Peyton Engel Kiến trúc sư phần mềm, Tập đoàn CDW Trong giai đoạn đầu của máy tính, khi các máy tính lớn mainframe được bảo vệ đóng vai trò giống như các host trung tâm và các kho lưu trữ
Trang 1An ninh mạng
Sau khi đọc xong chương này và hoàn thành các bài tập,
bạn có thể:
● Chỉ ra các mối đe dọa và lỗ hổng an ninh trong mạng LAN và
WAN và thiết kế các chính sách an ninh để giảm thiểu các nguy
cơ này.
● Giải thích các biện pháp an toàn và bảo mật cho phần cứng và
thiết kế mạng, bao gồm tường lửa, hệ thống phát hiện xâm
nhập và các công cụ quét.
● Hiểu về các phương pháp mã hóa như SSL và IPSec, có thể giúp
bảo vệ dữ liệu trong lưu trữ và truyền tải.
● Mô tả cách hoạt động của các giao thức xác thực người dùng
phổ biến như PKI, RADIUS, TACACS+, Kerberos, CHAP,
Trang 2Công việc thực tế
An ninh mạng thường đòi hỏi phải tổng hợp các thông tin từ nhiều nguồn khác nhau
để tạo thành một bức tranh chính xác về những điều đã xảy ra Một lần, đội của tôi trả lời một báo cáo rằng các máy tính để bàn của một công ty y sinh học đã bị hỏng,
ổ đĩa cứng của các máy tính đã bị xóa sạch, dường như bởi một loại virus, loại virus này đã thoát khỏi sự bảo vệ của phần mềm diệt virus của công ty
Khi kiểm tra một máy tính bị nhiễm virus, chúng tôi nhận thấy rằng một số tiến trình vẫn đang chạy – thật may mắn do các hệ điều hành thường không cho phép xóa các file đang được sử dụng Một số các tiến trình trong đó là các thể hiện của tiến trình svchost.exe Xem xét kỹ hơn, chúng tôi thấy rằng một trong số chúng có cùng tên như các file thực thi hợp lệ của Windows, nhưng thực tế đó là sự giả mạo: một kẻ phá hoại môi trường làm việc
Sử dụng một trình thông dịch ngược (disassembler), chúng tôi thấy rằng cứ mỗi phút, Trojan kiểm tra một thư mục trên server về sự hiện diện của một file lệnh, file chứa các nội dung có thể dùng để chạy Chúng tôi xây dựng một chương trình giám sát thư mục này và lưu trữ các bản sao của bất kỳ file nào xuất hiện; chương trình của chúng tôi cũng ghi lại các tài khoản người dùng đưa file vào đó và tên của hệ thống đã thực hiện điều này
Tài khoản có các đặc quyền quản trị miền, dựa vào đó chúng tôi kiểm tra các script đăng nhập vào miền này, ở đó chúng tôi tìm thấy đoạn mã đã cài đặt Trojan trên máy trạm của người dùng Chúng tôi viết một chương trình thứ hai để ghi lại địa chỉ MAC của hệ thống khi nó đăng ký tên với DHCP server và kiểm tra các bảng ARP từ các switch mạng để tìm ra cổng vật lý mà nó được kết nối tới Tiếp theo, với
sơ đồ đi dây của tòa nhà, chúng tôi có thể theo dõi thủ phạm đến tận phòng làm việc của anh ta
Tìm kiếm nguồn gốc của vấn đề liên quan đến các kiến thức về cơ sở hạ tầng mạng, hệ điều hành, các kỹ thuật quản trị, lập trình và kỹ thuật ngược (reverse engineering) Đây chắc chắn là một ví dụ cực đoan, nhưng các vấn đề An ninh mạng thực tế hiếm khi chỉ giới hạn trong một lĩnh vực chuyên môn duy nhất
Peyton Engel
Kiến trúc sư phần mềm, Tập đoàn CDW
Trong giai đoạn đầu của máy tính, khi các máy tính lớn (mainframe) được bảo vệ đóng vai trò giống như các host trung tâm và các kho lưu trữ dữ liệu, các máy tính này chỉ được truy cập bởi các thiết bị đầu cuối “khờ khạo” với những quyền hạn hạn chế, an ninh mạng gần như không thể bị tấn công Tuy nhiên, khi mạng máy tính ngày càng trở nên phân tán về mặt địa lý và phức tạp hơn, các rủi ro của chúng cũng tăng lên Mạng lớn nhất phức tạp nhất hiện này là mạng Internet Bởi vì nó bao gồm hàng triệu điểm truy nhập, hàng triệu server và các đường truyền dữ liệu lên tới hàng triệu dặm, nó dẫn đến hàng triệu cuộc tấn công vào các mạng riêng mỗi ngày Mối
đe dọa về một người bên ngoài truy cập vào mạng của một tổ chức qua Internet và sau đó đánh cắp hoặc phá hủy dữ liệu là rất thực tế Trong chương này, bạn sẽ được học về các mối đe dọa đối với dữ liệu và cơ sở hạ tầng mạng, cách để quản lý các
lỗ hổng, và có lẽ quan trọng nhất là cách để truyền đạt tầm quan trọng của an ninh
Trang 3mạng đến những người còn lại trong tổ chức thông qua một chính sách an ninh hiệu quả Nếu như bạn muốn trở thành chuyên gia an ninh mạng thì bạn nên đạt được chứng chỉ CompTIA’s Security+, chứng chỉ này đòi hỏi các kiến thức chuyên sâu về những chủ đề được đề cập trong chương này
Đánh giá mức độ an toàn bảo mật
Trước khi dành thời gian và tiền bạc trong vấn đề an toàn và bảo mật cho mạng, bạn nên kiểm tra lại các rủi ro về an ninh mạng của bạn Khi bạn tìm hiểu về các rủi ro có thể xảy ra, hãy xem xét các ảnh hưởng của việc mất hay hỏng dữ liệu, các chương trình hoặc truy cập sẽ có trên mạng Các hậu quả càng nghiêm trọng thì bạn càng phải chú ý nhiều hơn về an toàn và bảo mật mạng
Các tổ chức khác nhau sẽ có các mức độ rủi ro về anh ninh mạng khác nhau Ví
dụ, nếu bạn làm việc trong một tổ chức tiết kiệm và cho vay lớn cho phép các khách hàng của mình có thể xem trực tuyến tình trạng của khoản vay hiện tại thì bạn cần phải xét tới các nguy cơ có liên quan đến dữ liệu và truy cập Nếu như có một ai
đó truy cập trái phép vào mạng của bạn thì tất cả các dữ liệu tài chính cá nhân của khách hàng có thể bị tấn công Mặt khác, nếu bạn làm việc cho một cửa hàng rửa xe
ở địa phương sử dụng mạng nội bộ LAN để theo dõi tài sản và việc bán hàng thì bạn cũng không cần phải quá lo lắng nếu có ai đó truy cập vào mạng của bạn vì việc truy cập trái phép vào dữ liệu của bạn cũng không quá nghiêm trọng Khi xem xét các rủi
ro an ninh mạng thì có các câu hỏi cơ bản: “Nguy cơ là gì?” và “Tôi phải trả giá như thế nào khi dữ liệu bị đánh cắp, hư hỏng hoặc tiêu hủy”
Mỗi tổ chức cần đánh giá rủi ro an ninh của mình bằng cách thực hiện đánh giá tình hình (posture assessment), đây là một cuộc kiểm tra cẩn thận mọikhía cạnh của
mạng để xác định xem nó có thể bị tổn hại như thế nào Việc đánh giá tình hình này nên được thực hiện mỗi năm một lần, và tốt nhất là mỗi quý một lần Chúng ta cũng nên tiến hành thực hiện việc đó sau khi có một sự thay đổi lớn trong mạng Với mỗi mối đe dọa được liệt kê ở các phần sau, việc đánh giá tình hình của bạn nên đánh giá mức độ nghiêm trọng của các hậu quả có thể xảy ra, cũng như các khả năng của
nó Hậu quả của một mối đe dọa có thể rất nặng nề, có thể dẫn tới mất mạng hoặc phát tán các thông tin tối mật, hoặc nếu nhẹ, có khả năng dẫn đến việc một người bị mất truy cập hoặc việc phát tán phần dữ liệu không quá quan trọng của công ty Tác hại của các mối đe dọa càng lớn, nó càng dễ xảy ra, các biện pháp an ninh của bạn càng cần phải chặt chẽ hơn
Nếu phòng IT của bạn có đủ kỹ năng và thời gian cho việc thực hiện đánh giá tình hình thì họ có thể thực hiện việc đánh giá nội bộ Ngoài ra một công ty tư vấn có năng lực cũng có thể thực hiện đánh giá mức độ an toàn bảo mật cho mạng của bạn Nếu công ty được công nhận bởi một cơ quan thiết lập chuẩn an toàn bảo mật mạng thì việc đánh giá này đủ điều kiện là một kiểm định an toàn (security audit).
Một số khách hàng - ví dụ như cơ quan quân sự - có thể sẽ yêu cầu công ty bạn phải được chứng nhận về kiểm định an toàn trước khi họ tiến hành kinh doanh với bạn
Cơ quan quản lý yêu cầu một số loại hình công ty, như các công ty kế toán tổ chức kiểm định an toàn định kỳ Ngay cả khi việc kiểm định là không bắt buộc, thì ưu điểm của việc có một bên thứ ba khách quan phân tích mạng của bạn là họ có thể tìm
ra những nguy cơ mà bạn đã bỏ qua bởi vì sự quen thuộc của bạn với môi trường
Trang 4mạng của mình Kiểm định an toàn có thể khá tốn kém, nhưng nếu mạng của bạn chứa nhiều dữ liệu bảo mật và nhạy cảm thì chúng cũng đáng giá.
Trong phần tiếp theo, bạn sẽ học về những rủi ro an ninh có liên quan đến con người, thiết bị phần cứng, phần mềm và truy cập Internet
Rủi ro an ninh
Để hiểu cách quản lý an ninh mạng, đầu tiên bạn cần phải biết làm thế nào để nhận
ra các đe dọa mà mạng của bạn có thể gặp phải Và để làm điều đó, bạn phải làm quen với các thuật ngữ được đưa ra bởi các chuyên gia an ninh mạng Hacker (tin tặc), với ý nghĩa gốc của từ này là một người nắm vững các hoạt động bên trong của
phần cứng và phần mềm máy tính để nỗ lực hiểu rõ hơn về chúng Lời gọi hacker thường là một lời khen ngợi, nói đến những kỹ năng máy tính đặc biệt Ngày nay,
hacker được sử dụng để mô tả các cá nhân truy cập trái phép vào hệ thống hoặc
mạng có hoặc không có mục đích xấu
Một điểm yếu của hệ thống, tiến trình, hoặc kiến trúc mà có thể dẫn đến thông tin bị tổn hại hoặc truy cập trái phép được gọi là một lỗ hổng (vulnerability) Việc lợi dụng
các lỗ hổng này được gọi là khai thác (exploit) Ví dụ, trong Chương 2 bạn đã học
về khả năng xuất hiện của các điểm truy cập không dây trái phép, hoặc giả mạo với các client Khi các client không nghi ngờ gì kết nối với các điểm truy cập trên, tin tặc
có thể ăn cắp dữ liệu trên đường truyền hoặc truy cập thông tin trên hệ thống của client Khi các điểm truy cập không dây giả mạo này giả dạng thành một điểm truy cập hợp lệ bằng cách sử dụng cùng một SSID (định danh nhóm dịch vụ) và cả các thiết lập khác giống y hệt, dạng khai thác này được gọi là evil twin (kẻ sinh đôi nguy
hiểm) Khai thác này lợi dụng một lỗ hổng vốn có trong truyền thông không dây đó là
SSID là quảng bá công khai và các client Wi-Fi quét các kết nối
Tấn công zero-day (zero-day exploit) là một kiểu tấn công lợi dụng lỗ hổng phần
mềm chưa được công khai, và chỉ được hacker - người phát hiện ra nó biết Tấn công zero-day đặc biệt nguy hiểm bởi vì các lỗ hổng được khai thác trước khi các nhà phát triển phần mềm có cơ hội đưa ra một giải pháp cho nó Tuy nhiên, hầu hết các lỗ hổng đã được tìm ra Thông qua chương này, bạn sẽ tìm hiểu về một số loại khai thác và cách ngăn chặn hoặc chống lại các mối đe dọa an ninh
Khi bạn đã đọc về mỗi lỗ hổng, suy nghĩ về cách nó có thể được ngăn chặn, liệu nó
có xuất hiện trong mạng của bạn (và nếu như vậy, tổn thất nó gây ra như thế nào),
và nó liên quan tới các mối đe dọa an ninh khác như thế nào Hãy nhớ rằng những
kẻ xâm nhập nguy hiểm và các phần mềm độc hại có thể sử dụng liên tiếp các kỹ thuật dựa trên nhau khi xâm nhập vào mạng của bạn Ví dụ, một hacker có thể phát hiện ra tên đăng nhập của một người nào đó bằng cách quan sát họ đăng nhập trên mạng, sau đó hacker có thể sử dụng một chương trình phá mật khẩu để truy cập vào mạng, từ đó anh ta có thể viết ra một chương trình tạo ra một lưu lượng truy cập với khối lượng bất thường chủ yếu làm vô hiệu hóa các thiết bị kết nối mạng
Các rủi ro liên quan tới con người
Theo ước tính, các lỗi của con người (sự thiếu hiểu biết, và thiếu sót) gây ra hơn một nửa tất cả các vi phạm về an ninh xảy ra với mạng Một trong những phương pháp
Trang 5phổ biến mà một kẻ xâm nhập có thể giành được quyền truy cập vào một mạng chỉ đơn giản là hỏi người dùng mật khẩu của họ Ví dụ, kẻ xâm nhập tự cho mình là một chuyên gia phân tích hỗ trợ kỹ thuật và cần phải biết mật khẩu để khắc phục một sự
cố Kiểu tấn công này được gọi là kỹ thuật tấn công tâm lý (social engineering)
bởi vì nó liên quan đến việc sử dụng các mối quan hệ xã hội để giành quyền truy cập Một kiểu tấn công thực tế khác là phishing, trong đó một người cố gắng thu thập
các thông tin truy cập hoặc thông tin xác thực bằng cách giả làm người cần thông tin đó Ví dụ, hacker có thể gửi e-mail yêu cầu bạn điền ID và mật khẩu người dùng vào một website có liên kết nằm trong e-mail, khẳng định rằng việc đó là cần thiết để xác minh tài khoản của bạn với một nhà bán lẻ trực tuyến cụ thể Sau đây là một số rủi ro liên quan đến con người:
● Những kẻ xâm nhập hoặc kẻ tấn công sử dụng kỹ thuật tấn công tâm lý hoặc rình mò để lấy được mật khẩu người dùng
● Người quản trị mạng tạo hoặc cấu hình không chính xác các ID người dùng, các nhóm và các quyền liên quan của họ trên một file server, tạo ra các lỗ hổng truy cập file và trong đăng nhập
● Các quản trị mạng bỏ sót lỗ hổng an ninh trong tôpô mạng hoặc cấu hình phần cứng
● Các quản trị mạng bỏ sót lỗ hổng an ninh trong cấu hình hệ điều hành hoặc ứng dụng
● Thiếu tài liệu và thông tin chính xác về chính sách an ninh, dẫn đến lạm dụng
cố ý hoặc vô ý việc truy cập các file hoặc việc truy cập mạng
● Các nhân viên không trung thực hoặc bất mãn lợi dụng các quyền trên file và quyền truy cập của họ
● Một máy tính hoặc thiết bị đầu cuối không sử dụng nhưng vẫn để tình trạng đăng nhập vào mạng, từ đó kẻ xâm nhập sẽ lợi dụng để vào mạng
● Người dùng hoặc người quản trị chọn những mật khẩu dễ đoán
● Các nhân viên được phép đã để cửa phòng máy tính mở hoặc không khóa,
từ đó các cá nhân không được phép có thể đi vào
● Nhân viên bỏ các ổ đĩa hoặc băng sao lưu trong thùng rác công cộng
● Các quản trị quên loại bỏ quyền truy cập và các quyền trên file cho các nhân viên đã rời khỏi tổ chức
● Các nhà cung cấp hoặc đối tác kinh doanh được cấp quyền truy cập tạm thời vào các mạng riêng
● Người dùng viết mật khẩu của họ trên giấy, sau đó đặt chúng ở một nơi dễ dàng tìm thấy được (ví dụ gắn nó vào màn hình hoặc bàn phím của họ)
Lỗi của con người mang lại rất nhiều lỗ hổng an ninh vì việc lợi dụng chúng là cách
dễ dàng nhất để phá vỡ sự an toàn và bảo mật của mạng
Các rủi ro liên quan tới phần cứng và quá trình truyền tin
Phần này mô tả các rủi ro an ninh vốn có trong các tầng Vật lý, Liên kết dữ liệu và Mạng của mô hình OSI Nhớ lại rằng các phương tiện truyền dẫn, card giao tiếp mạng, phương thức truy cập mạng (ví dụ, Ethernet), router và switch, điểm truy cập
và gateway nằm ở các tầng này Tại các mức này, các vi phạm an ninh yêu cầu nhiều
Trang 6kỹ thuật phức tạp hơn so với việc lợi dụng lỗi của con người Chẳng hạn như, để nghe trộm một quá trình truyền tin qua một switch, một kẻ xâm nhập phải sử dụng một thiết bị, chẳng hạn như bộ phân tích giao thức, kết nối với một trong các cổng của switch Trong các tầng giữa của mô hình OSI, hơi khó để phân biệt các kỹ thuật phần cứng và kỹ thuật phần mềm Ví dụ, bởi vì một router hoạt động để kết nối một mạng này với mạng khác, kẻ xâm nhập có thể lợi dụng các lỗ hổng an ninh của router bằng cách gửi một loạt quá trình truyền tin TCP/IP tới router, do đó vô hiệu hóa việc vận chuyển các lưu lượng hợp lệ của router đó
Những rủi ro sau đây thường có trong phần cứng và thiết kế mạng:
● Quá trình truyền tin có thể bị chặn Một loại tấn công dựa trên các quá trình truyền tin bị chặn là tấn công chặn giữa (man-in-the-middle) Nó có thể có
một vài dạng, nhưng trong tất cả các trường hợp một người sẽ đổi hướng hoặc chiếm giữ một quá trình truyền tin có bảo mật khi chúng xuất hiện Ví
dụ, trong trường hợp tấn công evil twin, một hacker có thể chặn quá trình truyền tin của một client và một điểm truy cập không dây giả mạo, từ đó lấy mật khẩu của người dùng, hoặc thậm chí đưa ra cho người dùng một website giả mạo trông có vẻ hợp lệ nhưng lại hiển thị các tùy chọn mà khi nhấn vào
có thể gây tổn hại đến hệ thống của họ
● Mạng sử dụng các đường kết nối thuê công cộng, chẳng hạn như các kết nối T1 hoặc DSL tới Internet, rất dễ bị nghe trộm tại điểm phân cách của tòa nhà, tại một thiết bị chuyển mạch từ xa, hoặc trong một tổng đài trung tâm
● Các thiết bị lặp phát quảng bá lưu lượng đến toàn bộ phân đoạn mạng, do
đó làm cho việc truyền tin trở nên dễ bị tấn công Ngược lại, các switch cung cấp các truyền thông điểm-đến-điểm logic, nhằm hạn chế các đường truyền
dữ liệu sẵn sàng đến các nút gửi và nút nhận Tuy nhiên, những kẻ xâm nhập vẫn có thể kết nối vật lý tới một switch hoặc router và chặn các lưu lượng nó nhận được và chuyển tiếp đi
● Các cổng không sử dụng của switch, router, hoặc server có thể bị hacker khai thác và truy cập nếu như chúng chưa bị vô hiệu hóa Cổng cấu hình của một router, truy cập bằng Telnet, có thể không được bảo mật cẩn thận Quản trị mạng có thể kiểm tra server, router, switch và các thiết bị khác có dễ bị tấn công bằng cách sử dụng một phần mềm quét cổng (port scanner) hoặc
một phần mềm tìm kiếm nút có cổng mở Quản trị mạng sau đó có thể thiết lập bảo mật cho những cổng này để tránh bị phát hiện trong quá trình quét Bạn sẽ được học về công cụ quét cổng trong phần sau của chương này
● Nếu các router không được cấu hình đúng để che đi mạng con bên trong, người dùng trên các mạng bên ngoài (chẳng hạn như Internet) có thể đọc được các địa chỉ riêng
● Nếu các router không được cấu hình để loại bỏ các gói tin có các đặc điểm ít nhiều đáng ngờ, đó cũng là một lỗ hổng dễ bị tấn công
● Các server truy cập được người dùng từ xa sử dụng có thể không được bảo
Trang 7Hãy tưởng tượng rằng một hacker muốn cơ sở dữ liệu và các mail server của một thư viện ngừng hoạt động Giả sử cơ sở dữ liệu của thư viện là công khai và có thể được tìm kiếm bởi bất kỳ ai trên Web Các hacker bắt đầu bằng cách quét các cổng trên server cơ sở dữ liệu để xác định những cổng không được bảo vệ Nếu anh ta tìm được một cổng mở trên server cơ sở dữ liệu, hacker có thế kết nối với hệ thống
và gửi vào một chương trình mà vài ngày sau đó chương trình này sẽ phá hủy các file của hệ điều hành Hoặc hacker có thể tạo ra một chuỗi lưu lượng lớn làm tê liệt server cơ sở dữ liệu và chặn các chức năng của nó Hacker cũng có thể sử dụng truy cập được phát hiện gần đây để xác định mật khẩu quản trị trên hệ thống, giành quyền truy cập vào các hệ thống khác, và khởi động một cuộc tấn công tương tự vào mail server của thư viện hiện đang kết nối với server cơ sở dữ liệu Bằng cách này, thậm chí chỉ một sai lầm duy nhất trên một server (không được bảo vệ hoặc cổng mở) hacker có thể mở các lỗ hổng trên nhiều hệ thống
Rủi ro liên quan tới các giao thức và phần mềm
Giống như phần cứng, phần mềm được nối mạng chỉ an toàn khi bạn cấu hình nó Phần này miêu tả các rủi ro vốn có trong các tầng phía trên của mô hình OSI, chẳng hạn như tầng Giao vận, Trình diễn, Ứng dụng Như lưu ý ở trên, sự khác nhau giữa các rủi ro phần cứng và phần mềm là không rõ ràng bởi vì các giao thức và phần cứng hoạt động song song Ví dụ, nếu một router được cấu hình không đúng, một hacker
có thể khai thác tính chất công khai của giao thức TCP/IP để giành quyền truy cập vào mạng Các NOS (hệ điều hành mạng) và phần mềm ứng dụng tồn tại các rủi ro khác nhau Trong nhiều trường hợp, sự an toàn và bảo mật của chúng bị ảnh hưởng bởi
sự thiếu hiểu biết về quyền truy cập file hoặc do sơ suất đơn giản trong cấu hình phần mềm Nhớ rằng, thậm chí với cả mã hóa tốt nhất, khóa cửa phòng máy tính, các chính sách an ninh, và quy định đặt mật khẩu sẽ không có tác dụng nhiều nếu bạn gán sai quyền truy cập cho người dùng vào các chương trình và dữ liệu quan trọng
Sau đây là một số rủi ro liên quan đến các giao thức và phần mềm mạng:
● Các giao thức TCP/IP thường vốn không an toàn Ví dụ, các địa chỉ IP có thể làm giả, giá trị tổng kiểm tra có thể bị làm hỏng, UDP yêu cầu không xác thực, và TCP chỉ yêu cầu xác thực yếu FTP nổi tiếng với các lỗ hổng của nó Một trong các khai thác nổi tiếng là FTP bounce, các hacker lợi dụng giao
thức FTP không an toàn này Khi một client đang chạy một tiện ích FTP yêu cầu dữ liệu từ một FTP server, nó chỉ ra một địa chỉ IP và số hiệu cổng cho đích đến của dữ liệu Thông thường, client chỉ rõ địa chỉ IP của nó Tuy nhiên, client có thể chỉ ra bất cứ cổng nào trên địa chỉ IP của bất cứ host nào Bằng cách điều khiển FTP server kết nối với một máy tính khác, hacker có thể quét các cổng trên các host khác và truyền đi một đoạn mã độc hại Để ngăn chặn các tấn công FTP bounce, hầu hết các FTP server hiện đại sẽ không đưa dữ liệu tới các host khác ngoài client đã phát ra yêu cầu lúc đầu
● Mối quan hệ tin cậy giữa một server với một server khác có thể cho phép một hacker truy cập vào toàn bộ mạng chỉ vì một lỗ hổng duy nhất
● NOS có thể chứa “cửa hậu” (back door) hoặc các lỗ hổng an ninh cho phép người dùng trái phép truy cập vào hệ thống Nếu quản trị mạng không thực hiện cập nhật thường xuyên, hacker có thể khai thác những lỗ hổng đó
● Tràn bộ đệm (buffer overflow) là một lỗ hổng có thể có trong tất cả các hệ
Trang 8điều hành Bộ đệm là nơi tạm thời lưu trữ thông tin trong bộ nhớ, không giới hạn một vùng nhớ được cấp phát trên đĩa cứng Một người nào đó muốn làm hại một hệ thống có thể viết một chương trình chiếm kích thước bộ đệm vượt quá không gian được phân bổ của nó và lưu dữ liệu vào các khu vực bộ nhớ liền kề Bằng cách này, chương trình độc hại có thể thay đổi cách thức các máy tính hoạt động.
● Nếu NOS cho phép người vận hành server chạy một chương trình dạng dòng lệnh (Command prompt), những kẻ xâm nhập có thể chạy các chương trình phá hoại dưới dạng dòng lệnh
● Người quản trị mạng chấp nhận các tùy chọn an toàn bảo mật mặc định sau khi cài đặt một hệ điều hành hoặc ứng dụng Thông thường, các cài đặt mặc định này không tối ưu Ví dụ, tên người dùng mặc định cho phép một người
nào đó thay đổi bất cứ điều gì trong Windows Server 2008 R2 là
Administra-tor Cái tên mặc định này ai cũng biết, vì vậy nếu bạn vẫn để tên truy cập mặc
định là Administrator, bạn đã cho hacker một nửa những thông tin cần thiết
để truy cập và lấy được quyền đầy đủ trong hệ thống của bạn
● Các giao dịch diễn ra giữa các ứng dụng (chẳng hạn như giữa cơ sở dữ liệu
và các form điền thông tin trên nền web) có thể bị chặn
Để hiểu những rủi ro phát sinh khi một quản trị mạng sử dụng các thiết lập mặc định của một chương trình phần mềm, bạn hãy xét kịch bản sau đây Giả sử rằng bạn đã mời một nhóm lớn các sinh viên khoa học máy tính để tham quan Phòng IT của bạn Trong khi bạn đang ở trong phòng máy tính nói về việc chia mạng con, một sinh viên cảm thấy buồn chán đứng cạnh một máy trạm Windows 7 đã được đăng nhập vào mạng để xem các chương trình nào được cài đặt trên máy trạm Anh ta phát hiện ra rằng máy trạm này có cài đặt phần mềm quản trị SQL Server Đơn vị của bạn dùng
cơ sở dữ liệu SQL Server để lưu tất cả các thông tin về tiền lương, địa chỉ của nhân viên và các thông tin bảo mật khác Người sinh viên đó biết một chút về SQL Server
bao gồm cả user ID mặc định của quản trị hệ thống là sa và ID này mặc định không
có mật khẩu khi phần mềm SQL Server cài đặt xong Anh ta sẽ thử kết nối vào cơ
sơ dữ liệu SQL Server với User ID là sa và không nhập mật khẩu Vì bạn để nguyên
các thiết lập mặc định của chương trình sau khi nó cài đặt xon,g do đó trong vòng vài giây một sinh viên có thể truy cập vào các thông tin của nhân viên công ty bạn Anh
ta có thể ăn cắp, xóa, thay đổi bất cứ dữ liệu nào
Các nguy cơ liên quan đến truy cập Internet
Mặc dù Internet làm cho máy tính của chúng ta gặp nhiều nguy hiểm hơn từ bên ngoài (như hacker), an ninh mạng thường bị tổn hại “từ bên trong” nhiều hơn là từ bên ngoài Tuy nhiên, các nguy cơ tấn công từ những kẻ xâm nhập bên ngoài là có thật
Người dùng cần phải cẩn thận khi kết nối với Internet Các trình duyệt web phổ biến nhất đôi khi cũng chứa các lỗi cho phép các script truy cập vào hệ thống của người dùng khi họ đang kết nối với Internet với mục đích gây thiệt hại Người dùng cũng phải cẩn thận khi đưa các thông tin lên khi duyệt Web Một số site sẽ nắm bắt thông tin này để sử dụng khi cố gắng đột nhập vào hệ thống Nhớ rằng hacker thường rất sáng tạo và miệt mài trong việc đưa ra các cách thức mới để đột nhập vào hệ thống Kết quả là các nguy cơ tấn công liên quan đến Internet phát sinh thường xuyên Bằng cách giữ cho các phần mềm luôn được cập nhật, chú ý đến các mối đe dọa an
Trang 9ninh, truy cập Internet một cách khôn ngoan, người dùng có thể ngăn chặn hầu hết các mối đe dọa này
Các vấn đề an toàn bảo mật liên quan đến Internetthường gặp:
● Một tường lửa có thể không cung cấp một sự bảo vệ đầy đủ nếu nó không được cấu hình đúng Ví dụ, nó có thể để cho người bên ngoài lấy được địa chỉ IP nội bộ, sau đó sử dụng các địa chỉ này để giả vờ rằng họ có quyền truy cập vào mạng nội bộ của bạn từ Internet - quá trình đó gọi là giả mạo
IP (IP spoofing) Ngoài ra, một bức tường lửa có thể không được cấu hình
đúng để thực hiện ngay cả chức năng đơn giản nhất là cản trở các gói tin trái phép xâm nhập vào mạng LAN từ bên ngoài (Bạn sẽ tìm hiểu thêm về tường lửa ở phần sau của chương này) Cấu hình chính xác tường lửa là một trong những phương tiện tốt nhất để bảo vệ mạng LAN nội bộ khỏi các tấn công từ Internet
● Khi một người dùng sử dụng Telnet hoặc FTP truy cập đến trang web của bạn qua Internet, ID và mật khẩu người dùng được truyền đi dưới dạng văn bản thuần (plain text) (nghĩa là không được mã hóa) Bất cứ ai theo dõi mạng (có nghĩa là chạy một chương trình giám sát mạng hoặc một chương trình chiếm quyền điều khiển được thiết kế đặc biệt để thu thập dữ liệu đăng nhập)
có thể thu được các ID và mật khẩu người dùng và sử dụng nó để truy cập vào hệ thống
● Hacker có thểlấy được thông tinvềID người sử dụng của bạntừcác nhóm tin,danh sách địa chỉ thư (mailing list), hoặc các form bạn đã điềntrên web
● Trong khi người dùng đăng nhập vào một phiên tán ngẫu (chat) qua Internet,
họ có thể bị người sử dụng Internet khác gửi những lệnh đến máy của họ làm cho màn hình xuất hiện các ký tự rác và bắt buộc họ kết thúc phiên tán gẫu Kiểu tấn công này được gọi là tấn công flashing (flashing attack).
● Sau khi giành được quyền truy cập vào hệ thống của bạn thông qua Internet, một hacker có thể thực hiện tấn công từ chối dịch vụ Tấn công từ chối dịch
vụ (denial-of-service attack) xảy ra khi một hệ thống trở nên không thể
hoạt động vì nó bị ngập tràn với các yêu cầu dịch vụ và không thể trả lời bất
cứ yêu cầu nào Kết quả là tất cả các quá trình truyền tin bị gián đoạn Việc tấn công này được phát động tương đối dễ dàng (ví dụ một hacker có thể viết một chương trình lặp gửi hàng ngàn e-mail đến hệ thống của bạn trong một phút) Một dạng cụ thể của tấn công từ chối dịch vụ là tấn công smurf (smurf attack), xảy ra khi một hacker gửi đi vô số tin nhắn ping quảng bá
Trong trường hợp này, địa chỉ nguồn của cuộc tấn công sẽ giả danh một host trên mạng Vì bản tin truyền quảng bá, tất cả các host trên mạng con nhận được tin nhắn ping sẽ tạo ra thêm lưu lượng ICMP để trả lời yêu cầu Tấn công từ chối dịch vụ cũng có thể do trục trặc phần mềm Thường xuyên nâng cấp phần mềm là cần thiết để duy trì an ninh mạng
Bây giờ bạn thấy sự đa dạng của các nguy cơ tấn công mạng, chúng ta sẵn sàng để tìm hiểu về các chính sách giúp giảm thiểu những nguy cơ này
Chính sách an ninh hiệu quả
Vi phạm an ninh mạng có thể bắt đầu từ ngay bên trong một tổ chức và phụ thuộc nhiều vào lỗi của con người Phần này trình bày cách để giảm thiểu các nguy cơ đột
Trang 10nhập bằng cách giao tiếp và quản lý người sử dụng trong tổ chức của bạn thông qua một chính sách an ninh đã được lên kế hoạch kỹ lưỡng.
Một chính sách an ninh (security policy) sẽ định rõ các mục tiêu an toàn bảo mật,
nguy cơ, mức phân quyền, bổ nhiệm điều phối viên và các thành viên nhóm bảo mật, phân trách nhiệm cho mỗi thành viên trong nhóm, và trách nhiệm của mỗi nhân viên Ngoài ra, chính sách an ninh cũng quy định cụ thể cách giải quyết các vi phạm an toàn và bảo mật Nó không cần đưa ra chính xác phần cứng, phần mềm, kiến trúc, hoặc các giao thức sẽ được sử dụng để đảm bảo an toàn, cũng không đưa ra cách phần cứng hoặc phần mềm sẽ được cài đặt và cấu hình như thế nào Những chi tiết này thay đổi theo thời gian và cần được chia sẻ chỉ với quản trị mạng hoặc người quản lý có thẩm quyền
Mục tiêu của chính sách an ninh
Trước khi xây dựng một chính sách an ninh, bạn nên hiểu lý do tại sao các chính sách an ninh là cần thiết và chính sách đó sẽ có lợi cho tổ chức của bạn như thế nào Các mục tiêu chính của chính sách an ninh như sau:
● Đảm bảo rằng người dùng hợp lệ có quyền truy cập đến các tài nguyên mà
● Ngăn chặn sự cố ngẫu nhiên cho phần cứng hoặc phần mềm
● Ngăn chặn sự cố có chủ ý cho phần cứng hoặc phần mềm
● Tạo một môi trường mà các mạng và hệ thống có thể chịu được, và nếu cần thiết, nhanh chóng đáp ứng và phục hồi lại từ bất kỳ mối đe dọa nào
● Truyền thông tới các nhân viên về trách nhiệm trong việc duy trì tính toàn vẹn
dữ liệu và bảo mật hệ thống
Chính sách an ninh của một công ty không chỉ liên quan đến một máy tính hoặc mạng riêng Ví dụ, nó có thể quy định rằng mỗi nhân viên phải hủy tập giấy có chứa dữ liệu nhạy cảm hoặc mỗi nhân viên chịu trách nhiệm đăng ký cho khách của mình tại quầy lễ tân và lấy thẻ ra vào tạm thời cho họ Tuy nhiên, các chính sách an ninh không liên quan đến máy tính nằm ngoài phạm vi của chương này.Sau khi xác định các mục tiêu của chính sách an ninh của công ty bạn, bạn có thể đưa ra chiến lược để đạt được chúng Trước tiên, bạn có thể tổ chức một ủy ban gồm các nhà quản lý và bên quan tâm từ nhiều phòng ban khác nhau ngoài các quản trị mạng Càng nhiều người ra quyết định có thể mời tham gia thì chính sách của bạn sẽ càng hiệu quả và được hỗ trợ nhiều hơn Ủy ban này có thể chỉ định ra một điều phối viên an ninh (security coordinator), người này sau đó sẽ thúc đẩy việc tạo
Trang 11thống của bạn) gây tổn thất tới doanh thu của công ty là 1 triệu đô, hãy làm cho người dùng và người quản lý hiểu được điều này Từ đó, các nhà quản lý sẽ mong muốn nắm rõ chính sách an ninh hơn
Một chính sách an ninh phải nhắm đến những rủi ro cụ thể của một tổ chức Để hiểu những rủi ro của tổ chức, bạn nên tiến hành kiểm định an toàn, xác định các lỗ hổng
và đánh giá mức độ nghiêm trọng của các mối đe dọa và khả năng xảy ra của nó như đã mô tả trong chương này Sau khi xác định được các nguy cơ, điều phối viên
an ninh nên chỉ định một người chịu trách nhiệm để giải quyết các mối đe dọa đó
Nội dung chính sách an ninh
Sau khi bạn đã xác định các nguy cơ và phân công trách nhiệm quản lý chúng, bạn
sẽ tiến hành phác thảo nội dung của chính sách Các nhóm phác thảo chính sách
có thể bao gồm: chính sách về mật khẩu, chính sách cài đặt phần mềm, chính sách
dữ liệu bí mật và nhạy cảm, chính sách truy cập mạng, chính sách sử dụng E-mail, chính sách sử dụng Internet, chính sách truy cập từ xa, các chính sách kết nối với mạng của khách hàng và của các nhà cung cấp, chính sách sử dụng smartphone và máy tính xách tay cá nhân, và chính sách sử dụng phòng máy Mặc dù biên soạn tất
cả các thông tin này có thể sẽ khó khăn, tuy nhiên quá trình này đảm bảo rằng mọi người hiểu quan điểm của tổ chức về an toàn và lý do tại sao nó quan trọng
Chính sách an ninh nên giải thích cho người dùng hiểu những gì họ có thể và không thể làm và điều đó bảo vệ an toàn mạng như thế nào Phần quy định về người dùng
có thể sắp xếp các quy tắc bảo mật theo chức năng cụ thể hoặc theo phần của mạng
mà họ sử dụng Phương pháp này làm cho các chính sách an ninh dễ dàng đọc và hiểu hơn với người sử dụng, ngoài ra nó cũng giúp họ không phải đọc toàn bộ tài liệu Ví dụ, trong phần “Mật khẩu”, các hướng dẫn có thể bao gồm: “Người dùng không chia sẻ mật khẩu với bạn bè hoặc người thân”, “người sử dụng phải chọn mật khẩu có hơn mười ký tự và gồm cả chữ cái và chữ số”, và “người sử dụng nên chọn mật khẩu khác tên của vợ hoặc chồng, tên vật nuôi, ngày sinh, ngày kỷ niệm hoặc các thông tin phổ biến rộng rãi khác”
Một chính sách an ninh cũng nên định rõ những thông tin có ý nghĩa bí mật của một
tổ chức Nhìn chung, thông tin mật là các thông tin có thể bị sử dụng bởi các bên khác để làm suy yếu hoạt động của tổ chức, làm giảm sự tín nhiệm của khách hàng, gây ra tổn thất tài chính, gây ảnh hưởng đến hoạt động của một tổ chức, hoặc mang lại lợi thế cho đối thủ cạnh tranh Tuy nhiên, nếu bạn làm việc trong một môi trường như bệnh viện với hầu hết các dữ liệu mang tính nhạy cảm hoặc bí mật, chính sách
an ninh của bạn nên phân loại các thông tin theo mức độ nhạy cảm ứng với phân quyền sử dụng các thông tin đó Ví dụ, dữ liệu tối mật chỉ được sử dụng bởi Giám đốc điều hành (CEO) hay các phó giám đốc của tổ chức, trong khi dữ liệu mật khác
có thể được truy cập vào từ những người tạo ra và thay đổi dữ liệu đó (ví dụ: bác sĩ hay kế toán của bệnh viện)
Chính sách phản ứng
Cuối cùng, một chính sách an ninh cần phải có kế hoạch ứng phó trong các trường hợp bị tấn công Chính sách phản ứng sẽ chỉ ra các thành viên của một đội phản ứng, trong đó tất cả các thành viên hiểu rõ về các chính sách an ninh, các sự cố
và các biện pháp xử lý tại chỗ Mỗi thành viên trong đội sẽ giữ một vai trò với trách
Trang 12nhiệm nhất định Đội phản ứng an ninh mạng nên thường xuyên diễn tập phòng tránh tấn công bằng cách giả lập các cuộc tấn công Vai trò đội có thể bao gồm:
● Điều phối viên – Người trực, anh ta là người đầu tiên thông báo hoặc được
báo về sự cố Người điều phối sẽ thông báo cho lãnh đạo các chuyên viên
hỗ trợ kỹ thuật và sau đó là giám đốc Đồng thời anh ấy cũng ghi chép lại sự việc, chi tiết về thời gian bắt đầu, các dấu hiệu của nó, và bất cứ thông tin nào cần thiết về trường hợp này Người điều phối luôn sẵn sàng trả lời các cuộc gọi từ các khách hàng hoặc các nhân viên hoặc hỗ trợ người quản lý
● Người quản lý - Thành viên trong đội, người sẽ điều phối các nhân viên để
giải quyết vấn đề Nếu các kỹ thuật viên tại chỗ không thể xử lý bước đầu, người quản lý sẽ tìm sự hỗ trợ từ bên ngoài Người quản lý cũng đảm bảo rằng chính sách an ninh được làm theo và tất cả mọi người trong tổ chức nhận thức được tình hình Sau sự cố, người quản lý tiếp tục theo dõi các sự kiện và truyền tải lại với các chuyên viên quan hệ công chúng
● Chuyên viên hỗ trợ kỹ thuật - Thành viên này của đội tập trung vào một nhiệm
vụ duy nhất: Giải quyết vấn đề càng nhanh càng tốt Sau khi tình hình đã được giải quyết, các chuyên viên hỗ trợ kỹ thuật mô tả chi tiết những gì đã xảy ra và giúp người quản lý tìm cách để ngăn chặn một sự cố tương tự trong tương lai Tùy thuộc vào quy mô của tổ chức và mức độ nghiêm trọng của sự việc, vị trí này có thể nhiều hơn một người
● Chuyên viên quan hệ công chúng - Nếu cần thiết, thành viên này của đội phải
nắm rõ tình hình và việc xử lý sự cố, sau đó anh ta làm việc như phát ngôn viên chính thức của tổ chức đến công chúng
Sau khi giải quyết một vấn đề, cả đội đánh giá lại những gì đã xảy ra, xác định cách vấn đề được ngăn chặn như thế nào, sau đó thực hiện các biện pháp để tránh sự việc xảy ra trong tương lai Chỉ riêng chính sách an ninh không thể bảo vệ chống lại
sự xâm nhập Các quản trị viên mạng cũng phải chú trọng đến các lỗ hổng vật lý, thiết kế mạng và hệ điều hành mạng (NOS) như được trình bày trong các phần sau
An toàn về vật lý
Một yếu tố quan trọng trong an toàn bảo mật mạng là hạn chế truy cập vật lý tới các thiết bị mạng Chỉ các nhân viên mạng đáng tin cậy mới có quyền vào các phòng máy tính được bảo vệ, các phòng viễn thông, tủ đấu dây, các lối vào cáp, các phòng thiết bị có khóa Thêm vào đó, chỉ có nhân viên được cho phép mới có thể vào các khu vực liên quan, nơi đặt các văn phòng hay các trung tâm dữ liệu Nếu phòng máy tính không được khóa, kẻ xâm nhập có thể ăn cắp thiết bị phần cứng hoặc phá hoại phần mềm Ví dụ, một người có thể đi vào một phòng máy tính không được bảo vệ
và dùng quyền kiểm soát của một server mà quản trị mạng đăng nhập vào, sau đó
ăn cắp dữ liệu hoặc định dạng lại ổ cứng của server Mặc dù chính sách an ninh chỉ
ra người có quyền đi vào các phòng máy, ta vẫn cần phải khóa các phòng máy để ngăn chặn sự thâm nhập bất hợp pháp
Ổ khóa có thể là khóa vật lý hoặc khóa điện tử Nhiều tổ chức lớn yêu cầu nhân viên được cấp phép phải đeo thẻ ra vào điện tử Các thẻ này được lập trình để cho phép chủ thẻ ra vào một số phòng (nhưng không phải tất cả các phòng) nhất định trong tòa nhà Hình 4-1 minh họa một hệ thống bảo vệ ra vào bằng thẻ điển hình
Trang 13Công ty điện tử
Truy cập toàn bộ
“Hơn 15 năm cung cấp các giải pháp điện tử”
Phòng máy
Bộ đọc thẻ
Bộ đọc thẻ Văn phòng IT
trưng của một người chẳng hạn như màu sắc trong mống mắt, hoặc hình dạng của bàn tay để xác định danh tính của người đó Ở quy mô lớn hơn, các tổ chức có thể kiểm soát việc đi vào bằng các thiết bị như cổng, tường rào, tường, hoặc bảo vệ
Nhiều phòng IT cũng sử dụng hệ thống camera giám sát (CCTV) để theo dõi hoạt động ở trong các phòng được bảo vệ Camera giám sát được đặt trong các trung tâm dữ liệu, phòng máy tính, phòng viễn thông, vùng lưu trữ dữ liệu cũng như các lối ra vào Một phòng an ninh trung tâm có các màn hình hiển thị các hình ảnh thu được từ nhiều camera cùng một lúc, hoặc màn hình hiển thị có thể chuyển qua lại giữa các camera Các đoạn video thu được từ các máy quay thường được lưu một thời gian để sử dụng trong trường hợp cần thiết, như khi tiến hành điều tra vi phạm
an ninh hoặc truy cứu trách nhiệm
Giống như các biện pháp an ninh khác, cách quan trọng nhất để đảm bảo an toàn
về mặt vật lý là lập kế hoạch cho nó Bạn có thể bắt đầu lập kế hoạch bằng cách đặt câu hỏi liên quan đến kiểm tra an ninh vật lý khi bạn khảo sát an toàn Một số câu hỏi có liên quan như sau:
● Những phòng nào chứa hệ thống hoặc dữ liệu quan trọng cần được bảo vệ?
● Hãy nghĩ về việc kẻ xâm nhập có thể đi vào phòng thiết bị, phòng máy, phòng viễn thông, tủ đi dây, hoặc các khu vực lưu trữ dữ liệu (bao gồm cửa ra vào, cửa sổ, các phòng liền kề, trần nhà, các bức tường tạm thời, hành lang, v.v…) bằng cách nào?
Trang 14● Nhân viên nào và phạm vi họ được phép ra vào? (Họ đã được kiểm tra chưa? Yêu cầu đi vào của họ có hợp lý không? Họ có bị hạn chế thời gian đi vào không? Ai đảm bảo rằng việc mất khóa hoặc thẻ ID đã được báo cáo?)
● Nhân viên đã được hướng dẫn để đảm bảo an ninh sau khi vào, ra khu vực
an toàn chưa (ví dụ, không chống hoặc chèn cửa mở)?
● Các phương pháp kiểm tra (chẳng hạn như thẻ ra vào theo ID) có khó để giả mạo hay phá hoại không?
● Các giám sát viên hoặc nhân viên an ninh có thực hiện kiểm tra an toàn vật
Cũng phải chú ý bạn sẽ gặp rắc rối gì nếu có người nào đó nhặt được máy tính bạn
đã bỏ đi Để tránh việc các dữ liệu trong ổ cứng bỏ đi đó bị ăn cắp, bạn nên chạy một chương trình làm sạch ổ cứng không chỉ xóa dữ liệu mà còn làm cho việc phục hồi lại dữ liệu là không thể Thêm vào đó, bạn có thể tháo rời ổ cứng ra khỏi máy tính và xóa nội dung của nó bằng bộ xóa ổ cứng từ Một số chuyên gia an ninh mạng thậm chí còn khuyến cáo rằng nên hủy ổ đĩa cứng bằng cách đập nhỏ ra hay nấu chảy chúng để chắc chắn rằng dữ liệu không thể đọc được nữa
An toàn và bảo mật khi thiết kế mạng
Việc xử lý vấn đề truy cập vật lý chỉ là một phần trong một phương pháp bảo mật toàn diện Ngay cả khi bạn giới hạn truy cập vào phòng máy, dạy cho nhân viên cách chọn một mật khẩu bảo vệ tốt, ban hành chính sách an ninh thì hacker vẫn có thể khai thác các lỗ hổng từ thiết kế LAN hay WAN kém Trong phần này, chúng ta sẽ học cách để xử lý các sự cố an toàn và bảo mật do thiết kế mạng
Để ngăn chặn tấn công từ bên ngoài không ảnh hưởng đến mạng công ty bạn, ta sẽ hạn chế truy cập vào tại các điểm kết nối mạng LAN với bên ngoài Nguyên tắc này
là cơ sở của an toàn bảo mật dựa trên phần cứng và trên thiết kế
Danh sách truy cập của router
Trước khi một hacker trên một mạng khác có thể truy cập vào các file trên server mạng của bạn, anh ta phải đi qua một switch hoặc một router Mặc dù các thiết bị như tường lửa (được trình bày ở phần sau của chương này) đáp ứng được nhiều yêu cầu về bảo mật hơn Tuy nhiên, việc cấu hình switch và router cũng mang đến một số mức độ bảo mật nhất định Phần này sẽ mô tả cách cơ bản để kiểm soát lưu lượng thông qua router
Chức năng chính của một router là kiểm tra các gói tin và xác định xem chúng được gửi đến đâu thông qua thông tin địa chỉ tầng Mạng của gói tin Nhờ ACL (access control list – danh sách điều khiển truy cập, còn được gọi là access list - danh sách truy cập) của router, router cũng có thể từ chối chuyển tiếp các gói tin nhất
định ACL chỉ thị router cho phép hoặc từ chối lưu lượng theo một hoặc nhiều thông tin sau đây
Trang 15● Giao thức tầng Mạng (ví dụ IP hoặc ICMP)
● Giao thức tầng Giao vận (ví dụ TCP hay UDP)
● Địa chỉ IP nguồn
● Mặt nạ mạng nguồn
● Địa chỉ IP đích
● Mặt nạ mạng đích
● Số hiệu cổng TCP hay UDP
Mỗi lần router nhận được một gói tin, nó kiểm tra và tìm trong ACL để xác định xem gói tin có đáp ứng tiêu chuẩn để cho phép hoặc từ chối truyền đi trên mạng Nếu các đặc điểm của gói tin so khớp với thông số đánh dấu “deny” (từ chối) trong ACL, router sẽ bỏ qua gói tin, nếu khớp với thông số đánh dấu “permit” (cho phép) trong ACL, router sẽ chuyển tiếp gói tin
Một danh sách truy cập có thể chứa nhiều câu lệnh khác nhau Ví dụ, nó gồm một câu lệnh từ chối tất cả lưu lượng truy cập từ các địa chỉ nguồn có mặt nạ mạng là 255.255.255.255 và một câu lệnh khác từ chối tất cả lưu lượng đi đến cổng TCP 23 Hay nó có thể bao gồm một câu lệnh cho phép truy cập vào một cổng điều khiển từ một mạng con được quản trị mạng dành riêng để sử dụng
Trên hầu hết các router, mỗi giao diện được gán với một ACL riêng Ngoài ra, các ACL khác nhau có thể được kết hợp với lưu lượng đi vào và ra Đương nhiên, càng nhiều các câu lệnh mà router phải quét (nói cách khác, ACL càng dài), thì càng mất nhiều thời gian để router đó làm việc, do vậy làm chậm hiệu năng tổng thể của router.Danh sách truy cập không mặc định có sẵn trong router Nếu bạn cài đặt một router
và không thiết lập ACL thì có nghĩa bạn cho phép tất cả các loại lưu lượng đi ra và
đi vào mạng qua router này Khi tạo một ACL và gán nó cho một giao diện, bạn đã cho phép hoặc từ chối một cách rõ ràng một số loại lưu lượng Hơn nữa, bất cứ lưu lượng nào không được cho phép một cách rõ ràng trong ACL sẽ hoàn toàn bị từ chối.Một ví dụ về cấu hình danh sách truy cập để cho phép lưu lượng từ những người dùng ngoài mạng LAN đi qua một router Cisco và truy cập vào Web server có địa chỉ
IP 10.250.1.10 như sau: permit tcp any host 10.250.1.10 any eq www
Cú pháp câu lệnh bắt đầu với từ khóa cho phép hoặc từ chối (permit), sau đó là giao thức tầng Giao vận (TCP), địa chỉ IP nguồn (any), địa chỉ IP đích (10.250.1.10),
số hiệu cổng nguồn (any), số hiệu cổng đích (eq www nghĩa là cổng Web 80)
Phát hiện và ngăn chặn xâm nhập
Mặc dù danh sách truy cập của router có thể chặn một số lưu lượng nhất định, ta còn có thể sử dụng một biện pháp an ninh chủ động hơn để phát hiện các hoạt động mạng đáng ngờ Ngoài cách sử dụng máy tính, chủ doanh nghiệp có thể lắp đặt một
hệ thống camera giám sát trên các lối đi, hay các cảm biến điện trên cửa để giám sát những người cố gắng vào tòa nhà Tương tự như vậy, một quản trị mạng có thể sử dụng các kỹ thuật theo dõi và đánh dấu bất kỳ sự truy cập trái phép vào tài nguyên được bảo vệ của một tổ chức bằng các sử dụng IDS (intrusion detection system
- hệ thống phát hiện xâm nhập) IDS là một phần mềm chạy trên một máy tính,
Trang 16chẳng hạn server hoặc trên các thiết bị kết nối (switch) Một chương trình IDS chạy trên một máy tính (ví dụ client hoặc server) mà truy cập vào hoặc cho phép truy cập
từ Internet được gọi là HIDS (host-based intrusion detection – Phát hiện xâm nhập theo host) Phát hiện xâm nhập xảy ra trên các thiết bị nằm ở biên của mạng,
hay nơi xử lý toàn bộ các lưu lượng được gọi là NIDS (network-based intrusion detection – Phát hiện xâm nhập theo mạng) Việc sử dụng biện pháp an ninh toàn
diện kết hợp cả HIDS và NIDS sẽ giúp phát hiện nhiều mối đe dọa ở phạm vi rộng hơn và thiết lập nhiều lớp phòng bị Ví dụ, HIDS có thể phát hiện việc cố gắng khai thác một ứng dụng không an toàn nào đó mà NIDS bỏ qua
Các nhà cung cấp phần cứng mạng lớn như Cisco, HP, Juniper Networks, và Lucent đều bán thiết bị IDS Ví dụ về các phần mềm IDS mã nguồn mở phổ biến hầu như
có thể chạy trên bất kỳ máy tính nối mạng nào là Tripwire và Snort
Một kỹ thuật mà IDS có thể sử dụng để theo dõi lưu lượng đi qua một switch là phản chiếu cổng (port mirroring) Trong phản chiếu cổng, một cổng được cấu hình để
gửi đi một bản sao của tất cả các lưu lượng đi qua cổng đó đến một cổng thứ hai trên switch Cổng thứ hai gửi lưu lượng sao chép đó đến một chương trình giám sát.Phần mềm IDS có thể được cấu hình để phát hiện nhiều loại lưu lượng khả nghi, bao gồm cả những kiểu tấn công đặc trưng như tấn công từ chối dịch vụ hoặc tấn công Smurf Để phát hiện những cố gắng thâm nhập mạng trái phép, một phần mềm cảm biến được cài đặt ở các thiết bị biên của mạng (các thiết bị này là các thiết bị giao tiếp giữa mạng bên trong và mạng công cộng) Vành đai bảo vệ của mạng được gọi
là DMZ hay vùng phi quân sự (demilitarized zone) Nói cách khác, một IDS có thể
hoạt động trên một host để giám sát các đăng nhập hoặc truy cập khả nghi vào tài nguyên của host
Một nhược điểm khi sử dụng IDS tại DMZ của mạng là số lượng các xác nhận sai mà
nó có thể ghi lại Ví dụ, nó có thể hiểu sự đăng nhập nhiều lần của người sử dụng hợp pháp (ví dụ khi anh ta quên mật khẩu) là một sự đe dọa an toàn và bảo mật Nếu IDS được cấu hình để cảnh báo cho quản trị mạng mỗi lần khi sự kiện đó xảy
ra, quản trị mạng có thể bị quá tải với những cảnh báo như vậy và cuối cùng bỏ qua tất cả các tin nhắn của IDS Vì vậy, phần mềm IDS cần phải được tùy chỉnh cẩn thận Ngoài ra, để tiếp tục bảo vệ chống lại các mối đe dọa mới, phần mềm IDS phải được cập nhật và các quy tắc phát hiện phải được đánh giá lại một cách thường xuyên.Mặc dù một IDS chỉ có thể phát hiện và ghi lại hoạt động đáng ngờ, một IPS
(instrusion-prevention system - hệ thống ngăn ngừa xâm nhập) có thể phản
ứng khi có cảnh báo về hoạt động đó Ví dụ, nếu một hacker cố gắng gửi một lưu lượng làm ngập mạng, IPS có thể phát hiện nguy cơ này và ngăn chặn lưu lượng truy cập vào mạng dựa trên địa chỉ IP nguồn Sau đó IPS sẽ cô lập người sử dụng độc hại này Đồng thời, các IPS tiếp tục cho phép lưu lượng hợp lệ đi qua
Như với IDS, một IPS có thể bảo vệ toàn bộ mạng qua NIPS (network-based intrusion prevention - ngăn ngừa xâm nhập theo mạng) hoặc trên một số host nhất định qua HIPS (host-based intrusion prevention - ngăn ngừa xâm nhập theo máy) Sử dụng
cả NIPS và HIPS cùng nhau làm sẽ làm tăng mức độ an toàn và bảo mật mạng Ví dụ, với HIDS cài đặt trên file server có thể cho phép một hacker đăng nhập vào nếu hacker giả làm client hợp pháp Tuy nhiên với riêng NIDS, hacker có thể không bao giờ tới được server Nhiều nhà cung cấp bán các thiết bị tích hợp cả IDS và IPS Giống như với IDS, IPS cần phải được cấu hình cẩn thận để tránh các báo động nhầm
Trang 17Hình 4-2 minh họa vị trí của một thiết bị IDS/IPS trên một mạng riêng kết nối với Internet Lưu ý rằng một thiết bị này có thể được đặt giữa tường lửa và mạng bên ngoài như trong Hình 4-2 hoặc phía sau tường lửa Đây là ví dụ về NIDS/NIPS Phần mềm IDS/IPS chạy trên server và một trong các client trong mạng LAN là ví dụ về HIDS/HIPS
Hệ thống ngăn ngừa xâm nhập ban đầu được thiết kế như một công cụ bảo vệ và phân tích lưu lượng toàn diện hơn so với tường lửa (tường lửa sẽ được thảo luận trong phần tiếp theo) Tuy nhiên, tường lửa cũng có nhiều cải tiến nên sự khác biệt giữa tường lửa và IPS cũng giảm bớt
về tường lửa mạng (network-based firewall), đặt tên như vậy vì nó bảo vệ toàn bộ
mạng Hình 4-4 minh họa một tường lửa được thiết kế để sử dụng trong một doanh nghiệp với nhiều người sử dụng Một loại tường lửa khác được gọi là tường lửa theo máy (host-based firewall) chỉ bảo vệ máy tính mà chúng được cài đặt.
Trang 18Hình 4-4 Tường lửa
Nguồn: NETGEAR
Hiện nay có nhiều loại tường lửa, chúng có thể được cài đặt bằng nhiều cách khác nhau Để hiểu việc thiết kế một mạng an toàn và để đạt được chứng chỉ Network+, bạn nên hiểu các chức năng mà một tường lửa có thể cung cấp, vị trí đặt nó trên mạng, và làm thế nào để xác định những tính năng cần thiết bạn cần ở một tường lửa
Dạng đơn giản nhất của tường lửa là tường lửa lọc gói tin (packet-filtering firewall), đó là một router (hoặc một máy tính cài đặt phần mềm cho phép nó hoạt
động như một router) kiểm tra header của tất cả các gói tin của dữ liệu mà nó nhận được để xác định liệu gói tin dạng này có được phép tiếp tục gửi đến đích của nó Nếu một gói tin không đáp ứng các tiêu chí lọc, tường lửa sẽ chặn các gói tin này lại Tuy nhiên, nếu một gói tin đáp ứng các tiêu chí lọc, tường lửa sẽ cho phép gói tin đi qua mạng kết nối với tường lửa Thực tế, gần như tất cả các router có thể được cấu hình để hoạt động như một tường lửa lọc gói tin
Ngoài việc chặn lưu lượng vào một mạng LAN, tường lửa lọc gói tin có thể chặn lưu lượng đi ra khỏi một mạng LAN Một lý do để chặn lưu lượng gửi đi là để ngăn chặn
sâu máy tính lây lan Ví dụ, nếu bạn đang chạy một Web server, trong hầu hết các trường hợp server này chỉ trả lời các yêu cầu gửi đến và không cần phải khởi tạo các yêu cầu gửi đi, bạn có thể cấu hình tường lửa lọc gói tin để chặn các gói tin gửi
ra ngoài được khởi tạo từ Web server Bằng cách này sẽ giúp bạn chặn các sâu máy tính lây lan được lập trình nhằm gắn vào Web server và tự lan truyền đến các máy tính khác trên Internet
Thông thường, các tường lửa được cấu hình mặc định chặn các kiểu đe dọa an ninh phổ biến nhất Nói cách khác, tường lửa được cấu hình sẵn để cho phép hoặc từ chối một số loại lưu lượng nhất định Tuy nhiên, nhiều quản trị mạng chọn tùy chỉnh các thiết lập tường lửa, ví dụ chặn các cổng thêm vào hoặc bổ sung tiêu chí của các loại lưu lượng có thể đi vào hoặc đi ra khỏi cổng Một số tiêu chí chung của tường lửa lọc gói tin có thể dùng để cho phép hoặc từ chối lưu lượng bao gồm:
● Địa chỉ IP nguồn và đích
● Các cổng nguồn và đích (ví dụ các cổng hỗ trợ kết nối TCP/UDP, FTP, Telnet, ARP, ICMP, …)
● Các cờ thiết lập trong IP header (ví dụ SYN hay ACK)
● Quá trình truyền dữ liệu sử dụng giao thức UDP hay ICMP
● Trạng thái của gói tin là gói tin đầu tiên của một luồng dữ liệu mới hay một gói tin tiếp theo
● Trạng thái của gói tin là gói tin gửi đến hay gửi đi từ mạng riêng của bạn
Trang 19Dựa trên các thông tin này, quản trị mạng có thể cấu hình tường lửa của mình, ví dụ
để chặn bất kỳ địa chỉ IP nào không bắt đầu với “196.57”, ID mạng của các địa chỉ trên mạng của họ khỏi việc truy cập vào router và server Hơn nữa, quản trị mạng có thể vô hiệu hóa - hoặc chặn - một số cổng phổ biến chẳng hạn như các cổng FTP
(20 và 21) qua cấu hình router Việc chặn các cổng sẽ ngăn bất cứ người dùng nào
kết nối đến và hoàn thành một quá trình truyền tin qua các cổng này Kỹ thuật này rất hữu ích khi bảo vệ khỏi sự truy cập trái phép vào mạng Nói cách khác, ngay cả khi một hacker có thể giả mạo địa chỉ IP bắt đầu với 196.57, họ cũng không thể truy cập vào các cổng FTP (các cổng này thường không an toàn) trên các tường lửa Các cổng có thể bị chặn không chỉ trên tường lửa, mà còn trên các router, server, hoặc bất kỳ thiết bị nào sử dụng cổng Ví dụ, nếu bạn thiết lập một Web server để thử nghiệm nhưng không muốn bất cứ ai trong tổ chức của bạn kết nối với các trang web này thông qua trình duyệt của họ, bạn có thể chặn cổng 80 trên server đó
Để bảo mật tốt hơn, bạn nên chọn một tường lửa có thể thực hiện các chức năng phức tạp hơn so với chỉ lọc gói tin Một số các yếu tố cần xem xét khi bạn đưa ra quyết định như sau:
● Liệu tường lửa có hỗ trợ mã hóa? (Bạn sẽ tìm hiểu thêm về mã hóa ở phần sau trong chương này)
● Liệu tường lửa có hỗ trợ xác thực người dùng?
● Tường lửa có cho phép bạn quản lý một cách tập trung và qua một giao diện chuẩn?
● Làm thế nào bạn có thể dễ dàng thiết lập các quy tắc cho những truy cập đến
và đi ra khỏi tường lửa?
● Liệu tường lửa có hỗ trợ lọc ở các tầng cao nhất của mô hình OSI, không chỉ
ở tầng Liên kết dữ liệu và tầng Giao vận? Ví dụ, tường lửa lọc nội dung (content-filtering firewall) có thể chặn các lưu lượng dựa trên dữ liệu ứng
dụng được chứa trong gói tin Một trường học có thể cấu hình tường lửa để chặn các trả lời từ một website với nội dung có vấn đề gửi đến client đã yêu cầu trang web đó
● Liệu tường lửa có cho phép chức năng ghi nhật ký và kiểm tra như IDS hoặc IPS?
● Liệu tường lửa có bảo vệ các địa chỉ IP của mạng nội bộ của bạn khỏi mạng bên ngoài?
● Liệu tường lửa có thể theo dõi một luồng dữ liệu từ đầu đến cuối, chứ không chỉ đơn giản là kiểm tra từng gói tin riêng lẻ? Nếu nó có thể xem cả một luồng
dữ liệu, nó được gọi là tường lửa có trạng thái (stateful firewall) Nếu
không, nó được gọi là tường lửa phi trạng thái (stateless firewall) Tường
lửa phi trạng thái làm việc nhanh hơn so với tường lửa có trạng thái, nhưng chúng không phức tạp bằng
Bạn có thể nhận thấy ví dụ về vị trí đặt tường lửa trong hầu hết các kiến trúc VPN
Ví dụ, bạn thiết kế một VPN sử dụng Internet để kết nối hai văn phòng Houston và Denver Để đảm bảo rằng chỉ có lưu lượng từ Houston có thể truy cập đến mạng LAN ở Denver thông qua một kết nối bên ngoài, bạn cài đặt một tường lửa lọc gói tin giữa mạng LAN Denver và Internet Tiếp theo, bạn cấu hình tường lửa để chấp nhận lưu lượng đến từ các địa chỉ IP tương ứng với các địa chỉ thuộc mạng LAN ở Houston Nói cách khác, tường lửa hoạt động như một người kiểm soát ra vào tại
Trang 20một câu lạc bộ tư nhân, chuyên kiểm tra ID của tất cả mọi người và đảm bảo rằng chỉ các thành viên câu lạc bộ được đi qua cửa Trong trường hợp mạng VPN Houston-Denver, tường lửa loại bỏ bất kỳ gói tin dữ liệu nào đến tường lửa tại Denver nhưng
không chứa các địa chỉ IP nguồn của mạng LAN Houston.
Một số thiết bị cung cấp dịch vụ tường lửa không được gọi là Tường lửa Ví dụ, một router không dây của một văn phòng nhỏ thường bao gồm cả các tùy chọn lọc gói tin Ngoài ra, các thiết bị được Cisco sản xuất với mục đích an ninh tổng thể cho doanh nghiệp (được gọi là thiết bị an ninh) ngoài chức năng lọc gói tin có thể thực hiện các chức năng khác như mã hóa, cân bằng tải, IPS Một số các phần mềm có thể làm máy tính hoạt động như một tường lửa lọc gói tin như iptables (cho hệ điều hành Linux), ZoneAlarm và Comodo Firewall Một số hệ điều hành (ví dụ Window 7)
có sẵn phần mềm tường lửa
Vì bạn phải xây dựng tường lửa theo nhu cầu của mạng, bạn không chỉ đơn giản là mua, cài đặt nó giữa mạng LAN và Internet và trông chờ nó sẽ cung cấp bảo mật nhiều hơn Thay vào đó, trước tiên bạn phải xem xét những loại lưu lượng muốn lọc, sau đó cấu hình tường lửa cho phù hợp Để đạt được cấu hình tốt nhất có thể phải mất tới vài tuần - không nên thiết lập quá nghiêm ngặt dẫn đến việc chặn người dùng có thẩm quyền gửi và nhận dữ liệu cần thiết, nhưng cũng không nên quá nới lỏng sẽ gây nên nguy cơ vi phạm an ninh mạng Làm phức tạp thêm vấn đề sẽ khiến bạn có thể cần phải tạo ra ngoại lệ cho các quy luật Ví dụ, giả sử rằng người quản
lý nhân sự của công ty bạn đang tuyển dụng nhân viên mới tại trung tâm hội nghị ở thành phố Salt Lake, anh ta cần phải truy cập vào server ở Denver (nơi lưu trữ thông tin về bảng lương) Trong trường hợp này, quản trị mạng ở Denver phải tạo ra một ngoại lệ cho phép truyền tin từ địa chỉ IP máy trạm của người quản lý nhân sự đến với server đó Trong chuyên môn mạng, tạo ra một ngoại lệ như vậy được gọi là “đục một lỗ” trên tường lửa
Vì tường lửa lọc gói tin hoạt động ở tầng Mạng của mô hình OSI và chỉ kiểm tra địa chỉ mạng, nó không thể phân biệt được một người dùng đang cố gắng để chọc thủng tường lửa hay một người dùng được phép làm như vậy Ví dụ, tổ chức của bạn có một Web server đòi hỏi phải chấp nhận yêu cầu tới cổng 80 trên server đó Trong trường hợp này, tường lửa lọc gói tin chỉ kiểm tra các tiêu đề gói tin, nên không thể phân biệt giữa một trình duyệt Web vô hại và một hacker cố gắng thực hiện các thao tác thông qua trang web để truy cập vào mạng Đối với an ninh tầng cao hơn, tường lửa cần phải có khả năng phân tích dữ liệu ở những tầng đó Phần tiếp theo sẽ miêu
tả loại thiết bị này
Server ủy nhiệm
Một phương pháp tăng cường an ninh tầng Mạng và tầng Giao vận dùng tường lửa là kết hợp tường lửa lọc gói tin và dịch vụ ủy nhiệm Dịch vụ ủy nhiệm (proxy service)
là một phần mềm ứng dụng chạy trên một host mạng, đóng vai trò trung gian giữa mạng bên ngoài và mạng nội bộ, thẩm định tất cả lưu lượng vào và ra Các host mạng chạy dịch vụ ủy nhiệm được gọi là server ủy nhiệm (Một server ủy nhiệm có thể
được gọi là gateway tầng Ứng dụng - Application layer gateway, hay Gateway Ứng dụng - application gateway hay chỉ đơn giản là proxy) Server ủy nhiệm quản
lý an ninh ở tầng Ứng dụng của mô hình OSI Để hiểu cách nó làm việc, giả sử rằng các dữ liệu bảo mật trên server là Chủ tịch nước và server ủy nhiệm là Bộ trưởng bộ
Trang 21Mặc dù một server ủy nhiệm xuất hiện với thế giới bên ngoài như một server mạng nội bộ, trong thực tế nó chỉ là một thiết bị lọc của mạng LAN nội bộ Một trong những chức năng quan trọng nhất của nó là ngăn mạng bên ngoài phát hiện các địa chỉ của mạng nội bộ Ví dụ, giả sử mạng LAN của bạn sử dụng một server ủy nhiệm và bạn muốn gửi một e-mail từ máy trạm của mình tới mẹ bạn qua Internet Đầu tiên tin nhắn sẽ đi đến server ủy nhiệm (phụ thuộc vào cấu hình mạng, đầu tiên bạn có thể phải hoặc không phải đăng nhập riêng vào server ủy nhiệm) Server ủy nhiệm
sẽ đóng gói lại các khung dữ liệu mà tạo nên tin nhắn của bạn, như vậy không phải địa chỉ IP máy trạm của bạn là địa chỉ nguồn, server ủy nhiệm chèn địa chỉ IP của nó làm địa chỉ nguồn Tiếp theo, server ủy nhiệm chuyển dữ liệu đã được đóng gói đến tường lửa lọc gói tin Tường lửa xác nhận rằng địa chỉ IP nguồn trong gói tin là hợp
lệ (rằng nó đến từ server ủy nhiệm), và sau đó gửi tin nhắn của bạn đến Internet Vài
ví dụ về các phần mềm server ủy nhiệm bao gồm Squid (sử dụng trên các hệ điều hành UNIX hay Linux) và Microsoft’s Forefront Threat Management Gateway, các phần mềm này có cả chức năng tường lửa Hình 4-5 minh họa cách một server ủy nhiệm được sử dụng trong một thiết kế mạng WAN
Mạng LAN nội bộ
Server
ủy nhiệm
Tường lửa lọc gói tin
Thông thường, chức năng của tường lửa và server ủy nhiệm được tích hợp trên một thiết bị Nói cách khác, bạn có thể mua một tường lửa và cấu hình nó để nó không chỉ chặn một số loại lưu lượng truy cập vào mạng của bạn mà còn thay đổi địa chỉ các gói tin đi ra từ mạng của bạn
Trang 22về mạng bao gồm (nhưng không chỉ có vậy):
● Các host hiện có
● Các dịch vụ (bao gồm cả các ứng dụng và các phiên bản) đang chạy trên mỗi host
● Các hệ điều hành đang chạy trên mỗi host
● Các cổng mở, đóng và được lọc trên mỗi host
● Sự tồn tại của tường lửa và loại tường lửa
● Các cấu hình phần mềm
● Dữ liệu nhạy cảm và không được mã hóa
Ví dụ, một công cụ quét thường được sử dụng là NMAP (Network Mapper), phần
mềm này có thể quét các mạng lớn một cách nhanh chóng và đem lại các thông tin
về mạng và các host của mạng NMAP có thể chạy trên hầu hết các hệ điều hành
hiện nay, bạn có thể tải NMAP từ trang web www.nmap.com mà không mất tiền
Ban đầu NMAP là một công cụ quét cổng đơn giản, về sau các nhà phát triển đã mở rộng nó để có thể thu thập thông tin về các host và phần mềm của chúng Khi chạy NMAP, bạn có thể chọn các thông tin muốn khám phá, từ đó hiệu chỉnh các kết quả quét của bạn
Một công cụ khác là Nessus của Tenable Security, có thể thực hiện quét phức tạp
hơn so với NMAP Ví dụ ngoài các thông tin trên, Nessus có thể xác định được các
dữ liệu nhạy cảm, không được mã hóa như số thẻ tín dụng được lưu trên các host trong mạng của bạn Chương trình phải trả tiền để chạy trên mạng của bạn hay chạy các server chuyên dụng Phần mềm này liên tục được các nhà phát triển bảo trì và cập nhật Vì tính toàn diện của chương trình và công dụng tìm ra các lỗi bảo mật, Nessus và các tiện ích khác giống như vậy được gọi là các công cụ kiểm thử chuyên sâu Một công cụ kiểm thử chuyên sâu khác là metasploit, công cụ này kết hợp các
kỹ thuật quét và khai thác đã biết để đưa ra các kết hợp mới của các khai thác
Sử dụng các công cụ quét mạng của bạn làm tăng độ an toàn của mạng bằng cách chỉ
ra các cổng không an toàn, phần mềm cần vá lỗi, các quyền cần phải hạn chế, v.v… Các công cụ này còn có thể góp phần đánh giá dữ liệu, quản lý thiết bị, lập báo cáo kiểm tra Nếu các công cụ này bị các hacker, hay tương tự thế là các bot sử dụng sẽ gây ra những hậu quả nghiêm trọng Nói cách khác, mỗi một công cụ này có thể sử dụng hợp pháp hoặc bất hợp pháp Tuy nhiên, ngay cả khi các công cụ quét được sử dụng để xâm nhập vào mạng của bạn, bạn vẫn có thể học được từ chúng Ví dụ, một tường lửa được cấu hình đúng sẽ thu thập các thông tin về việc quét các mục trong nhật ký của nó Bằng cách xem lại nhật ký này, bạn có thể thấy loại phần mềm khai thác nào đã hoặc đang cố gắng xâm nhập vào mạng của bạn Một cách khác để tìm hiểu thêm về hacker là chủ động dụ họ đến mạng của bạn, sẽ được trình bày ngay sau đây
Trang 23Bẫy nhử
Hacker là những người luôn đi trước một bước và không ngừng phát triển, đòi hỏi ta phải luôn cảnh giác Nếu bạn muốn tìm hiểu thêm về kỹ thuật lấy tin của hacker hoặc tóm cổ một hacker đang hoạt động thì bạn nên tạo ra một honeypot hoặc thiết kế
một hệ thống cố tình tạo ra lỗ hổng cho hacker khai thác Để làm cho nó hấp dẫn đối với hacker, hệ thống có thể được đặt một cái tên hấp dẫn, chẳng hạn như một thiết
bị trong đó có tên cho thấy vai trò của nó là một server hoặc một server lưu trữ dữ liệu bí mật Khi hacker xâm nhập vào honeypot, quản trị mạng có thể sử dụng một phần mềm theo dõi hoặc các nhật ký truy cập để lần theo dấu vết của hacker Với cách này, quản trị mạng có thể biết thêm về các lỗ hổng cần phải được giải quyết trong mạng thật
Để lừa hacker và lấy được các thông tin quan trọng, honeypot không nên để quá nhiều
lỗ hổng quá rõ ràng và việc theo dõi cần phải được giấu kỹ Thêm vào đó, honeypot phải được tách biệt với hệ thống bảo mật để tránh hacker biết được và sử dụng nó như một host trung gian để thực hiện các cuộc tấn công khác Để trở nên phức tạp hơn, vài honeypot có thể nối với nhau để tạo ra một honeynet Hệ thống mồi nhử có
thể đem lại các thông tin hữu ích về hành vi của hacker Nhưng trong thực tế, các nhà nghiên cứu bảo mật hay những người thích tìm hiểu về hacker có nhiều khả năng hơn
so với các quản trị mạng khi thiết lập và theo dõi các honeypot và honeynet
An toàn và bảo mật cho hệ điều hành mạng
Dù mạng của bạn hoạt động trên bất cứ hệ điều hành mạng nào như Microsoft, Macintosh, Linux, hay UNIX, bạn có thể cài đặt bảo mật cơ bản bằng cách hạn chế những gì người dùng được phép làm trên mạng Tất cả các quản trị mạng cần phải hiểu những tài nguyên nào trên server người dùng cần truy cập Quyền trao cho tất
cả người dùng được gọi là quyền công khai (public right), bởi vì bất cứ ai cũng có thể có chúng và thực hiện chúng mà không xảy ra bất cứ một mối đe dọa nào đối với
an ninh mạng Trong hầu hết các trường hợp, quyền công khai rất hạn chế Chúng
có thể gồm các quyền xem và chạy các chương trình từ server hay đọc, tạo, chỉnh sửa, xóa, và chạy các file trong một thư mục dữ liệu chia sẻ
Ngoài ra, các quản trị mạng cần nhóm các người dùng theo mức độ bảo mật của họ
và gán các quyền bổ sung đáp ứng nhu cầu của các nhóm này Việc tạo nhóm sẽ làm đơn giản quá trình cấp quyền cho người dùng Ví dụ, nếu bạn làm việc trong Phòng
IT của một trường đại học lớn, có thể bạn sẽ cần nhiều người để tạo các ID và mật khẩu người dùng mới cho sinh viên và giảng viên Đương nhiên, các nhân viên phụ trách việc tạo ra ID và mật khẩu người dùng mới phải được cấp quyền để thực hiện nhiệm vụ này Bạn có thể gán các quyền phù hợp cho từng nhân viên riêng lẻ, nhưng một cách thực hiện hiệu quả hơn là đặt tất cả các nhân viên vào một nhóm sau đó thiết lập quyền cho toàn bộ nhóm đó
Hạn chế đăng nhập
Ngoài việc hạn chế người dùng truy cập vào các file và thư mục trên server, quản trị mạng có thể hạn chế cách thức mà người dùng có thể truy cập vào server và tài nguyên của server Sau đây là danh sách các hạn chế bổ sung mà các quản trị mạng
có thể sử dụng để tăng cường an toàn bảo mật cho mạng của họ:
Trang 24● Thời gian trong ngày - Một số tài khoản người dùng chỉ có hiệu lực trong
khoảng thời gian nhất định - ví dụ, từ 8:00 sáng đến 5:00 chiều Xác định thời gian hiệu lực cho một tài khoản có thể tăng cường an toàn bảo mật bằng cách ngăn chặn các tài khoản bị sử dụng trái phép ngoài khoảng thời gian đó
● Tổng thời gian đăng nhập - Một số tài khoản người dùng có thể bị giới hạn số
giờ đăng nhập mỗi ngày Việc hạn chế tổng số giờ theo cách này có thể tăng cường bảo mật trong trường hợp các tài khoản người dùng tạm thời Ví dụ, giả sử tổ chức của bạn có một lớp đào tạo Adobe Photoshop cho một nhóm học sinh trung học vào một buổi chiều, chương trình Photoshop và các file bài giảng nằm trên server của nhân viên Bạn có thể tạo các tài khoản chỉ cho phép đăng nhập bốn giờ trong ngày hôm đó
● Địa chỉ nguồn - Bạn có thể xác định các tài khoản người dùng có thể đăng
nhập vào từ các máy trạm hoặc một số khu vực nhất định của mạng (các miền hoặc các phân đoạn) Việc hạn chế này có thể ngăn chặn việc sử dụng trái phép tên người dùng từ các máy trạm ngoài mạng
● Số lần đăng nhập không thành công – Các hacker có thể liên tục cố gắng
đăng nhập vào với một tên người dùng hợp lệ mà họ không biết mật khẩu
Là quản trị mạng, bạn có thể thiết lập giới hạn số lần đăng nhập không thành công liên tiếp cho một ID người dùng được server cho phép trước khi chặn
ID này không cho thử đăng nhập vào nữa
Một kỹ thuật bảo mật khác có thể được thực thi bởi một quản trị mạng thông qua hệ điều hành mạng NOS là việc lựa chọn mật khẩu an toàn Phần dưới đây thảo luận
về tầm quan trọng và đặc điểm của việc lựa chọn một mật khẩu an toàn
Mật khẩu
Lựa chọn một mật khẩu an toàn là một trong những cách dễ nhất và ít tốn kém nhất
để bảo vệ chống truy cập trái phép Không may là quá nhiều người thích sử dụng một mật khẩu dễ nhớ Nếu mật khẩu của bạn là rõ ràng đối với bạn thì nó cũng có thể dễ dàng bị một hacker tìm ra Các hướng dẫn sau đây về lựa chọn mật khẩu nên là một phần trong chính sách an ninh của công ty bạn Điều này đặc biệt quan trọng với các quản trị mạng để chọn các mật khẩu khó, giữ kín mật khẩu và thay đổi chúng thường xuyên
Lời khuyên cho việc tạo và duy trì mật khẩu an toàn như sau:
● Luôn thay đổi mật khẩu mặc định của hệ thống sau khi cài đặt các chương trình hoặc thiết bị mới Ví dụ, sau khi cài đặt một router, mật khẩu quản trị mặc định của các router được thiết lập bởi các nhà sản xuất là “password”
● Không sử dụng thông tin quen thuộc chẳng hạn như tên bạn, tên hiệu name), ngày tháng năm sinh, ngày kỷ niệm, tên con vật cưng, tên con, tên chồng (hoặc vợ) bạn, ID người sử dụng, số điện thoại, địa chỉ, hoặc bất kỳ từ hoặc số nào người khác có thể liên hệ tới bạn
(nick-● Không sử dụng bất kỳ từ nào có thể xuất hiện trong từ điển Hacker có thể sử dụng các chương trình kết hợp ID người dùng của bạn và các từ trong một
từ điển để được truy cập vào mạng Kiểu tấn công này được gọi là tấn công
từ điển (dictionary attack), nó thường là kỹ thuật đầu tiên hacker sử dụng
khi cố gắng đoán mật khẩu (bên cạnh việc hỏi người dùng mật khẩu của họ)
● Tạo một mật khẩu dài hơn tám ký tự, càng dài càng tốt Kết hợp các chữ cái
và chữ số, thêm các ký tự đặc biệt như dấu chấm than hoặc dấu gạch ngang
Trang 25nếu có thể Ngoài ra, nếu mật khẩu là trường hợp nhạy cảm, bạn nên kết hợp
sử dụng các chữ hoa và chữ thường
● Không ghi lại mật khẩu của bạn hoặc chia sẻ nó với những người khác
● Thay đổi mật khẩu ít nhất 60 ngày một lần hoặc thường xuyên hơn Nếu bạn
là quản trị mạng, thiết lập điều khiển thông qua các hệ điều hành mạng để buộc người dùng phải thay đổi mật khẩu của mình sau ít nhất 60 ngày Nếu bạn được cấp quyền truy cập vào các dữ liệu nhạy cảm, thậm chí bạn nên thay đổi mật khẩu thường xuyên hơn
● Không sử dụng lại một mật khẩu sau khi nó hết hạn
● Sử dụng mật khẩu khác nhau cho các ứng dụng khác nhau Ví dụ, chọn mật khẩu riêng cho các chương trình thư điện tử, ngân hàng trực tuyến, kết nối VPN, Với cách này, nếu một người nào đó biết một trong những mật khẩu của bạn, người đó không thể truy cập tất cả các tài khoản bảo mật khác của bạn
Các hướng dẫn về mật khẩu nên được truyền đạt rõ ràng cho tất cả mọi người trong
tổ chức thông qua chính sách an ninh Mặc dù người dùng có thể không thoải mái vì việc phải đặt mật khẩu kết hợp cả chữ và số, hay việc phải thay đổi mật khẩu thường xuyên, bạn có thể đảm bảo với họ rằng điều này sẽ giữ cho dữ liệu tài chính và nhân
sự của công ty được an toàn hơn
Mã hóa
Mã hóa (encryption) là việc sử dụng một thuật toán để đưa dữ liệu sang một định
dạng mà chỉ có thể đọc bằng cách thực hiện thuật toán đảo ngược – hay còn gọi là giải mã dữ liệu Mục đích của mã hóa là để giữ kín thông tin Nhiều loại mã hóa tồn tại với mức độ an toàn khác nhau Các loại mã hóa được phát triển thì các cách bẻ
mã cũng xuất hiện
Mã hóa là phương tiện phòng tránh cuối cùng chống lại hành vi trộm cắp dữ liệu Nói cách khác, nếu một kẻ xâm nhập đã đi qua tất cả các phương pháp bảo vệ truy cập, bao gồm cả bảo vệ dưới dạng vật lý (ví dụ, anh ta đã đột nhập vào trung tâm
dữ liệu) và bảo vệ dạng thiết kế mạng (ví dụ, anh ta đã chui qua kỹ thuật lọc gói tin của tường lửa) dữ liệu vẫn có thể an toàn nếu nó được mã hóa Mã hóa có thể bảo
vệ dữ liệu được lưu trữ trên một phương tiện như một ổ đĩa cứng, hay việc truyền tin qua một kênh thông tin Để bảo vệ dữ liệu, mã hóa đưa ra các bảo đảm sau đây:
● Dữ liệu không bị thay đổi sau khi người gửi truyền nó và trước khi người nhận nhận được nó
● Dữ liệu chỉ có thể xem được bởi đúng người nhận (hoặc đúng nơi nhận)
● Tất cả các dữ liệu nhận được tại đúng nơi nhận là thực sự do người gửi gửi
đi và không thể bị kẻ thâm nhập giả mạo
Phần dưới đây mô tả các kỹ thuật mã hóa dữ liệu sử dụng để bảo vệ dữ liệu được lưu trữ hoặc truyền qua mạng
Mã hóa sử dụng khóa
Loại thuật toán mã hóa phổ biến nhất là sử dụng một khóa (key), hay một chuỗi các
ký tự ngẫu nhiên để mã hóa các bit của dữ liệu gốc - đôi khi điều này được thực hiện
Trang 26vài lần theo trình tự khác nhau - để tạo ra một khối dữ liệu duy nhất Khối dữ liệu thu được được gọi là bản mã (ciphertext) Khóa càng dài thì bản mã càng khó bị giải
mã bởi một hệ thống trái phép Ví dụ, một khóa 128 bit có đến 2128 tổ hợp ký tự khác nhau, trong khi một khóa 16 bit có thể cho phép 216 tổ hợp ký tự Hacker có thể phá
mã khóa bằng cách sử dụng phương thức tấn công vét cạn (brute force attack),
nghĩa là hacker thử tất cả các tổ hợp ký tự có thể có để tìm khóa giải mã dữ liệu Thông thường, để thực hiện cách tấn công này, hacker sẽ dùng một chương trình phần mềm Sử dụng tấn công vét cạn, hacker có thể dễ dàng phát hiện khóa 16 bit
mà không cần phải dùng đến các máy tính có cấu hình mạnh, tuy nhiên, với khóa
128 bit việc tìm mã khóa sẽ khó khăn hơn rất nhiều
Thêm một bit vào khóa thì ta đã tăng độ khó khi giải mã lên gấp hai lần (21) Ví dụ, một khóa 129 bit khó phá gấp đôi so với một khóa 128 bit Tương tự, một khóa 130 bit sẽ khó phá gấp 4 lần (22) so với so với khóa 128 bit
Quá trình mã hóa bằng khóa giống như bạn chơi bài, bạn có năm lá bài, cho năm lá bài đó vào một cỗ bài sau đó tráo nhiều lần Sau khi tráo, bạn sẽ phải mất một thời gian để lấy lại các lá bài đó Nếu bạn trộn năm lá bài với bốn cỗ bài, việc lấy lại các lá bài sẽ khó khăn hơn Trong mã hóa, về mặt lý thuyết chỉ có người dùng hoặc chương trình có quyền nhận dữ liệu biết cách giải bản mã và dịch các dữ liệu theo thứ tự ban đầu của nó Hình 4-6 minh họa đơn giản về mã hóa và giải mã sử dụng khóa Lưu ý rằng mã hóa bằng khóa thực tế không chỉ đơn giản chỉ là đan xen một lần khóa vào
dữ liệu mà còn có thể là chèn một bản sao của khóa đã trộn vào dữ liệu đã trộn, trộn lại dữ liệu một lần nữa, cứ như vậy lặp lại một số lần
Bên gửi Dữ liệu: CHUC_MUNG_SINH_NHAT
CHUC_MUNG_SINH_NHAT
Dữ liệu
Bản mã Khóa
Khóa Bên nhận
Hình 4-6 Mã hóa và giải mã bằng khóa
© Cengage Learning 2013
Khi cần các khóa được tạo ngẫu nhiên bằng các phần mềm quản lý mã hóa Ví dụ, một chương trình e-mail hoặc một trình duyệt web có khả năng tạo ra các khóa của riêng mình để mã hóa dữ liệu Trong trường hợp khác, ta sử dụng một phần mềm
mã hóa đặc biệt để sinh các khóa Phần mềm mã hóa này kết hợp với các loại phần mềm khác chẳng hạn như các chương trình xử lý văn bản hay bảng tính để mã hóa các file dữ liệu trước khi chúng được lưu hay gửi đi
Trang 27Mã hóa bằng khóa có thể chia ra thành hai loại: mã hóa khóa riêng và mã hóa khóa công khai
Mã hóa khóa riêng Với mã hóa khóa riêng (private key encryption), dữ liệu được
mã hóa bằng một khóa đơn chỉ có bên nhận và bên gửi biết Mã hóa khóa riêng còn được gọi là mã hóa đối xứng (symmetric encryption) vì sử dụng cùng một khóa
cho cả quá trình mã hóa và giải mã
Giả sử Leon muốn gửi một bản tin bí mật đến Mia bằng mã hóa riêng Giả sử anh ta
đã có một khóa riêng Tiếp đó, anh ta phải chia sẻ khóa riêng đó với Mia như Bước 1 trong Hình 4-7 Tiếp đó, Leon chạy một chương trình mã hóa bản tin của anh ấy với khóa riêng như trong Bước 2 Sau đó Leon gửi cho Mia bản tin đã được mã hóa như Bước 3 Sau khi Mia nhận được bản tin từ Leon, cô ấy chạy một chương trình giải
mã với khóa riêng của Leon để giải mã bản tin như trong Bước 4 Cuối cùng, Mia đã
có thể đọc được bản tin ban đầu mà Leon gửi
Chia sẻ khóa riêng
Mã hóa bản tin với
bẻ gãy trong vài ngày bằng các máy tính mạnh Để bảo mật hơn, một cách thực hiện
mã hóa DES hiện đại là đan xen khóa 56 bit với dữ liệu ba lần, sử dụng hai hoặc ba khóa khác nhau Mã hóa này được gọi là Triple DES (3DES).
Một chuẩn mã hóa khóa riêng gần đây hơn là AES (Advanced Encryption Standard
- Chuẩn mã hóa tiên tiến), trong đó các khóa có thể có 128, 160, 192, hoặc 256 bit
được kết hợp với dữ liệu nhiều lần Thuật toán được sử dụng trong phiên bản phổ biến nhất của AES là Rijndael, của hai nhà phát minh người Bỉ là TS Vincent Rijmen
và TS Joan Daemen AES được xem là an toàn hơn DES và nhanh hơn nhiều so với Triple DES AES đã thay thế DES trong những trường hợp phải có mức bảo mật cao nhất như thông tin liên lạc quân sự
Trang 28Một vấn đề có thể xảy ra khi sử dụng mã hóa khóa riêng là bên gửi phải chia sẻ khóa của mình với người nhận bằng một cách nào đó Ví dụ, Leon sẽ gọi cho Mia và nói cho cô ấy biết khóa, hoặc anh ta sẽ nó cho cô ấy qua một e-mail Tuy nhiên các phương pháp này không phải là rất an toàn Để khắc phục lỗ hổng này, một phương pháp kết hợp các khóa công khai với các khóa riêng được đưa ra Phương pháp này được gọi là mã hóa khóa công khai.
Mã hóa khóa công khai Trong mã hóa khóa công khai (public key encryption), dữ
liệu được mã hóa sử dụng hai khóa: Một là khóa chỉ có người dùng biết (đây là khóa riêng) và một là khóa công khai liên qua đến người dùng Khóa công khai của người dùng có thể được lấy theo cách cũ tức là hỏi người dùng hoặc có thể lấy thông qua bên thứ ba ví dụ như một server khóa công khai Server khóa công khai (public key server) là một host có thể truy cập chung (như một server trên Internet) Server
này cung cấp một danh sách các khóa công khai của người dùng giống như một quyển sổ điện thoại trong đó liệt kê hết tất cả số điện thoại của mọi người
Hình 4-8 Minh họa quá trình mã hóa khóa công khai
Tạo khóa công khai
Khóa riêng
Khóa riêng
Khóa công khai
Khóa công khai
Khóa công khai
Khóa công khai
Lưu trữ khóa công khai
Trang 29lấy khóa công khai như Bước 3 Tiếp theo, Mia viết cho Leon một tin nhắn, lấy khóa công khai của Leon trên server, sử dụng phần mềm mã hóa để mã hóa tin nhắn với khóa công khai của Leon như Bước 5 Khi Leon nhận tin nhắn, phần mềm của anh
ta sẽ nhận diện rằng tin nhắn đó đã được mã hóa với khóa công khai Nói cách khác, khóa công khai có mối liên hệ tới khóa riêng Tin nhắn đã được mã hóa bằng khóa công khai của Leon chỉ có thể được giải mã bằng khóa riêng của anh ấy Chương trình sẽ sử dụng khóa riêng của Leon để giải mã tin nhắn như trong Bước 6 Để trả lời Mia bằng tin nhắn đã được mã hóa công khai, Leon phải có được khóa công khai của Mia Sau đó, các bước được mô tả trong Hình 4-8 được lặp lại, với Leon và Mia đổi vai trò cho nhau
Tổ hợp khóa công khai và khóa riêng còn được gọi là cặp khóa (key pair) Trong ví
dụ mã hóa được thảo luận trước đó, Leon có một cặp khóa, nhưng chỉ có anh ấy biết được khóa riêng, trong khi khóa công khai thì mọi người đều biết (giống như Mia, người muốn gửi tin nhắn đã mã hóa cho anh ấy) Bởi vì kỹ thuật mã hóa khóa công khai yêu cầu phải sử dụng hai khóa khác nhau, nó còn được biết đến với tên gọi mã hóa bất đối xứng (asymmetric encryption).
Do tính chất bán công khai, khóa công khai dễ bị tấn công hơn khóa riêng, và vì thế thuật toán mã hóa khóa công khai thường sử dụng khóa dài hơn Thuật toán mã hóa khóa công khai, hay mã hóa bất đối xúng đầu tiên, được gọi là Diffie-Hellman,
được phát hành vào năm 1975 bởi các tác giả Whitfield Diffie và Martin Hellman Tuy nhiên, thuật toán mã hóa khóa công khai thông dụng nhất ngày nay là RSA (được
đặt theo tên của các tác giả, Ronald Rivest, Adi Shamir và Leonard Adleman) được đưa ra công chúng năm 1977 Trong RSA, một khóa được tạo ra bằng cách chọn ra hai số nguyên tố (số không thể chia hết cho các số khác ngoài 1 và chính nó) lớn và sau đó nhân chúng với nhau RSA được sử dụng thường xuyên để bảo mật các giao dịch thương mại điện tử RSA có thể được sử dụng cùng với RC4, một kỹ thuật mã
hóa khóa trong đó khóa với dữ liệu được đan xen vào nhau nhiều lần, giống như một máy tính phát đi một luồng dữ liệu Khóa RC4 có thể dài đến 2048 bit Ngoài việc có
độ an toàn cao, RC4 còn có tốc độ nhanh
Với rất nhiều các khóa riêng và khóa công khai, chưa tính tới số lượng các vị trí
mà mỗi khóa được lưu giữ, người dùng cần một cách quản lý khóa dễ dàng hơn Một giải pháp cho vấn đề này là sử dụng chứng thư số Một chứng thư số (digital certificate) là những thông tin nhận diện cá nhân được mã hóa và có mật khẩu bảo
vệ, bao gồm khóa công khai Trong chứng thư số, khóa công khai của từng cá nhân xác thực chữ ký số của người gửi Một tổ chức phát hành và quản lý chứng thư số được gọi là nhà cung cấp chứng thư số (CA - certificate authority) Ví dụ, trên
mạng Internet, nhà cung cấp chứng thư số như VeriSign sẽ thu phí và lưu giữ chứng thư số của bạn trên server của họ, và đảm bảo rằng tất cả những người muốn gửi tin nhắn mã hóa cho bạn (ví dụ như, một đơn đặt hàng thông qua trang thương mại điện tử của bạn) đúng là dành cho bạn Việc dùng các nhà cung cấp chứng thư số
để liên kết khóa công khai với người dùng xác định được được gọi là hạ tầng khóa công khai (PKI - public key infrastructure).
Các phần tiếp theo sẽ chỉ ra chi tiết các phương pháp cụ thể để mã hóa dữ liệu và truyền chúng trong mạng Các phương pháp này sử dụng một hoặc nhiều thuật toán
mã hóa được thảo luận ở phần này
Trang 30Chương trình PGP (Pretty Good Privacy)
Chắc rằng bạn đã từng gửi e-mail thông qua mạng Internet mà không hề quan tâm lắm đến chuyện việc gì xảy ra với tin nhắn đã gửi đi trong khoảng thời gian từ lúc bạn gửi nó đến khi người bạn muốn gửi đến nhận được nó Hơn nữa, có thể bạn cũng
đã từng đọc e-mail từ bạn bè mà không hề có suy nghĩ rằng nó có thể không phải
được gửi từ người bạn của bạn, mà được gửi từ một ai đó đang giả mạo anh ấy trên Internet Trên thực thế, một số giao tiếp qua email là rất không an toàn Phụ thuộc vào mail server và client, các tin nhắn có thể được gửi đi mà không hề được mã hóa, điều đó khiến nó có thể được đọc bởi bất kỳ người nào có khả năng thu được tin nhắn trên đường truyền đến người nhận Thêm vào đó, một người dùng với ý định gây hại có thể dễ dàng giả mạo anh ta là một người khác Ví dụ, nếu địa chỉ email của bạn là joe@example.com , một người khác có thể giả mạo địa chỉ email của bạn
và gửi tin nhắn, giống như được gửi từ joe@example.com
Để bảo mật việc gửi email, một nhà khoa học máy tính tên là Phil Zimmerman phát triển chương trình PGP đầu những năm 1990 Chương trình PGP (Pretty Good Privacy) là một hệ thống mã hóa khóa công khai, có thể xác nhận việc xác thực
người gửi email và mã hóa dữ liệu email trong quá trình truyền tải PGP hiện nay đang được quản lý tại MIT, và có thể được sử dụng miễn phí cả trong các gói phần mềm mã nguồn mở và thương mại Kể từ khi phát hành, nó đã trở thành công cụ phổ biến nhất để mã hóa e-mail Tuy nhiên, PGP có thể được sử dụng để mã hóa
dữ liệu trong các thiết bị lưu trữ (ví dụ, một ổ cứng) hoặc một ứng dụng khác không phải email (ví dụ, điện thoại IP - IP telephony)
SSL
SSL (Secure Sockets Layer - Lớp cổng bảo mật) là một phương pháp mã hóa
các quá trình truyền tin TCP/IP – bao gồm các trang web và dữ liệu được nhập vào Web form - trên đường đi giữa client và server sử dụng kỹ thuật mã hóa khóa công khai Ví dụ, nếu bạn mua bán chứng khoán hoặc mua hàng trên mạng, bạn gần như
sử dụng SSL để truyền thông tin về đơn hàng của bạn SSL rất phổ biến và được sử dụng rộng rãi Các phiên bản mới nhất của các trình duyệt, như Google Chrome và Firefox cũng đã hỗ trợ SSL
Bạn có thể đã để ý rằng, đường dẫn đến hầu hết các trang web đều bắt đầu bằng HTTP biểu thị rằng yêu cầu này được xử lý bằng giao thức HTTP thông qua cổng
80 trong TCP/IP Khi đường dẫn của trang web bắt đầu bằng HTTPS (viết tắt của từ
tiếng Anh HTTP over Secure Sockets Layer hoặc HTTP Secure), nó sẽ yêu cầu dữ
liệu được truyền từ server tới client và ngược lại phải sử dụng mã hóa SSL HTTPS
sử dụng cổng 443 của giao thức TCP thay vì cổng 80
Mỗi lần một máy client và server thiết lập một kết nối SSL, chúng cũng sẽ thiết lập
phiên làm việc SSL (SSL session) riêng, hoặc một kết nối giữa client và server
được được xác định bởi một thỏa thuận về một tập các kỹ thuật mã hóa xác định Một phiên làm việc SSL cho phép client và server liên tục trao đổi dữ liệu một cách
an toàn với nhau miễn là client vẫn kết nối với server Một phiên giao dịch được tạo
ra bởi giao thức bắt tay SSL (một trong một số các giao thức bên trong SSL), và
có lẽ là cũng là giao thức quan trọng nhất Như tên gọi của nó, giao thức bắt tay (handshake protocol) cho phép client và server tự giới thiệu với nhau và thiết lập
Trang 31các điều khoản cho việc trao đổi dữ liệu một cách an toàn Ví dụ, khi bạn đang có kết nối Internet và quyết định truy cập vào liên kết tới trang tài khoản ngân hàng của bạn, trình duyệt của bạn khởi tạo một kết nối SSL sử dụng giao thức bắt tay Giao thức bắt tay gửi một thông điệp đặc biệt tới server, được gọi là một thông điệp lời chào client (client_hello), trong đó có thông tin về mức độ bảo mật trình duyệt của bạn có khả
năng chấp nhận và loại mã hóa trình duyệt của bạn có thể giải mã (ví dụ, RSA hoặc Diffie-Hellman) Thông điệp lời chào client cũng thiết lập một số được sinh ngẫu nhiên
để xác định duy nhất máy client của bạn và một số khác để xác định phiên làm việc SSL Máy server trả lời với một thông điệp xác nhận server (server_hello), trong
đó xác nhận các thông tin nhận được từ máy client của bạn và đồng ý với các điều khoản nhất định về mã hóa dựa trên các tùy chọn máy client của bạn cung cấp Tùy thuộc vào phương pháp mã hóa ưu tiên của Web server, lúc này server có thể chọn
để gửi cho trình duyệt của bạn một khóa công khai hoặc một chứng thư số Sau khi client và server đã đồng ý về các điều khoản mã hóa, chúng bắt đầu trao đổi dữ liệu.SSL ban đầu được phát triển bởi Netscape Kể từ đó, IETF đã cố gắng để chuẩn hóa SSL trong một giao thức gọi là TLS (Transport Layer Security - Giao thức bảo mật tầng Giao vận) Giao thức TLS, được hỗ trợ bởi các trình duyệt web hiện đại,
sử dụng các thuật toán mã hóa hơi khác so với SSL, nhưng còn lại thì rất giống với phiên bản mới nhất của SSL
SSH (Secure Shell – Shell bảo mật)
Trước đó trong cuốn sách này, bạn đã học về Telnet, một tiện ích TCP/IP cung cấp các kết nối từ xa đến server Ví dụ, nếu bạn là một quản trị mạng làm việc tại một trong những văn phòng vệ tinh của công ty và phải thay đổi cấu hình trên một router tại văn phòng chính, bạn có thể telnet đến router và chạy các lệnh để thay đổi cấu hình của nó Tuy nhiên, telnet cung cấp bảo mật kém cho việc thiết lập một kết nối (xác thực) và không bảo mật để truyền dữ liệu (mã hóa) SSH (Secure Shell) là một
tập các giao thức để làm cả hai việc này Với SSH , bạn có thể đăng nhập an toàn vào một server, thực hiện lệnh trên server đó, và sao chép các file đến hoặc từ máy
đó SSH mã hóa dữ liệu trao đổi trong suốt phiên giao dịch Nó bảo vệ chống lại một
số mối đe dọa an ninh, bao gồm việc truy cập trái phép vào server, giả mạo IP, chặn các dữ liệu trong quá trình truyền (ngay cả khi dữ liệu phải được chuyển qua các host trung gian), và giả mạo DNS (DNS spoofing), trong đó một hacker giả mạo các
bản ghi name server để làm sai lệch định danh của host Tùy theo phiên bản, SSH
có thể sử dụng thuật toán DES, 3DES, RSA, Kerberos, hoặc các thuật toán, phương pháp mã hóa ít phổ biến hơn
SSH được phát triển bởi công ty An ninh truyền thông SSH (tên tiếng Anh là SSH Communications Security), và để được sử dụng phiên bản này, chúng ta phải trả tiền bản quyền Tuy nhiên, phiên bản mã nguồn mở của bộ giao thức, chẳng hạn như OpenSSH,
có thể được sử dụng cho hầu hết các nền tảng máy tính Để thiết lập một kết nối an toàn, SSH phải được chạy trên cả máy client và server Giống như Telnet, tiện ích SSH trên client là một tiện ích có thể chạy thông qua cửa sổ shell trên hệ thống UNIX hay Linux hoặc cửa sổ dòng lệnh trên các máy Windows Các phiên bản khác của chương trình có giao diện đồ họa Bộ giao thức SSH được cài sẵn trong tất cả các phiên bản hiện tại của
hệ điều hành UNIX, Linux, Mac OS X Server và Mac OS X Với các máy tính Windows, bạn cần phải tải về một tiện ích SSH client miễn phí, chẳng hạn như PuTTY
Trang 32Trước khi có thể thiết lập một kết nối SSH an toàn, trước tiên bạn phải tạo ra một khóa công khai và một khóa riêng trên máy client bằng cách chạy lệnh ssh keygen (hoặc lựa chọn các tùy chọn thích hợp trong một chương trình SSH có giao diện đồ họa) Các khóa được lưu trong hai file được mã hóa khác nhau, lưu trên ổ cứng của bạn Sau đó, bạn phải chuyển khóa công khai lên một file ủy quyền trên các host mà bạn muốn kết nối Cuối cùng, bạn đã sẵn sàng để kết nối với host thông qua SSH Trên một máy tính chạy UNIX hoặc Linux, việc này được thực hiện bằng cách chạy lệnh slogin -l username hostname, trong đó username là tên đăng nhập của
client và hostname là tên của máy mà bạn đang muốn kết nối Máy client và host
sau đó trao đổi khóa công khai, và nếu cả hai có thể được xác thực, kết nối được hoàn tất Trên một máy tính Windows, hãy làm theo các tùy chọn trên menu trong ứng dụng SSH client
SSH có thể được cấu hình rất linh hoạt Ví dụ, nó có thể được cấu hình để sử dụng một trong vài loại mã hóa dữ liệu khác nhau, hoặc để yêu cầu người dùng nhập mật khẩu, cùng với khóa Nó cũng có thể được cấu hình để thực hiện chuyển tiếp cổng (port forwarding), có nghĩa là có thể chuyển hướng lưu lượng truy cập mà thông
thường sẽ sử dụng một cổng không bảo mật (như FTP) tới một cổng SSH bảo mật Điều này cho phép bạn sử dụng SSH để làm nhiều việc hơn là chỉ đơn giản đăng nhập vào một server và thao tác trên các file Ví dụ, với chuyển tiếp cổng bạn có thể trao đổi lưu lượng HTTP với một web server thông qua một kết nối SSH bảo mật
SCP (Secure CoPy - Sao chép an toàn) và SFTP (Secure File Transfer Protocol - Giao thức truyền file an toàn)
Một phần mở rộng của OpenSSH là tiện ích sao chép an toàn SCP (Secure Copy),
cho phép bạn sao chép file từ một máy đến một máy khác một cách an toàn SCP thay thế các giao thức sao chép file không an toàn như FTP (không mã hóa tên người dùng, mật khẩu, hoặc dữ liệu trong quá trình truyền) Các gói tiện ích OpenSSH mới nhất, chẳng hạn như các gói được cung cấp cùng với hệ điều hành UNIX, Linux, và Mac OS X (phiên bản client và server), đã bao gồm các tiện ích SCP Không phải tất
cả phần mềm SSH miễn phí cho Windows hỗ trợ SCP, nhưng tồn tại các ứng dụng SCP miễn phí riêng, chẳng hạn như WinSCP
SCP rất dễ sử dụng Tại cửa sổ shell của UNIX hoặc Linux, gõ vào lệnh scp filename1
filename2, trong đó filename1 là tên của file trên máy nguồn và filename2 là
tên của file trên máy đích Giả sử bạn đang sao chép một file từ trên server xuống máy trạm của bạn Trong trường hợp đó, bạn cần phải cung cấp tên đăng nhập của bạn trên server trong câu lệnh như sau:
- Giao thức truyền file an toàn) để sao chép các file thay vì dùng SCP SFTP hơi
khác SCP, ở chỗ nó làm được nhiều hơn là sao chép file Giống FTP, SFTP đầu tiên
Trang 33thiết lập một kết nối với một host và rồi cho phép người dùng từ xa duyệt các thư mục, hiển thị danh sách file, và sao chép các file Để mở một kết nối SFTP từ hệ
thống Linux hoặc UNIX, gõ sftp hostname tại cửa sổ shell, trong đó hostname là
tên đầy đủ của máy tính bạn muốn kết nối Để sao chép một file, gõ get filename1
filename2, trong đó filename1 là tên của file trên máy tính nguồn và filename2 là
tên bạn muốn đặt cho file trên máy tính đích Để đóng một kết nối SFTP, gõ quit và
ấn Enter Trên các hệ thống Windows, làm theo các tùy chọn trên menu trong các bản SSH hoặc SFTP client để sao chép file với SFTP
Phần dưới đây mô tả một kỹ thuật khác để mã hóa dữ liệu truyền đi trên một mạng
IPSec (Internet Protocol Security - Giao thức an ninh Internet)
Giao thức IPSec định nghĩa việc mã hóa, xác thực, và quản lý khóa trong truyền
thông TCP/IP IPSec là một sự tăng cường cho IPv4 và là mặc định cho IPv6 IPSec hơi khác so với các phương pháp bảo vệ dữ liệu truyền tải khác Thay vì áp dụng mã hóa cho luồng dữ liệu, thực chất IPSec mã hóa dữ liệu bằng cách thêm thông tin bảo mật vào header của tất cả các gói tin IP Để hiệu quả, IPSec biến đổi các gói dữ liệu Để làm như vậy, IPSec hoạt động ở tầng Mạng của mô hình OSI
IPSec hoàn thành xác thực trong hai giai đoạn Giai đoạn đầu tiên là quản lý khoá,
và giai đoạn thứ hai là mã hóa Quản lý khóa (key management) đề cập đến cách
thức mà hai nút mạng thống nhất về các thông số chung cho các khóa mà chúng
sẽ sử dụng IPSec dựa vào kỹ thuật trao đổi khóa Internet - IKE (Internet Key Exchange) để đàm phán và xác thực khóa Một giao thức riêng biệt tên là ISAKMP
(Internet Security Association and Key Management Protocol - Giao thức an ninh kết nối Intenet và quản lý khóa), thiết lập các chính sách để xác minh đặc
tính và các phương pháp mã hóa mà các nút sẽ dùng cho việc trao đổi dữ liệu Sau khi IKE quản lý các khóa dùng chung và chính sách ISAKMP đã đảm bảo rằng cả hai nút mạng đều đồng ý về cách thức bảo mật truyền tải, IPSec tiếp tục giai đoạn thứ hai của nó, đó là mã hóa Trong giai đoạn này, có hai loại mã hóa có thể được sử dụng là: AH (authentication header - header xác thực) và ESP (Encapsulating Security Payload - tải an toàn đóng gói) Cả hai loại mã hóa đều cung cấp thông
tin xác thực của tải dữ liệu trong các gói tin IP thông qua kỹ thuật khóa công khai Ngoài ra, EPS mã hóa toàn bộ gói IP để tăng cường bảo mật
IPSec có thể được sử dụng với bất kỳ loại truyền dữ liệu TCP/IP nào Tuy nhiên, nó thường chạy trên router hoặc các thiết bị kết nối khác trong ngữ cảnh mạng VPN Trong một mạng có nhiều hơn một vài kết nối VPN phải được duy trì đồng thời, một thiết bị chuyên biệt được gọi là bộ tập trung VPN (VPN concentrator) có thể được
đặt ở biên của mạng riêng để thiết lập kết nối VPN, như thể hiện trong Hình 4-9 Bộ tập trung VPN xác thực máy VPN client và thiết lập các đường hầm cho các kết nối VPN Chúng hỗ trợ các giao thức đường hầm cụ thể, cơ chế xác thực, và các thuật toán mã hóa khác nhau từ những nhà sản xuất và model khác nhau Ví dụ, một số chỉ hỗ trợ IPSec hoặc SSL, trong khi một số khác hỗ trợ cả hai Một số cũng cung cấp tính năng nâng cao như lọc gói tin
Các bộ tập trung VPN là một kiểu thiết bị mã hóa Thiết bị mã hóa (encryption device) là các máy tính, hoặc thường là các bộ chuyển đổi chuyên dụng ở trong các
thiết bị khác, chẳng hạn router hoặc server, thực hiện việc mã hóa Các thiết bị mã