Tải bản đầy đủ (.doc) (124 trang)

tìm hiểu về an toàn và bảo mật trên mạng

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (613.59 KB, 124 trang )

Tìm hiểu về an toàn và bảo mật trên mạng
Máy chủ pháo đài, bảo mật mạng máy tính
LỜI MỞ ĐẦU
Những năm cuối của thế kỉ 20 được coi là thời đại bùng nổ thông tin, cùng với nó
là sự phát triển mạnh mẽ của những ngành công nghệ cao: điện tử, vật liệu mới Đặc
biệt, công nghệ thông tin đã được áp dụng, len lỏi vào hầu hết các lĩnh vực của đời sống
xã hội, nó góp phần đáng kể trong việc công nghiệp hoá hiện đại hoá của mỗi một quốc
gia.
Trong những năm gần đây, hệ thống mạng máy tính của nước ta phát triển một
cách mạnh mẽ. Hầu hết các ngành đều đã dần dần từng bước đưa ứng dụng tin học vào
phục vụ công việc của ngành. Đặc biệt từ năm 1997 nước ta chính thức kết nối vào hệ
thống Internet toàn cầu, sau hơn 5 năm chúng ta đó cú hàng trăm ngàn thuê bao Internet.
Internet thực sự là một nguồn tài nguyên thông tin rộng lớn và phong phú nhất
hiện nay. Đặc biệt là trong thời đại kinh tế tri thức, nắm bắt được thông tin sớm và chính
xác có ý nghĩa vô cùng quan trọng, giúp cho các doanh nghiệp, các tổ chức, chính phủ
hoạch định chính sách, chiến lược, đảm bảo sự phát triển bền vững của doanh nghiệp, tổ
chức cũng như một quốc gia.
Lợi ích từ việc sử dụng hệ thống Internet là rất lớn, tuy nhiên bản thân Internet
cũng chứa đựng rất nhiều mối hiểm hoạ thường trực từ những tin tặc (hacker), chỳng
luụn tìm cách thâm nhập vào bên trong các mạng nội bộ để khai thác thông tin, phá hoại
hệ thống thông tin của chúng ta. Có những kẻ lợi dụng Internet để truyền bá thông tin bất
hợp pháp nhằm truyền bá tư tưởng phản động, văn hoá phẩm không lành mạnh
Vấn để cần đặt ra là làm thế nào để ngăn chặn sự xâm nhập trái phép từ bên ngoài
vào hệ thống mạng nội bộ cũng như kiểm soát được thông tin trên mạng, đồng thời phải
đảm bảo cho việc hoạt động bình thường của hệ thống.
Trong bản báo cáo thực tập chuyên ngành này bao gồm 3 phần:
Tìm hiểu về an toàn và bảo mật trên mạng
PhầnI: Bảo mật mạng máy tính.
Là một cách nhìn tổng quan về vấn đề giữ an toàn cho mạng máy tính: có những
kiểu tấn công mạng như thế nào và cỏc cỏch phòng chống.
Phần II: Máy chủ pháo đài


Phần này nghiên cứu về lý thuyờt và thực hành để xây dựng và vận hành một
máy chủ pháo đài.
Phần III: Tấn công từ chối dịch vụ
Phần này nghiên cưu một cách sơ bộ kiểu tấn công rất phổ biến trên mạng hiện
nay là kiểu tấn công từ chối dịch vụ.

Tìm hiểu về an toàn và bảo mật trên mạng
Phần I: Bảo mật mạng máy tính
1. Hệ thống cần bảo vệ những gì
Bức tường lửa về cơ bản là một thiết bị bảo vệ. Khi xây dựng một bức
tường lửa, điều đầu tiên ta cần quan tâm là chúng ta muốn bảo vệ cái gì. Khi
kết nối với Internet, có 3 thứ sẽ gặp nguy hiểm, đó là:
• Dữ liệu : là thông tin được lưu trữ trong máy tính
• Nguồn tài nguyên : là bản thân những máy tính
• Danh tiếng của chúng ta
1.1.Dữ liệu
Dữ liệu có ba đặc tính riêng rẽ cần được bảo vệ, đó là :
• Tính bảo mật ( Secrecy): ta không muốn những người khác
xem được dữ liệu
• Tính toàn vẹn(Integrity): ta không muốn những người khác có
thể thay đổi được dữ liệu
• Tính sẵn sàng(Availability): ta muốn chắc chắn là ta lúc nào
cũng có thể sử dụng được dữ liệu
Mọi người đều có khuynh hướng tập trung vào sự tổn thất liên quan
đến tính bảo mật, và điều đó là đúng vì đó là sự tổn thất lớn. Rất nhiều tổ
chức có những thông tin rất bí mật như những thông tin về mẫu sản phẩm
mới, về tài chính, hay trong các trường đại học thì là những thông tin liên
quan đến quản lý sinh viên được lưu trong máy tính. Nói cách khác, trong
máy tính của chúng ta luụn cú những thông tin quan trong khác nhau mà
chúng ta không muốn những người không nên biết được biết đến.

Tìm hiểu về an toàn và bảo mật trên mạng
Giả sử ta không có những dữ liệu cần bảo mật, chúng ta vẫn phải quan
tâm đến an toàn trên mạng vì ngoài tính bảo mật, ta còn phải quan tâm đến
tính toàn vẹn và sẵn sàng của dữ liệu. Nếu như dữ liệu của ta không cần bảo
mật, chúng ta vẫn có nguy cơ trong trường hợp dữ liệu bị xoá hay bị sửa đổi
đi. Hậu quả là chúng ta sẽ phải tốn rất nhiều thời giờ và tiền bạc để khôi
phục lại dữ liệu. Ngoài ra nếu an toàn mạng bị phỏ, thỡ nhà quản trị tiêu tốn
rất nhiều tiền của và công sức cho việc khôi phục lại hiện trạng cho mạng
như ban đầu.
1.2. Nguồn tài nguyên
Hầu hết mọi người muốn sử dụng những chiếc máy tính của chính
mình và buộc người khác phải trả chi phí khi sử dụng máy tính của họ.
Nhưng không ai có thể đòi hỏi điều này đối với những kẻ xâm nhập trái
phép. Chúng ta phải tiêu tốn rất nhiều thời gian và tiền bạc cho tài nguyên và
ta có quyền quyết định chúng phải được sử dụng như thế nào.
Hơn nữa, trên thực tế, trong các cuộc tấn công tên Internet, kẻ tấn
công sau khi đã làm chủ được hệ thống bên trong có thể sử dụng sử dụng
cỏc mỏy này để phục vụ cho mục đích của họ như chạy các chương trình dò
mật khẩu người dùng, sử dụng các liên kết mạng sẵn có để tiếp tục tấn công
các hệ thống khác v.v
1.3. Danh tiếng của chúng ta
Trong một số trường hợp, các hacker ăn cắp user của mạng máy tính
của chúng ta rồi dựng nú để truy nhập Internet và thực hiện các cuộc tấn
công vào các mạng máy tính khác. Trong hầu hết các trường hợp, các mạng
bị tấn công đó sẽ gọi đến mạng chúng ta và chất vấn về việc có người dùng
ở đây xâm nhập vào mạng của họ. Điều này sẽ ảnh hưởng rất lớn đến uy tín
của mạng.
Tìm hiểu về an toàn và bảo mật trên mạng
Đôi khi, những kẻ mạo danh cũn dựng thư điện tử của mạng chúng ta
để gửi những thư có nội dung xấu đến các nơi khác. Điều này cũng có ảnh

hưởng rất xấu đến mạng của chúng ta.
2. Những nguy hiểm hệ thống phải đương đầu
2.1. Những kiểu tấn công
Có rất nhiều kiểu tấn công khác nhau vào hệ thống, và có nhiều cách
để phân loại chúng. Trong phần này, ta chia các kiểu tấn công thành 3 loại :
xâm nhập, từ chối dịch vụ và ăn cắp thông tin
a. Xâm nhập
Kiểu tấn công vào hệ thống thông thường nhất là xâm nhập
(intrusions), bằng xâm nhập, tin tặc có khả năng sử dụng những máy tính
của hệ thống như những người quản lý hệ thống thực sự.
Tin tặc có hàng chục con đường để xâm nhập vào. Chúng có thể dùng
kiểu tấn công bằng mánh lới (tìm hiểu tên tuổi của người lãnh đạo cấp cao
của công ty, sau đó giả danh là người đó gọi điện đến người quản trị hệ
thống yêu cầu đổi mật khẩu truy cập) hay dựng cỏch đoỏn mật khẩu (sử
dụng việc thử hàng loạt tên và mật khẩu khác nhau để tìm ra tên và mật khẩu
đúng) và có thể dựng cỏc cỏch phức tạp để truy nhập vào mạng mà không
cần dùng tên và mật khẩu.
Tường lửa có thể chống lại kiểu tấn công bằng xâm nhập. Một cách lý
tưởng, tường lửa khoá tất cả các đường vào hệ thống nếu như không biết tên
và mật khẩu. Khi được cài đặt hoàn hảo, nó làm giảm số lượng tài khoản có
khả năng truy cập từ bên ngoài, do đó làm giảm nguy cơ tấn công bằng đoán
mật khẩu hay dựng mỏnh khoộ. Nhiều hệ thống thiết kế tường lửa chỉ cho
Tìm hiểu về an toàn và bảo mật trên mạng
phép mật khẩu đưa vào một lần mà thôi, nếu như sai mật khẩu thì lập tức từ
chối truy nhập ngay lập tức để tránh việc đoán mật khẩu.
b. Từ chối dịch vụ
Kiểu tấn công từ chối dịch vụ là kiểu tấn công hệ thống bằng cách
ngăn cản người dùng sử dụng các dịch vụ của hệ thống
Tin tặc làm tràn ngập hệ thống mạng bằng những thông điệp, hay
những yêu cầu hệ thống làm cho mạng phải mất nhiều thời gian để trả lời

những thông điệp và yêu cầu đó, mạng sẽ có thể bị nghẽn vì quá tải.
Trong khi làm tràn ngập là một cách thức thông thường và đơn giản
nhất để tiến hành tấn công từ chối dịch vụ, tin tặc thông minh hơn có thể làm
vô hiệu hoỏ cỏc dịch vụ, thay đổi đường dẫn hay thay thế chúng.
Khó có thể tránh được tất cả các cuộc tấn công từ chối dịch vụ. Ví dụ
rất nhiều mạng thiết kế để người dùng sẽ bị khoá sau một số lần truy cập sai.
Thiết kế như vậy để bảo vệ kiểu tấn công bằng cách đoán mật khẩu. Nhưng
mặt khác, nó tạo cơ hội cho tin tặc tấn công bằng từ chối dịch vụ. Nú khoỏ
tài khoản của bất kỳ người dùng nào bằng cách thử truy nhập vào mạng
nhiều lần bằng tài khoản đó.
Nguy cơ của việc bị tấn công bằng từ chối dịch vụ là không thể tránh
khỏi. Nếu hệ thống chấp nhận việc nhận thông tin từ bên ngoài : thư điện tử,
gói tin thì rất có khả năng hệ thống sẽ bị làm nghẽn. Điều quan trọng là
khi thiết lập những dịch vụ, phải đảm bảo rằng nếu như một dịch vụ bị
nghẽn (flooded) thì phần còn lại của hệ thống vẫn phải hoạt động đồng thời
với việc tìm kiếm và sửa chữa lỗi.
c. Ăn cắp thông tin
Tìm hiểu về an toàn và bảo mật trên mạng
Một số kiểu tấn công cho phép tin tặc lấy được dữ liệu mà không cần
trực tiếp sử dụng máy tính của hệ thống. Dữ liệu đó có thể là tài khoản của
người dùng là tên truy nhập và mật khẩu. Tin tặc có thể lấy được dữ liệu đó
bằng cách nối trộm thiết bị vào mạng và thu lấy tất cả thông tin đi qua.
Thông tin về tên truy nhập và mật khẩu thường dễ dàng đoán ra ở ngay
thông tin tương tác ban đầu trong rất nhiều mạng máy tính. Việc nối trộm
vào mạng để dò la thông tin thường được gọi là sniffing.
3. Các phương pháp để bảo vệ hệ thống
Ở trên là liệt kê một loạt các kiểu tấn công. Thông thường người quản
trị mạng chọn rất nhiều kiểu bảo mật, từ kiểu bảo mật gọi là “ Bảo mật qua
việc che giấu” và bảo mật máy chủ , đến bảo mật cho toàn mạng.
3.1. Bảo mật qua việc che giấu

Một kiểu bảo mật được sử dụng thông thường là “bảo mật qua việc
che giấu”. Với kiểu bảo mật này, hệ thống được an toàn đơn giản là không ai
biết gì về nó : sự tồn tại của nó, nội dung bên trong, các biện pháp bảo mật
hay những cỏi khỏc. Kiểu này thường khó có thể làm việc được lõu vỡ có rất
nhiều cách để tìm ra một hệ thống.
Nhiều người cho rằng thậm chí khi tin tặc tìm thấy hệ thống, chúng
cũng không thèm để ý đến khi thấy đó chỉ là một mạng máy tính nhỏ. Trong
thực tế thì lại khác. có rất nhiều tin tặc nhằm vào bất kỳ hệ thống nào nếu có
thể. Đối với chúng, những mạng nhỏ được coi là những mục tiêu dễ tấn công
nhất.
3.2. Bảo mật máy chủ
Kiểu bảo mật máy chủ là kiểu hay sử dụng nhất hiện nay. Theo kiểu
này, hệ thống thiết lập bảo mật cho từng máy chủ một cách riêng rẽ. Khó
Tìm hiểu về an toàn và bảo mật trên mạng
khăn lớn nhất cho kiểu bảo mật này là nó rất phức tạp khi thiết lập cho
những hệ thống lớn. Những hệ thống hiện đại bao gồm nhiều máy chủ từ
nhiều nhà cung cấp khác nhau, chạy với nhiều hệ điều hành khác nhau, và
mỗi máy chủ với hệ điều hành khác nhau đó sẽ có vấn đề riêng về bảo mật.
Thậm chí khi hệ thống chỉ gồm máy chủ từ một nhà cung cấp, việc sử dụng
các phiên bản khác nhau của một hệ điều hành sẽ dẫn đến nhiều vấn đề về
bảo mật khác nhau. Ngay cả khi những máy chủ đó chạy cùng một phiên
bản của hệ điều hành, các cài đặt khác nhau (các dịch vụ chạy trờn cỏc mỏy
là khác nhau) có thể gây ra các vấn đề về bảo mật khác nhau.
Kiểu bảo mật máy chủ chỉ nên áp dụng ở những hệ thống mạng nhỏ,
hay ở những hệ thống đòi hỏi phải được bảo mật thật cao. Tuy nhiên mọi
mạng thực sự đều cần vài mức bảo mật máy chủ trong toàn bộ kế hoạch bảo
mật. Thậm chí khi hệ thống sử dụng kiểu bảo mật toàn mạng (được trình bày
ở phần tiếp theo), một số thiết lập áp dụng kiểu bảo mật máy chủ cũng rất có
ích. Ví dụ như một hệ thống mạng được bảo vệ bởi một bức tường lửa thì
cũng có một số phần của hệ thống phải đứng ngoài tường lửa để liên hệ với

các mạng khác cần được bảo mật theo kiểu bảo mật máy chủ. Vấn đề là nếu
chỉ một kiểu bảo mật máy chủ thụi thỡ sẽ không đạt hiệu quả về kinh tế (trừ
những hệ thống nhỏ, đơn giản); nó đòi hỏi quá nhiều hạn chế và nhiều người
để vận hành.
3.3. Bảo mật toàn mạng
Khi hệ thống mạng luôn thay đổi và phát triển, và khi việc bảo mật
chúng theo kiểu bảo mật từng máy chủ càng ngày càng khó khăn, rất nhiều
mạng đã chuyển sang kiểu bảo mật toàn mạng. Với kiểu bảo mật toàn mạng,
hệ thống tập trung vào quản lý truy nhập mạng cho rất nhiều máy chủ và các
dịch vụ chạy ở trên các máy chủ đó chứ không bảo mật từng máy chủ một.
Tìm hiểu về an toàn và bảo mật trên mạng
Phương pháp bảo mật toàn mạng bao gồm xây dựng tường lửa để bảo vệ hệ
thống mạng bên trong, sử dụng việc kiểm tra quyền truy cập một cách chặt
chẽ( như vào mật khẩu một lần), và sử dụng mó hoỏ để bảo vệ những dữ liệu
quan trọng khi dữ liệu đó truyền trên mạng.
Một hệ thống mạng dùng phương pháp bảo mật toàn mạng sẽ đạt
được hiệu quả rất lớn. Ví dụ một tường lửa bảo vệ mạng có thể bảo vệ hàng
trăm, hàng ngàn những máy tính chống lại sự tấn công từ bên ngoài mà
không hề cần đến mức bảo vệ từng máy chủ cho từng máy tính.
4. Tường lửa Internet
Như đã nói trên, tường lửa là một kiểu bảo mật hữu hiệu trong bảo
mật hệ thống. Phần này đề cập ngắn gọn về tác dụng của tường lửa đối với
bảo mật mạng máy tính.
Trong xây dựng, một tường lửa được thiết kế để ngăn lửa không cháy
lan từ một phần của ngôi nhà đến các phần khác. Về nguyên lý, một tường
lửa Internet thực hiện cùng công việc đú : nú ngăn những nguy hiểm của
Internet lan sang mạng máy tính của chúng ta. Trong thực tế, một tường lửa
Internet giống như một cái hào của lâu đài thời Trung cổ hơn là tường lửa
trong xây dựng. Nó thực hiện các chức năng sau:
• Nó hạn chế người đi vào tại những điểm cần kiểm soát cẩn thận

• Nó ngăn cản những tin tặc lại gần những điểm cần bảo vệ
• Nó hạn chế người đi ra tại những điểm cần kiểm soát cẩn thận
Một tường lửa Internet thường được thiết lập tại điểm kết nối giữa
mạng bên trong và Internet. Như hình vẽ :
Tìm hiểu về an toàn và bảo mật trên mạng
Tất cả dòng thông tin đi từ Internet vào hay đi từ mạng bên trong ra
đều phải qua tường lửa, do đó tường lửa có khả năng đảm bảo những thông
tin đó là tin cậy.
Một tường lửa có chức năng chia, hạn chế và phân tích thông tin.
Thông thường, một tường lửa là một tập hợp của các thiết bị phần cứng :
một bộ dẫn đường (router), một máy tính chủ, hay là một sự kết hợp của các
router, máy tính và mạng với phần mềm thích hợp. Có rất nhiều cách thức để
định cấu hình những thiết bị đó và điều này phụ thuộc vào chiến lược, ngân
quỹ của từng mạng.
Một tường lửa ít khi là một thực thể vật lý đơn chiếc, thông thường
một tường lửa bao gồm nhiều phần, và một số trong đó thực hiện các nhiệm
vụ khác bên cạnh chức năng là một phần của tường lửa. Kết nối với Internet
hầu như luôn là một phần của tường lửa.
4.1 Tường lửa có thể làm gì
Tường lửa có thể làm nhiều việc trong việc bảo mật mạng. Dưới đây
là liệt kê một số ưu điểm của việc sử dụng tường lửa
a. Một tường lửa là trung tâm cho những quyết định bảo mật
Tìm hiểu về an toàn và bảo mật trên mạng
Tường lửa giống như một điểm kiểm tra. Tất cả dòng thông tin vào và
ra phải qua một điểm kiểm tra duy nhất. Hệ thống có khả năng bảo mật lớn
vì tường lửa cho phép hệ thống tập trung những biện pháp bảo mật vào điểm
kiểm tra này, điểm mà mạng bên trong nối với Internet.
b. Một tường lửa có thể thi hành những chính sách bảo mật
Rất nhiều những dịch vụ mà người dùng mong muốn từ Internet
thường là không an toàn. Một tường lửa giống như một cảnh sát giao thông

cho những dịch vụ đú. Nú thi hành những chính sách bảo mật của mạng, chỉ
cho phép những dịch vụ đã được duyệt đi qua và chỉ những dịch vụ đó mà
thôi.
c. Một tường lửa có thể ghi lại những hoạt động của mạng một
cách hữu hiệu
Với một điểm truy cập, tường lửa có thể ghi lại tất cả các sự kiện xảy
ra giữa mạng bên trong và mạng bên ngoài.
4.2 Tường lửa không thể làm những gì
Tường lửa đưa ra những bảo vệ hoàn hảo chống lại những nguy cơ
với mạng máy tính, những chúng không thể giải quyết hoàn toàn các vấn đề
bảo mật. Một số nguy cơ nằm ngoài phạm vi kiểm soát của tường lửa. Hệ
thống cần phải đưa ra các phương pháp khác để chống lại các nguy cơ đó
như kết hợp các phương pháp bảo mật vật lý, bảo mật máy chủ và đào tạo
người sử dụng trong kế hoạch bảo mật toàn bộ hệ thống. Một số điểm yếu
của tường lửa được liệt kê dưới đây
a. Một tường lửa không thể bảo vệ hệ thống chống lại tấn công
từ những người trong nội bộ
Tìm hiểu về an toàn và bảo mật trên mạng
Nếu như tin tặc ở ngay trong tường lửa thì tường lửa không thể làm gì
được. Người dùng ở bên trong mạng có thể ăn cắp dữ liệu, làm hư hại phần
cứng và phần mềm, và có thể sửa đổi chương trình mà không đến gần tường
lửa. Nguy cơ từ bên trong đòi hỏi hệ thống phải có những phương pháp bảo
mật bên trong, như là máy chủ pháo đài hay nâng cao cảnh giác của người
dùng.
b. Một tường lửa không thể bảo vệ hệ thống với những kết nối
không đi qua tường lửa
Một tường lửa có thể quản lý hiệu quả những luồng thông tin đi qua;
tuy nhiên tường lửa không thể làm gì với những luồng thông tin không qua
nó. Ví dụ nếu như một hệ thống mạng cho phép truy nhập bằng phương
pháp quay số vào mạng bên trong ở sau tường lửa thì tường lửa rõ ràng

không có cách gì ngăn cản tin tặc dùng modem nối vào.
c. Một tường lửa không thể ngăn cản những nguy cơ hoàn
toàn mới
Một tường lửa được thiết kế để ngăn cản những nguy cơ đã biết. Một
tường lửa được thiết kế tốt có thể bảo vệ hệ thống chống lại nhiều nguy cơ
mới. ( Ví dụ bằng việc từ chối tất cả các dịch vụ khác, chỉ cho phép một số
dịch vụ tin cậy đi qua, tường lửa sẽ ngăn chặn người dùng thiết lập các dịch
vụ mới không an toàn). Tuy nhiên, không tường lửa nào có thể tự động bảo
vệ hệ thống chống lại mọi nguy cơ mới đang ngày càng tăng lên. Càng ngày
tin tặc càng nghĩ ra nhiều cách thức mới để tấn công vào mạng máy tính, do
đó không thể chỉ xây dựng tường lửa một lần mà có thể đảm bảo nó sẽ bảo
vệ hệ thống mãi mãi.
d. Một tường lửa không thể bảo vệ chống lại virus
Tìm hiểu về an toàn và bảo mật trên mạng
Tường lửa không thể kiểm soát virus trên mạng. Mặc dù nhiều tường
lửa quét tất cả luồng thông tin để quyết định xem thông tin nào được phép đi
qua tường lửa vào hệ thống mạng bên trong, nhưng việc quét này chỉ nhằm
xác định địa chỉ nguồn, địa chỉ đích và cổng mà dữ liệu sẽ gửi đến mà thôi,
chứ không xác định chi tiết về dữ liệu đó. Thậm chí với những phần mềm
lọc gói dữ liệu tinh vi hay những phần mềm proxy, việc bảo vệ chống lại
virus ở tường lửa không thực tế lắm. Đơn giản là vì có quá nhiều loại virus
và quá nhiều cách thức mà virus có thể ẩn trong dữ liệu.
4.3 Lựa chọn phương án mua hay xây dựng tường lửa
Ngày nay, một hệ thống mạng muốn có một tường lửa, thì hệ thống đó
phải lựa chọn hoặc là mua, hoặc là tự xây dựng lấy. Trong vài năm gần đây,
rất nhiều tường lửa được đưa ra bán ở thị trường. Những sản phẩm đó ngày
càng tăng về số lượng và chức năng với tốc độ rất nhanh, do đó nhiều hệ
thống mạng có thể dễ dàng tìm ra một sản phẩm thích hợp. Tuy nhiên, khi
xây dựng tường lửa, chúng ta phải hiểu rõ là hệ thống cần những gì để quyết
định xem cú nờn mua tường lửa hay không hay là chỉ cần dùng những công

cụ mà ta có thể tự xây dựng. Đây là một sự tính toán đòi hỏi phải xem xét
thật kỹ lưỡng. Một mạng có khả năng về tài chính nhưng cú ớt chuyên gia
thường mua sản phẩm tường lửa, trong đó mạng có nhiều chuyên gia nhưng
hạn chế về tài chính có thể tự xây dựng lấy.
5. Các vấn đề bảo mật với các dịch vụ của mạng
Internet
Khi xây dựng bức tường lửa, ta phải xem xét kỹ lưỡng nhiều yếu tố để
quyết định, trong đó việc nghiên cứu kỹ về các vấn đề ta cần bảo mật là
quan trọng nhất.Cỏi mà chúng ta cần bảo vệ là những dịch vụ mà ta sẽ dùng
Tìm hiểu về an toàn và bảo mật trên mạng
hay cung cấp lên mạng Internet. Do đó phần này đi vào xem xét các dịch vụ
của Internet và những vấn đề về bảo mật liên quan.
Có rất nhiều các dịch vụ Internet chuẩn người dùng mạng yêu cầu, và
hầu hết các mạng đều cố gắng cung cấp. Có nhiều lý do quan trọng trong
việc sử dụng các dịch vụ đó. Nếu không có chỳng thỡ việc kết nối với
Internet là vô nghĩa. Nhưng cũng có rất nhiều vấn đề về bảo mật với từng
loại dịch vụ đó.
Có rất nhiều các loại dịch vụ trong Internet, nhưng có 6 dịch vụ cơ
bản quan trọng nhất. Đó là:
• Thư điện tử (SMTP)
• Truyền file (FTP)
• Tin tức trên mạng (NNTP)
• Truy nhập thiết bị từ xa ( Telnet)
• Truy cập World Wide Web (HTTP)
• Dịch vụ cung cấp tên và địa chỉ (DNS) : người dùng về cơ
bản không sử dụng trực tiếp dịch vụ này, nhưng nó nằm dưới 5
dịch vụ trờn vỡ nú chuyển đổi từ tên miền Internet sang địa chỉ
IP và ngược lại.
Cả 6 dịch vụ trên có thể được cung cấp một cách an toàn bằng nhiều
cách khác nhau, bao gồm dùng lọc cỏc gúi hay dùng bức tường lửa proxy sẽ

được đề cập ở phần sau. Việc cung cấp các dịch vụ này cho phép người dùng
có thể truy cập được vào hầu hết các nguồn tài nguyên trên Internet.
5.1 Thư điện tử
Thư điện tử là một trong những dịch vụ mạng cơ bản và thông dụng
nhất. Nó ít khi bị nguy hiểm, nhưng không thể nói là hoàn toàn không bị
Tìm hiểu về an toàn và bảo mật trên mạng
nguy hiểm. Giả mạo thư điện tử là việc dễ dàng thực hiện, và giả mạo thư
điện tử có thể dẫn đến hai kiểu tấn công : tấn công vào thanh danh của mạng
và tấn công vào giao dịch xã hội ( Ví dụ : hacker có thể giả mạo thư của
người quản trị mạng gửi cho người dùng mạng với yêu cầu là đổi password
truy nhập). Ngoài ra, việc gửi thư điện tử có thể gắn với việc gửi kốm cỏc
virus.
Giao thức truyền thư đơn giản (SMTP) là giao thức chuẩn của Internet
dùng cho việc gửi và nhận thư điện tử. SMTP thường không gặp nguy hiểm,
nhưng máy chủ SMTP thì có khả năng bị tấn công. Chương trình chạy trong
máy chủ SMTP để thực hiện dịch vụ thư điện tử thường là phổ dụng, và điều
này làm cho nó dễ là mục tiêu của các hacker.
5.2 Truyền file
Giao thức truyền file (FTP) là một giao thức chuẩn của Internet để
dùng cho việc truyền các file từ máy chủ đến các máy trạm. Nhưng việc cho
phép người dùng sử dụng FTP để truyền file từ máy chủ của mạng sẽ có
nhiều nguy cơ ảnh hưởng đến an toàn của hệ thống mạng. FTP ẩn danh là
một biện pháp phổ thông cho phép người dùng từ xa truy cập vào các file mà
không cho phép họ truy cập tự do vào máy chủ. Khi mạng chạy máy chủ
FTP server, mạng có thể cho phép người dùng gọi ra các file được đặt ở
những vùng công cộng riêng rẽ trong mạng nhưng không cho phép họ truy
nhập vào tất cả hệ thống mạng.
Để truy nhập vào các file trong máy chủ FTP, người dùng truy nhập
vào mạng với tên truy nhập đặc biệt “anonymous”.
Để thiết lập server FTP ẩn danh, mạng phải đảm bảo rằng người dùng

không thể truy cập vào những vựng khỏc và những file khác trong mạng.
Tìm hiểu về an toàn và bảo mật trên mạng
Mạng cũng phải đảm bảo rằng người dùng không thể sử dụng máy
chủ một cách không thích hợp.
5.3 Tin tức thảo luận trên mạng
Dịch vụ này cho phép một người có thể gửi thông điệp cho một nhóm
người về cùng một đề tài họ đang quan tâm trên mạng. TIn tức thảo luận
trên mạng là một phần của Internet, thể hiện dưới dạng những bảng tin, và
được thiết kế cho nhiều giao tiếp cựng lỳc. Mọi người có thể gửi thông điệp
của mình lên bảng tin đó để nhiều người khác có thể đọc được. Kiểu trao đổi
thông tin này rất giống với thư điện tử, nhưng trong khi thư điện tử chỉ gửi
được cho một hoặc một số ít người thì tin tức thảo luận trên mạng có thể gửi
cho hàng ngàn người.
Nguy cơ của thảo luận trên mạng cũng giống như thư điện tử: người
dùng tin tưởng vào những thông tin sai trên đó ; người dùng có thể tiết lộ
những thông tin bí mật; và hệ thống mạng có thể bị làm nghẽn. Tin tức thảo
luận thường gây nghẽn mạch vì số lượng các tin tức nhận về là rất lớn,
thuờng hầu hết các mạng nhận được hàng trăm Megabyte thông tin mỗi
ngày, và số lượng đó càng ngày càng tăng. Do đó khi thiết lập dịch vụ này,
mạng phải được định dạng sao cho không để các dịch vụ khác bị nghẽn.
Giao thức truyền tin tức mạng (NNTP) được sử dụng để truyền tin tức
thảo luận trên mạng. Khi cài đặt máy chủ phục vụ dịch vụ tin tức thảo luận,
phải thực hiện bảo mật cao nhất để đảm bảo cho NNTP không thể tấn công
vào mạng. Một số mạng cài đặt máy chủ pháo đài để bảo mật cho dịch vụ
này.
Tìm hiểu về an toàn và bảo mật trên mạng
5.4 Truy cập đầu cuối từ xa
Những chương trình cung cấp truy cập đầu cuối từ xa cho phép hệ
thống sử dụng hệ thống từ xa giống như là hệ thống được kết nối trực tiếp
Telnet là một chuẩn cho truy cập đầu cuối từ xa trên Internet. Telnet

cho phép hệ thống cung cấp truy cập từ xa cho người dùng từ bất kỳ site nào
được nối với Internet mà không phải cài đặt gì đặc biệt.
Telnet đã được coi là một dịch vụ tương đối an toàn vì mỗi người
dùng đều phải cung cấp tên và mật khẩu của họ để truy cập vào. Nhưng
không may là Telnet gửi tất cả thông tin đi mà không mó hoỏ, và điều này
làm cho nó rất dễ bị tấn công. Vì lý do đó, giờ đây Telnet được coi là một
trong những dịch vụ nguy hiểm nhất khi sử dụng để truy nhập vào hệ thống
từ những mạng từ xa. Telnet được an toàn chỉ khi máy từ xa và tất cả mạng
giữa nó và máy nội bộ an toàn. Điều này có nghĩa là Telnet không an toàn
trên mạng Internet. Nhưng mặt khác, Telnet cũng thật sự có ích và kinh tế
khi là một phương pháp truy cập từ xa khi người sử dụng thường xuyên phải
đi xa. ở những nơi mà sử dụng modem còn khó khăn, chậm và đắt tiền thì sử
dụng kết nối Internet qua Telnet là một biện pháp tốt nhất.
5.5 The World Wide Web
Mail, FTP, Telnet xuất hiện từ những ngày đầu tiên của Internet, còn
World Wide Web (WWW) là một khái niệm mới và hoàn toàn dựa trên nền
Internet, dựa vào một phần của những dịch vụ có sẵn, và một phần vào một
giao thức mới, giao thức truyền siêu văn bản (HTTP)
WWW là một tập hợp của những máy chủ HTTP trên Internet. Ngày
nay có rất nhiều tổ chức và cá nhân phát triển Web cho người dùng và phần
mềm cho máy chủ. Web sử dụng công nghệ liên kết siêu văn bản để kết nối
Tìm hiểu về an toàn và bảo mật trên mạng
những trang web của tài liệu với nhau. Những tài liệu này bao gồm văn bản,
hình ảnh, các tệp âm thanh, các tệp phim, và nhiều khuôn dạng khác. Liên
kết siêu văn bản cho phép kết nối từ một tài liệu tới những tài liệu khỏc trờn
Internet. Người dùng có thể chuyển tự do từ tài liệu này đến tài liệu khác mà
không cần quan tâm đến những tài liệu đó được đặt ở đâu, bằng cách kích
chuột vào một từ hay một hình ảnh đã được gán đó là liên kết.
HTTP là một giao thức ứng dụng sơ cấp làm cơ sở cho World Wide
Web: nó cung cấp cho người dùng khả năng truy cập tới những tệp tạo nên

Web. Như đề cập ở trên, những tệp đó có thể có nhiều khuôn dạng khác
nhau ( văn bản, hình ảnh, âm thanh, phim ), nhưng khuôn dạng thông
thường nhất trên Web là Ngôn ngữ siêu văn bản (HTML). HTML là một
ngôn ngữ mô tả trang được chuẩn hoá để tạo những trang Web.
Trình duyệt Web là một chương trình được chạy trên máy tính của
người dùng sử dụng dịch vụ Web dùng để xem các trang Web. Nhưng
những trình duyệt Web và máy chủ Web lại khó có thể bảo mật. Sự hữu ích
của Web phần lớn dựa vào tính linh hoạt của nó, nhưng chớnh tớnh linh hoạt
lại làm cho việc quản lý khó khăn hơn. Việc các trình duyệt Web dễ dàng
lấy về và chạy các chương trình trờn mỏy từ Internet gây ra nguy cơ có thể
các trình duyệt Web đưa về và chạy các chương trình nguy hiểm.
5.6 Dịch vụ cung cấp tên miền (DNS)
Dịch vụ cung cấp tên miền là dịch vụ chuyển đổi giữa tên của máy
chủ mà người dùng sử dụng với địa chỉ IP mà máy tính dùng. Trong thời
gian đầu của Internet, mỗi mạng đều có một bảng danh sách các máy chủ,
trong đó liệt kê tất cả cỏc tờn và địa chỉ số của những máy tính trên Internet
mà họ quan tâm. Do có hàng triệu máy chủ trên Internet nên việc mỗi mạng
máy tính có một bảng danh sách máy chủ của tất cả cỏc mỏy trờn Internet là
Tìm hiểu về an toàn và bảo mật trên mạng
không thực tế. Thay vào đó, dịch vụ cung cấp tên miền (DNS) cho phép mỗi
mạng máy tính giữ thông tin về các máy chủ của mạng đó, và có thể tìm
kiếm thông tin về các mạng khác. DNS không là mức dịch vụ người dùng,
nhưng nó là cơ sở cho các dịch vụ khác như SMTP, FTP, Telnet bởi vì
người dùng muốn gõ vào là “ telnet fictional.com “ hơn là gõ vào “ telnet
10.100.242.32”. Hơn nữa, nhiều máy chủ FTP ẩn danh không cho phép kết
nối từ người dùng trừ khi họ dùng DNS để tỡm tờn máy chủ, và truy cập
vào.
Kết quả cuối cùng là hệ thống mạng phải dùng và cung cấp dịch vụ
cung cấp tên miền để có thể kết nối với Internet . Nguy cơ chính khi cung
cấp dịch vụ DNS là có thể hệ thống đưa nhiều thông tin ra ngoài hơn dự

định. Ví dụ DNS cho phép chúng ta đưa kèm thông tin về phần cứng và
phần mềm đang sử dụng mà thông tin này chúng ta không muốn tin tặc biết
được. Trên thực tế, thậm chí hệ thống mạng không muốn tin tặc biết được
tên của tất cả các máy tính bên trong.
5.7 Những dịch vụ quản lý mạng
Có rất nhiều dịch vụ dùng để quản lý và duy trì mạng; đó là những
dịch vụ mà hầu hết người dùng không sử dụng, nhưng chúng là những công
cụ rất quan trọng cho người quản trị mạng.
Hai công cụ thông dụng nhất để quản trị mạng là ping và traceroute.
Chúng không có giao thức riêng mà sử dụng cùng giao thức nền là ICMP
( Giao thức thông điệp điều khiển Internet). ICMP là một giao thức bổ sung
ở mức thấp, một phần của giao thức TCP/IP mà tất cả người dùng Internet
đều sử dụng.
Tìm hiểu về an toàn và bảo mật trên mạng
Ping dùng để kiểm tra sự đến của cỏc gúi tin; nó cho ta biết cỏc gúi
tin có đi đến được một máy chỉ định không, thời gian mà cỏc gúi đi đến và
quay về máy của ta là bao nhiêu. Traceroute cho ta biết chi tiết hơn ping,
ngoài sự đến và thời gian truyền của cỏc gúi tin, cũn cú thờm thông tin về
đường truyền của cỏc gúi tin để đến được máy chỉ định. Traceroute rất có
ích cho việc phân tích và sửa lỗi của đường truyền giữa hệ thống mạng và
các mạng khác. Không có nhiều nguy cơ bên ngoài gây ra với ping và
traceroute, chúng có thể được dùng để tấn công kiểu từ chối dịch vụ, nhưng
cũng không nhiều hơn so với các giao thức khác. Nguy cơ lớn hơn là chúng
có thể được sử dụng để kiểm tra sự tồn tại của các máy chủ trong hệ thống
mạng, trước khi tấn công vào các máy chủ đú. Vỡ lý do này mà nhiều mạng
ngăn cản hoặc hạn chế những gói tin giống vậy đi vào.
Giao thức quản lý mạng đơn giản (SNMP) là một giao thức được thiết
kế để quản lý những thiết bị mạng ( router, bridge, hub và rộng hơn là
máy chủ). Dùng giao thức này có thể từ một máy trạm điều khiển các chức
năng của thiết bị mạng. Nguy cơ với giao thức SNMP là tin tặc có thể nắm

quyền kiểm soát các thiết bị mạng và có thể định dạng lại cấu hình của
chúng, làm cho hệ thống bị sai, hỏng
6. Các kỹ thuật, thiết bị và phương pháp dùng để
xây dựng tường lửa
Như đã trình bày ở trên, một tường lửa là một tập hợp của các thiết bị
phần cứng : một router, một máy tính chủ, hay là một sự kết hợp của các
router, máy tính và mạng với phần mềm thích hợp. Nói rộng hơn, tường lửa
là một sự kết hợp giữa phần cứng và phần mềm để kiểm soát việc trao đổi
thông tin giữa mạng cần bảo vệ và mạng Internet bên ngoài, hay giữa những
Tìm hiểu về an toàn và bảo mật trên mạng
phần của mạng với nhau. Phần này trình bày một loạt các kỹ thuật, các thiết
bị phục vụ cho việc xây dựng tường lửa.
Dưới đây là một số những định nghĩa cơ bản:
Firewall : Tường lửa
Router : bộ dẫn đường, là một thiết bị phần cứng dùng để kết nối giữa
các mạng máy tính với nhau.
6.1 Các giải pháp phần mềm cho tường lửa
6.1.1 Phương pháp lọc gói dữ liệu
a. Giới thiệu
Lọc gói dữ liệu là một kỹ thuật bảo mật mạng. Nó quyết định dữ liệu
nào có thể truyền và nhận trên mạng .
Để thực hiện việc truyền thông tin trên mạng, thông tin thường được
phân chia thành những gói nhỏ, mỗi gói được truyền đi riêng biệt với nhau.
Việc phân chia thông tin thành gói cho phép nhiều hệ thống có thể chia sẻ
đường truyền, lần lượt từng hệ thống gửi đi những gúi trờn đường truyền.
Phần đầu của mỗi gói dữ liệu có chứa các thông tin sau:
• Địa chỉ IP nguồn
• Địa chỉ IP đích
• Giao thức truyền( gói dữ liệu này thuộc giao thức nào, hay
thuộc dịch vụ nào)

Lọc gói dữ liệu căn cứ vào các thông tin này mà từ đó thực hiện việc
điều khiển quyết định gói dữ liệu nào được truyền qua.
Tìm hiểu về an toàn và bảo mật trên mạng
Kỹ thuật lọc gói dữ liệu thường được thiết kế trong các bộ dẫn đường
router là thiết bị cơ bản để liên kết giữa các mạng IP .Cỏc gúi dữ liệu được
truyền từ router này đến router khác cho đến khi nó tới được đích.
Router thực hiện việc chỉ đường cho mỗi gói dữ liệu mà nó nhận
được. Mỗi router có chứa bảng đường truyền trong bộ nhớ và router dựng
chỳng để thực hiện việc truyền cỏc gúi tin nhận được đến đích. Trong router
lọc gói dữ liệu, khi nhận được gói dữ liệu, nó không truyền ngay đến đích
mà kiểm tra xem gói dữ liệu này có được phép truyền không, bằng cách dựa
vào các luật (rule) đã được thiết lập trong hệ thống. Cỏc gúi dữ liệu không
hợp lệ sẽ bị giữ lại và cũng không gửi phản hồi lại cho nơi phát.
Hình aa.2 Lọc gói dữ liệu dùng router có lọc
b. Các ưu điểm của lọc gói dữ liệu
1. Một router lọc gói dữ liệu có thể bảo vệ cả một hệ thống
Một trong những ưu điểm chính của lọc gói dữ liệu là một router được
thiết lập tốt có thể bảo vệ cả một hệ thống. Nếu như chỉ có một router để nối
giữa mạng và Internet, hệ thống có được khả năng to lớn trong việc bảo mật,
Tìm hiểu về an toàn và bảo mật trên mạng
không phụ thuộc vào kích cỡ của hệ thống mạng, bằng việc sử dụng lọc gói
dữ liệu trong router.
2. Lọc gói dữ liệu đơn giản trong sử dụng
Lọc gói dữ liệu không cần bất kỳ phần mềm bổ trợ nào và cũng không
phải định dạng cho máy chủ. Các thao tác của người dùng vẫn như vậy,
không đòi hỏi bất kỳ yêu cầu nào đối với người dùng trong mạng. Thậm chí
người dùng trong mạng không biết đến sự có mặt của việc lọc gói dữ liệu
trong hệ thống, trừ khi họ gửi đi những dữ liệu không hợp lệ với các luật
được thiết lập trong router lọc gói dữ liệu.
3. Lọc gói dữ liệu được sử dụng rộng rãi ở rất nhiều router

Kỹ thuật lọc gói dữ liệu được sử dụng rộng rãi ở nhiều sản phẩm phần
cứng và phần mềm. Hầu hết các router trong các hệ thống mạng đều có tính
năng lọc gói dữ liệu.
c. Yếu điểm của phương pháp lọc gói dữ liệu
1. Những công cụ lọc gói dữ liệu chưa thật sự hoàn hảo
• Những luật trong lọc gói dữ liệu khó thiết lập
• Khi thiết lập xong,cỏc luật để lọc gói dữ liệu khó có thể
kiểm tra được
• Tính năng lọc gói dữ liệu trong nhiều sản phẩm không đầy
đủ, làm cho việc bổ sung thờm cỏc kiểu lọc với yêu cầu cao
hơn khó hay nhiều lúc không thể làm được.
• Cỏc gói dữ liệu sau khi lọc có thể có lỗi
2. Một số giao thức không tương thích với lọc gói dữ liệu
Tìm hiểu về an toàn và bảo mật trên mạng
Một số giao thức không tương thích với lọc gói dữ liệu, do đó sẽ có
lỗi khi dữ liệu dùng giao thức đó truyền qua bộ lọc.
3. Một số luật không thể dễ dàng thực hiện được với các router lọc gói dữ
liệu thông thường
Do hạn chế trong thông tin mà router lọc gói dữ liệu có được, một số
luật không thể thực hiện được. Ví dụ như cỏc gúi chỉ cho biết địa chỉ đến,
chứ không cho biết tên người dùng gửi thông tin, do đó không thể hạn chế
những người dùng khác nhau.
Router lọc gói dữ liệu thường được gọi là router có lọc (screened
router). Nú chớnh là router thông thường cú thờm tính năng lọc gói dữ liệu.
6.1.2 Đặt cấu hình cho router có lọc
Để đặt cấu hình cho router có lọc, chúng ta phải quyết định loại dịch
vụ nào được phép truyền và loại dịch vụ nào bị loại bỏ, sau đó chuyển những
quyết định đó thành những luật cho cỏc gúi tin. Phần này đưa ra một số khái
niệm chung mà ta cần ghi nhớ khi chuyển những quyết định về các loại dịch
vụ thành những luật cho cỏc gúi tin.

a. Các giao thức thường là hai hướng
Các giao thức truyền thường có hai hướng; đó là một hướng gửi yêu
cầu hay lệnh và hướng ngược lại để trả lời. Do đó khi ta đưa ra các luật, ta
phải nhớ là cỏc gúi tin đi theo hai chiều.
b. Chế độ mặc định cho router nên là từ chối
Thông thường khi thiết lập các luật, khi loại hình dịch vụ nào ta không
đề cập đến trong các luật thì loại hình đó sẽ nhận được giá trị mặc định của
router. Nếu router để chế độ mặc định là cho phép thì rất dễ gây nguy hiểm
Tìm hiểu về an toàn và bảo mật trên mạng
cho hệ thống vỡ cỏc loại dịch vụ mới có thể đi qua lọc gói dữ liệu xâm nhập
vào. Do đó tốt hơn cả là chế độ mặc định của router là từ chối, sau đó ta thiết
lập các luật cho từng dịch vụ mà ta quan tâm.
6.1.3 Phương pháp dùng máy chủ đại diện (proxy server)
Nguyên lý của phương pháp này là dùng một máy chủ, được cài đặt
một chương trình chuyên dụng là “proxy program” để trở thành máy chủ đại
diện. Máy chủ này có thể là máy chủ có hai giao diện “dual-home host” với
một giao diện kết nối với mạng bên trong và một giao diện kết nối với mạng
bên ngoài hay có thể là máy chủ pháo đài “bastion host” có quyền truy nhập
vào Internet và cỏc mỏy khỏc có thể truy nhập vào nó. Chương trình proxy
chạy trên máy chủ đại diện tiếp nhận các yêu cầu dịch vụ của các máy trạm
bên trong mạng, gửi những yêu cầu đó đi ra bên ngoài tuỳ thuộc vào các luật
bảo mật của mạng, và sau đó lại gửi trả lại kết quả cho các máy trạm. Như
vậy máy chủ đại diện như là một cổng kết nối giữa mạng bên trong và mạng
bên ngoài.
Máy chủ đại diện như tên gọi, là trung gian cho các giao tiếp dịch vụ
giữa các máy trạm trong mạng và Internet. Thay cho việc dựng cỏc dịch vụ
Internet trực tiếp, từng máy trạm làm việc với máy chủ đại diện. Máy chủ
đại diện thực hiện tất cả giao tiếp giữa người dùng và những dịch vụ Internet
một cách bí mật.

×