Kết nối WLAN và ADSL

Một phần của tài liệu Giáo trình mạng máy tính (nghề kỹ thuật sửa chữa, lắp ráp máy tính cao đẳng) (Trang 108 - 115)

4. Cấu hỡnh Router ADSL và WLAN

2.3. Kết nối WLAN và ADSL

hệ thống hoặc ẩn chứa trong một dịch vụ mà dựa vào đú kẻ tấn cụng cú thể xõm nhập trỏi phộp để thực hiện cỏc hành động phỏ hoại hoặc chiếm đoạt tài nguyờn bất hợp phỏp.

Nguyờn nhõn gõy ra những lỗ hổng bảo mật là khỏc nhau: cú thể do lỗi của bản thõn hệ thống, hoặc phần mềm cung cấp, hoặc do ng−ời quản trị yếu kộm khụng hiểu sõu sắc cỏc dịch vụ cung cấp ...

Mức độ ảnh hưởng của cỏc lỗ hổng là khỏc nhau. Cú những lỗ hổng chỉ ảnh hưởng tới chất lượng dịch vụ cung cấp, cú những lỗ hổng ảnh hưởng nghiờm trọng tới toàn bộ hệ thống ...

Đối tượng tấn cụng mạng (Intruder):

Là những cỏ nhõn hoặc cỏc tổ chức sử dụng cỏc kiến thức về mạng và cỏc cụng cụ phỏ hoại (phần mềm hoặc phần cứng) để dũ tỡm cỏc điểm yếu, lỗ hổng bảo mật trờn hệ thống, thực hiện cỏc hoạt động xõm nhập và chiếm đoạt tài nguyờn mạng trỏi phộp.

Một số đối tượng tấn cụng mạng là:

- Hacker: Là những kẻ xõm nhập vào mạng trỏi phộp bằng cỏch sử dụng cỏc cụng cụ phỏ mật khẩu hoặc khai thỏc cỏc điểm yếu của cỏc thành phần truy nhập trờn hệ thống

- Masquerader: Là những kẻ giả mạo thụng tin trờn mạng. Một số hỡnh thức giả mạo như giả mạo địa chỉ IP, tờn miền, định danh người dựng ...

- Eavesdropping: Là những đối tượng nghe trộm thụng tin trờn mạng, sử dụng cỏc cụng cụ sniffer; sau đú dựng cỏc cụng cụ phõn tớch và debug để lấy được cỏc thụng tin cú giỏ trị

Những đối tượng tấn cụng mạng cú thể nhằm nhiều mục đớch khỏc nhau: như ăn cắp những thụng tin cú giỏ trị về kinh tế, phỏ hoại hệ thống mạng cú chủ định, hoặc cũng cú thể chỉ là những hành động vụ ý thức, thử nghiệm cỏc chương trỡnh khụng kiểm tra cẩn thận ...

b. Một số phương thức tấn cụng mạng

Cú thể tấn cụng mạng theo một trong cỏc hỡnh thức sau đõy:

- Dựa vào những lỗ hổng bảo mật trờn mạng: Những lỗ hổng này cú thể là cỏc điểm yếu của dịch vụ mà hệ thống đú cung cấp; Vớ dụ những kẻ tấn cụng lợi dụng cỏc điểm yếu trong cỏc dịch vụ mail, ftp, web ... để xõm nhập và phỏ hoại

Hỡnh 8-1 - Cỏc hỡnh thức tấn cụng mạng

-Sử dụng cỏc cụng cụ để phỏ hoại: Vớ dụ sử dụng cỏc chương trỡnh phỏ khoỏ mật khẩu để truy nhập vào hệ thống bất hợp phỏp; Lan truyền virus trờn hệ thống; cài đặt cỏc đoạn mó bất hợp phỏp vào một số chương trỡnh.

- Nhưng kẻ tấn cụng mạng cũng cú thể kết hợp cả 2 hỡnh thức trờn với nhau để đạt được mục đớch.

- Mức 1 (Level 1): Tấn cụng vào một số dịch vụ mạng: như Web, Email, dẫn đến cỏc nguy cơ lộ cỏc thụng tin về cấu hỡnh mạng. Cỏc hỡnh thức tấn cụng ở mức này cụ thể dựng DoS hoặc spam mail.

- Mức 2 (Level 2): Kẻ phỏ hoại dựng tài khoảng của người dựng hợp phỏp để chiếm đoạt tài nguyờn hệ thống; (Dựa vào cỏc phương thức tấn cụng như bẻ khúa, đỏnh cắp mật khẩu ...); kẻ phỏ hoại cụ thể thay đổi quyền truy nhập hệ thống qua cỏc lỗ hổng bảo mật hoặc đọc cỏc thụng tin trong tập tin liờn quan đến truy nhập hệ thống như /etc/passwd

- Từ Mức 3 đến mức 5: Kẻ phỏ hoại khụng sử dụng quyền của người dựng thụng thường; mà cú thờm một số quyền cao hơn đối với hệ thống; như quyền kớch hoạt một số dịch vụ; xem xột cỏc thụng tin khỏc trờn hệ thống

- Mức 6: Kẻ tấn cụng chiếm được quyền root trờn hệ thống.

1.4. Một số điểm yếu của hệ thống

Cỏc lỗ hổng bảo mật hệ thống là cỏc điểm yếu cú thể tạo ra sự ngưng trệ của dịch vụ, thờm quyền đối với người sử dụng hoặc cho phộp cỏc truy nhập khụng hợp phỏp vào hệ thống. Cỏc lỗ hổng tồn tại trong cỏc dịch vụ như Sendmail, Web,Ftp ... và trong hệ điều hành mạng như trong Windows NT, Windows 95, UNIX; hoặc trong cỏc ứng dụng.

Cỏc loại lỗ hổng bảo mật trờn một hệ thống được chia như sau:

Lỗ hổng loại C: cho phộp thực hiện cỏc phương thức tấn cụng theo kiểu từ chối dịch vụ DoS (Dinal of Services). Mức nguy hiểm thấp, chỉ ảnh hưởng chất lượng dịch

vụ, cú thể làm ngưng trệ, giỏn đoạn hệ thống, khụng phỏ hỏng dữ liệu hoặc chiếm quyền truy nhập.

Lổ hổng loại B: cho phộp người sử dụng cú thờm cỏc quyền trờn hệ thống mà khụng cần thực hiện kiểm tra tớnh hợp lệ. Mức độ nguy hiểm trung bỡnh, những lỗ hổng này thường cú trong cỏc ứng dụng trờn hệ thống, cú thể dẫn đến hoặc lộ thụng tin yờu cầu bảo mật.

Lỗ hổng loại A: Cỏc lỗ hổng này cho phộp người sử dụng ở ngoài cho thể truy nhập vào hệ thống bất hợp phỏp. Lỗ hổng rất nguy hiểm, cú thể làm phỏ hủy toàn bộ hệ thống.

1.5. Cỏc mức bảo vệ an toàn mạng

Vỡ khụng cú một giải phỏp an toàn tuyệt đối nờn người ta thường phải sử dụng đồng thời nhiều mức bảo vệ khỏc nhau tạo thành nhiều lớp "rào chắn" đối với cỏc hoạt động xõm phạm. Việc bảo vệ thụng tin trờn mạng chủ yếu là bảo vệ thụng tin cất giữ trong cỏc mỏy tớnh, đặc biệt là trong cỏc server của mạng. Hỡnh sau mụ tả cỏc lớp rào chắn thụng dụng hiện nay để bảo vệ thụng tin tại cỏc trạm của mạng

Hỡnh 8-2: Cỏc mức độ bảo vệ mạng

Như minh hoạ trong hỡnh trờn, cỏc lớp bảo vệ thụng tin trờn mạng gồm:

- Lớp bảo vệ trong cựng là quyền truy nhập nhằm kiểm soỏt cỏc tài nguyờn (ở đõy là thụng tin) của mạng và quyền hạn (cú thể thực hiện những thao tỏc gỡ) trờn tài nguyờn đú. Hiện nay việc kiểm soỏt ở mức này được ỏp dụng sõu nhất đối với tệp

- Lớp bảo vệ tiếp theo là hạn chế theo tài khoản truy nhập gồm đăng ký tờn/ và mật khẩu tương ứng. Đõy là phương phỏp bảo vệ phổ biến nhất vỡ nú đơn giản, ớt tốn kộm và cũng rất cú hiệu quả. Mỗi người sử dụng muốn truy nhập được vào mạng sử dụng cỏc tài nguyờn đều phải cú đăng ký tờn và mật khẩu. Người quản trị hệ thống cú trỏch nhiệm quản lý, kiểm soỏt mọi hoạt động của mạng và xỏc định quyền truy nhập của những người sử dụng khỏc tuỳ theo thời gian và khụng gian.

- Lớp thứ ba là sử dụng cỏc phương phỏp mó hoỏ (encryption). Dữ liệu được biến đổi từ dạng "đọc được" sang dạng khụng "đọc được" theo một thuật toỏn nào đú. Chỳng ta sẽ xem xột cỏc phương thức và cỏc thuật toỏn mó hoỏ hiện được sử dụng phổ biến ở phần dưới đõy.

- Lớp thứ tư là bảo vệ vật lý (physical protection) nhằm ngăn cản cỏc truy nhập vật lý bất hợp phỏp vào hệ thống. Thường dựng cỏc biện phỏp truyền thống như ngăn cấm người khụng cú nhiệm vụ vào phũng đặt mỏy, dựng hệ thống khoỏ trờn mỏy tớnh, cài đặt cỏc hệ thống bỏo động khi cú truy nhập vào hệ thống ...

- Lớp thứ năm: Cài đặt cỏc hệ thống bức tường lửa (firewall), nhằm ngăn chặn cỏc thõm nhập trỏi phộp và cho phộp lọc cỏc gúi tin mà ta khụng muốn gửi đi hoặc nhận vào vỡ một lý do nào đú.

2. Tiến trỡnh khắc phục sự cố

2.1. Phương thức khắc phục sự cố

2.1.1.Cỏc biện phỏp bảo vệ mạng mỏy tớnh

Thực tế khụng cú biện phỏp hữu hiệu nào đảm bảo an toàn tuyệt đối cho mạng. Hệ thống bảo vệ dự cú chắc chắn đến đõu thỡ cũng cú lỳc bị vụ hiệu hoỏ bởi những kẻ phỏ hoại điờu luyện. Cú nhiều biện phỏp đảm bảo an ninh mạng.

a. Tổng quan về bảo vệ thụng tin bằng mật mó (Cryptography)

Mật mó là quỏ trỡnh chuyển đối thụng tin gốc sang dạng mó húa (Encryption). Cú hai cỏch tiếp cận để bảo vệ thụng tin bằng mật mó: theo đường truyền (Link Oriented Security) và từ mỳtđến-mỳt (End-to-End). Trong cỏch thứ nhất, thụng tin được mó hoỏ để bảo vệ trờn đường truyền giữa 2 nỳt khụng quan tõm đến nguồn và đớch của thụng tin đú. Ưu điểm của cỏch này là cú thể bớ mật được luồng thụng tin giữa nguồn và đớch và cú thể ngăn chặn được toàn bộ cỏc vi phạm nhằm phõn tớch thụng tin trờn mạng. Nhược điểm là vỡ thụng tin chỉ được mó hoỏ trờn đường truyền nờn đũi hỏi cỏc nỳt phải được bảo vệ tốt.

Ngược lại, trong cỏch thứ hai, thụng tin được bảo vệ trờn toàn đường đi từ nguồn tới đớch. Thụng tin được mó hoỏ ngay khi mới được tạo ra và chỉ được giải mó khi đến đớch. Ưu điểm của tiếp cận này là người sử dụng cú thể dựng nú mà khụng ảnh hưởng gỡ đến người sử dụng khỏc. Nhược điểm của phương phỏp là chỉ cú dữ liệu người sử dụng được mó hoỏ, cũn thụng tin điều khiển phải giữ nguyờn để cú thể xử lý tại cỏc node. Giải thuật DES mó hoỏ cỏc khối 64 bits của văn bản gốc thành 64 bits văn bản mật bằng một khoỏ. Khoỏ gồm 64 bits trong đú 56 bits được dựng mó hoỏ và 8 bits cũn lại được dựng để kiểm soỏt lỗi. Một khối dữ liệu cần mó hoỏ sẽ phải trải qua 3 quỏ trỡnh xử lý: Hoỏn vị khởi đầu, tớnh toỏn phụ thuộc khoỏ và hoỏn vị đảo ngược hoỏn vị khởi đầu. Khúa K Bản rừ Bản mó Mật mó Giải mó Bản rừ ban đầu

Phương phỏp sử dụng khoỏ cụng khai (Public key): Cỏc phương phỏp mật mó chỉ dựng một khoỏ cho cả mó hoỏ lẫn giải mó đũi hỏi người gửi và người nhận phải biết khoỏ và giữ bớ mật. Tồn tại chớnh của cỏc phương phỏp này là làm thế nào để phõn phối khoỏ một cỏch an toàn, đặc biệt trong mụi trường nhiều người sử dụng.

Để khắc phục, người ta thường sử dụng phương phỏp mó hoỏ 2 khoỏ, một khoỏ cụng khai để mó hoỏ và một mó bớ mật để giải mó. Mặc dự hai khoỏ này thực hiện cỏc thao tỏc ngược nhau nhưng khụng thể suy ra khoỏ bớ mật từ khoỏ cụng khai và ngược lại nhờ cỏc hàm toỏn học đặc biệt gọi là cỏc hàm sập bẫy một chiều (trap door one-way functions). Đặc điểm cỏc hàm này là phải biết được cỏch xõy dựng hàm thỡ mới cú thể suy ra được nghịch đảo của nú. Giải thuật RSA dựa trờn nhận xột sau: phõn tớch ra thừa số của tớch của 2 số nguyờn tố rất lớn cực kỳ khú khăn. Vỡ vậy, tớch của 2 số nguyờn tố cú thể cụng khai, cũn 2 số nguyờn tố lớn cú thể dựng để tạo khoỏ giải mó mà khụng sợ bị mất an toàn. Trong giải thuật RSA mỗi trạm lựa chọn ngẫu nhiờn 2 số nguyờn tố lớn p và q và nhõn chỳng với nhau để cú tớch n=pq (p và q được giữ bớ mật).

Firewall là một hệ thống dựng để tăng cường khống chế truy xuất, phũng ngừa đột nhập bờn ngoài vào hệ thống sử dụng tài nguyờn của mạng một cỏch phi phỏp. Tất cả thụng tin đến và đi nhất thiết phải đi qua Firewall và chịu sự kiểm tra của bức tường lửa. Núi chung Firewall cú 5 chức năng lớn sau:

1. Lọc gúi dữ liệu đi vào/ra mạng lưới.

2. Quản lý hành vi khai thỏc đi vào/ra mạng lưới 3. Ngăn chặn một hành vi nào đú.

4. Ghi chộp nội dung tin tức và hoạt động thụng qua bức tường lửa. 5. Tiến hành đo thử giỏm sỏt và cảnh bỏo sự tấn cụng đối với mạng lưới. Ưu điểm và nhược điểm của bức tường lửa:

Ưu điểm chủ yếu của việc sử dụng Firewall để bảo vệ mạng nội bộ. Cho phộp người quản trị mạng xỏc định một điểm khống chế ngăn chặn để phũng ngừa tin tặc, kẻ phỏ hoại, xõm nhập mạng nội bộ. Cấm khụng cho cỏc loại dịch vụ kộm an toàn ra vào mạng, đồng thời chống trả sự cụng kớch đến từ cỏc đường khỏc. Tớnh an toàn mạng được củng cố trờn hệ thống Firewall mà khụng phải phõn bố trờn tất cả mỏy chủ của mạng. Bảo vệ những dịch vụ yếu kộm trong mạng. Firewall dễ dàng giỏm sỏt tớnh an toàn mạng và phỏt ra cảnh bảo. Tớnh an toàn tập trung. Firewall cú thể giảm đi vấn đề khụng gian địa chỉ và che dấu cấu trỳc của mạng nội bộ. Tăng cường tớnh bảo mật, nhấn mạnh quyền sở hữu. Firewall được sử dụng để quản lý lưu lượng từ mạng ra ngoài, xõy dựng phương ỏn chống nghẽn.

Nhược điểm là hạn chế dịch vụ cú ớch, vỡ để nõng cao tớnh an toàn mạng, người quản trị hạn chế hoặc đúng nhiều dịch vụ cú ớch của mạng. Khụng phũng hộ được sự tấn cụng của kẻ phỏ hoại trong mạng nội bộ, khụng thể ngăn chăn sự tấn cụng thụng qua những con đường khỏc ngoài bức tường lửa. Firewall Internet khụng thể hoàn toàn phũng ngừa được sự phỏt tỏn phần mềm hoặc tệp đó nhiễm virus.

Cỏc loại Firewall

Firewall lọc gúi thường là một bộ định tuyến cú lọc. Khi nhận một gúi dữ liệu, nú quyết định cho phộp qua hoặc từ chối bằng cỏch thẩm tra gúi tin để xỏc định quy tắc lọc gúi dựa vào cỏc thụng tin của Header để đảm bảo quỏ trỡnh chuyển phỏt IP. Firewall cổng mạng hai ngăn là loại Firewall cú hai cửa nối đến mạng khỏc. Vớ dụ một cửa nối tới một mạng bờn ngoài khụng tớn nhiệm cũn một cửa nối tới một mạng nội bộ cú thể tớn nhiệm. Đặc điểm lớn nhất Firewall loại này là gúi tin IP bị chặn lại. Firewall che chắn (Screening) mỏy chủ bắt buộc cú sự kết nối tới tất cả mỏy chủ bờn ngoài với mỏy chủ kiờn cố, khụng cho phộp kết nối trực tiếp với mỏy chủ nội bộ. Firewall che chắn mỏy chủ là do bộ định tuyến lọc gúi và mỏy chủ kiờn cố hợp thành. Hệ thống Firewall cú cấp an toàn cao hơn so với hệ thống Firewall lọc gúi thụng thường vỡ nú đảm bảo an toàn tầng mạng (lọc gúi) và tầng ứng dụng (dịch vụ đại lý). Firewall che chắn mạng con: Hệ thống Firewall che chắn mạng con dựng hai bộ định tuyến lọc gúi và một mỏy chủ kiờn cố, cho phộp thiết lập hệ thống Firewall an toàn nhất, vỡ nú đảm bảo chức năng an toàn tầng mạng và tầng ứng dụng.

Kỹ thuật Fire wall Lọc khung (Frame Filtering):

Hoạt động trong tầng 2 của mụ hỡnh OSI, cú thể lọc, kiểm tra được ở mức bit và nội dung của khung tin (Ethernet/802.3, Token Ring 802.5, FDDI,...). Trong tầng

này cỏc khung dữ liệu khụng tin cậy sẽ bị từ chối ngay trước khi vào mạng Lọc gúi (Packet Filtering): Kiểu Firewall chung nhất là kiểu dựa trờn tầng mạng của mụ hỡnh OSI. Lọc gúi cho phộp hay từ chối gúi tin mà nú nhận được. Nú kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đú cú thoả món một trong số cỏc quy định của lọc Packet hay khụng. Cỏc quy tắc lọc Packet dựa vào cỏc thụng tin trong Packet Header. Nếu quy tắc lọc Packet được thoả món thỡ gúi tin được chuyển qua Firewall. Nếu khụng sẽ bị bỏ đi. Như vậy Firewall cú thể ngăn cản cỏc kết nối vào hệ thống, hoặc khoỏ việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ khụng cho phộp. Một số Firewall hoạt động ở tầng mạng (tương tự như một Router) thường cho phộp tốc độ xử lý nhanh vỡ chỉ kiểm tra địa chỉ IP nguồn mà khụng thực hiện lệnh trờn Router, khụng xỏc định địa chỉ sai hay bị cấm. Nú sử dụng địa chỉ IP nguồn làm chỉ thị, nếu một gúi tin mang địa chỉ nguồn là địa chỉ giả thỡ nú sẽ chiếm được quyền truy nhập vào hệ thống. Tuy nhiờn cú nhiều biện phỏp kỹ thuật cú thể được ỏp dụng cho việc lọc gúi tin nhằm khắc phục nhược điểm trờn, ngoài trường địa chỉ IP được kiểm tra, cũn cú cỏc thụng tin khỏc được kiểm tra với cỏc quy tắc được tạo ra trờn Firewall, cỏc thụng tin này cú thể là thời gian truy nhập, giao thức sử dụng, cổng ... Firewall kiểu Packet Filtering cú 2 loại:

Packet filtering Fire wall: Hoạt động tại tầng mạng của mụ hỡnh OSI hay tầng

IP trong mụ hỡnh TCP/IP. Kiểu Firewall này khụng quản lý được cỏc giao dịch trờn mạng.

Circuit Level Gateway: Hoạt động tại tầng phiờn (Session) của mụ hỡnh OSI

Một phần của tài liệu Giáo trình mạng máy tính (nghề kỹ thuật sửa chữa, lắp ráp máy tính cao đẳng) (Trang 108 - 115)

Tải bản đầy đủ (PDF)

(115 trang)