An toàn thông tin là nhu cầu rất quan trọng đối với cá nhân cũng như đối với xã hội và các quốc gia trên thế giới. Mạng máy tính an toàn thông tin được tiến hành thông qua cá phương pháp vật lý và hành chính. Từ khi ra đời cho đến nay mạng máy tính đã đem lại hiệu quả vô cùng to lớn trong tất cả các lĩnh vực của đời sống. Bên cạnh đó người sử dụng phải đối mặt với các hiểm họa do thông tin trên mạng của họ bị tấn công. An toàn thông tin trên mạng máy tính bao gồm các phương pháp nhằm bảo vệ thông tin được lưu giữ và truyền trên mạng. An toàn thông tin trên mạng máy tính là một lĩnh vực đang được quan tâm đặc biệt đồng thời cũng là một công việc hết sức khó khăn và phức tạp.
Nghiên cứu khoa học PHẦN I: TỔNG QUAN VỀ AN TỒN THƠNG TIN TRÊN MẠNG An tồn thơng tin nhu cầu quan trọng cá nhân xã hội quốc gia giới Mạng máy tính an tồn thơng tin tiến hành thông qua cá phương pháp vật lý hành Từ đời mạng máy tính đem lại hiệu vơ to lớn tất lĩnh vực đời sống Bên cạnh người sử dụng phải đối mặt với hiểm họa thông tin mạng họ bị cơng An tồn thơng tin mạng máy tính bao gồm phương pháp nhằm bảo vệ thơng tin lưu giữ truyền mạng An toàn thơng tin mạng máy tính lĩnh vực quan tâm đặc biệt đồng thời cơng việc khó khăn phức tạp Thực tế chứng tỏ có tình trạng đáng lo ngại bị công thông tin q trình xử lý, truyền lưu giữ thơng tin Những tác động bất hợp pháp lên thông tin với mục đích làm tổn thất, sai lạc, lấy cắp tệp lưu giữ tin, chép thông tin mật, giả mạo người phép sử dụng thông tin mạng máy tính Sau vài ví dụ điển hình tác động bất hợp pháp vào mạng máy tính: Các sinh viên trường Đại học Tổng hợp Mỹ lập cài đặt vào máy tính chương trình bắt chước làm việc với người sử dụng xa Bằng chương trình họ nắm trước nhu cầu người sử dụng hỏi mật họ Đến bị phát sinh viên kịp lấy mật 100 người sử dụng hợp pháp hệ thống máy tính Các nhân viên hãng CDC(Mỹ) “xâm nhập” vào trung tâm tính tốn hãng sản xuất hóa phẩm phá hủy liệu lưu giữ băng từ gây thiệt hại cho hãng tới 100.000$ Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 Nghiên cứu khoa học Hãng bách khoa tồn thư Anh đưa tịa kĩ thuật viên trung tâm máy tính với lời buộc tội họ chép từ ổ đĩa máy chủ tên tuổi gần triệu khách hàng đáng giá hãng để bán cho hãng khác Chiếm vị trí đáng kể số hành động phi pháp cơng mạng máy tính hành vi xâm nhập vào hệ thống, phá hoại ngầm, gây nổ, làm hỏng đường cáp kết nối hệ thống mã hóa Song phổ biến việc phá hủy phần mềm xử lý thông tin tự động, hành vi thường gây thiệt hại vô lớn lao Cùng với gia tăng nguy đe dọa thông tin mạng máy tính, vấn đề bảo vệ thơng tin quan tâm nhiều Sau kết nghiên cứu điều tra của viện Stendfooc (Mỹ), tình hình bảo vệ thơng tin có thay đổi đáng kể Đến năm 1985 nhiều chuyên gia Mỹ đến kết luận tác động phi pháp hệ thống thơng tin tính tốn trở thành tai họa quốc gia.Khi có đủ tài liệu nghiên cứu, hiệp hội luật gia Mỹ tiến hành nghiên cứu đặc biệt Kết gần nửa số ý kiến thăm dị thơng báo năm 1984 họ nạn nhân hành động tội phạm thực máy tính, nhiều số nạn nhân thơng báo cho quyền tội phạm., 39% số nạn nhân có thơng báo lại khơng mục tiêu mà nghi vấn Đặc biệt nhiểu vụ phạm pháp xảy mạng máy tính quan kinh doanh nhà băng Theo chuyên gia, tính đến trước năm 1990 Mỹ lợi lộc thu từ việc thâm nhập phi pháp vào hệ thống thông tin lên tới gần 10 triệu đô la Tổn thất trung bình mà nạn nhân phải trả vụ phạm pháp từ 400.000 đến 1.5 triệu la Có hãng phải tun bố phá sản nhân viên cố ý phá bỏ tất tài liệu kế toán chứa nhớ máy tính số nợ nợ Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 Nghiên cứu khoa học I CÁC HÌNH THỨC TẤN CƠNG 1.1 Tấn cơng trực tiếp: Những công trực tiếp thông thường sử dụng giai đoạn đầu để chiếm quyền truy nhập bên Một phương pháp công cổ điển dị tìm tên ngời sử dụng mật Đây phương pháp đơn giản, dễ thực khơng địi hỏi điều kiện đặc biệt để bắt đầu Kẻ cơng sử dụng thông tin tên người dùng, ngày sinh, địa chỉ, số nhà vv để đoán mật Trong trường hợp có danh sách người sử dụng thơng tin mơi trường làm việc, có trương trình tự động hố việc dị tìm mật Một chương trình dễ dàng lấy từ Internet để giải mật mã hố hệ thống unix có tên crack, có khả thử tổ hợp từ từ điển lớn, theo quy tắc người dùng tự định nghĩa Trong số trường hợp, khả thành cơng phương pháp lên tới 30% Phương pháp sử dụng lỗi chương trình ứng dụng thân hệ điều hành sử dụng từ vụ công tiếp tục để chiếm quyền truy nhập Trong số trường hợp phương pháp cho phép kẻ cơng có quyền người quản trị hệ thống (root hay administrator) Hai ví dụ thường xuyên đưa để minh hoạ cho phương pháp ví dụ với chương trình sendmail chương trình rlogin hệ điều hành UNIX Sendmail chương trình phức tạp, với mã nguồn bao gồm hàng ngàn dịng lệnh ngơn ngữ C Sendmail chạy với quyền ưu tiên người quản trị hệ thống, chương trình phải có quyền ghi vào hộp thư Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 Nghiên cứu khoa học người sử dụng máy Và Sendmail trực tiếp nhận yêu cầu thư tín mạng bên ngồi Đây yếu tố làm cho sendmail trở thành nguồn cung cấp lỗ hổng bảo mật để truy nhập hệ thống Rlogin cho phép người sử dụng từ máy mạng truy nhập từ xa vào máy khác sử dụng tài nguyên máy Trong trình nhận tên mật người sử dụng, rlogin không kiểm tra độ dài dịng nhập, kẻ cơng đưa vào xâu tính tốn trước để ghi đè lên mã chương trình rlogin, qua chiếm quyền truy nhập 1.2 Nghe trộm: Việc nghe trộm thơng tin mạng đưa lại thơng tin có ích tên, mật người sử dụng, thông tin mật chuyển qua mạng Việc nghe trộm thường tiến hành sau kẻ công chiếm quyền truy nhập hệ thống, thơng qua chương trình cho phép bắt gói tin vào chế độ nhận tồn thông tin lưu truyền mạng Những thông tin dễ dàng lấy Internet 1.3 Giả mạo địa chỉ: Việc giả mạo địa IP thực thơng qua việc sử dụng khả dẫn đường trực tiếp (source-routing) Với cách cơng này, kẻ cơng gửi gói tin IP tới mạng bên với địa IP giả mạo (thông thường địa mạng máy coi an toàn mạng bên trong), đồng thời rõ đường dẫn mà gói tin IP phải gửi Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 Nghiên cứu khoa học 1.4 Vô hiệu chức hệ thống (DoS, DDoS): Đây kểu công nhằm tê liệt hệ thống, không cho thực chức mà thiết kế Kiểu công ngăn chặn được, phương tiện đợc tổ chức cơng phương tiện để làm việc truy nhập thơng tin mạng Ví dụ sử dụng lệnh ping với tốc độ cao có thể, buộc hệ thống tiêu hao tồn tốc độ tính tốn khả mạng để trả lời lệnh này, khơng cịn tài ngun để thực cơng việc có ích khác Hình Mơ hình cơng DdoS Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 Nghiên cứu khoa học • Client attacker xếp cơng • Handler host thỏa hiệp để chạy chương trình đặc biệt dùng đê cơng • Mỗi handler có khả điều khiển nhiều agent • Mỗi agent có trách nhiệm gửi stream data tới victim 1.5 Lỗi người quản trị hệ thống: Đây kiểu công kẻ đột nhập, nhiên lỗi người quản trị hệ thống thờng tạo lỗ hổng cho phép kẻ công sử dụng để truy nhập vào mạng nội 1.6 Tấn công vào yếu tố người: Kẻ cơng liên lạc với ngời quản trị hệ thống, giả làm người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập hệ thống, chí thay đổi số cấu hình hệ thống để thực phương pháp công khác Với kiểu công không thiết bị ngăn chặn cách hữu hiệu, có cách giáo dục người sử dụng mạng nội yêu cầu bảo mật để đề cao cảnh giác với tượng đáng nghi Nói chung yếu tố ngời điểm yếu hệ thống bảo vệ nào, có giáo dục cộng với tinh thần hợp tác từ phía người sử dụng nâng cao độ an toàn hệ thống bảo vệ Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 Nghiên cứu khoa học II CÁC DỊCH VỤ BẢO VỆ THÔNG TIN TRÊN MẠNG Chúng ta coi dịch vụ bảo vệ thông tin “bản sao” thao tác bảo vệ tài liệu vật lý Các tài liệu vật lý có chữ kí thơng tin ngày tạo Chúng bảo vệ nhằm chống lại việc đọc trộm, giả mạo, phá hủy… Chúng công chứng, chứng thực, ghi âm, chụp ảnh… Tuy nhiên có điểm khác tài liệu điện tử tài liệu giấy: - Ta phân biệt tài liệu giấy nguyên tài liệu chép Nhưng tài liệu điện tử dãy bit nên phân đâu tài liệu “nguyên bản” đâu tài liệu chép - Một thay đổi tài liệu giấy để lại dấu vết vết xóa, tẩy… Tuy nhiên thay đổi tài liệu điện tử hồn tồn khơng để lại dấu vết Dưới dịch vụ bảo vệ thông tin mạng máy tính 2.1 Dịch vụ bí mật (Confidentiality) Dịch vụ bí mật bảo đảm thông tin hệ thống máy tính thơng tin truyền đọc bên ủy Thao tác đọc bao gồm in, hiển thị,…Nói cách khác, dịch vụ bí mật bảo vệ liệu truyền chống lại công bị động nhằm khám phá nội dung thông báo Thông tin bảo vệ tất liệu truyền hai người dùng khoảng thời gian thông báo lẻ hay số trường thông báo Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 Nghiên cứu khoa học Dịch vụ cung cấp khả bảo vệ luồng thông tin khỏi bị cơng phân tích tình 2.2 Dịch vụ xác thực (Authentication) Dịch vụ xác thực đảm bảo việc truyền thông xác thực nghĩa người gửi người nhận không bị mạo danh Trong trường hợp có thơng báo đơn tín hiệu cảnh báo, tín hiệu chng, dịch vụ xác thực đảm bảo với bên nhận thông báo đến từ bên nêu danh Trong trường hợp có giao dịch xảy ra, dịch vụ xác thực đảm bảo hai bên giao dịch xác thực khơng có kẻ giả danh làm bên trao đổi Nói cách khác, dịch vụ xác thực yêu cầu nguồn gốc thông báo nhận dạng với định danh 2.3 Dịch vụ toàn vẹn (Integrity) Dịch vụ tồn vẹn địi hỏi tài ngun hệ thống máy tính thơng tin truyền khơng bị sử đổi trái phép Việc sửa đổi bao gồm thao tác viết, thay đổi, thay đổi trạng thái, xóa thơng báo, tạo thơng báo, làm trể dùng lại thơng báo truyền Dịch vụ tồn vẹn áp dụng cho thơng báo, luồng thông báo hay số trường thông báo Dịch vụ toàn vẹn định hướng kết nối (connection-oriented) áp dụng cho luồng thơng báo bảo đảm thơng báo nhận có nội dung giống gửi, không bị nhân bản, chèn, sửa đổi, thay đổi trật tự hay dùng lại kể hủy hoại số liệu Như dịch vụ toàn vẹn định hướng kết nối quan tâm đến việc thay đổi thông báo từ chối dịch vụ Mặt khác, dịch vụ Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 Nghiên cứu khoa học toàn vẹn phi kết nối quan tâm đến việc sử đổi thông báo Dịch vụ toàn vẹn thiên phát ngăn chặn 2.4 Không thể chối bỏ (Nonrepudiation) Dịch vụ chối bỏ ngăn chặn người gửi hay người nhận chối bỏ thông báo truyền Khi thông báo gửi người nhận chứng minh người gửi nêu danh gửi Khi thơng báo nhận được, người gửi chứng minh thơng báo nhận người nhận hợp pháp 2.5 Kiểm soát truy nhập (Access control) Kiểm soát truy nhập khả hạn chế kiểm soát truy nhập đến hệ thống máy tính ứng dụng theo đường truyền thông Mỗi thực thể muốn truy nhập đuề phải định danh hay xác nhận có quyền truy nhập phù hợp 2.6 Sẵn sàng phục vụ (Availability) Sẵn sàng phục vụ đòi hỏi tài nguyên hệ thống máy tính ln sẵn sàng bên ủy quyền cần thiết Các cơng làm giảm khả sẵn sàng phục vụ chương trình phần mềm tài nguyên phần cứng mạng máy tính Các phần mềm hoạt động sai chức gây hậu không lường trước Các mối đe dọa chủ yếu tới an toàn hệ thống mạng xuất phát từ tính mở kênh truyền thơng (chúng cổng dùng cho truyền thông hợp pháp tiến trình client, server) hậu làm cho hệ thống bị công Chúng ta phải thừa nhận kênh truyền thông, tất Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 Nghiên cứu khoa học mức phần cứng phần mềm hệ thống chịu nguy hiểm mối đe dọa Biện pháp để ngăn chặn kiểu công là: - Xây dựng kênh truyền thơng an tồn để tránh việc nghe trộm - Thiết kế giao thức xác nhận lẫn máy khách hàng máy chủ: + Các máy chủ phải đảm bảo máy khách hàng máy người dùng mà chúng đòi hỏi + Các máy khách hàng phải đảm bảo máy chủ cung cấp dịch vụ đặc trưng máy chủ ủy quyền cho dịch vụ + Đảm bảo kênh truyền thơng “tươi” nhằm tránh việc dùng lại thông báo III CÁC KỸ THUẬT BẢO VỆ THÔNG TIN TRÊN MẠNG Mã hóa Việc mã hóa thơng báo có vai trị sau: Nó dùng để che dấu thơng tin mật đặt hệ thống Như biết, kênh truyền thông vật lý bị công nghe trộm xuyên tạc thông báo Theo truyền thống, việc trao đổi thư từ mật mã dùng hoạt động quân sự, tình báo Điều dựa nguyên tắc thông báo mã hóa với khóa mã xác định giải mã người biết khóa ngược tương ứng Nó dùng để hỗ trợ cho chế truyền thông xác thực cặp người dùng hợp pháp mà ta gọi người ủy nhiệm (Principal) Một người ủy 10 Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 Nghiên cứu khoa học Bªn DMZ Bên Packet filtering router Bastion host The Internet Inside router Outside router Information server Hình 15: Mơ hình DMZ 47 Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 Nghiên cứu khoa học Với thơng tin đến, router ngồi chống lại công chuẩn (như giả mạo địa IP), điều khiển truy nhập tới DMZ Hệ thống cho phép bên truy nhập vào bastion host Router cung cấp bảo vệ thứ hai cách điều khiển DMZ truy nhập mạng nội với truyền thông bastion host Với thông tin đi, router điều khiển mạng nội truy nhập tới DMZ Nó cho phép hệ thống bên truy nhập bastion host information server Quy luật filtering router yêu cầu sử dung dich vụ proxy cách cho phép thông tin bắt nguồn từ bastion host Ưu điểm: Kẻ công cần phá vỡ ba tầng bảo vệ: router ngoài, bastion host router Bởi router ngồi quảng cáo DMZ network tới Internet, hệ thống mạng nội nhìn thấy (invisible) Chỉ có số hệ thống chọn DMZ biết đến Internet qua routing table DNS information exchange (Domain Name Server) Bởi router quảng cáo DMZ network tới mạng nội bộ, hệ thống mạng nội truy nhập trực tiếp vào Internet Điều đảm bảo user bên bắt buộc phải truy nhập Internet qua dịch vụ proxy 48 Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 Nghiên cứu khoa học B BASTION HOST Bastion Host máy tính có độ an tồn cao, bố trí điểm giao tiếp người sử dụng mạng nội mạng bên ngồi, nơi thường bị công mạng nội I NGUYÊN LÝ CƠ BẢN ĐỂ THIẾT KẾ VÀ XÂY DỰNG BASTION HOST Sự đơn giản: Một bastion host đơn giản dễ bảo vệ bastion host có lỗi phần mềm hay lỗi cấu hình nó, vấn đề cần quan tâm bảo mật Vì để bastion host khả lỗi nên cung cấp tập nhỏ dịch vụ với đặc quyền tối thiểu mà đầy đủ vai trò Dự phịng cho phương án bastion host bị tổn thương mà không ảnh hưởng đến mạng nội Nên đốn trước xấu xảy để có kế hoạch cho nó, ln dặt câu hỏi điều xảy baston host bị tổn thương Chúng ta nhấn mạnh điều máy bastion host dễ bị công nhất, mạng bên ngồi truy cập đến cịn chống lại cơng từ mạng bên ngồi vào hệ thống mạng nội 49 Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 Nghiên cứu khoa học II CÁC LOẠI BASTION HOST ĐẶC BIỆT Có nhiều loại bastion host, có loại xây dựng Screened host host cung cấp dịch vụ Screened network Thường cấu hình tương tự có vài yêu cầu đặc biệt Dual-homed host khơng có chức định tuyến Bản thân firewall, phần firewall phức tạp Nó cấu bastion host khác phải cẩn thận Victim machines(máy dùng để thử nghiệm) Victim machine hữu dụng để chạy dịch vụ khó cung cấp an tồn với proxy, packet filtering cá dịch vụ mà chưa biết sách bảo mật thích hợp Nó cung cấp nhu cầu tối thiểu cần thiết cho dịch vụ, để tránh tương tác khơng cần thiết Nó cấu bastion host khác, ngồi trừ chúng cho người sử dụng login vào Internal bastion host Là host mạng nội cài đặt bastion host tương tác với bastion host Nó khơng giống bastion host khác mạng nộ bộ, vai trị bastion host phụ, bastion host mạng nộ tương tác với bastion host phụ 50 Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 Nghiên cứu khoa học External bastion host Là bastion host cung cấp dịch vụ Internet, nơi dễ bị cơng, nên máy cần tăng cường bảo mật Nó cần giới hạn việc truy cập đến mạng bên trong, chúng thường cung cấp dịch vụ với số định nghĩa tốt bảo mật không cần hỗ trợ người sử dụng bên III CHỌN MÁY Bước để xây dựng bastion host định sử dụng loại máy gì? Hệ điều hành gì? Bastion host cần nhanh nào? Phần cứng hỗ trợ Hệ điều hành Nên chọn hệ điều hành UNIX/LINUX/WINDOWS NT/ WINDOWS 2K tùy theo khả làm chủ hệ điều hành nào, cho cài đặt proxy server, lọc packet, server phục vụ cho SMTP DNS Chọn máy tính nhanh Thường bastion host khơng cần máy tính mạnh giới hạn tốc độ kết nối Internet khơng xử lí nhiều, trừ mạng nội cung cấp dịch vụ Internet mạng nội nhiều người biết đến phạm vi rộng lớn Nếu mạng nội cung cấp dịch vụ web cần bastion host có khả chịu tải cao Một vài lí mà bastion host khơng cần máy tính q mạnh: - Một máy chậm không tăng uy tín kẻ cơng 51 Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 Nghiên cứu khoa học - Nếu bastion host bị tổn thương, hữu dụng cho việc cơng vào mạng nội dị mật - Một bastion host chậm hấp dẫn cho người mạng nội làm tổn thương Máy tính tốc độ nhanh làm tăng thời hian chờ nên kết nối chậm Chọn phần cứng Chọn phần cứng có tốc độ xử lí khơng cần mạnh, nhớ phải nhiều dung lượng đĩa lớn để lưu trữ thông tin yêu cầu để cung cấp cho yêu cầu giống yêu cầu có ghi lại dấu vết kết nối IV CHỌN VỊ TRÍ VẬT LÝ ĐẶT BASTION HOST Cần đặt bastion host vị trí vật lí an tồn, người khơng có trách nhiệm khơng đến Ngoài cần ý đến nhiệt độ, nguồn điện thích hợp V VỊ TRÍ BASTION HOST TRÊN MẠNG Tùy theo nhu cầu đặt mạng nội bộ, nên đặt mạng ngoại vi 52 Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 Nghiên cứu khoa học VI CHỌN DỊCH VỤ MẠNG MÀ BASTTION HOST CUNG CẤP Có thể chia dịch vụ thành lớp: • Các dịch vụ an tồn cung cấp qua packet filtering • Các dịch vụ khơng an tồn cung cấp bình thường có khả đạt an tồn điều kiện khác • Các dịch vụ khơng an tồn cung cấp bình thường khơng thể đạt an tồn, dịch vụ phải vơ hiệu hóa cung cấp máy thử nghiệm • Các dịch vụ khơng đến, khơng dùng việc kết nối với Internet Các dịch vụ thường cung cấp bastion host: • SMTP (thư điện tử) • FTP (truyền liệu) • HTTP (web) • DNS (chuyển đổi host thành địa IP ngược lại) DNS dùng trực tiếp Về ý tưởng đặt dịch vụ bastion host, thực tế đạt điều Do vấn đề tài quản lí khó có q nhiều máy Có vài nhận xét nhóm dịch vụ với thành nhóm: • Các dịch vụ quan trọng: Web server phục vụ khách hàng • Các dịch vụ theo đối tượng: người sử dụng bên trong, người siwr dụng bên ngoài… 53 Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 Nghiên cứu khoa học • Các dịch vụ an toàn: dịch vụ tin cậy dịch vụ khơng tin cậy máy khác • Các dịch vụ truy cập có mức độ khác nhau: thơng tin cơng cộng thơng tin riêng tư VII LÍ DO KHÔNG CUNG CẤP TÀI KHOẢN TRUY CẬP TRÊN BASTION HOST Không cung cấp tài khoản cho người sử dụng truy cập Bastion host lí sau: • Tài khoản người sử dụng dễ bị tổn thương • Giảm độ ổn định tin cậy Bastion host • Sự vơ ý người sử dụng làm phá vỡ tính bảo mật • Gia tăng khó khăn dị tìm cơng VIII XÂY DỰNG MỘT BASTION HOST AN TOÀN VÀ CHỐNG LẠI SỰ TẤN CƠNG Bảo đảm máy khơng kết nối với Internet bước cuối Bảo vệ an toàn cho máy Cài đặt hệ điều hành tối thiểu theo yêu cầu Sửa lỗi hệ điều hành qua thông tin nhà sản xuất hệ điều hành 54 Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 Nghiên cứu khoa học Sử dụng bảng liệt kê mục cần kiểm tra an toàn phù hợp với phiên hệ điều hành Bảo vệ an toàn cho tập tin nhật kí hệ thống (system log): phương pháp thể hoạt động bastion host, sở để kiểm tra bị cơng Nên có hai system log để phòng trường hợp tai họa lớn xảy ra, hai system log phải đặt vị trí khác Hủy dịch vụ khơng dùng Hủy dịch vụ khơng cần thiết cung cấp cho bastion host Nếu chức dịch vụ nên tắt nó, tắt có vấn đề ta biết chức Tắt chức định tuyến Tắt tất chương trình có chức định tuyến Hủy chức chuyển tiếp địa IP Cấu hình cho dịch vụ chạy tốt kết nối bastion host vào mạng - Cấu hình hệ điều hành lần cuối - Loại bỏ chương trình khơng cần thiết - Dựng hệ thống file đọc - Chạy kiểm tra (dùng phần mềm) an toàn: Để biết lỗ hổng bảo mật, thiết lập sở liệu tổng hợp thông tin tất tập tin hệ 55 Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 Nghiên cứu khoa học thống để nhận biết thay đổi tập tin sau người thay đổi trái phép C CÁC DỊCH VỤ INTERNET Internet cung cấp hệ thống dịch vụ cho phép người dùng nối vào Internet, truy nhập sử dụng thông tin mạng Internet Hệ thống dịch vụ đã, bổ sung thwo phát triển không ngừng Internet Các dịch vụ bao gồm: World Wide Web (viết tắt WWW hay Web), Email (thư điện tử), FTP (File transfer protocols-dịch vụ chuyển file), Telnet (ứng dụng cho phép truy nhập máy tính xa), Archie (hệ thống xác định thơng tin file directory), Finger (hệ thống xác định user Internet), Rlogin (remote loginvào mạng từ xa) số dịch vụ khác I WORLD WIDE WEB (WWW) WWW dịch vụ Internet đời gần phát triển nhanh Nó cung cấp giao diện thân thiện người sử dụng, dễ sử dụng, vô đơn giản thuận lợi cho việc tìm kiếm thơng tin.WWW liên kết thông tin dựa công nghệ hyper-link (siêu liên kết), cho phép trang web liên kết trực tiếp với qua địa chúng Thông qua WWW người dùng có thể: • Phát hành tin tức đọc tin tức từ khắp nơi giới • Quảng cáo mình, cơng ty hay tổ chưc xem loại quảng cáo Thế giới, từ kiếm việc làm, tuyển mộ nhân viên, coonng nghệ sản phẩm mới, tìm bạn… • Trao đổi thông tn với bạn bè, tổ chức xã hội, trung tâm nghiên cứu trường học… 56 Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 Nghiên cứu khoa học • Thực dịch vụ chuyển tiền hay mua bán hàng hóa • Truy cập Cơ sở liệu tổ chức phép Và nhiều hoạt động khác… II ELECTRONIC MAIL ( EMAIL-THƯ ĐIỆN TỬ ) Email dịch vụ Internet sử dụng rộng rãi nhât Hầu hết thông báo dạng text (văn bản) đơn giản, người sử dụng có thê gửi kèm file dạng hình ảnh, âm Hệ thống email Internet hệ thống thư điện tử lớn giới nay, thường sử dụng với hệ thống chuyển thư khác Khả chuyển thư điện tử Web có bị hạn chế so với hệ thống chuyển thư Internet, Web phương tiện trao đổi cơng cộng, cịn thư có tính chất riêng tư Vì vậy, khơng phải tất Web brower cung cấp chức email Hai brower lớn Netscape Internet Explorer cunng cấp chức email III FTP(FILE TRANSFER PROTOCOLS) FTP dịch vụ cho phép chép file từ hệ thống máy tính sang hệ thống máy tính khác FTP bao gồm thủ tục chương trình ứng dụng, số dịch vụ đờ sớm Internet FTP dùng mức hệ thống (gõ lệnh vào command-line) web brower hay số tiện ích khác FTP vơ hữu ích cho người dùng Internet, tìm kiếm Internet bạn thấy nhiều thư viện phần mềm hữu ích lĩnh vực mà bạn muốn chép máy để sử dụng 57 Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 Nghiên cứu khoa học IV TELNET VÀ RLOGIN Telnet dịch vụ cho phép bạn truy nhập vào máy tính xa chạy ứng dụng máy Telnet hữu ích bạn muốn chạy ứng dụng mà khơng có khơng chạy dược máy tính bạn, ví dụ bạn muốn chạy ứng dụng UNIX máy bạn lại PC Hay máy tính bạn khơng đủ mạnh khơng có file liệu cần thiết Telnet cho bạn khả làm việc máy tính xa hàng ngàn số mà bạn có cảm giác ngồi trước máy Chức Rlogin(vào mạng từ xa) tương tự Telnet V ARCHIE Archie loại thư viện thường xuyên tự động tìm kiếm máy tính Internet, tạo kho liệu danh sách file nạp xuống (down load) từ Internet Do liệu file ln ln Archie tiện dụng cho người dùng việc tìm kiếm download file Người dùng cần gửi tên file từ khóa tìm kiếm đến Archie, Archie cho lại địa file có tên chứa từ khóa VI FINGER Finger chương trình ứng dụng cho phép tìm địa user khác mạng Internet Tối thiểu Finger cho bạn biết truy nhập hệ thống máy tính đó, tên login người 58 Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 Nghiên cứu khoa học Fnger hay sử dụng để tìm địa email bạn bè Internet Finger cịn cung cấp cho bạn thơng tin khác, người login vào mạng Vì Finger coi người trợ giúp đắc lực mối hiểm họa cho an toàn mạng D PROXY I PROXY LÀ GÌ??? • Theo www.learnthat.com: proxy thiết bị cho phép kết nối vào internet, đứng workstation mạng internet, cho phép bảo mật kết nối, cho phép số cổng protocol đó, vd: tcp, http, telnet cổng 80, 23… Khi client yêu cầu trang đó, yêu cầu chuyển đến proxy server, proxy server chuyển tiếp yêu cầu đến site Khi yêu cầu đáp trả, proxy trả kết lại cho client tương ứng Proxy server dùng để ghi nhận việc sử dụng internet ngăn chặn trang bị cấm • Theo www.nyu.edu: proxy server server đứng ứng dụng client, web browser, server xa (remote server) Proxy server xem xét request xem xử lý cache khơng, khơng thể, chuyển u cầu đến remote server.Theo www.webopedia.com: proxy server server đứng ứng dụng client, web browser, server thực Nó chặn tất yêu cầu đến server thực để xem xem có khả đá ứng khơng, khơng thể, chuyển yêu cầu đến server thực • Theo www.stayinvisible.com: proxy server loại buffer máy tính bạn tài nguyên mạng internet mà bạn truy cập, liệu bạn yêu cầu đến proxy trước, sau chuyển đến máy bạn 59 Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 Nghiên cứu khoa học Hình 16: Mơ hình Proxy Hình 17: Mơ hình proxy đơn giản 60 Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 Nghiên cứu khoa học II TẠI SAO PROXY RA ĐỜI • Tăng tốc kết nối: proxy có chế gọi cache, chế cache cho phép proxy lưu trữ lại trang truy cập nhiều nhất, điều làm cho việc truy cập bạn nhanh hơn, bạn đáp ứng yêu cầu cách nội mà lấy thơng tin trực tiếp từ internet • Bảo mật: truy cập phải thông qua proxy nên việc bảo mật thực triệt để • Filtering: ngăn cản truy cập không cho phép trang đồi trụy, trang phản động… III TỔNG KẾT CHUNG VỀ PROXY Theo định nghĩa giá trị mà proxy mang lại đề cập trên, ta thấy proxy thật có lợi • Tuy nhiên, lợi dụng ý tưởng proxy, số server mạng tự biến thành trạm chung chuyển, trung gian cho kết nối khơng cho phép Chính điều đưa thêm định nghĩa mới, ý nghĩa giành cho proxy • Rất nhiều địa mạng lý mà bị cấm truy cập người dùng trang web đồi trụy, trang phản động, nội dung không lành mạnh… Tuy nhiên, để chống lại điều này, nói trên, số server biến thành proxy để giúp cho kết nối cấm thực 61 Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 ... Hạnh_Mã sinh viên:5417123 Nghiên cứu khoa học • Bức tường lửa (Firewall) Để bảo vệ từ xa máy tính cho mạng nội bộ, người ta thường dùng hệ thống đặc biệt tường lửa Chức tường lửa ngăn chặn thâm nhập... thống thơng tin tính tốn trở thành tai họa quốc gia.Khi có đủ tài liệu nghiên cứu, hiệp hội luật gia Mỹ tiến hành nghiên cứu đặc biệt Kết gần nửa số ý kiến thăm dị thơng báo năm 1984 họ nạn nhân... toàn mạng bên trong), đồng thời rõ đường dẫn mà gói tin IP phải gửi Giáo viên hướng dẫn: TS Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123 Nghiên cứu khoa học 1.4 Vô hiệu