2.1.1. Hoạch định hệ thống bảo vệ mạng
Trong môi trường mạng, phải có sự đảm bảo rằng những dữ liệu có tính bí mật phải được cất giữ riêng, sao cho chỉ có người có thẩm quyền mới được phép truy cập chúng. Bảo mật thông tin là việc làm quan trọng, và việc bảo vệ hoạt động mạng cũng có tầm quan trong không kém.
Mạng máy tính cần được bảo vệ an toàn, tránh khỏi những hiểm hoạ do vô tình hay cố ý. Tuy nhiên một nhà quản trị mạng cần phải biết bất cứ cái gì cũng có mức độ, không nên thái quá. Mạng không nhất thiết phải được bảo vệ quá cẩn mật, đến mức người dùng luôn gặp khó khăn khi truy nhập mạng để thực hiện nhiệm vụ của mình. Không nên để họ thất vọng khi cố gắng truy cập các tập tin của chính mình.
Bốn hiểm hoạ chính đối với sự an ninh của mạng là: - Truy nhập mạng bất hợp pháp.
- Sự can thiệp bằng phương tiện điện tử. - Kẻ trộm.
- Tai họa vô tình hoặc có chủ ý.
Mức độ bảo mật: Tuỳ thuộc vào dạng môi trường trong đó mạng đang hoạt động.
Chính sách bảo mật: Hệ thống mạng đòi hỏi một tập hợp nguyên tắc, điều luật và chính sách nhằm loại trừ mọi rủi ro. Giúp hướng dẫn vượt qua các thay đổi và những tình huống không dự kiến trong quá trình phát triển mạng.
Đào tạo: Người dùng mạng được đào tạo chu đáo sẽ có ít khả năng vô ý phá huỷ một tài nguyên.
An toàn cho thiết bị: Tuỳ thuộc ở quy mô công ty, độ bí mật dữ liệu, các tài nguyên khả dụng. Trong môi trường mạng ngang hàng, có thể không có chính sách bảo vệ phần cứng có tổ chức nào. Người dùng chịu trách nhiệm đảm bảo an toàn cho máy tính và dữ liệu của riêng mình.
2.1.2. Mô hình bảo mật
Hai mô hình bảo mật khác nhau đã phát triển, giúp bảo vệ an toàn dữ liệu và tài nguyên phần cứng:
- Bảo vệ tài nguyên dùng chung bằng mật mã: Gắn mật mã cho từng tài nguyên dùng chung.
- Truy cập khi được sự cho phép: Là chỉ định một số quyền nhất định trên cơ sở người dùng, kiểm tra truy nhập tài nguyên dùng chung căn cứ vào CSDL user-access trên máy server.
2.1.3. Nâng cao mức độ bảo mật
Kiểm toán: Theo dõi hoạt động trên mạng thông qua tài khoản người dùng, ghi lại nhiều dạng biến cố chọn lọc vào sổ nhật ký bảo mật của máy server. Giúp nhận biết các hoạt động bất hợp lệ hoặc không chủ định. Cung cấp các thông tin về cách dùng trong tình huống có phòng ban nào đó thu phí sử dụng một số tài nguyên nhất định, và cần quyết định phí của những tài nguyên này theo cách thức nào đó.
Máy tính không đĩa: Không có ổ đĩa cứng và ổ mềm. Có thể thi hành mọi việc như máy tính thông thường, ngoại trừ việc lưu trữ dữ liệu trên đĩa cứng hay đĩa mềm cục bộ. Không cần đĩa khởi động. Có khả năng giao tiếp với server và đăng nhập nhờ vào một con chip ROM khởi động đặc biệt được cài trên card mạng. Khi bật máy tính không đĩa, chip ROM khởi động phát tín hiệu cho server biết rằng nó muốn khởi động. Server trả lời bằng cách tải phần mềm khởi động vào RAM của máy tính không đĩa và tự động hiển thị màn hình đăng nhập . Khi đó máy tính được kết nối với mạng.
Mã hoá dữ liệu: Đó là mã hoá thông tin sang dạng mật mã bằng một phương pháp nào đó sao cho đảm bảo thông tin đó không thể nhận biết được nếu nơi nhận không biết cách giải mã. Một người sử dụng hay một host có thể sử dụng thông tin mà không sợ ảnh hưởng đến người sử dụng hay một host khác.
- Ngăn không cho virus hoạt động. - Sửa chữa hư hại ở một mức độ nào đó. - Chặn đứng virus sau khi nó bộc phát.
Ngăn chặn tình trạng truy cập bất hợp pháp là một trong những giải pháp hiệu nghiệm nhất để tránh virus. Do biện pháp chủ yếu là phòng ngừa, nên người quản trị mạng phải bảo đảm sao cho mọi yếu tố cần thiết đều đã sẵn sàng:
- Mật mã để giảm khả năng truy cập bất hợp pháp. - Chỉ định các đặc quyền thích hợp cho mọi người dùng.
- Các profile để tổ chức môi trường mạng cho người dùng có thể lập cấu hình và duy trì môi trường đăng nhập, bao gồm các kết nối mạng và những khoản mục chương trình khi người dùng đăng nhập.
- Một chính sách quyết định có thể tải phần mềm nào.
2.2. Kiến trúc bảo mật của hệ thống mạng2.2.1. Các mức an toàn thông tin trên mạng 2.2.1. Các mức an toàn thông tin trên mạng
An toàn hay bảo mật không phải là một sản phẩm, nó cũng không phải là một phần mềm. Nó là một cách nghĩ. Sự an toàn có thể được khởi động và dường như một dịch vụ. Bảo mật là cách an toàn. Tài liệu bảo mật là tư liệu mà những thành viên của tổ chức muốn bảo vệ. Trách nhiệm của việc bảo mật là người quản trị mạng.
Sự an toàn mạng có vai trò quan trọng tối cao. Cơ chế bảo mật cần phải bao gồm cấu hình mạng của Server, chu vi ứng dụng của tổ chức mạng và thậm chí của những Client truy nhập mạng từ xa. Có vài cách mà ta cần phải xem xét:
- Sự an toàn vật lý. - An toàn hệ thống. - An toàn mạng.
- An toàn các ứng dụng.
- Sự truy nhập từ xa và việc chấp nhận.
Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo ra sự ngưng trệ của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy nhập không hợp pháp vào hệ thống. Các lỗ hổng cũng có thể nằm ngay ở các dịch vụ cung cấp như sendmail, web, ftp ... Ngoài ra các lỗ hổng còn tồn tại ngay chính tại hệ điều hành như trong Windows NT, Windows 95, XP, UNIX hoặc trong các ứng dụng mà người sử dụng thường xuyên sử dụng như Word processing, các hệ databases ...
2.2.2. Ảnh hưởng của các lỗ hổng mạng
Ở phần trên đã phân tích một số trường hợp có những lỗ hổng bảo mật, những kẻ tấn công có thể lợi dụng những lỗ hổng này để tạo ra những lỗ hổng khác tạo thành một chuỗi mắt xích những lỗ hổng. Ví dụ, một kẻ phá hoại muốn xâm nhập vào hệ thống mà không có tài khoản truy nhập hợp lệ trên hệ thống đó. Trong trường hợp này, trước tiên kẻ phá hoại sẽ tìm ra các điểm yếu trên hệ thống, hoặc từ các chính sách bảo mật, hoặc sử dụng các công cụ dò xét thông tin trên hệ thống đó để đạt được quyền truy nhập vào hệ thống. Sau khi mục tiêu duy nhất đã đạt được, kẻ phá hoại có thể tiếp tục tìm hiểu các dịch vụ trên hệ thống, nắm bắt được các điểm yếu và thực hiện các hành động phá hoại tinh vi hơn.
Tuy nhiên, có phải bất kỳ lỗ hổng bảo mật nào cùng nguy hiểm đến hệ thống hay không. Có rất nhiều thông báo liên quan đến lỗ hổng bảo mật trên mạng Internet, hầu hết trong số đó là các lỗ hổng loại C, là không đặc biệt nguy hiểm đối với hệ thống. Ví dụ, khi những lỗ hổng về sendmail được thông báo trên mạng, không phải ngay lập tức ảnh hưởng trên toàn bộ hệ thống. Khi những thông báo về lỗ hổng được khẳng định chắc chắn, các nhóm tin sẽ đưa ra một số phương pháp để khắc phục hệ thống.
CHƯƠNG 3. FIREWALL CISCO
3.1 FIREWALL ASA
- Cisco ASA viết tắt của từ: Cisco Adaptive Security Appliance
- ASA là một giải pháp bảo mật đầu cuối chính của Cisco. Hiện tại ASA là sản phẩm bảo mật dẫn đầu trên thị trường về hiệu năng và cung cấp các mô hình phù hợp doanh nghiệp, tích hợp giải pháp bảo mật mạng
- Dòng sản phẩm ASA giúp tiết kiệm chi phí, dễ dàng triển khai. Nó bao gồm các thuộc tính sau
+ Bảo mật thời gian thực, hệ điều hành độc quyền của Cisco + Công nghệ Stateful firewall sử dụng thuật toán SA của Cisco + Sử dụng SNR để bảo mật kết nối TCP
+ Sử dụng Cut through proxy để chứng thực telnet, http. ftp
+ Chính sách bảo mật mặc định gia tăng bảo vệ mức tối đa và cũng có khả năng tùy chỉnh những chính sách này và xây dựng lên chính sách của riêng bạn
+ VPN: IPSec, SSL và L2TP
+ Tích hợp hệ thống ngăn ngừa và phát hiện xâm nhập IDS/IPS + NAT động, NAT tĩnh, NAT port
+ Ảo hóa các chính sách sử dụng Context
3.1.1 Dòng sản phẩm ASA
- Có tất cả 6 model khác nhau. Dòng sản phẩm này phân loại khác nhau từ tổ chức nhớ đến mô hình doanh nghiệp vừa hay cho nhà cung cấp dịch vụ ISP. Mô hình càng cao thì thông lượng, số port, chi phí càng cao. Sản phẩm bao gồm : ASA 5505, 5510, 5520, 5540, 5550, 5580-20, 5580-40
Hình 3.1 Sản phẩm ASA 5550 Ví dụ như thông số của dòng ASA 5550
3.1.2 Thuật toán bảo mật ASA
Một chức năng chính của ASA là stateful firewall.Stateful firewall thêm và duy trì thông tin kết nối của người dùng. Thông tin này được lưu trữ trong bảng state table, thường được gọi là conn table. ASA Firewall sử dụng conn table để gia tăng chính sách bảo mật cho kết nối người dùng
Dưới đây là một vài thông tin mà stateful firewall giữ trong bảng conn table + Địa chỉ IP nguồn
+ Địa chỉ IP đích
+ Giao thức: Như TCP hay UDP
+ Thông tin giao thức IP như là TCP/UDP port, TCP Syn và TCP flag
3.1.2.1 Giải thích cơ chế Stateful Firewall
Ta có mô hình như sau :
Hình 3.2 Cơ chế stateful Firewall a.Figure 1-1
- PC-A trong mạng nội bộ thực hiện truy cập webserver bên ngoài mạng Internet - Gói tin Request http đến firewall, firewall lấy thông tin về kết nối của PC-A đó là:
địa chỉ nguồn, địa chỉ đích, giao thức IP, và bất cứ thông tin giao thức khác và đặt nó trong bảng conn table
Hình 3.2 Cơ chế stateful firewall b. Figure 1-2
- Webserver gửi trả lại trang web cho người dùng PC-A
- Firewall kiểm tra gói tin trả lại này và so sánh với entrie trong bảng conn table
+ Nếu việc so sánh là hợp lệ trong bảng conn table thì gói tin được cho phép
+ Nếu so sánh là không hợp lệ trong bảng conn table thì gói tin bị xóa - Một stateful firewall duy trì bảng kết nối này. Nếu firewall thấy client ngắt kết nối
thì stateful firewall sẽ xóa entry trong bảng conn table đó đi. Nếu entry không hoạt động trong một khoảng thời gian thì entry đó sẽ timeout và stateful firewall sẽ xóa entry đó khỏi bảng conn table
3.1.2.2 So sánh Stateful và Packet Filtering Firewall:
- Một stateful firewall có khả năng nhận biết về tình trạng của kết nối đi qua nó. Mặt khác Packet firewall không thấy được tình trạng của kết nối
- Một ví dụ rõ ràng cho việc hiểu Packet filtering firewall là việc sử dụng Extended ACL mà Router sử dụng. Với loại ACL này Router sẽ chỉ thấy được các thông tin sau trong mỗi packet riêng biệt
+ Địa chỉ IP nguồn + Địa chỉ IP đích + IP protocol
- Ngay cái nhìn đầu tiên thì có vẻ thông tin mà Packet filtering firewall sử dụng là giống Stateful Firewall. Tuy nhiên Router sử dụng ACL sẽ không nhận biết được tình trạng kết nối là request hay kết nối đang tồn tại, hay ngắt kết nối, mà nó chỉ nhìn được mỗi gói tin riêng biệt đi qua interface đó. Nghĩa là Packet filtering firewall chỉ kiểm tra gói tin ở lớp 3 và lớp 4 thôi.
3.1.2.3 Sequence Number Randomization (SNR)
Firewall ASA có một đặc đính được gọi là Sequence Number Randomization (SNR). Đặc tính này được khởi tạo bằng thuật toán bảo mật. SNR được sử dụng để bảo vệ bạn chống lại việc mất thông tin và tấn công cướp phiên kết nối TCP khỏi hacker.Như chúng ta đã biết một vấn đề với giao thức TCP là hầu hết giao thức TCP/IP khởi tạo quá trình kết nối bắt tay 3 bước theo một phương thức có thể đoán trước được khi sử dụng SYN và ACK. Với rất nhiều phương thức, hacker có thể sử dụng các công cụ này để dự đoán về tập thiết lập của dữ liệu tiếp theo được gửi trên mạng và khi dự đoán được số SYN đúng. Hacker có thể sử dụng thông tin này để cướp phiên kết nối và giả mạo kết nối
- Firewall ASA có thể giải quyết vấn đề này bằng cách tạo ngẫu nhiên số SYN và đặt nó vào trong đầu mào của gói tin TCP Segment. ASA sẽ thay thế số SYN cũ bằng số SYN mới vào trong bảng conn table. Tất cả các lưu lượng trở về từ máy đích thông qua Firewall trở về nguồn, ASA tìm kiếm thông tin này và thay đổi trở lại với số ACK. Vì vậy máy nguồn trong mạng cục bộ có thể nhận được gói tin trả về từ đích.
- Sau đây là ví dụ về SNR
- Gói tin TCP đi qua Firewall ASA với số SYN =578. SNR của ASA thay đổi giá trị SYN này thành một giá trị SYN ngẫu nhiên và đặt nó vào trong bảng conn table ( trong trường hợp này là 992), và chuyển tiếp gói tin đó tới đích. Máy đích không thể nhận biết được về sự thay đổi này và gửi lại cho nguồn với ACK =993. Firewall nhận gói tin trả về này và thay đổi giá trị 993 thành 579 vì vậy máy nguồn sẽ không từ chối gói tin này. Hãy nhớ rằng gói tin chứa ACK tăng lên 1 và sử dụng giá trị này như ACK number
- Chú ý rằng: SNR đối với máy nguồn và máy đich là một quá trình trong suốt. Cisco khuyến cáo bạn không nên vô hiệu hóa tính năng này. Nếu vô hiệu hóa tính năng SNR thì mạng của bạn sẽ đối mặt với kiểu tấn công TCP session hijacking.
3.1.2.4 Cut-through Proxy
Bảo mật SA khởi tạo rất nhiều đặc tính bảo mật của hệ điều hành CISCO. Bên cạnh đó một thuật toán gia tăng bảo mật khác là Cut-through Proxy (CTP). CTP cho phép firewall ASA kiểm tra những kết nối ra vào mạng và chứng thực chúng trước khi chúng được cho phép đi vào mạng nội bộ. CTP thường được sử dụng trong trường hợp khi người sử dụng kết nối đến một server mà không thể thực hiện được chứng thực chính nó
Kết nối người dùng không được chứng thực bởi ASA. Nhưng ta có thể sử dụng một Server chuyên dụng cho việc chứng thực này như là Cisco Secure Access Control Server (CSACS)
Cisco cung cấp cả hai giao thức cho việc chứng thực đó là TACACS+ và RADIUS. CTP có thể thực hiện chứng thực theo các loại kết nối sau
+ FTP
+ HTTP và HTTPS + Telnet
Khi cấu hình Firewall ASA được cấu hình CTP, đầu tiên nó chứng thực kết nối đó trước khi cho phép chúng đi xuyên qua firewall. Hình dưới đây mô tả từng bước CTP làm việc
Hình 3.4 Các bước làm việc của CTP
- User Pong khởi tạo kết nối đến FTP Server có địa chỉ IP: 200.200.200.2
Firewall ASA kiếm tra kết nối này và đồng thời kiểm tra xem có entry nào trong bảng conn table không. Nếu tồn tại một entry trong ASA thì ASA cho phép kết nối này. Nhưng trong trường hợp này User phải được chứng thực trước
Nếu ASA không tìm thấy bất cứ một entry nào phù hợp với kết nối đó trong bảng conn table thì nó sẽ yêu cầu chứng thực User Pong với Username và password và chuyển tiếp thông tin này tới Server chứng thực
Server chứng thực kiểm tra bảng người dùng mà nó đã được cấu hình sẵn và so sánh. Nếu cho phép hay từ chối truy cập thì Server sẽ gửi gói tin Allow hay Deny tới ASA