Quy trình mua hàng sử dụng thẻ
7.4.2.2 Một số công nghệ đảm bảo an ninh mạng TMĐT.
* Bức tường lửa
Một trong các công cụ cơ bản đảm bảo an tồn mạng máy tính là bức tường lửa (firewall).
Trong đời sống hàng ngày, bức tường lửa là khoảng trống giữa các cánh rừng để ngăn các đám cháy không lây lan từ cánh rừng này sang cánh rừng khác. Trong CNTT, bức tường lửa (firewall) là một phần mềm và phần cứng có nhiệm vụ cách ly mạng riêng ra khỏi mạng công cộng, đồng thời cho phép những người sử dụng mạng máy tính của một tổ chức có thể truy cập tài nguyên của các mạng khác (thí dụ, mạng Internet), nhưng đồng thời ngăn cấm những người sử dụng khác không được phép từ bên ngoài truy cập vào mạng máy tính của tổ chức. Một bức tường lửa có những đặc điểm sau:
+ Tất cả giao thông từ bên trong mạng máy tính của tổ chức và ngược lại đều phải đi qua đó; + Chỉ các giao thơng được phép, theo qui định về an toàn mạng máy tính của tổ chức, mới được phép đi qua;
+ Khơng được phép thâm nhập vào chính hệ thống này.
Về cơ bản, bức tường lửa cho phép những người sử dụng mạng máy tính (mạng được bức tường lửa bảo vệ) truy cập toàn bộ các dịch vụ của mạng bên ngồi trong khi cho phép có lựa chọn các truy cập từ bên ngoài vào mạng bên trong trên cơ sở kiểm tra tên và mật khẩu của người sử dụng, địa chỉ IP hoặc tên miền (domain name)... Thí dụ, một nhà sản xuất chỉ cho phép những người sử dụng có tên miền thuộc các công ty đối tác là khách hàng lâu năm, truy cập vào website của họ để mua hàng. Như vậy, công việc của bức tường lửa là thiết lập một rào chắn giữa mạng máy tính của tổ chức và bên ngoài (những người truy cập từ xa và các mạng máy tính bên ngồi). Nó bảo vệ mạng máy tính của tổ chức tránh khỏi những tổn thương do những kẻ tin tặc, những người tò mò từ bên ngồi tấn cơng. Tất cả mọi thơng điệp được gửi đến và gửi đi đều được kiểm tra đối chiếu với những quy định về an toàn do tổ chức xác lập. Nếu thông điệp đảm bảo được các yêu cầu về an toàn, chúng sẽ được tiếp tục phân phối, nếu khơng sẽ bị chặn đứng lại (hình 7.6).
Hình 7.6: Bức tường lửa.
Một số loại bức tường lửa cơ bản.
- Bộđịnh tuyến lọc gói dữ liệu (packet filtering routers): là bức tường lửa sử dụng để lọc các dữ
liệu và các yêu cầu được chuyển đến từ Internet đến các mạng riêng dựa trên cơ sở địa chỉ máy tính của người gửi và người nhận các yêu cầu. Trên mạng, dữ liệu và các yêu cầu gửi từ máy tính này đến máy tính kia được chia nhỏ thành các gói. Mỗi gói đều có chứa địa chỉ của máy tính gửi và địa chỉ của máy tính nhận. Các gói cũng chứa các thơng tin phân định khác có thể được sử dụng để phân biệt gói này với gói khác. Các bộ lọc gói là các quy tắc có thể chấp nhận hoặc từ chối các gói tin đến dựa trên nguồn và địa chỉ đến và các thông tin phân định khác. Ví dụ về một số bộ lọc gói như sau:
+ Phong toả tồn bộ các gói được gửi từ một địa chỉInternet nào đó. Các cơng ty đơi khi sử dụng các bộ lọc này để phong tỏa các yêu cầu từ các máy tính của các đối thủ cạnh tranh.
+ Phong tỏa bất kỳ một gói tin nào từbên ngồi có địa chỉ của máy tính bên trong. Các cơng ty sử dụng loại quy tắc này để phong tỏa các yêu cầu khi một kẻ xâm nhập sử dụng máy tỉnh của mình đóng giả máy tính của cơng ty để xâm nhập vào mạng cơng ty.
Tuy vậy, các bộ lọc gói cũng có các nhược điểm. Khi đề ra các quy tắc, nhà quản trị có thể bỏ qua một số quy tắc quan trọng nào đó, hoặc đưa ra quy tắc không đúng, điều này tạo ra lỗ hổng trong bức tường lửa. Hơn nữa, do các bộ lọc không nhận biết được nội dung của gói tin, nên một khi gói dữ liệu đã đi qua được bức tường lửa, thì mạng bên trong sẽ trở nên mở cho các cuộc tấn cơng. Như vậy, dữ liệu có thể chứa các chỉ dẫn ẩn làm cho máy tính nhận tin thay đổi kiểm soát truy cập và các file liên quan tới an ninh.
- Máy phục vụ uỷ quyền. Bộ định tuyến lọc gói dữ liệu thường được sử dụng như lớp đầu tiên
phòng vệ mạng. Các bức tường lửa khác tạo nên lớp thứ hai. Các bức tường lửa thuộc lớp thứ hai phong tỏa dữ liệu và các yêu cầu dựa trên loại ứng dụng truy cập (HTTP, FTP. Telnet và các ứng dụng Internet khác). Ví dụ, một bức tường lửa có thể cho phép yêu cầu đối với các trang Web di chuyển từ mạng Internet vào mạng riêng. Loại bức tường lửa này được gọi là proxy (proxy server*-
máy phục vụủy quyền) lớp ứng dụng.
* Trong một số tài liệu, server được dịch là máy chủ theo nghĩa là máy tính cung cấp các dịch vụ cho người dùng trên một mạng nào đó. Máy tính này nhận các u cầu và tìm cách đáp ứng các yêu cầu đó theo một trật tự tuần tự.
Máy phục vụ uỷ quyền là một trong các loại bức tường lửa phổ biến nhất. Proxy là phần mềm máy phục vụ, thường được đặt trên một máy tính chun dụng, kiểm sốt tồn bộ các thơng tin được gửi đến từ một nơi nào đó trên Internet và ngược lại. Nó cung cấp các dịch vụ trung gian, đóng vai người thơng ngơn giữa mạng Internet và mạng nội bộ của tổ chức. Khi một người sử dụng trên mạng máy tính của tổ chức muốn "nói chuyện" với một người sử dụng của tổ chức khác, trước tiên anh ta phải nói chuyện với ứng dụng proxy trên máy phục vụ, tiếp đó proxy sẽ nói chuyện với máy tính của người sử dụng kia. Tương tự như vậy, khi một máy tính ở bên ngồi muốn nói chuyện với một máy tính trong mạng của tổ chức cũng phải nói thơng qua proxy trên máy phục vụ (hình 7.7).
Ưu điểm cơ bản của việc sử dụng proxy trong an tồn mạng đó là các thơng tin về mạng máy tính của tổ chức, các thơng tin về người sử dụng (như tên, địa chỉ mạng máy tính của tổ chức)... được bảo mật, bởi thực tế, các hệ thống bên ngoài chỉ giao tiếp với máy phục vụ proxy chứ không trực tiếp giao tiếp với máy tính của người sử dụng. Bằng việc ngăn chặn người sử dụng trực tiếp thông tin với Internet, thơng qua proxy, các tổ chức có thể hạn chế việc truy cập vào một số loại website có nội dung khơng tốt hoặc ảnh hưởng đến lợi ích của tổ chức như khiêu dâm, bán đấu giá, hay giao dịch chứng khốn...
Hình 7.7: Máy phục vụ uỷ quyền (Proxy server)
Sử dụng proxy còn tạo điều kiện tăng khả năng thực thi của Web bằng cách lưu trữ các thông tin, các trang web thường được yêu cầu, để giảm thời gian tải các thông tin lên mạng và các chi phí cho việc truyền dữ liệu. Ngồi ra, proxy cịn đóng vai trị quan trọng trong việc quản trị mạng. Nó cho phép theo dõi hoạt động của các máy tính thơng qua việc ghi chép địa chỉ IP của máy tính, ngày giờ thực hiện giao dịch, thời gian giao dịch, dung lượng (số byte) của các giao dịch... Các ưu điểm này khẳng định vai trị khơng thể thiếu của proxy nói riêng và các bức tường lửa (firewall) nói chung trong an tồn mạng máy tính của các doanh nghiệp và các tổ chức.
- Khu phi quân sự (DMZ- Demilitarized Zone). Trong đời thường, khu phi quân sự là một vùng đệm cách ly hai bên đối địch. Trong an toàn CNTT, DMZ là một vùng mạng nằm giữa mạng bên trong (LAN) và mạng bên ngồi (Internet) nhằm tạo ra vùng cơ lập về mặt vật lý giữa hai mạng và được điều khiển bởi các chính sách của bức tường lửa. Ví dụ, giả sử một cơng ty muốn vận hành Website riêng của mình, khi cài đặt DMZ, cơng ty phải cài đặt máy chủ Web ở một mạng có thể truy cập cơng cộng, các máy chủ cịn lại ở mạng riêng nội bộ. Một bức tường lửa phải được cấu hình nhằm hướng các yêu cầu đi từ mạng bên ngoài vào mạng và các máy chủ tương ứng. Trong phần lớn các trường hợp, mạng bên trong cũng được chặn phía trước bởi một bức tường lửa thứ hai để đảm bảo kép rằng các yêu cầu xâm nhập không vào được mạng riêng.
- Bức tường lửa cá nhân (Personal Firewall). Thời gian gần đây, số lượng các kết nối băng thông rộng (modem cable, các đường thuê bao số…) tới các hộ gia đình và doanh nghiệp nhỏ tăng lên nhanh chóng. Các kết nối liên tục này tỏ ra dễ bị tổn thương hơn so với các kết nối quay số (dial- up) đơn giản. Với các kết nối này, các chủgia đình và doanh nghiệp nhỏ chịu nhiều rủi ro thơng tin bị đánh cắp hoặc phá hủy, các thông tin nhạy cảm có thể bị truy nhập, và máy tính có thể bị sử dụng cho các cuộc tấn cơng từ chối dịch vụ tới các máy tính khác.
Bức tường lửa cá nhân được thiết kế nhằm bảo vệ các máy tính cá nhân bằng cách kiểm sốt tất cả thông tin đi đến qua card giao diện mạng máy tính. Các bức tường lửa hoạt động theo một trong hai cách. Cách thứ nhất, chủ nhân tạo lập các quy tắc lọc (tương tựnhư lọc gói) được bức tường lửa sử dụng nhằm cho phép hay xóa bỏ các gói tin. Với cách thứ hai, bức tường lửa có thể nghiên cứu, bằng cách hỏi yêu cầu của người dùng, lưu thông thông tin cần phải được xử lý như thế nào. Hiện có nhiều sản phẩm bức tường lửa cá nhân trên thị trường (Norton Personal Firewall của Simantec, ZoneAlarm Firewall của Check Point…).
- Mạng riêng ảo (VPN- Virtual Private Network). Giả sử một công ty muốn tạo lập một ứng dụng B2B, cung cấp cho các nhà cung ứng, các đối tác và những người khác sự truy cập tới dữ liệu chứa không chỉ trong Web site nội bộ, mà cả dữ liệu chứa trong các file khác (ví dụ văn bản word), hoặc các hệ thống dữ liệu lớn (legacy systems). Theo truyền thống, các liên lạc với công ty phải tiến hành qua đường dây thuê bao riêng hoặc qua đường dây quay số tới một ngân hàng các bộđiều giải (modem), hoặc qua máy chủ truy cập từ xa (RAS- Remote Accsess Server)) cho phép kết nối trực tiếp tới mạng LAN của công ty. Với mạng riêng, cơ hội để hacker tấn công coi như bằng không, nhưng đây là phương pháp truyền thông rất đắt đỏ đối với doanh nghiệp.
Một phương pháp thay thế rẻ hơn, đó là sử dụng mạng riêng ảo. Mạng riêng ảo sử dụng Internet công cộng để chuyển tải thông tin, nhưng vẫn là mạng riêng bằng cách sử dụng kết hợp mã hóa để kết hợp việc truyền thông, xác thực nhằm đảm bảo rằng thông tin vẫn chưa bị can thiệp và đi tới từ nguồn hợp pháp, kiểm soát truy cập nhằm kiểm tra danh tính (identity) của bất kỳ ai sử dụng mạng. Hơn nữa, VPN cũng được sử dụng để hỗ trợ truyền thơng giữa các văn phịng chi nhánh và trụ sở chính của cơng ty, cũng như giữa các nhân viên công tác lưu động và nơi làm việc.
VPN cho phép giảm đáng kể các chi phí viễn thơng, do chí phí mua sắm trang thiết bị thấp và khơng cần trang bị đường th bao riêng. Ví dụ, chi phí truyền thơng giữa các văn phịng chi nhánh và trụ sở chính của cơng ty hoạt động trong nước có thể tiết kiệm được 20-40%, cơng ty có chi nhánh ở nhiều quốc gia tiết kiệm được 60-90%, cho nhân viên công tác lưu động: 60-80%.
Thách thức kỹ thuật lớn nhất của VPN là đảm bảo tính bí mật và tính tồn vẹn của dữ liệu truyền qua Internet. Để giải quyết vấn đềnày, người ta sử dụng giao thức đường hầm (tunnels). Với giao thức đường hầm, dữ liệu trước tiên được mã hóa, và sau đó bao gói vào các gói và truyền qua Internet. Tại nơi nhận, dữ liệu được giải mã bởi một máy chủ hoặc thiết bịđịnh tuyến đặc biệt.
- Hệ thống dị tìm thâm nhập (Intrusion Detection System - IDS). Ngay cả khi một tổ chức tạo
lập được một chính sách an ninh tốt và có nhiều kỹ thuật đảm bảo an tồn, thì tổ chức vẫn có thể bị tổn thương bởi các cuộc tấn cơng. Ví dụ, nhiều tổ chức có các phần mềm chống virus, nhưng vẫn bị vỉrus tấn công. Do vậy, một tổ chức phải liên tục tìm kiếm và bứt phá về kỹ thuật an ninh.
Trong quá khứ, nhật ký kiểm soát (audit logs), tạo ra bởi nhiều thành phần hệ thống và ứng dụng, được xem xét một cách thủ công để phát hiện các xâm nhập file và cơ sở dữ liệu không thành công, các vi phạm đối với hệ thống và các ứng dụng khác. Hiển nhiên, quy trình thủ cơng có các nhược điểm. Ví dụ, nếu các mưu đồ xâm nhập xảy ra trong thời gian dài, chúng sẽ dễ bị bỏ qua. Hiện nay đã có một loại phần mềm chuyên biệt có thể theo dõi hoạt động qua mạng và tại máy chủ, nắm bắt được các hoạt động đáng nghi, và phản ứng tự động dựa trên cái gì được phát hiện. Loại phần mềm này được gọi là hệ thống dị tìm xâm nhập.
Các IDS hoặc dựa trên máy chủ, hoặc dựa trên mạng. Một IDS dựa trên máy chủ nằm trên máy chủ hoặc một hệ thống máy chủkhác được theo dõi. Các hệ thống dựa trên máy chủ tỏ ra tốt đặc biệt khi phát hiện các xâm nhập của người dùng không được quyền truy cập. Hệ thống dựa trên
máy chủ làm điều này bằng việc tính tốn một chữký đặc biệt hoặc kiểm tra tổng (check-sum) đối với mỗi file. Hệ thống IDS kiểm tra file trên cơ sở thông thường quan sát liệu các chữ ký đang dùng có phù hợp với các chữ ký trước đó hay khơng. Nếu như các chữ ký không phù hợp, biên chế an ninh sẽ thông báo ngay tức khắc.
Các IDS dựa trên mạng sử dụng các quy định để phân tích hoạt động đáng nghi ngờ ở vùng ngoại vi mạng hoặc tại các vị trí then chốt. Nó thường chứa một thiết bị màn hình – một gói phần mềm- quét mạng và các tác nhân phần mềm nằm ở các máy chủ khác nhau và đảm bảo thông tin ngược cho thiết bị màn hình. Loại IDS này kiểm tra lưu thơng thơng tin trên mạng (các gói tin) đối với các phương thức tấn công đã biết, và tựđộng thông báo cho biên chế an ninh khi có các sự kiện đặc biệt hoặc một nguy cơ nào đó xẩy ra. Một IDS cịn có thể thực hiện các hành động nhất định khi có cuộc tấn cơng xẩy ra. Ví dụ, nó có thể dừng kết nối hoặc tái cấu trúc các thiết bị mạng, như các bức tường lửa và định tuyến, dựa trên chính sách an ninh.
- Honeynet (Mạng mật ong). Honeynet là một công nghệ khác được sử dụng để phát hiện và phân tích các truy cập bất hợp pháp vào hệ thống. Một honeynet là một mạng các honeypot (điểm mật ong) được thiết kế để thu hút các hacker giống như mật thu hút ong. Trong trường hợp này, honeypot là các nguồn lực thông tin hệ thống: các bức tường lửa, định tuyến, máy chủ Web, các máy chủ cơ sở dữ liệu, các file và v.v. Các nguồn lực đó được làm giống như các hệ thống sản phẩm nhưng không làm việc thật. Sự khác biệt chủ yếu giữa honeypot và thiết bị thật là các hoạt động ở một honeypot đi từ những kẻ xâm nhập âm mưu phá hoại hệ thống. Bằng cách này, các nhà nghiên cứu quan sát honeynet có thể thu thập được thơng tin về vấn đề vì sao các hacker tấn cơng, khi nào chúng tấn công, tấn công như thế nào và chúng làm gì sau khi hệ thống bị vơ hiệu hóa, và chúng liên hệ với nhau như thế nào trong và sau khi tấn công.
Trước khi công ty triển khai một hệ thống honeynet, công ty cần phải nghĩ về việc công ty sẽ làm gì khi xẩy ra xẩy các hành động tội phạm của hacker hoặc có các chứng cớ về tội phạm và về các quy định của pháp luật đối với việc theo dõi các hoạt động hợp pháp và bất hợp pháp.
7.4.3. Bảo vệ các hệ thống của khách hàng và máy phục vụ