Bảo mật tường lửa và các khái niệm

Một phần của tài liệu bảo mật mạng và internet (Trang 70 - 73)

 Tầm quan trọng của nhu cầu bảo mật cho một thực thể

được dựa trên những đe dọa về an ninh.

 Nếu người sử dụng không biết về những nguy hiểm đe

dọa các hệ thống Intranet, sẽ rất khó khăn để bảo vệ mơi trường đúng cách và toàn bộ các hệ thống liên kết nối.

 Công nghệ chuyển mạch là một giúp đỡ lớn, nhưng nó

khơng nói cho người sử dụng biết ai sẽ đi đâu và tại sao.

Những nguyên nhân chính cho các hệ thống và các máy tính khơng được bảo vệ là :

 Thiếu các mật khẩu mã hóa.

 Thiếu nhân viên có kinh nghiệm

 Thiếu sự quản lý

 Quyền lực.

 Sự chịu trách nhiệm

 Ban hành pháp lý chính trị

 Thiếu năng lực bảo mật

 Ngân sách

Đồ án tốt nghiệp Đại học Chương 2. Bảo mật mạng và Internet

Các thành phần của tường lửa :

 Chính sách mạng

 Các cơ chế nhận thực cấp cao

 Các cổng ứng dụng và lọc gói tin.

Chính sách mạng

Có hai mức độ chính sách mạng ảnh hưởng trực tiếp đến thiết kế, thiết lập và sử dụng hệ thống tường lửa. Chính sách mức cao nhất là một thơng báo rõ ràng, chính sách truy nhập mạng chỉ rõ các dịch vụ sẽ được phép hoặc bị từ chối, như nào thì dịch vụ được sử dụng và các điều kiện ngoại lệ. Chính sách mức thấp hơn mơ tả hoạt động của tường lửa để hạn chế truy nhập và lọc các dịch vụ đã chỉ ra trong chính sách mạng mức cao hơn

Chính sách truy nhập dịch vụ

Để cho một tường lửa thành cơng, chính sách truy nhập dịch vụ phải thực tế, đúng đắn và nên được thử nghiệm trước khi thực thi một tường lửa. Một chính sách thực tế là một chính sách cung cấp một sự cân bằng giữa cung cấp sự bảo vệ mạng tránh những nguy hiểm đã biết, trong khi vẫn đảm bảo cung cấp cho người sử dụng truy nhập tài nguyên mạng. Nếu một tường lửa từ chối hoặc hạn chế các dịch vụ, thơng thường nó địi hỏi sức mạnh của chính sách truy nhập dịch vụ để ngăn chặn các điều khiển truy nhập của tường lửa tránh bị sửa đổi trên một mạng ad hoc cơ sở. Chỉ một chính sách hợp lý có thể cung cấp điều này. Một tường lửa có thể thực hiện một số chính sách truy nhập dịch vụ, tuy nhiên một chính sách tiêu biểu có thể khơng cho phép truy nhập tới một vị trí từ Internet, nhưng cho phép truy nhập từ một vị trí tới Internet. Một chính sách khác có thể cho phép một số truy nhập từ Internet, nhưng có thể là các hệ thống đã lựa chọn như là các Server thông tin và các Server e – mail.

Các tường lửa thường thực hiện các chính sách truy nhập dịch vụ cho phép một số người sử dụng truy nhập từ Internet lựa chọn các host bên trong, nhưng các

Đồ án tốt nghiệp Đại học Chương 2. Bảo mật mạng và Internet

truy nhập này sẽ chỉ được phép khi cần thiết và chỉ khi nó có thể kết hợp với nhận thực cấp cao.

Chính sách thiết kế tường lửa

Chính sách thiết kế tường lửa là đặc trưng cho tường lửa. Nó định nghĩa các nguyên tắc sử dụng để thực hiện chính sách truy nhập dịch vụ. Nói chung các tường lửa thực hiện một trong hai chính sách thiết kế cơ bản :

 Chấp nhận bất cứ dịch vụ nào trừ khi nó bị pỏu nhận

tuyệt đối.

 Từ chối mọi dịch vụ trừ khi nó được chấp nhận tuyệt đối.

Một tường lửa thực hiện một chính sách đầu tiên mặc định cho phép tất cả các dịch vụ đi vào trong site. Một tường lửa từ chối chính sách thứ hai mặc định từ chối tất cả các dịch vụ.

Chính sách đầu tiên ít được mong đợi, nó đưa ra nhiều con đường để khai thác tường lửa, người sử dụng có thể truy nhập các dịch vụ mới khơng bị từ chối bởi chính sách hoặc chạy các dịch vụ bị từ chối tại các cổng TCP/UDP khơng tiêu chuẩn mà khơng bị loại bỏ bởi chính sách. Chính sách thứ hai mạnh hơn và an tồn hơn, nhưng nó khó khăn hơn khi thực hiện có thể ảnh hưởng tới nhiều người sử dụng hơn trong các dịch vụ chắc chắn.

Mối quan hệ giữa chính sách truy nhập dịch vụ mức cao và mức thấp hơn đã được đề cập. Mối quan hệ này là vốn có bởi vì chính sách truy nhập dịch vụ phụ thuộc chủ yếu vào khả năng và những hạn chế của hệ thống tường lửa, cũng như các vấn đề cố hữu của bảo mật kết hợp với các dịch vụ Internet mong muốn. Ví dụ, dịch vụ mong muốn đã định nghĩa trong các chính sách truy nhập dịch vụ có thể bị từ chối khi các vấn đề bảo mật vốn có trong các dịch vụ này khơng thể điều khiển hiệu quả bởi chính sách mức thấp và khi sự bảo mật mạng thực hiện ưu tiên cho các đối tượng khác. Nói cách khác, một tổ chức phụ thuộc chủ yếu vào các dịch vụ này gặp nhiều khó khăn khi phải chấp nhận nguy hiểm cao hơn. Mối quan hệ giữa

Đồ án tốt nghiệp Đại học Chương 2. Bảo mật mạng và Internet

chính sách truy nhập dịch vụ và bản đối chiếu mức thấp hơn của nó cho phép một q trình lặp lại trong sự xác định cả hai.

Chính sách truy nhập dịch vụ là thành phần có ý nghĩa nhất trong bốn sự mô tả ở đây. Ba thành phần khác được sử dụng để thực hiện và làm cho chính sách có hiệu lực. Hiệu quả của hệ thống tường lửa trong việc bảo vệ mạng tùy thuộc loại tường lửa sử dụng, sự sử dụng tường lửa hợp lý và chính sách truy nhập dịch vụ.

Nhận thực cấp cao

Các nhận thực cấp cao như là Card thông minh, các thẻ bài nhận thực, và các cơ chế phần mềm gốc được thiết kế để thay thế sự yếu kém của các mật khẩu truyền thống. Trong khi các kĩ thuật nhận thực thay đổi, chúng cũng tương tự như trong việc tạo ra các mật khẩu bằng các thiết bị nhận thực cấp cao không thể bị dùng lại bởi một Hacker đã giám sát một kết nối. Đối với các mật khẩu cũ trên Internet, một tường lửa có thể truy nhập Internet khơng sử dụng hoặc không bao gồm sự liên hệ tới sử dụng nhận thực cấp cao.

Một số thiết bị nhận thực cấp cao đã sử dụng hiện nay gọi là hệ thống mật khẩu một lần. Một Card thông minh hay thẻ bài nhận thực, ví dụ, tạo ra một câu trả lời rằng hệ thống Host có thể sử dụng thay cho mật khẩu truyền thống. Bởi vì Card thơng minh hay thẻ bài làm việc chung với phần mềm hoặc phần cứng trên Host, tạo ra một đáp ứng duy nhất cho mọi lần đăng nhập. Kết quả là một mật khẩu dùng một lần, khi bị giám sát, nó khơng thể dùng lại bởi kẻ đột nhập muốn giành quyền truy nhập mạng.

Một phần của tài liệu bảo mật mạng và internet (Trang 70 - 73)

Tải bản đầy đủ (DOC)

(111 trang)
w