5. Một số các biện pháp phòng tránh
5.1. Các chiến lược bảo mật chung nhất
5.1.1. Quyền hạn tối thiểu
Nguyên tắc cơ bản nhất của chức năng bảo mâ ̣t là cơ chế quyền hạn tối thiểu. Về cơ bản, nguyên tắc này là bất kỳ một đối tượng nào (người sử dụng, người điều hành, chương trình…) chỉ nên có những quyền hạn nhất định mà đối tượng đó cần phải có để có thể thực hiện được các nhiệm vụ của mình và chỉ như vậy mà thôi. Đây là nguyên tắc quan trọng để hạn chế sự phơi bầy hệ thống cho kẻ khác tấn công và hạn chế sự thiệt hại khi bị tấn công.
Áp dụng nguyên tắc quyền hạn tối thiểu (least privilege), nên tìm cách để giảm quyền hạn cần dùng cho từng người sử dụng với từng công việc cụ thể. Ví dụ như không nên đưa cho người dùng mật khẩu của root (tài khoản quản trị cao nhất) khi mà công việc cần nhất của họ với hệ thống chỉ là khởi động lại máy in. Thay vào đó, nên viết một chương trình có quyền khởi động lại máy in để họ dùng mà thôi.
Tuy nhiên, có rất nhiều vấn đề về an ninh mạng trên internet bị xem là thất bại khi áp dụng nguyên tắc quyền hạn tối thiểu này. Ví dụ chương trình sendmail được chạy với quyền của người quản trị hệ thống, tức là nó chuyển quyền thực tế về root khi chạy, nên rất nhiều cuộc tấn công khai thác điểm này để chiếm quyền điều khiển toàn bộ hệ thống.
5.1.2. Bảo vệ theo chiều sâu
Tư tưởng của chiến lược này là hê ̣ thống bảo mâ ̣t gồm nhiều mức, sau mức bảo mâ ̣t này thì có mức bảo mâ ̣t khác, các mức bảo mâ ̣t hỗ trợ lẫn nhau. Hê ̣ thống càng “mâ ̣t” khi các mức này được xây dựng theo các kĩ thuâ ̣t bảo mâ ̣t khác nhau, ngăn chă ̣n được các kiểu tấn công khác nhau. Không nên chỉ phụ thuộc vào một chế độ an toàn dù nó có mạnh đến thế nào đi nữa.
Sau khi xây dựng hệ thống firewall, xây dựng thêm hệ thống IDS thì khi kẻ xâm nhập có thể vượt qua firewall nhưng sẽ bị theo dõi. Hệ thống IDS sẽ bổ trợ cho firewall làm tăng tính an toàn cho hệ thống.
5.1.3. Điểm thắt
Điểm thắt buộc những kẻ tấn công vào hê ̣ thống phải thông qua mô ̣t kênh he ̣p mà người quản trị có thể điều khiển được. Ở đây, người quản tri ̣ có thể cài đă ̣t các cơ chế giám sát, kiểm tra và điều khiển (cho phép hoặc không cho phép) các truy nhâ ̣p vào hê ̣ thống.
Trong an ninh mạng, IDS nằm giữa hệ thống bên trong và Internet nhưng trước firewall như một nút thắt (giả sử chỉ có một con đường kết nối duy nhất giữa hệ thống bên trong với internet). Khi đó, tất cả những kẻ tấn công từ internet khi đi qua nút thắt này thì sẽ bị người quản trị theo dõi và phản ứng lại kịp thời.
Yếu điểm của phương pháp này là không thể kiểm soát, ngăn chặn được những hình thức tấn công đi vòng qua điểm đó.
5.1.4. Điểm yếu nhất
Những kẻ tấn công thông minh luôn tìm các điểm yếu nhất của hệ thống để tấn công vào đó. Chúng sẽ không bỏ nhiều thời gian và công sức để cố gắng vượt qua một firewall được xây dựng vững chắc trong khi có con đường vòng khác đang “rộng mở” hơn. Do đó, cần phải nhận ra được điểm yếu của hệ thống, từ đó có phương thức bảo vệ thích hợp với các đợt tấn công.
Thường thì ta quan tâm đến những kẻ tấn công từ mạng hơn mà quên đi rằng còn có những kẻ tiếp cận hệ thống trực tiếp, vì vậy có thể nói rằng điểm yếu nhất trong hệ thống là an toàn về mặt vật lý.
5.1.5. Phối hợp chung
Để đạt hiệu quả cao, hầu hết các hệ thống an toàn đòi hỏi phải có sự phối hợp chung của tất cả các thành phần trong hệ thống (người sử dụng, phần cứng bảo mật, phần mềm bảo mật, các cơ chế an toàn…) để tạo thành hệ bảo mật, giám sát và hỗ trợ lẫn nhau.
5.1.6. Phòng thủ đa dạng
Hê ̣ thống phòng thủ gồm nhiều module, cung cấp nhiều hình thức phòng thủ khác nhau. Do đó, module này lấp “lỗ hổng” của các module khác. Ngoài firewall, mô ̣t ma ̣ng LAN hay mô ̣t máy cu ̣c bô ̣ cần sử du ̣ng các module bảo vê ̣ khác của ứng du ̣ng, hê ̣ điều hành, thiết bi ̣ phần cứng,...
Sự đa dạng của các hệ thống mạng bên trong có thể làm tăng khả năng bảo vệ mạng. Nếu mạng bên trong bao gồm các hệ thống giống nhau thì khi có một lỗi chung trong hệ điều hành hoặc một chương trình ứng dụng có thể làm cho toàn bộ hệ thống bị tấn công theo cùng một phương pháp. Tuy nhiên, sự đa dạng cũng đồng nghĩa với sự phức tạp trong việc quản lý các hệ thống khác nhau, đồng thời tăng chi phí trang bị phần cứng, phần mềm.
5.1.7. Tính đơn giản
Tính đơn giản cũng là một chiến lược bảo mật vì hai lý do:
• Đơn giản sẽ dễ hiểu, dễ kiểm soát và biết được rằng chúng có thực sự được bảo mật hay không.
• Sự phức tạp sẽ kèm theo những ngóc ngách, kẽ hở để đủ thứ có thể lọt vào. Vì vậy, đơn giản vẫn hơn.
Hơn nữa, các chương trình phức tạp có khả năng bị nhiều lỗi hơn, và rất có thể đó lại là lỗi bảo mật.
5.2. Một số biện pháp bảo mật bằng giao thứcNAT (Network Address Translation) NAT (Network Address Translation)
Thông thường một gói tin truyền từ điểm nguồn đến điểm đích có thể phải qua rất nhiều nút mạng. Tuy nhiên hầu như không có nút nào trong các nút mạng này thay đổi nội dung của gói tin trừ các thông tin cần thiết như là địa chỉ IP đích, địa chỉ MAC. Nếu ta sử dụng cơ chế NAT trong mạng thì một số thông tin của gói tin IP sẽ bị thay đổi, chẳng hạn: IP nguồn, IP đích…Mặt khác, để đảm bảo việc trao đổi thông tin giữa các nút mạng thì các sự thay đổi này cần phải được lưu lại để phục vụ cho việc chuyển đổi ngược lại khi cần thiết.
Tại sao phải dùng đến NAT ?
Nếu ta kết nối vào Internet thông qua dial-up thì các ISP sẽ chỉ cung cấp cho ta một địa chỉ IP duy nhất, các gói tin gửi đi sẽ được reply nếu nó có đúng địa chỉ nguồn do ISP cung cấp. Trong trường hợp muốn dùng nhiều địa chỉ IP khác nhau trong mạng thì ta phải dùng đến cơ chế NAT. Theo đó trong mạng sẽ có một máy (máy multi-homed hoặc bộ định tuyến) chạy phần mềm NAT, có thể gọi máy tinh này là NAT box. Tất cả các gói tin gửi từ trong mạng ra ngoài sẽ phải qua NAT box và nó sẽ chịu trách nhiệm chuyển đổi địa chỉ IP nguồn (là địa chỉ không được chấp nhận ở mạng ngoài) thành địa chỉ hợp lệ mà ISP đã cung cấp. Khi gói tin đi vào mạng
thì nó sẽ chỉ biết gửi thông tin cho NAT box. Như thế, theo quan điểm của máy bên ngoài, mỗi datagram đến từ NAT box và mỗi lời đáp cũng trả về cho NAT box. Bằng cách nào gói tin đến được đúng địa chỉ máy cần gửi trong mạng? Thực ra, NAT duy trì một bảng chuyển đổi, nó sẽ sử dụng để thực hiện việc ánh xa. Mỗi dòng trong bảng xác định 2 giá trị: địa chỉ IP của máy trên Internet và địa chỉ IP nội bộ của máy trong mạng. Để làm được điều này thì trong NAT box sẽ lưu lại trạng thái (state) của các gói tin tương ứng với từng máy trong mạng đã được gửi đi. Trạng thái này có thể là các port nguồn trong các dịch vụ đối với các dịch vụ hướng kết nối như TCP, và thông tin về Session đối với các dịch vụ không hướng kết nối như UDP. Vì thế, khi gói tin gửi cho NAT box thì nó sẽ tra bảng trạng thái mà nó đã lưu để chuyển đổi địa chỉ cho phù hợp với máy cần nhận trong mạng. Cơ chế này thường được áp dụng cho các ISP mà chỉ được cung cấp số ít địa chỉ IP trong khi có một số lượng lớn host.
Ý nghĩa của việc dùng NAT trong bảo mật
Với việc dùng NAT thì các máy bên trong mạng sẽ trở nên trong suốt với môi trường ngoài vì địa chỉ IP của nó không hợp lệ, vì thế việc tấn công vào một máy cụ thể nào đó trong mạng là điều khó khăn.
Giới hạn của NAT
NAT không biết về các thông tin tầng trên trong gói tin
NAT thực hiện thay đổi địa chỉ IP nên không thực hiện được cơ chế authentication trong IPSec khi kết nối end-to-end.
IPSec
Với việc sử dụng NAT ta mới chỉ hạn chế được việc tấn công vào trong mạng chứ không đảm bảo được tính mật (secret) và xác thực (authentication) vì thông tin vẫn có thể bị nghe trộm. Vì vậy cần phải mã hoá thông tin.
IPSec được thêm vào để tăng cường tính toàn vẹn, xác thực và mã hoá dữ liệu. IPSec kết nối End-to-End và tạo một đường hầm (tunnel) bảo mật trên đó.
5.3. Một số biện pháp bảo mật bằng hệ thống5.3.1. Firewall 5.3.1. Firewall
Firewall là một thiết bị (phần cứng + phần mềm) nằm giữa mạng của một tổ chức, một công ty hay một quốc gia (mạng Intranet) và mạng Internet bên ngoài. Vai trò chính của nó là bảo mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet.
Firewall là một thiết bị bảo vệ, vì vậy nó phải là một thiết bị có độ an toàn rất cao. Nếu được xây dựng trên hệ thống máy tính thì firewall phải được xây dựng trên những hệ thống máy tính mạnh, có khả năng chịu lỗi cao. Ngoài ra hệ điều hành dùng trên máy tính này phải là những phiên bản an toàn, ổn định.
Trong hình trên ta thấy tất cả các thông tin đi vào và ra khỏi mạng nội bộ đều phải qua firewall. Firewall chịu trách nhiệm loại bỏ các thông tin không hợp lệ. Để biết thông tin qua nó có hợp lệ hay không thì firewall phải dựa vào tập luật (rules) mà nó đặt ra. Chúng ta sẽ tìm hiểu kỹ hơn về vấn đề này trong phần sau.
Firewall có thể ngăn chặn được nhiều kiểu tấn công nhưng không đủ để ngăn chặn tất cả các cách tấn công làm nguy hại đến hệ thống mạng cần bảo vệ. Vì thế ta phải kết hợp với các biện pháp khác để nâng cao độ an toàn cho mạng càng mạnh càng tốt. Trong phần tiếp theo ta sẽ đề cập chi tiết hơn về Firewall.
5.3.2. IDS (Intrusion Detection System)
Như đã trình bày ở trên, Firewall hay IPSec chỉ là phương pháp với nhiệm vụ chủ yếu là phòng thủ, tức là chủ yếu ngăn chặn các loại hình tấn công từ bên ngoài vào và đảm bảo an toàn khi truyền dữ liệu tức là chống tấn công một cách thụ động. Ngày nay, các kiểu tấn công ngay từ bên trong mạng đã trở nên phổ biến và đặc biệt nguy hiểm. Chẳng hạn như việc phát tán các virus Trojan, truy cập và sử dụng trái phép tài nguyên mạng, hoạt động gián điệp… Những loại tấn công từ bên trong này quả thật là rất khó phát hiện và hậu quả mà nó gây ra cũng không phải là nhỏ.
Vì những lý do trên nên để hệ thống an ninh mạng của ta được hoàn thiện thì cần phải có một hệ thống có khả năng phát hiện được các kiểu tấn công ngay từ trong mạng. Hệ thống đảm nhận chức năng này có tên là IDS.
Intrusion Detection là quá trình theo dõi các sự kiện xảy ra trong hệ thống mạng máy tính và phân tích chúng để tìm ra những dấu hiệu của sự xâm phạm (intrusion) nhằm đảm bảo tính mật, tính toàn vẹn, tính sẵn sàng cho hệ thống. Những sự xâm phạm thường được gây ra bởi những kẻ tấn công (attackers) truy cập vào hệ thống từ Internet, những người dùng hợp pháp cố gắng truy cập đến những tài nguyên không thuộc thẩm quyền của mình hoặc sử dụng sai những quyền đã được cho phép.
Các kỹ thuật dò tìm sự xâm phạm
Một lần nữa ta phải khẳng định rằng việc xây dựng một hệ thống IDS không phải là chuyện đơn giản. Ví dụ như cần phải có một cơ sở dữ liệu lưu trữ các hành vi của từng người sử dụng trong mạng. Những hành vi này có thể là thói quen làm việc gì đó trên mạng, hay thường vào một site nào đó của một người dùng cụ thể. Khi có một hành động bất thường xảy ra (so với thói quen thường ngày) thì đòi hỏi IDS phải có sự theo dõi gắt gao cho tất cả các hành động của người sử dụng này và dĩ nhiên những thông tin này phải được lưu trong CSDL để nếu lần sau người này có truy cập vào mạng thì ta có cơ chế quản lý khác. Như vậy việc xây dựng và tổ chức một CSDL như thế này là rất khó.
Tuy nhiên, một cách tổng quát, một hệ thống IDS thường dựa vào các cách sau để xác định sự xâm phạm:
• Quan sát các bất thường xảy ra trong hệ thống. Với cách này, hệ thống sẽ phân tích hàng loạt các đặc tính ban đầu (đặc tính ở trạng thái bình thường) của hệ thống và so sánh với phản ứng (đặc tính sẽ có) của hệ thống tương ứng với các giá trị (hành vi) nhận được. Việc cảnh báo sẽ được tiến hành nếu các đặc tính của hệ thống tính toán ra không phù hợp với đặc tính đã có.
• Quan sát sự bất thường của người sử dụng. Cách này thường dùng để xác định các xâm phạm từ bên trong mạng (bao gồm các thành viên trong mạng và các thành viên đã được xác thực).
• Quan sát một số tiến trình vượt quá mức đặc quyền cho phép. Cách này sẽ xác định các chuỗi lệnh thực thi nào sẽ thi hành các hành động không được phép trong hệ thống. Cách này thông thường được sử dụng để phát hiện dấu vết của virus.
Một mô hình đơn giản của hệ thống IDS như sau:
DIRECTOR có thể coi là trái tim của hệ thống, nó chịu trách nhiệm phân tích các thông tin gửi từ AGENT lên với các thông tin có sẵn trong CSDL, và đưa ra cách xử lý thích hợp cho hệ thống và cấu hình.
AGENT làm nhiệm vụ thu thập tất cả các thông tin như là việc đăng nhập hệ thống, các bản tin… và gửi lên cho DIRECTOR.
Bộ phận cảnh báo chịu trách nhiệm thi hành các hành động cụ thể sau khi phát hiện ra sự xâm phạm trái phép, chẳng hạn như thiết lập lại cấu hình Firewall, loại bỏ các hành động trái phép đó.
5.3.3. VPN (Vitual Private Network)
Một phương pháp đảm bảo an ninh trong việc truyền dữ liệu trên các môi trường không tin cậy là sử dụng công nghệ mạng riêng ảo (VPN – Vitual Private Network). VPN thiết lập một đường hầm an toàn để truyền dữ liệu đã được đóng gói bởi các giao thức bảo mật như IPSec, PPTP (Point-to-Point Tunneling Protocol) hay L2TP (Layer Two Tunneling Protocol).
Giao thức IPSec bao gồm 2 phần: Authentication Header (AH) và
Hình 3.3.3b. Tunnel trong IPSec
Encapsulating Security Payload (ESP).
Authentication Header (AH)
Authentication Header (AH) cung cấp cơ chế xác thực và tính toàn vẹn cho các gói tin IP truyền giữa 2 hệ thống. Điều này có thể thực hiện được bằng cách áp dụng hàm băm một chiều đối với gói tin IP để tạo mẫu thông điệp (message digest). Nếu bất cứ phần nào của datagram bị thay đổi trong quá trình truyền thì nó sẽ bị phát hiện bởi người nhận khi nó thực hiện cùng một hàm băm một chiều trên gói tin đó và so sánh giá trị của mẫu thông điệp mà người gửi cung cấp. Trên thực tế hàm băm một chiều cũng bao gồm việc dùng chung khoá mật giữa 2 hệ thống. Điều đó có nghĩa là tính xác thực đã được bảo đảm.
Khi một mẫu thông điệp được dùng để xác thực thì AH đồng thời đạt được 2 mục đích:
• Xác nhận tính hợp lệ của người gửi vì người gửi biết khoá mật được dùng để tạo mẫu thông điệp đã được tính toán.
• Cho biết dữ liệu không bị thay đổi trong quá trình truyền. AH có định dạng như sau:
Phía người nhận sử dụng trường Security Parameters Index để kiểm tra giao thức xác thực và khoá xác thực (authentication protocol and authentication key). Sau