An ninh mạng Internet và các biện pháp phòng tránh tấn công

MỤC LỤC

Phân loại kẻ tấn công

Họ là những kẻ buồn chán với công việc hàng ngày, muốn giải trí bằng cách đột nhập vào các hệ thống mạng, không chủ định phá hoại, nhưng những hành vi xâm nhập và việc họ xoá dấu vết khi rút lui có thể vô tình làm cho hệ thống bị trục trặc. Tóm lại trước vấn đề an ninh mạng, người sử dụng cần phải có biện pháp để bảo vệ dữ liệu, tài sản và uy tín của mình, bởi máy tính của bạn có thể bị lợi dụng bởi tin tặc.

Phương pháp chung ngăn chặn các kiểu tấn công

Các hacker có thể lợi dụng những lỗ hổng đó trên server để đột kích vào các trang web và thay đổi nội dung của trang web đó, hoặc tinh vi hơn nữa là đột nhập vào mạng LAN và sử dụng server để tấn công vào bất kỳ máy tính nào trong mạng LAN đó. Một yếu tố chủ chốt để chống lại truy nhập bất hợp pháp là yếu tố con người, chúng ta phải luôn luôn giáo dục mọi người có ý thức trong việc sử dụng tài nguyên chung Internet, tránh những sự cố làm ảnh hưởng tới nhiều người nhiều quốc gia.

Phương thức mã hóa - bảo mật thông tin

Cơ chế kiểm tra tính xác thực của các phương thức bảo mật dựa vào 3 mô hình chính sau: Những thông tin biết trước, những thông tin đã có và những thông tin xác định tính duy nhất. • Với cơ chế kiểm tra dựa vào mô hình những thông tin xác định tính duy nhất, đối tượng kiểm tra cần phải có những thông tin để định danh tính duy nhất của mình. Một phương thức bảo mật có tính toàn vẹn dữ liệu khi nó đảm bảo các dữ liệu mã hóa không thể bị thay đổi nội dung so với tài liệu gốc (khi đã đượcg giải mã) và trong trường hợp những kẻ tấn công trên mạng sửa đổi nội dung dữ liệu đã mã hóa thì không thể khôi phục lại dạng ban đầu của dữ liệu.

Đây là phương thức mã hoá đối xứng: Message ở dạng Plaintext (dạng đọc được) được mã hoá sử dụng Private Key (khoá mà chỉ có người mã hoá mới biết được) tạo thành Message được mã hoá (Ciphertext). • Các thuật toán mã hoá đối xứng theo từng khối dữ liệu (block cipher) thực hiện chia Message ở dạng Plaintext thành các khối (ví dụ 64 bits hoặc 2n bits), sau đó tiến hành mã hoá từng khối này. Để khắc phục điểm hạn chế của phương pháp mã hoá đối xứng là quá trình trao đổi khoá bí mật, người ta đã sử dụng phương pháp mã hoá phi đối xứng sử dụng một cặp khoá tương ứng với nhau gọi là phương thức mã hoá phi đối xứng dùng khoá công khai (public-key crytography).

Mặc dù Private key được giữ bí mật, nhưng không giống với "secret key" được sử dụng trong phương thức mã hóa đối xứng sử dụng khoá bí mật do Private key không được trao đổi trên mạng. Một loại khác của thuật toán mã hóa public-key là hoặc không thể mã hóa hoặc không thể ký; thuật toán này được gọi là thuật toán key exchange (thuật toán chuyển đổi khóa).

Bảng sau đây mô tả một số phương pháp mã hoá đối xứng sử dụng khoá bí mật:
Bảng sau đây mô tả một số phương pháp mã hoá đối xứng sử dụng khoá bí mật:

KHÁI NIỆM VÀ CHỨC NĂNG CỦA FIREWALL

    Các bài báo của Gene Spafford ở Đại học Purdue, Bill Cheswick ở phòng thí nghiệm AT&T và Marcus Ranum đã mô tả thế hệ tường lửa thứ ba, với tên gọi tường lửa tầng ứng dụng (application layer firewall), hay tường lửa dựa proxy (proxy-based firewall). “Visas” này là hệ thống đầu tiên có một giao diện với màu sắc và các biểu tượng, có thể dễ dàng cài đặt thành phần mềm cho các hệ điều hành chẳng hạn Microsoft Windows và Mac/OS của Apple và truy nhập từ các hệ điều hành đó. Trong Công nghệ mạng thông tin, FireWall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống của một số thông tin khác không mong muốn.

    Nếu máy tính của bạn không được bảo vệ, khi bạn kết nối Internet, tất cả các giao thông ra vào mạng đều được cho phép, vì thế hacker, trojan, virus có thể truy cập và lấy cắp thông tin cá nhân cuả bạn trên máy tính. Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS..) thành các gói dữ liệu (data pakets) rồi gán cho các paket này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng. Việc định nghĩa các chế độ lọc package là một việc khá phức tạp, đòi hỏi người quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạng packet header, và các giá trị cụ thể có thể nhận trên mỗi trường.

    Điều này làm cho hệ thống bức tường lửa dễ dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ Internet, trong khi vẫn cung cấp chức năng bức tường lửa để bảo vệ mạng nội bộ từ những sự tấn công bên ngoài. Quá trình phá tường lửa gồm hai giai đoạn: đầu tiên phải tìm ra dạng tường lửa mà mạng sử dụng cùng các loại dịch vụ hoạt động phía sau nó, tiếp theo là phát hiện khe hở trên tường lửa ở giai đoạn này thường khó khăn hơn. Nhiều tường lửa sử dụng "trạm hy sinh" (sacrificial hosts) - là hệ thống được thiết kế như các server Web (có thể sẵn sàng bỏ đi) hay bẫy (decoys), dùng để bắt các hành vi thâm nhập của cracker.

    Một ví dụ là các virus máy tính, Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của Firewall.

    MÔ HÌNH VÀ ỨNG DỤNG CỦA FIREWALL

       Nhược điểm của một số hệ Packet Filtering là coi các cổng ở địa chỉ thấp (nhỏ hơn 1024 hoặc nhỏ hơn 900) là các cổng của máy chủ (Server) và cho phép các packet đi từ các cổng này vào mạng nội bộ một cách tự do. SMTP thực hiện nhiệm vụ là chuyển thư từ máy này đến máy khác, tuy nhiên trong quá trình này chương trình phân phối thư được thực hiện với quyền của người quản trị máy (root privilege). Cơ bản, một DMZ được cấu hình sao cho các hệ thống trên Internet và mạng nội bộ chỉ có thể truy nhập được một số giới hạn các hệ thống trên mạng DMZ, và sự truyền trực tiếp qua mạng DMZ là không thể được.

      Proxy nằm giữa máy yêu cầu dịch vụ và máy chủ thực hiện yêu cầu đó, kiểm soát các thông tin trao đổi và ngăn chặn những thao tác có thể làm ảnh hưởng đến sự an toàn của mạng cần bảo vệ. Để thoát khỏi ràng buộc này, người ta phải sử dụng các client đã sửa đổi, cho phép chỉ ra cùng một lúc proxy server và server ứng dụng (hiện nay. một thế hệ mới các proxy server đã xuất hiện, cho phép sử dụng các client bình thường và tiến trình làm việc thông thường). Điều đó cũng có nghĩa là một ứng dụng mới xuất hiện sẽ đưa người sử dụng vào tình trạng khó xử hoặc chờ đợi đến khi có proxy server cho ứng dụng đó, hoặc dùng ngay không cần đến proxy, đặt mạng nội bộ trong tình trạng nguy hiểm do những lỗ hổng bảo mật chưa được biết đến.

      Các hệ điều hành quản lý mạng chỉ kiểm soát một cách không chặt chẽ tên người sử dụng và password được đăng ký, và đôi lúc chính người sử dụng được ủy nhiệm lại vô ý để lộ password của mình. Khi một thao tác truy cập vào mạng được thực hiện (kiểm tra đúng User Name và Password), hệ quản lý xác thực sẽ gửi đến máy tính của người dùng đang xin truy cập vào mạng một chuỗi các ký tự gọi là Challenge (câu thách đố), người dùng này sẽ nhập vào Token chuỗi Challenge và sẽ nhận được một chuỗi ký tự mới gọi là PIN (Personal Identification Number - số nhận dạng cá nhân). Và thời gian truy cập, vùng tài nguyên nào đã được sử dụng hoặc thay đổi bổ sung, ngoài ra còn nhiều thông tin khác liên quan đến việc sử dụng các tài nguyên và dịch vụ khác trên mạng cũng được ghi nhận.

      Trong những năm vừa qua, một hệ thống an ninh mạnh dựa vào máy chủ có thể ngăn chặn được hầu hết các cuộc tấn công của kẻ xâm nhập, bằng việc không cho phép mở các điểm cho đăng nhập bất hợp pháp.

      Sơ đồ làm việc của Packet Filtering
      Sơ đồ làm việc của Packet Filtering