intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE

Nghiên cứu về tường lửa (Firewall)

Chia sẻ: Nguyen Hoang Thien | Ngày: | Loại File: DOC | Số trang:64

459
lượt xem
148
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

An toàn thông tin là nhu cầu rất quan trọng đối với cá nhân cũng như đối với xã hội và các quốc gia trên thế giới. Mạng máy tính an toàn thông tin được tiến hành thông qua cá phương pháp vật lý và hành chính. Từ khi ra đời cho đến nay mạng máy tính đã đem lại hiệu quả vô cùng to lớn trong tất cả các lĩnh vực của đời sống. Bên cạnh đó người sử dụng phải đối mặt với các hiểm họa do thông tin trên mạng của họ bị tấn công. An toàn...

Chủ đề:
Lưu

Nội dung Text: Nghiên cứu về tường lửa (Firewall)

  1. Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa ....................... Đề Tài Nghiên cứu về tƣởng lửa 1 Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
  2. Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa Mục Lục PHẦN I: TỔNG QUAN VỀ AN TOÀN THÔNG TIN TRÊN MẠNG ....................................... 3 CÁC HÌNH THỨC TẤN CÔNG. ................................................................................................... 5 1.1 Tấn công trực tiếp: ................................................................................................................. 5 1.2. Nghe trộm: ............................................................................................................................. 6 1.3. Giả mạo địa chỉ: ..................................................................................................................... 7 1.4. Vô hiệu các chức năng của hệ thống (DoS, DDoS):.............................................................. 7 1.5. Lỗi của ngƣời quản trị hệ thống: ............................................................................................ 9 1.6. Tấn công vào yếu tố con ngƣời:............................................................................................. 9 CÁC DỊCH VỤ BẢO VỆ THÔNG TIN TRÊN MẠNG................................................................ 9 Dịch vụ bí mật (Confidentiality) ................................................................................................... 10 Dịch vụ xác thực (Authentication) ................................................................................................ 11 Không thể chối bỏ (Nonrepudiation) ............................................................................................ 12 CÁC KỸ THUẬT BẢO VỆ THÔNG TIN TRÊN MẠNG .......................................................... 13 GIẢI PHÁP TỔNG THỂ CHO AN TOÀN THÔNG TIN TRÊN MẠNG .................................. 16 PHẦN II: FIREWALL .................................................................................................................. 24 GIỚI THIỆU VỀ FIREWALL...................................................................................................... 24 ĐỐI TƢỢNG BẢO VỆ ................................................................................................................ 25 PHÂN LOẠI KẺ TẤN CÔNG ..................................................................................................... 27 INTERNET FIREWALL .............................................................................................................. 28 a. Ƣu điểm:................................................................................................................................... 44 b. Hạn chế: .................................................................................................................................... 44 BASTION HOST .......................................................................................................................... 52 NGUYÊN LÝ CƠ BẢN ĐỂ THIẾT KẾ VÀ XÂY DỰNG BASTION HOST ........................... 52 CÁC LOẠI BASTION HOST ĐẶC BIỆT ................................................................................... 53 CHỌN MÁY ................................................................................................................................. 54 CHỌN VỊ TRÍ VẬT LÝ ĐẶT BASTION HOST ....................................................................... 55 VỊ TRÍ BASTION HOST TRÊN MẠNG .................................................................................... 55 CHỌN DỊCH VỤ MẠNG MÀ BASTTION HOST CUNG CẤP................................................ 56 LÍ DO KHÔNG CUNG CẤP TÀI KHOẢN TRUY CẬP TRÊN BASTION HOST .................. 57 XÂY DỰNG MỘT BASTION HOST AN TOÀN VÀ CHỐNG LẠI SỰ TẤN CÔNG ............. 57 CÁC DỊCH VỤ INTERNET ........................................................................................................ 59 WORLD WIDE WEB (WWW).................................................................................................... 59 ELECTRONIC MAIL ( EMAIL-THƢ ĐIỆN TỬ ) ..................................................................... 60 FTP(FILE TRANSFER PROTOCOLS) ....................................................................................... 61 PROXY ......................................................................................................................................... 62 PROXY LÀ GÌ??? ........................................................................................................................ 62 TẠI SAO PROXY RA ĐỜI.......................................................................................................... 64 TỔNG KẾT CHUNG VỀ PROXY............................................................................................... 65 2 Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
  3. Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa PHẦN I: TỔNG QUAN VỀ AN TOÀN THÔNG TIN TRÊN MẠNG An toàn thông tin là nhu cầu rất quan trọng đối với cá nhân cũng nhƣ đối với xã hội và các quốc gia trên thế giới. Mạng máy tính an toàn thông tin đƣợc tiến hành thông qua cá phƣơng pháp vật lý và hành chính. Từ khi ra đời cho đến nay mạng máy tính đã đem lại hiệu quả vô cùng to lớn trong tất cả các lĩnh vực của đời sống. Bên cạnh đó ngƣời sử dụng phải đối mặt với các hiểm họa do thông tin trên mạng của họ bị tấn công. An toàn thông tin trên mạng máy tính bao gồm các phƣơng pháp nhằm bảo vệ thông tin đƣợc lƣu giữ và truyền trên mạng. An toàn thông tin trên mạng máy tính là một lĩnh vực đang đƣợc quan tâm đặc biệt đồng thời cũng là một công việc hết sức khó khăn và phức tạp. Thực tế đã chứng tỏ rằng có một tình trạng rất đáng lo ngại khi bị tấn công thông tin trong quá trình xử lý, truyền và lƣu giữ thông tin. Những tác động bất hợp pháp lên thông tin với mục đích làm tổn thất, sai lạc, lấy cắp các tệp lƣu giữ tin, sao chép các thông tin mật, giả mạo ngƣời đƣợc phép sử dụng thông tin trong các mạng máy tính. Sau đây là một vài ví dụ điển hình về các tác động bất hợp pháp vào các mạng máy tính: Các sinh viên trƣờng Đại học Tổng hợp Mỹ đã lập và cài đặt vào máy tính một chƣơng trình bắt chƣớc sự làm việc với ngƣời sử dụng ở xa. Bằng chƣơng trình họ đã nắm trƣớc đƣợc nhu cầu của ngƣời sử dụng và hỏi mật khẩu của họ. Đến khi bị phát hiện các sinh viên này đã kịp lấy đƣợc mật khẩu của hơn 100 ngƣời sử dụng hợp pháp hệ thống máy tính. 3 Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
  4. Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa Các nhân viên của hãng CDC(Mỹ) đã “xâm nhập” vào trung tâm tính toán của một hãng sản xuất hóa phẩm và đã phá hủy các dữ liệu lƣu giữ trên băng từ gây thiệt hại cho hãng này tới hơn 100.000$. Hãng bách khoa toàn thƣ của Anh đã đƣa ra tòa 3 kĩ thuật viên trong trung tâm máy tính của mình với lời buộc tội họ đã sao chép từ ổ đĩa của máy chủ tên tuổi gần 3 triệu khách hàng đáng giá của hãng để bán cho hãng khác. Chiếm vị trí đáng kể hơn cả trong số các hành động phi pháp tấn công mạng máy tính là các hành vi xâm nhập vào hệ thống, phá hoại ngầm, gây nổ, làm hỏng đƣờng cáp kết nối và các hệ thống mã hóa. Song phổ biến nhất vẫn là việc phá hủy các phần mềm xử lý thông tin tự động, chính các hành vi này thƣờng gây thiệt hại vô cùng lớn lao. Cùng với sự gia tăng của nguy cơ đe dọa thông tin trong các mạng máy tính, vấn đề bảo vệ thông tin càng đƣợc quan tâm nhiều hơn. Sau kết quả nghiên cứu điều tra của của viện Stendfooc (Mỹ), tình hình bảo vệ thông tin đã có những thay đổi đáng kể. Đến năm 1985 nhiều chuyên gia Mỹ đi đến kết luận rằng các tác động phi pháp trong hệ thống thông tin tính toán đã trở thành tai họa quốc gia.Khi có đủ các tài liệu nghiên cứu, hiệp hội luật gia Mỹ tiến hành một cuộc nghiên cứu đặc biệt. Kết quả là gần một nửa số ý kiến thăm dò thông báo rằng trong năm 1984 họ đã là nạn nhân của các hành động tội phạm đƣợc thực hiện bằng máy tính, rất nhiều trong số các nạn nhân này đã thông báo cho chính quyền về tội phạm., 39% số nạn nhân tuy có thông báo nhƣng lại không chỉ ra đƣợc mục tiêu mà mình nghi vấn. Đặc biệt nhiểu là các vụ phạm pháp xảy ra trên mạng máy tính của các cơ quan kinh doanh và nhà băng. Theo các chuyên gia, tính đến trƣớc năm 1990 ở Mỹ lợi lộc thu đƣợc từ việc thâm nhập phi pháp vào các hệ thống thông tin đã lên tới gần 10 triệu đô la. Tổn thất trung bình mà nạn nhân phải trả vì các vụ phạm pháp ấy từ 400.000 đến 1.5 triệu đô la. Có hãng đã phải tuyên bố phá sản vì một nhân 4 Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
  5. Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa viên cố ý phá bỏ tất cả các tài liệu kế toán chứa trong bộ nhớ của máy tính về số nợ của các con nợ. CÁC HÌNH THỨC TẤN CÔNG. 1.1 Tấn công trực tiếp: Những cuộc tấn công trực tiếp thông thƣờng đƣợc sử dụng trong giai đoạn đầu để chiếm đƣợc quyền truy nhập bên trong. Một phƣơng pháp tấn công cổ điển là dò tìm tên ngời sử dụng và mật khẩu. Đây là phƣơng pháp đơn giản, dễ thực hiện và không đòi hỏi một điều kiện đặc biệt nào để bắt đầu. Kẻ tấn công có thể sử dụng những thông tin nhƣ tên ngƣời dùng, ngày sinh, địa chỉ, số nhà vv.. để đoán mật khẩu. Trong trƣờng hợp có đƣợc danh sách ngƣời sử dụng và những thông tin về môi trƣờng làm việc, có một trƣơng trình tự động hoá về việc dò tìm mật khẩu này. Một chƣơng trình có thể dễ dàng lấy đƣợc từ Internet để giải các mật khẩu đã mã hoá của các hệ thống unix có tên là crack, có khả năng thử các tổ hợp các từ trong một từ điển lớn, theo những quy tắc do ngƣời dùng tự định nghĩa. Trong một số trƣờng hợp, khả năng thành công của phƣơng pháp này có thể lên tới 30%. Phƣơng pháp sử dụng các lỗi của chƣơng trình ứng dụng và bản thân hệ điều hành đã đƣợc sử dụng từ những vụ tấn công đầu tiên và vẫn đƣợc tiếp tục để chiếm quyền truy nhập. Trong một số trƣờng hợp phƣơng pháp này cho phép kẻ tấn công có đƣợc quyền của ngƣời quản trị hệ thống (root hay administrator). 5 Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
  6. Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa Hai ví dụ thƣờng xuyên đƣợc đƣa ra để minh hoạ cho phƣơng pháp này là ví dụ với chƣơng trình sendmail và chƣơng trình rlogin c ủa hệ điều hành UNIX. Sendmail là một chƣơng trình phức tạp, với mã nguồn bao gồm hàng ngàn dòng lệnh của ngôn ngữ C. Sendmail đƣợc chạy với quyền ƣu tiên của ngƣời quản trị hệ thống, do chƣơng trình phải có quyền ghi vào hộp thƣ của những ngƣời sử dụng máy. Và Sendmail trực tiếp nhận các yêu cầu về thƣ tín trên mạng bên ngoài. Đây chính là những yếu tố làm cho sendmail trở thành một nguồn cung cấp những lỗ hổng về bảo mật để truy nhập hệ thống. Rlogin cho phép ngƣời sử dụng từ một máy trên mạng truy nhập từ xa vào một máy khác sử dụng tài nguyên của máy này. Trong quá trình nhận tên và mật khẩu của ngƣời sử dụng, rlogin không kiểm tra độ dài của dòng nhập, do đó kẻ tấn công có thể đƣa vào một xâu đã đƣợc tính toán trƣớc để ghi đè lên mã chƣơng trình của rlogin, qua đó chiếm đƣợc quyền truy nhập. 1.2. Nghe trộm: Việc nghe trộm thông tin trên mạng có thể đƣa lại những thông tin có ích nhƣ tên, mật khẩu của ngƣời sử dụng, các thông tin mật chuyển qua mạng. Việc nghe trộm thƣờng đƣợc tiến hành ngay sau khi kẻ tấn công đã chiếm đƣợc quyền truy nhập hệ thống, thông qua các chƣơng trình cho phép bắt các gói tin vào chế độ nhận toàn bộ các thông tin lƣu truyền trên mạng. Những thông tin này cũng có thể dễ dàng lấy đƣợc trên Internet. 6 Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
  7. Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa 1.3. Giả mạo địa chỉ: Việc giả mạo địa chỉ IP có thể đƣợc thực hiện thông qua việc sử dụng khả năng dẫn đƣờng trực tiếp (source-routing). Với cách tấn công này, kẻ tấn công gửi các gói tin IP tới mạng bên trong với một địa chỉ IP giả mạo (thông thƣờng là địa chỉ của một mạng hoặc một máy đƣợc coi là an toàn đối với mạng bên trong), đồng thời chỉ rõ đƣờng dẫn mà các gói tin IP phải gửi đi. 1.4. Vô hiệu các chức năng của hệ thống (DoS, DDoS): Đây là kểu tấn công nhằm tê liệt hệ thống, không cho nó thực hiện chức năng mà nó thiết kế. Kiểu tấn công này không thể ngăn chặn đƣợc, do những phƣơng tiện đợc tổ chức tấn công cũng chính là các phƣơng tiện để làm việc và truy nhập thông tin trên mạng. Ví dụ sử dụng lệnh ping với tốc độ cao nhất có thể, buộc một hệ thống tiêu hao toàn bộ tốc độ tính toán và khả năng của mạng để trả lời các lệnh này, không còn các tài nguyên để thực hiện những công việc có ích khác. 7 Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
  8. Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa Hình 1 Mô hình tấn công DdoS  Client là một attacker sắp xếp một cuộc tấn công  Handler là một host đã đƣợc thỏa hiệp để chạy những chƣơng trình đặc biệt dùng đê tấn công  Mỗi handler có khả năng điều khiển nhiều agent  Mỗi agent có trách nhiệm gửi stream data tới victim 8 Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
  9. Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa 1.5. Lỗi của ngƣời quản trị hệ thống: Đây không phải là một kiểu tấn công của những kẻ đột nhập, tuy nhiên lỗi của ngƣời quản trị hệ thống thờng tạo ra những lỗ hổng cho phép kẻ tấn công sử dụng để truy nhập vào mạng nội bộ. 1.6. Tấn công vào yếu tố con ngƣời: Kẻ tấn công có thể liên lạc với một ngời quản trị hệ thống, giả làm một ngƣời sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệ thống, hoặc thậm chí thay đổi một số cấu hình của hệ thống để thực hiện các phƣơng pháp tấn công khác. Với kiểu tấn công này không một thiết bị nào có thể ngăn chặn một cách hữu hiệu, và chỉ có một cách giáo dục ngƣời sử dụng mạng nội bộ về những yêu cầu bảo mật để đề cao cảnh giác với những hiện tƣợng đáng nghi. Nói chung yếu tố con ngời là một điểm yếu trong bất kỳ một hệ thống bảo vệ nào, và chỉ có sự giáo dục cộng với tinh thần hợp tác từ phía ngƣời sử dụng có thể nâng cao đƣợc độ an toàn của hệ thống bảo vệ. CÁC DỊCH VỤ BẢO VỆ THÔNG TIN TRÊN MẠNG 9 Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
  10. Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa Chúng ta có thể coi các dịch vụ bảo vệ thông tin nhƣ là “bản sao” của các thao tác bảo vệ tài liệu vật lý. Các tài liệu vật lý có các chữ kí và thông tin về ngày tạo ra nó. Chúng đƣợc bảo vệ nhằm chống lại việc đọc trộm, giả mạo, phá hủy…Chúng có thể đƣợc công chứng, chứng thực, ghi âm, chụp ảnh… Tuy nhiên có các điểm khác nhau giữa tài liệu điện tử và tài liệu giấy: - Ta có thể phân biệt giữa tài liệu giấy nguyên bản và một tài liệu sao chép. Nhƣng tài liệu điện tử chỉ là một dãy các bit nên không thể phân bệt đƣợc đâu là tài liệu “nguyên bản” đâu là tài liệu sao chép. - Một sự thay đổi trong tài liệu giấy đều để lại dấu vết nhƣ vết xóa, tẩy…Tuy nhiên sự thay đổi tài liệu điện tử hoàn toàn không để lại dấu vết. Dƣới đây là các dịch vụ bảo vệ thông tin trên mạng máy tính. Dịch vụ bí mật (Confidentiality) Dịch vụ bí mật bảo đảm rằng thông tin trong hệ thống máy tính và thông tin đƣợc truyền chỉ đƣợc đọc bởi những bên đƣợc ủy quyển. Thao tác đọc bao gồm in, hiển thị,…Nói cách khác, dịch vụ bí mật bảo vệ dữ liệu đƣợc truyền chống lại các tấn công bị động nhằm khám phá nội dung thông báo. Thông tin đƣợc bảo vệ có thể là tất cả dữ liệu đƣợc truyền giữa hai ngƣời dùng trong một khoảng thời gian hoặc một thông báo lẻ hay một số trƣờng trong thông báo. Dịch vụ này còn cung cấp khả năng bảo vệ luồng thông tin khỏi bị tấn công phân tích tình huống. 10 Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
  11. Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa Dịch vụ xác thực (Authentication) Dịch vụ xác thực đảm bảo rằng việc truyền thông là xác thực nghĩa là cả ngƣời gửi và ngƣời nhận không bị mạo danh. Trong trƣờng hợp có một thông báo đơn nhƣ một tín hiệu cảnh báo, tín hiệu chuông, dịch vụ xác thực đảm bảo với bên nhận rằng thông báo đến từ đúng bên nêu danh. Trong trƣờng hợp có một giao dịch đang xảy ra, dịch vụ xác thực đảm bảo rằng hai bên giao dịch là xác thực và không có kẻ nào giả danh làm một trong các bên trao đổi. Nói cách khác, dịch vụ xác thực yêu cầu nguồn gốc của thông báo đƣợc nhận dạng đúng với các định danh đúng. 2.1. Dịch vụ toàn vẹn (Integrity) Dịch vụ toàn vẹn đòi hỏi rằng các tài nguyên hệ thống máy tính và thông tin đƣợc truyền không bị sử đổi trái phép. Việc sửa đổi bao gồm các thao tác viết, thay đổi, thay đổi trạng thái, xóa thông báo, tạo thông báo, làm trể hoặc dùng lại các thông báo đƣợc truyền. Dịch vụ toàn vẹn có thể áp dụng cho một thông báo, một luồng thông báo hay chỉ một số trƣờng trong thông báo. Dịch vụ toàn vẹn định hƣớng kết nối (connection-oriented) áp dụng cho một luồng thông báo và nó bảo đảm rằng các thông báo đƣợc nhận có nội dung giống nhƣ khi đƣợc gửi, không bị nhân bản, chèn, sửa đổi, thay đổi trật tự hay dùng lại kể cả hủy hoại số liệu. Nhƣ vậy dịch vụ toàn vẹn định hƣớng kết nối quan tâm đến cả việc thay đổi thông báo và từ chối dịch vụ. Mặt khác, dịch vụ toàn vẹn phi kết nối chỉ quan tâm đến việc sử đổi thông báo. Dịch vụ toàn vẹn này thiên về phát hiện hơn là ngăn chặn. 11 Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
  12. Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa Không thể chối bỏ (Nonrepudiation) Dịch vụ không thể chối bỏ ngăn chặn ngƣời gửi hay ngƣời nhận chối bỏ thông báo đƣợc truyền. Khi thông báo đƣợc gửi đi ngƣời nhận có thể chứng minh rằng ngƣời gửi nêu danh đã gửi nó đi. Khi thông báo nhận đƣợc, ngƣời gửi có thể chứng minh thông báo đã đƣợc nhận bởi ngƣời nhận hợp pháp. 2.2. Kiểm soát truy nhập (Access control) Kiểm soát truy nhập là khả năng hạn chế và kiểm soát truy nhập đến các hệ thống máy tính và các ứng dụng theo các đƣờng truyền thông. Mỗi thực thể muốn truy nhập đuề phải định danh hay xác nhận có quyền truy nhập phù hợp. 2.3. Sẵn sàng phục vụ (Availability) Sẵn sàng phục vụ đòi hỏi rằng các tài nguyên hệ thống máy tính luôn sẵn sàng đối với những bên đƣợc ủy quyền khi cần thiết. Các tấn công có thể làm mất hoặc giảm khả năng sẵn sàng phục vụ của các chƣơng trình phần mềm và các tài nguyên phần cứng của mạng máy tính. Các phần mềm hoạt động sai chức năng có thể gây hậu quả không lƣờng trƣớc đƣợc. Các mối đe dọa chủ yếu tới sự an toàn trong các hệ thống mạng xuất phát từ tính mở của các kênh truyền thông (chúng là các cổng đƣợc dùng cho truyền thông hợp pháp giữa các tiến trình nhƣ client, server) và hậu quả là làm cho hệ thống bị tấn công. Chúng ta phải thừa nhận rằng trong mọi kênh truyền thông, tại tất cả các mức của phần cứng và phần mềm của hệ thống đều chịu sự nguy hiểm của các mối đe dọa đó. 12 Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
  13. Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa Biện pháp để ngăn chặn các kiểu tấn công ở trên là: - Xây dựng các kênh truyền thông an toàn để tránh việc nghe trộm - Thiết kế các giao thức xác nhận lẫn nhau giữa máy khách hàng và máy chủ: + Các máy chủ phải đảm bảo rằng các máy khách hàng đúng là máy của những ngƣời dùng mà chúng đòi hỏi + Các máy khách hàng phải đảm bảo rằng các máy chủ cung cấp các dịch vụ đặc trƣng là các máy chủ đƣợc ủy quyền cho các dịch vụ đó. + Đảm bảo rằng kênh truyền thông là “tƣơi” nhằm tránh việc dùng lại thông báo. CÁC KỸ THUẬT BẢO VỆ THÔNG TIN TRÊN MẠNG Mã hóa Việc mã hóa các thông báo có các vai trò sau: 1. Nó dùng để che dấu thông tin mật đƣợc đặt trong hệ thống. Nhƣ chúng ta đã biết, các kênh truyền thông vật lý luôn bị tấn công bởi sự nghe trộm và xuyên tạc thông báo. Theo truyền thống, việc trao đổi thƣ từ bằng mật mã đƣợc dùng trong các hoạt động quân sự, tình báo. Điều này dựa trên nguyên tắc là một thông báo đƣợc mã hóa với một khóa mã xác định và chỉ có thể đƣợc giải mã bởi ngƣời biết khóa ngƣợc tƣơng ứng. 2. Nó đƣợc dùng để hỗ trợ cho cơ chế truyền thông xác thực giữa các cặp ngƣời dùng hợp pháp mà ta gọi là ngƣời ủy nhiệm (Principal). Một ngƣời ủy nhiệm sau khi giải mã thành công một thông báo bằng cách dùng một khóa dịch 13 Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
  14. Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa xác định có thể thừa nhận rằng thông báo đƣợc xác thực nếu nó chứa một vài giá trị mong muốn. Từ đó ngƣời nhận có thể suy ra rằng ngƣời gửi của thông báo có khóa mã tƣơng ứng. Nhƣ vậy nếu ác khóa đƣợc giữ bí mật thì việc giả mã thành công sẽ xác thực thông báo đến từ một ngƣời gửi xác định. 3. Nó đƣợc dùng để cài đặt một cơ chế chữ kí số. Chữ kí số có vai trò quan trọng nhƣ một chữ kí thông thƣờng trong việc xác nhận với một thành viên thứ ba rằng một thông báo là một bản sao không bị thay đổi của một thông báo đƣợc tạo bởi ngƣời ủy nhiệm đặc biệt. Khả năng để cung cấp một chữ kí số dựa trên nguyên tắc : có những việc chỉ có ngƣời ủy nhiệm là ngƣời gửi thực sự mới có thể làm còn những ngƣời khác thì không thể. Điều này có thể đạt đƣợc bằng việc đòi hỏi một thành viên thứ 3 tin cậy mà anh ta có bằng chứng định danh của ngƣời yêu cầu để mã thông báo hoặc để mã một dạng ngắn của thông báo đƣợc gọi là digest tƣơng tự nhƣ một checksum. Thông báo hoặc digest đƣợc mã đóng vai trò nhƣ một chữ kí đi kèm với thông báo. Cơ chế sát thực Trong các hệ thống nhiều ngƣời dùng tập trung các cơ chế xác thực thƣờng là đơn giản. Định danh của ngƣời dùng có thể đƣợc xác thực bởi việc kiểm tra mật khẩu của mỗi phiên giao dịch. Cách tiếp cận này dựa vào cơ chế quản lí tài nguyên hệt thống của nhân hệ điều hành. Nó chặn tất cả các phiên giao dịch mới bằng cách giả mạo ngƣời khác. Trong các mạng máy tính, việc xác thực là biện pháp mà nhờ nó các định danh của các máy chủ và các máy khách hàng đƣợc xác minh là đáng tin cậy. Cơ chế đƣợc dùng để đạt điều này là dựa trên quyền sở hữu các khóa mã. Từ thực tế rằng chỉ một ngƣời ủy nhiệm mới có quyền sở hữu khóa bí mật, chúng ta suy ra rằng ngƣời ủy nhiệm chính là ngƣời có định danh mà nó đòi hỏi. Việc 14 Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
  15. Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa sở hữu một mật khẩu bí mật cũng đƣợc dùng để xác nhận định danh của ngƣời sở hữu. Các dịch vụ xác thực dựa vào việc dùng mật mã có độ an toàn cao . Dịch vụ phân phối khóa có chức năng tạo, lƣu giữ và phân phối tất cả các khóa mật mã cần thiết cho tất cả ngƣời dùng trên mạng. Các cơ chế điều khiển truy nhập Các cơ chế điều khiển truy nhập đƣợc dùng để đảm bảo rằng chỉ có một số ngƣời dùng đƣợc gán quyền mới có thể truy nhập đến các tài nguyên thông tin (tệp, tiến trình, cổng truyền thông…) và các tài nguyên phần cứng (máy chủ, processor, Gateway…) Các cơ chế điều khiển truy nhập xảy ra trong các hệ điều hành đa ngƣời dùng không phân tán. Trong UNIX và các hệ thống nhiều ngƣời dùng khác, các tệp là các tài nguyên thông tin có thể chia xẻ quan trọng nhất và một cơ chế điều khiển truy nhập đƣợc cung cấp để cho phép mỗi ngƣời dùng quản lí một số tệp bí mật và để chia xẻ chúng trong một cách thức đƣợc điều khiển nào đó. 15 Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
  16. Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa GIẢI PHÁP TỔNG THỂ CHO AN TOÀN THÔNG TIN TRÊN MẠNG Khi nói đến giả pháp tổng thể cho an toàn thông tin trên mạng, các chuyên gia đểu nhấn mạnh một thực tế là không có thứ gì là an toàn tuyệt đối. Hệ thống bảo vệ có chắc chắn đến đâu đi nữa rồi cũng có lúc bị vô hiệu hóa bởi những kẻ phá hoại điêu luyện về kĩ xảo và có đủ thời gian. Chƣa kể trong nhiều trƣờng hợp kẻ phá hoại lại nằm ngay trong nội bộ cơ quan có mạng cần bảo vệ. Từ đó có thể thấy rằng vấn đề an toàn mạng máy tính thực tế là một cuộc chạy tiếp sức không ngừng và không ai dám khẳng định là có đích cuối cùng hay không. Các mức bảo vệ thông tin trên mạng Vì không thể có một giải pháp an toàn tuyệt đối nên ngƣời ta thƣờng phải sử dụng đồng thời nhiều mức bảo vệ khác nhau tạo thành nhiều lớp “rào chắn” đối với các hoạt động xâm phạm. Ngoài việc bảo vệ thông tin trên đƣờng truyền, chúng ta còn phải bảo vệ thông tin đƣợc cất giữ trong các máy tính, đặc biệt là trong các máy chủ trên mạng. Bởi thế ngoài một số biện pháp nhằm chống lại việc tấn công vào thông tin trên đƣờng truyền, mọi cố gắng phải tập trung vào việc xây dựng các mức “rào chắn” từ ngoài vào trong cho các hệ thống kết nối vào mạng. Hình 1.3 mô tả các lớp “rào chắn” thông dụng hiện nay để bảo vệ thông tin trên mạng máy tính: 16 Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
  17. Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa Thông tin Quyền truy nhập Login/password Mã hóa dữ liệu Bảo vệ vật lý Firewall Hình 2: Các mức bảo vệ thông tin trên mạng máy tính  Quyền truy nhập: Lớp bảo vệ trong cùng là quyền truy nhập nhằm kiểm soát các tài nguyên thông tin của mạng và quyền hạn của ngƣời sử dụng trên tài nguyên đó. Hiện tại việc kiểm soát thƣờng ở mức tệp.  Đăng kí tên và mật khẩu: Lớp bảo vệ tiếp theo là đăng kí tên/ mật khẩu (login/password). Thực ra đây cũng là lớp kiểm soát quyền truy nhập, nhƣng không phải truy nhập ở mức thông tin mà ở mức hệ thống. Đây là phƣơng pháp bảo vệ phổ biến nhất vì nó đơn giản, ít phí tổn và cũng rất hiệu quả. Mỗi ngƣời sử dụng, kể cả ngƣời quản trị mạng muốn vào đƣợc mạng để sử dụng các tài nguyên của mạng đều phải 17 Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
  18. Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa đăng kí tên và mật khẩu trƣớc. Ngƣời quản trị mạng có trách nhiệm quản lí, kiểm soát mọi hoạt động của mạng và xác định quyền truy nhập của những ngƣời sử dụng khác tùy theo thời gian và không gian, nghĩa là một ngƣời sử dụng chỉ đƣợc phép vào mạng ở những thời điểm và từ những vị trí xác định. Về lí thuyết, nếu mọi ngƣời đều giữ kín đƣợc tên và mật khẩu đăng kí của mình thì sẽ không xảy ra các truy nhập trái phép. Song điều đó rất khó đảm bảo trong thực tế vì nhiều nguyên nhân, chẳng hạn nhƣ ngƣời sử dụng thiếu cẩn thận khi chọn mật khẩu trùng với ngày sinh, tên ngƣời thân hoặc ghi mật khẩu ra giấy…Điều đó làm giảm hiệu quả của lớp bảo vệ này. Có thể khắc phục bằng nhiều cách nhƣ ngƣời quản trị có trách nhiệm đặt mật khẩu, thay đổi mật khẩu theo thời gian…  Mã hóa dữ liệu; Để bảo mật thông tin truyền trên mạng, ngƣời ta sử dụng các phƣơng pháp mã hóa. Dữ liệu đƣợc biến đổi từ dạng nhận thức đƣợc sang dạng không nhận thức đƣợc theo một thuật toán nào đó (lập mã) và sẽ đƣợc biến đổi ngƣợc lại (dịch mã) ở nơi nhận. Đây là lớp bảo vệ thông tin rất quan trọng và đƣợc sử dụng rộng rãi trong môi trƣờng mạng.  Bảo vệ vật lý Nhằm ngăn cản các truy nhập vật lý bất hợp pháp vào hệ thống. Ngƣời ta thƣờng dùng các biện pháp truyền thống nhƣ cấm tuyệt đối ngƣời không phận sự vào phòng đặt máy mạng, dùng ổ khóa trên máy tính (ngắt nguồn điện đến màn hình và bàn phím nhƣng vẫn giữ liên lạc trực tuyến giữa máy tính với mạng, hoặc cài cơ chế báo động khi có truy nhập vào hệ thống) hoặc dùng các trạm không có ổ đĩa mềm… 18 Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
  19. Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa  Bức tƣờng lửa (Firewall) Để bảo vệ từ xa một máy tính hoặc cho cả một mạng nội bộ, ngƣời ta thƣờng dùng các hệ thống đặc biệt là tƣờng lửa. Chức năng của các tƣờng lửa là ngăn chặn các thâm nhập trái phép (theo danh sách truy nhập xác định trƣớc) và thậm chí có thể “lọc” bỏ các gói tin mà ta không muốn gửi đi hoặc nhận vì những lí do nào đó. Phƣơng thức này đƣợc sử dụng nhiều trong môi trƣờng mạng Internet. Một cách tiếp cận khác trong việc xây dựng giải pháp tổng thể về an toàn thông tin trên mạng máy tính là đƣa ra các phƣơng pháp và phƣơng ti ện bảo vệ thông tin. Các phương pháp và phương tiện bảo vệ thông tin Trong giai đoạn đầu tiên, ngƣời ta cho rằng việc bảo vệ thông tin trong hệ thống thông tin tính toán có thể đƣợc thực hiện tƣơng đối dễ dàng, thuần túy bằng các chƣơng trình phần mềm. Chính vì vậy các phƣơng tiện chƣơng trình có kèm theo việc bổ sung các biện pháp tổ chức cần thiết đƣợc phát triển một cách đáng kể. Nhƣng cho đến lúc chỉ riêng các phƣơng tiện tỏ ra không thể đảm bảo chắc chắn việc bảo vệ thông tin thì các thiết bị kỹ thuật đa năng, thậm chí cả một hệ thống kĩ thuật lại phát triển một cách mạnh mẽ. Từ đó cần thiết phải triển khai một cách đồng bộ tất cả các phƣơng tiện bảo vệ thông tin. Các phƣơng pháp bảo vệ thông tin bao gồm  Các chƣớng ngại: Chƣớng ngại là nhằm ngăn cản kẻ tấn công tiếp cận thông tin đƣợc bảo v ệ. 19 Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
  20. Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa  Điều khiển sự tiếp cận: Điều khiển sự tiếp cận là phƣơng pháp bảo vệ thông tin bằng cách kiểm soát việc sử dụng tất cả các tài nguyên của hệ thống. Trong một mạng máy tính cần xây dựng các qui định rõ ràng và chặt chẽ về chế độ làm việc của ngƣời sử dụng, các kĩ thuật viên sử dụng các chƣơng trình phần mềm, các cơ sở dữ liệu và các thiết bị mang tin. Cần phải quy định thời gian làm việc trong tuần, trong ngày cho ngƣời sử dụng và nhân viên kĩ thuật trên mạng. Trong thời gian làm việc, cần phải xác định một danh mục những tài nguyên của mạng đƣợc phép tiếp cận và trình tự tiếp cận chúng. Cần thiết phải có cả một danh sách các cá nhân đƣợc quyền sử dụng các phƣơng tiện kĩ thuật, các chƣơng trình. Với các ngân hàng dữ liệu ngƣời ta cũng chỉ ra một danh sách những ngƣời sử dụng dƣợc quyền tiếp cận nó. Đối với các thiết bị mang tin, phải xác định chặt chẽ vị trí lƣu giữ thƣờng xuyên, danh sách các cá nhân có quyền nhận các thiết bị này. 20 Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản
2=>2