8.2.1 Cỏc biện phỏp bảo vệ mạng mỏy tớnh
Thực tế khụng cú biện phỏp hữu hiệu nào đảm bảo an toàn tuyệt đối cho mạng. Hệ thống bảo vệ dự cú chắc chắn đến đõu thỡ cũng cú lỳc bị vụ hiệu hoỏ bởi những kẻ phỏ hoại điờu luyện. Cú nhiều biện phỏp đảm bảo an ninh mạng.
Tổng quan về bảo vệ thụng tin bằng mật mó (Cryptography)
Mật mó là quỏ trỡnh chuyển đối thụng tin gốc sang dạng mó húa (Encryption). Cú hai cỏch tiếp cận để bảo vệ thụng tin bằng mật mó: theo đường truyền (Link Oriented Security) và từ mỳtđến- mỳt (End- to- End). Trong cỏch thứ nhất, thụng tin được mó hoỏ để bảo vệ trờn đường truyền giữa 2 nỳt khụng quan tõm đến nguồn và đớch của thụng tin đú. Ưu điểm của cỏch này là cú thể bớ mật được luồng thụng tin giữa nguồn và đớch và cú thể ngăn chặn được toàn bộ cỏc vi phạm nhằm phõn tớch thụng tin trờn mạng. Nhược điểm là vỡ thụng tin chỉ được mó hoỏ trờn đường truyền nờn đũi hỏi cỏc nỳt phải được bảo vệ tốt.
Ngược lại, trong cỏch thứ hai, thụng tin được bảo vệ trờn toàn đường đi từ nguồn tới đớch. Thụng tin được mó hoỏ ngay khi mới được tạo ra và chỉ được giải mó khi đến đớch. Ưu điểm của tiếp cận này là người sử dụng cú thể dựng nú mà khụng ảnh hưởng gỡ đến người sử dụng khỏc. Nhược điểm của phương phỏp là chỉ cú dữ liệu người sử dụng được mó hoỏ, cũn thụng tin điều khiển phải giữ nguyờn để cú thể xử lý tại cỏc node. Giải thuật DES mó hoỏ cỏc khối 64 bits của văn bản gốc thành 64 bits văn bản mật bằng một khoỏ. Khoỏ gồm 64 bits trong đú 56 bits được dựng mó hoỏ và 8 bits cũn lại được dựng để kiểm soỏt lỗi. Một khối dữ liệu cần mó hoỏ sẽ phải trải qua 3 quỏ trỡnh xử lý: Hoỏn vị khởi đầu, tớnh toỏn phụ thuộc khoỏ và hoỏn vị đảo ngược hoỏn vị khởi đầu. Khúa K Bản rừ Bản mó Mật mó Giải mó Bản rừ ban đầu
Phương phỏp sử dụng khoỏ cụng khai (Public key): Cỏc phương phỏp mật mó chỉ dựng một khoỏ cho cả mó hoỏ lẫn giải mó đũi hỏi người gửi và người nhận phải biết khoỏ và giữ bớ mật. Tồn tại chớnh của cỏc phương phỏp này là làm thế nào để phõn phối khoỏ một cỏch an toàn, đặc biệt trong mụi trường nhiều người sử dụng.
Để khắc phục, người ta thường sử dụng phương phỏp mó hoỏ 2 khoỏ, một khoỏ cụng khai để mó hoỏ và một mó bớ mật để giải mó. Mặc dự hai khoỏ này thực hiện cỏc thao tỏc ngược nhau nhưng khụng thể suy ra khoỏ bớ mật từ khoỏ cụng khai và ngược lại nhờ cỏc hàm toỏn học đặc biệt gọi là cỏc hàm sập bẫy một chiều (trap door one- way functions). Đặc điểm cỏc hàm này là phải biết được cỏch xõy dựng hàm thỡ mới cú thể suy ra được nghịch đảo của nú. Giải thuật RSA dựa trờn nhận xột sau: phõn tớch ra thừa số của tớch của 2 số nguyờn tố rất lớn cực kỳ khú khăn. Vỡ vậy, tớch của 2 số nguyờn tố cú thể cụng khai, cũn
2 số nguyờn tố lớn cú thể dựng để tạo khoỏ giải mó mà khụng sợ bị mất an toàn. Trong giải thuật RSA mỗi trạm lựa chọn ngẫu nhiờn 2 số nguyờn tố lớn p và q và nhõn chỳng với nhau để cú tớch n=pq (p và q được giữ bớ mật).
8.2.2 Tổng quan về hệ thống Firewall
Firewall là một hệ thống dựng để tăng cường khống chế truy xuất, phũng ngừa đột nhập bờn ngoài vào hệ thống sử dụng tài nguyờn của mạng một cỏch phi phỏp. Tất cả thụng tin đến và đi nhất thiết phải đi qua Firewall và chịu sự kiểm tra của bức tường lửa. Núi chung Firewall cú 5 chức năng lớn sau:
1. Lọc gúi dữ liệu đi vào/ra mạng lưới.
2. Quản lý hành vi khai thỏc đi vào/ra mạng lưới 3. Ngăn chặn một hành vi nào đú.
4. Ghi chộp nội dung tin tức và hoạt động thụng qua bức tường lửa. 5. Tiến hành đo thử giỏm sỏt và cảnh bỏo sự tấn cụng đối với mạng lưới. Ưu điểm và nhược điểm của bức tường lửa:
Ưu điểm chủ yếu của việc sử dụng Firewall để bảo vệ mạng nội bộ. Cho phộp người quản trị mạng xỏc định một điểm khống chế ngăn chặn để phũng ngừa tin tặc, kẻ phỏ hoại, xõm nhập mạng nội bộ. Cấm khụng cho cỏc loại dịch vụ kộm an toàn ra vào mạng, đồng thời chống trả sự cụng kớch đến từ cỏc đường khỏc. Tớnh an toàn mạng được củng cố trờn hệ thống Firewall mà khụng phải phõn bố trờn tất cả mỏy chủ của mạng. Bảo vệ những dịch vụ yếu kộm trong mạng. Firewall dễ dàng giỏm sỏt tớnh an toàn mạng và phỏt ra cảnh bảo. Tớnh an toàn tập trung. Firewall cú thể giảm đi vấn đề khụng gian địa chỉ và che dấu cấu trỳc của mạng nội bộ. Tăng cường tớnh bảo mật, nhấn mạnh quyền sở hữu. Firewall được sử dụng để quản lý lưu lượng từ mạng ra ngoài, xõy dựng phương ỏn chống nghẽn.
Nhược điểm là hạn chế dịch vụ cú ớch, vỡ để nõng cao tớnh an toàn mạng, người quản trị hạn chế hoặc đúng nhiều dịch vụ cú ớch của mạng. Khụng phũng hộ được sự tấn cụng của kẻ phỏ hoại trong mạng nội bộ, khụng thể ngăn chăn sự tấn cụng thụng qua những con đường khỏc ngoài bức tường lửa. Firewall Internet khụng thể hoàn toàn phũng ngừa được sự phỏt tỏn phần mềm hoặc tệp đó nhiễm virus.
Cỏc loại Firewall
Firewall lọc gúi thường là một bộ định tuyến cú lọc. Khi nhận một gúi dữ liệu, nú quyết định cho phộp qua hoặc từ chối bằng cỏch thẩm tra gúi tin để xỏc định quy tắc lọc gúi dựa vào cỏc thụng tin của Header để đảm bảo quỏ trỡnh chuyển phỏt IP. Firewall cổng mạng hai ngăn là loại Firewall cú hai cửa nối đến
mạng khỏc. Vớ dụ một cửa nối tới một mạng bờn ngoài khụng tớn nhiệm cũn một cửa nối tới một mạng nội bộ cú thể tớn nhiệm. Đặc điểm lớn nhất Firewall loại này là gúi tin IP bị chặn lại. Firewall che chắn (Screening) mỏy chủ bắt buộc cú sự kết nối tới tất cả mỏy chủ bờn ngoài với mỏy chủ kiờn cố, khụng cho phộp kết nối trực tiếp với mỏy chủ nội bộ. Firewall che chắn mỏy chủ là do bộ định tuyến lọc gúi và mỏy chủ kiờn cố hợp thành. Hệ thống Firewall cú cấp an toàn cao hơn so với hệ thống Firewall lọc gúi thụng thường vỡ nú đảm bảo an toàn tầng mạng (lọc gúi) và tầng ứng dụng (dịch vụ đại lý). Firewall che chắn mạng con: Hệ thống Firewall che chắn mạng con dựng hai bộ định tuyến lọc gúi và một mỏy chủ kiờn cố, cho phộp thiết lập hệ thống Firewall an toàn nhất, vỡ nú đảm bảo chức năng an toàn tầng mạng và tầng ứng dụng.
Kỹ thuật Firewall Lọc khung (Frame Filtering):
Hoạt động trong tầng 2 của mụ hỡnh OSI, cú thể lọc, kiểm tra được ở mức bit và nội dung của khung tin (Ethernet/802.3, Token Ring 802.5, FDDI,...). Trong tầng này cỏc khung dữ liệu khụng tin cậy sẽ bị từ chối ngay trước khi vào mạng Lọc gúi (Packet Filtering): Kiểu Firewall chung nhất là kiểu dựa trờn tầng mạng của mụ hỡnh OSI. Lọc gúi cho phộp hay từ chối gúi tin mà nú nhận được. Nú kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đú cú thoả món một trong số cỏc quy định của lọc Packet hay khụng. Cỏc quy tắc lọc Packet dựa vào cỏc thụng tin trong Packet Header. Nếu quy tắc lọc Packet được thoả món thỡ gúi tin được chuyển qua Firewall. Nếu khụng sẽ bị bỏ đi. Như vậy Firewall cú thể ngăn cản cỏc kết nối vào hệ thống, hoặc khoỏ việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ khụng cho phộp. Một số Firewall hoạt động ở tầng mạng (tương tự như một Router) thường cho phộp tốc độ xử lý nhanh vỡ chỉ kiểm tra địa chỉ IP nguồn mà khụng thực hiện lệnh trờn Router, khụng xỏc định địa chỉ sai hay bị cấm. Nú sử dụng địa chỉ IP nguồn làm chỉ thị, nếu một gúi tin mang địa chỉ nguồn là địa chỉ giả thỡ nú sẽ chiếm được quyền truy nhập vào hệ thống. Tuy nhiờn cú nhiều biện phỏp kỹ thuật cú thể được ỏp dụng cho việc lọc gúi tin nhằm khắc phục nhược điểm trờn, ngoài trường địa chỉ IP được kiểm tra, cũn cú cỏc thụng tin khỏc được kiểm tra với cỏc quy tắc được tạo ra trờn Firewall, cỏc thụng tin này cú thể là thời gian truy nhập, giao thức sử dụng, cổng ... Firewall kiểu PacketFiltering cú 2 loại:
Packet filtering Fire wall: Hoạt động tại tầng mạng của mụ hỡnh OSI hay tầng IP trong mụ hỡnh TCP/IP. Kiểu Firewall này khụng quản lý được cỏc giao dịch trờn mạng.
Circuit Level Gateway: Hoạt động tại tầng phiờn (Session) của mụ hỡnh OSI hay tầng TCP trong mụ hỡnh TCP/IP. Là loại Firewall xử lý bảo mật giao dịch giữa hệ thống và người dựng cuối (VD: kiểm tra ID, mật khẩu...) loại Firewall cho phộp lưu vết trạng thỏi của người truy nhập.
Kỹ thuật Proxy
Là hệ thống Firewall thực hiện cỏc kết nối thay cho cỏc kết nối trực tiếp từ mỏy khỏch yờu cầu.Proxy hoạt động dựa trờn phần mềm. Khi một kết nối từ một người sử dụng nào đú đến mạng sử dụng Proxy thỡ kết nối đú sẽ bị chặn lại, sau đú Proxy sẽ kiểm tra cỏc trường cú liờn quan đến yờu cầu kết nối. Nếu việc kiểm tra thành cụng, cú nghĩa là cỏc trường thụng tin đỏp ứng được cỏc quy tắc đó đặt ra, nú sẽ tạo một cầu kết nối giữa hai node với nhau.
Ưu điểm của kiểu Firewall loại này là khụng cú chức năng chuyển tiếp cỏc gúi tin IP, và cú thể điểu khiển một cỏch chi tiết hơn cỏc kết nối thụng qua Firewall. Cung cấp nhiều cụng cụ cho phộp ghi lại cỏc quỏ trỡnh kết nối. Cỏc gúi tin chuyển qua Firewall đều được kiểm tra kỹ lưỡng với cỏc quy tắc trờn Firewall, điều này phải trả giỏ cho tốc độ xử lý. Khi một mỏy chủ nhận cỏc gúi tin từ mạng ngoài rồi chuyển chỳng vào mạng trong, sẽ tạo ra một lỗ hổng cho cỏc kẻ phỏ hoại (Hacker) xõm nhập từ mạng ngoài vào mạng trong.
Nhược điểm của kiểu Firewall này là hoạt động dựa trờn trỡnh ứng dụng uỷ quyền (Proxy).
TÀI LIỆU THAM KHẢO
[1] Mạng mỏy tớnh –Trường đại học cụng nghệ - ĐHQG Hà Nội
[2] Thạc Mạnh Cường –Tin học văn phũng – 2005
[3] Tài liệu tham khảo trờn Internet