Mạng máy tính: Các vấn đề an toàn mạng và tường lửa

Vấn đề chuẩn hóa mạng máy tính và các tổ chức chuẩn hóa mạng

-Các chuẩn thực tiễn (de facto) do các hãng sản xuất, các tổ chức người sử dụng xây dựng và được dùng rộng rãi trong thực tế.

Mô hình tham chiếu OSI 7 lớp

Để làm được việc đó, ngoài chức năng kiểm tra số tuần tự phát, thu, kiểm tra và phát hiện, xử lý lỗi, lớp vận chuyển còn có chức năng điều khiển lưu lượng số liệu để đồng bộ giữa thể thu và phát và tránh tắc ngẽn số liệu khi chuyển qua lớp mạng. Nhiệm vụ của lớp phiên là quản lý việc trao đổi số liệu, Ví Dụ: thiết lập giao diện giữa người dùng và máy, xác định thông số điều khiển trao đổi số liệu (tốc độ truyền, số bit trong một byte, có kiểm tra lỗi parity hay không, v.v.), xác định loại giao thức mô phỏng thiết bị cuối (Terminal emulation), v.v.

Họ giao thức TCP/IP

Giao thức trao đổi dữ liệu “có liên kết” (connection – oriented) TCP được sử dụng ở tầng vận chuyển để đảm bảo tính chính xác và tin cậy việc trao đổi dữ liệu dựa trên kiến trúc kết nối “không liên kết” ở tầng liên mạng IP. Nếu địa chỉ IP đích là địa chỉ của một trạm nằm trên cùng một mạng IP với trạm nguồn thì các gói dữ liệu sẽ được chuyển thẳng tới đích; nếu địa chỉ IP đích không nằm trên cùng một mạng IP với máy nguồn thì các gói dữ liệu sẽ được gửi đến một máy trung chuyển, IP gateway để chuyển tiếp. Một gói dữ liệu IP có độ dài tối đa 65536 byte, trong khi hầu hết các tầng liên kết dữ liệu chỉ hỗ trợ các khung dữ liệu nhỏ hơn độ lớn tối đa của gói dữ liệu IP nhiều lần (Ví Dụ độ dài lớn nhất của một khung dữ liệu Ethernet là 1500 byte).

Một gói dữ liệu (datagram) nhận được từ một mạng nào đó có thể quá lớn để truyền đi trong gói đơn ở trên một mạng khác, bởi mỗi loại cấu trúc mạng cho phép một đơn vị truyền cực đại (Maximum Transmit Unit – MTU), khác nhau.

Giao thức TCP

Cũng giống như ở các giao thức khác, các thực thể ở tầng trên sử dụng TCP thông qua các hàm dịch vụ nguyên thuỷ (service primitives), hay còn gọi là các lời gọi hàm (function call). Vì một kết nối TCP có cùng số hiệu cổng và cùng địa chỉ IP được dùng lại nhiều lần, do đó việc thay đổi giá trị INS ngăn không cho các kết nối dùng lại các dữ liệu đã cũ (stale) vẫn còn được truyền từ một kết nối cũ và có cùng một địa chỉ kết nối. Thông điệp này còn chứa giá trị ISN của tiến trình trạm trong trường hợp số tuần tự thu để báo rằng thực thể dịch vụ đã nhận được giá trị ISN của tiến trình trạm (bước 2).

Vì kết nối TCP là song công (full–duplex) nên mặc dù nhận được yêu cầu kết thúc kết nối của A (A thông báo hết số liệu gửi) thực thể B vẫn có thể tiếp tục truyền số liệu cho đến khi B không còn số liệu để gửi và thông báo cho A bằng yêu cầu kết thúc kết nối với FIN=1 của mình.

Internet

Trong năm 1994, hãng máy tính SUN Corporation công bố một ngôn ngữ mới, gọi là JAVA(cafe), cho phép lập trình cục bộ trên INTERNET, các chương trình JAVA được gọi thẳng từ các siêu văn bản qua các siêu liên (Applet).  Mạng lục địa: Gồm các hãng điều tiết quốc gia hay liên quốc gia, cung cấp phương tiện truyền tin cho các khách hàng trên một vùng nhất định của một lục địa: VIETPAC (Việt Nam), TRANSPAC (Pháp), AUSPAC (Australia), TELEPAC ( Singapore),. – Các hãng điều tiết Internet: Các hãng này, có khả năng cung cấp đường kết nối liên tục vào siêu mạng (on–line services), họ tham gia vào việc quản lý hệ Internet trên phạm vi một địa phương hay một quốc gia: VIETPAC (VDC – Việt Nam), AUSPAC, TRANSPAC,.

Các hãng thuê bao cổng vào thường kết hợp với việc làm các dịch vụ Internet như: thuê làm trang cội nguồn (Home Page), thiết kế và xây dựng các siêu văn bản, quản lý các nhóm hội thảo (Newgroup), dịch vụ Intranet,.

Khái niệm về bức tờng lửa

Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xỏc định rừ cỏc thụng số địa chỉ. Một cách cụ thể, Firewall không thể chống lại một cuộc tấn công từ một đường dial–up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm. Khi có một số chương trình được chuyển theo thư điện tử, vượt qua Firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây.

• Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của Firewall (một Ví Dụ là các virus máy tính).

Những kiến trúc cơ bản của Firewall Dưới đây sẽ đưa ra một số kiến trúc Firewall cơ bản, các kiến trúc khác có

Nếu dùng phương pháp cấp account cho user trên máy dual– homed host thì user không thích sử dụng dịch vụ phiền phức như vậy, vì mỗi lần họ muốn sử dụng dịch vụ thì phải loging in vào máy khác (dual homed host) khác với máy của họ đây là vấn đề rất là không trong suốt với người sử dụng. Dual–Homed Host: Khó có thể bảo vệ tốt vì máy này cùng lúc cung cấp nhiều dịch vụ, vi phạm qui tắc căn bản là mỗi phần tử hay thành phần nên giữ ít chức năng nếu có thể được (mỗi phần tử nên giữ ít chức năng càng tốt), cũng như tốc độ đáp ứng khó có thể cao vì cùng lúc đảm nhận nhiều chức năng. Cũng tương tự như kiến trúc Dual–Homed Host khi mà Packet Filtering system cũng như Bastion Host chứa các Proxy Server bị đột nhập vào (người tấn công đột nhập được qua các hàng rào này) thì lưu thông của internal network bị người tấn công thấy.

Đối với những hệ thống yêu cầu cung cấp dịch vụ nhanh, an toàn cho nhiều người sử dụng đồng thời cũng như khả năng theo dừi lưu thụng của mỗi người sử dụng trong hệ thống và dữ liệu trao đổi giữ các người dùng trong hệ thống cần được bảo vệ thì kiến trúc cơ bản trên phù hợp.

Các thành phần của Firewall và cơ chế hoạt động

• Bộ lọc gói (Packet Filter)
• Cổng ứng dụng (Application–Level Gateway)

Hơn nữa, việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP..) được phép mới chạy được trên hệ thống mạng cục bộ. • Việc định nghĩa các chế độ lọc gói là một việc khá phức tạp; nó đòi hỏi người quản trị mạng cần có hiểu biết chi tiết về các dịch vụ Internet, các dạng Packet Header, và các giá trị cụ thể mà họ có thể nhận trên mỗi trường. • Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên mạng, bởi vì ứng dụng Proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy nhập được bởi các dịch vụ.

Điều này làm cho hệ thống bức tường lửa dễ dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ Internet, trong khi vẫn cung cấp chức năng bức tường lửa để bảo vệ mạng nội bộ từ những sự tấn công bên ngoài.

Hệ thống Packet Filtering

• Nguyên tắc hoạt động của hệ thống Packet Filtering

Không có khả năng bảo vệ ở cấp application, không thể thay đổi hoạt động của một dịch vụ, không giám sát được từng chức năng trên một dịch vụ cụ thể để có thể cấm hoặc cho phép một chức năng nào đó trên dịch vụ nào đó (nói như vậy là tùy thuộc vào hiện thực của Packet Filtering System nhưng mà hầu hết các khả năng có thể làm được là như trên) Packet Filtering cũng không cho phép chúng ta cấm hoặc cho phép user này có thể được sử dụng một dịch vụ nào đó nhưng mà user khác thì không được phép. Khả năng lọc gói theo dạng này có thể được dùng để cho phép một số máy nào đó ở bên ngoài có thể trao đổi dữ liệu với một số máy nào đó ở trong mạng cần bảo vệ, hoặc cũng có thể bảo vệ được những dạng đánh lừa thông tin trong Packet (những Packet xuất phát từ Internet (bên ngoài) mà có địa chỉ máy gửi lại là địa chỉ máy ở trong mạng mạng bảo vệ. − Dạng tấn công giả danh cơ bản nhất là sự giả mạo địa chỉ máy gửi (source address), người tấn công sẽ gửi dữ liệu cho chúng ta mà sử dụng địa chỉ máy gửi không phải là địa chỉ máy của họ, thường họ sẽ đoán một số địa chỉ mà hệ thống của chúng ta tin tưởng, sau đó họ sẽ sử dụng địa chỉ này như là địa chỉ máy gửi với hy vọng rằng chúng ta sẽ.

Trong một số trường hợp, đối với nghi thức có kết nối như TCP, máy nguồn thực sự (máy mà người tấn công lấy địa chỉ để giả danh) sẽ phản hồi lại những Packet mà hệ thống của chúng ta gửi cho họ (những Packet mà hệ thống chúng ta trả lời cho những Packet của người tấn công) dẫn đến kết quả là những kết nối hiện hành giữ máy của chúng ta với máy người tấn công có thể bị reset.