùng Hình 4.3.21 Định nghĩa thuộc tỉnh xác thực tempỉate Các tham số thẻ giữ mặc đinh, chọn OK đế tạo mẫu người dùng Tạo ngưòi dùng Từ hộp User and Administrator, Chọn new> User by template>template_vanphong chọn nút New Hình 4.3.22 Tạo người dùng với ỉogin name Nhập quanghoa vào trường login name Chọn vào thẻ Authentication Hình 4.3.23 Tạo password cho người dùng Gõ vào trường password: abcl23 Chọn OK Cài đặt sở liệu người dùng NAME SOURCE DESTINATION leanUp Rules Veb server Rule ccess intenet Rule www.myweb.cp Địa tĩnh quan hệ 1-1 địa bên với địa bên Bởi quan 1-1, nên địa bên cần địa riêng bên Dịch địa tĩnh máy bên muốn truy nhập vào máy bên qua địa nó, VD webserver, mail server truy cập từ bên Cấu hình dịch địa động Trong SmartDashBoard, Click đúp vào đối tương LAN_0 từ biểu tượng Network đổi tượng Security Ị “[§3 NAT I tỊH SmartDePense I \ Content Inspection Ị ^ Smai ■V Corporate-rr ■V" CP_default_í - -M- Iffif ■V" Remote-l-dn ỴỈ’ Remote-l-int ■V’ Remote-2-int -h1 Remote-3-int J Remote-4-int -ÍTL Remote-5-int - Last Modified where Used ~~ Groups Hình 4.3.24 Thực cài đặt CSDL Hình 4.3.25 Tạo đối Chọn Install vào hộp Install Database hiệntượng Netxvork LAN_0 Hộp Network Properties xuất Chọn OK Chọn Close đế quay mục User and Administrator Chọn Close để quay Smart DashBoard Dịnh địa mạng (NAT) Các khái niệm Hiều dịch địa mạng Dịnh đỉa mạng địa IP ánh xạ từ dải IP sang địa IP khác, suốt với người dùng Chuyến dịnh địa mạng chuyến dịch nhiều địa sang địa Đây phương pháp để kết nối miền với địa nội tới giới bên Địa bên dùng đế máy bên kết nối bên che dấu địa bên Tường lửa sử dụng số hiệu cống kết nốid để phân biệt máy bên Dịch địa động quan hệ 1-nhiều địa bên địa che bên Dịch địa động thường Hình 4.3.26 Định nghĩa thuộc tỉnh LAN_0 Chọn thẻ NAT Nhập thông tin từ hình sau: Với cấu hình trên, dang dịch địa mạng LAN_0 địa IP tường lửa Đe dịch địa IP bên khác, chọn vào trường Hide Behind IP Address, nhập địa IP bên vào trường Chọn OK để quay SmartDash Board Xem cài đặt luật NAT Sau cấu hình chuyến dịch địa động luật NAT động tụ’ động tạo Chọn vào thẻ Address Translation SmartDashBoard đế xem luật Chọn vào thẻ Security Chọn Policy Cấu hình dịch địa tĩnh > Install đế tài đặt sách Chọn OK để tiếp tục Xem luật NAT tĩnh Sau cấu hình chuyến dịch địa tĩnh, luật NAT tĩnh tự động tạo Chọn vào thẻ Address Translation SmartDashBoard đế xem luật Chọn Policy > Install để cài đặt sách Tối ưu hóa luật kiểm soát Khi tạo luật có nguyên tắc cần thực đế đảm bảo sách tối ưu mặt quản lý, tính hiệu hiệu tường lửa Đặt tên thích đầy đủ luật Các luật tống quát cho mục đính chung thường đặt dưới, luật cụ thê thường đặt Đặt luật thường hay xảy bên luật dùng Đặt Log thường yêu cầu thời gian đế xử lý không nên đặt Log cho mà ý định đọc Giảm thiểu tính phúc tạp luật Càng nhiều luật nhiều thời gian đến xử lý Các luật phức tạp luật chứa nhiều đối tượng bên bên dịch thành sách kích thước lớn LỜI CẢM ƠN [...]... hiện một vài chức năng bảo vệ khác nhau Thống nhất và chuẩn hoá các phương tiện bảo vệ 1.4.3 Hệ thống an toàn thông tin trên các hệ điều hành mạng Hệ điều hành mạng (Network operating System) là một bộ phần mềm quản lý các hoạt động của một mạng máy tính Phần lớn các hệ điều hành mạng là bộ phần mềm phân tán bao gồm hai thành phần chính là phần mềm chủ (server) điều hành các hoạt động của mạng và cung... là phần mềm chủ (server) điều hành các hoạt động của mạng và cung cấp các dịch vụ Thành phần thứ hai là phần mềm khách hàng (client) đòi hỏi các dịch vụ mạng và chịu sự điều hành Trong một mạng có nhiều máy trạm chạy phần mềm khách hàng của hệ điều hành trong khi chỉ có một vài máy chủ có cấu hình mạnh chạy phần mềm chủ (server) của hệ điều hành Cơ chế làm việc trên mạng có một số đặc tính sau : Nhiều... giữa hai điếm trên mạng, điếm A và điểm B Neu mạng giữa điểm A và điểm B chứa một kết nối vật lý, một network tap là giải pháp tốt cho việc giám sát Network tap có ít nhất là 3 cổng kết nối, một cống A, một cống B, và một cống giám sát Đe đặt Network tap giữa điếm A và điểm B, cáp mạng giữa hai điểm A, B được thay thế bằng một cặp dây, một dây đấu vào cống A và dây kia đấu vào cống B Network tap cho qua... trường chung Trong hình minh họa trên, kết nối giữa Văn phòng chính và Văn phòng từ xa là loại VPN Intranet, kết nối giữa Văn phòng chính với Đối tác kinh doanh là VPN Extranet Bảo mật trong VPN Tường lửa (fĩrewall) là rào chắn vững chắc giữa mạng riêng và Internet Bạn có thế thiết lập các tường lửa đế hạn chế số lượng cổng mở, loại gói tin và giao thức được chuyển qua Một số sản phấm dùng cho VPN như router... Trong môi trường các hệ thống mạng mở như hiện nay chúng ta chấp nhận có đầy đủ các phương tiện truyền tin và xử lý thông tin cùng hợp tác nhằm đáp ứng nhu cầu truyền thông toàn cầu Các thiết bị phần cứng và phương tiện truyền tin cũng thuộc đủ loại do nhiều hãng cung cấp Các phần mềm hệ thống và ứng dụng cũng vô cùng phong phú Các máy tính giao hành được gọi là giao tiếp với nhau bằng các thức của... người dùng được truy nhập vào mạng : Người quản trị mạng lựa chọn ngày nào trong tuần (Chủ nhật, thứ hai, ., thứ bẩy) và giờ nào trong ngày (0 giờ - 24 giờ) để cho phép người dùng được vào mạng Người dùng chỉ có thế vào mạng trong thời gian cho phép, còn ngoài thời gian đó họ sẽ không thể truy nhập được vào mạng - Xác định trạm làm việc mà người dùng được phép truy nhập vào mạng tù' đó Trong mồi mạng... vào hệ thông của một số thông tin khác không mong muốn Internet FireWall là một tập hợp thiết bị (bao gồm phần cứng và phần mềm) giữa mạng của một tổ chức, một công ty, hay một quốc gia (Intranet) và Internet: Trong một số trường hợp, Firewall có thế được thiết lập ở trong cùng một mạng nội bộ và cô lập các miền an toàn Ví dụ như mô hình dưới đây thế hiện một mạng 2.1.2 Chúc năng FireWall quyết định... bị phát hiện xâm nhập: Có nhiều mô hình và cách đế phân loại các hệ thống 1DS, có thế dựa theo loại và vị trí đặt của các Sensor hoặc phương pháp sử dụng của Engine đế sinh ra các cảnh báo Hầu hết các IDS đơn giản đều kết hợp ba thành phần Sensor, Console, Engine vào trong một thiết bị phần cứng hoặc một ứng dụng luồng thông tin trên mạng bằng cách kết nối vào các Hub, Switch được cấu hình Port mirroring... báo động khi có truy nhập vào hệ thống) hoặc dùng các trạm không có 0 đĩa mềm Bức tường lửa (Firewall) do nào đó Phương thức bảo vệ này được sử dụng nhiều trong môi trường liên mạng Internet Một cách tiếp cận khác trong việc xây dựng giải pháp tổng thể về an toàn thông tin trên mạng máy tính là đưa ra các phương pháp và phương tiện bảo vệ thông tin 1.4.2 Các phương pháp và phương tiện bảo vệ thông... file dạng binary, mật khẩu của file, dung lượng và các acl của các cơ sở dữ liệu) các hoạt động và trạng thái khác của hệ thống đế từ đó phát hiện ra các dấu hiệu truy nhập trái phép vào hệ thống Khi phát hiện ra các truy nhập trái phép, Agent lập tức sinh ra một sự kiện và gửi báo cáo về Engine, Engine tiến hành lưu các báo cáo của Agent vào cơ sở dữ liệu và tiến hành phân tích thông tin đế đưa ra các ... động mạng máy tính Phần lớn hệ điều hành mạng phần mềm phân tán bao gồm hai thành phần phần mềm chủ (server) điều hành hoạt động mạng cung cấp dịch vụ Thành phần thứ hai phần mềm khách hàng (client)... phải dựa vào phần mềm agent cho máy chủ Lúc họ buộc phải thực quét chữa virus cho nhiều máy chủ chung cống mạng Neu vài lý virus luồn qua lớp máy chủ việc cứu chữa phải dựa vào phần mềm diệt... dựa vào máy tính đế bàn bạn đế chạy phần mềm diệt virus không đủ Trong nội tổ chức chúng tôi, vào lúc nào, đảm bảo có hàng chục máy tính không kích hoạt, không cài đặt phần mềm diệt virus hay phần