1. Trang chủ
  2. » Công Nghệ Thông Tin

An ninh thông tin trên mạng

26 535 0
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 26
Dung lượng 206,36 KB

Nội dung

4 1. An toàn thông tin trên mng 1.1 Ti sao cn có Internet Firewall Hin nay, khái nim mng toàn cu - Internet không còn mi m. Nó ã tr nên ph bin ti mc không cn phi chú gii gì thêm trong nhng tp chí k thut, còn trên nhng tp chí khác thì tràn ngp nhng bài vit dài, ngn v Internet. Khi nhng tp chí thông thng chú tr ng vào Internet thì gi ây, nhng tp chí k thut li tp trung vào khía cnh khác: an toàn thông tin. ó cùng là mt quá trình tin trin hp logic: khi nhng vui thích ban u v mt siêu xa l thông tin, bn nht nh nhn thy r!ng không ch" cho phép bn truy nhp vào nhiu ni trên th gii, Internet còn cho phép nhiu ngi không mi mà t ý ghé thm máy tính ca bn. Thc vy, Internet có nhng k thut tuyt vi cho phép m i ngi truy nhp, khai thác, chia s thông tin. Nhng nó c#ng là nguy c chính d$n n thông tin ca bn b h h%ng ho&c phá hu' hoàn toàn. Theo s( liu ca CERT(Computer Emegency Response Team - “i cp cu máy tính”), s( lng các v tn công trên Internet c thông báo cho t chc này là ít hn 200 vào nm 1989, khong 400 vào nm 1991, 1400 vào nm 1993, và 2241 vào nm 1994. Nhng v tn công này nh!m vào tt c các máy tính có m&t trên Internet, các máy tính ca tt c các công ty ln nh AT&T, IBM, các trng i h c, các c quan nhà nc, các t chc quân s, nhà bng . Mt s( v tn công có quy mô khng l) (có ti 100.000 máy tính b tn công). Hn na, nhng con s( này ch" là phn ni ca tng bng. Mt phn rt ln các v tn công 5 không c thông báo, vì nhiu lý do, trong ó có th k n n*i lo b mt uy tín, ho&c n gin nhng ngi qun tr h th(ng không h hay bit nhng cuc tn công nh!m vào h th(ng ca h . Không ch" s( lng các cuc tn công tng lên nhanh chóng, mà các phng pháp tn công c#ng liên tc c hoàn thin. iu ó mt phn do các nhân viên qun tr h th(ng c kt n(i vi Internet ngày càng  cao cnh giác. C#ng theo CERT, nhng cuc tn công thi k+ 1988- 1989 ch yu oán tên ngi s dng-mt kh,u (UserID- password) ho&c s dng mt s( l*i ca các chng trình và h iu hành (security hole) làm vô hiu h th(ng bo v, tuy nhiên các cuc tn công vào thi gian gn ây bao g)m c các thao tác nh gi mo a ch" IP, theo dõi thông tin truyn qua mng, chim các phiên làm vic t- xa (telnet ho&c rlogin). 6 1.2 Bn mun bo v cái gì? Nhim v c bn ca Firewall là bo v. Nu bn mu(n xây dng firewall, vic u tiên bn cn xem xét chính là bn cn bo v cái gì. 1.2.1 D liu ca bn Nhng thông tin lu tr trên h th(ng máy tính cn c bo v do các yêu cu sau:  Bo mt: Nhng thông tin có giá tr v kinh t, quân s, chính sách vv . cn c gi kín.  Tính toàn v.n: Thông tin không b mt mát ho&c sa i, ánh tráo.  Tính kp thi: Yêu cu truy nhp thông tin vào úng thi im cn thit. Trong các yêu cu này, thông thng yêu cu v bo mt c coi là yêu cu s( 1 (i vi thông tin lu tr trên mng. Tuy nhiên, ngay c khi nhng thông tin này không c gi bí mt, thì nhng yêu cu v tính toàn v.n c#ng rt quan tr ng. Không mt cá nhân, mt t chc nào lãng phí tài nguyên vt cht và thi gian  lu tr nhng thông tin mà không bit v tính úng n ca nhng thông tin ó. 1.2.2 Tài nguyên ca bn Trên thc t, trong các cuc tn công trên Internet, k tn công, sau khi ã làm ch c h th(ng bên trong, có th s dng các máy này  phc v cho mc ích ca mình nh chy các chng trình dò mt kh,u ngi s dng, s dng các liên kt mng s/n có  tip tc tn công các h th(ng khác vv . 7 1.2.3 Danh ting ca bn Nh trên ã nêu, mt phn ln các cuc tn công không c thông báo rng rãi, và mt trong nhng nguyên nhân là n*i lo b mt uy tín ca c quan, &c bit là các công ty ln và các c quan quan tr ng trong b máy nhà nc. Trong trng hp ngi qun tr h th(ng ch" c bit n sau khi chính h th(ng ca mình c dùng làm bàn p  tn công các h th(ng khác, thì tn tht v uy tín là rt ln và có th  li hu qu lâu dài. 8 1.3 Bn mun bo v chng li cái gì? Còn nhng gì bn cn phi lo lng. Bn s0 phi ng u vi nhng kiu tn công nào trên Internet và nhng k nào s0 thc hin chúng? 1.3.1 Các kiu tn công Có rt nhiu kiu tn công vào h th(ng, và có nhiu cách  phân loi nhng kiu tn công này.  ây, chúng ta chia thành 3 kiu chính nh sau: 1.3.1.1 Tn công trc tip Nhng cuc tn công trc tip thông thng c s dng trong giai on u  chim c quyn truy nhp bên trong. Mt phng pháp tn công c in là dò c&p tên ngi s dng-mt kh,u. ây là phng pháp n gin, d1 thc hin và không òi h%i mt iu kin &c bit nào  bt u. K tn công có th s dng nhng thông tin nh tên ngi dùng, ngày sinh, a ch", s( nhà vv  oán mt kh,u. Trong trng hp có c danh sách ngi s dng và nhng thông tin v môi trng làm vic, có mt trng trình t ng hoá v vic dò tìm mt kh,u này. mt trng trình có th d1 dàng ly c t- Internet  gii các mt kh,u ã mã hoá ca các h th(ng unix có tên là crack, có kh nng th các t hp các t- trong mt t- in ln, theo nhng quy tc do ngi dùng t nh ngha. Trong mt s( trng hp, kh nng thành công ca phng pháp này có th lên ti 30%. Phng pháp s dng các l*i ca chng trình ng dng và bn thân h iu hành ã c s dng t- nhng v tn công u tiên và v$n c tip tc  chim quyn truy 9 nhp. Trong mt s( trng hp phng pháp này cho phép k tn công có c quyn ca ngi qun tr h th(ng (root hay administrator). Hai ví d thng xuyên c a ra  minh ho cho phng pháp này là ví d vi chng trình sendmail và chng trình rlogin ca h iu hành UNIX. Sendmail là mt chng trình phc tp, vi mã ngu)n bao g)m hàng ngàn dòng lnh ca ngôn ng C. Sendmail c chy vi quyn u tiên ca ngi qun tr h th(ng, do chng trình phi có quyn ghi vào hp th ca nhng ngi s dng máy. Và Sendmail trc tip nhn các yêu cu v th tín trên mng bên ngoài. ây chính là nhng yu t( làm cho sendmail tr thành mt ngu)n cung cp nhng l* hng v bo mt  truy nhp h th(ng. Rlogin cho phép ngi s dng t- mt máy trên mng truy nhp t- xa vào mt máy khác s dng tài nguyên ca máy này. Trong quá trình nhn tên và mt kh,u ca ngi s dng, rlogin không kim tra  dài ca dòng nhp, do ó k tn công có th a vào mt xâu ã c tính toán trc  ghi è lên mã chng trình ca rlogin, qua ó chim c quyn truy nhp. 1.3.1.2 Nghe trm Vic nghe trm thông tin trên mng có th a li nhng thông tin có ích nh tên-mt kh,u ca ngi s dng, các thông tin mt chuyn qua mng. Vic nghe trm thng c tin hành ngay sau khi k tn công ã chim c quyn truy nhp h th(ng, thông qua các chng trình cho phép a v" giao tip mng (Network Interface Card-NIC) vào ch  nhn toàn b các thông tin lu truyn trên mng. 10 Nhng thông tin này c#ng có th d1 dàng ly c trên Internet. 1.3.1.3 Gi mo a ch Vic gi mo a ch" IP có th c thc hin thông qua vic s dng kh nng d$n ng trc tip (source- routing). Vi cách tn công này, k tn công gi các gói tin IP ti mng bên trong vi mt a ch" IP gi mo (thông thng là a ch" ca mt mng ho&c mt máy c coi là an toàn (i vi mng bên trong), )ng thi ch" rõ ng d$n mà các gói tin IP phi gi i. 1.3.1.4 Vô hiu hoá các chc nng ca h thng (denial of service) ây là ku tn công nh!m tê lit h th(ng, không cho nó thc hin chc nng mà nó thit k. Kiu tn công này không th ngn ch&n c, do nhng phng tin c t chc tn công c#ng chính là các phng tin  làm vic và truy nhp thông tin trên mng. Ví d s dng lnh ping vi t(c  cao nht có th, buc mt h th(ng tiêu hao toàn b t(c  tính toán và kh nng ca mng  tr li các lnh này, không còn các tài nguyên  thc hin nhng công vic có ích khác. 1.3.1.5 Li ca ngi qun tr h thng ây không phi là mt kiu tn công ca nhng k t nhp, tuy nhiên l*i ca ngi qun tr h th(ng thng to ra nhng l* hng cho phép k tn công s dng  truy nhp vào mng ni b. 11 1.3.1.6 Tn công vào yu t con ngi K tn công có th liên lc vi mt ngi qun tr h th(ng, gi làm mt ngi s dng  yêu cu thay i mt kh,u, thay i quyn truy nhp ca mình (i vi h th(ng, ho&c thm chí thay i mt s( cu hình ca h th(ng  thc hin các phng pháp tn công khác. Vi kiu tn công này không mt thit b nào có th ngn ch&n mt cách hu hiu, và ch" có mt cách giáo dc ngi s dng mng ni b v nhng yêu cu bo mt   cao cnh giác vi nhng hin tng áng nghi. Nói chung yu t( con ngi là mt im yu trong bt k+ mt h th(ng bo v nào, và ch" có s giáo dc cng vi tinh thn hp tác t- phía ngi s dng có th nâng cao c  an toàn ca h th(ng bo v. 1.3.2 Phân loi k tn công Có rt nhiu k tn công trên mng toàn cu – Internet và chúng ta c#ng không th phân loi chúng mt cách chính xác, bt c mt bn phân loi kiu này c#ng ch" nên c xem nh là mt s gii thiu hn là mt cách nhìn rp khuôn. 1.3.2.1 Ngi qua ng Ngi qua ng là nhng k bu)n chán vi nhng công vic thng ngày, h mu(n tìm nhng trò gii trí mi. H t nhp vào máy tính ca bn vì h ngh bn có th có nhng d liu hay, ho&c bi vì h cm thy thích thú khi s dng máy tính ca ngi khác, ho&c ch" n gin là h không tìm c mt vic gì hay hn  làm. H có th là ngi tò mò nhng không ch nh làm hi bn. Tuy nhiên, h thng gây h h%ng h th(ng khi t nhp hay khi xoá b% du vt ca h . 12 1.3.2.2 K phá hoi K phá hoi ch nh phá hoi h th(ng ca bn, h có th không thích bn, h c#ng có th không bit bn nhng h tìm thy nim vui khi i phá hoi. Thông thng, trên Internet k phá hoi khá him. M i ngi không thích h . Nhiu ngi còn thích tìm và ch&n ng nhng k phá hoi. Tuy ít nhng k phá hoi thng gây h%ng trm tr ng cho h th(ng ca bn nh xoá toàn b d liu, phá h%ng các thit b trên máy tính ca bn . 1.3.2.3 K ghi im Rt nhiu k qua ng b cu(n hút vào vic t nhp, phá hoi. H mu(n c kh2ng nh mình thông qua s( lng và các kiu h th(ng mà h ã t nhp qua. t nhp c vào nhng ni ni ting, nhng ni phòng b ch&t ch0, nhng ni thit k tinh xo có giá tr nhiu im (i vi h . Tuy nhiên h c#ng s0 tn công tt c nhng ni h có th, vi mc ích s( lng c#ng nh mc ích cht lng. Nhng ngi này không quan tâm n nhng thông tin bn có hay nhng &c tính khác v tài nguyên ca bn. Tuy nhiên  t c mc ích là t nhp, vô tình hay hu ý h s0 làm h h%ng h th(ng ca bn. 1.3.2.4 Gián ip Hin nay có rt nhiu thông tin quan tr ng c lu tr trên máy tính nh các thông tin v quân s, kinh t . Gián ip máy tính là mt vn  phc tp và khó phát hin. Thc t, phn ln các t chc không th phòng th kiu tn công này mt cách hiu qu và bn có th chc r!ng ng liên kt 13 vi Internet không phi là con ng d1 nht  gián ip thu lm thông tin. [...]... t k trong xây d ng ng n ch&n, h n ch ho ho n Trong công ngh m ng thông tin, Firewall là m t k thu t tích h p vào h th(ng m ng c ch(ng s truy c p trái phép nh!m b o v các ngu)n thông tin n i b c#ng nh h n ch s xâm nh p vào h th(ng c a m t s( thông tin khác không mong mu(n C#ng có th hi u r!ng Firewall là m t c ch b o v m ng tin t không tin t ng (trusted network) kh%i các m ng ng (untrusted network) Internet... là: 18 ch(ng l i m b o an ninh Bastion host luôn ch y các version an toàn (secure version) c a các ph n m m h th(ng (Operating system) Các version an toàn này c thi t k chuyên cho m c ích ch(ng l i s System, c#ng nh là t n công vào Operating m b o s tích h p firewall Ch" nh ng d ch v mà ng i qu n tr m ng cho là c n c cài &t trên bastion host, thi t m i n u m t d ch v không công Thông th n gi n ch" vì... packet header, và các giá tr c th mà h có th nh n trên m*i tr ng Khi òi h%i v s l c càng l n, các lu t l v l c càng tr nên dài và ph c t p, r t khó qu n lý và i u khi n Do làm vi c d a trên header c a các packet, rõ ràng là b l c packet không ki m soát c n i dung thông tin c a packet Các packet chuy n qua v$n có th mang theo nh ng hành ng v i ý ) n c p thông tin hay phá ho i c a k x u 1.4.4.2 C ng ng d... trong i nào tbên c phép firewall làm vi c hi u qu , t t c trao • t- trong ra ngoài và ng c l i i thông tin u ph i th c hi n thông qua Firewall • Ch" có nh ng trao i nào c phép b i ch c a h th(ng m ng n i b m i an ninh c quy n l u thông qua Firewall ) ch c n ng h th(ng c a firewall S c mô t nh trong hình 2.1 Intranet Internet firewall Hình 2.1 S ) ch c n ng h th(ng c a firewall 1.4.3 C u trúc Firewall bao... không thông minh nh con ng i có th c hi u t-ng lo i thông tin và phân tích n i dung t(t hay x u c a nó Firewall ch" có th ng n ch&n s xâm nh p c a nh ng ngu)n thông tin không mong mu(n nh ng ph i xác nh rõ các thông s( a ch" Firewall không th ng n ch&n m t cu c t n công n u cu c t n công này không " i qua" nó M t cách c th , firewall không th ch(ng l i m t cu c t n công t- m t ng dial-up, ho&c s dò r" thông. .. n c ng+ph n m m) gi a m ng c a m t t ch c, m t công ty, hay m t qu(c gia (Intranet) và Internet Nó th c hi n vai trò b o m t các thông tin Intranet t- th gi i Internet bên ngoài 1.4.2 Ch c n ng Internet Firewall (t- nay v sau g i t t là firewall) là m t thành ph n &t gi a Intranet và Internet ki m soát t t c các vi c l u thông và truy c p gi a chúng v i nhau bao g)m: • Firewall quy t nh nh ng d ch... ch p nh n nh ng truy n thông n i b xu t phát t- bastion host u i m: 25 Máy ch cung c p các thông tin công c ng qua d ch v Web và FTP có th bastion Trong tr &t trên packet-filtering router và ng h p yêu c u an toàn cao nh t, bastion host có th ch y các d ch v proxy yêu c u t t c các user c trong và ngoài truy nh p qua bastion host tr khi n(i v i máy ch Tr ng h p không yêu c u c an toàn cao thì các máy... i u khi n DMZ truy nh p m ng n i b ch" v i nh ng truy n thông b t u t- bastion host V i nh ng thông tin i, router trong i u khi n m ng n i b truy nh p t i DMZ Nó ch" cho phép các h th(ng bên trong truy nh p bastion host và có th c information server Quy lu t filtering trên router ngoài yêu c u s dung dich v proxy b!ng cách ch" cho phép thông tin ra b t ngu)n tbastion host 27 u i m: K t n công c n phá... tin u m*i packet (packet header), dùng phép truy n các packet ó • trên m ng ó là: a ch" IP n i xu t phát ( IP Source address) 16 cho • a ch" IP n i nh n (IP Destination address) • Nh ng th t c truy n tin (TCP, UDP, ICMP, IP tunnel) • C ng TCP/UDP n i xu t phát (TCP/UDP source port) • C ng TCP/UDP n i nh n (TCP/UDP destination port) • D ng thông báo ICMP ( ICMP message type) • giao di n packet • giao di... packet-filtering router có hai ch c n ng: chuy n ti p truy n thông gi a hai m ng và s d ng các quy lu t v l c gói cho phép hay t- ch(i truy n thông C n b n, các quy lu t l c m ng n i b c nh ngh a sao cho các host trên c quy n truy nh p tr c ti p t i Internet, trong khi các host trên Internet ch" có m t s( gi i h n các truy nh p vào các máy tính trên m ng n i b T t ng c a mô c u trúc firewall này là t . Nghe trm Vic nghe trm thông tin trên mng có th a li nhng thông tin có ích nh tên-mt kh,u ca ngi s dng, các thông tin mt chuyn qua mng yêu cu này, thông thng yêu cu v bo mt c coi là yêu cu s( 1 (i vi thông tin lu tr trên mng. Tuy nhiên, ngay c khi nhng thông tin này không

Ngày đăng: 06/10/2013, 10:20

HÌNH ẢNH LIÊN QUAN

Hình 2.1 S) ch cn ngh th(ng ca firewall - An ninh thông tin trên mạng
Hình 2.1 S) ch cn ngh th(ng ca firewall (Trang 12)
Hình 2.2 C ng vòng - An ninh thông tin trên mạng
Hình 2.2 C ng vòng (Trang 19)
Hình 2.3 Packet-filtering router - An ninh thông tin trên mạng
Hình 2.3 Packet-filtering router (Trang 20)
Hình 2.4 Screened host firewall (Single- Homed Bastion Host) - An ninh thông tin trên mạng
Hình 2.4 Screened host firewall (Single- Homed Bastion Host) (Trang 22)
Hình 2.5 Screened host firewall (Dual- Homed Bastion Host) - An ninh thông tin trên mạng
Hình 2.5 Screened host firewall (Dual- Homed Bastion Host) (Trang 23)

TỪ KHÓA LIÊN QUAN

w