Tìm hiểu về tường lửa FIREWALL

Thông tin tài liệu

Tìm hiểu về tường lửa (firewall) trang này đã được đọc Tường lửa là gì? Một cách vắn tắt, tường lửa (firewall) là hệ thống ngăn chặn việc truy nhập trái phép từ bên ngoài vào mạng. Tường lửa thực hiện việc lọc bỏ những địa chỉ không hợp lệ dựa theo các quy tắc hay chỉ tiêu định trước.

1 2 M•c l•c 1. An toàn thông tin trên mng _____________ Error! Bookmark not defined. 1.1 Ti sao cn có Internet Firewall ___________ Error! Bookmark not defined. 1.2 Bn mun bo v cái gì?__________________ Error! Bookmark not defined. 1.2.1 D liu ca bn ____________________ Error! Bookmark not defined. 1.2.2 Tài nguyên ca bn _________________ Error! Bookmark not defined. 1.2.3 Danh ting ca bn _________________ Error! Bookmark not defined. 1.3 Bn mun bo v chng li cái gì? _________ Error! Bookmark not defined. 1.3.1 Các kiu tn công __________________ Error! Bookmark not defined. 1.3.2 Phân loi k tn công _______________ Error! Bookmark not defined. 1.4 Vy Internet Firewall là gì? _______________ Error! Bookmark not defined. 1.4.1 nh ngha________________________ Error! Bookmark not defined. 1.4.2 Chc nng ________________________ Error! Bookmark not defined. 1.4.3 Cu trúc__________________________ Error! Bookmark not defined. 1.4.4 Các thành phn ca Firewall và c ch hot ng Error! Bookmark not defined. 1.4.5 Nhng hn ch ca firewall __________ Error! Bookmark not defined. 1.4.6 Các ví d firewall __________________ Error! Bookmark not defined. 2. Các dch v Internet ______________Error! Bookmark not defined. 2.1 World Wide Web - WWW________________ Error! Bookmark not defined. 2.2 Electronic Mail (Email hay th in t). ____ Error! Bookmark not defined. 2.3 Ftp (file transfer protocol hay dch v chuyn file) ___ Error! Bookmark not defined. 2.4 Telnet và rlogin _________________________ Error! Bookmark not defined. 2.5 Archie_________________________________ Error! Bookmark not defined. 2.6 Finger _________________________________ Error! Bookmark not defined. 3 3. H thng Firewall xây dng bi CSE_Error! Bookmark not defined. 3.1 Tng quan _____________________________ Error! Bookmark not defined. 3.2 Các thành phn ca b chng trình proxy: _ Error! Bookmark not defined. 3.2.1 Smap: Dch v SMTP _______________ Error! Bookmark not defined. 3.2.2 Netacl: công c iu khin truy nhp mng _____ Error! Bookmark not defined. 3.2.3 Ftp-Gw: Proxy server cho Ftp ________ Error! Bookmark not defined. 3.2.4 Telnet-Gw: Proxy server cho Telnet____ Error! Bookmark not defined. 3.2.5 Rlogin-Gw: Proxy server cho rlogin____ Error! Bookmark not defined. 3.2.6 Sql-Gw: Proxy Server cho Oracle Sql-net______ Error! Bookmark not defined. 3.2.7 Plug-Gw: TCP Plug-Board Connection server___ Error! Bookmark not defined. 3.3 Cài t ________________________________ Error! Bookmark not defined. 3.4 Thit lp cu hình: ______________________ Error! Bookmark not defined. 3.4.1 Cu hình mng ban u______________ Error! Bookmark not defined. 3.4.2 Cu hình cho Bastion Host ___________ Error! Bookmark not defined. 3.4.3 Thit lp tp hp quy tc_____________ Error! Bookmark not defined. 3.4.4 Xác thc và dch v xác thc _________ Error! Bookmark not defined. 3.4.5 S dng màn hình iu khin CSE Proxy: ______ Error! Bookmark not defined. 3.4.6 Các vn  cn quan tâm vi ngi s dng ____ Error! Bookmark not defined. 4 1. An toàn thông tin trên mng 1.1 Ti sao cn có Internet Firewall Hin nay, khái nim mng toàn cu - Internet không còn mi m. Nó ã tr nên ph bin ti mc không cn phi chú gii gì thêm trong nhng tp chí k thut, còn trên nhng tp chí khác thì tràn ngp nhng bài vit dài, ngn v Internet. Khi nhng tp chí thông thng chú tr ng vào Internet thì gi ây, nhng tp chí k thut li tp trung vào khía cnh khác: an toàn thông tin. ó cùng là mt quá trình tin trin hp logic: khi nhng vui thích ban u v mt siêu xa l thông tin, bn nht nh nhn thy r!ng không ch" cho phép bn truy nhp vào nhiu ni trên th gii, Internet còn cho phép nhiu ngi không mi mà t ý ghé thm máy tính ca bn. Thc vy, Internet có nhng k thut tuyt vi cho phép m i ngi truy nhp, khai thác, chia s thông tin. Nhng nó c#ng là nguy c chính d$n n thông tin ca bn b h h%ng ho&c phá hu' hoàn toàn. Theo s( liu ca CERT(Computer Emegency Response Team - “i cp cu máy tính”), s( lng các v tn công trên Internet c thông báo cho t chc này là ít hn 200 vào nm 1989, khong 400 vào nm 1991, 1400 vào nm 1993, và 2241 vào nm 1994. Nhng v tn công này nh!m vào tt c các máy tính có m&t trên Internet, các máy tính ca tt c các công ty ln nh AT&T, IBM, các trng i h c, các c quan nhà nc, các t chc quân s, nhà bng . Mt s( v tn công có quy mô khng l) (có ti 100.000 máy tính b tn công). Hn na, nhng con s( này ch" là phn ni ca tng bng. Mt phn rt ln các v tn công 5 không c thông báo, vì nhiu lý do, trong ó có th k n n*i lo b mt uy tín, ho&c n gin nhng ngi qun tr h th(ng không h hay bit nhng cuc tn công nh!m vào h th(ng ca h . Không ch" s( lng các cuc tn công tng lên nhanh chóng, mà các phng pháp tn công c#ng liên tc c hoàn thin. iu ó mt phn do các nhân viên qun tr h th(ng c kt n(i vi Internet ngày càng  cao cnh giác. C#ng theo CERT, nhng cuc tn công thi k+ 1988- 1989 ch yu oán tên ngi s dng-mt kh,u (UserID- password) ho&c s dng mt s( l*i ca các chng trình và h iu hành (security hole) làm vô hiu h th(ng bo v, tuy nhiên các cuc tn công vào thi gian gn ây bao g)m c các thao tác nh gi mo a ch" IP, theo dõi thông tin truyn qua mng, chim các phiên làm vic t- xa (telnet ho&c rlogin). 6 1.2 Bn mun bo v cái gì? Nhim v c bn ca Firewall là bo v. Nu bn mu(n xây dng firewall, vic u tiên bn cn xem xét chính là bn cn bo v cái gì. 1.2.1 D liu ca bn Nhng thông tin lu tr trên h th(ng máy tính cn c bo v do các yêu cu sau:  Bo mt: Nhng thông tin có giá tr v kinh t, quân s, chính sách vv . cn c gi kín.  Tính toàn v.n: Thông tin không b mt mát ho&c sa i, ánh tráo.  Tính kp thi: Yêu cu truy nhp thông tin vào úng thi im cn thit. Trong các yêu cu này, thông thng yêu cu v bo mt c coi là yêu cu s( 1 (i vi thông tin lu tr trên mng. Tuy nhiên, ngay c khi nhng thông tin này không c gi bí mt, thì nhng yêu cu v tính toàn v.n c#ng rt quan tr ng. Không mt cá nhân, mt t chc nào lãng phí tài nguyên vt cht và thi gian  lu tr nhng thông tin mà không bit v tính úng n ca nhng thông tin ó. 1.2.2 Tài nguyên ca bn Trên thc t, trong các cuc tn công trên Internet, k tn công, sau khi ã làm ch c h th(ng bên trong, có th s dng các máy này  phc v cho mc ích ca mình nh chy các chng trình dò mt kh,u ngi s dng, s dng các liên kt mng s/n có  tip tc tn công các h th(ng khác vv . 7 1.2.3 Danh ting ca bn Nh trên ã nêu, mt phn ln các cuc tn công không c thông báo rng rãi, và mt trong nhng nguyên nhân là n*i lo b mt uy tín ca c quan, &c bit là các công ty ln và các c quan quan tr ng trong b máy nhà nc. Trong trng hp ngi qun tr h th(ng ch" c bit n sau khi chính h th(ng ca mình c dùng làm bàn p  tn công các h th(ng khác, thì tn tht v uy tín là rt ln và có th  li hu qu lâu dài. 8 1.3 Bn mun bo v chng li cái gì? Còn nhng gì bn cn phi lo lng. Bn s0 phi ng u vi nhng kiu tn công nào trên Internet và nhng k nào s0 thc hin chúng? 1.3.1 Các kiu tn công Có rt nhiu kiu tn công vào h th(ng, và có nhiu cách  phân loi nhng kiu tn công này.  ây, chúng ta chia thành 3 kiu chính nh sau: 1.3.1.1 Tn công trc tip Nhng cuc tn công trc tip thông thng c s dng trong giai on u  chim c quyn truy nhp bên trong. Mt phng pháp tn công c in là dò c&p tên ngi s dng-mt kh,u. ây là phng pháp n gin, d1 thc hin và không òi h%i mt iu kin &c bit nào  bt u. K tn công có th s dng nhng thông tin nh tên ngi dùng, ngày sinh, a ch", s( nhà vv  oán mt kh,u. Trong trng hp có c danh sách ngi s dng và nhng thông tin v môi trng làm vic, có mt trng trình t ng hoá v vic dò tìm mt kh,u này. mt trng trình có th d1 dàng ly c t- Internet  gii các mt kh,u ã mã hoá ca các h th(ng unix có tên là crack, có kh nng th các t hp các t- trong mt t- in ln, theo nhng quy tc do ngi dùng t nh ngha. Trong mt s( trng hp, kh nng thành công ca phng pháp này có th lên ti 30%. Phng pháp s dng các l*i ca chng trình ng dng và bn thân h iu hành ã c s dng t- nhng v tn công u tiên và v$n c tip tc  chim quyn truy 9 nhp. Trong mt s( trng hp phng pháp này cho phép k tn công có c quyn ca ngi qun tr h th(ng (root hay administrator). Hai ví d thng xuyên c a ra  minh ho cho phng pháp này là ví d vi chng trình sendmail và chng trình rlogin ca h iu hành UNIX. Sendmail là mt chng trình phc tp, vi mã ngu)n bao g)m hàng ngàn dòng lnh ca ngôn ng C. Sendmail c chy vi quyn u tiên ca ngi qun tr h th(ng, do chng trình phi có quyn ghi vào hp th ca nhng ngi s dng máy. Và Sendmail trc tip nhn các yêu cu v th tín trên mng bên ngoài. ây chính là nhng yu t( làm cho sendmail tr thành mt ngu)n cung cp nhng l* hng v bo mt  truy nhp h th(ng. Rlogin cho phép ngi s dng t- mt máy trên mng truy nhp t- xa vào mt máy khác s dng tài nguyên ca máy này. Trong quá trình nhn tên và mt kh,u ca ngi s dng, rlogin không kim tra  dài ca dòng nhp, do ó k tn công có th a vào mt xâu ã c tính toán trc  ghi è lên mã chng trình ca rlogin, qua ó chim c quyn truy nhp. 1.3.1.2 Nghe trm Vic nghe trm thông tin trên mng có th a li nhng thông tin có ích nh tên-mt kh,u ca ngi s dng, các thông tin mt chuyn qua mng. Vic nghe trm thng c tin hành ngay sau khi k tn công ã chim c quyn truy nhp h th(ng, thông qua các chng trình cho phép a v" giao tip mng (Network Interface Card-NIC) vào ch  nhn toàn b các thông tin lu truyn trên mng. 10 Nhng thông tin này c#ng có th d1 dàng ly c trên Internet. 1.3.1.3 Gi mo a ch Vic gi mo a ch" IP có th c thc hin thông qua vic s dng kh nng d$n ng trc tip (source- routing). Vi cách tn công này, k tn công gi các gói tin IP ti mng bên trong vi mt a ch" IP gi mo (thông thng là a ch" ca mt mng ho&c mt máy c coi là an toàn (i vi mng bên trong), )ng thi ch" rõ ng d$n mà các gói tin IP phi gi i. 1.3.1.4 Vô hiu hoá các chc nng ca h thng (denial of service) ây là ku tn công nh!m tê lit h th(ng, không cho nó thc hin chc nng mà nó thit k. Kiu tn công này không th ngn ch&n c, do nhng phng tin c t chc tn công c#ng chính là các phng tin  làm vic và truy nhp thông tin trên mng. Ví d s dng lnh ping vi t(c  cao nht có th, buc mt h th(ng tiêu hao toàn b t(c  tính toán và kh nng ca mng  tr li các lnh này, không còn các tài nguyên  thc hin nhng công vic có ích khác. 1.3.1.5 Li ca ngi qun tr h thng ây không phi là mt kiu tn công ca nhng k t nhp, tuy nhiên l*i ca ngi qun tr h th(ng thng to ra nhng l* hng cho phép k tn công s dng  truy nhp vào mng ni b. . qua Firewall. S ) chc nng h th(ng ca firewall c mô t nh trong hình 2.1 Intranet firewall Internet Hình 2.1 S ) chc nng h th(ng ca firewall. ca Firewall và c ch hot ng Error! Bookmark not defined. 1.4.5 Nhng hn ch ca firewall __________ Error! Bookmark not defined. 1.4.6 Các ví d firewall

Ngày đăng: 22/08/2013, 15:23

Xem thêm: Tìm hiểu về tường lửa FIREWALL , Tìm hiểu về tường lửa FIREWALL

Tìm hiểu về tường lửa FIREWALL

Thông tin tài liệu

Hình ảnh liên quan

Từ khóa liên quan

Tài liệu cùng người dùng

Tài liệu liên quan