3.2.1.1. Công nghệ Firewall.
Firewall (hay còn gọi là tường lửa) dùng để bảo vệ những thông tin và chống việc truy cập bất hợp pháp của các hacker. Firewall là một giải pháp dựa trên phần cứng và phần mềm dùng để kiểm tra dữ liệu đi từ bên ngoài vào máy tính hoặc từ máy tính ra ngoài mạng Internet, rộng hơn là giữa mạng nội bộ và Internet, và giữa các mạng con trong hệ thống mạng nội bộ của công ty.
Hình 3.1 . Firewall làm màn chắn ngăn cách giữa mạng nội bộ và Internet.
(Nguồn: http://www.hvaonline.net/hvaonline)
Có thể nói Firewall là nguời bảo vệ có nhiệm vụ kiểm tra “giấy thông hành” của bất kì gói dữ liệu đi vào hoặc đi ra. Nó chỉ cho phép những gói dữ liệu hợp lệ đi qua và loại bỏ tất cả các gói dữ liệu không hợp lệ .Vì vậy mà Firewall rất cần thiết cho việc đảm bảo an toàn trên hệ thống mạng
Có 2 loại Firewall là Firewall phần cứng và Firewall phần mềm.
Đa số Firewall đều sử dụng bộ lọc packet. Một trong những ưu điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc đã bao gồm trong mỗi phần mềm router. Ngoài ra bộ lọc packet là trong suốt với người sử dụng và các ứng dụng.
Firewall cho phép các nhà quản trị mạng đề ra nhiều loại truy cập tới các dịch vụ Internet để người sử dụng lựa chọn. Sự lựa chọn này là một phần cốt yếu của bất kỳ chương trình quản trị thông tin nào, và không chỉ bảo vệ thông tin riêng mà còn biết được những ai đã truy cập và đã làm gì.
Firewall không thể chống lại các cuộc tấn công bằng dữ liệu (data-drivent attack), khi có một số chương trình được chuyển theo thư điện tử, vượt qua Firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây.
Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của Firewall. Firewall có thể ngǎn chặn những kẻ xấu từ bên ngoài nhưng còn những kẻ xấu
ở bên trong thì sao? Vậy để có được khả nǎng bảo mật tối ưu cho hệ thống, Firewall nên được sử dụng kết hợp với các biện pháp an ninh mạng như các phần mềm diệt virus, phần mềm đóng gói, mã hoá dữ liệu. Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi.
3.2.1.2. Hệ phát hiện đột nhập (IDS) Giới thiệu.
Hệ phát hiện đột nhập mạng (NIDS). Khái niệm.
Hệ thống phát hiện đột nhập mạng (NIDS-Network Instrusion Detection System) là một hệ thống có nhiệm vụ phát hiện sự tấn công, phát hiện sự lạm dụng hệ thống mạng lưới bởi việc bắt giữ và phân tích những gói tin trên đoạn mạng nó theo dõi. Hệ phát hiện đột nhập mạng sẽ bắt các gói tin và thực hiện kiểm tra tất cả các luồng dữ liệu được phép lưu thông(hay không) và trên cơ sở phân tích các thông tin điều khiển, hay nội dung gói tin mà nó phát hiện ra sự đột nhập hay việc lạm dụng hệ thống, từ đó một hay nhiều thành phần phản ứng sẽ được đưa ra nếu có sự nghi ngờ tấn công được phát hiện.
Một số dạng tấn công mà NIDS phát hiện được.
Do nguồn thông tin hệ thu nhận là những gói tin trên mạng nên nó sẽ phát hiện được các kiểu tấn công vì các loại tấn công này đều xuất phát từ những hạn chế khi thiết kế bộ giao thức TCP/IP, hay phát triển các ứng dụng mạng có các lỗ hổng về an ninh – an toàn.
Một số loại tấn công khác : •Tấn công bằng IP phân đoạn. •Tấn công từ chối dịch vụ.
•Tấn công các giao thức dùng số tuần tự TCP
Bằng việc phân tích nội dung gói tin hệ phát hiện đột nhập mạng có thể phát hiện được các loại tấn công nhằm vào những lỗi của các ứng dụng và lỗi của hệ điều hành.
Hệ phát hiện đột nhập trạm (HIDS-Host Instrusion Detection System) Định nghĩa
Hệ phát hiện đột nhập trạm là một hệ thống thực hiện nhiệm vụ phát hiện đột nhập bằng việc phân tích các hoạt động trên máy chính, máy cài đặt nó, hay một máy xác định cụ thể nào đó. Để quan sát – theo dõi hoạt động của một máy nào đó, nó thực hiện thu thập dữ liệu từ trạm đó và phân tích dữ liệu thu thập được bằng các phương pháp khác nhau để xác định có dấu hiệu tấn công hay lạm dụng hệ thống nào không. Hệ phát
hiện đột nhập trạm không chỉ theo dõi – giám sát luồng dữ liệu lưu thông vào, ra trên trạm mà còn kiểm tra tính toàn vẹn hệ thống của trạm đó, duyệt những tệp nhật ký và những bản ghi kiểm toán của hệ thống, xem xét các cảnh báo về an toàn hay có những hiện tượng bất thường nào không. Hệ phát hiện đột nhập trạm được cài ngay trên máy trạm hay máy chủ mà nó bảo vệ.
Một số chức năng của hệ phát hiện đột nhập trạm
•Quản lý các kết nối máy tính nó bảo vệ. •Giám sát được các hoạt động đăng nhập. •Giám sát các hoạt động trên trạm.
•Quản lý các hoạt động trên trạm mà nó bảo vệ.
Hệ thổng kiểm tra xâm phạm dựa theo ứng dụng(App-IDS)
Số lượng App-IDS xuất hiện trên thị trường ngày càng nhiều. Các công cụ này thực hiện phân tích các thông điệp từ một ứng dụng cụ thể hay thông tin qua proxy tới ứng dụng đó. Trong lúc chúng có mục đích cụ thể, chúng có thể cung cấp mức bảo mật tăng lên theo từng mảng ứng dụng cụ thể. Khi được kết hợp với một H-IDS, chúng đảm bảo rằng sự xâm nhập tới một máy chủ sẽ giảm thiểu tới mức tối thiểu. Một App-IDS nên được xem như một chức năng hỗ trợ bảo mật trong suốt, mặc dù không đúng trong một số trường hợp.
3.2.1.3 Phần mềm Anti-virus
Phần mềm diệt virus là phần mềm có tính năng phát hiện, loại bỏ các virus máy tính, khắc phục (một phần hoặc hoàn toàn) hậu quả của virus gây ra và có khả năng được nâng cấp để nhận biết các loại virus trong tương lai.
Để đạt được các mục tiêu tối thiểu trên và mở rộng tính năng, phần mềm diệt virus thường hoạt động trên các nguyên lí cơ bản nhất như sau:
• Kiểm tra (quét) các tập tin để phát hiện các virus đã biết trong cơ sở dữ liệu nhận dạng về virus của chúng.
• Phát hiện các hành động của các phần mềm giống như các hành động của virus hoặc các phần mềm độc hại.
Phần mềm diệt virus máy tính thường thực hiện kiểm soát liên tục theo thời gian thực để bảo vệ hệ thống. Hình thức kiểm soát liên tục sẽ quét virus mọi file mà hệ thống
truy cập đến, mọi file ngay từ khi bắt đầu được copy vào hệ thống thông qua hình thức nhận biết so sánh mẫu và theo dõi hành động đáng ngờ.
3.2.1.4. Các biện pháp sinh trắc học
Sinh trắc học tâm lý
Hệ thống nhận dạng để xác nhận một người bằng cách nhận dạng, so sánh đặc tính sinh lý học như dấu vân tay, mống mắt, đặc điểm khuôn mặt, giọng nói,… với một cơ sở dữ liệu số hóa thiết lập từ trước. (Bài giảng thương mại điện tử, Ths Nguyễn Bình Minh, Khoa thương mại điện tử, trường ĐHTM)
Ví dụ: nhận dạng vân tay: hình dạng, độ nông sâu, khoảng cách giữa các đường vân đầu ngón tay một người mang tính đặc thù, được chuyển đổi thành dạng số và lưu trữ như các mẫu dùng để so sánh nhận dạng (xác thực). Xác suất hai người có dấu vân tay giống nhau là 1/1 tỷ.
Sinh trắc học hành vi
Hệ thống nhận dạng để xác nhận một người bằng cách quan sát, ghi nhận hành vi của người đó và so sánh với một cơ sở dữ liệu số hóa thiết lập từ trước. (Bài giảng thương mại điện tử, Ths Nguyễn Bình Minh, Khoa thương mại điện tử, trường ĐHTM)
Ví dụ: nhận dạng qua cách đánh máy trên bàn phím: mỗi người đánh máy áp lực, tốc độ, nhịp độ khác nhau.
3.2.1.5. Mạng riêng ảo – VPN
Khái niệm
“VPN là viết tắt của (Virtual Private Networks) hay gọi là Mạng riêng ảo, cho phép mở rộng phạm vi nội bộ bằng cách sử dụng lợi thế của Internet. Kỹ thuật VPN cho phép bạn kết nối với một host nằm ở xa hàng ngàn kilomet với mạng LAN của bạn và làm cho nó trở thành một node nay một PC nữa trong mạng LAN. Một đặc điểm nữa của VPN là sự kết nối giữa clients và mạng ảo của bạn khá an toàn như chính bạn đang ngồi trong cùng một mạng LAN.” ([1], trang 7)
Tác dụng
VPN cho phép những máy tính kết nối trực tiếp tới những máy khác thông qua sự kết nối địa lý, mà không cần phải thuê đường đường truyền hoặc PVC. Điều này làm đơn
giản hóa những tùy chọn cấu trúc mạng và làm tăng sự phát triển mạng mà không phải thiết kế lại mạng LAN hoặc gián đoạn sự kết nối.
VPN hỗ trợ những sự kết nối khác nhau, bao gồm thuê đường truyền, điều chỉnh sự tiếp nối, ADSL, Ethernet và PSTN. Những giải pháp mạng có thể được đưa ra dễ dàng để thích hợp cho những đòi hỏi của những máy client riêng lẽ, bao gồm tăng những tùy chọn cho những lọai kết nối mở rộng. Dữ liệu, phone và những ứng dụng video cũng có thể chạy trên những mạng riêng lẽ này, mà không cần cho những kênh riêng lẽ và phần cứng đặc biệt.
VPN là một nhánh của kỹ thuật liên lạc riêng lẻ, được đưa lên từ mạng chung chẳng hạn như Internet. Người sử dụng có thể truy xuất tới mạng dù ở nhà hay ở xa, thông qua sự kết nối cục bộ. VPN thiết lập kết nối bảo mật giữa người sử dụng và mạng trung tâm. Dịch vụ này cũng có thể thiết lập sự kết nối trực tiếp giữa những khu vực khác nhau, kết nối qua quay số và những dịch vụ thuê đường truyền.
3.2.1.6. Giải pháp về phần cứng.
Máy cũ, chậm chạp, gây nên các vấn đề thiếu an toàn do xử lý thông tin chậm có thể dẫn tới nhiều vấn đề không an toàn như bị đánh cắp mật khẩu, mất thời gian của người sử dụng,…
Công ty có thể nâng cấp một số bộ phận phần cứng máy tính cho máy chủ cũng như các máy trạm để có thể tăng tốc độ xử lý, truy cập dữ liệu, tăng hiệu quả sử dụng máy tính. Việc nâng cấp cấu hình cho máy chủ và máy trạm có thể đảm bảo được tốc độ của máy khi cài đặt các phần mềm, hay đảm bảo tính tương thích giữa hệ thống máy tính với các giải pháp an toàn mạng cho công ty. Công ty có thể lựa chọn các sản phẩm nâng cấp cấu hình máy của các hãng điện tử hàng đầu như Intel, HP, Dell, IBM,…
3.2.1.7. Giải pháp đảm bảo an toàn dữ liệu đường truyền. Bảo mật dựa trên hai điểm đầu và cuối (End to End Security)
Thông tin được mã hóa ngay khi mới được tạo ra tại máy nguồn và chỉ được giải mã khi tới máy đích. Phương pháp này làm cho dữ liệu người dùng an toàn nhưng không chống được tấn công phân tích tình huống, vì trong các gói tin chỉ phần dữ liệu người sử dụng
được mã hóa còn các dữ liệu đầu gói (dữ liệu điều khiển) thì không. Mã hóa đường truyền từ máy tính nguồn đến máy tính đích. Như vậy, đối với hệ thống bảo mật dữ liệu nhất là những gói tin có chứa thông tin quan trọng ví dụ như thông tin tài khoản hay mật khẩu… thì việc an toàn thông tin truyền đi trên hệ thống mạng là vô cùng quan trọng. Ngày nay việc kết hợp giữa hai hình thức bảo mật nhằm nâng cao tính năng của hệ thống là cần thiết. Khi đó máy tính đầu cuối lập mã phần dữ liệu người sử dụng của gói dùng khóa lập mã đầu cuối. Cả gói tin được lập mã dùng khóa lập mã đường truyền.
Giao thức SSL
Giao thức SSL (Secure Socket Layer) tổ hợp nhiều giải thuật mã hóa nhằm đảm bảo quá trình trao đổi thông tin trên mạng được bảo mật. Việc mã hóa dữ liệu diễn ra một cách trong suốt, hỗ trợ nhiều giao thức khác chạy trên nền giao thức TCP. Cơ chế hoạt động của giao thức SSL dựa trên nền tảng các ứng dụng mã hóa đã được kiểm chứng như: giải thuật mã hóa đối xứng và bất đối xứng, giải thuật băm (hash) một chiều, giải thuật tạo chữ ký số, v.v...
Chữ ký điện tử
Chữ ký điện tử (digital signature) là đoạn dữ liệu ngắn đính kèm với văn bản gốc để chứng thực tác giả của văn bản và giúp người nhận kiểm tra tính toàn vẹn của nội dung văn bản gốc. Chữ ký điện tử được tạo ra bằng cách áp dụng thuật toán băm một chiều trên văn bản gốc để tạo ra bản phân tích văn bản (message digest) hay còn gọi là fingerprint, sau đó mã hóa bằng private key tạo ra chữ ký số đính kèm với văn bản gốc để gửi đi. khi nhận, văn bản được tách làm 2 phần, phần văn bản gốc được tính lại fingerprint để so sánh với fingerprint cũ cũng được phục hồi từ việc giải mã chữ ký số.