Nghiên cứu khoa học Đề tài:Nghiên cứu tưởng lửa Đề tài : NGHIÊN CỨU TƯỞNG LỬA LỜI CẢM ƠN Lời em xin chân thành cảm ơn đến quý thầy, cô TRƯỜNG TRUNG CẤP PHƯƠNG NAM,những người trực tiếp giảng dạy, truyền đạt kiến thức bổ ích cho em, tảng bản, hành trang vô quý giá cho em bước vào nghiệp sau tương lai.Đặc biệt thầy, cô giúp em nhiều kiến thức niềm đam mê mà em chọn.Cảm ơn thầy quan tâm tận tình giúp đỡ em năm học qua giải đáp thắc mắc trình học tập.Nhờ em hoàn thành tốt đề tài tốt nghiệp Kính chúc thầy lun lun vui vẻ hạnh phúc dồi sức khỏe thành công công việc Em xin cảm ơn ! GVHD: Nguyễn Trần Nam Anh SVTT: Lê Công Lập Page Nghiên cứu khoa học Đề tài:Nghiên cứu tưởng lửa NHẬN XÉT, ĐÁNH GIÁ CỦA ĐƠN VỊ HƯỚNG DẪN HỌC SINH THỰC TẬP GVHD: Nguyễn Trần Nam Anh SVTT: Lê Công Lập Page Nghiên cứu khoa học Đề tài:Nghiên cứu tưởng lửa NHẬN XÉT, ĐÁNH GIÁ CỦA GIÁO VIÊN HƯỚNG DẪN THỰC TẬP GVHD: Nguyễn Trần Nam Anh SVTT: Lê Công Lập Page Nghiên cứu khoa học GVHD: Nguyễn Trần Nam Anh SVTT: Lê Công Lập Đề tài:Nghiên cứu tưởng lửa Page Nghiên cứu khoa học Đề tài:Nghiên cứu tưởng lửa PHẦN I: TỔNG QUAN VỀ AN TOÀN THÔNG TIN TRÊN MẠNG An toàn thông tin nhu cầu quan trọng cá nhân xã hội quốc gia giới Mạng máy tính an toàn thông tin tiến hành thông qua cá phương pháp vật lý hành Từ đời mạng máy tính đem lại hiệu vô to lớn tất lĩnh vực đời sống Bên cạnh người sử dụng phải đối mặt với hiểm họa thông tin mạng họ bị công An toàn thông tin mạng máy tính bao gồm phương pháp nhằm bảo vệ thông tin lưu giữ truyền mạng An toàn thông tin mạng máy tính lĩnh vực quan tâm đặc biệt đồng thời công việc khó khăn phức tạp Thực tế chứng tỏ có tình trạng đáng lo ngại bị công thông tin trình xử lý, truyền lưu giữ thông tin Những tác động bất hợp pháp lên thông tin với mục đích làm tổn thất, sai lạc, lấy cắp tệp lưu giữ tin, chép thông tin mật, giả mạo người phép sử dụng thông tin mạng máy tính Sau vài ví dụ điển hình tác động bất hợp pháp vào mạng máy tính: Các sinh viên trường Đại học Tổng hợp Mỹ lập cài đặt vào máy tính chương trình bắt chước làm việc với người sử dụng xa Bằng chương trình họ nắm trước nhu cầu người sử dụng hỏi mật họ Đến bị phát sinh viên kịp lấy mật 100 người sử dụng hợp pháp hệ thống máy tính GVHD: Nguyễn Trần Nam Anh SVTT: Lê Công Lập Page Nghiên cứu khoa học Đề tài:Nghiên cứu tưởng lửa Các nhân viên hãng CDC(Mỹ) “xâm nhập” vào trung tâm tính toán hãng sản xuất hóa phẩm phá hủy liệu lưu giữ băng từ gây thiệt hại cho hãng tới 100.000$ Hãng bách khoa toàn thư Anh đưa tòa kĩ thuật viên trung tâm máy tính với lời buộc tội họ chép từ ổ đĩa máy chủ tên tuổi gần triệu khách hàng đáng giá hãng để bán cho hãng khác Chiếm vị trí đáng kể số hành động phi pháp công mạng máy tính hành vi xâm nhập vào hệ thống, phá hoại ngầm, gây nổ, làm hỏng đường cáp kết nối hệ thống mã hóa Song phổ biến việc phá hủy phần mềm xử lý thông tin tự động, hành vi thường gây thiệt hại vô lớn lao Cùng với gia tăng nguy đe dọa thông tin mạng máy tính, vấn đề bảo vệ thông tin quan tâm nhiều Sau kết nghiên cứu điều tra của viện Stendfooc (Mỹ), tình hình bảo vệ thông tin có thay đổi đáng kể Đến năm 1985 nhiều chuyên gia Mỹ đến kết luận tác động phi pháp hệ thống thông tin tính toán trở thành tai họa quốc gia.Khi có đủ tài liệu nghiên cứu, hiệp hội luật gia Mỹ tiến hành nghiên cứu đặc biệt Kết gần nửa số ý kiến thăm dò thông báo năm 1984 họ nạn nhân hành động tội phạm thực máy tính, nhiều số nạn nhân thông báo cho quyền tội phạm., 39% số nạn nhân có thông báo lại không mục tiêu mà nghi vấn Đặc biệt nhiểu vụ phạm pháp xảy mạng máy tính quan kinh doanh nhà băng Theo chuyên gia, tính đến trước năm 1990 Mỹ lợi lộc thu từ việc thâm nhập phi pháp vào hệ thống thông tin lên tới gần 10 triệu đô la Tổn GVHD: Nguyễn Trần Nam Anh SVTT: Lê Công Lập Page Nghiên cứu khoa học Đề tài:Nghiên cứu tưởng lửa thất trung bình mà nạn nhân phải trả vụ phạm pháp từ 400.000 đến 1.5 triệu đô la Có hãng phải tuyên bố phá sản nhân viên cố ý phá bỏ tất tài liệu kế toán chứa nhớ máy tính số nợ nợ 1.CÁC HÌNH THỨC TẤN CÔNG 1.1 Tấn công trực tiếp: Những công trực tiếp thông thường sử dụng giai đoạn đầu để chiếm quyền truy nhập bên Một phương pháp công cổ điển dò tìm tên ngời sử dụng mật Đây phương pháp đơn giản, dễ thực không đòi hỏi điều kiện đặc biệt để bắt đầu Kẻ công sử dụng thông tin tên người dùng, ngày sinh, địa chỉ, số nhà vv để đoán mật Trong trường hợp có danh sách người sử dụngvà thông tin môi trường làm việc, có trương trình tự động hoá việc dò tìm mật Một chương trình dễ dàng lấy từ Internet để giải mật mã hoá hệ thống unix có tên crack, có khả thử tổ hợp từ từ điển lớn, theo quy tắc người dùng tự định nghĩa Trong số trường hợp, khả thành công phương pháp lên tới 30% Phương pháp sử dụng lỗi chương trình ứng dụng thân hệ điều hành sử dụng từ vụ công tiếp tục để chiếm quyền truy nhập Trong số trường hợp phương pháp cho phép kẻ công có quyền người quản trị hệ thống (root hay administrator) GVHD: Nguyễn Trần Nam Anh SVTT: Lê Công Lập Page Nghiên cứu khoa học Đề tài:Nghiên cứu tưởng lửa Hai ví dụ thường xuyên đưa để minh hoạ cho phương pháp ví dụ với chương trình sendmail chương trình rlogin hệ điều hành UNIX Sendmail chương trình phức tạp, với mã nguồn bao gồm hàng ngàn dòng lệnh ngôn ngữ C Sendmail chạy với quyền ưu tiên người quản trị hệ thống, chương trình phải có quyền ghi vào hộp thư người sử dụng máy Và Sendmail trực tiếp nhận yêu cầu thư tín mạng bên Đây yếu tố làm cho sendmail trở thành nguồn cung cấp lỗ hổng bảo mật để truy nhập hệ thống Rlogin cho phép người sử dụng từ máy mạng truy nhập từ xa vào máy khác sử dụng tài nguyên máy Trong trình nhận tên mật người sử dụng, rlogin không kiểm tra độ dài dòng nhập, kẻ công đưa vào xâu tính toán trước để ghi đè lên mã chương trình rlogin, qua chiếm quyền truy nhập 1.2 Nghe trộm: Việc nghe trộm thông tin mạng đưa lại thông tin có ích tên, mật người sử dụng, thông tin mật chuyển qua mạng Việc nghe trộm thường tiến hành sau kẻ công chiếm quyền truy nhập hệ thống, thông qua chương trình cho phép bắt gói tin vào chế độ nhận toàn thông tin lưu truyền mạng Những thông tin dễ dàng lấy Internet GVHD: Nguyễn Trần Nam Anh SVTT: Lê Công Lập Page Nghiên cứu khoa học Đề tài:Nghiên cứu tưởng lửa 1.3 Giả mạo địa chỉ: Việc giả mạo địa IP thực thông qua việc sử dụng khả dẫn đường trực tiếp (source-routing) Với cách công này, kẻ công gửi gói tin IP tới mạng bên với địa IP giả mạo (thông thường địa mạng máy coi an toàn mạng bên trong), đồng thời rõ đường dẫn mà gói tin IP phải gửi 1.4 Vô hiệu chức hệ thống (DoS, DDoS): Đây kểu công nhằm tê liệt hệ thống, không cho thực chức mà thiết kế Kiểu công ngăn chặn được, phương tiện đợc tổ chức công phương tiện để làm việc truy nhập thông tin mạng Ví dụ sử dụng lệnh ping với tốc độ cao có thể, buộc hệ thống tiêu hao toàn tốc độ tính toán khả mạng để trả lời lệnh này, không tài nguyên để thực công việc có ích khác GVHD: Nguyễn Trần Nam Anh SVTT: Lê Công Lập Page Nghiên cứu khoa học Đề tài:Nghiên cứu tưởng lửa Hình Mô hình công DdoS • Client attacker xếp công • Handler host thỏa hiệp để chạy chương trình đặc biệt dùng đê công • Mỗi handler có khả điều khiển nhiều agent • Mỗi agent có trách nhiệm gửi stream data tới victim 1.5 Lỗi người quản trị hệ thống: Đây kiểu công kẻ đột nhập, nhiên lỗi người quản trị hệ thống thờng tạo lỗ hổng cho phép kẻ công sử dụng để truy nhập vào mạng nội GVHD: Nguyễn Trần Nam Anh SVTT: Lê Công Lập Page 10 Nghiên cứu khoa học Đề tài:Nghiên cứu tưởng lửa Bªn Bªn ngoµi Packet filtering router Bastion host m¸y néi bé The Internet Information server Hình 14: Mô hình Screened Host Firewall (Dual-Homed Bastion Host) Bởi bastion host hệ thống bên truy nhập từ Internet, công giới hạn đến bastion host mà Tuy nhiên, user log on vào bastion host họ dễ dàng truy nhập toàn mạng nội Vì cần phải cấm không cho user logon vào bastion host Mô hình Demilitarized Zone (DMZ-khu vực phi quân sự) hay Screened-subnet Firewall Hệ thống bao gồm hai packet-filtering router bastion host Hệ có độ an toàn cao cung cấp mức bảo mật network application, định nghĩa mạng "phi quân sự" Mạng DMZ đóng vai trò mạng nhỏ, cô lập đặt Internet mạng nội Cơ bản, DMZ cấu hình cho hệ thống Internet mạng nội truy nhập số giới hạn hệ thống mạng DMZ, truyền trực tiếp qua mạng DMZ GVHD: Nguyễn Trần Nam Anh SVTT: Lê Công Lập Page 50 Nghiên cứu khoa học Đề tài:Nghiên cứu tưởng lửa Bªn DMZ Packet filtering router Bªn ngoµi Bastion host The Internet Outside router Inside router Information server Hình 15: Mô hình DMZ GVHD: Nguyễn Trần Nam Anh SVTT: Lê Công Lập Page 51 Nghiên cứu khoa học Đề tài:Nghiên cứu tưởng lửa Với thông tin đến, router chống lại công chuẩn (như giả mạo địa IP), điều khiển truy nhập tới DMZ Hệ thống cho phép bên truy nhập vào bastion host Router cung cấp bảo vệ thứ hai cách điều khiển DMZ truy nhập mạng nội với truyền thông bastion host Với thông tin đi, router điều khiển mạng nội truy nhập tới DMZ Nó cho phép hệ thống bên truy nhập bastion host information server Quy luật filtering router yêu cầu sử dung dich vụ proxy cách cho phép thông tin bắt nguồn từ bastion host Ưu điểm: Kẻ công cần phá vỡ ba tầng bảo vệ: router ngoài, bastion host router Bởi router quảng cáo DMZ network tới Internet, hệ thống mạng nội nhìn thấy (invisible) Chỉ có số hệ thống chọn DMZ biết đến Internet qua routing table DNS information exchange (Domain Name Server) Bởi router quảng cáo DMZ network tới mạng nội bộ, hệ thống mạng nội truy nhập trực tiếp vào Internet Điều đảm bảo user bên bắt buộc phải truy nhập Internet qua dịch vụ proxy BASTION HOST GVHD: Nguyễn Trần Nam Anh SVTT: Lê Công Lập Page 52 Nghiên cứu khoa học Đề tài:Nghiên cứu tưởng lửa Bastion Host máy tính có độ an toàn cao, bố trí điểm giao tiếp người sử dụng mạng nội mạng bên ngoài, nơi thường bị công mạng nội NGUYÊN LÝ CƠ BẢN ĐỂ THIẾT KẾ VÀ XÂY DỰNG BASTION HOST Sự đơn giản: Một bastion host đơn giản dễ bảo vệ bastion host có lỗi phần mềm hay lỗi cấu hình nó, vấn đề cần quan tâm bảo mật Vì để bastion host khả lỗi nên cung cấp tập nhỏ dịch vụ với đặc quyền tối thiểu mà đầy đủ vai trò Dự phòng cho phương án bastion host bị tổn thương mà không ảnh hưởng đến mạng nội Nên đoán trước xấu xảy để có kế hoạch cho nó, dặt câu hỏi điều xảy baston host bị tổn thương Chúng ta nhấn mạnh điều máy bastion host dễ bị công nhất, mạng bên truy cập đến chống lại công từ mạng bên vào hệ thống mạng nội CÁC LOẠI BASTION HOST ĐẶC BIỆT Có nhiều loại bastion host, có loại xây dựng Screened host host cung cấp dịch vụ Screened network Thường cấu hình tương tự có vài yêu cầu đặc biệt Dual-homed host chức định tuyến Bản thân firewall, phần firewall phức tạp Nó cấu bastion host khác phải cẩn thận Victim machines(máy dùng để thử nghiệm) GVHD: Nguyễn Trần Nam Anh SVTT: Lê Công Lập Page 53 Nghiên cứu khoa học Đề tài:Nghiên cứu tưởng lửa Victim machine hữu dụng để chạy dịch vụ khó cung cấp an toàn với proxy, packet filtering cá dịch vụ mà chưa biết sách bảo mật thích hợp Nó cung cấp nhu cầu tối thiểu cần thiết cho dịch vụ, để tránh tương tác không cần thiết Nó cấu bastion host khác, trừ chúng cho người sử dụng login vào Internal bastion host Là host mạng nội cài đặt bastion host tương tác với bastion host Nó không giống bastion host khác mạng nộ bộ, vai trò bastion host phụ, bastion host mạng nộ tương tác với bastion host phụ External bastion host Là bastion host cung cấp dịch vụ Internet, nơi dễ bị công, nên máy cần tăng cường bảo mật Nó cần giới hạn việc truy cập đến mạng bên trong, chúng thường cung cấp dịch vụ với số định nghĩa tốt bảo mật không cần hỗ trợ người sử dụng bên CHỌN MÁY Bước để xây dựng bastion host định sử dụng loại máy gì? Hệ điều hành gì? Bastion host cần nhanh nào? Phần cứng hỗ trợ GVHD: Nguyễn Trần Nam Anh SVTT: Lê Công Lập Page 54 Nghiên cứu khoa học Đề tài:Nghiên cứu tưởng lửa Hệ điều hành Nên chọn hệ điều hành UNIX/LINUX/WINDOWS NT/ WINDOWS 2K tùy theo khả làm chủ hệ điều hành nào, cho cài đặt proxy server, lọc packet, server phục vụ cho SMTP DNS Chọn máy tính nhanh Thường bastion host không cần máy tính mạnh giới hạn tốc độ kết nối Internet không xử lí nhiều, trừ mạng nội cung cấp dịch vụ Internet mạng nội nhiều người biết đến phạm vi rộng lớn Nếu mạng nội cung cấp dịch vụ web cần bastion host có khả chịu tải cao Một vài lí mà bastion host không cần máy tính mạnh: - Một máy chậm không tăng uy tín kẻ công - Nếu bastion host bị tổn thương, hữu dụng cho việc công vào mạng nội dò mật - Một bastion host chậm hấp dẫn cho người mạng nội làm tổn thương Máy tính tốc độ nhanh làm tăng thời hian chờ nên kết nối chậm Chọn phần cứng Chọn phần cứng có tốc độ xử lí không cần mạnh, nhớ phải nhiều dung lượng đĩa lớn để lưu trữ thông tin yêu cầu để cung cấp cho yêu cầu giống yêu cầu có ghi lại dấu vết kết nối CHỌN VỊ TRÍ VẬT LÝ ĐẶT BASTION HOST GVHD: Nguyễn Trần Nam Anh SVTT: Lê Công Lập Page 55 Nghiên cứu khoa học Đề tài:Nghiên cứu tưởng lửa Cần đặt bastion host vị trí vật lí an toàn, người trách nhiệm không đến Ngoài cần ý đến nhiệt độ, nguồn điện thích hợp VỊ TRÍ BASTION HOST TRÊN MẠNG Tùy theo nhu cầu đặt mạng nội bộ, nên đặt mạng ngoại vi CHỌN DỊCH VỤ MẠNG MÀ BASTTION HOST CUNG CẤP Có thể chia dịch vụ thành lớp: • Các dịch vụ an toàn cung cấp qua packet filtering • Các dịch vụ không an toàn cung cấp bình thường có khả đạt an toàn điều kiện khác • Các dịch vụ không an toàn cung cấp bình thường đạt an toàn, dịch vụ phải vô hiệu hóa cung cấp máy thử nghiệm • Các dịch vụ không đến, không dùng việc kết nối với Internet Các dịch vụ thường cung cấp bastion host: • SMTP (thư điện tử) • FTP (truyền liệu) • HTTP (web) • DNS (chuyển đổi host thành địa IP ngược lại) DNS dùng trực tiếp Về ý tưởng đặt dịch vụ bastion host, thực tế đạt điều Do vấn đề tài quản lí khó có nhiều máy Có vài nhận xét nhóm dịch vụ với thành nhóm: GVHD: Nguyễn Trần Nam Anh SVTT: Lê Công Lập Page 56 Nghiên cứu khoa học Đề tài:Nghiên cứu tưởng lửa • Các dịch vụ quan trọng: Web server phục vụ khách hàng • Các dịch vụ theo đối tượng: người sử dụng bên trong, người siwr dụng bên ngoài… • Các dịch vụ an toàn: dịch vụ tin cậy dịch vụ không tin cậy máy khác • Các dịch vụ truy cập có mức độ khác nhau: thông tin công cộng thông tin riêng tư LÍ DO KHÔNG CUNG CẤP TÀI KHOẢN TRUY CẬP TRÊN BASTION HOST Không cung cấp tài khoản cho người sử dụng truy cập Bastion host lí sau: • Tài khoản người sử dụng dễ bị tổn thương • Giảm độ ổn định tin cậy Bastion host • Sự vô ý người sử dụng làm phá vỡ tính bảo mật Gia tăng khó khăn dò tìm công XÂY DỰNG MỘT BASTION HOST AN TOÀN VÀ CHỐNG LẠI SỰ TẤN CÔNG Bảo đảm máy không kết nối với Internet bước cuối Bảo vệ an toàn cho máy Cài đặt hệ điều hành tối thiểu theo yêu cầu Sửa lỗi hệ điều hành qua thông tin nhà sản xuất hệ điều hành Sử dụng bảng liệt kê mục cần kiểm tra an toàn phù hợp với phiên hệ điều hành Bảo vệ an toàn cho tập tin nhật kí hệ thống (system log): phương pháp thể hoạt động bastion host, sở để kiểm tra bị công Nên GVHD: Nguyễn Trần Nam Anh SVTT: Lê Công Lập Page 57 Nghiên cứu khoa học Đề tài:Nghiên cứu tưởng lửa có hai system log để phòng trường hợp tai họa lớn xảy ra, hai system log phải đặt vị trí khác Hủy dịch vụ không dùng Hủy dịch vụ không cần thiết cung cấp cho bastion host Nếu chức dịch vụ nên tắt nó, tắt có vấn đề ta biết chức Tắt chức định tuyến Tắt tất chương trình có chức định tuyến Hủy chức chuyển tiếp địa IP Cấu hình cho dịch vụ chạy tốt kết nối bastion host vào mạng - Cấu hình hệ điều hành lần cuối - Loại bỏ chương trình không cần thiết - Dựng hệ thống file đọc Chạy kiểm tra (dùng phần mềm) an toàn: Để biết lỗ hổng bảo mật, thiết lập sở liệu tổng hợp thông tin tất tập tin hệ thống để nhận biết thay đổi tập tin sau người thay đổi trái phép CÁC DỊCH VỤ INTERNET Internet cung cấp hệ thống dịch vụ cho phép người dùng nối vào Internet, truy nhập sử dụng thông tin mạng Internet Hệ thống GVHD: Nguyễn Trần Nam Anh SVTT: Lê Công Lập Page 58 Nghiên cứu khoa học Đề tài:Nghiên cứu tưởng lửa dịch vụ đã, bổ sung thwo phát triển không ngừng Internet Các dịch vụ bao gồm: World Wide Web (viết tắt WWW hay Web), Email (thư điện tử), FTP (File transfer protocols-dịch vụ chuyển file), Telnet (ứng dụng cho phép truy nhập máy tính xa), Archie (hệ thống xác định thông tin file directory), Finger (hệ thống xác định user Internet), Rlogin (remote login-vào mạng từ xa) số dịch vụ khác WORLD WIDE WEB (WWW) WWW dịch vụ Internet đời gần phát triển nhanh Nó cung cấp giao diện thân thiện người sử dụng, dễ sử dụng, vô đơn giản thuận lợi cho việc tìm kiếm thông tin.WWW liên kết thông tin dựa công nghệ hyper-link (siêu liên kết), cho phép trang web liên kết trực tiếp với qua địa chúng Thông qua WWW người dùng có thể: • Phát hành tin tức đọc tin tức từ khắp nơi giới • Quảng cáo mình, công ty hay tổ chưc xem loại quảng cáo Thế giới, từ kiếm việc làm, tuyển mộ nhân viên, coonng nghệ sản phẩm mới, tìm bạn… • Trao đổi thông tn với bạn bè, tổ chức xã hội, trung tâm nghiên cứu trường học… • Thực dịch vụ chuyển tiền hay mua bán hàng hóa • Truy cập Cơ sở liệu tổ chức phép Và nhiều hoạt động khác… ELECTRONIC MAIL ( EMAIL-THƯ ĐIỆN TỬ ) Email dịch vụ Internet sử dụng rộng rãi nhât Hầu hết thông báo dạng text (văn bản) đơn giản, người sử dụng có thê gửi kèm file dạng hình ảnh, âm Hệ thống email Internet hệ thống thư GVHD: Nguyễn Trần Nam Anh SVTT: Lê Công Lập Page 59 Nghiên cứu khoa học Đề tài:Nghiên cứu tưởng lửa điện tử lớn giới nay, thường sử dụng với hệ thống chuyển thư khác Khả chuyển thư điện tử Web có bị hạn chế so với hệ thống chuyển thư Internet, Web phương tiện trao đổi công cộng, thư có tính chất riêng tư Vì vậy, tất Web brower cung cấp chức email Hai brower lớn Netscape Internet Explorer cunng cấp chức email FTP(FILE TRANSFER PROTOCOLS) FTP dịch vụ cho phép chép file từ hệ thống máy tính sang hệ thống máy tính khác FTP bao gồm thủ tục chương trình ứng dụng, số dịch vụ đờ sớm Internet FTP dùng mức hệ thống (gõ lệnh vào command-line) web brower hay số tiện ích khác FTP vô hữu ích cho người dùng Internet, tìm kiếm Internet bạn thấy nhiều thư viện phần mềm hữu ích lĩnh vực mà bạn muốn chép máy để sử dụng III.TELNET VÀ RLOGIN Telnet dịch vụ cho phép bạn truy nhập vào máy tính xa chạy ứng dụng máy Telnet hữu ích bạn muốn chạy ứng dụng mà không chạy dược máy tính bạn, ví dụ bạn muốn chạy ứng dụng UNIX máy bạn lại PC Hay máy tính bạn không đủ mạnh file liệu cần thiết Telnet cho bạn khả làm việc máy tính xa hàng ngàn số mà bạn có cảm giác ngồi trước máy Chức Rlogin(vào mạng từ xa) tương tự Telnet ARCHIE GVHD: Nguyễn Trần Nam Anh SVTT: Lê Công Lập Page 60 Nghiên cứu khoa học Đề tài:Nghiên cứu tưởng lửa Archie loại thư viện thường xuyên tự động tìm kiếm máy tính Internet, tạo kho liệu danh sách file nạp xuống (down load) từ Internet Do liệu file luôn Archie tiện dụng cho người dùng việc tìm kiếm download file Người dùng cần gửi tên file từ khóa tìm kiếm đến Archie, Archie cho lại địa file có tên chứa từ khóa FINGER Finger chương trình ứng dụng cho phép tìm địa user khác mạng Internet Tối thiểu Finger cho bạn biết truy nhập hệ thống máy tính đó, tên login người Fnger hay sử dụng để tìm địa email bạn bè Internet Finger cung cấp cho bạn thông tin khác, người login vào mạng Vì Finger coi người trợ giúp đắc lực mối hiểm họa cho an toàn mạng PROXY PROXY LÀ GÌ??? • Theo www.learnthat.com: proxy thiết bị cho phép kết nối vào internet, đứng workstation mạng internet, cho phép bảo mật kết nối, cho phép số cổng protocol đó, vd: tcp, http, telnet cổng 80, 23… Khi client yêu cầu trang đó, yêu cầu chuyển đến proxy server, proxy server chuyển tiếp yêu cầu đến site Khi yêu cầu đáp trả, proxy trả kết lại cho client tương ứng Proxy server dùng để ghi nhận việc sử dụng internet ngăn chặn trang bị cấm GVHD: Nguyễn Trần Nam Anh SVTT: Lê Công Lập Page 61 Nghiên cứu khoa học • Đề tài:Nghiên cứu tưởng lửa Theo www.nyu.edu: proxy server server đứng ứng dụng client, web browser, server xa (remote server) Proxy server xem xét request xem xử lý cache không, không thể, chuyển yêu cầu đến remote server.Theo www.webopedia.com: proxy server server đứng ứng dụng client, web browser, server thực Nó chặn tất yêu cầu đến server thực để xem xem có khả đá ứng không, không thể, chuyển yêu cầu đến server thực • Theo www.stayinvisible.com: proxy server loại buffer máy tính bạn tài nguyên mạng internet mà bạn truy cập, liệu bạn yêu cầu đến proxy trước, sau chuyển đến máy bạn Hình 16: Mô hình Proxy GVHD: Nguyễn Trần Nam Anh SVTT: Lê Công Lập Page 62 Nghiên cứu khoa học Đề tài:Nghiên cứu tưởng lửa Hình 17: Mô hình proxy đơn giản TẠI SAO PROXY RA ĐỜI • Tăng tốc kết nối: proxy có chế gọi cache, chế cache cho phép proxy lưu trữ lại trang truy cập nhiều nhất, điều làm cho việc truy cập bạn nhanh hơn, bạn đáp ứng yêu cầu cách nội mà lấy thông tin trực tiếp từ internet • Bảo mật: truy cập phải thông qua proxy nên việc bảo mật thực triệt để • Filtering: ngăn cản truy cập không cho phép trang đồi trụy, trang phản động… TỔNG KẾT CHUNG VỀ PROXY GVHD: Nguyễn Trần Nam Anh SVTT: Lê Công Lập Page 63 Nghiên cứu khoa học Đề tài:Nghiên cứu tưởng lửa Theo định nghĩa giá trị mà proxy mang lại đề cập trên, ta thấy proxy thật có lợi • Tuy nhiên, lợi dụng ý tưởng proxy, số server mạng tự biến thành trạm chung chuyển, trung gian cho kết nối không cho phép Chính điều đưa thêm định nghĩa mới, ý nghĩa giành cho proxy • Rất nhiều địa mạng lý mà bị cấm truy cập người dùng trang web đồi trụy, trang phản động, nội dung không lành mạnh… Tuy nhiên, để chống lại điều này, nói trên, số server biến thành proxy để giúp cho kết nối cấm thực TÀI LIỆU THAM KHẢO - Google.com.vn Đề tài.vn Tài liệu.vn GVHD: Nguyễn Trần Nam Anh SVTT: Lê Công Lập Page 64 [...]... nhưng không chủ đinh làm hại bạn Tuy GVHD: Nguyễn Trần Nam Anh SVTT: Lê Công Lập Page 27 Nghiên cứu khoa học Đề tài: Nghiên cứu tưởng lửa nhiên, họ thường gây hư hỏng hệ thống khi đột nhập hay khi xóa bỏ dấu vết của họ GVHD: Nguyễn Trần Nam Anh SVTT: Lê Công Lập Page 28 Nghiên cứu khoa học Đề tài: Nghiên cứu tưởng lửa 3.2 Kẻ phá hoại Là những kẻ chủ định phá hoại hệ thống của bạn, họ có thể không thích... nhất và chuẩn hóa các phương tiện bảo vệ GVHD: Nguyễn Trần Nam Anh SVTT: Lê Công Lập Page 23 Nghiên cứu khoa học GVHD: Nguyễn Trần Nam Anh SVTT: Lê Công Lập Đề tài: Nghiên cứu tưởng lửa Page 24 Nghiên cứu khoa học Đề tài: Nghiên cứu tưởng lửa PHẦN II: FIREWALL 1.GIỚI THIỆU VỀ FIREWALL Ngày nay, ở bất kỳ đâu chúng ta cũng nghe nói đến mạng Internet, các phương tiện thông tin đại chúng như báo chí, phát... Nghiên cứu khoa học Đề tài: Nghiên cứu tưởng lửa Hình 4: Mô hình firewall Một cách vắn tắt, firewall là hệ thống ngăn chặn việc truy nhập trái phép từ bên ngoài vào mạng cũng như những kết nối không hợp lệ từ bên trong ra Firewall thực hiện việc lọc bỏ những địa chỉ không hợp lệ dựa theo các quy tắc hay chỉ tiêu định trước GVHD: Nguyễn Trần Nam Anh SVTT: Lê Công Lập Page 31 Nghiên cứu khoa học Đề tài: Nghiên. .. truy nhập vào hệ thống) hoặc dùng các trạm không có ổ đĩa mềm… • Bức tường lửa (Firewall) GVHD: Nguyễn Trần Nam Anh SVTT: Lê Công Lập Page 19 Nghiên cứu khoa học Đề tài: Nghiên cứu tưởng lửa Để bảo vệ từ xa một máy tính hoặc cho cả một mạng nội bộ, người ta thường dùng các hệ thống đặc biệt là tường lửa Chức năng của các tường lửa là ngăn chặn các thâm nhập trái phép (theo danh sách truy nhập xác định... cầu về tính toàn vẹn cũng rất quan trọng Không một cá nhân, một tổ chức nào lãng phí tài nguyên vật chất và thời gian để lưu trữ những thông tin mà không biết về tính đúng đắn của những thông tin đó 2.2 Đối với tài nguyên GVHD: Nguyễn Trần Nam Anh SVTT: Lê Công Lập Page 26 Nghiên cứu khoa học Đề tài: Nghiên cứu tưởng lửa Tài nguyên nói ở đây bao gồm không gian bộ nhớ, không gian đĩa, các chương trình ứng... trên mạng GVHD: Nguyễn Trần Nam Anh SVTT: Lê Công Lập Page 16 Nghiên cứu khoa học Đề tài: Nghiên cứu tưởng lửa 3.3 Các cơ chế điều khiển truy nhập Các cơ chế điều khiển truy nhập được dùng để đảm bảo rằng chỉ có một số người dùng được gán quyền mới có thể truy nhập đến các tài nguyên thông tin (tệp, tiến trình, cổng truyền thông…) và các tài nguyên phần cứng (máy chủ, processor, Gateway…) Các cơ chế... Nam Anh SVTT: Lê Công Lập Page 22 Nghiên cứu khoa học Đề tài: Nghiên cứu tưởng lửa Là phương pháp bảo vệ bắt buộc người sử dụng và các nhân viên của hệ thống phải tuân theo nguyên tắc xử lí và sử dụng thông tin cần bảo vệ dưới áp lực của các hình phạt về tài chính và trách nhiệm hình sự • Kích thích: Là các biện pháp động viên giáo dục ý thức, tính tự giác đối với vấn đề bảo vệ thông tin người sử dụng... phổ biến nhất vì nó đơn giản, ít phí tổn và cũng rất hiệu quả Mỗi người sử dụng, kể cả GVHD: Nguyễn Trần Nam Anh SVTT: Lê Công Lập Page 18 Nghiên cứu khoa học Đề tài: Nghiên cứu tưởng lửa người quản trị mạng muốn vào được mạng để sử dụng các tài nguyên của mạng đều phải đăng kí tên và mật khẩu trước Người quản trị mạng có trách nhiệm quản lí, kiểm soát mọi hoạt động của mạng và xác định quyền truy nhập... truyền thông, tại tất cả các mức của phần cứng và phần mềm của hệ thống đều chịu sự nguy hiểm của các mối đe dọa đó Biện pháp để ngăn chặn các kiểu tấn công ở trên là: - Xây dựng các kênh truyền thông an toàn để tránh việc nghe trộm GVHD: Nguyễn Trần Nam Anh SVTT: Lê Công Lập Page 14 Nghiên cứu khoa học - Đề tài: Nghiên cứu tưởng lửa Thiết kế các giao thức xác nhận lẫn nhau giữa máy khách hàng và máy... tường lửa (Firewall) để bảo vệ mạng, tránh sự tấn công từ bên ngoài đảm bảo được các yếu tố: • An toàn cho sự hoạt động của toàn bộ hệ thống mạng • Bảo mật cao trên nhiều phương diện • Khả năng kiểm soát cao • Đảm bảo tốc độ nhanh • Mềm dẻo và dễ sử dụng • Trong suốt với người sử dụng • Đảm bảo kiến trúc mở GVHD: Nguyễn Trần Nam Anh SVTT: Lê Công Lập Page 25 Nghiên cứu khoa học Đề tài: Nghiên cứu tưởng lửa