Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 26 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
26
Dung lượng
206,36 KB
Nội dung
4 1. An toàn thôngtintrên mng 1.1 Ti sao cn có Internet Firewall Hin nay, khái nim mng toàn cu - Internet không còn mi m. Nó ã tr nên ph bin ti mc không cn phi chú gii gì thêm trong nhng tp chí k thut, còn trên nhng tp chí khác thì tràn ngp nhng bài vit dài, ngn v Internet. Khi nhng tp chí thông thng chú tr ng vào Internet thì gi ây, nhng tp chí k thut li tp trung vào khía cnh khác: an toàn thông tin. ó cùng là mt quá trình tin trin hp logic: khi nhng vui thích ban u v mt siêu xa l thông tin, bn nht nh nhn thy r!ng không ch" cho phép bn truy nhp vào nhiu ni trên th gii, Internet còn cho phép nhiu ngi không mi mà t ý ghé thm máy tính ca bn. Thc vy, Internet có nhng k thut tuyt vi cho phép m i ngi truy nhp, khai thác, chia s thông tin. Nhng nó c#ng là nguy c chính d$n n thôngtin ca bn b h h%ng ho&c phá hu' hoàn toàn. Theo s( liu ca CERT(Computer Emegency Response Team - “i cp cu máy tính”), s( lng các v tn công trên Internet c thông báo cho t chc này là ít hn 200 vào nm 1989, khong 400 vào nm 1991, 1400 vào nm 1993, và 2241 vào nm 1994. Nhng v tn công này nh!m vào tt c các máy tính có m&t trên Internet, các máy tính ca tt c các công ty ln nh AT&T, IBM, các trng i h c, các c quan nhà nc, các t chc quân s, nhà bng . Mt s( v tn công có quy mô khng l) (có ti 100.000 máy tính b tn công). Hn na, nhng con s( này ch" là phn ni ca tng bng. Mt phn rt ln các v tn công 5 không c thông báo, vì nhiu lý do, trong ó có th k n n*i lo b mt uy tín, ho&c n gin nhng ngi qun tr h th(ng không h hay bit nhng cuc tn công nh!m vào h th(ng ca h . Không ch" s( lng các cuc tn công tng lên nhanh chóng, mà các phng pháp tn công c#ng liên tc c hoàn thin. iu ó mt phn do các nhân viên qun tr h th(ng c kt n(i vi Internet ngày càng cao cnh giác. C#ng theo CERT, nhng cuc tn công thi k+ 1988- 1989 ch yu oán tên ngi s dng-mt kh,u (UserID- password) ho&c s dng mt s( l*i ca các chng trình và h iu hành (security hole) làm vô hiu h th(ng bo v, tuy nhiên các cuc tn công vào thi gian gn ây bao g)m c các thao tác nh gi mo a ch" IP, theo dõi thôngtin truyn qua mng, chim các phiên làm vic t- xa (telnet ho&c rlogin). 6 1.2 Bn mun bo v cái gì? Nhim v c bn ca Firewall là bo v. Nu bn mu(n xây dng firewall, vic u tiên bn cn xem xét chính là bn cn bo v cái gì. 1.2.1 D liu ca bn Nhng thôngtin lu tr trên h th(ng máy tính cn c bo v do các yêu cu sau: Bo mt: Nhng thôngtin có giá tr v kinh t, quân s, chính sách vv . cn c gi kín. Tính toàn v.n: Thôngtin không b mt mát ho&c sa i, ánh tráo. Tính kp thi: Yêu cu truy nhp thôngtin vào úng thi im cn thit. Trong các yêu cu này, thông thng yêu cu v bo mt c coi là yêu cu s( 1 (i vi thôngtin lu tr trên mng. Tuy nhiên, ngay c khi nhng thôngtin này không c gi bí mt, thì nhng yêu cu v tính toàn v.n c#ng rt quan tr ng. Không mt cá nhân, mt t chc nào lãng phí tài nguyên vt cht và thi gian lu tr nhng thôngtin mà không bit v tính úng n ca nhng thôngtin ó. 1.2.2 Tài nguyên ca bn Trên thc t, trong các cuc tn công trên Internet, k tn công, sau khi ã làm ch c h th(ng bên trong, có th s dng các máy này phc v cho mc ích ca mình nh chy các chng trình dò mt kh,u ngi s dng, s dng các liên kt mng s/n có tip tc tn công các h th(ng khác vv . 7 1.2.3 Danh ting ca bn Nh trên ã nêu, mt phn ln các cuc tn công không c thông báo rng rãi, và mt trong nhng nguyên nhân là n*i lo b mt uy tín ca c quan, &c bit là các công ty ln và các c quan quan tr ng trong b máy nhà nc. Trong trng hp ngi qun tr h th(ng ch" c bit n sau khi chính h th(ng ca mình c dùng làm bàn p tn công các h th(ng khác, thì tn tht v uy tín là rt ln và có th li hu qu lâu dài. 8 1.3 Bn mun bo v chng li cái gì? Còn nhng gì bn cn phi lo lng. Bn s0 phi ng u vi nhng kiu tn công nào trên Internet và nhng k nào s0 thc hin chúng? 1.3.1 Các kiu tn công Có rt nhiu kiu tn công vào h th(ng, và có nhiu cách phân loi nhng kiu tn công này. ây, chúng ta chia thành 3 kiu chính nh sau: 1.3.1.1 Tn công trc tip Nhng cuc tn công trc tip thông thng c s dng trong giai on u chim c quyn truy nhp bên trong. Mt phng pháp tn công c in là dò c&p tên ngi s dng-mt kh,u. ây là phng pháp n gin, d1 thc hin và không òi h%i mt iu kin &c bit nào bt u. K tn công có th s dng nhng thôngtin nh tên ngi dùng, ngày sinh, a ch", s( nhà vv oán mt kh,u. Trong trng hp có c danh sách ngi s dng và nhng thôngtin v môi trng làm vic, có mt trng trình t ng hoá v vic dò tìm mt kh,u này. mt trng trình có th d1 dàng ly c t- Internet gii các mt kh,u ã mã hoá ca các h th(ng unix có tên là crack, có kh nng th các t hp các t- trong mt t- in ln, theo nhng quy tc do ngi dùng t nh ngha. Trong mt s( trng hp, kh nng thành công ca phng pháp này có th lên ti 30%. Phng pháp s dng các l*i ca chng trình ng dng và bn thân h iu hành ã c s dng t- nhng v tn công u tiên và v$n c tip tc chim quyn truy 9 nhp. Trong mt s( trng hp phng pháp này cho phép k tn công có c quyn ca ngi qun tr h th(ng (root hay administrator). Hai ví d thng xuyên c a ra minh ho cho phng pháp này là ví d vi chng trình sendmail và chng trình rlogin ca h iu hành UNIX. Sendmail là mt chng trình phc tp, vi mã ngu)n bao g)m hàng ngàn dòng lnh ca ngôn ng C. Sendmail c chy vi quyn u tiên ca ngi qun tr h th(ng, do chng trình phi có quyn ghi vào hp th ca nhng ngi s dng máy. Và Sendmail trc tip nhn các yêu cu v th tíntrên mng bên ngoài. ây chính là nhng yu t( làm cho sendmail tr thành mt ngu)n cung cp nhng l* hng v bo mt truy nhp h th(ng. Rlogin cho phép ngi s dng t- mt máy trên mng truy nhp t- xa vào mt máy khác s dng tài nguyên ca máy này. Trong quá trình nhn tên và mt kh,u ca ngi s dng, rlogin không kim tra dài ca dòng nhp, do ó k tn công có th a vào mt xâu ã c tính toán trc ghi è lên mã chng trình ca rlogin, qua ó chim c quyn truy nhp. 1.3.1.2 Nghe trm Vic nghe trm thôngtintrên mng có th a li nhng thôngtin có ích nh tên-mt kh,u ca ngi s dng, các thôngtin mt chuyn qua mng. Vic nghe trm thng c tin hành ngay sau khi k tn công ã chim c quyn truy nhp h th(ng, thông qua các chng trình cho phép a v" giao tip mng (Network Interface Card-NIC) vào ch nhn toàn b các thôngtin lu truyn trên mng. 10 Nhng thôngtin này c#ng có th d1 dàng ly c trên Internet. 1.3.1.3 Gi mo a ch Vic gi mo a ch" IP có th c thc hin thông qua vic s dng kh nng d$n ng trc tip (source- routing). Vi cách tn công này, k tn công gi các gói tin IP ti mng bên trong vi mt a ch" IP gi mo (thông thng là a ch" ca mt mng ho&c mt máy c coi là an toàn (i vi mng bên trong), )ng thi ch" rõ ng d$n mà các gói tin IP phi gi i. 1.3.1.4 Vô hiu hoá các chc nng ca h thng (denial of service) ây là ku tn công nh!m tê lit h th(ng, không cho nó thc hin chc nng mà nó thit k. Kiu tn công này không th ngn ch&n c, do nhng phng tin c t chc tn công c#ng chính là các phng tin làm vic và truy nhp thôngtintrên mng. Ví d s dng lnh ping vi t(c cao nht có th, buc mt h th(ng tiêu hao toàn b t(c tính toán và kh nng ca mng tr li các lnh này, không còn các tài nguyên thc hin nhng công vic có ích khác. 1.3.1.5 Li ca ngi qun tr h thng ây không phi là mt kiu tn công ca nhng k t nhp, tuy nhiên l*i ca ngi qun tr h th(ng thng to ra nhng l* hng cho phép k tn công s dng truy nhp vào mng ni b. 11 1.3.1.6 Tn công vào yu t con ngi K tn công có th liên lc vi mt ngi qun tr h th(ng, gi làm mt ngi s dng yêu cu thay i mt kh,u, thay i quyn truy nhp ca mình (i vi h th(ng, ho&c thm chí thay i mt s( cu hình ca h th(ng thc hin các phng pháp tn công khác. Vi kiu tn công này không mt thit b nào có th ngn ch&n mt cách hu hiu, và ch" có mt cách giáo dc ngi s dng mng ni b v nhng yêu cu bo mt cao cnh giác vi nhng hin tng áng nghi. Nói chung yu t( con ngi là mt im yu trong bt k+ mt h th(ng bo v nào, và ch" có s giáo dc cng vi tinh thn hp tác t- phía ngi s dng có th nâng cao c an toàn ca h th(ng bo v. 1.3.2 Phân loi k tn công Có rt nhiu k tn công trên mng toàn cu – Internet và chúng ta c#ng không th phân loi chúng mt cách chính xác, bt c mt bn phân loi kiu này c#ng ch" nên c xem nh là mt s gii thiu hn là mt cách nhìn rp khuôn. 1.3.2.1 Ngi qua ng Ngi qua ng là nhng k bu)n chán vi nhng công vic thng ngày, h mu(n tìm nhng trò gii trí mi. H t nhp vào máy tính ca bn vì h ngh bn có th có nhng d liu hay, ho&c bi vì h cm thy thích thú khi s dng máy tính ca ngi khác, ho&c ch" n gin là h không tìm c mt vic gì hay hn làm. H có th là ngi tò mò nhng không ch nh làm hi bn. Tuy nhiên, h thng gây h h%ng h th(ng khi t nhp hay khi xoá b% du vt ca h . 12 1.3.2.2 K phá hoi K phá hoi ch nh phá hoi h th(ng ca bn, h có th không thích bn, h c#ng có th không bit bn nhng h tìm thy nim vui khi i phá hoi. Thông thng, trên Internet k phá hoi khá him. M i ngi không thích h . Nhiu ngi còn thích tìm và ch&n ng nhng k phá hoi. Tuy ít nhng k phá hoi thng gây h%ng trm tr ng cho h th(ng ca bn nh xoá toàn b d liu, phá h%ng các thit b trên máy tính ca bn . 1.3.2.3 K ghi im Rt nhiu k qua ng b cu(n hút vào vic t nhp, phá hoi. H mu(n c kh2ng nh mình thông qua s( lng và các kiu h th(ng mà h ã t nhp qua. t nhp c vào nhng ni ni ting, nhng ni phòng b ch&t ch0, nhng ni thit k tinh xo có giá tr nhiu im (i vi h . Tuy nhiên h c#ng s0 tn công tt c nhng ni h có th, vi mc ích s( lng c#ng nh mc ích cht lng. Nhng ngi này không quan tâm n nhng thôngtin bn có hay nhng &c tính khác v tài nguyên ca bn. Tuy nhiên t c mc ích là t nhp, vô tình hay hu ý h s0 làm h h%ng h th(ng ca bn. 1.3.2.4 Gián ip Hin nay có rt nhiu thôngtin quan tr ng c lu tr trên máy tính nh các thôngtin v quân s, kinh t . Gián ip máy tính là mt vn phc tp và khó phát hin. Thc t, phn ln các t chc không th phòng th kiu tn công này mt cách hiu qu và bn có th chc r!ng ng liên kt 13 vi Internet không phi là con ng d1 nht gián ip thu lm thông tin. [...]... t k trong xây d ng ng n ch&n, h n ch ho ho n Trong công ngh m ng thông tin, Firewall là m t k thu t tích h p vào h th(ng m ng c ch(ng s truy c p trái phép nh!m b o v các ngu)n thôngtin n i b c#ng nh h n ch s xâm nh p vào h th(ng c a m t s( thôngtin khác không mong mu(n C#ng có th hi u r!ng Firewall là m t c ch b o v m ng tin t không tin t ng (trusted network) kh%i các m ng ng (untrusted network) Internet... là: 18 ch(ng l i m b o anninh Bastion host luôn ch y các version an toàn (secure version) c a các ph n m m h th(ng (Operating system) Các version an toàn này c thi t k chuyên cho m c ích ch(ng l i s System, c#ng nh là t n công vào Operating m b o s tích h p firewall Ch" nh ng d ch v mà ng i qu n tr m ng cho là c n c cài &t trên bastion host, thi t m i n u m t d ch v không công Thông th n gi n ch" vì... packet header, và các giá tr c th mà h có th nh n trên m*i tr ng Khi òi h%i v s l c càng l n, các lu t l v l c càng tr nên dài và ph c t p, r t khó qu n lý và i u khi n Do làm vi c d a trên header c a các packet, rõ ràng là b l c packet không ki m soát c n i dung thôngtin c a packet Các packet chuy n qua v$n có th mang theo nh ng hành ng v i ý ) n c p thôngtin hay phá ho i c a k x u 1.4.4.2 C ng ng d... trong i nào tbên c phép firewall làm vi c hi u qu , t t c trao • t- trong ra ngoài và ng c l i i thôngtin u ph i th c hi n thông qua Firewall • Ch" có nh ng trao i nào c phép b i ch c a h th(ng m ng n i b m i anninh c quy n l u thông qua Firewall ) ch c n ng h th(ng c a firewall S c mô t nh trong hình 2.1 Intranet Internet firewall Hình 2.1 S ) ch c n ng h th(ng c a firewall 1.4.3 C u trúc Firewall bao... không thông minh nh con ng i có th c hi u t-ng lo i thông tin và phân tích n i dung t(t hay x u c a nó Firewall ch" có th ng n ch&n s xâm nh p c a nh ng ngu)n thông tin không mong mu(n nh ng ph i xác nh rõ các thông s( a ch" Firewall không th ng n ch&n m t cu c t n công n u cu c t n công này không " i qua" nó M t cách c th , firewall không th ch(ng l i m t cu c t n công t- m t ng dial-up, ho&c s dò r" thông. .. n c ng+ph n m m) gi a m ng c a m t t ch c, m t công ty, hay m t qu(c gia (Intranet) và Internet Nó th c hi n vai trò b o m t các thông tin Intranet t- th gi i Internet bên ngoài 1.4.2 Ch c n ng Internet Firewall (t- nay v sau g i t t là firewall) là m t thành ph n &t gi a Intranet và Internet ki m soát t t c các vi c l u thông và truy c p gi a chúng v i nhau bao g)m: • Firewall quy t nh nh ng d ch... ch p nh n nh ng truy n thông n i b xu t phát t- bastion host u i m: 25 Máy ch cung c p các thông tin công c ng qua d ch v Web và FTP có th bastion Trong tr &t trên packet-filtering router và ng h p yêu c u an toàn cao nh t, bastion host có th ch y các d ch v proxy yêu c u t t c các user c trong và ngoài truy nh p qua bastion host tr khi n(i v i máy ch Tr ng h p không yêu c u c an toàn cao thì các máy... i u khi n DMZ truy nh p m ng n i b ch" v i nh ng truy n thông b t u t- bastion host V i nh ng thôngtin i, router trong i u khi n m ng n i b truy nh p t i DMZ Nó ch" cho phép các h th(ng bên trong truy nh p bastion host và có th c information server Quy lu t filtering trên router ngoài yêu c u s dung dich v proxy b!ng cách ch" cho phép thông tin ra b t ngu)n tbastion host 27 u i m: K t n công c n phá... tin u m*i packet (packet header), dùng phép truy n các packet ó • trên m ng ó là: a ch" IP n i xu t phát ( IP Source address) 16 cho • a ch" IP n i nh n (IP Destination address) • Nh ng th t c truy n tin (TCP, UDP, ICMP, IP tunnel) • C ng TCP/UDP n i xu t phát (TCP/UDP source port) • C ng TCP/UDP n i nh n (TCP/UDP destination port) • D ng thông báo ICMP ( ICMP message type) • giao di n packet • giao di... packet-filtering router có hai ch c n ng: chuy n ti p truy n thông gi a hai m ng và s d ng các quy lu t v l c gói cho phép hay t- ch(i truy n thông C n b n, các quy lu t l c m ng n i b c nh ngh a sao cho các host trên c quy n truy nh p tr c ti p t i Internet, trong khi các host trên Internet ch" có m t s( gi i h n các truy nh p vào các máy tính trên m ng n i b T t ng c a mô c u trúc firewall này là t . Nghe trm Vic nghe trm thông tin trên mng có th a li nhng thông tin có ích nh tên-mt kh,u ca ngi s dng, các thông tin mt chuyn qua mng yêu cu này, thông thng yêu cu v bo mt c coi là yêu cu s( 1 (i vi thông tin lu tr trên mng. Tuy nhiên, ngay c khi nhng thông tin này không