Tải bản đầy đủ (.pdf) (93 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Báo cáo khoa học

PHIẾU GIAO ĐỀ TÀI KHÓA LUẬN TỐT NGHIỆP

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (30.7 MB, 93 trang )

PHIẾU GIAO ĐỀ TÀI KHÓA LUẬN TỐT NGHIỆP
1.

Mỗi sinh viên phải viết riêng một báo cáo

2.

Phiếu này phải dán ở trang đầu tiên của báo cáo

1. Họ và tên sinh viên/ nhòm sinh viên được giao đề tài (sĩ số trong nhóm: 2)
(1) Ngơ Hiệp Tồn ...................... MSSV: 081652 ................. khóa: 2008-2011
(2) Nguyễn Thị Phương Ngọc..... MSSV: 081651 ................. khóa: 2008-2011
Chuyên ngành : Mạng máy tính

Khoa : Khoa Học - Công Nghệ.........

2. Tên đề tài : Xây dựng Firewall & IPS trên Checkpoint .
3. Các dữ liệu ban đầu:
Firewall và IPS là thành phần bảo mật không thể thiếu trong hệ thống mạng máy tính,
Checkpoint là sản phẩm firewall hàng đầu được dùng rất nhiều trong các mạng máy tính
mà yêu cầu bảo mật được ưu tiên hàng đầu như ngân hàng.
4. Các yêu cầu đặc biệt:
Sinh viên ngành mạng máy tính, có kiến thức bảo mật.
5. Kết quả tối thiểu phải có:
1.Trình bày hoạt động Firewall & IPS
2.Đưa ra giải pháp xây dựng Firewall&IPS trường Hoasen
Ngày giao đề tài:……../………./……… Ngày nộp báo cáo: .…/……/……..
Họ tên GV hướng dẫn 1: Đinh Ngọc Luyện…….……Chữ ký: ………………
Ngày …. tháng … năm

Đinh Ngọc Luyện




i

TRÍCH YẾU
Trong đề án tốt nghiệp về đề tài “Xây dựng Firewall & IPS trên Checkpoint”. Tôi đã
nghiên cứu về sản phẩm Checkpoint, các tính năng quản lí cũng như bảo mật bằng IPS
(Intrusion Prevention Systems). Khác với phiên bản R65, phiên bản R70 đã có nhiều
cải tiến trong giao diện cũng như tính năng nhằm cung cấp một mơi trường làm việc
hiệu quả hơn cho người quản trị hệ thống. Triển khai các tính năng tăng cường bảo
mật như “User Authentication”,”Client Authentication”,”Session Authentication”, hay
sử dụng một Module xác thực “Radius” chứng thực user. Cấu hình các rule để client
trong mạng nội bộ có thể truy xuất dữ liệu vùng DMZ và cho phép client truy xuất
web, thông qua những chính sách mà người quản trị cấu hình trên giao diện
Smart Console. Sử dụng một máy Window Server 2003 kết nối trực tiếp vào Firewall
dùng
hệ điều hành Linux, mọi dữ liệu cấu hình thay đổi diễn ra tại giao diện Smart Console
sẽ được tự động cập nhật trực tiếp lên Firewall Linux. Người quản trị cấu hình các
chính sách(rule) nhằm hạn chế tầm hoạt động của người dùng mạng nội bộ. Sử dụng
triệt để chức năng Chechpoint cung cấp:“IPS”, thay vì “SmartDefense” ở R65, thiết
lập phát hiện và ngăn chặn những phương thức tấn công mạng như HPING, DDoS,
LAND Attack ..v.v..
Theo dõi trạng thái cũng như những diến biến xảy ra trên Firewall thông qua giao diện
SmartView Tracker, và SmartView Monitor. Để phát hiện kịp thời những truy nhập
trái phép hay diễn biến bất thường thông qua tần suất truy nhập đến server.

II


MỤC LỤC

TRÍCH YẾU ................................................................................................................... II
NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN............................................................ 5
NHẬP ĐỀ ........................................................................................................................ 6
GIỚI THIỆU TỔNG QUAN ............................................................................................ 7
LỜI CẢM ƠN.................................................................................................................. 8
CHƯƠNG 1: TỔNG QUAN VỀ BẢO MẬT ................................................................... 9
1.1 Định nghĩa bảo mật mạng.......................................................................................... 9
1.1.1 Các yếu tố cần quan tâm khi phân tích bảo mật mạng ...................................... 10
1.1.2 Các yếu tố cần được bảo vệ.............................................................................. 11
1.2 Các kiểu tấn cơng mạng .......................................................................................... 11
1.2.1 Thăm dị(reconnaissance) ................................................................................. 11
1.2.2 Đánh cắp thống tin bằng Packet Sniffers .......................................................... 11
1.2.3 Đánh lừa (IP spoofing) ..................................................................................... 12
1.2.4 Tấn công từ chối dịch vụ (Denial of services) .................................................. 13
1.2.5 Tấn công trực tiếp password............................................................................. 13
1.2.6 Thám thính(agent)............................................................................................ 13
1.2.7 Tấn cơng vào yếu tố con người: ....................................................................... 13
1.2.8 Các phương thức tấn công D.O.S thông thường ............................................... 14
1.2.9 Phương thức tấn công bằng Mail Relay ............................................................ 16
1.2.10 Phương thức tấn công hệ thống DNS .............................................................. 16
1.2.11 Phương thức tấn công Man-in-the-middle attack ............................................ 17
1.2.12 Phương thức tấn công Trust exploitation ........................................................ 17
1.2.13 Phương thức tấn công Port redirection ........................................................... 17
1.2.14 Phương thức tấn công lớp ứng dụng ............................................................... 18
1.2.15 Phương thức tấn Virus và Trojan Horse ......................................................... 18
1.3 Các mức độ bảo mật................................................................................................ 19
1.3.1 Quyền truy nhập:.............................................................................................. 19
1.3.2 Đăng nhập/Mật khẩu(login/password).............................................................. 19
1.3.3 Mã hóa dữ liệu(Data encryption)...................................................................... 19
1.3.5 Bức tường lửa (firewall)................................................................................... 20

1.4 Các biện pháp bảo vệ an toàn hệ thống.................................................................... 20
1.4.1 Quyền hạn tối thiểu (Least Privilege) ............................................................... 20
1.4.2

Bảo vệ theo chiều sâu (Defense in Depth) ....................................................... 20

1.4.3

Nút thắt (choke point) ..................................................................................... 21


1.4.4 Điểm xung yếu nhất (Weakest point) ............................................................... 21
1.4.5 Hỏng trong an toàn (Fail–Safe Stance) ............................................................. 21
1.4.6 Sự tham gia toàn cầu ........................................................................................ 22
1.4.7 Kết hợp nhiều biện pháp bảo vệ ....................................................................... 22
1.4.8 Đơn giản hóa.................................................................................................... 22
1.5 Các chính sách bảo mật ........................................................................................... 22
1.5.1 Kế hoạch bảo mật mạng ................................................................................... 23
1.5.2 Chính sách bảo mật nội bộ ............................................................................... 23
1.5.3 Phương thức thiết kế ........................................................................................ 24
1.6 Thiết kế chính sách bảo mật mạng........................................................................... 24
1.6.1 Phân tích nguy cơ mất an ninh ......................................................................... 24
1.6.2 Xác định tài nguyên cần bảo vệ ........................................................................ 24
1.6.3 Xác định các mối đe dọa bảo mật mạng ........................................................... 25
1.6.4 Xác định trách nhiệm người sử dụng mạng ...................................................... 26
1.6.5 Kế hoạch hành động khi chính sách bị vi phạm ................................................ 27
1.6.6 Xác định các lỗi an ninh ................................................................................... 28
1.7 Secure Sockets Layer (SSL) .................................................................................... 29
1.7.1 Mở đầu.............................................................................................................. 29
1.7.2 Nhiệm vụ và cấu trúc của SSL ......................................................................... 30

1.7.3 Phiên SSL và kết nối SSL ................................................................................. 32
1.7.4 SSL Record Protocol........................................................................................ 33
1.7.5 Alert Protocol.................................................................................................... 35
1.7.6 Change CipherSpec Protocol............................................................................ 35
1.7.7 Handshake Protocol ......................................................................................... 36
CHƯƠNG 2 : CHECKPOINT ....................................................................................... 37
2.1 Tổng quan về Checkpoint........................................................................................ 37
2.2 Access Control của Checkpoint Firewall ................................................................. 38
2.3 Các thành phần của Rule ......................................................................................... 38
2.4 Công dụng đặc biệt của Access Control .................................................................. 39
2.5 Authentication......................................................................................................... 39
2.5.1 Vai trò của User Authentication ........................................................................ 39
2.5.2. Tổng quan về User Authentication của Check Point Firewall ........................... 39
2.5.3. Các phương thức xác thực của Check Point Firewall........................................ 40
2.5.4. Các cơ chế xác thực sử dụng trên Firewall Check Point ................................... 40
2.5.4.1 VPN-1 & Firewall-1 Password.................................................................. 41
2.5.4.2 Operating System Password (OS Password).............................................. 42


2.5.4.3 RADIUS ................................................................................................... 43
2.5.4.4 TACACS .................................................................................................. 45
2.5.4.5 S/Key ........................................................................................................ 45
2.5.4.6 SecurID..................................................................................................... 47
CHƯƠNG 3 : FIREWALL ............................................................................................ 48
3.1 Công nghệ FIREWALL ......................................................................................... 48
a. Giải pháp Firewall của Checkpoint ....................................................................... 51
3.1.1 Smart Console : Bao gồm nhiều client nhỏ để quản lý các thành phần của NGX.
Các client của Smart Console bao gồm: ..................................................................... 53
3.1.2 Smart Center Server ......................................................................................... 54
3.1.3 Security Gateway ............................................................................................. 55

3.2 Firewall Inspect Engine ........................................................................................... 55
3.3 SVN FOUNDATION.............................................................................................. 56
3.3.1 Secure Internal Communication ....................................................................... 56
3.4 SIC BETWEEN SMART CENTER SERVER AND CLIENTS .............................. 59
CHƯƠNG 4 : IPS .......................................................................................................... 60
4.1 Hệ thống ngăn chăn xâm nhập(IPS): ....................................................................... 60
4.1.1 Khái niệm IPS .................................................................................................. 60
4.1.2 Chức năng của IPS ........................................................................................... 61
4.2 Phân loại IPS.......................................................................................................... 65
4.2.1 NIPS ................................................................................................................ 65
4.2.1a Các khả năng của hệ thống xâm nhập mạng cơ sở ...................................... 67
4.2.1b Các thành phần của hệ thống ngăn chặn xâm nhập mạng cơ sở NIPS......... 69
4.2.2 HIPS ................................................................................................................ 69
4.2.2a
4.2.2b
4.2.2.1
4.2.2.2

Các khả năng của hệ thống ngăn chặn xâm nhập từ máy chủ(HIPS)........... 71
Các thành phần của HIPS:.......................................................................... 72
Gói phần mềm để cài đặt tại điểm cuối...................................................... 73
Hạ tầng quản lý để quản lý các agents này ................................................ 74

1. Trung tâm quản lý: ....................................................................................... 74
2. Giao diện quản lý: ........................................................................................ 75
4.3 Công nghệ ngăn chặn xâm nhập IPS ....................................................................... 78
4.3.1 Signature - Based IPS (Nhận diện dấu hiệu)...................................................... 78
4.3.2 Anomaly-Based IPS (Nhận diện bất thường)..................................................... 81
4.3.3 Policy-Based IPS .............................................................................................. 83
4.3.4 Protocol Analysis-Based IPS............................................................................ 83



PHẦN 5: GIẢI PHÁP CHO TRƯỜNG ĐẠI HỌC HOA SEN ...................................... 84
PHẦN 6: TÀI LIỆU THAM KHẢO .............................................................................. 89


NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN
...................................................................................................
...................................................................................................
...................................................................................................
...................................................................................................
...................................................................................................
...................................................................................................
...................................................................................................
...................................................................................................
...................................................................................................
...................................................................................................
...................................................................................................
...................................................................................................
...................................................................................................
...................................................................................................
...................................................................................................
...................................................................................................
...................................................................................................


NHẬP ĐỀ
Xã hội phát triển kéo theo sự tiến bộ của khoa học kĩ thuật. Những chiếc máy tính thơng
minh dần chiếm vai trò rất quan trọng trong cuộc sống ngày nay. Bất kỳ lĩnh vực
nào cũng cần đến máy tính, một thiết bị xử lý và hơn thế nữa là không thể thiếu. Cùng

với sự
ra đời và phát triển của máy tính và mạng máy tính là vấn đề bảo mật thông tin, ngăn
chặn sự xâm nhập và đánh cắp thông tin qua mạng, thông tin cá nhân trực tiếp và gián
tiếp. Phát hiện và ngăn chặn sự tấn công của các Hacker nhằm đánh cắp dữ liệu và phá
hoại tư liệu quan trọng là rất cần thiết.
Thông qua đề án : “Xây dựng Firewall & IPS trên Checkpoint “. Chúng tôi giới thiệu
tổng quan về xu hướng quản trị và bảo mật mạng hiện nay, cùng với nội dung tổng quan
về Checkpoint, Firewall, IPS bằng các bước cấu hình và triển khai mơ hình mạng. Giải
pháp an tồn chúng tôi giới thiệu đến trong đề tài này là một sản phẩm của Checkpoint
dựa trên nền tảng NGX, NGX

là một cấu trúc cung cấp tính năng bảo mật cho end-

to- end network, giúp cho doanh nghiệp bảo vệ các luồng traffic trong intranet,
extranet… Ngồi ra cịn làm cho network của enterprice được bảo mật và được quản lý
bằng một
Security Policy đơn cho toàn network.


GIỚI THIỆU TỔNG QUAN


CHECKPOINT

CheckPoint là một trong những nhà cung cấp hàng đầu về các sản phẩm
bảo mật Internet. Đặc biệt là các dòng sản phẩm firewall cho các doanh nghiệp, cá
nhân và các công nghệ mạng riêng ảo VPN. Với nền tảng NGX, CheckPoint cung cấp
một kiến trúc bảo mật thống nhất cho một lọat các giải pháp bảo mật: bảo mật cho truy
cập Internet, bảo mật mạng nội bộ, bảo mật Web, bảo mật người dùng nhằm bảo vệ
các tài ngun thơng tin, q trình truyền thơng, các ứng dụng của doanh nghiệp.



FIREWALL

Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn
chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được
tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông
tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu
Firewall là một cơ chế (mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi
các mạng không tin tưởng (Untrusted network).


IPS
Hệ thống IPS (intrusion prevention system) là một kỹ thuật an ninh mới, kết hợp các

ưu điểm của kỹ thuật firewall với hệ thống phát hiện xâm nhập IDS (intrusion detection
system), có khả năng phát hiện sự xâm nhập, các cuộc tấn công và tự động ngăn chặn các
cuộc tấn cơng đó. IPS khơng dơn giản chỉ dị các cuộc tấn cơng, chúng có khả năng ngăn
chặn các cuộc hoặc cản trở các cuộc tấn cơng đó. Chúng cho phép tổ chức ưu tiên, thực
hiện các bước để ngăn chặn lại sự xâm nhập. Phần lớn hệ thống IPS được đặt ở vành đai
mạng, dủ khả năng bảo vệ tất cả các thiết bị trong mạng.


LỜI CẢM ƠN
Chúng tôi xin cảm ơn Thầy Đinh Ngọc Luyện đã hướng dẫn chúng tơi trong suốt q
trình thực hiện đề án: “Xây dựng Firewall & IPS trên Checkpoint”. Đề án
trình bày những vấn đề tổng quan về bảo mật mạng, firewall, giới thiệu IPS - Hai hệ
thống bảo vệ mạng hiệu quả hiện nay.



CHƯƠNG 1: TỔNG QUAN VỀ BẢO MẬT
1.1 Định nghĩa bảo mật mạng
Bảo mật mạng là sự đảm bảo an toàn của toàn bộ hệ thống mạng trước những hoạt
động nhằm tấn công phá hoại hệ thống mạng cả từ bên trong như bên ngoài.
Hoạt động phá hoại là những hoạt động như xâm nhập trái phép sử dụng tài nguyên
trái phép ăn cắp thông tin, các hoạt động giả mạo nhằm phá hoại tài nguyên mạng và cơ
sở dữ liệu của hệ thống.
Vấn đề bảo mật mạng luôn là một vấn đề bức thiết khi ta nghiên cứu một hệ thống
mạng. Hệ thống mạng càng phát triển thì vấn đề bảo mật mạng càng được đạt lên hàng
đầu.
Khi nguyên cứu một hệ thống mạng chúng ta cần phải kiểm soát vấn đề
bảo mật mạng ở các cấp độ sau:
 Mức mạng: Ngăn chặn kẻ xâm nhập bất hợp pháp vào hệ thống mạng.
 Mức server: Kiểm soát quyền truy cập, các cơ chế bảo mật, quá trình nhận dạng
người dùng, phân quyền truy cập, cho phép các tác vụ
 Mức cơ sở dữ liệu: Kiểm soát ai? được quyền như thế nào? với mỗi cơ sở dữ liệu.
 Mức trường thơng tin: Trong mỗi cơ sở dữ liệu kiểm sốt được mỗi trường dữ liệu
chứa thông tin khác nhau sẽ cho phép các đối tượng khác nhau có quyền truy cập khác
nhau.
 Mức mật mã: Mã hố tồn bộ file dữ liệu theo một phương pháp nào đó và chỉ cho
phép người có “ chìa khố” mới có thể sử dụng được file dữ liệu.
Theo quan điểm hệ thống, một xí nghiệp (đơn vị kinh tế cơ sở) được thiết lập từ ba
hệ thống sau:
- Hệ thống thông tin quản lý.
- Hệ thống trợ giúp quyết định.
- Hệ thống các thông tin tác nghiệp.


Trong đó hệ thống thơng tin quản lý đóng vai trò trung gian giữa hệ thống trợ giúp
quyết định và hệ thống thông tin tác nghiệp với chức năng chủ yếu là thu thập, xử lý và

truyền tin.

Hình 3.1 Sơ đồ mạng thông dụng hiện nay.
1.1.1 Các yếu tố cần quan tâm khi phân tích bảo mật mạng
+ Vấn đề con người: Trong bảo mật mạng yếu tố con người cũng rất quan trọng. Khi
nghiên cứu đến vấn đề bảo mật mạng cần quan tâm xem ai tham gia vào hệ thống mạng,
họ có tránh nhiệm như thế nào. Ở mức độ vật lý khi một người khơng có thẩm quyền vào
phịng máy họ có thể thực hiện một số hành vi phá hoại ở mức độ vật lý.
+ Kiến trúc mạng: Kiến trúc mạng cũng là một vấn đề mà chúng ta cần phải
quan tâm khi nghiên cứu, phân tích một hệ thống mạng. Chúng ta cần nghiên cứu hiện
trạng mạng khi xây dựng và nâng cấp mạng đưa ra các kiểu kiến trúc mạng phù hợp với
hiện trạng và cơ sở hạ tầng ở nơi mình đang định xây dựng….
+ Phần cứng & phần mềm: Mạng được thiết kế như thế nào. Nó bao gồm những
phần cứng và phần mềm nào và tác dụng của chúng. Xây dựng một hệ thống phần cứng
và phần mềm phù hợp với hệ thống mạng cũng là vấn đề cần quan tâm khi xây dựng hệ


thống mạng. Xem xét tính tương thích của phần cứng và phần mềm với hệ thống và tính
tương thích giữu chúng.
1.1.2 Các yếu tố cần được bảo vệ
+ Bảo vệ dữ liệu (tính bảo mật, tính tồn vẹn và tính kịp thời).
+ Bảo vệ tài nguyên sử dụng trên mạng để tránh sử dụng tài nguyên này vào mục
đính tấn công của kẻ khác.
+ Bảo vệ danh tiếng.

1.2 Các kiểu tấn cơng mạng
Cùng với sự phát triển nhanh chóng của mạng thì nó cũng để lại nhiều lỗ hổng để
hacker có thể tấn cơng. Các thủ đoạn tấn cơng ngày càng trở nên tinh vi hơn. Các phương
pháp tấn công thường gặp:
1.2.1 Thăm dị(reconnaissance)

Đó chính là hình thức hacker gửi vài thông tin truy vấn về địa chỉ IP hoặc domain
name bằng hình thức này hacker có thể lấy được thơng tin về địa chỉ IP và domain name
từ đó thực hiện các biện pháp tấn cơng khác…
Thăm dị mạng là tất cả các hoạt động nhằm mục đích lấy các thông tin về mạng. khi
một hacker cố gắng chọc thủng một mạng, thường thì họ phải thu thập được thông tin về
mạng càng nhiều càng tốt trước khi tấn cơng. Điều này có thể thực hiện bởi các cơng cụ
như DNS queries, ping sweep, hay port scan.
Ta không thể ngăn chặn được hồn tồn các hoạt độ thăm dị kiểu như vậy. Ví dụ ta
có thể tắt đi ICMP echo và echo-reply, khi đó có thể chăn được ping sweep, nhưng lại
khó cho ta khi mạng có sự cố, cần phải chẩn đoan lỗi do đâu.
NIDS và HIDS giúp nhắc nhở (notify) khi có các hoạt động thăm dị xảy ra trong mạng.
1.2.2 Đánh cắp thống tin bằng Packet Sniffers
Packet sniffer là phần mềm sử dụng NIC card ở chế độ “promiseous” để bắt tất cả các
gói tin trong cùng miền xung đột. Nó có thể khai thác thơng tin dưới dạng clear Text.


Đây là một chương trình ứng dụng bắt giữ được tất cả các các gói lưu chuyển trên mạng
(trên một collision domain). Sniffer thường được dùng cho troubleshooting network hoặc
để phân tích traffic. Tuy nhiên, do một số ứng dụng gởi dữ liệu qua mạng dưới dạng clear
text (telnet, FTP, SMTP, POP3,...) nên sniffer cũng là một công cụ cho hacker để bắt các
thông tin nhạy cảm như là username, password, và từ đó có thể truy xuất vào các thành
phần khác của mạng.
Khả năng thực hiện Packet Sniffers có thể xảy ra từ trong các Segment của mạng nội bộ,
các kết nối RAS hoặc phát sinh trong WAN.
Ta có thể cấm packet sniffer bằng một số cách như sau:
-

Authentication

-


Dùng switch thay vì Bridge hay hub: hạn chế được các gói broadcast trong mạng.

-

Các cơng cụ Anti-sniffer: cơng cụ này phát hiện sự có mặt của packet siffer trên mạng.

- Mã hóa: Tất cả các thơng tin lưu chuyển trên mạng đều được mã hóa. Khi
đó, nếu hacker dùng packet sniffer thì chỉ bắt được các gói dữ liệu đã được mã hóa.
Cisco dùng giao thức IPSec để mã hố dữ liệu.
1.2.3 Đánh lừa (IP spoofing)
Kỹ thuật này được sử dụng khi hacker giả mạo địa chỉ IP tin cậy trong mạng nhằm
thực hiện việc chèn thông tin bất hợp pháp vào trong phiên làm việc hoặc thay đổi bản
tin định tuyến để thu nhận các gói tin cần thiết.


NGX R65 đã phát triển một cơ chế để giám sát các packet bằng cách yêu cầu các

interface mà các packet phải đi qua cho biết IP tương ứng với cổng của nó.

Anti spoofing thẩm định các xem các packet này đến từ đâu, đi đến đâu, gateway
chính xác của nó sẽ là gì ? Nó sẽ khẳng định rõ gói tin này mang IP là internal network này
thật sự xuất phát từ internal network. Nó cũng thẩm định cho ta biết khi packet này
được route thì nó sẽ đi thơng qua cổng nào.

Để cấu hình anti spoofing, thì trước hết các network phải có thể thấy được nhau.
Các network được định nghĩa đúng theo sơ đồ. Anti spoofing sẽ phát huy hiệu quả tốt
nhất khi ta cấu hình nó trên các interface của gateway. Sau khi kích hoạt tính năng
spoofing xong ta nên tiếp tục cấu hình spoofing tracking trên cổng đó ln nhằm mục
đích giúp cho việc phát hiện xâm nhập và ghi lại file log.




Anti spoofing rule được cấu hình trong phần properties của đối tượng firewall
trong smartdashboard. Rule này sẽ được cưỡng ép thực thi trước bất kỳ rule nào được
định nghĩa trong phần Security Policy Rule Base.
1.2.4 Tấn công từ chối dịch vụ (Denial of services)
Kiểu tấn công này nhằm tắc nghẽn mạng bằng cách hacker gửi các gói tin với tốc độ
cao và liên tục tới hệ thống bảo mật nhằm làm tê liện hệ thống chiếm hết băng thông sử
dụng.
1.2.5 Tấn cơng trực tiếp password
Đó là kiểu tấn cơng trực tiếp vào username và password của người sử dụng nhằm ăn
cắp tài khoải sử dụng vào mục đích tấn cơng. Hacker dùng phần mềm để tấn công (vị dụ
như Dictionary attacks).
Các hacker tấn công password bằng một số phương pháp như: brute-force attack, chương
trình Trojan Horse, IP spoofing, và packet sniffer. Mặc dù dùng packet
sniffer và IP spoofing có thể lấy được user account và password, như hacker lại thường
sử dụng brute- force để lấy user account hơn.
Tấn công brute-force được thực hiện bằng cách dùng một chương trình chạy trên mạng,
cố gắng login vào các phần share trên server băng phương pháp “thử và sai” passwork.
Phương pháp giảm thiểu tấn công password:
-

Giới han số lần login sai

-

Đặt password dài

- Cấm truy cập vào các thiết bị, serever từ xa thơng qua các giao thức khơng an tồn như

FTP, Telnet, rlogin, rtelnet… ứng dung SSL,SSH vào quản lý từ xa.
1.2.6 Thám thính(agent)
Hacker sử dụng các các phần mềm vius, trojan thường dùng để tấn công vào máy
trạm làm bước đệm để tấn công vào máy chủ và hệ thống. Kẻ tấn cơng có thể nhận được
các thơng tin hữu ích từ máy nạn nhân thông qua các dịch vụ mạng.
1.2.7 Tấn cơng vào yếu tố con người:
Hacker có thể tấn công vào các lỗ hổng do lỗi nhà quản trị hệ thống hoặc liên lạc với
nhà quản trị hệ thống giả mạo là người sủ dụng thay đổi username và password.


1.2.8 Các phương thức tấn công D.O.S thông thường
a. Phương pháp tấn công:
Tin tặc sẽ điều khiển các máy đã chiếm cứ và từ các máy này điều khiển các máy tính
trên mạng dựa vào một vài dịch vụ hoặc các lỗi bảo mật để phát sinh một khối lượng dữ
liệu lớn truyền đến hệ thống máy đích làm cạn kiệt tài nguyên và tê liệt dịch vụ các hệ
thống là nạn nhân bị tấn cơng.

Hình - Mơ hình tổng quát cuộc tấn công D.o.S của Hacker
Các phương thức tấn cơng thường dựa trên việc phát sinh các gói dữ liệu từ hệ
thống email , broadcast echo request …
Các công cụ thường dùng của tin tặc:
Công cụ

Phương thức sử dụng để
tấn công

1

Trinoo


UDP

2

Tribe Flood Network

UDP, ICMP, SYN, Smurf

3

Stacheldracht

UDP, ICMP, SYN , Smurf


4

TFN 2K

UDP, ICMP, SYN, Smurf

5

Shaft

UDP, ICMP, SYN, combo

6

Mstream


Stream (ACK)

7

Trinity

UDP, Fragment, SYN, RST,
RandomFlag, ACK, Establish,
NULL

Khả năng tấn cơng có thể xảy ra từ các hướng cổng Internet, PSTN, WAN và nội bộ.
Đối với cổng PSTN và Internet đều đi qua Router
tấn cơng D.o.S vào địa điểm này là rất lớn.

do đó khả năng

phát sinh các cuốc

b. Với giải pháp Cisco Access List thiết lập thêm có thể phân tích và ngăn chặn các
cuộc tấn làm Overload trên các Interface như sau:
Explicitly permit flood traffic in access list:
access-list 110 permit icmp any any echo
access-list 110 permit icmp any any echo-reply
View access list "hit counts" to determine flood type:
permit icmp any any echo (2 matches)
permit icmp any any echo-reply (21374 matches)
Log information about flood packets:
access-list 110 permit icmp any any echo
access-list 110 permit icmp any any echo-reply log-input

Anti-Spoofing Packet Filters
Block inbound traffic sourced from your own address space:
access-list 110 deny ip 192.200.0.0 0.0.255.255 any
Block outbound traffic not sourced from your own address space:
access-list 111 permit ip 192.200.0.0 0.0.255.255 any


Block inbound traffic sourced from unroutable IP addresses:
access-list 110 deny ip 10.0.0.0

0.255.255.255 any

access-list 110 deny ip 172.16.0.0

0.15.255.255

any access-list 110 deny ip 192.168.0.0 0.0.255.255
any access-list 110
deny ip 127.0.0.0

0.255.255.255 any access-list

110 deny ip 255.0.0.0
list 110 deny ip 1.0.0.0

0.255.255.255 any access0.255.255.255 any

... more ...
Nếu cấu hình trên Smart Console thì ta thiết lập Rule tương tự các chức năng ta muốn
thực hiện, như Allow hay Deny dịch vụ từ đâu đến đâu và các giao thức được định nghĩa

trên từng Rule.
1.2.9 Phương thức tấn công bằng Mail Relay
Đây là phương pháp phổ biến hiện nay. Email server nếu cấu hình khơng chuẩn
hoặc
Username/ password của user sử dụng mail bị lộ. Hacker có thể lợi dụng email server để
gửi mail gây ngập mạng , phá hoại hệ thống email khác. Ngồi ra với hình thức gắn thêm
các đoạn script trong mail hacker có thể gây ra các cuộc tấn công Spam cùng lúc với khả
năng tấn công gián tiếp đến các máy chủ Database nội bộ hoặc các cuộc tấn công D.o.S
vào một mục tiêu nào đó.
Phương pháp giảm thiểu :
- Giới hạn dung lương Mail box
- Sử dụng các phương thức chống Relay Spam bằng các công cụ bảo mật cho SMTP
server, đặt password cho SMTP.
- Sử dụng gateway SMTP riêng
1.2.10 Phương thức tấn công hệ thống DNS
DNS Server là điểm yếu nhất trong toàn bộ các loại máy chủ ứng dụng và cũng là hệ
thống quan trọng nhất trong hệ thống máy chủ.
Việc tấn công và chiếm quyền điều khiển máy chủ phục vụ DNS là một sự phá hoại nguy


hiểm liên quan đến toàn bộ hoạt động của hệ thống truyền thông trên mạng.


- Hạn chế tối đa các dịch vụ khác trên hệ thống máy chủ DNS
- Cài đặt hệ thống IDS Host cho hệ thống DNS
- Luôn cập nhật phiên bản mới có sửa lỗi của hệ thống phần mềm DNS.
1.2.11 Phương thức tấn cơng Man-in-the-middle attack
Dạng tấn cơng này địi hỏi hacker phải truy nhập được các gói mạng của mạng. Một ví dụ
về tấn cơng này là một người làm việc tại ISP, có thể bắt được tấc cả các gói mạng của
cơng ty khách hàng cũng như tất cả các gói mạng của các cơng ty khác th Leased line

đến ISP đó để ăn cắp thơng tin hoặc tiếp tục session truy nhập vào mạng riên của công ty
khách hàng. Tấn công dạng này được thực hiện nhờ một packet sniffer.
Tấn cơng dạng này có thể hạng chế bằng cách mã hoá dữ liệu được gởi ra.
Nếu các hacker có bắt được các gói dữ liệu thì là các dữ liệu đã được mã hóa.
1.2.12 Phương thức tấn công Trust exploitation
Loại tấn công kiểu này được thực hiện bằng cách tận dụng mối quan hệ tin cậy đối với
mạng. Một ví dụ cho tấn cơng kiểu này là bên ngồi firewall có một quan hệ tin cậy với
hệ thống bên trong firewall. Khi bên ngoài hệ thống bị xâm hại, các hacker có thể lần
theo quan hệ đó để tấn cơng vào bên trong firewall.
Có thể giới hạn các tấn công kiểu này bằng cách tạo ra các mức truy xuất khác nhau vào
mạng và quy định chặt chẽ mức truy xuất nào sẽ được truy xuất vào các tài nguyên nào
của mạng.
1.2.13 Phương thức tấn công Port redirection
Tấn công này là một loại của tấn công trust exploitation, lợi dụng một host đã đã bị đột
nhập đi qua firewall. Ví dụ, một firewall có 3 inerface, một host ở outside có thể
truy nhập được một host trên DMZ, nhưng không thể vào được host ở inside. Host ở
DMZ có
thể vào được host ở inside, cũng như outside. Nếu hacker chọc thủng được
host trên DMZ, họ có thể cài phần mềm trêm host của DMZ để bẻ hướng traffic từ
host outside đến host inside.
Ta ngăn chặn tấn công loại này bằng cách sử dụng HIDS cài trên mỗi server. HIDS có thể
giúp phát hiện được các chường trình lạ hoạt động trên server đó.


1.2.14 Phương thức tấn công lớp ứng dụng
Tấn công lớp ứng dụng được thực hiện bằng nhiều cách khác nhau. Một trong
những cách thông dụng nhất là tấn công vào các điểm yếu của phân mềm như sendmail,
HTTP, hay FTP.
Nguyên nhân chủ yếu của các tấn công lớp ứng dụng này là chúng sử dụng những port cho
qua bởi firewall. Ví dụ các hacker tấn cơng Web server bằng cách sử dụng TCP port

80, mail server bằng TCP port 25.
Một số phương cách để hạn chế tấn công lớp ứng dụng:
-

Lưu lại log file, và thường xuên phân tích log file

-

Luôn cập nhật các patch cho OS và các ứng dụng

-

Dùng IDS, có 2 loại IDS:

o HIDS: cài đặt trên mỗi server một agent của HIDS để phát hiện các tấn cơng lên server
đó.
o NISD: xem xét tất cả các packet trên mạng (collision domain). Khi nó thấy
có một packet hay một chuỗi packet giống như bị tấn cơng, nó có thể phát
cảnh báo, hay cắt session đó.
Các IDS phát hiện các tấn công bằng cách dùng các signature. Signature của
một tấn công là một profile về loại tấn công đó. Khi IDS phát hiện thấy traffic
giống như một signature nào đó, nó sẽ phát cảnh báo.
1.2.15 Phương thức tấn Virus và Trojan Horse
Các nguy hiểm chính cho các workstation và end user là các tấn công virus và ngựa thành
Trojan (Trojan horse). Virus là một phần mềm có hại, được đính kèm vào một chương
trình thực thi khác để thực hiện một chức năng phá hại nào đó. Trojan horse thì hoạt động
khác hơn. Một ví dụ về Trojan horse là một phần mềm ứng dụng để chạy một game đơn
giản ở máy workstation. Trong khi người dùng đang mãi mê chơi game, Trojan horse sẽ
gởi một bản copy đến tất cả các user trong address book. Khi user khác nhận và chơi trị
chơi, thì nó lại tiếp tục làm như vậy, gởi đến tất cả các địa chỉ mail có trong address book

của user đó.


Có thể dùng các phần mềm chống virus để diệt các virus và Trojan horse và luôn luôn
cập nhật chương trình chống virus mới.

1.3 Các mức độ bảo mật
Khi phân tích hệ thống bảo mật mạng người ta chia ra làm các mức độ an toàn sau:
Bức tường lửa (Firewall)
Bảo vệ vật lý (Physical Protect)
Mã hóa dữ liệu(Data Encryption)
Đăng nhập/Mật khẩu (Login/Password)
Quyền truy nhập (Access Right)
Thơng tin (Information)

Hình 3.3 Các mức độ bảo mật mạng.
1.3.1 Quyền truy nhập:
Đây là lớp bảo vệ sâu nhất nhằm kiểm soát tài nguyên mạng kiểm soát ở mức độ
file và việc xác định quyền hạn của người dùng do nhà quản trị quyết định như: chỉ đọc(
only read), chỉ ghi (only write), thực thi(execute).
1.3.2 Đăng nhập/Mật khẩu(login/password)
Đây là lớp bảo vệ mức độ truy nhập thông tin ở mức độ hệ thống. Đây là mức độ bảo
vệ được sử dụng phổ biến nhất vì nó đơn giản và ít tốn kém. Nhà quản trị cung cấp cho
mỗi người dùng một username và password và kiểm sốt mọi hoạt động của mạng thơng
qua hình thức đó. Mỗi lần truy nhập mạng người dùng phải đăng nhập nhập username và
password hệ thống kiểm tra thấy hợp lệ mới cho đăng nhập.
1.3.3 Mã hóa dữ liệu(Data encryption)
Đó là sử dụng các phương pháp mã hoá dữ liệu ở bên phát và thực hiện giải mã ở
bên thu bên thu chỉ có thể mã hóa chính xác khi có khố mã hóa do bên phát cung cấp.
1.3.4 Bảo vệ vật lý (Physical protect)



Đây là hình thức ngăn chạn nguy cơ truy nhập vật lý bất hợp pháp vào hệ thống như
ngăn cấm tuyệt đối người khơng phận sự vào phịng đặt máy mạng, dùng ổ khố máy
tính, hoặc cài đặt cơ chế báo động khi có truy nhập vào hệ thống ...
1.3.5 Bức tường lửa (firewall)
Đây là hình thức ngăn chặn sự xâm nhập bất hợp pháp vào mạng nội bộ thông qua
firewall. ). Chức năng của tường lửa là ngăn chặn các truy nhập trái phép (theo danh sách
truy nhập đã xác định trước) và thậm chí có thể lọc các gói tin mà ta khơng muốn gửi đi
hoặc nhận vào vì một lý do nào đó. Phương thức bảo vệ này được dùng nhiều trong môi
trường liên mạng Internet.

1.4 Các biện pháp bảo vệ an toàn hệ thống
Đối với mỗi hệ thống mạng, không nên cài đặt và chỉ sử dụng một chế độ an tồn
cho dù nó có thể rất mạnh, mà nên lắp đặt nhiều cơ chế an tồn khác nhau để chúng có
thể hỗ trợ lẫn nhau và có thể đẳm bảo an tồn ở mức độ cao.
1.4.1 Quyền hạn tối thiểu (Least Privilege)
Một nguyên tắc cơ bản nhất của an tồn nói chung là trao quyền tối thiểu. Có nghĩa
là: Bất kỳ một đối tượng nào trên mạng chỉ nên có những quyền hạn nhất định mà đối
tượng đó cần phải có để thực hiện các nhiệm vụ của mình và chỉ có những quyền đó mà
thôi. Như vậy, mọi người sử dụng đều không nhất thiết được trao quyền truy nhập mọi
dich vụ Internet, đọc và sửa đổi tất cả các file trong hệ thống… Người quản trị hệ thống
không nhất thiết phải biết các mật khẩu root hoặc mật khẩu của mọi người sử dụng …
Nhiều vấn đề an toàn trên mạng Internet bị xem là thất bại khi thực hiện nguyên tắc
Quyền hạn tối thiểu. Vì vậy, các chương trình đặc quyền phải được đơn giản đến mức có
thể và nếu một chương trình phức tạp, ta phải tìm cách chia nhỏ và cơ lập từng phần mà
nó u cầu quyền hạn.
1.4.2

Bảo vệ theo chiều sâu (Defense in Depth)


Đối với mỗi hệ thống, không nên cài đặt và chỉ sử dụng một chế độ an tồn cho dù nó
có thể rất mạnh, mà nên lắp đặt nhiều cơ chế an toàn để chúng có thể hỗ trợ lẫn nhau.


1.4.3

Nút thắt (choke point)

Một nút thắt bắt buộc những kẻ đột nhập phải đi qua một lối hẹp mà chúng ta có thể kiểm
sốt và điều khiển được. Trong cơ chế an toàn mạng, Firewall nằm giữa hệ thống mạng của
ta và mạng Internet, nó chính là một nút thắt. Khi đó, bất kỳ ai muốn truy nhập vào hệ thống
cũng phải đi qua nó, vì vậy, ta có thể theo dõi, quản lý được.
Nhưng một nút thắt cũng sẽ trở nên vơ dụng nếu có một đường khác vào hệ thống mà
khơng cần đi qua nó (trong mơi trường mạng, cịn có những đường Dial–up khơng được
bảo vệ khác có thể truy nhập được vào hệ thống)
1.4.4 Điểm xung yếu nhất (Weakest point)
Một nguyên tắc cơ bản khác của an tồn là: “Một dây xích chỉ chắc chắn khi mắt nối
yếu nhất được làm chắc chắn”. Khi muốn thâm nhập vào hệ thống của chúng ta, kẻ đột
nhập thường tìm điểm yếu nhất để tấn cơng vào đó. Do vậy, với từng hệ thống, cần phải
biết điểm yếu nhất để có phương án bảo vệ.
1.4.5 Hỏng trong an tồn (Fail–Safe Stance)
Nếu một hệ thống chẳng may bị hỏng thì nó phải được hỏng theo một cách nào đó để
ngăn chặn những kẻ lợi dụng tấn công vào hệ thống hỏng đó. Đương nhiên, việc hỏng
trong an tồn cũng hủy bỏ sự truy nhập hợp pháp của người sử dụng cho tới khi hệ thống
được khôi phục lại.
Nguyên tắc này cũng được áp dụng trong nhiều lĩnh vực. Chẳng hạn, cửa ra vào tự
động được thiết kế để có thể chuyển sang mở bằng tay khi nguồn điện cung cấp bị ngắt
để tránh giữ người bên trong.
Dựa trên nguyên tắc này, người ta đưa ra hai quy tắc để áp dụng vào hệ thống an toàn:

- Default deny Stance: Chú trọng vào những cái được phép và ngăn chặn tất cả những cái
còn lại.
- Default permit Stance: Chú trọng vào những cái bị ngăn cấm và cho phép
tất cả
những cái cịn lại. Những gì khơng bị ngăn cấm thì được phép.
Theo quan điểm về vấn đề an tồn trên thì nên dùng quy tắc thứ nhất, còn theo quan
điểm của các nhà quản lý thì lại là quy tắc thứ hai.


1.4.6 Sự tham gia toàn cầu
Để đạt được hiệu quả an toàn cao, tất cả các hệ thống trên mạng toàn cầu phải tham
gia vào giải pháp an toàn. Nếu tồn tại một hệ thống có cơ chế an tồn kém, người truy
nhập bất hợp pháp có thể truy nhập vào hệ thống này và sau đó dùng chính hệ thống này
để truy nhập vào các hệ thống khác.
1.4.7 Kết hợp nhiều biện pháp bảo vệ
Trên liên mạng, có nhiều loại hệ thống khác nhau được sử dụng, do vậy,
phải có nhiều biện pháp bảo vệ để đảm bảo chiến lược bảo vệ theo chiều sâu. Nếu tất
cả các hệ thống của chúng ta đều giống nhau và một người nào đó biết cách thâm nhập
vào một hệ thống thì cũng có thể thâm nhậo được vào các hệ thống khác.
1.4.8 Đơn giản hóa
Nếu ta khơng hiểu một cái gì đó, ta cũng khơng thể biết được liệu nó có an tồn hay
khơng. Chính vì vậy, ta cần phải đơn giản hóa hệ thống để có thể áp dụng các biện pháp
an tồn một cách hiệu quả hơn.

1.5 Các chính sách bảo mật
 Kế hoạch an tồn thơng tin phải tính đến các nguy cơ từ bên ngồi và từ trong nội
bộ, đồng thời phải kết hợp cả các biện pháp kỹ thuật và các biện pháp quản lý. Sau đây là
các bước cần tiến hành:
 Xác định các yêu cầu và chính sách an tồn thơng tin: Bước đầu tiên
trong kế hoạch an tồn thơng tin là xác định các yêu cầu truy nhập và tập hợp những

dịch vụ cung cấp cho người sử dụng trong và ngoài cơ quan, trên cơ sở đó có
được các chính sách tương ứng.
 Thiết kế an tồn vịng ngồi: Việc thiết kế dựa trên các chính sách an tồn
được xác định trước. Kết quả của bước này là kiến trúc mạng cùng với các thành phần
phần cứng và phần mềm sẽ sử dụng. Trong đó cần đặc biệt chú ý hệ thống truy cập từ xa
và cơ chế xác thực người dùng.
 Biện pháp an toàn cho các máy chủ và máy trạm: Các biện pháp an
tồn vịng
ngồi, dù đầy đủ đến đâu, cũng có thể khơng đủ để chống lại sự tấn công, đặc biệt là sự
tấn công từ bên trong. Cần phải kiểm tra các máy chủ và máy trạm để phát hiện những sơ
hở về bảo mật. Đối với Filewall và các máy chủ ở ngoài cần kiểm tra những dạng tấn
công (denial of service).


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×