Các biện pháp đảm bảo an toàn thông tin

Các biện pháp đảm bảo an toàn thông tin ngày càng trở nên cấp thiết. Trong phần này, bài luận văn sẽ tóm tắt một số biện pháp phổ biến đang được áp dụng trên mạng như Firewall, IDS/IPS, VPN Tunneling, hệ thống DMZ

2.1. Tường lửa (Firewall):

Đây là một thành phần không thể thiếu trong một hệ thống bảo mật đa lớp. Tường lửa đóng vai trò lớp bảo mật vành đai và là lớp phòng thủ đầu tiên của hệ thống.

Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy nhập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn từ bên ngoài vào mạng cũng như những kết nối không hợp lệ từ bên trong ra tới một số địa chỉ nhất định trên Internet. Firewall thực hiện việc lọc bỏ những địa chỉ không hợp lệ dựa theo các quy tắc hay chỉ tiêu định trước. Cũng có thể hiểu Firewall là một cơ chế để bảo vệ mạng tin tưởng khỏi các mạng không tin tưởng. Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một công ty, tổ chức, ngành hay một quốc gia, và Internet.

Hình 10. Mô hình Firewall tổng quát

Firewall có thể là hệ thống phần cứng, phần mềm hoặc kết hợp cả hai. Nếu là phần cứng, nó chỉ có thể bao gồm duy nhất bộ lọc gói tin hoặc là thiết bị định tuyến (Router được tích hợp sẵn chức năng lọc gói tin). Bộ định tuyến có các tính năng bảo mật cao cấp, trong đó có khả năng kiểm soát địa chỉ IP. Quy trình kiểm soát cho phép định ra những địa chỉ IP có thể kết nối với mạng nội bộ và ngược lại. Chức năng chung của các Firewall là phân biệt địa chỉ IP dựa trên các gói tin hay từ chối việc truy nhập bất hợp pháp căn cứ trên địa chỉ nguồn. 2.1.1. Thành phần của Firewall

Firewall bao gồm một hay nhiều các thành phần sau: - Bộ lọc packet (packet-filtering router).

- Cổng lọc ứng dụng (application-level gateway hay proxy server). - Cổng mạch (circuit level gateway).

2.1.2. Nguyên lý hoạt động của Firewall:

Firewall hoạt động với giao thức TCP/IP. Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng (các dịch vụ chạy trên các giao thức Telnet, SNMP, DNS, SNTP, NFS...) thành các gói dữ liệu (packet) rồi gán cho các gói này những địa chỉ có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng.

Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số các luật lệ của lọc packet hay không.

2.1.3. Các chế độ hoạt động của Firewall: - Chế độ Route/NAT

Trong chế độ này, ngoài chức năng chính, Firewall sẽ thực hiện nhiệm vụ chuyển đổi các địa chỉ IP và định tuyến cho gói tin giống như là một Router.

- Chế độ trong suốt (Transparent):

Trong chế độ hoạt động này, hệ thống Firewall sẽ trở nên tiềm ẩn và không thể phát hiện được bởi hacker. Sẽ không có bất kỳ tác vụ định tuyến hay chuyển đổi địa chỉ được thực hiện trong chế độ này. Thông thường, chế độ trong suốt chỉ hỗ trợ 2 giao diện chính là Inside và Outside. Tuy nhiên, cũng giống như mode Route/NAT, hệ thống Firewall cần phải thực thi vai trò lọc gói của nó. Để làm việc này, nó sẽ sử dụng đến các tập luật đặc biệt. Các luật này được gọi là Ethertype ACL. Ethertype ACL hoạt động chủ yếu dựa vào thông tin Lớp 2, và dùng để kiểm soát các lưu lượng không phải IP.

2.1.4. Các dạng Firewall:

- Firewall hoạt động dựa trên bộ định tuyến gói tin

Mỗi dạng Firewall khác nhau có những thuận lợi và hạn chế riêng. Dạng phổ biến nhất là Firewall mức mạng (Network-level Firewall). Loại Firewall này thường dựa

trên bộ định tuyến, vì vậy các quy tắc quy định tính hợp pháp cho việc truy nhập được thiết lập ngay trên bộ định tuyến. Mô hình Firewall này sử dụng kỹ thuật lọc gói tin (packet- filtering), đó là tiến trình kiểm soát các gói tin qua bộ định tuyến.

Hình 12. Mô hình Firewall mức mạng

Khi hoạt động, Firewall sẽ dựa trên bộ định tuyến mà kiểm tra địa chỉ nguồn (source address) hay địa chỉ xuất phát của gói tin. Sau khi nhận diện xong, mỗi địa chỉ nguồn IP sẽ được kiểm tra theo các quy tắc do nguời quản trị mạng định trước. Firewall dựa trên bộ định tuyến làm việc rất nhanh do nó chỉ kiểm tra luớt trên các địa chỉ nguồn mà không hề có yêu cầu thực sự nào đối với bộ định tuyến, không tốn thời gian xử lý những địa chỉ sai hay không hợp lệ. Tuy nhiên, bạn phải trả giá. Ngoại trừ những điều khiển chống truy nhập, các gói tin mang địa chỉ giả mạo vẫn có thể thâm nhập ở một mức nào đó trên máy chủ của bạn.

- Firewall hoạt động dựa trên application gateway:

Application gateway hoạt động dựa trên cơ sở phần mềm (firewall mềm). Khi một người dùng không xác định kết nối từ xa vào mạng chạy application gateway, gateway sẽ ngăn chặn kết nối từ xa này. Thay vì nối thông, gateway sẽ kiểm tra các thành phần của kết nối theo những quy tắc định trước. Nếu thỏa mãn các quy tắc, gateway sẽ tạo cầu nối (bridge) giữa trạm nguồn và trạm đích. Cầu nối này đóng vai trò trung gian giữa hai giao thức.

Ưu điểm của Firewall application gateway là không phải chuyển tiếp IP. Do không thông qua chuyển tiếp IP nên gói tin từ địa chỉ không xác định sẽ không thể tới máy tính trong mạng, do đó hệ thống application có độ bảo mật cao hơn. Quan trọng hơn, các điều khiển thực hiện ngay trên kết nối. Sau cùng, mỗi công cụ đều cung cấp những tính năng thuận tiện cho việc truy nhập mạng.

Tuy nhiên do sự lưu chuyển của các gói tin đều được chấp nhận, xem xét, dịch chuyển qua lại nên Firewall loại này bị hạn chế về tốc độ. Hạn chế nữa của Firewall này là mỗi ứng dụng bảo mật (proxy application) phải được tạo ra cho từng dịch vụ mạng.

2.2. Thiết bị kiểm soát nội dung SCM (Secure Content Management)

SCM là một thành phần chuyên dụng được đặt sau tường lửa và trên một vùng mạng nào đó để bảo vệ cho toàn bộ hệ thống phía sau.

Hình 13. Mô hình SCM

Thiết bị SCM sẽ phân tích sâu vào nội dung của dữ liệu chẳng hạn những tập tin đính kèm email hay những file dữ liệu được tải về qua các giao thức HTTP, FTP... để tìm Virus/Spam, Worm, Spyware, Keylogger, Phishing... Khi phát hiện được phần tử phá hoại như trên, thiết bị sẽ phản ứng bằng cách ngăn chặn (block), loại bỏ và cảnh báo cho nguời quản trị mạng. Thiết bị SCM thường được sử dụng chuyên biệt cho việc kiểm soát các dòng dữ liệu quan trọng như SMTP, POP3, HTTP, FTP...

3. Một số hệ thống, công cụ phổ biến: 3.1. Hệ thống phát hiện và chống xâm nhập 3.1.1. Các bộ lọc gói tin

Hệ thống Internet Firewall phổ biến nhất chỉ bao gồm một packe-filtering router đặt giữa mạng nội bộ và Internet. Một packet-filtering router có hai chức năng chính: chuyển tiếp truyền thông giữa hai mạng và sử dụng các quy luật về lọc gói để cho phép hay từ chối truyền thông.

Căn bản, các quy luật lọc được định nghĩa sao cho các host trên mạng nội bộ được quyền truy nhập trực tiếp tới Internet, trong khi các host trên Internet bị giới hạn truy nhập tới máy tính bên trong mạng nội bộ.

Ưu điểm:

- Giá thành thấp, cấu hình đơn giản. - Trong suốt đối với người sử dụng.

- Các bộ lọc được cấu hình không hoàn hảo dễ bị tấn công hoặc bị tấn công ngầm dưới những dịch vụ đã được phép.

- Các packet được trao đổi trực tiếp giữa hai mạng thông qua router nên mỗi host truy nhập vào Internet cần phải được cung cấp một hệ thống xác thực phức tạp, và phải thường xuyên được kiểm tra bởi nhà quản trị mạng.

- Nếu một packet-filtering router do một sự cố nào đó phải ngừng hoạt động thì tất cả hệ thông trên mạng nội bộ có thể bị tấn công.

Hình 14. Mô hình Firewall phổ biến - một packet-filter 3.1.2. Pháo đài phòng thủ (Bastion Host)

•

Hệ thống này bao gồm một packet-filtering router và một bastion host. Hệ thống này cung cấp độ bảo mật cao hơn packet-filtering router vì nó thực hiện bảo mật ở cả tầng network (packet-filtering) lẫn ở tầng ứng dụng (application level).

Bastion host được cấu hình ở trong mạng nội bộ. Qui luật filtering trên packet- filtering router được định nghĩa sao cho tất cả các hệ thống ở bên ngoài chỉ có thể truy nhập bastion host; Việc truyền thông tới tất cả các hệ thống bên trong đều bị khoá. Bởi vì các hệ thống nội bộ và bastion host ở trên cùng một mạng, chính sách bảo mật của một tổ chức sẽ quyết định xem các hệ thống nội bộ được phép truy nhập trực tiếp vào bastion Internet hay là chúng phải sử dụng dịch vụ proxy trên bastion host. Việc bắt buộc những user nội bộ được thực hiện bằng cách đặt cấu hình bộ lọc của router sao cho chỉ chấp nhận những truyền thông nội bộ xuất phát từ bastion host.

Máy chủ cung cấp các thông tin công cộng qua dịch vụ Web và FTP có thể đặt trên bastion host và packet-filtering router. Trong trường hợp yêu cầu độ an toàn cao nhất, bastion host có thể chạy các dịch vụ proxy. Bởi vì bastion host là hệ thống bên trong duy nhất có thể truy nhập được từ Internet, sự tấn công cũng chỉ giới hạn đến bastion host mà thôi. Tuy nhiên, nếu như user logon được vào bastion host thì họ có thể đăng nhập toàn bộ mạng nội bộ. Vì vậy cần phải cấm không cho user logon vào bastion host.

•

Demilitarized Zone (DMZ) hay Screened-subnet Firewall. Hệ thống bao gồm hai packet-filtering router và một bastion host. Hệ có độ an toàn cao nhất vì nó cung cấp cả mức bảo mật network và application, trong khi định nghĩa một vùng mạng "phi quân sự". Mạng DMZ đóng vai trò như một mạng nhỏ, cô lập đặt giữa Internet và mạng nội bộ. Cơ bản, một DMZ được cấu hình sao cho các hệ thống trên Internet và mạng nội bộ chỉ có thể truy nhập được một số giới hạn các hệ thống trên mạng DMZ, và sự truyền trực tiếp qua mạng DMZ là không thể được.

Hình 16. Mô hình hệ thống Dual-Homed Bastion Host

Với những thông tin đến, router ngoài chống lại những sự tấn công chuẩn (như giả mạo dịa chỉ IP), và điều khiển truy nhập tới DMZ. Hệ thống chỉ cho phép bên ngoài truy nhập vào bastion host. Router trong cung cấp sự bảo vệ thứ hai bằng cách điều

khiển DMZ truy nhập mạng nội bộ chỉ với những truyền thông bắt đầu từ bastion host.

Với những thông tin đi, router trong điều khiển mạng nội bộ truy nhập tới DMZ. Nó chỉ cho phép các hệ thống bên trong truy nhập bastion host và có thể cả information server. Quy luật filtering trên router ngoài yêu cầu sử dụng dịch vụ proxy bằng cách chỉ cho phép thông tin ra bắt nguồn từ bastion host.

Kẻ tấn công cần phá vỡ ba tầng bảo vệ: router ngoài, bastion host và router trong. Bởi vì router trong chỉ quảng cáo DMZ network tới mạng nội bộ, các hệ thống trong mạng nội bộ không thể truy nhập trực tiếp vào Internet. Điều này đảm bảo rằng những user bên trong bắt buộc phải truy nhập Internet qua dịch vụ proxy.

3.1.3. Hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS)

•

IDS có nhiệm vụ rà quét các gói tin trên mạng, phát hiện các truy nhập trái phép,

các dấu hiệu tấn công vào hệ thống từ đó cảnh báo cho người quản trị hay hệ thống biết về nguy cơ xảy ra tấn cống trước khi nó xảy ra. Một hệ thống phát hiện các truy nhập trái phép thường phát hiện tất cả các luồng dữ liệu có hại từ mạng vào hệ thống mà các Firewall không thể phát hiện được. Thông thường các cuộc tấn công trên mạng là các cuộc tấn công từ chối dịch vụ, phá hoại các dữ liệu trên các ứng dụng, các cuộc tấn công vào máy trạm như thay đổi quyền trên máy, đăng nhập bất hợp pháp và truy nhập vào các tệp tin nhạy cảm hoặc là các loại Virus, Trojan .

Thông thường, hệ thống IDS bao gồm bộ phát hiện (sensor), bộ giao diện (consol) và bộ xử lý (Engine). Sensor là bộ phận làm nhiệm vụ phát hiện các sự kiện có khả năng đe dọa an ninh của hệ thống mạng thông qua việc rà quét nội dung của các gói tin trên mạng. Console là bộ phận làm nhiệm vụ giám sát các sự kiện, các cảnh báo được phát hiện và sinh ra từ các Sensor. Engine có nhiệm vụ ghi lại tất cả các báo cáo về các sự kiện được phát hiện bởi các Sensor trong một cơ sở dữ liệu và sử dụng một hệ thống các luật để đưa ra các cảnh báo về các sự kiện an ninh.

•

Có nhiều mô hình và cách để phân loại các hệ thống IDS, có thể dựa theo loại và vị trí đặt của các Sensor hoặc phương pháp sử dụng của Engine để sinh ra các cảnh báo. Hầu hết các IDS đơn giản đều kết hợp ba thành phần Sensor, Console, Engine vào trong một thiết bị phần cứng hoặc một ứng dụng.

- Network-based Intrusion Detection System (NIDS):

Đây là một giải pháp độc lập để xác định các truy nhập trái phép bằng cách kiểm tra các luồng thông tin trên mạng và giám sát nhiều máy trạm. NIDS truy nhập vào luồng thông tin trên mạng bằng cách kết nối vào các Hub, Switch được cấu hình Port mirroring hoặc

Network tap để bắt các gói tin, phân tích nội dung gói tin và từ đó sinh ra các cảnh báo. Các Sensor được đặt ở các điểm cần kiểm tra trong mạng, thường là trước miền DMZ hoặc ở vùng biên của mạng, bắt tất cả các gói tin lưu thông trên mạng

và phân tích nội dung bên trong của từng gói tin để phát hiện các dấu hiệu tấn công trong mạng.

Hình 17. Mô hình hệ thống NIDS

Theo chức năng sử dụng, hệ thống NIDS còn được phân thành hai hệ thống nhỏ đó là Protocol-based Intrusion Detection System (PIDS) và Application Protocol-based Intrusion Detection System (APIDS). PIDS và APIDS được sử dụng để giám sát các giao vận và giao thức không hợp lệ hoặc không mong muốn trên luồng dữ liệu hoặc hạn chế các ngôn ngữ giao tiếp.

Hệ thống Protocol-based Intrusion Detection System (PIDS) chứa một hệ thống (System) hoặc một thành phần (Agent) thường được đặt ngay trước một máy chủ, giám sát và phân tích các giao thức trao đổi giữa các thiết bị được nối mạng (Một máy trạm hoặc một hệ thống).

Một hệ thống Application Protocol-based Intrusion Detection System (APIDS) bao gồm một hệ thống (System) hoặc một thành phần (Agent) thường nằm giữa một nhóm các máy chủ, giám sát và phân tích các trao đổi ở lớp ứng dụng của một giao thức định sẵn. Ví dụ; trên một máy chủ web với một cơ sở dữ liệu thì nó giám sát giao thức SQL để ngăn chặn các truy nhập vào ứng dụng khi trao đổi với cơ sở dữ liệu.

- Host-based Intrusion Detection System (HIDS):

Trong hệ thống HIDS, các Sensor thường thường là một phần mềm trên máy trạm (Software agent), nó giám sát tất cả các hoạt động của máy trạm mà nó nằm trên đó.

Hình 18. Mô hình hệ thống HIDS - Hybrid Intrusion Detection System:

Hybrid Intrusion Detection System là một hệ thống lai giữa hệ thống Network- based IDS và Hệ thống Host-based IDS. Nó kết hợp một hoặc nhiều các thành phần thích hợp của hai hệ thống lại với nhau. Các thông tin thu thập được trên máy trạm (host agent data) kết hợp với thông tin thu thập được ở trên mạng để có được sự phân tích một cách chi tiết về hiện trạng hệ thống mạng.

3.1.3. Hệ thống chống xâm nhập trái phép (Intrusion Prevention System - IPS)