LI ỜỞ ĐẦU
3.5 Cài đặt và cấu hình bảo mật trên tường lửa UTM
3.5.1 Cài đặt
Tạo máy chủ ảo để cài đặt tường lửa Checkpoint UTM và cấu hình các thông số như minh hóa phía dưới trong chương trình tạo máy ảo Virtualbox.
Hình 3.38- Lựa chọn loại HĐH. [12]
Hình 3.40 - Lựa chọn source cài đặt firewall. [12]
Sau khi hoàn tất quá trình hiệu chỉnh máy ảo, khởi động máy ảo và cài đặt firewall UTM theo hình minh họa bên dưới
Hình 3.41. [12]
Màn hình chào của Firewall Checkpoint SecurePlatform. Nhấn phím Enter để bắt đầu quá trình cài đặt Firewall
Hình 3.42 - Chọn kiểu bàn phím và click OK để qua bước tiếp theo. [12]
Hình 3.43 - Kiểm tra link kết nối của các card mạng và click OK để qua bước tiếp theo. [12]
Hình 3.45 - Cấu hình kết nối bảo mật qua SSL (kết nối đến firewall qua web). Click
OK để qua bước tiếp theo. [12]
Hình 3.46- Click OK để cài đặt. [12]
Hình 3.47 - Quá trình cài đặt Firewall bắt đầu. [12]
Hình 3.49 - Quá trình cài đặt hoàn tất. Click OK để khởi động lại Firewall. [12]
Hình 3.50 - Đăng nhập với user: admin và password: admin để vào Firewall. [12]
3.5.1 Cấu hình.
Hình 3.52 - Cấu hình địa chỉ IP có cùng dải IP với card mạng trong (internal) của Firewall. [12]
Hình 3.53. [12]
Kết nối đến Firewall qua giao diện web với địa chỉ IP đã đặt lúc đầu (192.168.10.1) qua giao thức https và đăng nhập với tài khoản quản trị firewall (admin).
Hình 3.54 - Cấu hình IP quản lý của Firewall. [12]
Hình 3.55 - Cấu hình định tuyến cho Firewall. [12]
Hình 3.56 - Cấu hình IP mặt ngoài (External – IP giao tiếp với bên ngoài) cho Firewall. [12]
Hình 3.57 - Cấu hình DNS cho Firewall.
Hình 3.58 - Cấu hình tên máy và đặt card mạng quản lý cho Firewall. [12]
Hình 3.59- Xác định nguồn kết nối từ máy trạm đến Firewall qua Wen hoặc SSH. [12]
Hình 3.60 - Click checkbox Check Point UTM để lụa chọn loại Firewall. [12]
Hình 3.62 - Xác định các dải IP, các máy tính nhất định có thể kết nối đến Firewall từ SmartCenter. [12]
Hình 3.63 - Click Yes để bắt đầu quá trình cấu hình. [12]
Hình 3.64 - Quá trình cài đặt bắt đầu. [12]
Hình 3.66 - Kết nối đến Firewall bằng user đã được tạo ở trên qua SmartCenter. [12]
Hình 3.68 - Thiết lập các chính sách (rule) truy cập vào hệ thống mạng nói chung và vào Web Server nói riêng. [12]
Hình 3.69 - Tạo PC quản lý có IP cùng dải với IP mặt trong của Firewall. [12]
Hình 3.71 - Tạo dải IP mặt trong trên Firewall. [12]
Hình 3.72 - Sau khi hoàn tất thì click install để cài đặt các chính sách. [12]
Hình 3.74 - Các chính sách bảo mật, phòng chống tấn công cho hệ thống mạng và máy chủ webserver (Chống DoS). [12]
Hình 3.76 - Chống 1 loại khác trong tấn công DoS. [12]
Hình 3.78 - Cấu hình chống mã độc cho webserver. [12]
Hình 3.80 - Chống tấn công giả mạo header. [12]
Hình 3.81 - Phòng chống tấn công SQL Injection. [12]
Hình 3.83- Phòng chống browse thư mục web. [12]
3.6 Quảng bá webserver ra bên ngoài qua tường lửa UTM
Hình 3.84 - Quảng bá webserver qua bên ngoài qua điện chỉ mặt ngoài của Firewall.
Hình 3.85 - Thiết lập chính sách cho các hình thức kết nối đến webserver qua giao thức http/https.
Hình 3.86 - Kiểm tra các kết nối đến webserver qua log (SmartView Tracker).
Hình 3.88 - Chấp nhận chứng chỉ số của webserver.
Hình 3.90 - Xem thêm thông tin về chứng chỉ số của webserver.
Hình 3.91- Thông tin về chứng chỉ số của webserver (đã được tạo ở những bước trước).
CHƯƠNG 4: KẾT LUẬN 4.1 Những kết quả đạt được
Qua quá trình thực hiện, nhóm tác giả đã hoàn thành việc triển khai xây dựng hệ thống website apache kết hợp với PHP, MySQL trên Linux, tối ưu hóa các ứng dụng để nâng cao bảo mật cho hệ thống website. Bên cạnh đó, tường lửa Checkpoint UTM cũng được triển khai để nâng cao bảo mật, không chỉ cho hệ thống mạng của doanh nghiệp mà còn cho các máy chủ cung cấp dịch vụ, trong đó có máy chủ cung cấp dịch vụ web.
Việc triển khai cài đặt hệ thống website apache kết hợp PHP, MySQL trên HĐH Linux, đồng thời thực hiện việc tối ưu hóa bảo mật hệ thống website nhằm mục đích hạn chế các lỗi về phần cứng, lỗi kỹ thuật, lỗi con người, lỗi về chính sách,...phần nào góp phần đáng kể cho việc hoạt động liên tục, an toàn cho hệ thống website. Các kết quả đạt được bao gồm:
Thấy được tổng quan về các lỗi gây mất an toàn, bảo mật cho hệ thống website thường gặp.
Xây dựng thành công hệ thống website apache kết hợp với PHP, MySQL trên HĐH mã nguồn mở Linux.
Đưa ra các giải pháp và hướng khắc phục các lỗi gây mất an toàn, bảo mật cho hệ thống webiste.
Xây dựng thành công hệ thống tường lửa Checkpoint UTM nhằm nâng cao bảo mật cho website.
Qua phân tích, các lỗi gây mất an toàn cho hệ thống webiste bao gồm nhiều nguyên nhân khác nhau, mỗi nguyên nhân gây mất an toàn có những tác động nhất định với sự hoạt động liên tục của website. Do đó, để nâng cao an toàn, bảo mật cho hệ thống website, cần sự phối hợp cũng như nhận thức của từng đối tượng như người quản trị hệ thống, người lập trình phát triển ứng dụng web và người sử dụng.
4.2 Hướng phát triển
Triển khai thành công hệ thống website apache kết hợp PHP, MySQL trên Linux.
Triển khai thành công tường lửa UTM bảo vệ cho hệ thống máy chủ. Đưa ra được các nguy cơ mất an toàn bảo mật và các biện pháp khắc phục. Tuy nhiên, do giới hạn về thời gian nên vẫn chưa thể triển khai hết các kỹ thuật nâng cao bảo mật hệ thống website cũng như cập nhật các kỹ thuật tấn công website mới nhất. Nếu có điều kiện sẽ tiến hành đi sâu vào nghiên cứu:
Các lỗi gây ra mất an toàn, bảo mật cho hệ thống website.
Đưa ra các giải pháp tối ưu nhằm ngăn chặn việc mất an toàn thông tin website.
Cập nhật các kỹ thuật mới nhất có liên quan đến việc mất an toàn, bảo mật website.
Triển khai các ứng dụng dò tìm lỗi bảo mật website.
Giả lập các cuộc tấn công vào hệ thống website và thực hiện các biện pháp phòng chống.
TÀI LIỆU THAM KHẢO [1] http://vi.wikipedia.org/wiki/Website [2] http://vi.wikipedia.org/wiki/www [3] http://vi.wikipedia.org/wiki/Trình_duyệt_web [4] http://vi.wikipedia.org/wiki/Linux [5] http://vi.wikipedia.org/wiki/Apache_(HTTP) [6] http://vi.wikipedia.org/wiki/PHP [7] http://vi.wikipedia.org/wiki/MySQL [8] http://vi.wikipedia.org/wiki/Firewall
[9] Nguyễn Duy Thăng, Nguyễn Minh Thu (2003). Nghiên cứu một số vắn đề về bảo mật ứng dụng web trên internet , Luận văn tốt nghiệp, Trường Đại học KHTN Tp. HCM, TP. HCM.
[10]http://en.wikipedia.org/wiki/Secure_Sockets_Layer
[11]Bao gồm thông tin tham khảo từ các website sau:
- http://www.howtoforge.com/ - http://sourceforge.net - http://httpd.apache.org/ - http://php.net/ - http://www.mysql.com/ - http://www.phpmyadmin.net/home_page/index.php - http://www.thegeekstuff.com/2011/03/install-apache2-ssl/ - https://library.linode.com/web-servers/apache/mod-security [12]http://www.checkpoint.com
PHỤ LỤC 5.1 Cơ chế hoạt động của SSL
SSL(Secure Socket Layer ) là giao thức đa mục đích được thiết kế để tạo ra các giao tiếpgiữa hai chương trình ứng dụng trên một cổng định trước (socket 443) nhằm mã hoá toàn bộ thông tin đi/đến, mà ngày nay được sử dụng rộng rãi cho giao dịch điện tử như truyền số hiệu thẻ tín dụng, mật khẩu, số bí mật cá nhân (PIN) trên Internet.
Giao thức SSL (Secure Socket Layer) tổ hợp nhiều giải thuật mã hóa nhằm đảm bảo quá trình trao đổi thông tin trên mạng được bảo mật. Việc mã hóa dữ liệu diễn ra một cách trong suốt, hỗ trợ nhiều giao thức khác chạy trên nền giao thức TCP. Sercure Socket Layer (SSL) hiện nay là giao thức bảo mật rất phổ biến trên Internet trong các hoạt động thương mại điện tử (E-Commerce). Việt Nam đang trên đường hội nhập với nền công nghệ thông tin thế giới, nên nay mai, các hoạt động giao dịch trên mạng ở Việt Nam cũng sẽ diễn ra sôi nổi, khi đó vấn đề bảo mật trở nên quan trọng, việc triển khai SSL là điều thiết yếu. Tuy nhiên đến nay hình như vẫn chưa có trang Web nào ở Việt Nam sử dụng SSL trong các giao dịch của mình. Bài viết này nhằm giới thiệu sơ lược về SSL cũng như cách triển khai SSL trên Internet Information Server (IIS) 5.0 và Windows 2000 Giao thức SSL được hình thành và phát triển đầu tiên năm 1994 bởi nhóm nghiên cứu Netscape dẫn dắt bởi Elgammal và ngày nay đã trở thành chuẩn bảo mật thực hành trên mạng Internet. Phiên bản SSL hiện nay là 3.0 và vẫn đang tiếp tục được bổ sung và hoàn thiện.
SSL là giao thức tầng (layered protocol), bao gồm 4 giao thức con sau: + Giao thức SSL Handshake.
+ Giao thức SSL Change Cipher Spec. + Giao thức SSL Alert.
+ SSL Record Layer.
Hình 5.1
Theo biểu đồ trên, SSL nằm trong tầng ứng dụng của giao thức TCP/IP. Do đặc điểm này, SSL có thể được dùng trong hầu hết mọi hệ điều hành hỗ trợ TCP/IP mà không cần phải chỉnh sửa nhân của hệ thống hoặc ngăn xếp TCP/IP. Điều này mang lại cho SSL sự cải tiến mạnh mẽ so với các giao thức khác như IPSec (IP Security Protocol). Vì giao thức này đòi hỏi nhân hệ điều hành phải hỗ trợ và chỉnh sửa ngăn xếp TCP/IP. SSL cũng có thể dễ dàng vượt qua tường lửa và proxy, cũng như NAT(Network Address Translation) mà không cần nguồn cung cấp.
Hoạt Động Của Giao Thức SSL: Điểm cơ bản của SSL được thiết kế độc lập với tầng ứng dụng để đảm bảo tính bí mật, an toàn và chống giả mạo luồng thông tin qua Internet giữa hai ứng dụng bất kỳ, thí dụ như webserver và các trình duyệt khách (browsers), do đó được sử dụng rộng rãi trong nhiều ứng dụng khác nhau trên môi trường Internet.
Toàn bộ cơ chế hoạt động và hệ thống thuật toán mã hoá sử dụng trong SSL được phổ biến công khai, trừ khoá chia xẻ tạm thời (session key) được sinh ra tại thời điểm trao đổi giữa hai ứng dụng là tạo ngẫu nhiên và bí mật đối với người quan sát trên mạng máy tính. Ngoài ra, giao thức SSL còn đỏi hỏi ứng dụng chủ phải được chứng thực bởi một đối tượng lớp thứ ba (CA) thông qua giấy chứng thực điện tử (digital certificate) dựa trên mật mã công khai.
Sau đây ta xem xét một cách khái quát cơ chế hoạt động của SSL để phân tích cấp độ an toàn của nó và các khả năng áp dụng trong các ứng dụng nhạy cảm, đặc biệt là các ứng dụng về thương mại và thanh toán điện tử.
Hình 5.2
Từng bước thành lập một kết nối SSL Giao thức SSL dựa trên hai nhóm con giao thức là giao thức “bắt tay” (handshake protocol) và giao thức “bản ghi” (record
protocol). Giao thức bắt tay xác định các tham số giao dịch giữa hai đối tượng có nhu cầu trao đổi thông tin hoặc dữ liệu, còn giao thức bản ghi xác định khuôn dạng cho tiến hành mã hoá và truyền tin hai chiều giữa hai đối tượng đó. Khi hai ứng dụng máy tính, thí dụ giữa một trình duyệt web và máy chủ web, làm việc với nhau, máy chủ và máy khách sẽ trao đổi “lời chào”(hellos) dưới dạng các thông điệp cho nhau với xuất phát đầu tiên chủ động từ máy chủ, đồng thời xác định các chuẩn về thuật toán mã hoá và nén số liệu có thể được áp dụng giữa hai ứng dụng. Ngoài ra, các ứng dụng còn trao đổi “số nhận dạng/khoá theo phiên” (session ID, session key) duy nhất cho lần làm việc đó. Sau đó ứng dụng khách (trình duyệt) yêu cầu có chứng thực điện tử (digital certificate) xác thực của ứng dụng chủ (web server). Chứng thực điện tử thường được xác nhận rộng rãi bởi một cơ quan trung gian (là CA -ertificate Authority) như RSA Data Sercurity hay VeriSign Inc., một dạng tổ chức độc lập, trung lập và có uy tín. Các tổ chức này cung cấp dịch vụ “xác nhận” số nhận dạng của một công ty và phát hành chứng chỉ duy nhất cho công ty đó như là bằng chứng nhận dạng (identity) cho các giao dịch trên mạng, ở đây là các máy chủ webserver.
Sau khi kiểm tra chứng chỉ điện tử của máy chủ (sử dụng thuật toán mật mã công khai, như RSA tại trình máy trạm), ứng dụng máy trạm sử dụng các thông tin trong chứng chỉ điện tử để mã hoá thông điệp gửi lại máy chủ mà chỉ có máy chủ đó có thể giải mã. Trên cơ sở đó, hai ứng dụng trao đổi khoá chính (master key) - khoá bí mật hay khoá đối xứng - để làm cơ sở cho việc mã hoá luồng thông tin/dữ liệu qua lại giữa hai ứng dụng chủ khách. Toàn bộ cấp độ bảo mật và an toàn của thông tin/dữ liệu phụ thuộc vào một số tham số: (i)số nhận dạng theo phiên làm việc ngẫu nhiên; (ii) cấp độ bảo mật của các thuật toán bảo mật áp dụng cho SSL; và (iii) độ dài của khoá chính (key length) sử dụng cho lược đồ mã hoá thông tin. Các thuật toán mã hoá và xác thực của SSL được sử dụng bao gồm:
1) DES - viết tắt của Data Encryption Standard. DES là hệ bảo mật đối xứng dùng khóa riêng, nghĩa là cả bên gởi và bên nhận phải biết cùng một khóa. Phương pháp nầycòn được gọi là khóa bí mật hoặc bảo mật đối xứng. Vấn đề chính trong phương
pháp này là bên gởi và bên nhận phải trao đổi khóa một cách an toàn. Một phương pháp khác là bảo mật dùng khóa công khai. Trong sơ đồ này, mỗi người có một cặp khóa, một khóa bí mật và một khóa công khai. Bên gởi mã hóa thông điệp bằng khóa công khai của bên nhận và thông điệp này chỉ được giải mã bởi khóa bí mật của bên nhận. Như vậy vấn đề trao đổi khóa được giải quyết vì các khóa được thông báo công khai.
Tiền thân của nó là Lucifer, một thuật toán do IBM phát triển. Cuối năm 1976, DES đượcchọn làm chuẩn mã hóa dữ liệu của nước Mỹ, sau đó được sử dụng rộng rãi trên toàn thế giới. DES cùng với mã hóa bất đối xứng đã mở ra một thời kì mới cho ngành mã hóa thông tin. Trước DES, việc nghiên cứu và sử dụng mã hóa dữ liệu chỉ giới hạn trong chính phủ và quân đội. Từ khi có DES, các sản phẩm sử dụng nó tràn ngập thị trường. Đồng thời,việc nghiên cứu mã hóa thông tin cũng không còn là bí mật nữa mà đã trở thành một ngành khoa học máy tính bình thường. Trong khoảng 20 năm sau đó, DES đã trải qua nhiều khảo sát, phân tích kỹ lưỡng và được công nhận là an toàn đối với các dạng tấn công (tất nhiên,ngoại trừ brute- force). Tới tháng 7 năm 1998, EFF (Electronic Frontier Foundation) đã"brute-force" thành công DES trong 56 giờ. Ít lâu sau đó cùng với mạng tính toán ngang hàng Distribute.net, tổ chức này đã lập nên kỉ lục mới là 22 giờ 15 phút. Sự kiện này chứng tỏ cỡ chìa 56 bit của DES đã lỗi thời và cần được thay thế. DES là kỹ thuật bảo mật khóa riêng dùng thuật toán để mã hóa theo từng khối 64-bit với khóa 56- bit. Thuật toán này đượcgiải thích trong mục “Cryptography”. Khóa 56-bit chophép