z BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN _ BÀI TIỂU LUẬN MÔN HỌC: KIẾN TRÚC MÁY TÍNH VÀ HỆ ĐIỀU HÀNH ĐỀ TÀI: NGHIÊN CỨU VÀ TÌM HIỂU VỀ HỆN THỐNG BẢO VỆ TRONG HỆ ĐIỀU HÀNH WINDOWS Giáo viên hướng dẫn: THS Nguyễn Tuấn Tú Nhóm số: Nhóm 11 Lớp: IT6067.3_K15 Hà Nội,, năm 2021 TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN _ BÀI TẬP LỚN : KIẾN TRÚC MÁY TÍNH VÀ HỆ ĐIỀU HÀNH ĐỀ TÀI: NGHIÊN CỨU VÀ TÌM HIỂU VỀ HỆN THỐNG BẢO VỆ TRONG HỆ ĐIỀU HÀNH WINDOWS Giáo viên: THS Nguyễn Tuấn Tú Sinh viên thực : Nguyễn Đức Trung Trần Văn Mạnh Phạm Thanh Tú Bế Chấn Hưng Nguyễn Văn Lượng Lớp: IT6067.3_K15 LỜI NÓI ĐẦU Trong bối cảnh tiến trình hội nhập, vấn đề an ninh mạng bảo mật liệu trở nên quan tâm Trong sở hạ tầng công nghệ mạng đáp ứng tốt yêu cầu băng thông, chất lượng dịch vụ, thực trạng cơng mạng lại ngày gia tăng Vì vậy, vấn đề bảo mật cần phải trọng Đó mơt vấn đề cấp bách không với nhà cung cấp dịch vụ Internet, quan phủ mà cịn với tổ chức doanh nghiệp, họ ngày có ý thức an tồn thơng tin Đê bạn có nhìn tổng quan phương pháp bảo v ê h ê thống windows Trong tài liêu xin cung bạn tm hiêu phương thức bảo v ê h ê thống windows CHƯƠNG I: AN NINH MẠNG 1.1 Bảo mật 1.2.Các hình thức cơng mạng 1.2.1.Tấn công trực tiếp 1.2.2.Nghe trôm mạng .7 1.2.3.Giả mạo địa 1.2.4.Vô hiêu hóa chức thống 1.2.5.Tấn công vào yếu tố người .8 1.2.6.Môt số kiêu công khác CHƯƠNG II: CÁC MỐI ĐE DỌA 2.1 Phishing 2.2.Virus Worm 10 2.3.Trojan 10 2.4.Spyware 11 Spyware mơt phần mềm đơc hại có thê download ho ăc cài đ ăt chung với m ôt phần mềm khác Thông thường, loại malware se thu th âp thơng tin người dung Nó có thê môt đoạn code ghi lại website mà người dung truy c âp ho ăc ghi lại mà bạn đánh bàn phím, măt khác có khả thay đổi cấu hình máy tnh bạn mà không cần bất kỳ tương tác người dung 11 CHƯƠNG III: CƠ CHẾ XÁC THỰC: QUẢN LÝ QUYỀN TRUY CẬP VÀ QUẢN LÝ DANH TÍNH( CƠ CHẾ XÁC NHẬN NGƯỜI DÙNG) 11 3.1.Sự khác biệt Authentication Authorization 11 3.2.Network Authentication Systems 12 3.3 Lưu trữ giấy chứng nhận người dung (Storing User Credentials) .13 3.4.Authentication Features of Windows Server 2003 .14 3.5.Giao thức xác thực NTLM Kerberos 15 3.5.1 Giao thức xác thực NTLM 15 3.5.2 Giao thức xác thực Kerberos .16 3.6 LM Authentication .16 3.6.1 LM passwords .17 3.6.2.Vơ hiêu hóa mât khâu LM 17 3.6.3.NTLM Authentication 18 3.7 Quá trình xác thực .18 37.1.Các quy trình xác thực Kerberos 19 3.7.1.1.Kerberos Key Distribution Center 19 3.7.1.2.Quá trình xác thực Kerberos 20 CHƯƠNG IV: TỔNG QUAN VỀ FIREWALL 22 4.1.Firewall 22 4.2.Hoạt đông Firewall 23 CHƯƠNG V: SỬ DỤNG FIREWALL 24 5.1.Internet Firewall .24 5.2.Các Thành phần Firewall chế hoạt đ ông .25 5.2.1.Bơ Lọc Gói Tin: 26 5.2.2Cổng ứng dụng (application-level gateway) 27 5.2.3 Cổng mạch (circuit-Level Gateway) 30 5.3.Những hạn chế Firewall 31 5.4.Các ví dụ Firewall 31 5.4.1.Packet-Filtering Router (Bộ trung chuyên có lọc gói) 32 5.4.2.Screened Host Firewall 33 5.4.3.Demilitarized Zone hay Screened-subnet Firewall .35 5.4.4.ISA (Internet Security Access) .36 KẾT LUẬN 38 .38 TÀI LIỆU THAM KHẢO .39 An tồn thơng tin – Lê Văn Phung .39 Giáo trình Cơ sở an tồn thơng tin – Nguyễn Khanh Vân 39 Windows Server 2003 Security Guide (Microsoft Solutions for Security and Compliance) 39 LỜI NÓI ĐẦU Trong bối cảnh tiến trình hội nhập, vấn đề an ninh mạng bảo mật liệu trở nên được quan tâm Trong sở hạ tầng công nghệ mạng đáp ứng tốt yêu cầu băng thơng, chất lượng dịch vụ, thực trạng cơng mạng lại ngày gia tăng Vì vậy, vấn đề bảo mật cần phải được trọng Đó mơt vấn đề cấp bách khơng với nhà cung cấp dịch vụ Internet, quan phủ mà cịn với tổ chức doanh nghiệp, họ ngày có ý thức an tồn thơng tin Để bạn có nhìn tổng quan phương pháp bảo vệ hệ thống windows Trong tài liệu chúng tơi xin cùng bạn tìm hiểu phương thức bảo vệ hệ thống windows CHƯƠNG I: AN NINH MẠNG 1.1 Bảo mật Trong bối cảnh tiến trình hội nhập, vấn đề an ninh mạng bảo mật liệu trở nên được quan tâm Khi sở hạ tầng công nghệ mạng đáp ứng tốt yêu cầu băng thông, chất lượng dịch vụ, đồng thời thực trạng công mạng ngày gia tăng vấn đề bảo mật được trọng Không nhà cung cấp dịch vụ Internet, quan phủ mà doanh nghiệp, tổ chức có ý thức an tồn thơng tin 1.2.Các hình thức công mạng 1.2.1.Tấn công trực tiếp Những công trực tiếp thông thường được sử dụng giai đoạn đầu để chiếm được quyền truy nhập hệ thống mạng bên 1.2.2.Nghe trộm mạng Thông tin gửi mạng thường được luân chuyển từ máy tính qua hàng loạt máy tính khác đến được đích Điều đó, khiến cho thơng tin ta có thể bị kẻ khác nghe trộm Tồi tệ thế, kẻ nghe trộm thay thế thông tin thông tin họ tự tạo tiếp tục gửi Việc nghe trộm thường được tiến hành sau hacker chiếm được quyền truy nhập hệ thống kiểm sốt đường truyền May mắn thay, cịn có số cách để bảo vệ được nguồn thơng tin cá nhân mạng cách mã hố nguồn thơng tin trước gửi qua mạng Internet Bằng cách này, nếu có đón được thơng tin thông tin vô nghĩa 1.2.3.Giả mạo địa Giả mạo địa có thể được thực thơng qua sử dụng khả dẫn đường trực tiếp Với cách cơng kẻ cơng gửi gói tin tới mạng khác với địa giả mạo, đồng thời rõ đường dẫn mà gói tin phải Thí dụ người có thể giả mạo địa bạn để gửi thơng tin có thể làm ảnh hưởng xấu tới bạn 1.2.4.Vô hiệu hóa chức hệ thống Đây kiểu công làm tê liệt hệ thống, làm khả cung cấp dịch vụ(Denial of Service- DoS) không cho hệ thống thực được chức mà được thiết kế Kiểu cơng khó ngăn chặn phương tiện dùng để tổ chức cơng lại phương tiện dùng để làm việc truy cập thơng tin mạng Một thí dụ trường hợp có thể xảy người mạng sử dụng chương trình đẩy gói tin yêu cầu trạm Khi nhận được gói tin, trạm ln ln phải xử lý tiếp tục thu gói tin đến sau cho đến đệm đầy, dẫn tới tình trạng nhu cầu cung cấp dịch vụ máy khác đến trạm không được phục vụ 1.2.5.Tấn công vào yếu tố người Đây hình thức cơng nguy hiểm có thể dẫn tới tổn thất hết sức khó lường Kẻ cơng có thể liên lạc với người quản trị hệ thống thay đổi số thông tin nhằm tạo điều kiện cho phương thức công khác 1.2.6.Một số kiểu công khác Ngồi hình thức cơng kể trên, hacker cịn sử dụng số kiểu cơng khác tạo virus đặt nằm tiềm ẩn file người sử dụng vơ tình trao đổi thông tin qua mạng mà người sử dụng tự cài đặt lên máy Ngồi cịn nhiều kiểu cơng khác mà chưa biết tới chúng được đưa hacker CHƯƠNG II: CÁC MỐI ĐE DỌA 2.1 Phishing Phishing thủ đoạn hacker nhằm lấy thông tin cá nhân khách hàng cách dùng email giả danh tổ chức tài Cách hay được tên trộm ảo sử dụng Các email tự xưng ngân hàng tổ chức hợp pháp thường được gởi số lượng lớn Nó u cầu người nhận cung cấp thơng tin nhạy cảm tên truy cập, mật khẩu, mã đăng ký số PIN cách dẫn đến đường link tới website nhìn hợp pháp, điều giúp cho tên trộm có thể thu thập được thông tin quý khách để tiến hành giao dịch bất hợp pháp sau Dưới ví dụ e-mail lừa đảo: Hình 1:Một e-mail lừa đảo Nếu nhận được email yêu cầu đăng ký hay nhập lại thông tin cá nhân, cần xóa chúng thơng báo với phận hỗ trợ Ngân hàng điện tử ANZ nơi quý khách có thể hạn chế nguy trở thành nạn nhân email lừa đảo cách: • Tuyệt đối không truy cập vào Ngân hàng điện tử qua link lạ gửi qua mail • Thận trọng với thông emails yêu cầu khai báo thông tin tên truy cập, mật khẩu, mã pin Email xác thực ANZ không yêu cầu chi tiết cá nhân hay đăng nhập thơng tin • Ngay lập tức xóa bỏ email không rõ nguồn gốc, cho dù cho dù có vơ hại hay dùng lời mời chào hấp dẫn thế • Thay đổi mật Ngân hàng điện tử định kỳ • Liên tục cập nhật chương trình diệt virut tường lửa quét máy tính quý khách thường xuyên 2.2.Virus Worm Virut máy tính phần mềm được đính kèm với chương trình khác Giống virus sinh học, phải tự bám vào chương trình khác để sinh trưởng phát triển Khơng giống với trojans hoạt động độc lập, virus có thể hoạt động nếu chương trình chứa hoạt động Trong q trình hoạt động, virus tự sinh sơi lan truyền sang chương trình khác Nó có thể công nguồn ổ đĩa nhớ hay khu vực máy tính Virus qua email hình thức virus máy tính Nó xâm nhập vào tất thư, thường xuyên nhân để phát tán virus đến tất người danh bạ Worm giống virus Nó lợi dụng máy tính nối mạng để xâm nhập vào lỗ hổng bảo mật Khi tìm thấy lỗ hổng bảo mật, xâm nhập cách nhanh chóng từ máy sang máy khác Nó có sức phá hủy tương đương với virut 2.3.Trojan Trojan xuất để thực thi mã độc lớp phía sau Đây khơng phải virut có thể dễ dàng được download mà khơng nhận thấy chúng Remote access Trojan (RAT) loại trojan phổ biến điều khiển truy cập từ xa, ví dụ Back Orifice NetBus; khả chúng cho phép kẻ cơng có thể thực thi 10 nội được quyền lưu thơng qua Firewall Hình 1: Firewall Firewall bao gồm: Một nhiều hệ thống máy chủ kết nối với định tuyến (router) có chức router Các phần mềm quản lý an ninh chạy hệ thống máy chủ Thông thường hệ quản trị xác thực (Authentication), cấp quyền (Authorization) kế toán (Accounting) 5.2.Các Thành phần của Firewall chế hoạt động • Một Firewall chuẩn bao gồm hay nhiều thành phần sau đây: • Bộ lọc packet ( packet-filtering router ) • Cổng ứng dụng (application-level gateway hay proxy server ) 25 • Cổng mạch (circuite level gateway ) 5.2.1.Bộ Lọc Gói Tin: Nguyên lý: Khi nói đến việc lưu thơng liệu mạng với thơng qua Firewall điều có nghĩa Firewall hoạt động chặt chẽ với giao thức liên mạng TCP/IP Vì giao thức làm việc theo thuật toán chia nhỏ liệu nhận được từ ứng dụng mạng, hay nói xác dịch vụ chạy giao thức (Telnet, SMTP, DNS, SMNP, NFS ) thành gói liệu (data packets) gán cho packet địa để có thể nhận dạng, tái lập lại đích cần gửi đến, loại Firewall liên quan nhiều đến packet số địa chúng Bộ lọc packet cho phép hay từ chối packet mà nhận được Nó kiểm tra toàn đoạn liệu để quyết định xem đoạn liệu có thoả mãn số luật lệ lọc packet hay không Các luật lệ lọc packet dựa thông tin đầu packet (packet header), dùng để cho phép truyền packet mạng Đó là: • Địa IP nơi xuất phát ( IP Source address) • Địa IP nơi nhận (IP Destination address) • Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel) • Cổng TCP/UDP nơi xuất phát (TCP/UDP source port) • Cổng TCP/UDP nơi nhận (TCP/UDP destination port) • Dạng thơng báo ICMP ( ICMP message type) • Giao diện packet đến ( incomming interface of packet) 26 • Giao diện packet ( outcomming interface of packet) Nếu luật lệ lọc packet được thoả mãn packet được chuyển qua Firewall Nếu không packet bị bỏ Nhờ mà Firewall có thể ngăn cản được kết nối vào máy chủ mạng được xác định, khoá việc truy cập vào hệ thống mạng nội từ địa không cho phép Hơn nữa, việc kiểm sốt cổng làm cho Firewall có khả cho phép số loại kết nối định vào loại máy chủ đó, có dịch vụ (Telnet, SMTP, FTP ) được phép chạy được hệ thống mạng cục Ưu điểm • Đa số hệ thống Firewall sử dụng lọc packet Một ưu điểm phương pháp dùng lọc packet chi phí thấp chế lọc packet được bao gồm phần mềm router • Ngồi ra, lọc packet suốt người sử dụng ứng dụng, khơng u cầu huấn luyện đặc biệt Hạn chế: • Việc định nghĩa chế độ lọc packet việc phức tạp, địi hỏi người quản trị mạng cần có hiểu biết chi tiết vể dịch vụ Internet, dạng packet header, giá trị cụ thể mà họ có thể nhận trường Khi đòi hỏi vể lọc lớn, luật lệ vể lọc trở nên dài phức tạp, khó để quản lý điều khiển • Do làm việc dựa header packet, rõ ràng lọc packet khơng kiểm sốt được nội dung thông tin packet Các packet chuyển qua có thể mang theo hành động với ý đồ ăn cắp thông tin hay phá hoại kẻ xấu 5.2.2Cổng ứng dụng (application-level gateway) Nguyên lý 27 Đây loại Firewall được thiết kế để tăng cường chức kiểm soát loại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng Cơ chế hoạt động dựa cách thức gọi Proxy service (dịch vụ đại diện) Proxy service chương trình đặc biệt cài đặt gateway cho ứng dụng Nếu người quản trị mạng không cài đặt chương trình proxy cho ứng dụng đó, dịch vụ tương ứng không được cung cấp khơng thể chủn thơng tin qua Firewall Ngồi ra, proxy code có thể được định cấu hình để hỗ trợ số đặc điểm ứng dụng mà ngưòi quản trị mạng cho chấp nhận được từ chối đặc điểm khác Một cổng ứng dụng thường được coi pháo đài (bastion host), được thiết kế đặt biệt để chống lại cơng từ bên ngồi Những biện pháp đảm bảo an ninh bastion host là: Bastion host ln chạy version an tồn (secure version) phần mềm hệ thống (Operating system) Các version an toàn được thiết kế chuyên cho mục đích chống lại cơng vào Operating System, đảm bảo tích hợp Firewall Chỉ dịch vụ mà người quản trị mạng cho cần thiết được cài đặt bastion host, đơn giản nếu dịch vụ khơng được cài đặt, khơng thể bị cơng Thơng thường, số giới hạn ứng dụng cho dịch vụ Telnet, DNS, FTP, SMTP xác thực user được cài đặt bastion host Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ user password hay smart card Mỗi proxy được đặt cấu hình để cho phép truy nhập sồ máy chủ định Điều có nghĩa lệnh đặc điểm thiết lập cho proxy với số máy chủ toàn hệ thống Mỗi proxy trì quyển nhật ký ghi chép lại tồn chi tiết giao thơng qua nó, kết nối, khoảng thời gian kết nối Nhật ký có ích 28 việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại Mỗi proxy độc lập với proxies khác bastion host Điều cho phép dễ dàng trình cài đặt proxy mới, hay tháo gỡ môt proxy có vấn để Ví dụ: Telnet Proxy Ví dụ người (gọi outside client) muốn sử dụng dịch vụ TELNET để kết nối vào hệ thống mạng qua môt bastion host có Telnet proxy Q trình xảy sau: Outside client telnets đến bastion host Bastion host kiểm tra password, nếu hợp lệ outside client được phép vào giao diện Telnet proxy Telnet proxy cho phép tập nhỏ lệnh Telnet, quyết định máy chủ nội outside client được phép truy nhập Outside client máy chủ đích Telnet proxy tạo kết nối riêng tới máy chủ bên trong, chuyển lệnh tới máy chủ uỷ quyền outside client Outside client tin Telnet proxy máy chủ thật bên trong, máy chủ bên tin Telnet proxy client thật Ưu điểm: • Cho phép người quản trị mạng hoàn toàn điều khiển được dịch vụ mạng, ứng dụng proxy hạn chế lệnh quyết định máy chủ có thể truy nhập được dịch vụ • Cho phép người quản trị mạng hồn tồn điều khiển được dịch vụ cho phép, vắng mặt proxy cho dịch vụ tương ứng có nghĩa dịch vụ bị khố • Cổng ứng dụng cho phép kiểm tra độ xác thực tốt, có nhật ký ghi chép lại thông tin truy nhập hệ thống 29 • Luật lệ filltering (lọc) cho cổng ứng dụng dễ dàng cấu hình kiểm tra so với lọc packet Hạn chế: Yêu cầu users biến đổi (modìy) thao tác, modìy phần mềm cài đặt máy client cho truy nhập vào dịch vụ proxy Ví dụ, Telnet truy nhập qua cổng ứng dụng đòi hỏi hai bước đê nối với máy chủ chứ bước Tuy nhiên, có số phần mềm client cho phép ứng dụng cổng ứng dụng suốt, cách cho phép user máy đích chứ khơng phải cổng ứng dụng lệnh Telnet 5.2.3 Cổng mạch (circuit-Level Gateway) Cổng vòng chức đặc biệt có thể thực đươc cổng ứng dụng Cổng vòng đơn giản chuyển tiếp (relay) kết nối TCP mà không thực hành động xử lý hay lọc packet Hình 2: Cổng vịng Hình minh hoạ hành động sử dụng nối telnet qua cổng vòng Cổng vòng đơn giản chuyển tiếp kết nối telnet qua Firewall mà không thực kiểm tra, lọc hay điều khiển thủ tục Telnet nào.Cổng vòng làm việc sợi dây,sao chép byte kết nối bên (inside connection) kết nối bên 30 (outside connection) Tuy nhiên, kết nối xuất từ hệ thống Firewall, che dấu thơng tin mạng nội Cổng vòng thường được sử dụng cho kết nối ngoài, nơi mà quản trị mạng thật tin tưởng người dùng bên Ưu điểm lớn bastion host có thể được cấu hỗn hợp cung cấp Cổng ứng dụng cho kết nối đến, cổng vòng cho kết nối Điều làm cho hệ thống bức tường lửa dễ dàng sử dụng cho người mạng nội muốn trực tiếp truy nhập tới dịch vụ Internet, cung cấp chức bức tường lửa để bảo vệ mạng nội từ cơng bên ngồi 5.3.Những hạn chế của Firewall Firewall không đủ thông minh người để có thể đọc hiểu loại thơng tin phân tích nội dung tốt hay xấu Firewall có thể ngăn chặn xâm nhập nguồn thông tin không mong muốn phải xác định rõ thông số địa Firewall không thể ngăn chặn công nếu công khơng "đi qua" Một cách cụ thể, Firewall khơng thể chống lại công từ đường dial-up, dị rỉ thơng tin liệu bị chép bất hợp pháp lên đĩa mềm Firewall không thể chống lại công liệu (data-driven attack) Khi có số chương trình được chuyển theo thư điện tử, vượt qua Firewall vào mạng được bảo vệ bắt đầu hoạt động Một ví dụ virus máy tính Firewall không thể làm nhiệm vụ rà quét virus liệu được chuyển qua nó, tốc độ làm việc, xuất liên tục virus có nhiều cách để mã hóa liệu, thoát khỏi khả kiểm soát Firewall 5.4.Các ví dụ Firewall 31 5.4.1.Packet-Filtering Router (Bộ trung chuyển có lọc gói) Hệ thống Internet Firewall phổ biến bao gồm packet-filtering router đặt mạng nội Internet (Hình 2.3) Một packet-filtering router có hai chức năng: chuyển tiếp truyền thông hai mạng sử dụng quy luật lọc gói để cho phép hay từ chối truyền thông Căn bản, quy luật lọc đựơc định nghĩa cho host mạng nội được quyền truy nhập trực tiếp tới Internet, host Internet có số giới hạn truy nhập vào máy tính mạng nội Tư tưởng mô cấu trúc Firewall tất khơng được rõ ràng cho phép có nghĩa bị từ chối Hình 3: Packet-filtering router Ưu điểm: • Giá thành thấp (vì cấu hình đơn giản) • Trong suốt người sử dụng Hạn chế: • Có tất hạn chế packet-filtering router, dễ bị công vào lọc mà cấu hình được đặt khơng hồn hảo, bị công ngầm dịch vụ được phép 32 • Bởi packet được trao đổi trực tiếp hai mạng thông qua router , nguy bị công quyết định số lượng host dịch vụ được phép Điều dẫn đến host được phép truy nhập trực tiếp vào Internet cần phải được cung cấp hệ thống xác thực phức tạp, thường xuyên kiểm tra người quản trị mạng xem có dấu hiệu cơng khơng • Nếu packet-filtering router cố ngừng hoạt động, tất hệ thống mạng nội có thể bị cơng 5.4.2.Screened Host Firewall Hệ thống bao gồm packet-filtering router bastion host (hình f2.4) Hệ thống cung cấp độ bảo mật cao hệ thống trên, thực bảo mật tầng network( packet-filtering ) tầng ứng dụng (application level) Đồng thời, kẻ công phải phá vỡ hai tầng bảo mật để cơng vào mạng nội Hình 4: Screened host Firewall (Single- Homed Bastion Host) Trong hệ thống này, bastion host được cấu hình mạng nội Qui luật filtering packet-filtering router được định nghĩa cho tất hệ thống bên có thể truy nhập bastion host; Việc truyền thơng tới tất 33 hệ thống bên bị khố Bởi hệ thống nội bastion host cùng mạng, sách bảo mật tổ chức quyết định xem hệ thống nội được phép truy nhập trực tiếp vào bastion Internet chúng phải sử dụng dịch vụ proxy bastion host Việc bắt buộc user nội được thực cách đặt cấu hình lọc router cho chấp nhận truyền thông nội xuất phát từ bastion host Ưu điểm: • Máy chủ cung cấp thông tin công cộng qua dịch vụ Web FTP có thể đặt packet-filtering router bastion Trong trường hợp yêu cầu độ an tồn cao nhất, bastion host có thể chạy dịch vụ proxy yêu cầu tất user truy nhập qua bastion host trước nối với máy chủ Trường hợp không yêu cầu độ an tồn cao máy nội có thể nối thẳng với máy chủ • Nếu cần độ bảo mật cao có thể dùng hệ thống Firewall dual-home (hai chiều) bastion host (hình f2.5) Một hệ thống bastion host có giao diện mạng (network interface), khả truyền thơng trực tiếp hai giao diện qua dịch vụ proxy bị cấm Hình 5: Screened host Firewall (Dual- Homed Bastion Host) 34 Bởi bastion host hệ thống bên có thể truy nhập được từ Internet, công giới hạn đến bastion host mà Tuy nhiên, nếu người dùng truy nhập được vào bastion host họ có thể dễ dàng truy nhập tồn mạng nội Vì cần phải cấm không cho người dùng truy nhập vào bastion host 5.4.3.Demilitarized Zone hay Screened-subnet Firewall Hệ thống bao gồm hai packet-filtering router bastion host (hình 2.6) Hệ thống Firewall có độ an tồn cao cung cấp mức bảo mật : network application định nghĩa mạng “phi qn sự” Mạng DMZ đóng vai trị mạng nhỏ, cô lập đặt Internet mạng nội Cơ bản, DMZ được cấu hình cho hệ thống Internet mạng nội có thể truy nhập được số giới hạn hệ thống mạng DMZ, truyền trực tiếp qua mạng DMZ không thể được Với thông tin đến, router ngồi chống lại cơng chuẩn (như giả mạo địa IP), điều khiển truy nhập tới DMZ Nó cho phép hệ thống bên ngồi truy nhập bastion host, có thể information server Router cung cấp bảo vệ thứ hai cách điều khiển DMZ truy nhập mạng nội với truyền thông bắt đầu từ bastion host Với thông tin đi, router điều khiển mạng nội truy nhập tới DMZ Nó cho phép hệ thống bên truy nhập bastion host có thể information server Quy luật filtering router yêu cầu sử dung dich vụ proxy cách cho phép thông tin bắt nguồn từ bastion host Ưu điểm: • Kẻ cơng cần phá vỡ ba tầng bảo vệ: router ngoài, bastion host router • Bởi router ngồi quảng cáo DMZ network tới Internet, hệ thống mạng nội không thể nhìn thấy (invisible) Chỉ có số hệ thống 35 được chọn DMZ được biết đến Internet qua routing table DNS information exchange (Domain Name Server) • Bởi router quảng cáo DMZ network tới mạng nội bộ, hệ thống mạng nội không thể truy nhập trực tiếp vào Internet Điều đảm bảo user bên bắt buộc phải truy nhập Internet qua dịch vụ proxy Hình 6: Screened-Subnet Firewall 5.4.4.ISA (Internet Security Access) ISA phần mềm phổ biến tốt bảo mật dùng cho HDH window ISA Server 2004 được thiết kế để bảo vệ Mạng, chống xâm nhập từ bên ngồi lẫn kiểm sốt truy cập từ bên Mạng nội tổ chức ISA Server 2004 Firewall làm điều thơng qua chế điều khiển ǵ có thể 36 được phép qua Firewall bị ngăn chặn Chúng ta hh́nh dung đơn giản sau: Có quy tắc được áp đặt Firewall cho phép thơng tin được truyền qua Firewall, sau thông tin được “Pass” qua, ngược lại nếu khơng có bất ḱ quy tắc cho phép thông tin truyền qua, thông tin bị Firewall chặn lại ISA Server 2004 Firewall chứa nhiều tính mà Security Admin có thể dùng để đảm bảo an toàn cho việc truy cập Internet, bảo đảm an ninh cho tài nguyên Mạng nội Cuốn sách cung cấp cho Security Admin hiểu được khái niệm tổng quát dùng tính phổ biến, đặc thù ISA SERVER 2004, thông qua bước hướng dẫn cụ thể (Steps by Steps) Firewalls không làm việc mơi trường khơng có gì, đơn giản triển khai Firewall để bảo vệ ǵ đó, có thể PC, Server hay hệ thống Mạng với nhiều dịch vụ được triển khai Web, Mail, Database… Chúng ta có hướng dẫn đầy đủ việc triển khai dịch vụ cần thiết cho hoạt động mạng tổ chức cách thức cài đặt cấu hh́nh dịch vụ thế Và điều tối quan trọng Mạng dịch vụ phải được cấu hh́nh cách trước triển khai Firewall Điều giúp tránh được vấn đề phiền toái nảy sinh triển khai ISA SERVER 2004 37 KẾT LUẬN Có thể nói, An ninh q trình liên tục Một bạn muốn hoàn thành cài đặt ban đầu triển khai đầy đủ, bạn phải tiếp tục cảnh giác Kẻ gian liên tục cố gắng để đạt được quyền truy cập vào tài nguyên bạn Bạn phải thận trọng liên tục đảm bảo an ninh mạnh mẽ được áp dụng kiểm tra toàn tổ chức bạn để có hội tốt để bảo vệ tài sản bạn Bài tiểu luận được tổng hợp từ nhiều nguồn tài liệu nước được nhóm tìm hiểu đúc kết lại Việc dịch từ nguồn tài liệu nước ngồi khơng tránh khỏi sai sót q trình làm mong nhận được góp ý nhận xét từ thầy bạn đọc 38 TÀI LIỆU THAM KHẢO An tồn thơng tin – Lê Văn Phùng Giáo trình Cơ sở an tồn thơng tin – Nguyễn Khanh Vân Windows Server 2003 Security Guide (Microsoft Solutions for Security and Compliance) Cryptography and Network Security - CS8792, CS6701 Building Internet Firewalls - D Brent Chapman & Elizabeth D Zwicky Hết 39 ... NGHIỆP HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN _ BÀI TẬP LỚN : KIẾN TRÚC MÁY TÍNH VÀ HỆ ĐIỀU HÀNH ĐỀ TÀI: NGHIÊN CỨU VÀ TÌM HIỂU VỀ HỆN THỐNG BẢO VỆ TRONG HỆ ĐIỀU HÀNH WINDOWS Giáo viên: THS Nguyễn... nhìn tổng quan phương pháp bảo vệ hệ thống windows Trong tài liệu xin cùng bạn tìm hiểu phương thức bảo vệ hệ thống windows CHƯƠNG I: AN NINH MẠNG 1.1 Bảo mật Trong bối cảnh tiến trình hội... tất hệ thống mạng nội có thể bị công 5.4.2.Screened Host Firewall Hệ thống bao gồm packet-filtering router bastion host (hình f2.4) Hệ thống cung cấp độ bảo mật cao hệ thống trên, thực bảo