1. Trang chủ
  2. » Thể loại khác

Nghiên cứu và tìm hiểu về hệ thống bảo vệ trong hệ điều hành windows

35 1K 16

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 35
Dung lượng 377,5 KB

Nội dung

TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN o0o BÁO CÁO BÀI TẬP LỚN MÔN HỌC NGUYÊN LÝ HỆ ĐIỀU HÀNH Đề tài: Nghiên cứu tìm hiểu hệ thống bảo vệ hệ điều hành windows Nhóm thực hiện: Nhóm 11 Lớp: ĐH KHMT3-K9 Giáo viên: THS Nguyễn Tuấn Tú Hà Nội: Năm 2016 TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN o0o Báo cáo tập lớn môn học NGUYÊN LÝ HỆ ĐIỀU HÀNH Đề tài: Nghiên cứu tìm hiểu hệ thống bảo vệ hệ điều hành windows Giáo viên: THS Nguyễn Tuấn Tú Nhóm thực : Nhóm 11 Lớp ĐH KHMT3-K9 Sinh viên thực hiện: Nguyễn Văn Trung Nguyễn Đức Duy Phạm Tiến Đạt Nguyễn Thanh Hải Phạm Văn Sử Hà Nội: Năm 2016 MỤC LỤC I-TỔNG QUAN VỀ AN NINH MẠNG 1.Khái niệm bảo mật 2.Các hình thức tấn công mạng a.Tấn công trực tiếp b.Nghe trộm mạng .3 c.Giả mạo địa chỉ d.Vô hiệu hóa chức của hệ thống .3 e.Tấn công vào yếu tố người f.Một số kiểu tấn công khác II-Các mối đe dọa .4 1.Phishing .4 3.Trojan 4.Spyware III-Cơ chế xác thực: quản lý quyền truy và quản lý danh tính(cơ chế xác nhận người dùng) 1.Sự khác biệt Authentication Authorization 2.Network Authentication Systems 3.Storing User Credentials (Lưu trữ giấy chứng nhận người dùng) 4.Authentication Features of Windows Server 2003 LM Authentication 11 a Storing LM passwords .12 b.Vô hiệu hóa mật khẩu LM .12 c.NTLM Authentication .13 d.Các Quy trình xác thực Kerberos 14 IV-Tổng quan về firewall 16 1.Firewall là gì .16 2.Hoạt động của firewall 17 V.Sử dụng tường lửa: (FireWall) 18 1.Internet Firewall 18 2.Các Thành phần của Firewall và chế hoạt động .19 3.Những hạn chế firewall 23 4.Các ví dụ firewall 24 VI-Windows update 29 VII-User Account Control 30 1.Giới thiệu User Account Control 30 2.Nhiệm vụ kích hoạt một nhắc nhở UAC 30 3.Các tính của User Account Control .31 I-TỔNG QUAN VỀ AN NINH MẠNG 1.Khái niệm bảo mật Trong bối cảnh tiến trình hội nhập, vấn đề an ninh mạng bảo mật liệu trở nên quan tâm Khi sở hạ tầng công nghệ mạng đáp ứng tốt yêu cầu băng thông, chất lượng dịch vụ, đồng thời thực trạng công mạng ngày gia tăng vấn đề bảo mật trọng Không nhà cung cấp dịch vụ Internet, quan phủ mà doanh nghiệp, tổ chức có ý thức an toàn thông tin 2.Các hình thức tấn công mạng a.Tấn công trực tiếp Những công trực tiếp thông thường sử dụng giai đoạn đầu để chiếm quyền truy nhập hệ thống mạng bên b.Nghe trộm mạng Thông tin gửi mạng thường luân chuyển từ máy tính qua hàng loạt máy tính khác đến đích Điều đó, khiến cho thông tin ta bị kẻ khác nghe trộm Tồi tệ thế, kẻ nghe trộm thay thông tin thông tin họ tự tạo tiếp tục gửi Việc nghe trộm thường tiến hành sau hacker chiếm quyền truy nhập hệ thống kiểm soát đường truyền May mắn thay, có số cách để bảo vệ nguồn thông tin cá nhân mạng cách mã hoá nguồn thông tin trước gửi qua mạng Internet Bằng cách này, có đón thông tin thông tin vô nghĩa c.Giả mạo địa chỉ Giả mạo địa thực thông qua sử dụng khả dẫn đường trực tiếp Với cách công kẻ công gửi gói tin tới mạng khác với địa giả mạo, đồng thời rõ đường dẫn mà gói tin phải Thí dụ người giả mạo địa bạn để gửi thông tin làm ảnh hưởng xấu tới bạn d.Vô hiệu hóa chức của hệ thống Đây kiểu công làm tê liệt hệ thống, làm khả cung cấp dịch vụ(Denial of Service- DoS) không cho hệ thống thực chức mà thiết kế Kiểu công khó ngăn chặn phương tiện dùng để tổ chức công lại phương tiện dùng để làm việc truy cập thông tin mạng Một thí dụ trường hợp xảy người mạng sử dụng chương trình đẩy gói tin yêu cầu trạm Khi nhận gói tin, trạm luôn phải xử lý tiếp tục thu gói tin đến sau đệm đầy, dẫn tới tình trạng nhu cầu cung cấp dịch vụ máy khác đến trạm không phục vụ e.Tấn công vào yếu tố người Đây hình thức công nguy hiểm dẫn tới tổn thất khó lường Kẻ công liên lạc với người quản trị hệ thống thay đổi số thông tin nhằm tạo điều kiện cho phương thức công khác f.Một số kiểu tấn công khác Ngoài hình thức công kể trên, hacker sử dụng số kiểu công khác tạo virus đặt nằm tiềm ẩn file người sử dụng vô tình trao đổi thông tin qua mạng mà người sử dụng tự cài đặt lên máy Ngoài nhiều kiểu công khác mà chưa biết tới chúng đưa hacker II-Các mối đe dọa Những mối đe dọa về bảo mật 1.Phishing Phishing thủ đoạn hacker nhằm lấy thông tin cá nhân khách hàng cách dùng email giả danh tổ chức tài Cách hay tên trộm ảo sử dụng Các email tự xưng ngân hàng tổ chức hợp pháp thường gởi số lượng lớn Nó yêu cầu người nhận cung cấp thông tin nhạy cảm tên truy cập, mật khẩu, mã đăng ký số PIN cách dẫn đến đường link tới website nhìn hợp pháp, điều giúp cho tên trộm thu thập thông tin quý khách để tiến hành giao dịch bất hợp pháp sau Dưới ví dụ email lừa đảo: Nếu nhận email yêu cầu đăng ký hay nhập lại thông tin cá nhân, cần xóa chúng thông báo với phận hỗ trợ Ngân hàng điện tử ANZ nơi quý khách hạn chế nguy trở thành nạn nhân email lừa đảo cách: • Tuyệt đối không truy cập vào Ngân hàng điện tử qua link lạ gửi qua mail • Thận trọng với thông emails yêu cầu khai báo thông tin tên truy cập, mật khẩu, mã pin Email xác thực ANZ không yêu cầu chi tiết cá nhân hay đăng nhập thông tin • Ngay xóa bỏ email không rõ nguồn gốc, cho dù có vô hại hay dùng lời mời chào hấp dẫn • Thay đổi mật Ngân hàng điện tử định kỳ • Liên tục cập nhật chương trình diệt virut tường lửa quét máy tính quý khách thường xuyên 2.Virus và Worm Virut máy tính phần mềm đính kèm với chương trình khác Giống virus sinh học, phải tự bám vào chương trình khác để sinh trưởng phát triển Không giống với trojans hoạt động độc lập, virus hoạt động chương trình chứa hoạt động Trong trình hoạt động, virus tự sinh sôi lan truyền sang chương trình khác Nó công nguồn ổ đĩa nhớ hay khu vực máy tính Virus qua email hình thức virus máy tính Nó xâm nhập vào tất thư, thường xuyên nhân để phát tán virus đến tất người danh bạ Worm giống virus Nó lợi dụng máy tính nối mạng để xâm nhập vào lỗ hổng bảo mật Khi tìm thấy lỗ hổng bảo mật, xâm nhập cách nhanh chóng từ máy sang máy khác Nó có sức phá hủy tương đương với virut 3.Trojan Trojan xuất hiện để thực thi mã độc ở lớp phía sau Đây không phải là virut và có thể dễ dàng được download mà không nhận thấy chúng Remote access Trojan (RAT) là một loại trojan phổ biến điều khiển truy cập từ xa, ví dụ Back Orifice hoặc NetBus; khả của chúng cho phép kẻ tấn công có thể thực thi các quyền quản trị 4.Spyware Spyware là một phần mềm độc hại có thể được download về hoặc được cài đặt chung với một phần mềm khác Thông thường, loại malware này sẽ thu thập thông tin về người dùng Nó có thể là một đoạn code ghi lại các website mà người dùng đã truy cập hoặc ghi lại những gì mà bạn đánh bàn phím, mặt khác nó có khả thay đổi cấu hình máy tính của bạn mà không cần bất kỳ tương tác nào của người dùng III-Cơ chế xác thực: quản lý quyền truy và quản lý danh tính(cơ chế xác nhận người dùng) 1.Sự khác biệt Authentication Authorization Xác thực trình bạn xác minh người mà họ tuyên bố họ có quyền Điều thường liên quan đến tên người dùng mật khẩu, bao gồm phương thức khác chứng minh nhân dân, thẻ thông minh, quét võng mạc, nhận dạng giọng nói, dấu vân tay Xác thực là tương đương với giấy phép hiển thị các trình điều khiển của bạn tại quầy vé sân bay Ủy quyền tìm hiểu xem người xác định, phép có nguồn tài nguyên Điều thường xác định cách tìm hiểu xem người phần nhóm đặc biệt hay không Ủy quyền tương đương với việc kiểm tra danh sách khách mời bữa tiệc độc quyền, kiểm tra bạn bạn đến sân bay Trên mạng, chứng thực thường thực cách cung cấp tên người dùng mật Tên người sử dụng nhận dạng mật cung cấp cho hệ thống máy tính bảo đảm bạn thực người phép đòi truy cập (claim) Sau bạn chứng thực, máy tính đồng ý bạn người có quyền đòi truy cập Tuy nhiên, chưa biết liệu bạn phép truy cập vào tài nguyên bạn yêu cầu hay không Để uỷ quyền cho người sử dụng, hệ thống máy tính thường kiểm tra danh sách điều khiển truy cập (Access control list - ACL) Các ACL bao gồm người dùng nhóm người sử dụng, người phép truy cập vào nguồn tài nguyên 2.Network Authentication Systems Để xác thực người dùng mạng chắn người dùng người phép, người sử dụng cần cung cấp hai mẩu thông tin: identification proof of identity (bằng chứng nhận dạng danh tính) Trong hầu hết mạng, người dùng nhận diện với tên người dùng địa e-mail Tuy nhiên, cách chứng minh danh tính họ khác Theo truyền thống, mật sử dụng để chứng minh danh tính người dùng Mật hình thức bí mật chia sẻ Người dùng biết mật mình, máy chủ xác thực người sử dụng có mật lưu trữ, có số thông tin sử dụng để xác nhận mật Mật chứng minh nhận dạng danh tính bạn, chúng bạn biết.Cách khác để chứng minh nhận dạng bạn với bạn có (something you have) hay bạn có (something you are) Nhiều hệ thống máy tính đại xác thực người dùng cách đọc thông tin từ smart card Lĩnh vực sinh học làm điều cách quét phần thể vân tay, võng mạc, tính khuôn mặt Mật đoán, thẻ thông minh bị đánh cắp Một hình thức xác thực đáp ứng yêu cầu an ninh tổ chức Multifactor authentication (đa chứng thực) kết hợp hai hay nhiều phương pháp xác thực, làm giảm đáng kể khả bị công Ví dụ phổ biến MA kết hợp thẻ thông minh mật Thông thường, mật yêu cầu để lấy khóa lưu smart card Trước xác thực với hệ thống vậy, bạn phải cung cấp mật (something you know) thẻ thông minh (something you have) 3.Storing User Credentials (Lưu trữ giấy chứng nhận người dùng) Các máy chủ xác thực người dùng phải có khả xác định thông tin có giá trị Để làm điều này, máy chủ phải lưu trữ thông tin sử dụng để xác minh thông tin với người dùng Làm đâu thông tin lưu giữ định quan trọng để thực thiết kế mô hình chứng thực Lưu trữ giấy chứng thực người dùng (user credentials) gặp khó khăn làm cho kẻ công đánh cấp thông tin user password, cho dù thông tin quan trọng bị rò rỉ bên Thay đơn giản lưu trữ danh sách mật user máy chủ, trực tiếp so sánh mật cung cấp user, thường lưu trữ phiên mã hóa Hash mật người dùng Nếu kẻ công truy cập máy chủ để đánh cấp thông tin ta cần để giải mã nội dung Xác định nơi lưu trữ thông tin người dùng có hai mô hình chứng thực tập trung phân cấp Một nhiều hệ thống máy chủ kết nối với định tuyến (router) có chức router Các phần mềm quản lý an ninh chạy hệ thống máy chủ Thông thường hệ quản trị xác thực (Authentication), cấp quyền (Authorization) kế toán (Accounting) Chúng ta đề cập kỹ hoạt động hệ phần sau 2.Các Thành phần của Firewall và chế hoạt động Một Firewall chuẩn bao gồm hay nhiều thành phần sau đây: Bộ lọc packet ( packet-filtering router ) Cổng ứng dụng (application-level gateway hay proxy server ) Cổng mạch (circuite level gateway ) a) Bộ Lọc Gói Tin:  Nguyên lý: Khi nói đến việc lưu thông liệu mạng với thông qua Firewall điều có nghĩa Firewall hoạt động chặt chẽ với giao thức liên mạng TCP/IP Vì giao thức làm việc theo thuật toán chia nhỏ liệu nhận từ ứng dụng mạng, hay nói xác dịch vụ chạy giao thức (Telnet, SMTP, DNS, SMNP, NFS ) thành gói liệu (data packets) gán cho packet địa để nhận dạng, tái lập lại đích cần gửi đến, loại Firewall liên quan nhiều đến packet số địa chúng Bộ lọc packet cho phép hay từ chối packet mà nhận Nó kiểm tra toàn đoạn liệu để định xem đoạn liệu có thoả mãn số luật lệ lọc packet hay không Các luật lệ lọc packet dựa thông tin đầu packet (packet header), dùng phép truyền packet mạng Đó là: Địa IP nơi xuất phát ( IP Source address) Địa IP nơi nhận (IP Destination address) Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel) Cổng TCP/UDP nơi xuất phát (TCP/UDP source port) Cổng TCP/UDP nơi nhận (TCP/UDP destination port) 19 Dạng thông báo ICMP ( ICMP message type) giao diện packet đến ( incomming interface of packet) giao diện packet ( outcomming interface of packet) Nếu luật lệ lọc packet thoả mãn packet chuyển qua firewall Nếu không packet bị bỏ Nhờ mà Firewall ngăn cản kết nối vào máy chủ mạng xác định, khoá việc truy cập vào hệ thống mạng nội từ địa không cho phép Hơn nữa, việc kiểm soát cổng làm cho Firewall có khả cho phép số loại kết nối định vào loại máy chủ đó, có dịch vụ (Telnet, SMTP, FTP ) phép chạy hệ thống mạng cục  Ưu điểm Đa số hệ thống firewall sử dụng lọc packet Một ưu điểm phương pháp dùng lọc packet chi phí thấp chế lọc packet bao gồm phần mềm router Ngoài ra, lọc packet suốt người sử dụng ứng dụng, không yêu cầu huấn luyện đặc biệt  Hạn chế: Việc định nghĩa chế độ lọc packet việc phức tạp, đòi hỏi người quản trị mạng cần có hiểu biết chi tiết vể dịch vụ Internet, dạng packet header, giá trị cụ thể mà họ nhận trường Khi đòi hỏi vể lọc lớn, luật lệ vể lọc trở nên dài phức tạp, khó để quản lý điều khiển Do làm việc dựa header packet, rõ ràng lọc packet không kiểm soát nội dung thông tin packet Các packet chuyển qua mang theo hành động với ý đồ ăn cắp thông tin hay phá hoại kẻ xấu b) Cổng ứng dụng (application-level gateway)  Nguyên lý Đây loại Firewall thiết kế để tăng cường chức kiểm soát loại dịch vụ, giao thức cho phép truy cập vào hệ thống mạng Cơ chế hoạt động dựa cách thức gọi Proxy service (dịch vụ đại diện) Proxy service chương trình đặc biệt cài đặt gateway cho ứng dụng 20 Nếu người quản trị mạng không cài đặt chương trình proxy cho ứng dụng đó, dịch vụ tương ứng không cung cấp chuyển thông tin qua firewall Ngoài ra, proxy code định cấu hình để hỗ trợ số đặc điểm ứng dụng mà ngưòi quản trị mạng cho chấp nhận từ chối đặc điểm khác Một cổng ứng dụng thường coi pháo đài (bastion host), thiết kế đặt biệt để chống lại công từ bên Những biện pháp đảm bảo an ninh bastion host là: Bastion host chạy version an toàn (secure version) phần mềm hệ thống (Operating system) Các version an toàn thiết kế chuyên cho mục đích chống lại công vào Operating System, đảm bảo tích hợp firewall Chỉ dịch vụ mà người quản trị mạng cho cần thiết cài đặt bastion host, đơn giản dịch vụ không cài đặt, bị công Thông thường, số giới hạn ứng dụng cho dịch vụ Telnet, DNS, FTP, SMTP xác thực user cài đặt bastion host Bastion host yêu cầu nhiều mức độ xác thực khác nhau, ví dụ user password hay smart card Mỗi proxy đặt cấu hình phép truy nhập sồ máy chủ định Điều có nghĩa lệnh đặc điểm thiết lập cho proxy với số máy chủ toàn hệ thống Mỗi proxy trì nhật ký ghi chép lại toàn chi tiết giao thông qua nó, kết nối, khoảng thời gian kết nối Nhật ký có ích việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại Mỗi proxy độc lập với proxies khác bastion host Điều cho phép dễ dàng trình cài đặt proxy mới, hay tháo gỡ môt proxy có vấn để Ví dụ: Telnet Proxy Ví dụ người (gọi outside client) muốn sử dụng dịch vụ TELNET để kết nối vào hệ thống mạng qua môt bastion host có Telnet proxy Quá trình xảy sau: Outside client telnets đến bastion host Bastion host kiểm tra password, hợp lệ 21 outside client phép vào giao diện Telnet proxy Telnet proxy cho phép tập nhỏ lệnh Telnet, định máy chủ nội outside client phép truy nhập Outside client máy chủ đích Telnet proxy tạo kết nối riêng tới máy chủ bên trong, chuyển lệnh tới máy chủ uỷ quyền outside client Outside client tin Telnet proxy máy chủ thật bên trong, máy chủ bên tin Telnet proxy client thật  Ưu điểm: Cho phép người quản trị mạng hoàn toàn điều khiển dịch vụ mạng, ứng dụng proxy hạn chế lệnh định máy chủ truy nhập dịch vụ Cho phép người quản trị mạng hoàn toàn điều khiển dịch vụ cho phép, vắng mặt proxy cho dịch vụ tương ứng có nghĩa dịch vụ bị khoá Cổng ứng dụng cho phép kiểm tra độ xác thực tốt, có nhật ký ghi chép lại thông tin truy nhập hệ thống Luật lệ filltering (lọc) cho cổng ứng dụng dễ dàng cấu hình kiểm tra so với lọc packet  Hạn chế: Yêu cầu users biến đổi (modìy) thao tác, modìy phần mềm cài đặt máy client cho truy nhập vào dịch vụ proxy Ví dụ, Telnet truy nhập qua cổng ứng dụng đòi hỏi hai bước đê nối với máy chủ bước Tuy nhiên, có số phần mềm client cho phép ứng dụng cổng ứng dụng suốt, cách cho phép user máy đích cổng ứng dụng lệnh Telnet c) Cổng mạch (circuit-Level Gateway) Cổng vòng chức đặc biệt thực đươc cổng ứng dụng Cổng vòng đơn giản chuyển tiếp (relay) kết nối TCP mà không thực hành động xử lý hay lọc packet Hình 2.2 minh hoạ hành động sử dụng nối telnet qua cổng vòng Cổng vòng đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực kiểm 22 tra, lọc hay điều khiển thủ tục Telnet nào.Cổng vòng làm việc sợi dây,sao chép byte kết nối bên (inside connection) kết nối bên (outside connection) Tuy nhiên, kết nối xuất từ hệ thống firewall, che dấu thông tin mạng nội Cổng vòng thường sử dụng cho kết nối ngoài, nơi mà quản trị mạng thật tin tưởng người dùng bên Ưu điểm lớn bastion host cấu hỗn hợp cung cấp Cổng ứng dụng cho kết nối đến, cổng vòng cho kết nối Điều làm cho hệ thống tường lửa dễ dàng sử dụng cho người mạng nội muốn trực tiếp truy nhập tới dịch vụ Internet, cung cấp chức tường lửa để bảo vệ mạng nội từ công bên out in out in out in outside host Circuit-level Gateway Inside host Hình f.2 Cổng vòng 3.Những hạn chế firewall Firewall không đủ thông minh người để đọc hiểu loại thông tin phân tích nội dung tốt hay xấu Firewall ngăn chặn xâm nhập nguồn thông tin không mong muốn phải xác định rõ thông số địa Firewall ngăn chặn công công không "đi qua" Một cách cụ thể, firewall chống lại công từ đường dial-up, dò rỉ thông tin liệu bị chép bất hợp pháp lên đĩa mềm Firewall chống lại công liệu (datadriven attack) Khi có số chương trình chuyển theo thư điện tử, vượt qua firewall vào mạng bảo vệ bắt đầu hoạt động Một ví dụ virus máy tính Firewall làm nhiệm vụ rà quét virus 23 liệu chuyển qua nó, tốc độ làm việc, xuất liên tục virus có nhiều cách để mã hóa liệu, thoát khỏi khả kiểm soát firewall 4.Các ví dụ firewall a) Packet-Filtering Router (Bộ trung chuyển có lọc gói) Hệ thống Internet firewall phổ biến bao gồm packet-filtering router đặt mạng nội Internet (Hình 2.3) Một packet-filtering router có hai chức năng: chuyển tiếp truyền thông hai mạng sử dụng quy luật lọc gói phép hay từ chối truyền thông Căn bản, quy luật lọc đựơc định nghĩa cho host mạng nội quyền truy nhập trực tiếp tới Internet, host Internet có số giới hạn truy nhập vào máy tính mạng nội Tư tưởng mô cấu trúc firewall tất không rõ ràng cho phép có nghĩa bị từ chối Bªn ngoµi Packet filtering router Bªn M¹ng néi bé The Internet Hình 2.3 Packet-filtering router Ưu điểm: giá thành thấp (vì cấu hình đơn giản) suốt người sử dụng Hạn chế: Có tất hạn chế packet-filtering router, dễ bị công vào lọc mà cấu hình đặt không hoàn hảo, bị công ngầm dịch vụ phép Bởi packet trao đổi trực tiếp hai mạng thông qua router , nguy bị công định số lượng host dịch vụ phép Điều dẫn 24 đến host phép truy nhập trực tiếp vào Internet cần phải cung cấp hệ thống xác thực phức tạp, thường xuyên kiểm tra người quản trị mạng xem có dấu hiệu công không Nếu packet-filtering router cố ngừng hoạt động, tất hệ thống mạng nội bị công b) Screened Host Firewall Hệ thống bao gồm packet-filtering router bastion host (hình f2.4) Hệ thống cung cấp độ bảo mật cao hệ thống trên, thực bảo mật tầng network( packet-filtering ) tầng ứng dụng (application level) Đồng thời, kẻ công phải phá vỡ hai tầng bảo mật để công vào mạng nội Bªn Bªn ngoµi Bastion host Packet filtering router m¸y néi bé The Internet Information server Hình f2.4 Screened host firewall (Single- Homed Bastion Host) Trong hệ thống này, bastion host cấu hình mạng nội Qui luật filtering packet-filtering router định nghĩa cho tất hệ thống bên truy nhập bastion host; Việc truyền thông tới tất hệ thống bên bị khoá Bởi hệ thống nội bastion host mạng, sách bảo mật tổ chức định xem hệ thống nội phép truy nhập trực tiếp vào bastion Internet chúng phải sử dụng dịch vụ proxy bastion host Việc bắt buộc user nội thực 25 cách đặt cấu hình lọc router cho chấp nhận truyền thông nội xuất phát từ bastion host Ưu điểm: Máy chủ cung cấp thông tin công cộng qua dịch vụ Web FTP đặt packet-filtering router bastion Trong trường hợp yêu cầu độ an toàn cao nhất, bastion host chạy dịch vụ proxy yêu cầu tất user truy nhập qua bastion host trước nối với máy chủ Trường hợp không yêu cầu độ an toàn cao máy nội nối thẳng với máy chủ Nếu cần độ bảo mật cao dùng hệ thống firewall dual-home (hai chiều) bastion host (hình f2.5) Một hệ thống bastion host có giao diện mạng (network interface), khả truyền thông trực tiếp hai giao diện qua dịch vụ proxy bị cấm Bªn Bªn ngoµi Bastion host Packet filtering router m¸y néi bé The Internet Information server Hình 2.5 Screened host firewall (Dual- Homed Bastion Host) Bởi bastion host hệ thống bên truy nhập từ Internet, công giới hạn đến bastion host mà Tuy nhiên, người dùng truy nhập vào bastion host họ dễ dàng truy nhập toàn mạng nội Vì cần phải cấm không cho người dùng truy nhập vào 26 bastion host c) Demilitarized Zone (DMZ - khu vực phi quân sự) hay Screened-subnet Firewall Hệ thống bao gồm hai packet-filtering router bastion host (hình 2.6) Hệ thống firewall có độ an toàn cao cung cấp mức bảo mật : network application định nghĩa mạng “phi quân sự” Mạng DMZ đóng vai trò mạng nhỏ, cô lập đặt Internet mạng nội Cơ bản, DMZ cấu hình cho hệ thống Internet mạng nội truy nhập số giới hạn hệ thống mạng DMZ, truyền trực tiếp qua mạng DMZ Với thông tin đến, router chống lại công chuẩn (như giả mạo địa IP), điều khiển truy nhập tới DMZ Nó cho phép hệ thống bên truy nhập bastion host, information server Router cung cấp bảo vệ thứ hai cách điều khiển DMZ truy nhập mạng nội với truyền thông bastion host Với thông tin đi, router điều khiển mạng nội truy nhập tới DMZ Nó cho phép hệ thống bên truy nhập bastion host information server Quy luật filtering router yêu cầu sử dung dich vụ proxy cách cho phép thông tin bắt nguồn từ bastion host Ưu điểm: Kẻ công cần phá vỡ ba tầng bảo vệ: router ngoài, bastion host router Bởi router quảng cáo DMZ network tới Internet, hệ thống mạng nội nhìn thấy (invisible) Chỉ có số hệ thống chọn DMZ biết đến Internet qua routing table DNS information exchange (Domain Name Server) Bởi router quảng cáo DMZ network tới mạng nội bộ, hệ thống mạng nội truy nhập trực tiếp vào Internet Điều đảm bảo user bên bắt buộc phải truy nhập Internet qua dịch vụ proxy 27 Bªn DMZ Bªn ngoµi Bastion host Packet filtering router The Internet Inside router Outside router Information server Hình f2.6 Screened-Subnet Firewall d) ISA (Internet Security Access) ISA là một những phần mềm phổ biến và tốt nhất về bảo mật hiện dùng cho HDH window ISA Server 2004 thiết kế để bảo vệ Mạng, chống xâm nhập từ bên lẫn kiểm soát truy cập từ bên Mạng nội tổ chức ISA Server 2004 firewall làm điều thông qua chế điều khiển ǵ phép qua Firewall bị ngăn chặn Chúng ta h́nh dung đơn giản sau: Có quy tắc áp đặt Firewall cho phép thông tin truyền qua Firewall, sau thông tin “Pass” qua, ngược lại bất ḱ quy tắc cho phép thông tin truyền qua, thông tin bị Firewall chặn lại ISA Server 2004 firewall chứa nhiều tính mà Security Admin 28 dùng để đảm bảo an toàn cho việc truy cập Internet, bảo đảm an ninh cho tài nguyên Mạng nội Cuốn sách cung cấp cho Security Admin hiểu khái niệm tổng quát dùng tính phổ biến, đặc thù ISA SERVER 2004, thông qua bước hướng dẫn cụ thể (Steps by Steps) Firewalls không làm việc môi trường “chân không”, v́ đơn giản triển khai Firewall để bảo vệ ǵ đó, PC, Server hay hệ thống Mạng với nhiều dịch vụ triển khai Web, Mail, Database… Chúng ta có hướng dẫn đầy đủ việc triển khai dịch vụ cần thiết cho hoạt động mạng tổ chức cách thức cài đặt cấu h́nh dịch vụ điều tối quan trọng Mạng dịch vụ phải cấu h́nh cách trước triển khai firewall Điều giúp tránh vấn đề phiền toái nảy sinh triển khai ISA SERVER 2004 VI-Windows update Windows Update dịch vụ cung cấp Microsoft cung cấp cập nhật cho hệ điều hành Microsoft Windows thành phần cài đặt nó, bao gồm Internet Explorer Windows Update yêu cầu Internet Explorer trình duyệt web bên thứ ba sử dụng động bố trí MSHTML Microsoft , phải hỗ trợ việc sử dụng điều khiển ActiveX đến nhà phần mềm thực máy tính người dùng Trong chi tiết thay đổi từ phiên sang phiên khác, luôn quét máy tính để tìm thấy thành phần hệ thống điều hành phần mềm cài đặt, so sánh phiên thành phần với phiên có sẵn Sau đó, thành phần ActiveX giao diện với Windows Installer để cài đặt cập nhật thành phần, báo cáo thành công hay thất bại cài đặt trở lại máy chủ Microsoft Phiên trang web Windows Update web (thường gọi "v3") không yêu cầu thông tin nhận dạng cá nhân gửi đến Microsoft Để cho việc kiểm soát ActiveX v3 để xác định thông tin cập nhật cần thiết, toàn danh sách phần mềm có sẵn Windows Update tải 29 máy tính người dùng họ truy cập trang web Windows Update Khi số lượng cập nhật cung cấp Windows Update phát triển, điều dẫn đến mối quan tâm thực Arie Slob, viết cho tin Windows help.net tháng năm 2003, lưu ý kích thước danh sách cập nhật vượt 400 KB , gây chậm trễ phút cho dial-up người sử dụng Windows Update v4, phát hành với Windows XP vào năm 2001, thay đổi điều cách điều khiển ActiveX gửi danh sách thành phần phần cứng máy chủ Microsoft, sau trả danh sách trình điều khiển thiết bị có sẵn cho máy Nó thu hẹp danh sách cập nhật cho hệ điều hành thành phần có liên quan cách gửi chi tiết phiên hệ điều hành, gói dịch vụ, miền địa phương cài đặt Công nghệ Đức tecchannel.de trang web công bố phân tích giao thức truyền thông Windows Update vào năm 2003, nhận ý rộng rãi trang web công nghệ Báo cáo người chứa chi tiết mở rộng giao thức truyền thông Windows Update làm việc, phát thực mô hình máy tính, số tiền không gian đĩa miễn phí mã khóa sản phẩm Windows , gửi VII-User Account Control 1.Giới thiệu User Account Control User Account Control (UAC) công nghệ sở hạ tầng bảo mật giới thiệu với Microsoft 's Windows Vista Windows Server 2008 hệ điều hành , với thoải mái [1] phiên có mặt Windows Windows Server 2008 R2 Nó nhằm mục đích cải thiện an ninh củaMicrosoft Windows cách hạn chế phần mềm ứng dụng đặc quyền người dùng chuẩn quản trị viên cho phép tăng độ cao.Bằng cách này, ứng dụng tin cậy người sử dụng nhận đặc quyền quản trị viên, nên giữ phần mềm độc hại ảnh hưởng đến hệ điều hành Nói cách khác, tài khoản người dùng có quyền quản trị gán cho nó, ứng dụng mà người sử dụng chạy không kế thừa đặc quyền, trừ họ chấp thuận trước người sử dụng cách rõ ràng cho phép 2.Nhiệm vụ kích hoạt một nhắc nhở UAC 30 Các tác vụ yêu cầu quyền quản trị kích hoạt nhắc nhở UAC (nếu UAC kích hoạt), chúng thường đánh dấu biểu tượng chắn an ninh với màu sắc logo Windows (trong Vista Windows Server 2008) với hai bảng màu vàng hai màu xanh (Windows Server 2008 R2) Trong trường hợp tập tin thực thi, biểu tượng có lớp phủ chắn an ninh Các nhiệm vụ sau yêu cầu quyền quản trị: • Chạy ứng dụng quản trị viên • Thay đổi cài đặt toàn hệ thống tập tin trong% SystemRoot% hoặc% ProgramFiles% • Cài đặt gỡ bỏ cài đặt ứng dụng • Cài đặt trình điều khiển thiết bị • Cài đặt điều khiển ActiveX • Thay đổi cài đặt cho Windows Firewall • Thay đổi thiết lập UAC • Cấu hình Windows Update • Thêm loại bỏ tài khoản người dùng • Thay đổi loại tài khoản người dùng • Cấu hình Parental Controls • Chạy Task Scheduler • Khôi phục lại tập tin lưu hệ thống-up • Xem thay đổi thư mục tập tin người dùng khác • Chạy Disk Defragmenter Nhiệm vụ phổ biến, chẳng hạn thay đổi múi giờ, không yêu cầu quyền quản trị (mặc dù thay đổi thời gian hệ thống nó, kể từ thời gian hệ thống thường sử dụng giao thức bảo mật Kerberos ) Một số nhiệm vụ yêu cầu quyền quản trị phiên trước Windows, chẳng hạn cài đặt cập nhật Windows, không làm Vista Bất kỳ chương trình chạy quản trị viên cách kích chuột phải vào biểu tượng bấm vào "Run as administrator ", ngoại trừ gói MSI hay MSU chất chúng, quyền quản trị viên yêu cầu dấu nhắc thường hiển thị Nếu bị lỗi, workaround để chạy Command Prompt quản trị viên khởi động MSP MSI gói từ 3.Các tính của User Account Control 31 User Account Control yêu cầu thông tin chế độ Secure Desktop, nơi mà toàn hình mờ tạm thời, Windows Aero bị vô hiệu hóa, có cửa sổ cho phép độ sáng đầy đủ, có độ cao giao diện người dùng (UI) Điều để ngăn chặn giả mạo giao diện người dùng chuột cách nâng đơn yêu cầu Nếu hoạt động hành đến từ ứng dụng giảm thiểu, yêu cầu máy tính để bàn an toàn giảm thiểu để ngăn chặn tập trung không bị Nó vô hiệu hóa Secure Desktop, điều không khôn ngoan từ góc độ an ninh Ứng dụng viết với giả định người sử dụng chạy với quyền quản trị viên có kinh nghiệm vấn đề phiên trước Windows chạy từ tài khoản người dùng hạn chế, thường họ cố gắng để ghi vào thư mục toàn máy hệ thống (chẳng hạn Program Files) khóa registry (đặc biệt HKLM ) UAC cố gắng làm giảm bớt điều cách sử dụng File ảo hóa Registry, mà chuyển hướng viết (và sau lần đọc) đến vị trí cho người sử dụng hồ sơ cá nhân người dùng Ví dụ, ứng dụng cố gắng ghi vào "C: \ Program Files \ AppName \ settings.ini" người sử dụng quyền ghi vào thư mục đó, viết chuyển hướng đến "C: \ Users \ username \ AppData \ Local \ VirtualStore \ Program Files \ AppName \ settings.ini " Một khác biệt yêu cầu độ cao từ file thực thi có chữ ký thực thi unsigned, trước đây, cho dù nhà xuất 'Windows Vista' Màu sắc, biểu tượng, từ ngữ hướng dẫn khác trường hợp, ví dụ, cố gắng để chuyển tải ý thức cảnh báo thực thi unsigned không Internet Explorer 's "Protected Mode" tính sử dụng UAC để chạy với một' mức toàn vẹn thấp (một mã thông báo người dùng chuẩn có mức toàn vẹn "trung bình" (Administrator) cao mã thông báo có mức toàn vẹn 'cao') Như vậy, có hiệu chạy sandbox, viết thư cho hầu hết hệ thống (ngoài từ thư mục Temporary Internet Files) mà không cần nâng cao thông qua UAC [5] [15] Kể từ công cụ điều khiển ActiveX chạy trình Internet Explorer, họ chạy với đặc quyền thấp tốt, bị hạn chế 32 thiệt hại mà họ làm cho hệ thống 33

Ngày đăng: 16/04/2017, 12:20

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w