Đang tải... (xem toàn văn)
Mục lục: I -TỔNG QUAN VỀ AN NINH MẠNG.6 1.Bảo vệ hệ thống :6 a)Mục tiêu bảo vệ hệ thống:6 b)Nội dung bảo vệ hệ thống:6 2.Khái niệm bảo mật.6 3. Các hình thức tấn công trên mạng.7 a. Tấn công trực tiếp.7 b. Nghe trộm trên mạng.7 c. Giả mạo địa chỉ.7 d. Vô hiệu hóa chức năng của hệ thống.7 e.Tấn công vào yếu tố con người.8 f. Một số kiểu tấn công khác.8 II-Các mối đe dọa.8 1. Phishing.8 2. Virus và Worm.9 3.Trojan.10 4.Spyware.10 III- Sơ lược về Windows sever 200311 1)Windows server 2003 là gì ?11 2)Thiết kế bảo mật trong windowns server 200312 3)Tính năng bảo mật trong họ windows server 2003:12 •Xác thực Kerberos13 •Bảo mật IP13 •Mã hóa tập tin hệ thống13 •Hỗ trợ thẻ thông minh14 4) Cải tiến an ninh trong Windows XP và họ Windows Server 200314 a-Mã hóa tập tin hệ thống (EFS) cải tiến15 b-Bảo mật IP16 5) Cải tiến an ninh trong Windows Server 2003, Standard, Server Edition16 a.Mã hóa mạnh mẽ hơn nữa cho EFS16 b.Group Policy :16 c.Chính sách phần mềm hạn chế16 d.Cải thiện Chứng thực Chữ17 6) Lockdown17 7) Cải tiến an ninh trong Windows Server 2003, Server Enterprise Edition18 a)Tách vai trò cơ quan chứng nhận18 b)Key phục hồi18 IV. Chính sách tài khoản người dùng.19 1)Chính sách mật khẩu.20 2)Chính sách khóa tài khoản.21 V- Chính sách cục bộ.22 A.Chính sách kiểm toán.22 B.Quyền hệ thống của người dùng.23 C.Các lựa chọn bảo mật.27 VI- IPSec:29 1.Các tác động bảo mật.29 2.Các chính sách IPSec tạo sẵn.32 VII-Gán quyền truy nhập NTFS trên thư mục dùng chung36 a.Hướng dẫn:36 b.Kế thừa và thay thế quyền của đối tượng con:37 c.Thay đổi quyền khi di chuyển thư mục hoặc tập tin:39 d.Giám sát người dùng truy cập thư mục:39 e.Thay đổi người sở hữu thư mục:39 VIII- Tổng quan về firewall.40 1.Firewall là gì.40 2.Tại sao cần có firewall và lịch sử của firewall:41 3. Chức năng của Firewall:42 a)Các thành phần và cơ chế hoạt động của Firewall :43 b. Hạn chế của Firewall:50 4. Cài đặt Firewall:50 IX - Windows update.53 1)Giới thiệu về windows update:53 2)Tác dụng và cách bật windows update:55 a)Tác dụng của windows update:55 b)Cách bật tính năng update:55 X.So sánh57 1.So sánh phương pháp bảo mật của windows và linux:57 2.So sánh phương pháp bảo vệ hệ thống của windows 2003 server với các phương pháp đã học:59 TÀI LIỆU THAM KHẢO60
ĐẠI HỌC CÔNG NGHIỆP HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN BÀI TẬP LỚN MÔN: NGUYÊN LÝ HỆ ĐIỀU HÀNH ĐỀ TÀI: Nghiên cứu tìm hiểu về bảo vệ hệ thống trong Windows (Windows 2003 server) GIÁO VIÊN HƯỚNG DẪN : Th.s Vương Quốc Dũng NHÓM THỰC HIỆN: • Nhóm 11 – KTPMCLC1.K6 SINH VIÊN THỰC HIỆN: • Nguyễn Quốc Toản • Nguyễn Đức Thọ HÀ NỘI ,NGÀY 18/12/2012 Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012 Mục lục: I -TỔNG QUAN VỀ AN NINH MẠNG .5 1 Phishing 7 2 Virus và Worm 8 3.Trojan 9 4.Spyware 9 III- Sơ lược về Windows sever 2003 10 1)Windows server 2003 là gì ? 10 2)Thiết kế bảo mật trong windowns server 2003 11 3)Tính năng bảo mật trong họ windows server 2003: 11 Xác thực Kerberos 12 Bảo mật IP .12 4) Cải tiến an ninh trong Windows XP và họ Windows Server 2003 13 5) Cải tiến an ninh trong Windows Server 2003, Standard, Server Edition 15 6) Lockdown 16 7) Cải tiến an ninh trong Windows Server 2003, Server Enterprise Edition 17 IV Chính sách tài khoản người dùng 18 1)Chính sách mật khẩu 19 V- Chính sách cục bộ 21 A.Chính sách kiểm toán .21 B.Quyền hệ thống của người dùng 22 C.Các lựa chọn bảo mật 26 VI- IPSec: 28 1.Các tác động bảo mật .28 VII-Gán quyền truy nhập NTFS trên thư mục dùng chung 35 Khi chúng ta sao chép (copy) một tập tin hay một thư mục sang một vị trí mới thì quyền truy nhập trên tập tin hay thư mục này sẽ thay đổi theo quyền trên thưu mục cha chứa chúng, nhưng ngược lại nếu chúng di chuyển (move) một tập tin hay thư mục sang bất kì vị trí nào thì các quyền trên chúng vân được giữ nguyên 38 2.Tại sao cần có firewall và lịch sử của firewall: 40 3 Chức năng của Firewall: 41 b Hạn chế của Firewall: 49 GVHD: Th.s Vương Quốc Dũng Page 2 Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012 4 Cài đặt Firewall: .49 TÀI LIỆU THAM KHẢO 59 GVHD: Th.s Vương Quốc Dũng Page 3 Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012 Lời nói đầu Trong bối cảnh tiến trình hội nhập, vấn đề an ninh mạng và bảo mật dữ liệu đang trở nên rất được quan tâm Trong khi cơ sở hạ tầng và các công nghệ mạng đã đáp ứng tốt các yêu cầu về băng thông, chất lượng dịch vụ, thì thực trạng tấn công trên mạng lại ngày một gia tăng Vì vậy, vấn đề bảo mật càng cần phải được chú trọng hơn Đó là môt vấn đề cấp bách không chỉ với các nhà cung cấp dịch vụ Internet, các cơ quan chính phủ mà còn cả với các tổ chức doanh nghiệp, họ cũng ngày càng có ý thức hơn về an toàn thông tin Để các bạn có cái nhìn tổng quan hơn về các phương pháp bảo vệ hệ thống trong windows Trong tài liệu này chúng tôi xin cùng các bạn tìm hiểu về các phương thức bảo vệ hệ thống trong HĐH Windows 2003 HÀ NỘI, ngày 18 /12/ 2012 GVHD: Th.s Vương Quốc Dũng Page 4 Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012 I -TỔNG QUAN VỀ AN NINH MẠNG 1.Bảo vệ hệ thống : a) Mục tiêu bảo vệ hệ thống: • Phát hiện và ngăn chặn, không cho lỗi lan truyền • Phát hiện các lỗi tiềm ẩn trong hệ thống để tăng cường độ tin cậy • Chống lại sự xâm nhập bất hợp lệ,các tiến trình sử dụng tài nguyên phù hợp với quy định của hệ • Cung cấp một cơ chế, chiến lược để quản trị việc sử dụng tài nguyên b) Nội dung bảo vệ hệ thống: Gồm 2 nội dung: • Bảo mật hệ thống • An ninh hệ thống 2.Khái niệm bảo mật Trong bối cảnh tiến trình hội nhập, vấn đề an ninh mạng và bảo mật dữ liệu đang trở nên rất được quan tâm Khi cơ sở hạ tầng và các công nghệ mạng đã đáp ứng tốt các yêu cầu về băng thông, chất lượng dịch vụ, đồng thời thực trạng tấn công trên mạng đang ngày một gia tăng thì vấn đề bảo mật càng được chú trọng hơn Không chỉ các nhà cung cấp dịch vụ Internet, các cơ quan chính phủ mà các doanh nghiệp, tổ chức cũng có ý thức hơn về an toàn thông tin Nói đến bảo mật máy tính là nói đến tính bí mật (confidential), chính xác (accuracy) và sẵn sàng (availability) - Tính bí mật: Hệ thống có tính bí mật là hệ thống mà thông tin của nó không cho phép những người không có quyền được xem - Tính chính xác:Một hệ thống được bí mật phải luôn có tính nhất quán dữ liệu.Phải ngăn ngừa sự thay đổi vô tình hay cố ý(không được phép) một thông tin nào đó - Tính sẵn sàng: Một hệ thống được bí mật phải luôn sẵn sàng cung cấp thông tin cho người dùng khi họ cần GVHD: Th.s Vương Quốc Dũng Page 5 Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012 3 Các hình thức tấn công trên mạng a Tấn công trực tiếp Những cuộc tấn công trực tiếp thông thường được sử dụng trong giai đoạn đầu để chiếm được quyền truy nhập hệ thống mạng bên trong b Nghe trộm trên mạng Thông tin gửi đi trên mạng thường được luân chuyển từ máy tính này qua hàng loạt các máy tính khác mới đến được đích Điều đó, khiến cho thông tin của ta có thể bị kẻ khác nghe trộm Tồi tệ hơn thế, những kẻ nghe trộm này còn thay thế thông tin của chúng ta bằng thông tin do họ tự tạo ra và tiếp tục gửi nó đi Việc nghe trộm thường được tiến hành sau khi các hacker đã chiếm được quyền truy nhập hệ thống hoặc kiểm soát đường truyền May mắn thay, chúng ta vẫn còn có một số cách để bảo vệ được nguồn thông tin cá nhân của mình trên mạng bằng cách mã hoá nguồn thông tin trước khi gửi đi qua mạng Internet Bằng cách này, nếu như có ai đón được thông tin của mình thì đó cũng chỉ là những thông tin vô nghĩa c Giả mạo địa chỉ Giả mạo địa chỉ có thể được thực hiện thông qua sử dụng khả năng dẫn đường trực tiếp Với cách tấn công này kẻ tấn công gửi các gói tin tới mạng khác với một địa chỉ giả mạo, đồng thời chỉ rõ đường dẫn mà các gói tin phải đi Thí dụ người nào đó có thể giả mạo địa chỉ của bạn để gửi đi những thông tin có thể làm ảnh hưởng xấu tới bạn d Vô hiệu hóa chức năng của hệ thống Đây là kiểu tấn công làm tê liệt hệ thống, làm mất khả năng cung cấp dịch vụ(Denial of Service- DoS) không cho hệ thống thực hiện được các chức năng mà nó được thiết kế Kiểu tấn công này rất khó ngăn chặn bởi chính những phương tiện dùng để tổ chức tấn công lại chính là những phương tiện dùng để làm việc và truy cập thông tin trên mạng Một thí dụ về trường hợp có thể xảy ra là một người trên mạng sử dụng chương trình đẩy GVHD: Th.s Vương Quốc Dũng Page 6 Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012 ra những gói tin yêu cầu về một trạm nào đó Khi nhận được gói tin, trạm luôn luôn phải xử lý và tiếp tục thu các gói tin đến sau cho đến khi bộ đệm đầy, dẫn tới tình trạng những nhu cầu cung cấp dịch vụ của các máy khác đến trạm không được phục vụ e.Tấn công vào yếu tố con người Đây là một hình thức tấn công nguy hiểm nhất nó có thể dẫn tới những tổn thất hết sức khó lường Kẻ tấn công có thể liên lạc với người quản trị hệ thống thay đổi một số thông tin nhằm tạo điều kiện cho các phương thức tấn công khác f Một số kiểu tấn công khác Ngoài các hình thức tấn công kể trên, các hacker còn sử dụng một số kiểu tấn công khác như tạo ra các virus đặt nằm tiềm ẩn trên các file khi người sử dụng do vô tình trao đổi thông tin qua mạng mà người sử dụng đã tự cài đặt nó lên trên máy của mình Ngoài ra hiện nay còn rất nhiều kiểu tấn công khác mà chúng ta còn chưa biết tới và chúng được đưa ra bởi những hacker II- Các mối đe dọa 1 Phishing Phishing là một thủ đoạn của hacker nhằm lấy thông tin cá nhân của khách hàng bằng cách dùng email giả danh các tổ chức tài chính Cách này rất hay được những tên trộm ảo sử dụng Các email tự xưng là các ngân hàng hoặc tổ chức hợp pháp thường được gởi số lượng lớn Nó yêu cầu người nhận cung cấp các thông tin khá nhạy cảm như tên truy cập, mật khẩu, mã đăng ký hoặc số PIN bằng cách dẫn đến một đường link tới một website nhìn có vẻ hợp pháp, điều đó giúp cho tên trộm có thể thu thập được những thông tin của quý khách để tiến hành các giao dịch bất hợp pháp sau đó GVHD: Th.s Vương Quốc Dũng Page 7 Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012 Dưới đây là một ví dụ về email lừa đảo: Nếu nhận được email yêu cầu đăng ký hay nhập lại các thông tin cá nhân, cần xóa chúng ngay và thông báo với bộ phận hỗ trợ Ngân hàng điện tử của ANZ nơi quý khách ở có thể hạn chế nguy cơ trở thành nạn nhân của email lừa đảo bằng cách: • Tuyệt đối không truy cập vào Ngân hàng điện tử qua link lạ gửi qua mail • Thận trọng với các thông emails yêu cầu khai báo thông tin như tên truy cập, mật khẩu, mã pin Email xác thực của ANZ không yêu cầu chi tiết cá nhân hay đăng nhập các thông tin • Ngay lập tức xóa bỏ các email không rõ nguồn gốc, cho dù cho dù nó có vô hại hay dùng lời mời chào hấp dẫn thế nào đi nữa • Thay đổi mật khẩu của Ngân hàng điện tử định kỳ • Liên tục cập nhật chương trình diệt virut và tường lửa cũng như quét máy tính của quý khách thường xuyên 2 Virus và Worm Virus máy tính là chương trình phần mềm có khả năng tự sao chép chính nó từ đối tượng này sang đối tượng khác ( đối tượng có thể là các file chương trình văn bản máy tính) GVHD: Th.s Vương Quốc Dũng Page 8 Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012 Virus có nhiều cách lây lan và tất nhiên cũng có nhiều cách phá hoại, nhưng ban chỉ cần nhớ rằng đó là một đoạn chương trình và chương trình đó thường dùng để phục vụ những mục đích không tốt Virus máy tính do con người tạo ra Quả thực cho đến ngày nay, chúng ta có thể coi virus máy tính là mầm mống gây dịch bệnh cho những chiếc máy tính, chúng ta là những người bác sĩ luôn chiến đấu với dịch bệnh và tìm ra những phương pháp mới để hạn chế và tiêu diệt chúng Nhưng những vấn đề phức tạp ngoài xã hội, khó tránh khỏi việc có những loại bệnh gây ra những hậu quả khôn lường chính vì vậy, “phòng hơn chống” là phương châm cơ bản và luôn đúng đối với virus máy tính Worm cũng giống như virus Nó lợi dụng những máy tính đang nối mạng để xâm nhập vào những lỗ hổng bảo mật Khi đã tìm thấy lỗ hổng bảo mật, nó sẽ xâm nhập một cách nhanh chóng từ máy này sang máy khác Nó có sức phá hủy tương đương với virut Nhưng không giống như virus thời “ nguyên thủy” worm không cần đến các tập tin mồi để lây truyền, chúng tự nhân bản và phát tán trên môi trường internet, mạng ngang hàng, dịch vụ chia sẻ 3.Trojan Trojan xuất hiện để thực thi mã độc ở lớp phía sau Đây không phải là virut và có thể dễ dàng được download mà không nhận thấy chúng Remote access Trojan (RAT) là một loại trojan phổ biến điều khiển truy cập từ xa, ví dụ Back Orifice hoặc NetBus; khả năng của chúng cho phép kẻ tấn công có thể thực thi các quyền quản trị 4.Spyware Spyware là phần mềm theo dõi những hoạt động của bạn trên máy tính Chúng thu thập tất cả thông tin cá nhân, thói quen cá nhân, thói quen lướt web của người dùng gửi về cho tác giả Spyware là mối đe dọa lớn nhất đối với sự an toàn của một máy tính, một hệ thống mát tính GVHD: Th.s Vương Quốc Dũng Page 9 Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012 Windows server 2003 trong một số phiên bản của nó là thế hệ mới nhất của gia đình Microsoft của hệ điều hành máy chủ, kết hợp những tiến bộ đạt được bằng cách trước đó Windows NT va Windows server 2000 cũng thuộc gia đình của sản phẩm này.các hệ điều hành này đã được thử nghiệm và chứng minh từ năm 1993 là một nền tảng vững chắc cho các ứng dụng và chức năng dựa trên máy chủ Windows XP là cũng xuất phát từ cùng một cơ sở mã là Windows Server 2003 Cơ sở chung này đảm bảo rằng các chức năng cốt lõi của hai hệ điều hành vẫn còn giống hệt nhau Những lợi ích có rất nhiều cách tiếp cận này cung cấp bao gồm: • Phổ biến trình điều khiển thiết bị • Phần mềm tương thích • Ổn định cốt lõi hơn • Thống nhất giao diện người dùng và kinh nghiệm III- Sơ lược về Windows sever 2003 1) Windows server 2003 là gì ? Windows server 2003 trong một số phiên bản của nó là thế hệ mới nhất của gia đình Microsoft của hệ điều hành máy chủ, kết hợp những tiến bộ đạt được bằng cách trước đó Windows NT va Windows server 2000 cũng thuộc gia đình của sản phẩm này.các hệ điều hành này đã được thử nghiệm và chứng minh từ năm 1993 là một nền tảng vững chắc cho các ứng dụng và chức năng dựa trên máy chủ Windows XP là cũng xuất phát từ cùng một cơ sở mã là Windows Server 2003 Cơ sở chung này đảm bảo rằng các chức năng cốt lõi của hai hệ điều hành vẫn còn giống hệt nhau Những lợi ích có rất nhiều cách tiếp cận này cung cấp bao gồm: • Phổ biến trình điều khiển thiết bị • Phần mềm tương thích • Ổn định cốt lõi hơn • Thống nhất giao diện người dùng và kinh nghiệm GVHD: Th.s Vương Quốc Dũng Page 10 Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012 người trung gian, chuyển tiếp các thông điệp giữa khách và dịch vụ nội và ngoại mạng Các gateway mức ứng dụng, còn được gọi là các proxy, tương tự như các gateway mức mạng ngoại trừ việc chỉ định các ứng dụng Chúng có thể lọc gói ở lớp ứng dụng của mô hình OSI Các gói vào hoặc ra không thể truy cập các dịch vụ mà không có proxy Một gateway mức ứng dụng được cấu hình như một web proxy sẽ không cho bất kỳ ftp, gopher, telnet hoặc lưu lượng khác xuyên qua Bởi vì chúng kiểm tra các gói ở lớp ứng dụng, chúng có thể lọc các dòng lệnh chỉ định ứng dụng như http: post và get… Điều này không thể được thực hiện với firewall lọc gói và firewall mức mạng, cả hai đều không biết gì về thông tin lớp ứng dụng Các gateway mức ứng dụng còn có thể được sử dụng để ghi lại các hoạt động và các login của user Chúng đề ra cấp độ bảo mật cao, và có sự tác động mạnh về performance của mạng Bởi vì sự thay đổi ngữ cảnh mà làm chậm mạng truy cập một cách đột ngột Chúng không dễ thực hiện (transparent) ở đầu cuối người dùng và yêu cầu sự cấu hình thủ công ở mọi máy client Cơ chế lọc của packet filtering phối hợp kiểm soát với cơ chế "đại diện" của application gateway cung cấp một khả năng an toàn và uyển chuyển hơn Lấy ví dụ một hệ thống mạng có chức năng packet filtering ngăn các kết nối bằng Telnet vào hệ thống chỉ trừ một chủ duy nhất - Telnet application gateway là được phép Một người sử dụng dịch vụ Telnet muốn kết nối vào hệ thống phải thực hiện các bước sau: GVHD: Th.s Vương Quốc Dũng Page 46 Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012 1 Thực hiện dịch vụ TELNET đến Telnet application gateway rồi cho biết tên của máy chủ bên trong cần truy cập 2 Gateway kiểm tra địa chỉ IP nơi xuất phát của người truy cập rồi cho phép hoặc từ chối tùy theo chế độ an ninh của hệ thống 3 Người truy cập phải vượt qua được hệ thống kiểm tra xác thực 4 Proxy Service tạo một kết nối Telnet giữa gateway và máy chủ cần truy cập 5 Proxy Service liên kết lưu thông giữa người truy cập và máy chủ Cơ chế hoạt động này có ý nghĩa quan trọng trong việc thiết kế an ninh hệ thống ví dụ như: - Che giấu các thông tin: người dùng chỉ có thể nhìn thấy trực tiếp các - gateway được phép Tăng cường kiểm tra truy nhập bằng các dịch vụ xác thực - Giảm đáng kể giá thành cho việc phát triển các hệ quản trị xác thực vì các hệ thống này được thiết kế chỉ quy chiếu đến application gateway - Giảm thiểu các quy tắc kiểm soát của bộ lọc Điều này làm tăng tốc độ hoạt động của firewall Một proxy server là cách để tập trung các dịch vụ ứng dụng thông qua một máy đơn lẻ Nó hoạt động như một trung gian giữa một client và một server, và được thi hành như một ứng dụng đang chạy cùng chung với một hệ điều hành đa năng (general-purpose OS) Một máy đơn lẻ (bastion host) hoạt động như một proxy server với nhiều giao thức (Telnet, SMTP, FTP, HTTP,etc.) nhưng cũng có một máy đơn lẻ chỉ hoạt động với mỗi một dịch vụ Thay vì kết nối trực tiếp với server bên ngoài, client kết nối với proxy server, proxy server kết nối với server bên ngoài Proxy server mức ứng dụng cung cấp tất cả các chức năng cơ bản của proxy server, cho phép các cuộc trao đổi dữ liệu với hệ thống từ xa nhưng hệ thống này không thấy được máy ở bên trong firewall Nó còn phân tích các gói dữ liệu Khi các gói từ bên ngoài đến cổng này, chúng được kiểm tra và đánh giá để xác định chính sách an toàn có cho phép gói này đi vào mạng nội bộ hay không Proxy server không chỉ đánh giá địa chỉ IP, nó còn nhìn vào dữ liệu trong gói để ngăn những kẻ đột nhập cất giấu thông tin trong đó GVHD: Th.s Vương Quốc Dũng Page 47 Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012 Với các proxy server, các chính sách an toàn mạnh hơn và mềm dẻo hơn nhiều vì tất cả thông tin trong các gói được người điều hành sử dụng để ghi các luật xác định cách xử lý các gói Có thể giám sát dễ dàng mọi việc xảy ra trên proxy server Các gateway mức ứng dụng được xem là loại an toàn nhất của firewall Chúng có những khả năng tinh vi nhất Firewall mức ứng dụng có khuynh hướng cung cấp các report chi tiết và có khuynh hướng an toàn hơn các firewall mức mạng Tuy nhiên, việc cài đặt rất phức tạp, yêu cầu sự quan tâm chi tiết các ứng dụng riêng lẻ sử dụng gateway a.3 Cổng mức mạch ( CLG): CLG được coi là một thế hệ thứ hai của firewall Nó là một cổng vào nhanh và không giới hạn thông qua tường lửa dựa trên những quy tắc đã được định sẵn và lưu trữ trong nhân TCP/IP CLG là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng dụng CLG đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện một hành động xử lý hay lọc packet nào Nó cung cấp kết nối có điều khiển giữa các hệ thống nội và ngoại Có một mạch ảo giữa người dùng nội và proxy server, và proxy server chuyển giao yêu cầu này đến Internet sau khi thay đổi địa chỉ IP của proxy server Các phản hồi được proxy server nhận và gửi đến người dùng thông qua mạch ảo Mặc dù luồng lưu lượng được phép đi qua, các hệ thống ngoại không bao giờ thấy được hệ thống nội.CLG đơn giản chuyển tiếp kết nối telnet qua Firewall mà không thực hiện một sự kiểm tra, lọc hay điều khiển các thủ tục telnet nào CLG làm việc như một sợi dây, sao chép các byte giữa kết nối bên trong và kết nối bên ngoài Tuy nhiên, vì sự kết nối này xuất hiện từ hệ thống Firewall, nó che dấu thông tin về mạng nội bộ CLG thường được sử dụng cho những kết nối ra ngoài, nơi mà các quản trị mạng thật sự tin tưởng những người dùng bên trong Ưu điểm lớn nhất là một bastion host có thể được cấu hình nhe là một hỗn hợp cung cấp Cổng ứng dụng cho những kết nối đến, và cổng vòng cho các kết nối đi Điều này làm cho hệ thống Firewall dễ dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ Internet, trong khi vẫn cung cấp chức năng Firewall để bảo vệ mạng nội bộ từ những sự tấn công bên ngoài CLG hoạt động ở lớp session của mô hình OSI, hoặc lớp TCP của mô hình TCP/IP Chúng sẽ kiểm tra sự liên kết TCP giữa các gói tin từ máy khách hay máy chủ tin cậy tới một máy chủ không tin cậy và xác định xem khi nào những yêu cầu là phù hợp CLG sử dụng để truy nhập các quy tắc điều khiển để xác định máy chủ nào có thể sử dụng cổng và có thể tạo những thông tin về GVHD: Th.s Vương Quốc Dũng Page 48 Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012 tên máy chủ, nhận dạng người dùng, số lượng bytes chuyển đổi CLG không thể hiểu ứng dụng mà nó hỗ trợ, vì vậy nó không thể biết tên hay những dữ liệu chuyển đổi sử dụng FTP hay ngăn cản người dùng từ các dữ liệu đã gửi b Hạn chế của Firewall: Firewall có dễ phá không? Câu trả lời là không Quá trình phá hoại Firewall gồm hai giai đoạn: đầu tiên là tìm ra dạng firewall được sử dụng, tiếp theo là phát hiện khe hở trên firewall Khe hở là do người quản trị mạng có sai sót, nhưng việc này cũng ít khi xảy ra Ngoài ra không tường lửa nào có thể ngăn cản sự phá hoại từ bên trong Hiện tại firewall là phương pháp bảo vệ mạng phổ biến nhất, 95% cộng đồng phá khoá phải thừa nhận là dường như không thể vượt qua firewall Nhưng Firewall cũng có những hạn chế nhất định: - Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó Firewall chỉ có thẻ ngăn chặn sự xâm nhập của những nguồn tin không mong muốn nhưng phải xác định rõ ràng các thông số địa chỉ - Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không “đi qua” nó Một cách cụ thể, firewall không thể chống lại một cuộc tấn công từ một đường dial-up, hoặc sự rò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa - Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu( data driven attack) Khi có một số chương trình được chuyển theo thư điện tử, vượt qua firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây - Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có nhiều cách để mã hoá dữ liệu, thoát khỏi khả năng kiểm soát của Firewall - Sử dụng Firewall cần phải xử lý một lượng lớn thông tin nên việc xử lý lọc thông tin có thể làm chậm quá trình kết nối của người kết nối 4 Cài đặt Firewall: Click Start/Control panel: GVHD: Th.s Vương Quốc Dũng Page 49 Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012 Từ Control Panel, chọn windows firewall Chọn yes: GVHD: Th.s Vương Quốc Dũng Page 50 Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012 - Ta có các tùy chọn: 1) On: Thiết lập này ngăn chặn tất cả các nguồn từ bên ngoài kết nối với máy tính này , ngoại trừ những người được chọn vào tab ngoại lệ Tùy chọn thêm vào: chọn này khi bạn kết nối với mạng công cộng là địa điểm kém an toàn ,chẳng hạn như sân bay bạn sẽ không được thông báo khi các khối tường lửa cửa sổ chương trình lựa chọn trên tab trường hợp ngoại lệ sẽ bị bỏ qua 2) Off: tránh sử dụng các thiết lập này tắt cửa sổ tường lửa có thể làm cho máy tính dễ bị tổn thương hơn cho virues và những kẻ xâm nhập Chọn on: GVHD: Th.s Vương Quốc Dũng Page 51 Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012 Chọn ok để hoàn tất thiết lập IX - Windows update 1) Giới thiệu về windows update: Windows Update là một dịch vụ được cung cấp bởi Microsoft cung cấp các bản cập nhật cho hệ điều hành Microsoft Windows và các thành phần cài đặt của nó, bao gồm cả Internet Explorer Windows Update yêu cầu Internet Explorer hoặc một trình duyệt web của bên thứ ba sử dụng động cơ bố trí MSHTML của Microsoft , như nó phải GVHD: Th.s Vương Quốc Dũng Page 52 Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012 hỗ trợ việc sử dụng một điều khiển ActiveX đến nhà các phần mềm được thực hiện trên máy tính của người dùng Trong khi các chi tiết đã thay đổi từ phiên bản này sang phiên bản khác, nó luôn luôn quét máy tính để tìm thấy những gì các thành phần hệ thống điều hành và phần mềm được cài đặt, và so sánh các phiên bản của những thành phần với các phiên bản mới nhất có sẵn Sau đó, các thành phần ActiveX giao diện với Windows Installer để cài đặt hoặc cập nhật những thành phần, và báo cáo sự thành công hay thất bại của các cài đặt trở lại máy chủ của Microsoft Phiên bản đầu tiên của trang web Windows Update web (thường được gọi là "v3") không yêu cầu bất kỳ thông tin nhận dạng cá nhân được gửi đến Microsoft Để cho việc kiểm soát ActiveX v3 để xác định những thông tin cập nhật là cần thiết, toàn bộ danh sách các phần mềm có sẵn trên Windows Update được tải về máy tính của người dùng khi họ truy cập trang web Windows Update Khi số lượng các bản cập nhật được cung cấp bởi Windows Update phát triển, điều này dẫn đến mối quan tâm thực hiện Arie Slob, viết cho các bản tin Windows help.net tháng 3 năm 2003, lưu ý rằng kích thước của danh sách cập nhật đã vượt quá 400 KB , gây ra sự chậm trễ hơn một phút cho dialup người sử dụng Windows Update v4, phát hành cùng với Windows XP vào năm 2001, thay đổi điều này bằng cách điều khiển ActiveX gửi một danh sách các thành phần phần cứng máy chủ của Microsoft, sau đó trả về một danh sách các chỉ những trình điều khiển thiết bị có sẵn cho máy đó Nó cũng thu hẹp danh sách các bản cập nhật cho hệ điều hành và các thành phần có liên quan bằng cách gửi chi tiết của phiên bản hệ điều hành, gói dịch vụ, và miền địa phương được cài đặt Công nghệ Đức tecchannel.de trang web công bố một phân tích các giao thức truyền thông Windows Update vào năm 2003, đã nhận được chú ý rộng rãi trên các trang web công nghệ Báo cáo này là người đầu tiên chứa các chi tiết mở rộng của giao thức truyền thông Windows Update làm việc, cũng phát hiện ra rằng thực hiện và mô hình của máy tính, số tiền của không gian đĩa miễn phí và mã khóa sản phẩm Windows , đã được gửi GVHD: Th.s Vương Quốc Dũng Page 53 Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012 2) Tác dụng và cách bật windows update: a) Tác dụng của windows update: Windows Update nhiều khi có thể gây phiền hà cho bạn Đó là lúc nó liên tục đề nghị khởi động lại máy sau khi có bản cập nhật quan trọng đã được tự động tải về và cài đặt lên hệ thống Nhưng, nhờ vậy mà PC của bạn được nâng cấp chế độ bảo mật với những bản vá mới nhất của Windows, trong khi bạn chẳng mất công gì cả Bạn có thể thiết lập cho Windows luôn luôn tự động cài các bản cập nhật hay chỉ những bản “quan trọng” mà thôi Các bản cập nhật quan trọng là những bản vá cho các lỗ hổng bảo mật được xác định là “nghiêm trọng” Ngoài ra, còn có các bản cập nhật “khuyến nghị” dành cho những vấn đề ít quan trọng hơn b) Cách bật tính năng update: Để bật tính năng tự động cập nhật cho Windows Updates, thực hiện các thao tác sau: • Vào mục start, chọn setting Sau đó chọn control panel: • Chọn automatic updates: GVHD: Th.s Vương Quốc Dũng Page 54 Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012 • Chọn automatic (recommended), sau đó ấn OK GVHD: Th.s Vương Quốc Dũng Page 55 Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012 X So sánh 1 So sánh phương pháp bảo mật của windows và linux: STT 1 2 Phương Windows pháp bảo mật Các quyền Người sử dụng thường ưu tiên được trao quyền truy cập của người quản trị một cách mặc định, mà nó có nghĩa là họ khá nhiều sự truy cập tới mọi thứ trong hệ thống, thậm chí cả các phần sống còn nhất của nó Kỹ thuật Các virus và sâu bọ mang tính xã thường lây nhiễm bằng hội việc thuyết phục người sử dụng máy tính làm thứ gì đó mà họ không nên làm, như là mở những tệp gắn kèm mà mang các virus và sâu bọ Điều này được gọi là kỹ thuật xã hội, và tất cả chúng quá dễ dàng trên các máy Windows GVHD: Th.s Vương Quốc Dũng Linux Người sử dụng thường không có các quyền ưu tiên như vậy với “root”; thay vào đó, thường họ được trao các tài khoản của mức thấp hơn Điều đó có nghĩa là ngay cả nếu một hệ thống Linux bị tổn thương, thì virus sẽ không có quyền truy cập root mà nó có thể cần để gây hại cho toàn bộ hệ thống; hơn nữa, chỉ các tệp và chương trình cục bộ của người sử dụng có thể bị ảnh hưởng Trên thực tế là hầu hết những người sử dụng Linux không có quyền truy cập root, vì thế, khó hơn nhiều để hoàn tất bất kỳ tác hại thực tế nào trên một máy Linux bằng việc để họ làm thứ gì đó ngu xuẩn Trước khi bất kỳ tác hại thực tế nào có thể xảy ra, một người sử dụng Linux có thể phải đọc thư điện tử, lưu tệp gắn kèm, trao cho nó các quyền chạy được, và sau đó chạy tệp đó Rất khó xảy ra, nói một cách khác Page 56 Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012 3 4 Hiệu ứng độc canh Sự đa dạng các môi trường lại là một lợi ích khác nữa mà Linux đưa ra Có Ubuntu, có Debian, có Gentoo, và có nhiều phát tán khác Cũng có nhiều vỏ, nhiều hệ thống đóng gói, và nhiều trình thư điện tử máy trạm,Linux thậm chí chạy trên nhiều kiến trúc ngoài chỉ Intel Số lượng người sử dụng Thực tế đặc biệt không Có số lượng người dùng ít ngạc nhiên rằng đa số hơn nhiều so với virus nhắm vào windows Windows Hàng triệu người tất cả đang sử dụng cùng các phần mềm tạo thành một mục tiêu quyến rũ cho các cuộc tấn công độc hại GVHD: Th.s Vương Quốc Dũng Một virus có thể được nhắm dứt khoát vào những người sử dụng Windows, vì tất cả họ sử dụng khá nhiều cùng công nghệ, đạt tới nhiều hơn so với một phần nhỏ những người sử dụng Linux là khó hơn rất nhiều Page 57 Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012 5 Có bao nhiêu con mắt “Luật của Linus” - được đặt tên cho Linus Torvalds, người sáng tạo ra Linux – giữ điều đó, “đưa ra đủ các con mắt, thì tất cả các lỗi sẽ cạn” Điều đó có nghĩa là càng nhiều nhóm các lập trình viên và người kiểm thử làm việc trong một tập hợp mã nguồn, thì bất kỳ khiếm khuyết nào cũng sẽ càng bị tìm ra và sửa một cách nhanh chóng Nói một cách khác, về cơ bản là cực ngược lại của lý lẽ “an ninh thông qua sự tù mù” Đây là một tập hợp có giới hạn các lập trình viên được trả tiền mà họ đang cố gắng tìm ra các vấn đề trong mã nguồn Họ gắn vào thời gian biểu được thiết lập cho riêng họ, và họ thường không nói cho bất kỳ ai về các vấn đề đó cho tới khi họ đã tìm được một giải pháp, để lại cửa mở cho những 2 So sánh phương pháp bảo vệ hệ thống của windows 2003 server với các phương pháp đã học: STT Các phương pháp đã học Trong windows 2003 server 1 Kiểm định danh tính có 2 Có 3 Ngăn chặn nguyên nhân từ phía chương trình Ngăn chặn nguyên nhân từ phía hệ thống 4 Giám sát các nguyên nhân Có 5 Bảng toàn cục 6 Danh sách quyền truy nhập GVHD: Th.s Vương Quốc Dũng có Không Có Page 58 Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012 TÀI LIỆU THAM KHẢO - Windows Server 2003 Security Guide (Microsoft Solutions for Security and Compliance) - Win2003Server_full - http://vnpro.org/forum/showthread.php/35111-V%C3%AC-saoLinux-b%E1%BA%A3o-m%E1%BA%ADt-h%C6%A1nWindows KẾT LUẬN Có thể nói, An ninh là một quá trình liên tục Một khi bạn muốn hoàn thành cài đặt ban đầu hoặc triển khai đầy đủ, bạn phải tiếp tục cảnh giác Kẻ gian liên tục cố gắng để đạt được quyền truy cập vào tài nguyên của bạn Bạn phải thận trọng và liên tục đảm bảo an ninh mạnh mẽ được áp dụng và kiểm tra toàn bộ tổ chức của bạn để có một cơ hội tốt để bảo vệ tài sản của bạn Lời cuối cùng em xin gửi lời cảm ơn chân thành tới thầy giáo Vương Quốc Dũng, người đã tận tình chỉ bảo giúp đỡ em hoàn thành bài tập lớn này GVHD: Th.s Vương Quốc Dũng Page 59