Một lĩnh vực mà chủ đề được thảo luận nhiều trong việc an ninh là việc sử dụng và triển khai các honeypots. Đối với một số chuyên gia bảo mật, an ninh mạng sẽ không đầy đủ chức năng mà không có nó, trong khi những người khác cảm thấy nó là một phần không cần thiết và có khả năng nguy hiểm của mạng.
10.1. Honeypot là gì?
Cũng như mật ong thu hút con gấu, honeypot là một máy tính được thiết kế để thu hút những kẻ tấn công. Nếu một kẻ tấn công đã quản lý để vượt qua bộ lọc gói tin của bạn vào DMZ của bạn và đang quét các tùy chọn, honeypot là một máy tính được đưa ra. Điều này được mô tả trong hình 4-14.
Hình 4-14: Hai ví dụ về honeypot có thể được đặt
10.2. Mục tiêu của Honeypot
Có một số mục đích cho honeypot. Bạn muốn honeypot thu hút một kẻ tấn công ở lại từ các thiết bị khác của bạn. Bạn muốn những kẻ tấn công nhìn thấy một lỗ hổng mà họ biết họ có thể khai thác và sử dụng để truy cập vào máy tính. Lỗ hổng này cần phải được kẻ tấn công tập trung toàn sức của họ khai thác vào máy tính này, như là đối nghịch với các email server ở bên cạnh nó.
Ngoài việc cố gắng để giữ cho kẻ tấn công có khoảng cách an toàn với hệ thống của bạn hơn, một trong những mục tiêu của honeypot là để đăng nhập. Biết rằng hệ thống này là nó sẽ bị tấn công, bạn có thể thực hiện các biện pháp bổ sung trong đăng nhập. Các bản ghi này nên được di chuyển ra khỏi hệ thống thường xuyên, có lẽ hàng giờ hoặc hàng ngày nếu mạng của bạn là một mục tiêu cao.
Một mục tiêu khác của honeypot là để tăng khả năng phát hiện và ứng phó sự cố. Lý thuyết là nếu bạn nhận thức được những gì mà kẻ tấn công đang làm cho honeypot của bạn, bạn có thể chuẩn bị để bảo vệ tốt hơn, hoặc nếu có thể, ngăn chặn cuộc tấn công đó được thực hiện thành công với hệ thống giả.
Tiếp theo khái niệm của honeypot là honeynets.Honeynet là một mạng lưới được thiết kế để thay thế hấp dẫn đối với hacker. Giả thuyết là như nhau, chỉ có quy mô lớn hơn.
10.3. Vấn đề pháp lý
Một cuộc hội thảo về honeypots sẽ không được hoàn thiện nếu không có các vấn đề pháp lý xung quanh việc sử dụng công nghệ này. Có lẽ vấn đề lớn nhất liên quan đến
lập của honeypot là lừa đảo, và do đó, các quy tắc tương tự áp dụng như trong thế giới thực. Mặc dù, nó cần được ghi nhận rằng việc sử dụng cạm bẫy là để phòng vệ.
Một vấn đề khác là sự riêng tư. Nếu một kẻ tấn công thiết lập được một máy chủ IRC trên honeypot, nó có khả năng như người quản trị để đăng nhập tất cả các cuộc hội thoại trên máy chủ đó. Bây giờ, vấn đề này là một tình thế tiến thoái lưỡng, khi không có luật quy định liên quan đến vấn đề này.
Phụ Lục : Câu hỏi và trả lời
Câu 1: Trong một số tài liệu có 3 loại tường lửa, sao đây đề cập có 2 ?
Trả lời :
Đó là tài liệu cũ, trong tài liệu mình sử dụng cách phân biệt dựa vào khả năng lọc gói tin nên được chia ra làm 2 loại.Ngoài ra ta có nhiều cách phân biệt tường lửa :
Có ba loại tường lửa cơ bản tùy theo:
• Truyền thông được thực hiện giữa một nút đơn và mạng, hay giữa một số mạng. • Truyền thông được chặn tại tầng mạng, hay tại tầng ứng dụng.
• Tường lửa có theo dõi trạng thái của truyền thông hay không. Phân loại theo phạm vi của các truyền trông được lọc, có các loại sau:
• Tường lửa cá nhân hay tường lửa máy tính, một ứng dụng phần mềm với chức năng thông thường là lọc dữ liệu ra vào một máy tính đơn.
• Tường lửa mạng, thường chạy trên một thiết bị mạng hay máy tính chuyên dụng đặt tại ranh giới của hai hay nhiều mạng hoặc các khu phi quân sự (mạng con trung gian nằm giữa mạng nội bộ và mạng bên ngoài). Một tường lửa thuộc loại này lọc tất cả giao thông dữ liệu vào hoặc ra các mạng được kết nối qua nó.
Loại tường lửa mạng tương ứng với ý nghĩa truyền thống của thuật ngữ "tường lửa" trong ngành mạng máy tính.
Khi phân loại theo các tầng giao thức nơi giao thông dữ liệu có thể bị chặn, có ba loại tường lửa chính:
• Tường lửa tầng mạng. Ví dụ iptables.
• Tường lửa tầng ứng dụng. Ví dụ TCP Wrappers.
• Tường lửa ứng dụng. Ví dụ: hạn chế các dịch vụ ftp bằng việc định cấu hình tại tệp /etc/ftpaccess.
Các loại tường lửa tầng mạng và tường lửa tầng ứng dụng thường trùm lên nhau, mặc dù tường lửa cá nhân không phục vụ mạng, nhưng một số hệ thống đơn đã cài đặt chung cả hai. Cuối cùng, nếu phân loại theo tiêu chí rằng tường lửa theo dõi trạng thái của các kết nối mạng hay chỉ quan tâm đến từng gói tin một cách riêng rẽ, có hai loại tường lửa:
• Tường lửa có trạng thái (Stateful firewall) • Tường lửa phi trạng thái (Stateless firewall)
Câu 2 : Làm thế nào để thiết kế hệ thống Firewall cho một công ty/ một tổ chức ?
Trả Lời :
Điều đầu tiên là chúng ta sẽ dựa vào các yêu cầu của công ty/ tổ chức để lập ra một chính sách bảo mật phù hợp. Sau đó sẽ khảo sát các yếu tố thực tế để đưa ra một mô hình bảo mật hợp lý. Hiện nay có rất nhiều mô hình, mỗi mô hình đều có ưu, nhược điểm riêng (có thể tìm hiểu kĩ hơn trong bài báo cáo). Chọn mô hình nào phụ thuộc vào mô hình mạng thực tế của công ty/ tổ chức, khả năng đáp ứng của các thiết bị đối với yêu cầu bảo mật đề ra, các yếu tố phụ như chi phí…
Đó có thể là mô hình đơn giản chỉ gồm bộ lọc gói tin, mô hình dạng Multi-home, Screened Host, Mô hình Single-Homed Bastion Host, Demilitarized Zone (DMZ) hay Screened-subnet Firewall… Hoặc cũng có thể là một mô hình lai, miễn sao đáp ứng được các yêu cầu đặt ra. Làm được điều này đòi hỏi người thiết kế phải hiểu biết rõ về các loại tường lửa, khả năng của chúng cũng như nắm được điểm mạnh, yếu của các thiết bị đang được cung ứng trên thị trường. Sau khi đã thiết kế được một mô hình phù hợp, ta đi vào việc cấu hình cho các thiết bị để chúng hoạt động theo đúng mong muốn ban đầu.
Câu 3 : Phân biệt giữa Proxy Server và NAT ?
Proxy Server : Khi một proxy được cấu hình và chạy trên mạng, không có giao tiếp trực tiếp giữa client và server. Mà giao tiếp thông qua Proxy Server này .
NAT : Chỉ có nhiệm vụ chuyển tiếp các gọi tin giữa Server và Client