Tường lửa - Bảo vệ hệ thống mạng khỏi tấn công

GIỚI THIỆU VỀ FIREWALL

• ĐỐI TƯỢNG BẢO VỆ
• PHÂN LOẠI KẺ TẤN CÔNG
• INTERNET FIREWALL

Trên thực tế, trong các cuộc tấn công trên Internet, kẻ tấn công, sau khi đã làm chủ được hệ thống bên trong, có thể sử dụng các máy này để phục vụ cho mục đích của mình nhằm chạy các chương trình dò mật khẩu người sử dụng, sử dụng các liên kết mạng sẵn có để tiếp tục tấn công các hệ thống khác vv. Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS..) thành các gói dữ liệu (data pakets) rồi gán cho các packet này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng. Hơn nữa, việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP..) được phép mới chạy được trên hệ thống mạng cục bộ.

- Việc định nghĩa các chế độ lọc package là một việc khá phức tạp; đòi hỏi người quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạng packet header, và các giá trị cụ thể có thể nhận trên mỗi trường. Điều này làm cho hệ thống Firewall dễ dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ Internet, trong khi vẫn cung cấp chức năng Firewall để bảo vệ mạng nội bộ từ những sự tấn công bên ngoài. Firewall dựa trên bộ định tuyến làm việc rất nhanh do nó chỉ kiểm tra lướt trên các địa chỉ nguồn mà không hề có yêu cầu thực sự nào đối với bộ định tuyến, không tốn thời gian xử lý những địa chỉ sai hay không hợp lệ.

Dịch vụ gọi là ánh xạ cổng (portmapper) sẽ ánh xạ các lời gọi tới dịch vụ RPC thành số dịch vụ gán sẵn, tuy nhiên, do không có sự tương ứng giữa số dịch vụ với bộ định tuyến lọc gói tin, nên bộ định tuyến không nhận biết được dịch vụ nào dùng cổng nào, vì thế nó không thể ngăn chặn hoàn toàn các dịch vụ này, trừ khi bộ định tuyến ngăn toàn bộ các gói tin UDP (các dịch vụ RPC chủ yếu sử dụng giao thức UDP hay User Datagram Protocol). Quá trình phá Firewall gồm hai giai đoạn: đầu tiên phải tìm ra dạng Firewall mà mạng sử dụng cùng các loại dịch vụ hoạt động phía sau nó; tiếp theo là phát hiện khe hở trên Firewall đó, giai đoạn này thường khó khăn hơn. Căn bản, các quy luật lọc đựơc định nghĩa sao cho các host trên mạng nội bộ được quyền truy nhập trực tiếp tới Internet, trong khi các host trên Internet chỉ có một số giới hạn các truy nhập vào các máy tính trên mạng nội bộ.

Điều đó dẫn đến mỗi một host được phép truy nhập trực tiếp vào Internet cần phải được cung cấp một hệ thống xác thực phức tạp, và thường xuyên kiểm tra bởi người quản trị mạng xem có dấu hiệu của sự tấn công nào không. Bởi vì các hệ thống nội bộ và bastion host ở trên cùng một mạng, chính sách bảo mật của một tổ chức sẽ quyết định xem các hệ thống nội bộ được phép truy nhập trực tiếp vào bastion Internet hay là chúng phải sử dụng dịch vụ proxy trên bastion host.

BASTION HOST

• CÁC LOẠI BASTION HOST ĐẶC BIỆT
• CHỌN MÁY
• XÂY DỰNG MỘT BASTION HOST AN TOÀN VÀ CHỐNG LẠI SỰ TẤN CÔNG

Victim machine hữu dụng để chạy các dịch vụ khó cung cấp an toàn với proxy, packet filtering hoặc cá dịch vụ mới mà chúng ta chưa biết chính sách bảo mật thích hợp. Là một bastion host chỉ cung cấp các dịch vụ trên Internet, nó là nơi dễ bị tấn công, nên các máy này cần tăng cường bảo mật. Nó chỉ cần giới hạn việc truy cập đến mạng bên trong, chúng thường chỉ cung cấp một ít dịch vụ với một số định nghĩa tốt về bảo mật và không cần hỗ trợ các người sử dụng bên trong.

WINDOWS 2K tùy theo khả năng làm chủ hệ điều hành nào, sao cho cài đặt được proxy server, bộ lọc packet, server phục vụ cho SMTP và DNS. Thường thì bastion host không cần máy tính mạnh bởi sự giới hạn tốc độ kết nối ra Internet và không xử lí nhiều, trừ khi mạng nội bộ cung cấp dịch vụ trên Internet và mạng nội bộ được nhiều người biết đến trên phạm vi rộng lớn. Chọn phần cứng có tốc độ xử lí không cần mạnh, nhưng bộ nhớ phải nhiều và dung lượng đĩa lớn để có thể lưu trữ thông tin đã yêu cầu để cung cấp cho những yêu cầu giống yêu cầu đã có hoặc ghi lại dấu vết của các kết nối.

• Các dịch vụ không an toàn khi được cung cấp bình thường và không thể đạt được an toàn, dịch vụ này phải được vô hiệu hóa và cung cấp trên máy thử nghiệm. Bảo vệ an toàn cho các tập tin nhật kí hệ thống (system log): là phương pháp thể hiện hoạt động của bastion host, cơ sở để kiểm tra bị tấn công. - Chạy kiểm tra (dùng phần mềm) sự an toàn: Để biết lỗ hổng bảo mật, thiết lập một cơ sở dữ liệu tổng hợp thông tin của tất cả các tập tin trong hệ thống để nhận biết được sự thay đổi các tập tin này về sau bởi những người thay đổi trái phép.

CÁC DỊCH VỤ INTERNET

• Quảng cáo về mình, về công ty hay tổ chưc của mình cũng như xem các loại quảng cáo trên Thế giới, từ kiếm việc làm, tuyển mộ nhân viên, coonng nghệ và sản phẩm mới, tìm bạn…. Hầu hết các thông báo ở dạng text (văn bản) đơn giản, nhưng người sử dụng có thê gửi kèm các file dạng hình ảnh, âm thanh. Hệ thống email trên Internet là hệ thống thư điện tử lớn nhất trên thế giới hiện nay, và thường được sử dụng với các hệ thống chuyển thư khác.

Khả năng chuyển thư điện tử trên Web có bị hạn chế hơn so với các hệ thống chuyển thư trên Internet, bởi vì Web là một phương tiện trao đổi công cộng, còn thư có tính chất riêng tư. FTP vô cùng hữu ích cho người dùng Internet, bởi vì khi tìm kiếm trên Internet bạn có thể thấy rất nhiều thư viện phần mềm hữu ích trên các lĩnh vực mà bạn muốn sao chép về máy để sử dụng. Telnet rất hữu ích khi bạn muốn chạy một ứng dụng mà không có hoặc không chạy dược trên máy tính của bạn, ví dụ bạn muốn chạy một ứng dụng UNIX nhưng máy của bạn lại là PC.

Telnet cho bạn khả năng làm việc trên một máy tính ở xa hàng ngàn cây số mà bạn vẫn có cảm giác như đang ngồi trước máy đó. Archie là một loại thư viện thường xuyên tự động tìm kiếm các máy tính trên Internet, tạo ra một kho dữ liệu về danh sách các file có thể nạp xuống (down load) từ Internet. Người dùng chỉ cần gửi tên file hoặc từ khóa tìm kiếm đến Archie, Archie sẽ cho lại địa chỉ của các file có tên đó hoặc chứa những từ khóa đó.

PROXY

Tối thiểu Finger có thể cho bạn biết ai đang truy nhập một hệ thống máy tính nào đó, tên login của người đó là gì. Finger còn có thể cung cấp cho bạn các thông tin khác, như là một người nào đó đã login vào mạng bao lâu. Vì thế Finger có thể được coi là người trợ giúp đắc lực nhưng cũng là mối hiểm họa cho an toàn mạng.

• Theo www.nyu.edu: proxy server là một server đứng giữa một ứng dụng của client, như web browser, và một server ở xa (remote server). Proxy server xem xét các request xem nó có thể xử lý bằng cache của nó không, nếu không thể, nó sẽ chuyển yêu cầu này đến remote server.Theo www.webopedia.com: proxy server là một server đứng giữa một ứng dụng client, như web browser, và một server thực. Nó chặn tất cả các yêu cầu đến các server thực để xem xem nó có khả năng đá ứng được không, nếu không thể, nó sẽ chuyển các yêu cầu này đến các server thực.

• Theo www.stayinvisible.com: proxy server là một loại buffer giữa máy tính của bạn và các tài nguyên trên mạng internet mà bạn đang truy cập, dữ liệu bạn yêu cầu sẽ đến proxy trước, sau đó mới được chuyển đến máy của bạn. • Tăng tốc kết nối: các proxy có một cơ chế gọi là cache, cơ chế cache cho phép proxy lưu trữ lại những trang được truy cập nhiều nhất, điều này làm cho việc truy cập của bạn sẽ nhanh hơn, vì bạn được đáp ứng yêu cầu một cách nội bộ mà không phải lấy thông tin trực tiếp từ internet. • Filtering: ngăn cản các truy cập không được cho phép như các trang đồi trụy, các trang phản động….