Chƣơng 2 CƠ SỞ HẠ TẦNG BẢO ĐẢM ATTT TRONG GDĐT
2.1. VẤN ĐỀ BẢO ĐẢM ATTT TRONG GDĐT
2.1.3. Công cụ bảo đảm ATTT
Công cụ chủ động kiểm soát (“Thủ công”)
Xác thực thực thể vào máy tính bằng: - Mật khẩu
- Giao thức xác thực - Sinh trắc học.
Công cụ tự động kiểm soát
Có thể lựa chọn kết hợp các giải pháp: - Firewall
- VPN - PKI
Chức năng của từng công cụ nhƣ sau:
1) Tƣờng lửa (Firewall):
FireWall là một kỹ thuật đƣợc tích hợp vào hệ thống mạng để chống lại sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng nhƣ hạn chế sự xâm nhập vào hệ thông của một số thông tin khác không mong muốn.
Internet FireWall là một tập hợp thiết bị (bao gồm phần cứng và phần mềm) giữa mạng của một tổ chức, một công ty, hay một quốc gia (Intranet) và Internet.
Trong một số trƣờng hợp, Firewall có thể đƣợc thiết lập ở trong cùng một mạng nội bộ và cô lập các miền an toàn.
FireWall quyết định những dịch vụ nào từ bên trong đƣợc phép truy cập từ bên ngoài, những ngƣời nào từ bên ngoài đƣợc phép truy cập đến các dịch vụ bên trong, và cả những dịch vụ nào bên ngoài đƣợc phép truy cập bởi những ngƣời bên trong.
FireWall bao gồm:
Một hoặc nhiều hệ thống máy chủ kết nối với các bộ định tuyến (router) hoặc
Intranet
F
ire
Các phần mềm quản lí an ninh chạy trên hệ thống máy chủ. Thông thƣờng là các hệ quản trị xác thực (Authentication), cấp quyền (Authorization) và kế toán (Accounting).
Một FireWall bao gồm một hay nhiều thành phần sau : + Bộ lọc packet (packet- filtering router).
+ Cổng ứng dụng (Application-level gateway hay proxy server). + Cổng mạch (Circuite level gateway).
Nhiệm vụ cơ bản của FireWall là bảo vệ những vấn đề sau :
+ Dữ liệu: Những thông tin cần đƣợc bảo vệ do những yêu cầu sau: - Bảo mât.
- Tính toàn vẹn. - Tính kịp thời.
+ Tài nguyên hệ thống.
+ Danh tiếng của công ty sở hữu các thông tin cần bảo vệ.
FireWall bảo vệ chống lại những sự tấn công từ bên ngoài.
+ Tấn công trực tiếp:
Cách thứ nhất là dùng phƣơng pháp dò mật khẩu trực tiếp. Thông qua các chƣơng trình dò tìm mật khẩu với một số thông tin về ngƣời sử dụng nhƣ ngày sinh, tuổi, địa chỉ v.v…và kết hợp với thƣ viện do ngƣời dùng tạo ra, kẻ tấn công có thể dò đƣợc mật khẩu của bạn.
Cách thứ hai là sử dụng lỗi của các chƣơng trình ứng dụng và bản thân hệ điều hành đã đƣợc sử dụng từ những vụ tấn công đầu tiên và vẫn đƣợc để chiếm quyền truy cập (có đƣợc quyền của ngƣời quản trị hệ thống).
+ Nghe trộm:
Có thể biết đƣợc tên, mật khẩu, các thông tin chuyền qua mạng thông qua các chƣơng trình cho phép đƣa vỉ giao tiếp mạng (NIC) vào chế độ nhận toàn bộ các thông tin lƣu truyền qua mạng.
+ Giả mạo địa chỉ IP.
+ Vô hiệu hoá các chức năng của hệ thống (deny service):
Đây là kiểu tấn công nhằm làm tê liệt toàn bộ hệ thống không cho nó thực hiện các chức năng mà nó đƣợc thiết kế. Kiểu tấn công này không thể ngăn chặn đƣợc do những phƣơng tiện tổ chức tấn công cũng chính là các phƣơng tiện để làm việc và truy nhập thông tin trên mạng.
+ Lỗi ngƣời quản trị hệ thống. + Yếu tố con ngƣời:
Tính cách chủ quan và không hiểu rõ tầm quan trọng của việc bảo mật hệ thống nên dễ dàng để lộ các thông tin quan trọng cho hacker.
2) Mạng riêng ảo (VPN):
Giải pháp VPN đƣợc thiết kế cho những tổ chức có xu hƣớng tăng cƣờng thông tin từ xa vì địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu). Tài nguyên ở trung tâm có thể kết nối đến từ nhiều nguồn nên tiết kiệm đƣợc đƣợc chi phí và thời gian. Một mạng VPN điển hình bao gồm mạng LAN chính tại trụ sở (Văn phòng chính), các mạng LAN khác tại những văn phòng từ xa, các điểm kết nối (nhƣ 'Văn phòng' tại gia) hoặc ngƣời sử dụng (Nhân viên di động) truy
cập đến từ bên ngoài.
Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thƣờng là Internet) để kết nối các địa điểm hoặc ngƣời sử dụng từ xa với một LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp nhƣ đƣờng dây thuê bao số, VPN tạo ra các liên kết ảo đƣợc truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc ngƣời sử dụng ở xa.
Có hai loại phổ biến hiện nay là VPN truy cập từ xa (Remote-Access) và VPN điểm-nối-điểm (site-to-site)
VPN truy cập từ xa còn đƣợc gọi là mạng Dial-up riêng ảo (VPDN), là một kết nối Người dùng-đến-LAN, thƣờng là nhu cầu của một tổ chức có nhiều nhân
viên cần liên hệ với mạng riêng của mình từ rất nhiều địa điểm ở xa. Ví dụ nhƣ công ty muốn thiết lập một VPN lớn phải cần đến một nhà cung cấp dịch vụ doanh nghiệp (ESP). ESP này tạo ra một máy chủ truy cập mạng (NAS) và cung cấp cho những ngƣời sử dụng từ xa một phần mềm máy khách cho máy tính của họ. Sau đó, ngƣời sử dụng có thể gọi một số miễn phí để liên hệ với NAS và dùng phần mềm VPN máy khách để truy cập vào mạng riêng của công ty. Loại VPN này cho phép các kết nối an toàn, có mật mã.
VPN điểm-nối-điểm là việc sử dụng mật mã dành cho nhiều ngƣời để kết nối nhiều điểm cố định với nhau thông qua một mạng công cộng nhƣ Internet. Loại này có thể dựa trên Intranet hoặc Extranet. Loại dựa trên Intranet: Nếu một công ty có vài địa điểm từ xa muốn tham gia vào một mạng riêng duy nhất, họ có thể tạo ra một VPN intranet (VPN nội bộ) để nối LAN với LAN. Loại dựa trên Extranet: Khi một công ty có mối quan hệ mật thiết với một công ty khác (ví dụ nhƣ đối tác cung cấp, khách hàng...), họ có thể xây dựng một VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác nhau có thể làm việc trên một môi trƣờng chung.
Mật mã truy cập là khi một máy tính mã hóa dữ liệu và gửi nó tới một máy tính khác thì chỉ có máy đó mới giải mã đƣợc. Có hai loại là mật mã riêng và mật mã chung.
Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính đều có một mã bí mật để mã hóa gói tin trƣớc khi gửi tới máy tính khác trong mạng. Mã riêng yêu cầu bạn phải biết mình đang liên hệ với những máy tính nào để có thể cài mã lên đó, để máy tính của ngƣời nhận có thể giải mã đƣợc.
Mật mã chung (Public-Key Encryption) kết hợp mã riêng và một mã công cộng. Mã riêng này chỉ có máy của bạn nhận biết, còn mã chung thì do máy của bạn cấp cho bất kỳ máy nào muốn liên hệ (một cách an toàn) với nó. Để giải mã một message, máy tính phải dùng mã chung đƣợc máy tính nguồn cung cấp, đồng thời cần đến mã riêng của nó nữa. Có một ứng dụng loại này đƣợc dùng rất phổ biến là Pretty Good Privacy (PGP), cho phép bạn mã hóa dữ liệu.
Giao thức bảo mật: giao thức Internet (IPSec) cung cấp những tính năng an ninh nhƣ các thuật toán mã hóa, quá trình thẩm định quyền đăng nhập,...
IPSec có hai cơ chế mã hóa là Tunnel và Transport. Tunnel mã hóa tiêu đề (header) và kích thƣớc của mỗi gói tin còn Transport chỉ mã hóa kích thƣớc. Chỉ những hệ thống nào hỗ trợ IPSec mới có thể tận dụng đƣợc giao thức này. Ngoài ra, tất cả các thiết bị phải sử dụng một mã khóa chung và các tƣờng lửa trên mỗi hệ thống phải có các thiết lập bảo mật giống nhau. IPSec có thể mã hóa dữ liệu giữa nhiều thiết bị khác nhau nhƣ router với router, firewall với router, PC với router, PC với máy chủ.
3) Hạ tầng cơ sở mật mã khóa công khai (PKI):
Là công cụ giúp kiểm soát truy cập vào – ra và che giấu thông tin, nó không có chức năng kiểm soát các lỗ hổ thiếu an ninh của hệ thống máy tính. Nội dung chi tiết sẽ đƣợc trình bày tại Mục 2.2.