Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 61 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
61
Dung lượng
0,98 MB
Nội dung
hocthuat.vn –Tài liệu online miễn phí PHẦN I: TỔNG QUAN VỀ AN TOÀN THÔNG TIN TRÊN MẠNG An toàn thông tin nhu cầu quan trọng cá nhân xã hội quốc gia giới Mạng máy tính an toàn thông tin tiến hành thông qua cá phương pháp vật lý hành Từ đời mạng máy tính đem lại hiệu vô to lớn tất lĩnh vực đời sống Bên cạnh người sử dụng phải đối mặt với hiểm họa thông tin mạng họ bị công An toàn thông tin mạng máy tính bao gồm phương pháp nhằm bảo vệ thông tin lưu giữ truyền mạng An toàn thông tin mạng máy tính lĩnh vực quan tâm đặc biệt đồng thời công việc khó khăn phức tạp Thực tế chứng tỏ có tình trạng đáng lo ngại bị công thông tin trình xử lý, truyền lưu giữ thông tin Những tác động bất hợp pháp lên thông tin với mục đích làm tổn thất, sai lạc, lấy cắp tệp lưu giữ tin, chép thông tin mật, giả mạo người phép sử dụng thông tin mạng máy tính Sau vài ví dụ điển hình tác động bất hợp pháp vào mạng máy tính: Các sinh viên trường Đại học Tổng hợp Mỹ lập cài đặt vào máy tính chương trình bắt chước làm việc với người sử dụng xa Bằng chương trình họ nắm trước nhu cầu người sử dụng hỏi mật họ Đến bị phát sinh viên kịp lấy mật 100 người sử dụng hợp pháp hệ thống máy tính Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 hocthuat.vn –Tài liệu online miễn phí Các nhân viên hãng CDC(Mỹ) “xâm nhập” vào trung tâm tính toán hãng sản xuất hóa phẩm phá hủy liệu lưu giữ băng từ gây thiệt hại cho hãng tới 100.000$ Hãng bách khoa toàn thư Anh đưa tòa kĩ thuật viên trung tâm máy tính với lời buộc tội họ chép từ ổ đĩa máy chủ tên tuổi gần triệu khách hàng đáng giá hãng để bán cho hãng khác Chiếm vị trí đáng kể số hành động phi pháp công mạng máy tính hành vi xâm nhập vào hệ thống, phá hoại ngầm, gây nổ, làm hỏng đường cáp kết nối hệ thống mã hóa Song phổ biến việc phá hủy phần mềm xử lý thông tin tự động, hành vi thường gây thiệt hại vô lớn lao Cùng với gia tăng nguy đe dọa thông tin mạng máy tính, vấn đề bảo vệ thông tin quan tâm nhiều Sau kết nghiên cứu điều tra của viện Stendfooc (Mỹ), tình hình bảo vệ thông tin có thay đổi đáng kể Đến năm 1985 nhiều chuyên gia Mỹ đến kết luận tác động phi pháp hệ thống thông tin tính toán trở thành tai họa quốc gia.Khi có đủ tài liệu nghiên cứu, hiệp hội luật gia Mỹ tiến hành nghiên cứu đặc biệt Kết gần nửa số ý kiến thăm dò thông báo năm 1984 họ nạn nhân hành động tội phạm thực máy tính, nhiều số nạn nhân thông báo cho quyền tội phạm., 39% số nạn nhân có thông báo lại không mục tiêu mà nghi vấn Đặc biệt nhiểu vụ phạm pháp xảy mạng máy tính quan kinh doanh nhà băng Theo chuyên gia, tính đến trước năm 1990 Mỹ lợi lộc thu từ việc thâm nhập phi pháp vào hệ thống thông tin lên tới gần 10 triệu đô la Tổn thất trung bình mà nạn nhân phải trả vụ phạm pháp từ 400.000 đến 1.5 triệu đô la Có hãng phải tuyên bố phá sản nhân Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 hocthuat.vn –Tài liệu online miễn phí viên cố ý phá bỏ tất tài liệu kế toán chứa nhớ máy tính số nợ nợ I CÁC HÌNH THỨC TẤN CÔNG 1.1 Tấn công trực tiếp: Những công trực tiếp thông thường sử dụng giai đoạn đầu để chiếm quyền truy nhập bên Một phương pháp công cổ điển dò tìm tên ngời sử dụng mật Đây phương pháp đơn giản, dễ thực không đòi hỏi điều kiện đặc biệt để bắt đầu Kẻ công sử dụng thông tin tên người dùng, ngày sinh, địa chỉ, số nhà vv để đoán mật Trong trường hợp có danh sách người sử dụng thông tin môi trường làm việc, có trương trình tự động hoá việc dò tìm mật Một chương trình dễ dàng lấy từ Internet để giải mật mã hoá hệ thống unix có tên crack, có khả thử tổ hợp từ từ điển lớn, theo quy tắc người dùng tự định nghĩa Trong số trường hợp, khả thành công phương pháp lên tới 30% Phương pháp sử dụng lỗi chương trình ứng dụng thân hệ điều hành sử dụng từ vụ công tiếp tục để chiếm quyền truy nhập Trong số trường hợp phương pháp cho phép kẻ công có quyền người quản trị hệ thống (root hay administrator) Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 hocthuat.vn –Tài liệu online miễn phí Hai ví dụ thường xuyên đưa để minh hoạ cho phương pháp ví dụ với chương trình sendmail chương trình rlogin hệ điều hành UNIX Sendmail chương trình phức tạp, với mã nguồn bao gồm hàng ngàn dòng lệnh ngôn ngữ C Sendmail đƣợc chạy với quyền ƣu tiên ngƣời quản trị hệ thống, chƣơng trình phải có quyền ghi vào hộp thƣ ngƣời sử dụng máy Và Sendmail trực tiếp nhận yêu cầu thƣ tín mạng bên Đây yếu tố làm cho sendmail trở thành nguồn cung cấp lỗ hổng bảo mật để truy nhập hệ thống Rlogin cho phép người sử dụng từ máy mạng truy nhập từ xa vào máy khác sử dụng tài nguyên máy Trong trình nhận tên mật ngƣời sử dụng, rlogin không kiểm tra độ dài dòng nhập, kẻ công đưa vào xâu tính toán trước để ghi đè lên mã chương trình rlogin, qua chiếm quyền truy nhập 1.2 Nghe trộm: Việc nghe trộm thông tin mạng đưa lại thông tin có ích tên, mật người sử dụng, thông tin mật chuyển qua mạng Việc nghe trộm thƣờng đƣợc tiến hành sau kẻ công chiếm đƣợc quyền truy nhập hệ thống, thông qua chƣơng trình cho phép bắt gói tin vào chế độ nhận toàn thông tin lưu truyền mạng Những thông tin dễ dàng lấy Internet 1.3 Giả mạo địa chỉ: Việc giả mạo địa IP thực thông qua việc sử dụng khả dẫn đường trực tiếp (source-routing) Với cách công này, kẻ Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 hocthuat.vn –Tài liệu online miễn phí công gửi gói tin IP tới mạng bên với địa IP giả mạo (thông thường địa mạng máy coi an toàn mạng bên trong), đồng thời rõ đường dẫn mà gói tin IP phải gửi 1.4 Vô hiệu chức hệ thống (DoS, DDoS): Đây kểu công nhằm tê liệt hệ thống, không cho thực chức mà thiết kế Kiểu công ngăn chặn đƣợc, phương tiện đợc tổ chức công phương tiện để làm việc truy nhập thông tin mạng Ví dụ sử dụng lệnh ping với tốc độ cao có thể, buộc hệ thống tiêu hao toàn tốc độ tính toán khả mạng để trả lời lệnh này, không tài nguyên để thực công việc có ích khác Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 hocthuat.vn –Tài liệu online miễn phí Hình Mô hình công DdoS Client attacker xếp công Handler host thỏa hiệp để chạy chương trình đặc biệt dùng đê công Mỗi handler có khả điều khiển nhiều agent Mỗi agent có trách nhiệm gửi stream data tới victim 1.5 Lỗi người quản trị hệ thống: Đây kiểu công kẻ đột nhập, nhiên lỗi người quản trị hệ thống thờng tạo lỗ hổng cho phép kẻ công sử dụng để truy nhập vào mạng nội 1.6 Tấn công vào yếu tố người: Kẻ công liên lạc với ngời quản trị hệ thống, giả làm người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập hệ thống, chí thay đổi số cấu hình hệ thống để thực phương pháp công khác Với kiểu công không thiết bị ngăn chặn cách hữu hiệu, có cách giáo dục người sử dụng mạng nội yêu cầu bảo mật để đề cao cảnh giác với tượng đáng nghi Nói chung yếu tố ngời điểm yếu Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 hocthuat.vn –Tài liệu online miễn phí hệ thống bảo vệ nào, có giáo dục cộng với tinh thần hợp tác từ phía người sử dụng nâng cao độ an toàn hệ thống bảo vệ II CÁC DỊCH VỤ BẢO VỆ THÔNG TIN TRÊN MẠNG Chúng ta coi dịch vụ bảo vệ thông tin “bản sao” thao tác bảo vệ tài liệu vật lý Các tài liệu vật lý có chữ kí thông tin ngày tạo Chúng bảo vệ nhằm chống lại việc đọc trộm, giả mạo, phá hủy…Chúng công chứng, chứng thực, ghi âm, chụp ảnh… Tuy nhiên có điểm khác tài liệu điện tử tài liệu giấy: - Ta phân biệt tài liệu giấy nguyên tài liệu chép Nhưng tài liệu điện tử dãy bit nên phân đâu tài liệu “nguyên bản” đâu tài liệu chép - Một thay đổi tài liệu giấy để lại dấu vết vết xóa, tẩy…Tuy nhiên thay đổi tài liệu điện tử hoàn toàn không để lại dấu vết Dưới dịch vụ bảo vệ thông tin mạng máy tính 2.1 Dịch vụ bí mật (Confidentiality) Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 hocthuat.vn –Tài liệu online miễn phí Dịch vụ bí mật bảo đảm thông tin hệ thống máy tính thông tin truyền đọc bên ủy Thao tác đọc bao gồm in, hiển thị,…Nói cách khác, dịch vụ bí mật bảo vệ liệu truyền chống lại công bị động nhằm khám phá nội dung thông báo Thông tin bảo vệ tất liệu truyền hai người dùng khoảng thời gian thông báo lẻ hay số trường thông báo Dịch vụ cung cấp khả bảo vệ luồng thông tin khỏi bị công phân tích tình 2.2 Dịch vụ xác thực (Authentication) Dịch vụ xác thực đảm bảo việc truyền thông xác thực nghĩa người gửi người nhận không bị mạo danh Trong trường hợp có thông báo đơn tín hiệu cảnh báo, tín hiệu chuông, dịch vụ xác thực đảm bảo với bên nhận thông báo đến từ bên nêu danh Trong trường hợp có giao dịch xảy ra, dịch vụ xác thực đảm bảo hai bên giao dịch xác thực kẻ giả danh làm bên trao đổi Nói cách khác, dịch vụ xác thực yêu cầu nguồn gốc thông báo nhận dạng với định danh 2.3 Dịch vụ toàn vẹn (Integrity) Dịch vụ toàn vẹn đòi hỏi tài nguyên hệ thống máy tính thông tin truyền không bị sử đổi trái phép Việc sửa đổi bao gồm thao tác viết, thay đổi, thay đổi trạng thái, xóa thông báo, tạo thông báo, làm trể dùng lại thông báo truyền Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 hocthuat.vn –Tài liệu online miễn phí Dịch vụ toàn vẹn áp dụng cho thông báo, luồng thông báo hay số trường thông báo Dịch vụ toàn vẹn định hướng kết nối (connection-oriented) áp dụng cho luồng thông báo bảo đảm thông báo nhận có nội dung giống gửi, không bị nhân bản, chèn, sửa đổi, thay đổi trật tự hay dùng lại kể hủy hoại số liệu Như dịch vụ toàn vẹn định hướng kết nối quan tâm đến việc thay đổi thông báo từ chối dịch vụ Mặt khác, dịch vụ toàn vẹn phi kết nối quan tâm đến việc sử đổi thông báo Dịch vụ toàn vẹn thiên phát ngăn chặn 2.4 Không thể chối bỏ (Nonrepudiation) Dịch vụ chối bỏ ngăn chặn người gửi hay người nhận chối bỏ thông báo truyền Khi thông báo gửi người nhận chứng minh người gửi nêu danh gửi Khi thông báo nhận được, người gửi chứng minh thông báo nhận người nhận hợp pháp 2.5 Kiểm soát truy nhập (Access control) Kiểm soát truy nhập khả hạn chế kiểm soát truy nhập đến hệ thống máy tính ứng dụng theo đường truyền thông Mỗi thực thể muốn truy nhập đuề phải định danh hay xác nhận có quyền truy nhập phù hợp 2.6 Sẵn sàng phục vụ (Availability) Sẵn sàng phục vụ đòi hỏi tài nguyên hệ thống máy tính sẵn sàng bên ủy quyền cần thiết Các công làm giảm khả sẵn sàng phục vụ chương trình phần mềm tài nguyên phần cứng mạng máy tính Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 hocthuat.vn –Tài liệu online miễn phí Các phần mềm hoạt động sai chức gây hậu không lường trước Các mối đe dọa chủ yếu tới an toàn hệ thống mạng xuất phát từ tính mở kênh truyền thông (chúng cổng dùng cho truyền thông hợp pháp tiến trình client, server) hậu làm cho hệ thống bị công Chúng ta phải thừa nhận kênh truyền thông, tất mức phần cứng phần mềm hệ thống chịu nguy hiểm mối đe dọa Biện pháp để ngăn chặn kiểu công là: - Xây dựng kênh truyền thông an toàn để tránh việc nghe trộm - Thiết kế giao thức xác nhận lẫn máy khách hàng máy chủ: + Các máy chủ phải đảm bảo máy khách hàng máy người dùng mà chúng đòi hỏi + Các máy khách hàng phải đảm bảo máy chủ cung cấp dịch vụ đặc trưng máy chủ ủy quyền cho dịch vụ + Đảm bảo kênh truyền thông “tươi” nhằm tránh việc dùng lại thông báo III CÁC KỸ THUẬT BẢO VỆ THÔNG TIN TRÊN MẠNG 3.1 Mã hóa Việc mã hóa thông báo có vai trò sau: Nó dùng để che dấu thông tin mật đặt hệ thống Như biết, kênh truyền thông vật lý bị công nghe trộm 10 Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 hocthuat.vn –Tài liệu online miễn phí B ªn DMZ B ªn ngoµi P acket filtering router B astion host T he Internet Inside router O utside router Inform ation server Hình 15: Mô hình DMZ 47 Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 hocthuat.vn –Tài liệu online miễn phí Với thông tin đến, router chống lại công chuẩn (như giả mạo địa IP), điều khiển truy nhập tới DMZ Hệ thống cho phép bên truy nhập vào bastion host Router cung cấp bảo vệ thứ hai cách điều khiển DMZ truy nhập mạng nội với truyền thông bastion host Với thông tin đi, router điều khiển mạng nội truy nhập tới DMZ Nó cho phép hệ thống bên truy nhập bastion host information server Quy luật filtering router yêu cầu sử dung dich vụ proxy cách cho phép thông tin bắt nguồn từ bastion host Ƣu điểm: Kẻ công cần phá vỡ ba tầng bảo vệ: router ngoài, bastion host router Bởi router quảng cáo DMZ network tới Internet, hệ thống mạng nội nhìn thấy (invisible) Chỉ có số hệ thống chọn DMZ biết đến Internet qua routing table DNS information exchange (Domain Name Server) Bởi router quảng cáo DMZ network tới mạng nội bộ, hệ thống mạng nội truy nhập trực tiếp vào Internet Điều đảm bảo user bên bắt buộc phải truy nhập Internet qua dịch vụ proxy 48 Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 hocthuat.vn –Tài liệu online miễn phí B BASTION HOST Bastion Host máy tính có độ an toàn cao, bố trí điểm giao tiếp người sử dụng mạng nội mạng bên ngoài, nơi thường bị công mạng nội I NGUYÊN LÝ CƠ BẢN ĐỂ THIẾT KẾ VÀ XÂY DỰNG BASTION HOST Sự đơn giản: Một bastion host đơn giản dễ bảo vệ bastion host có lỗi phần mềm hay lỗi cấu hình nó, vấn đề cần quan tâm bảo mật Vì để bastion host khả lỗi nên cung cấp tập nhỏ dịch vụ với đặc quyền tối thiểu mà đầy đủ vai trò Dự phòng cho phương án bastion host bị tổn thương mà không ảnh hưởng đến mạng nội Nên đoán trước xấu xảy để có kế hoạch cho nó, dặt câu hỏi điều xảy baston host bị tổn thương Chúng ta nhấn mạnh điều máy bastion host dễ bị công nhất, mạng bên truy cập đến chống lại công từ mạng bên vào hệ thống mạng nội 49 Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 hocthuat.vn –Tài liệu online miễn phí II CÁC LOẠI BASTION HOST ĐẶC BIỆT Có nhiều loại bastion host, có loại xây dựng Screened host host cung cấp dịch vụ Screened network Thường cấu hình tương tự có vài yêu cầu đặc biệt 2.1 Dual-homed host chức định tuyến Bản thân firewall, phần firewall phức tạp Nó cấu bastion host khác phải cẩn thận 2.2 Victim machines(máy dùng để thử nghiệm) Victim machine hữu dụng để chạy dịch vụ khó cung cấp an toàn với proxy, packet filtering cá dịch vụ mà chưa biết sách bảo mật thích hợp Nó cung cấp nhu cầu tối thiểu cần thiết cho dịch vụ, để tránh tương tác không cần thiết Nó cấu bastion host khác, trừ chúng cho người sử dụng login vào 2.3 Internal bastion host Là host mạng nội cài đặt bastion host tương tác với bastion host Nó không giống bastion host khác mạng nộ bộ, vai trò bastion host phụ, bastion host mạng nộ tương tác với bastion host phụ 50 Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 hocthuat.vn –Tài liệu online miễn phí 2.4 External bastion host Là bastion host cung cấp dịch vụ Internet, nơi dễ bị công, nên máy cần tăng cường bảo mật Nó cần giới hạn việc truy cập đến mạng bên trong, chúng thường cung cấp dịch vụ với số định nghĩa tốt bảo mật không cần hỗ trợ người sử dụng bên III CHỌN MÁY Bước để xây dựng bastion host định sử dụng loại máy gì? Hệ điều hành gì? Bastion host cần nhanh nào? Phần cứng hỗ trợ 3.1 Hệ điều hành Nên chọn hệ điều hành UNIX/LINUX/WINDOWS NT/ WINDOWS 2K tùy theo khả làm chủ hệ điều hành nào, cho cài đặt proxy server, lọc packet, server phục vụ cho SMTP DNS 3.2 Chọn máy tính nhanh Thường bastion host không cần máy tính mạnh giới hạn tốc độ kết nối Internet không xử lí nhiều, trừ mạng nội cung cấp dịch vụ Internet mạng nội nhiều người biết đến phạm vi rộng lớn Nếu mạng nội cung cấp dịch vụ web cần bastion host có khả chịu tải cao Một vài lí mà bastion host không cần máy tính mạnh: - Một máy chậm không tăng uy tín kẻ công 51 Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 hocthuat.vn –Tài liệu online miễn phí - Nếu bastion host bị tổn thương, hữu dụng cho việc công vào mạng nội dò mật - Một bastion host chậm hấp dẫn cho người mạng nội làm tổn thương Máy tính tốc độ nhanh làm tăng thời hian chờ nên kết nối chậm 3.3 Chọn phần cứng Chọn phần cứng có tốc độ xử lí không cần mạnh, nhớ phải nhiều dung lượng đĩa lớn để lưu trữ thông tin yêu cầu để cung cấp cho yêu cầu giống yêu cầu có ghi lại dấu vết kết nối IV CHỌN VỊ TRÍ VẬT LÝ ĐẶT BASTION HOST Cần đặt bastion host vị trí vật lí an toàn, người trách nhiệm không đến Ngoài cần ý đến nhiệt độ, nguồn điện thích hợp V VỊ TRÍ BASTION HOST TRÊN MẠNG Tùy theo nhu cầu đặt mạng nội bộ, nên đặt mạng ngoại vi 52 Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 hocthuat.vn –Tài liệu online miễn phí VI CHỌN DỊCH VỤ MẠNG MÀ BASTTION HOST CUNG CẤP Có thể chia dịch vụ thành lớp: Các dịch vụ an toàn cung cấp qua packet filtering Các dịch vụ không an toàn cung cấp bình thường có khả đạt an toàn điều kiện khác Các dịch vụ không an toàn cung cấp bình thường đạt an toàn, dịch vụ phải vô hiệu hóa cung cấp máy thử nghiệm Các dịch vụ không đến, không dùng việc kết nối với Internet Các dịch vụ thường cung cấp bastion host: SMTP (thư điện tử) FTP (truyền liệu) HTTP (web) DNS (chuyển đổi host thành địa IP ngược lại) DNS dùng trực tiếp Về ý tưởng đặt dịch vụ bastion host, thực tế đạt điều Do vấn đề tài quản lí khó có nhiều máy Có vài nhận xét nhóm dịch vụ với thành nhóm: Các dịch vụ quan trọng: Web server phục vụ khách hàng Các dịch vụ theo đối tượng: người sử dụng bên trong, người siwr dụng bên ngoài… 53 Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 hocthuat.vn –Tài liệu online miễn phí Các dịch vụ an toàn: dịch vụ tin cậy dịch vụ không tin cậy máy khác Các dịch vụ truy cập có mức độ khác nhau: thông tin công cộng thông tin riêng tư VII LÍ DO KHÔNG CUNG CẤP TÀI KHOẢN TRUY CẬP TRÊN BASTION HOST Không cung cấp tài khoản cho người sử dụng truy cập Bastion host lí sau: Tài khoản người sử dụng dễ bị tổn thương Giảm độ ổn định tin cậy Bastion host Sự vô ý người sử dụng làm phá vỡ tính bảo mật Gia tăng khó khăn dò tìm công VIII XÂY DỰNG MỘT BASTION HOST AN TOÀN VÀ CHỐNG LẠI SỰ TẤN CÔNG Bảo đảm máy không kết nối với Internet bước cuối 8.1 Bảo vệ an toàn cho máy Cài đặt hệ điều hành tối thiểu theo yêu cầu Sửa lỗi hệ điều hành qua thông tin nhà sản xuất hệ điều hành Sử dụng bảng liệt kê mục cần kiểm tra an toàn phù hợp với phiên hệ điều hành 54 Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 hocthuat.vn –Tài liệu online miễn phí Bảo vệ an toàn cho tập tin nhật kí hệ thống (system log): phương pháp thể hoạt động bastion host, sở để kiểm tra bị công Nên có hai system log để phòng trường hợp tai họa lớn xảy ra, hai system log phải đặt vị trí khác 8.2 Hủy dịch vụ không dùng Hủy dịch vụ không cần thiết cung cấp cho bastion host Nếu chức dịch vụ nên tắt nó, tắt có vấn đề ta biết chức 8.3 Tắt chức định tuyến Tắt tất chương trình có chức định tuyến Hủy chức chuyển tiếp địa IP 8.4 Cấu hình cho dịch vụ chạy tốt kết nối bastion host vào mạng - Cấu hình hệ điều hành lần cuối Loại bỏ chương trình không cần thiết Dựng hệ thống file đọc Chạy kiểm tra (dùng phần mềm) an toàn: Để biết lỗ hổng bảo mật, thiết lập sở liệu tổng hợp thông tin tất tập tin hệ thống để nhận biết thay đổi tập tin sau người thay đổi trái phép 55 Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 hocthuat.vn –Tài liệu online miễn phí C CÁC DỊCH VỤ INTERNET Internet cung cấp hệ thống dịch vụ cho phép người dùng nối vào Internet, truy nhập sử dụng thông tin mạng Internet Hệ thống dịch vụ đã, bổ sung thwo phát triển không ngừng Internet Các dịch vụ bao gồm: World Wide Web (viết tắt WWW hay Web), Email (thư điện tử), FTP (File transfer protocols-dịch vụ chuyển file), Telnet (ứng dụng cho phép truy nhập máy tính xa), Archie (hệ thống xác định thông tin file directory), Finger (hệ thống xác định user Internet), Rlogin (remote loginvào mạng từ xa) số dịch vụ khác I WORLD WIDE WEB (WWW) WWW dịch vụ Internet đời gần phát triển nhanh Nó cung cấp giao diện thân thiện người sử dụng, dễ sử dụng, vô đơn giản thuận lợi cho việc tìm kiếm thông tin.WWW liên kết thông tin dựa công nghệ hyper-link (siêu liên kết), cho phép trang web liên kết trực tiếp với qua địa chúng Thông qua WWW người dùng có thể: Phát hành tin tức đọc tin tức từ khắp nơi giới Quảng cáo mình, công ty hay tổ chưc xem loại quảng cáo Thế giới, từ kiếm việc làm, tuyển mộ nhân viên, coonng nghệ sản phẩm mới, tìm bạn… Trao đổi thông tn với bạn bè, tổ chức xã hội, trung tâm nghiên cứu trường học… Thực dịch vụ chuyển tiền hay mua bán hàng hóa Truy cập Cơ sở liệu tổ chức phép Và nhiều hoạt động khác… 56 Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 hocthuat.vn –Tài liệu online miễn phí II ELECTRONIC MAIL ( EMAIL-THƢ ĐIỆN TỬ ) Email dịch vụ Internet sử dụng rộng rãi nhât Hầu hết thông báo dạng text (văn bản) đơn giản, người sử dụng có thê gửi kèm file dạng hình ảnh, âm Hệ thống email Internet hệ thống thư điện tử lớn giới nay, thường sử dụng với hệ thống chuyển thư khác Khả chuyển thư điện tử Web có bị hạn chế so với hệ thống chuyển thư Internet, Web phương tiện trao đổi công cộng, thư có tính chất riêng tư Vì vậy, tất Web brower cung cấp chức email Hai brower lớn Netscape Internet Explorer cunng cấp chức email III FTP(FILE TRANSFER PROTOCOLS) FTP dịch vụ cho phép chép file từ hệ thống máy tính sang hệ thống máy tính khác FTP bao gồm thủ tục chương trình ứng dụng, số dịch vụ đờ sớm Internet FTP dùng mức hệ thống (gõ lệnh vào command-line) web brower hay số tiện ích khác FTP vô hữu ích cho người dùng Internet, tìm kiếm Internet bạn thấy nhiều thư viện phần mềm hữu ích lĩnh vực mà bạn muốn chép máy để sử dụng 57 Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 hocthuat.vn –Tài liệu online miễn phí IV TELNET VÀ RLOGIN Telnet dịch vụ cho phép bạn truy nhập vào máy tính xa chạy ứng dụng máy Telnet hữu ích bạn muốn chạy ứng dụng mà không chạy dược máy tính bạn, ví dụ bạn muốn chạy ứng dụng UNIX máy bạn lại PC Hay máy tính bạn không đủ mạnh file liệu cần thiết Telnet cho bạn khả làm việc máy tính xa hàng ngàn số mà bạn có cảm giác ngồi trước máy Chức Rlogin(vào mạng từ xa) tương tự Telnet V ARCHIE Archie loại thư viện thường xuyên tự động tìm kiếm máy tính Internet, tạo kho liệu danh sách file nạp xuống (down load) từ Internet Do liệu file luôn Archie tiện dụng cho người dùng việc tìm kiếm download file Người dùng cần gửi tên file từ khóa tìm kiếm đến Archie, Archie cho lại địa file có tên chứa từ khóa VI FINGER Finger chương trình ứng dụng cho phép tìm địa user khác mạng Internet Tối thiểu Finger cho bạn biết truy nhập hệ thống máy tính đó, tên login người Fnger hay sử dụng để tìm địa email bạn bè Internet Finger cung cấp cho bạn thông tin khác, người login 58 Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 hocthuat.vn –Tài liệu online miễn phí vào mạng Vì Finger coi người trợ giúp đắc lực mối hiểm họa cho an toàn mạng D PROXY I PROXY LÀ GÌ??? Theo www.learnthat.com: proxy thiết bị cho phép kết nối vào internet, đứng workstation mạng internet, cho phép bảo mật kết nối, cho phép số cổng protocol đó, vd: tcp, http, telnet cổng 80, 23… Khi client yêu cầu trang đó, yêu cầu chuyển đến proxy server, proxy server chuyển tiếp yêu cầu đến site Khi yêu cầu đáp trả, proxy trả kết lại cho client tương ứng Proxy server dùng để ghi nhận việc sử dụng internet ngăn chặn trang bị cấm Theo www.nyu.edu: proxy server server đứng ứng dụng client, web browser, server xa (remote server) Proxy server xem xét request xem xử lý cache không, không thể, chuyển yêu cầu đến remote server.Theo www.webopedia.com: proxy server server đứng ứng dụng client, web browser, server thực Nó chặn tất yêu cầu đến server thực để xem xem có khả đá ứng không, không thể, chuyển yêu cầu đến server thực Theo www.stayinvisible.com: proxy server loại buffer máy tính bạn tài nguyên mạng internet mà bạn truy cập, liệu bạn yêu cầu đến proxy trước, sau chuyển đến máy bạn 59 Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 hocthuat.vn –Tài liệu online miễn phí Hình 16: Mô hình Proxy Hình 17: Mô hình proxy đơn giản 60 Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 hocthuat.vn –Tài liệu online miễn phí II TẠI SAO PROXY RA ĐỜI Tăng tốc kết nối: proxy có chế gọi cache, chế cache cho phép proxy lưu trữ lại trang truy cập nhiều nhất, điều làm cho việc truy cập bạn nhanh hơn, bạn đáp ứng yêu cầu cách nội mà lấy thông tin trực tiếp từ internet Bảo mật: truy cập phải thông qua proxy nên việc bảo mật thực triệt để Filtering: ngăn cản truy cập không cho phép trang đồi trụy, trang phản động… III TỔNG KẾT CHUNG VỀ PROXY Theo định nghĩa giá trị mà proxy mang lại đề cập trên, ta thấy proxy thật có lợi Tuy nhiên, lợi dụng ý tưởng proxy, số server mạng tự biến thành trạm chung chuyển, trung gian cho kết nối không cho phép Chính điều đưa thêm định nghĩa mới, ý nghĩa giành cho proxy Rất nhiều địa mạng lý mà bị cấm truy cập người dùng trang web đồi trụy, trang phản động, nội dung không lành mạnh… Tuy nhiên, để chống lại điều này, nói trên, số server biến thành proxy để giúp cho kết nối cấm thực 61 Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 [...]... viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 hocthuat.vn Tài liệu online miễn phí Bức tường lửa (Firewall) Để bảo vệ từ xa một máy tính hoặc cho cả một mạng nội bộ, người ta thường dùng các hệ thống đặc biệt là tường lửa Chức năng của các tường lửa là ngăn chặn các thâm nhập trái phép (theo danh sách truy nhập xác định trước) và thậm chí có thể “lọc”... hocthuat.vn Tài liệu online miễn phí trị mạng muốn vào được mạng để sử dụng các tài nguyên của mạng đều phải đăng kí tên và mật khẩu trước Người quản trị mạng có trách nhiệm quản lí, kiểm soát mọi hoạt động của mạng và xác định quyền truy nhập của những người sử dụng khác tùy theo thời gian và không gian, nghĩa là một người sử dụng chỉ được phép vào mạng ở những thời điểm và từ những vị trí xác định Về lí... chặt chẽ về kiến trúc của hệ thống thông tin tính toán, về lược đồ công nghệ của việc xử lí tự động các thông tin cần bảo vệ , tổ chức và đảm bảo điều kiện làm việc của tất cả các nhân viên xử lí thông tin… Cưỡng bức: Là phương pháp bảo vệ bắt buộc người sử dụng và các nhân viên của hệ thống phải tuân theo nguyên tắc xử lí và sử dụng thông tin cần bảo vệ dưới áp lực của các hình phạt về tài chính... Trong các yêu cầu này, thông thường yêu cầu về tính bí mật được coi là yêu cầu số 1 đối với thông tin lưu trữ trên mạng Tuy nhiên, ngay cả khi những thông tin này không được giữ bí mật, thì những yêu cầu về tính toàn vẹn cũng rất quan trọng Không một cá nhân, một tổ chức nào lãng phí tài nguyên vật chất và thời gian để lưu trữ những thông tin mà không biết về tính đúng đắn của những thông tin đó 22... không quan tâm đến những thông tin bạn có hay những đặc tính khác về tài nguyên của bạn Tuy nhiên, để đạt được mục đích là đột nhập, vô tình hay hữu ý họ sẽ làm hư hỏng hệ thống của bạn 2.4 Gián điệp Hiện nay có rất nhiều thông tin quan trọng được lưu giữ trên máy tính như các thông tin về quân sự, kinh tế…Gián điệp máy tính là một vấn đề phức tạp và khó phát hiện Thực tế, phần lớn các tổ chức không... có một số người dùng được gán quyền mới có thể truy nhập đến các tài nguyên thông tin (tệp, tiến trình, cổng truyền thông…) và các tài nguyên phần cứng (máy chủ, processor, Gateway…) Các cơ chế điều khiển truy nhập xảy ra trong các hệ điều hành đa người dùng không phân tán Trong UNIX và các hệ thống nhiều người dùng khác, các tệp là các tài nguyên thông tin có thể chia xẻ quan trọng nhất và một cơ chế... bức tường lửa (Firewall) để bảo vệ mạng, tránh sự tấn công từ bên ngoài đảm bảo được các yếu tố: An toàn cho sự hoạt động của toàn bộ hệ thống mạng Bảo mật cao trên nhiều phương diện Khả năng kiểm soát cao Đảm bảo tốc độ nhanh Mềm dẻo và dễ sử dụng Trong suốt với người sử dụng 21 Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 hocthuat.vn Tài. .. hiện: Trần Thị Hạnh_Mã sinh viên:5417123 hocthuat.vn Tài liệu online miễn phí Thông tin Quyền truy nhập Login/password Mã hóa dữ liệu Bảo vệ vật lý Firewall Hình 2: Các mức bảo vệ thông tin trên mạng máy tính Quyền truy nhập: Lớp bảo vệ trong cùng là quyền truy nhập nhằm kiểm soát các tài nguyên thông tin của mạng và quyền hạn của người sử dụng trên tài nguyên đó Hiện tại việc kiểm soát thường ở mức... thông tin mà không biết về tính đúng đắn của những thông tin đó 22 Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 hocthuat.vn Tài liệu online miễn phí 1.2 Đối với tài nguyên Tài nguyên nói ở đây bao gồm không gian bộ nhớ, không gian đĩa, các chương trình ứng dụng, thời gian thực thi chương trình, năng lực của bộ vi xử lí… Trên thực tế, trong các cuộc... Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 hocthuat.vn Tài liệu online miễn phí Điều khiển sự tiếp cận: Điều khiển sự tiếp cận là phương pháp bảo vệ thông tin bằng cách kiểm soát việc sử dụng tất cả các tài nguyên của hệ thống Trong một mạng máy tính cần xây dựng các qui định rõ ràng và chặt chẽ về chế độ làm việc của người sử dụng, các kĩ thuật viên sử dụng các chương trình