An ninh trong mạng mỏy tớnh khụng dõy

Một phần của tài liệu Vấn đề bảo mật trong mạng máy tính không dây (Trang 37)

Trong hệ thống mạng, vấn đề an toàn và bảo mật một hệ thống thụng tin đúng một vai trũ hết sức quan trọng. Thụng tin chỉ cú giỏ trị khi nú giữ được tớnh chớnh xỏc, thụng tin chỉ cú tớnh bảo mật khi chỉ cú những người

được phộp nắm giữ thụng tin biết được nú. Khi ta chưa cú thụng tin, hoặc việc sử dụng hệ thống thụng tin chưa phải là phương tiện duy nhất trong quản lý,

điều hành thỡ vấn đề an toàn, bảo mật đụi khi bị xem thường. Nhưng một khi nhỡn nhận tới mức độ quan trọng của tớnh bền hệ thống và giỏ trị đớch thực của thụng tin đang cú thỡ chỳng ta sẽ cú mức độ đỏnh giỏ về an toàn và bảo mật hệ thống thụng tin. Để đảm bảo được tớnh an toàn và bảo mật cho một hệ

thống cần phải cú sự phối hợp giữa cỏc yếu tố phần cứng, phần mềm và con người.

1.2.1 .Đỏnh giỏ vn đề an toàn, bo mt h thng

Để đảm bảo an ninh cho mạng, cần phải xõy dựng một số tiờu chuẩn

đỏnh giỏ mức độ an ninh an toàn mạng. Một số tiờu chuẩn đó được thừa nhận là thước đo mức độ an ninh mạng.

37

Tụ Quang Vinh Vấn đề bảo mật trong mạng mỏy tớnh khụng dõy 1.2.1.1. Đỏnh giỏ trờn phương diện vật lý

* An toàn thiết bị

Cỏc thiết bị sử dụng trong mạng cần đỏp ứng được cỏc yờu cầu sau: - Cú thiết bị dự phũng núng cho cỏc tỡnh huống hỏng đột ngột. Cú khả

năng thay thế núng từng phần hoặc toàn phần (hot-plug, hot-swap) - Khả năng cập nhật, nõng cấp, bổ xung phần cứng và phần mềm. - Yờu cầu nguồn điện, cú dự phũng trong tỡnh huống mất đột ngột

- Cỏc yờu cầu phự hợp với mụi trường xung quanh: độ ẩm, nhiệt độ, chống sột, phũng chống chỏy nổ, vv...

* An toàn dữ liệu

- Cú cỏc biện phỏp sao lưu dữ liệu một cỏch định kỳ và khụng định kỳ

trong cỏc tỡnh huống phỏt sinh.

- Cú biện phỏp lưu trữ dữ liệu tập trung và phõn tỏn nhằm chia bớt rủi ro trong cỏc trường hợp đặc biệt như chỏy nổ, thiờn tai, chiến tranh, vv..

1.2.1.2. Đỏnh giỏ trờn phương diện logic

Đỏnh giỏ theo phương diện này cú thể chia thành cỏc yếu tố cơ bản sau:

- Tớnh bớ mật, tin cậy (Condifidentislity)

Là sự bảo vệ dữ liệu truyền đi khỏi những cuộc tấn cụng bị động. Cú thể

dựng vài mức bảo vệđể chống lại kiểu tấn cụng này. Dịch vụ rộng nhất là bảo vệ mọi dữ liệu của người sử dụng truyền giữa hai người dựng trong một khoảng thời gian. Nếu một kờnh ảo được thiết lập giữa hai hệ thống, mức bảo vệ rộng sẽ ngăn chặn sự rũ rỉ của bất kỳ dữ liệu nào truyền trờn kờnh đú.

Cấu trỳc hẹp hơn của dịch vụ này bao gồm việc bảo vệ một bản tin riờng lẻ hay những trường hợp cụ thể bờn trong một bản tin. Khớa cạnh khỏc của tin bớ mật là việc bảo vệ lưu lượng khỏi việc phõn tớch. Điều này làm cho những

Tụ Quang Vinh Vấn đề bảo mật trong mạng mỏy tớnh khụng dõy

kẻ tấn cụng khụng thể quan sỏt được tần suất, độ dài của nguồn và đớch hoặc những đặc điểm khỏc của lưu lượng trờn một phương tiện giao tiếp.

- Tớnh xỏc thực (Authentication)

Liờn quan tới việc đảm bảo rằng một cuộc trao đổi thụng tin là đỏng tin cậy. Trong trường hợp một bản tin đơn lẻ, vớ dụ như một tớn hiệu bỏo động hay cảnh bỏo, chức năng của dịch vụ ủy quyền là đảm bảo bờn nhận rằng bản tin là từ nguồn mà nú xỏc nhận là đỳng.

Trong trường hợp một tương tỏc đang xẩy ra, vớ dụ kết nối của một đầu cuối đến mỏy chủ, cú hai vấn đề sau: thứ nhất tại thời điểm khởi tạo kết nối, dịch vụ đảm bảo rằng hai thực thể là đỏng tin. Mỗi chỳng là một thực thể được xỏc nhận. Thứ hai, dịch vụ cần phải đảm bảo rằng kết nối là khụng bị

gõy nhiễu do một thực thể thứ ba cú thể giả mạo là một trong hai thực thể hợp phỏp để truyền tin hoặc nhận tin khụng được cho phộp.

- Tớnh toàn vẹn (Integrity)

Cựng với tớnh bớ mật, toàn vẹn cú thể ỏp dụng cho một luồng cỏc bản tin, một bản tin riờng biệt hoặc những trường lựa chọn trong bản tin. Một lần nữa, phương thức cú ớch nhất và dễ dàng nhất là bảo vệ toàn bộ luồng dữ liệu (adsbygoogle = window.adsbygoogle || []).push({});

Một dịch vụ toàn vẹn hướng kết nối, liờn quan tới luồng dữ liệu, đảm bảo rằng cỏc bản tin nhận được cũng như gửi khụng cú sự trựng lặp, chốn, sửa, hoỏn vị hoặc tỏi sử dụng. Việc hủy dữ liệu này cũng được bao gồm trong dịch vụ này. Vỡ vậy, dịch vụ toàn vẹn hướng kết nối phỏ hủy được cả sự thay

đổi luồng dữ liệu và cả từ chối dữ liệu. Mặt khỏc, một dịch vụ toàn vẹn khụng kết nối, liờn quan tới từng bản tin riờng lẻ, khụng quan tõm tới bất kỳ một hoàn cảnh rộng nào, chỉ cung cấp sự bảo vệ chống lại sửa đổi bản tin

Chỳng ta cú thể phõn biệt giữa dịch vụ cú và khụng cú phục hồi. Bởi vỡ dịch vụ toàn vẹn liờn quan tới tấn cụng chủ động, chỳng ta quan tõm tới phỏt

39

Tụ Quang Vinh Vấn đề bảo mật trong mạng mỏy tớnh khụng dõy

hiện hơn là ngăn chặn. Nếu một sự vi phạm toàn vẹn được phỏt hiện, thỡ phần dịch vụđơn giản là bỏo cỏo sự vi phạm này và một vài những phần của phần mềm hoặc sự ngăn chặn của con người sẽ được yờu cầu để khụi phục từ

những vi phạm đú. Cú những cơ chế giành sẵn để khụi phục lại những mất mỏt của việc toàn vẹn dữ liệu.

- Khụng thể phủ nhận (Non repudiation)

Tớnh khụng thể phủ nhận bảo đảm rằng người gửi và người nhận khụng thể chối bỏ một bản tin đó được truyền. Vỡ vậy, khi một bản tin được gửi đi, bờn nhận cú thể chứng minh được rằng bản tin đú thật sự được gửi từ người gửi hợp phỏp. Hoàn toàn tương tự, khi một bản tin được nhận, bờn gửi cú thể

chứng minh được bản tin đú đỳng thật được nhận bởi người nhận hợp lệ.

- Khả năng điều khiển truy nhập (Access Control)

Trong hoàn cảnh của an ninh mạng, điều khiển truy cập là khả năng hạn chế cỏc truy nhập với mỏy chủ thụng qua đường truyền thụng. Để đạt được việc điều khiển này, mỗi một thực thể cố gắng đạt được quyền truy nhập cần phải được nhận diện, hoặc được xỏc nhận sao cho quyền truy nhập cú thể được đỏp ứng nhu cầu đối với từng người.

-Tớnh khả dụng, sẵn sàng (Availability)

Một hệ thống đảm bảo tớnh sẵn sàng cú nghĩa là cú thể truy nhập dữ liệu bất cứ lỳc nào mong muốn trong vũng một khoảng thời gian cho phộp. Cỏc cuộc tấn cụng khỏc nhau cú thể tạo ra sự mất mỏt hoặc thiếu về sự sẵn sàng của dịch vụ. Tớnh khả dụng của dịch vụ thể hiện khả năng ngăn chặn và khụi phục những tổn thất của hệ thống do cỏc cuộc tấn cụng gõy ra.

Tụ Quang Vinh Vấn đề bảo mật trong mạng mỏy tớnh khụng dõy

1.2.2. Cỏc loi hỡnh tn cụng vào mng

Cỏc kiểu tấn cụng vào mạng ngày càng vụ cựng tinh vi, phức tạp và khú lường, gõy ra nhiều tỏc hại. Cỏc kỹ thuật tấn cụng luụn biến đổi và chỉ được phỏt hiện sau khi đó để lại những hậu quả xấu. Một yờu cầu cần thiết để bảo vệ an toàn cho mạng là phải phõn tớch, thống kờ và phõn loại được cỏc kiểu tấn cụng, tỡm ra cỏc lỗ hổng cú thể bị lợi dụng để tấn cụng. Cú thể phõn loại cỏc kiểu tấn cụng theo một số cỏch sau.

1.2.2.1. Theo tớnh chất xõm hại thong tin

- Tấn cụng chủ động: Là kiểu tấn cụng can thiệp được vào nội dung và luồng thụng tin, sửa chữa hoặc xúa bỏ thụng tin. Kiểu tấn cụng này dễ nhận thấy khi phỏt hiện được những sai lệch thụng tin nhưng lại khú phũng chống.

- Tấn cụng bị động: Là kiểu tấn cụng nghe trộm, nắm bắt được thụng tin nhưng khụng thể làm sai lạc hoặc hủy hoại nội dung và luồng thụng tin. Kiểu tấn cụng này dễ phũng chống nhưng lại khú cú thể nhận biết được thụng tin cú bị rũ rỉ hay khụng.

1.2.2.2. Theo vị trớ mạng bị tấn cụng

- Tấn cụng trực tiếp vào mỏy chủ cung cấp dịch vụ làm tờ liệt mỏy chủ

dẫn tới ngưng trệ dịch vụ, hay núi cỏch khỏc là tấn cụng vào cỏc thiết bị phần cứng và hệđiều hành.

- Tấn cụng vào cơ sở dữ liệu làm rỏ rỉ, sai lệch hoặc mất thụng tin.

- Tấn cụng vào cỏc điểm (node) truyền tin trung gian làm nghẽn mạng hoặc cú thể làm giỏn đoạn mạng.

- Tấn cụng đường truyền (lấy trộm thụng tin từđường truyền vật lý).

41

Tụ Quang Vinh Vấn đề bảo mật trong mạng mỏy tớnh khụng dõy

- Tấn cụng từ chối dịch vụ (Denied of service): tấn cụng vào mỏy chủ

làm tờ liệt một dịch vụ nào đú. (adsbygoogle = window.adsbygoogle || []).push({});

- Tấn cụng kiểu lạm dụng quyền truy cập (Abose of acccess privileges): kẻ tấn cụng chui vào mỏy chủ sau khi đó vượt qua được cỏc mức quyền truy cập. Sau đú sử dụng cỏc quyền này để tấn cụng hệ thống.

- Tấn cụng kiểu ăn trộm thụng tin vật lý (Physical theft): lấy trộm thụng tin trờn đường truyền vật lý.

- Tấn cụng kiểu thu lượm thụng tin (information gather): bắt cỏc tập tin lưu thụng trờn mạng, tập hợp thành những nội dung cần thiết.

- Tấn cụng kiểu bẻ khúa mật khẩu (password cracking): dũ, phỏ, bẻ khúa mật khẩu.

- Tấn cụng kiểu khai thỏc những điểm yếu, lỗ hổng (exploitation of system and network vulnerabilities): tấn cụng trực tiếp vào cỏc điểm yếu, lỗ

hổng của mạng.

- Tấn cụng kiểu sao chộp, ăn trộm thụng tin (spoofing): giả mạo người khỏc để trỏnh bị phỏt hiện khi gửi thụng tin vụ nghĩa hoặc tấn cụng mạng.

- Tấn cụng bằng cỏc đoạn mó nguy hiểm (malicious code): gửi theo gúi tin đến hệ thống cỏc đoạn mó mang tớnh chất nguy hại đến hệ thống.

1.2.3. Cỏc bin phỏp bo v

Trong một hệ thống truyền thụng ngày nay, cỏc loại dữ liệu như cỏc quyết định, chỉ thị, tài liệu,.. được lưu chuyển trờn mạng với một lưu lượng lớn, khổng lồ và đa dạng. Trong quỏ trỡnh dữ liệu đi từ người gửi đến người nhận, chỳng ta quan tõm đến vấn đề sau:

Dữ liệu cú bị sửa đổi khụng? Dữ liệu cú bị mạo danh khụng?

Tụ Quang Vinh Vấn đề bảo mật trong mạng mỏy tớnh khụng dõy

Vỡ khụng thể cú một giải phỏp an toàn tuyệt đối nờn người ta thường phải sử dụng đồng thời nhiều mức độ bảo vệ khỏc nhau trước cỏc hoạt động xõm phạm. Việc bảo vệ thụng tin trờn mạng chủ yếu là bảo vệ thụng tin trờn cỏc kho dữ liệu được cài đặt trong cỏc Server của mạng. Bởi thế ngoài một số

biện phỏp nhằm chống thất thoỏt thụng tin trờn đường truyền, mọi cố gắng tập trung vào việc xõy dựng cỏc mức “rào chắn” từ ngoài vào trong cho cỏc hệ

thống kết nối vào mạng.

1.2.3.1. Cỏc bước xõy dựng hệ thống thong tin an toàn

* Đỏnh giỏ và lập kế hoạch

- Cú cỏc khúa đào tạo trước triển khai để người trực tiếp thực hiện nắm vững cỏc thụng tin về an toàn thụng tin. Sau quỏ trỡnh đào tạo người trực tiếp tham gia cụng việc biết rừ làm thể nào để bảo vệ cỏc tài nguyờn thụng tin của mỡnh. - Đỏnh giỏ mức độ an toàn hệ thống về mọi bộ phận như cỏc ứng dụng mạng, hệ thống, hệ điều hành, phần mềm ứng dụng, vv... Cỏc đỏnh giỏ được thực hiện cả về mặt hệ thống mạng logic lẫn hệ thống vật lý. Mục tiờu là cú cài nhỡn tổng thể về an toàn của hệ thống của bạn, cỏc điểm mạnh và điểm yếu.

- Cỏc cỏn bộ chủ chốt tham gia làm việc đểđưa ra được chớnh xỏc thực trạng an toàn hệ thống hiện tại và cỏc yờu cầu mới về mức độ an toàn.

- Lập kế hoạch an toàn hệ thống. * Phõn tớch hệ thống và thiết kế

- Thiết kế hệ thống an toàn thụng tin cho mạng.

- Lựa chọn cỏc cụng nghệ và tiờu chuẩn về an toàn sẽ ỏp dụng. - Xõy dựng cỏc tài liệu về chớnh sỏch an toàn cho hệ thống

43

Tụ Quang Vinh Vấn đề bảo mật trong mạng mỏy tớnh khụng dõy

* Áp dụng vào thực tế

- Thiết lập hệ thống an toàn thụng tin trờn mạng.

- Cài đặt cỏc phần mềm tăng cường khả năng an toàn như firewall, cỏc bản chữa lỗi, chương trỡnh quột và diệt virus, cỏc phần mềm theo dừi và ngăn chặn truy nhập bất hợp phỏp.

- Thay đổi cấu hỡnh cỏc phần mềm hay hệ thống hiện sử dụng cho phự hợp.

- Phổ biến cỏc chớnh sỏch an toàn đến nhúm quản trị hệ thống và từng người sử dụng trong mạng, quy định để tất cả mọi người nắm rừ cỏc chức năng và quyền hạn của mỡnh.

* Duy trỡ và bảo dưỡng. (adsbygoogle = window.adsbygoogle || []).push({});

- Đào tạo nhúm quản trị cú thể nắm vững và quản lý được hệ thống. - Liờn tục bổ sung cỏc kiến thức về an toàn thụng tin cho những người cú trỏch nhiệm như nhúm quản trị, lónh đạo...

- Thay đổi cỏc cụng nghệ an toàn để phự hợp với những yờu cầu mới.

1.2.3.2. Cỏc biện phỏp và cụng cụ bảo mật hệ thống

Cú nhiều biện phỏp và cụng cụ bảo mật hệ thống, ở đõy xin liệt kờ một số loại phổ biến, thường ỏp dụng

* Kiểm soỏt truy nhập

Kiểm soỏt quyền truy nhập bảo vệ cho hệ thống khỏi cỏc mối đe dọa bằng cỏch xỏc định cỏi gỡ cú thể đi vào và đi ra khỏi mạng. Việc kiểm soỏt truy nhập sẽ xỏc định trờn mọi dịch vụ và ứng dụng cơ bản hoạt động trờn hệ

thống.

Tụ Quang Vinh Vấn đề bảo mật trong mạng mỏy tớnh khụng dõy

Kiểm soỏt sự xỏc thực người sử dụng là bước tiếp theo sau khi được truy nhập vào mạng. Người sử dụng muốn truy nhập vào cỏc tài nguyờn của mạng thỡ sẽ phải được xỏc nhận bởi hệ thống bảo mật. Cú thể cú mấy cỏch kiểm soỏt sự xỏc thực người sử dụng.

- Xỏc thực người sử dụng: cung cấp quyền sử dụng cỏc dịch vụ cho mỗi người dựng. Mỗi khi muốn sử dụng một tài nguyờn hay dịch vụ của hệ thống, anh ta sẽ phải được xỏc thực bởi một mỏy chủ xỏc thực người sử dụng và kiểm tra xem cú quyền sử dụng dịch vụ hay tài nguyờn của hệ thống khụng.

- Xỏc thực trạm làm việc: Cho phộp người sử dụng cú quyền truy nhập tại những mỏy cú địa chỉ xỏc định. Ngược lại với việc xỏc thực người sử

dụng, xỏc thực trạm làm việc khụng giới hạn với cỏc dịch vụ.

- Xỏc thực phiờn làm việc: Cho phộp người sử dụng phải xỏc thực để sử

dụng từng dịch vụ trong mỗi phiờn làm việc.

- Cú nhiều cụng cụ dựng cho việc xỏc thực, vớ dụ như

+ TACAC + dựng cho việc truy nhập từ xa thụng qua Cisco Router. + RADIUS khỏ phổ biến cho việc truy nhập từ xa (Remote Access). + Firewall-1 cũng là một cụng cụ mạnh cho phộp xỏc thực cả 3 loại ở

trờn.

* Bảo vệ hệđiều hành

Một trong những mối đe doạ mạng đú là việc người dựng trong mạng cú thể truy nhập vào hệ điều hành cơ sở của cỏc mỏy chủ, thay đổi cấu hỡnh hệ điều hành và do đú cú thể làm thay đổi chớnh sỏch bảo mật của hệ thống, vỡ vậy phải cú chỉđịnh và cấp quyền và trỏch nhiệm một cỏc rừ ràng.

45

Một phần của tài liệu Vấn đề bảo mật trong mạng máy tính không dây (Trang 37)

(110 trang)