MẠNG MÁY TÍNH
2.3.1. Tấn cụng trờn mạng [3]
2.3.1.1. Tấn cụng từ chối dịch vụ
Tấn cụng từ chối dịch vụ (DoS -Denial of Service) là một loại hỡnh tấn cụng hệ thống mạng nhằm ngăn cản những ngƣời dựng hợp lệ đƣợc sử dụng một dịch vụ nào đú. Cỏc cuộc tấn cụng cú thể đƣợc thực hiện nhằm vào bất kỡ một thiết bị mạng nào bao gồm tấn cụng vào cỏc thiết bị định tuyến, web, E-mail, hệ thống DNS,…
Tấn cụng DoS phỏ huỷ dịch vụ mạng bằng cỏch làm tràn ngập số lƣợng kết nối, quỏ tải server hoặc chƣơng trỡnh chạy trờn server, tiờu tốn tài nguyờn của server, hoặc ngăn chặn ngƣời dựng hợp lệ truy nhập tới cỏc dịch vụ mạng.
Tấn cụng từ chối dịch vụ cú thể đƣợc thực hiện theo một số cỏch nhất định. Cú năm kiểu tấn cụng cơ bản sau:
- Nhằm tiờu tốn tài nguyờn tớnh toỏn nhƣ băng thụng, dung lƣợng đĩa cứng hoặc thời gian xử lý.
- Phỏ vỡ cỏc thụng tin cấu hỡnh nhƣ thụng tin định tuyến.
- Phỏ vỡ cỏc trạng thỏi thụng tin nhƣ việc tự động xỏc lập lại (reset) cỏc phiờn TCP.
- Phỏ vỡ cỏc thành phần vật lý của mạng mỏy tớnh.
- Làm tắc nghẽn thụng tin liờn lạc cú chủ đớch giữa cỏc ngƣời dựng và nạn nhõn dẫn đến việc liờn lạc giữa hai bờn khụng đƣợc thụng suốt.
Tấn cụng từ chối dịch vụ phõn tỏn (DDoS - Distributed Denial of Service) là mối đe doạ hàng đầu đến cỏc hệ thống cụng nghệ thụng tin trờn thế giới. Về mặt kỹ
Số húa bởi Trung tõm Học liệu http://www.lrc-tnu.edu.vn/
thuật, gần nhƣ chỉ cú thể hy vọng tin tặc sử dụng những cụng cụ đó biết và cú hiểu biết kộm cỏi về cỏc giao thức để cú thể nhận biết và loại trừ cỏc con đƣờng dễ bị tấn cụng.
Hậu quả mà DoS gõy ra khụng chỉ tiờu tốn nhiều tiền bạc, và cụng sức mà cũn mất rất nhiều thời gian để khắc phục.
2.3.1.2. Tấn cụng giả mạo hệ thống tờn miền trờn Internet
Tấn cụng giả mạo hệ thống tờn miền trờn Internet (Man-in-the-Middle) Mỗi truy vấn DNS (Domain Name System) đƣợc gửi qua mạng đều cú chứa một số nhận dạng duy nhất, mục đớch của số nhận dạng này là để phõn biệt cỏc truy vấn và đỏp trả chỳng. Điều này cú nghĩa rằng nếu một mỏy tớnh đang tấn cụng, chỳng ta cú thể chặn một truy vấn DNS nào đú đƣợc gửi đi từ một thiết bị cụ thể, thỡ tất cả những gỡ chỳng ta cần thực hiện là tạo một gúi giả mạo cú chứa số nhận dạng đú để gúi dữ liệu đƣợc chấp nhận bởi mục tiờu.
Chỳng ta sẽ hoàn tất quỏ trỡnh bằng cỏch thực hiện hai bƣớc với một cụng cụ đơn giản. Đầu tiờn, chỳng ta cần giả mạo ARP cache thiết bị mục tiờu để định tuyến lại lƣu lƣợng của nú qua host đang tấn cụng của mỡnh, từ đú cú thể chặn yờu cầu DNS và gửi đi gúi dữ liệu giả mạo. Mục đớch của kịch bản này là lừa ngƣời dựng trong mạng truy cập vào website độc, thay vỡ website mà họ đang cố gắng truy cập.
2.3.2. Phũng chống cỏc dạng tấn cụng vào mạng mỏy tớnh
Hiện nay, hệ thống mạng ngày càng chứa nhiều loại mỏy tớnh khỏc nhau (bao gồm nhiều loại phần cứng, phần mềm và hệ điều hành) - gọi là mạng đa nền tảng.
Những hệ thống mạng thuần ngày càng ớt xuất hiện, nhiều cụng ty đó sử dụng miền Windows cho cỏc mỏy chủ Web UNIX, đƣợc truy cập bởi cỏc mỏy trạm sử dụng hệ điều hành Windows, Linux và Mac.
Chỳng ta luụn cần tải mail, tài nguyờn hay truy cập vào cỏc tài nguyờn khỏc trờn mạng. Trong những trƣờng hợp đú chỳng ta sẽ gặp nhiều khú khăn trong việc bảo vệ mạng.
Số húa bởi Trung tõm Học liệu http://www.lrc-tnu.edu.vn/
2.4 Mụ hỡnh mạng đa nền tảng Cần phải thƣờng xuyờn thống kờ thành phần mạng vỡ:
Nếu một hệ thống mạng khụng đƣợc lờn kế hoạch thiết kế cụ thể (thƣờng chỉ là những hệ thống tự phỏt), khi cú nhu cầu sử dụng dẫn đến việc mua và triển khai cỏc mỏy tớnh mới khụng tuõn theo một trật tự nào. Nguyờn tắc đầu tiờn cần tuõn thủ để bảo mật mạng là phải biết đƣợc chỳng ta cú những gỡ, do đú tiến trỡnh kiểm kờ phần mềm và phần cứng mạng khụng thể bỏ qua.
Bản thống kờ phải bao gồm mọi phần cứng và mọi phần mềm vận hành trờn mạng, cho dự một số thiết bị nào đú khụng thƣờng xuyờn kết nối tới mạng.
Cập nhật và/ hoặc nõng cấp:
Cho dự sử dụng hệ thống nào hay nền tảng nào thỡ cũng khụng cú gỡ đảm bảo rằng hệ thống đú là bất khả xõm phạm. Vỡ vậy cần phải thƣờng xuyờn cập nhật cỏc lỗi, cỏc phiờn bản mới,…
2.3.2.1. Phũng ngừa cỏc điểm yếu của ứng dụng
Cỏc điểm yếu trong tầng ứng dụng cú thể bị khai thỏc gõy lỗi tràn bộ đệm dẫn đến dịch vụ bị chấm đứt. Lỗi chủ yếu đƣợc tỡm thấy trờn cỏc ứng dụng mạng nội bộ của Windows, trờn cỏc chƣơng trỡnh webserver, DNS, hay SQL database. Cập nhật bản vỏ (patching) là một trong những yờu cầu quan trọng cho việc phũng ngừa. Ngoài ra, hệ thống cần đặc biệt xem xột những yờu cầu trao đổi nội dung giữa client và server, nhằm trỏnh cho server chịu tấn cụng qua cỏc thành phần giỏn tiếp (vớ dụ SQL injection).
Số húa bởi Trung tõm Học liệu http://www.lrc-tnu.edu.vn/
2.3.2.2. Phũng ngừa việc tuyển mộ zombie
Zombie là cỏc đối tƣợng đƣợc lợi dụng trở thành thành phần phỏt sinh tấn cụng. Một số trƣờng hợp điển hỡnh nhƣ thụng qua rootkit, hay cỏc thành phần hoạt động đớnh kốm trong mail, hoặc trang web, vớ dụ nhƣ sử dụng cỏc file jpeg khai thỏc lỗi của phần mềm xử lý ảnh hay thụng qua việc lõy lan worm (Netsky, MyDoom, Sophos). Để phũng chống, hệ thống mạng cần cú những cụng cụ theo dừi và lọc bỏ nội dung (content filtering) nhằm ngăn ngừa việc tuyển mộ zombie của hacker.
2.3.2.3. Ngăn ngừa kờnh phỏt động tấn cụng sử dụng cụng cụ
Cú rất nhiều cỏc cụng cụ tự động tấn cụng DoS, chủ yếu là tấn cụng phõn tỏn DDoS nhƣ TFN, TFN2000 (Tribe Flood Network) tấn cụng dựa trờn nguyờn lý nhƣ UDP, SYN,… . Cỏc cụng cụ này cú đặc điểm cần phải cú cỏc kờnh phỏt động để zombie thực hiện tấn cụng tới một đớch cụ thể. Hệ thống cần phải cú sự giỏm sỏt và ngăn ngừa cỏc kờnh phỏt động đú.
2.3.2.4. Ngăn chặn tấn cụng trờn băng thụng
Khi một cuộc tấn cụng DDoS đƣợc phỏt động, nú thƣờng đƣợc phỏt hiện dựa trờn sự thay đổi đỏng kể trong thành phần của lƣu lƣợng hệ thống mạng. Vớ dụ một hệ thống mạng điển hỡnh cú thể cú 80% TCP và 20% UDP và ICMP. Thống kờ này nếu cú thay đổi rừ rệt cú thể là dấu hiệu của một cuộc tấn cụng. Việc phõn tỏn lƣu lƣợng gõy ra bởi cỏc virus mỏy tớnh (Worm) gõy tỏc hại lờn router, tƣờng lửa, hoặc cơ sở hạ tầng mạng. Hệ thống cần cú những cụng cụ giỏm sỏt và điều phối băng thụng nhằm giảm thiểu tỏc hại của tấn cụng dạng này.
2.3.2.5. Ngăn chặn tấn cụng qua SYN
SYN flood là một trong những tấn cụng cổ nhất cũn tồn tại đƣợc đến hiện tại, Tuy nhiờn, tỏc hại của nú khụng hề giảm. Điểm căn bản để phũng ngừa việc tấn cụng này là khả năng kiểm soỏt đƣợc số lƣợng yờu cầu SYN-ACK tới hệ thống mạng.
2.3.2.6. Phỏt hiện và ngăn chặn tấn cụng “tới hạn” số kết nối
Bản thõn cỏc server cú một số lƣợng “tới hạn” đỏp ứng cỏc kết nối tới nú. Ngay bản thõn tƣờng lửa (đặc biệt với cỏc tƣờng lửa cú tớnh năng Kiểm tra trạng
Số húa bởi Trung tõm Học liệu http://www.lrc-tnu.edu.vn/
thỏi - Stateful inspection), cỏc kết nối luụn đƣợc gắn liền với bảng trạng thỏi cú giới hạn dung lƣợng. Đa phần cỏc cuộc tấn cụng đều sinh số lƣợng kết nối ảo thụng qua việc giả mạo.
Để phũng ngừa tấn cụng dạng này, hệ thống cần phõn tớch và chống đƣợc sự giả mạo (spoofing). Giới hạn số lƣợng kết nối từ một nguồn cụ thể tới server.
2.3.2.7. Phỏt hiện và ngăn chặn tấn cụng tới hạn tốc độ thiết lập kết nối
Một trong những điểm cỏc server thƣờng bị lợi dụng là khả năng cỏc bộ đệm giới hạn giành cho tốc độ thiết lập kết nối, dẫn đến quỏ tải khi phải chịu sự thay đổi đột ngột về số lƣợng sinh kết nối. Ở đõy việc ỏp dụng bộ lọc để giới hạn số lƣợng kết nối trung bỡnh rất quan trọng. Một bộ lọc sẽ xỏc định ngƣỡng tốc độ kết nối cho từng đối tƣợng mạng. Thụng thƣờng, việc này đƣợc xỏch định bằng số lƣợng kết nối trong thời gian nhất định để cho phộp sự dao động trong lƣu lƣợng.
2.4. MỘT SỐ CễNG CỤ BẢO VỆ MẠNG MÁY TÍNH 2.4.1. Tƣờng lửa [2]
2.4.1.1. Khỏi niệm tường lửa
Tƣờng lửa Internet là một tập hợp thiết bị (bao gồm phần cứng và phần mềm) đƣợc đặt giữa mạng nội bộ (Intranet) của một tổ chức, một cụng ty, hay một quốc gia và Internet. Trong một số trƣờng hợp, tƣờng lửa cú thể đƣợc thiết lập ở trong cựng một mạng nội bộ và cụ lập cỏc miền an toàn.
2.4.1.2. Chức năng chớnh của tường lửa
Tƣờng lửa là một thành phần đặt giữa Intranet và Internet để kiểm soỏt tất cả cỏc việc lƣu thụng và truy cập giữa chỳng với nhau. Tƣờng lửa cú thể kiểm soỏt tất cả cỏc khớa cạnh của truyền thụng qua nú và kiểm tra nguồn gốc cũng nhƣ địa chỉ đớch của mỗi gúi tin. Để ngăn chặn lƣu lƣợng truy cập khụng đƣợc yờu cầu từ phớa đƣợc yờu cầu, tƣờng lửa giữ một bảng cỏc thụng tin cú nguồn gốc từ mỏy đang chạy tƣờng lửa kết nối Internet. Nếu ngƣời sử dụng tƣờng lửa kết nối Internet kết hợp với chia sẻ kết nối Internet, tƣờng lửa theo dừi tất cả lƣu lƣợng truy cập bắt nguồn từ mỏy tớnh đang chạy tƣờng lửa kết nối Internet và chia sẻ kết nối Internet, và theo dừi tất cả lƣu lƣợng truy cập bắt nguồn từ mạng mỏy tớnh cỏ nhõn. Tƣờng lửa kết
Số húa bởi Trung tõm Học liệu http://www.lrc-tnu.edu.vn/
nối Internet so sỏnh tất cả lƣu lƣợng đến từ Internet với cỏc mục trong bảng. Truy cập Internet đƣợc phộp chỉ khi cú một mục nhập phự hợp trong bảng cho thấy rằng việc trao đổi thụng tin liờn lạc đó bắt đầu trong mỏy tớnh hoặc mạng riờng của ngƣời sử dụng.
Gúi tin cú nguồn gốc từ một nguồn bờn ngoài mỏy tớnh đang chạy tƣờng lửa kết nối Internet, chẳng hạn nhƣ từ Internet, đƣợc chuyển xuống tƣờng lửa trừ khi ngƣời dựng tạo một mục nhập trờn tab dịch vụ để cho phộp chỳng. Thay vỡ gửi cho ngƣời sử dụng thụng bỏo về hoạt động, tƣờng lửa õm thầm loại bỏ những tỏc vụ khụng mong muốn. Điều này đó loại bỏ những nỗ lực xõm nhập phổ biến nhƣ quột cổng. Thụng bỏo nhƣ vậy cú thể đƣợc gửi thƣờng xuyờn dễ làm phõn tõm ngƣời dựng. Thay vào đú, tƣờng lửa cú thể tạo một nhật ký bảo mật do đú ngƣời dựng cú thể xem cỏc hoạt động đƣợc theo dừi bởi cỏc bức tƣờng lửa.
Ngƣời sử dụng cú thể cấu hỡnh cỏc dịch vụ để lƣu lƣợng truy cập khụng đƣợc yờu cầu từ Internet đƣợc chuyển tiếp tới mỏy tớnh đang chạy tƣờng lửa kết nối Internet.
2.4.1.3. Phõn loại tường lửa
Tƣờng lửa cú thể bao gồm phần cứng hoặc phần mềm nhƣng thƣờng là cả hai loại.
1/. Tƣờng lửa cứng
Tƣờng lửa cứng đƣợc tớch hợp trờn bộ định tuyến (Router) Đặc điểm của tƣờng lửa cứng:
Khụng đƣợc linh hoạt nhƣ tƣờng lửa mềm, khụng thể thờm chức năng cũng nhƣ quy tắc nhƣ tƣờng lửa mềm.
Tƣờng lửa cứng hoạt động ở tầng thấp hơn tƣờng lửa mềm (Tầng Network và tầng Transport).
Số húa bởi Trung tõm Học liệu http://www.lrc-tnu.edu.vn/
Hỡnh 2.5 Tƣờng lửa cứng
2/. Tƣờng lửa mềm
Đặc điểm của tƣờng lửa mềm:
Tớnh linh hoạt cao: cú thể thờm, bớt quy tắc, cỏc chức năng.
Tƣờng lửa mềm hoạt động ở tầng cao hơn tƣờng lửa cứng (tầng ứng dụng). Tƣờng lửa mềm cú thể kiểm tra đƣợc nội dung của gúi tin thụng qua cỏc từ khúa.
Hỡnh 2.6 Tƣờng lửa mềm
2.4.2. Mạng riờng ảo [2]
2.4.2.1. Khỏi niệm mạng riờng ảo
Cụm từ Virtual Private Network (mạng riờng ảo) thƣờng đƣợc gọi tắt là VPN là một kỹ thuật đó xuất hiện từ lõu, tuy nhiờn nú thực sự bựng nổ và trở nờn cạnh tranh khi xuất hiện cụng nghệ mạng thụng minh với đà phỏt triển mạnh mẽ của Internet. Trong thực tế, ngƣời ta thƣờng núi tới hai khỏi niệm VPN đú là: mạng riờng ảo kiểu tin tƣởng (Trusted VPN) và mạng riờng ảo an toàn (Secure VPN).
Mạng riờng ảo an toàn là cỏc mạng riờng ảo cú sử dụng mật mó để bảo mật dữ liệu. Dữ liệu ở đầu ra của một mạng đƣợc mật mó rồi chuyển vào mạng cụng cộng (vớ dụ: mạng Internet) nhƣ cỏc dữ liệu khỏc để truyền tới đớch và sau đú đƣợc giải mó dữ liệu tại phớa thu. Dữ liệu đó mật mó cú thể coi nhƣ đƣợc truyền trong một đƣờng hầm (tunnel) bảo mật từ nguồn tới đớch. Cho dự một kẻ tấn cụng cú thể nhỡn thấy dữ liệu đú trờn đƣờng truyền thỡ cũng khụng cú khả năng đọc đƣợc vỡ dữ liệu đó đƣợc mật mó.
Số húa bởi Trung tõm Học liệu http://www.lrc-tnu.edu.vn/
2.4.2.2. Định nghĩa
Mạng riờng ảo VPN đƣợc định nghĩa là một kết nối mạng triển khai trờn cơ sở hạ tầng mạng cụng cộng (nhƣ mạng Internet) với cỏc chớnh sỏch quản lý và bảo mật giống nhƣ mạng cục bộ. Đƣờng hầm Router Internet Router Router Router Router Router Mạng riờng (LAN) Mạng riờng (LAN) 2.7
Cỏc thuật ngữ dựng trong VPN nhƣ sau:
Virtual- nghĩa là kết nối là động, khụng đƣợc gắn cứng và tồn tại nhƣ một kết nối khi lƣu lƣợng mạng chuyển qua. Kết nối này cú thể thay đổi và thớch ứng với nhiều mụi trƣờng khỏc nhau và cú khả năng chịu đựng những khuyết điểm của mạng Internet. Khi cú yờu cầu kết nối thỡ nú đƣợc thiết lập và duy trỡ bất chấp cơ sở hạ tầng mạng giữa những điểm đầu cuối.
Private- nghĩa là dữ liệu truyền luụn luụn đƣợc giữ bớ mật và chỉ cú thể bị truy cập bởi những nguời sử dụng đƣợc trao quyền. Điều này rất quan trọng bởi vỡ giao thức Internet ban đầu TCP/IP- khụng đƣợc thiết kế để cung cấp cỏc mức độ bảo mật. Do đú, bảo mật sẽ đƣợc cung cấp bằng cỏch thờm phần mềm hay phần cứng VPN.
Network- là thực thể hạ tầng mạng giữa những ngƣời sử dụng đầu cuối, những trạm hay những node để mang dữ liệu.
Khỏi niệm mạng riờng ảo VPN khụng phải là khỏi niệm mới, chỳng đó từng đƣợc sử dụng trong cỏc mạng điện thoại trƣớc đõy nhƣng do một số hạn chế mà cụng nghệ VPN chƣa cú đƣợc sức mạnh và khả năng cạnh tranh lớn. Trong thời gian gần đõy, do sự phỏt triển của mạng thụng minh, cơ sở hạ tầng mạng IP đó làm cho VPN thực sự cú tớnh mới mẻ. VPN cho phộp thiết lập cỏc kết nối riờng với
Số húa bởi Trung tõm Học liệu http://www.lrc-tnu.edu.vn/
những ngƣời dựng ở xa, cỏc văn phũng chi nhỏnh của cụng ty và đối tỏc của cụng ty đang sử dụng chung một mạng cụng cộng.
2.4.2.3. Phõn loại mạng riờng ảo
Mục tiờu đặt ra đối với cụng nghệ mạng VPN là thoả món ba yờu cầu cơ bản sau:
- Tại mọi thời điểm, ngƣời dựng cú thể truy nhập từ xa hoặc di động vào mạng nội bộ của mỡnh.
- Nối liền cỏc chi nhỏnh, văn phũng di động.
- Khả năng điều khiển đƣợc quyền truy nhập của khỏch hàng, cỏc nhà cung cấp dịch vụ hoặc cỏc đối tƣợng bờn ngoài khỏc.
Dựa vào những yờu cầu cơ bản trờn, mạng riờng ảo VPN đƣợc phõn loại nhƣ sau: - VPN truy nhập từ xa (Remote Access VPNs).
- VPN Site – To – Site:
1/. VPN truy nhập từ xa
VPN truy nhập từ xa cung cấp cho cỏc nhõn viờn, chi nhỏnh văn phũng di động cú khả năng trao đổi, truy nhập từ xa vào mạng của cụng ty tại mọi thời điểm tại bất cứ đõu cú mạng Internet.
VPN truy nhập từ xa cho phộp mở rộng mạng cụng ty tới những ngƣời sử