An toàn thông tin trên mạng
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (206.36 KB, 26 trang )
4
1. An toàn thông tin trên mng
1.1 Ti sao cn có Internet Firewall
Hin nay, khái nim mng toàn cu - Internet không còn
mi m. Nó ã tr nên ph bin ti mc không cn phi chú
gii gì thêm trong nhng tp chí k thut, còn trên nhng
tp chí khác thì tràn ngp nhng bài vit dài, ngn v
Internet. Khi nhng tp chí thông thng chú tr ng vào
Internet thì gi ây, nhng tp chí k thut li tp trung vào
khía cnh khác: an toàn thông tin. ó cùng là mt quá trình
tin trin hp logic: khi nhng vui thích ban u v mt
siêu xa l thông tin, bn nht nh nhn thy r!ng không ch"
cho phép bn truy nhp vào nhiu ni trên th gii, Internet
còn cho phép nhiu ngi không mi mà t ý ghé thm máy
tính ca bn.
Thc vy, Internet có nhng k thut tuyt vi cho phép
m i ngi truy nhp, khai thác, chia s thông tin. Nhng nó
c#ng là nguy c chính d$n n thông tin ca bn b h h%ng
ho&c phá hu' hoàn toàn.
Theo s( liu ca CERT(Computer Emegency Response
Team - “i cp cu máy tính”), s( lng các v tn công
trên Internet c thông báo cho t chc này là ít hn 200
vào nm 1989, khong 400 vào nm 1991, 1400 vào nm
1993, và 2241 vào nm 1994. Nhng v tn công này nh!m
vào tt c các máy tính có m&t trên Internet, các máy tính
ca tt c các công ty ln nh AT&T, IBM, các trng i
h c, các c quan nhà nc, các t chc quân s, nhà bng...
Mt s( v tn công có quy mô khng l) (có ti 100.000
máy tính b tn công). Hn na, nhng con s( này ch" là
phn ni ca tng bng. Mt phn rt ln các v tn công
5
không c thông báo, vì nhiu lý do, trong ó có th k
n n*i lo b mt uy tín, ho&c n gin nhng ngi qun
tr h th(ng không h hay bit nhng cuc tn công nh!m
vào h th(ng ca h .
Không ch" s( lng các cuc tn công tng lên nhanh
chóng, mà các phng pháp tn công c#ng liên tc c
hoàn thin. iu ó mt phn do các nhân viên qun tr h
th(ng c kt n(i vi Internet ngày càng cao cnh
giác. C#ng theo CERT, nhng cuc tn công thi k+ 1988-
1989 ch yu oán tên ngi s dng-mt kh,u (UserID-
password) ho&c s dng mt s( l*i ca các chng trình và
h iu hành (security hole) làm vô hiu h th(ng bo v,
tuy nhiên các cuc tn công vào thi gian gn ây bao
g)m c các thao tác nh gi mo a ch" IP, theo dõi thông
tin truyn qua mng, chim các phiên làm vic t- xa (telnet
ho&c rlogin).
6
1.2 Bn mun bo v cái gì?
Nhim v c bn ca Firewall là bo v. Nu bn mu(n xây
dng firewall, vic u tiên bn cn xem xét chính là bn
cn bo v cái gì.
1.2.1 D liu ca bn
Nhng thông tin lu tr trên h th(ng máy tính cn c
bo v do các yêu cu sau:
Bo mt: Nhng thông tin có giá tr v kinh t, quân s,
chính sách vv... cn c gi kín.
Tính toàn v.n: Thông tin không b mt mát ho&c sa
i, ánh tráo.
Tính kp thi: Yêu cu truy nhp thông tin vào úng
thi im cn thit.
Trong các yêu cu này, thông thng yêu cu v bo mt
c coi là yêu cu s( 1 (i vi thông tin lu tr trên mng.
Tuy nhiên, ngay c khi nhng thông tin này không c gi
bí mt, thì nhng yêu cu v tính toàn v.n c#ng rt quan
tr ng. Không mt cá nhân, mt t chc nào lãng phí tài
nguyên vt cht và thi gian lu tr nhng thông tin mà
không bit v tính úng n ca nhng thông tin ó.
1.2.2 Tài nguyên ca bn
Trên thc t, trong các cuc tn công trên Internet, k tn
công, sau khi ã làm ch c h th(ng bên trong, có th s
dng các máy này phc v cho mc ích ca mình nh
chy các chng trình dò mt kh,u ngi s dng, s dng
các liên kt mng s/n có tip tc tn công các h th(ng
khác vv...
7
1.2.3 Danh ting ca bn
Nh trên ã nêu, mt phn ln các cuc tn công không
c thông báo rng rãi, và mt trong nhng nguyên nhân
là n*i lo b mt uy tín ca c quan, &c bit là các công ty
ln và các c quan quan tr ng trong b máy nhà nc.
Trong trng hp ngi qun tr h th(ng ch" c bit
n sau khi chính h th(ng ca mình c dùng làm bàn
p tn công các h th(ng khác, thì tn tht v uy tín là
rt ln và có th li hu qu lâu dài.
8
1.3 Bn mun bo v chng li cái gì?
Còn nhng gì bn cn phi lo lng. Bn s0 phi ng u
vi nhng kiu tn công nào trên Internet và nhng k nào
s0 thc hin chúng?
1.3.1 Các kiu tn công
Có rt nhiu kiu tn công vào h th(ng, và có nhiu cách
phân loi nhng kiu tn công này. ây, chúng ta chia
thành 3 kiu chính nh sau:
1.3.1.1 Tn công trc tip
Nhng cuc tn công trc tip thông thng c s dng
trong giai on u chim c quyn truy nhp bên
trong. Mt phng pháp tn công c in là dò c&p tên
ngi s dng-mt kh,u. ây là phng pháp n gin, d1
thc hin và không òi h%i mt iu kin &c bit nào
bt u. K tn công có th s dng nhng thông tin nh
tên ngi dùng, ngày sinh, a ch", s( nhà vv.. oán mt
kh,u. Trong trng hp có c danh sách ngi s dng
và nhng thông tin v môi trng làm vic, có mt trng
trình t ng hoá v vic dò tìm mt kh,u này. mt trng
trình có th d1 dàng ly c t- Internet gii các mt
kh,u ã mã hoá ca các h th(ng unix có tên là crack, có
kh nng th các t hp các t- trong mt t- in ln, theo
nhng quy tc do ngi dùng t nh ngha. Trong mt s(
trng hp, kh nng thành công ca phng pháp này có
th lên ti 30%.
Phng pháp s dng các l*i ca chng trình ng dng và
bn thân h iu hành ã c s dng t- nhng v tn
công u tiên và v$n c tip tc chim quyn truy
9
nhp. Trong mt s( trng hp phng pháp này cho phép
k tn công có c quyn ca ngi qun tr h th(ng
(root hay administrator).
Hai ví d thng xuyên c a ra minh ho cho
phng pháp này là ví d vi chng trình sendmail và
chng trình rlogin ca h iu hành UNIX.
Sendmail là mt chng trình phc tp, vi mã ngu)n bao
g)m hàng ngàn dòng lnh ca ngôn ng C. Sendmail c
chy vi quyn u tiên ca ngi qun tr h th(ng, do
chng trình phi có quyn ghi vào hp th ca nhng
ngi s dng máy. Và Sendmail trc tip nhn các yêu
cu v th tín trên mng bên ngoài. ây chính là nhng
yu t( làm cho sendmail tr thành mt ngu)n cung cp
nhng l* hng v bo mt truy nhp h th(ng.
Rlogin cho phép ngi s dng t- mt máy trên mng truy
nhp t- xa vào mt máy khác s dng tài nguyên ca máy
này. Trong quá trình nhn tên và mt kh,u ca ngi s
dng, rlogin không kim tra dài ca dòng nhp, do ó
k tn công có th a vào mt xâu ã c tính toán trc
ghi è lên mã chng trình ca rlogin, qua ó chim
c quyn truy nhp.
1.3.1.2 Nghe trm
Vic nghe trm thông tin trên mng có th a li nhng
thông tin có ích nh tên-mt kh,u ca ngi s dng, các
thông tin mt chuyn qua mng. Vic nghe trm thng
c tin hành ngay sau khi k tn công ã chim c
quyn truy nhp h th(ng, thông qua các chng trình cho
phép a v" giao tip mng (Network Interface Card-NIC)
vào ch nhn toàn b các thông tin lu truyn trên mng.
10
Nhng thông tin này c#ng có th d1 dàng ly c trên
Internet.
1.3.1.3 Gi mo a ch
Vic gi mo a ch" IP có th c thc hin thông qua
vic s dng kh nng d$n ng trc tip (source-
routing). Vi cách tn công này, k tn công gi các gói tin
IP ti mng bên trong vi mt a ch" IP gi mo (thông
thng là a ch" ca mt mng ho&c mt máy c coi là
an toàn (i vi mng bên trong), )ng thi ch" rõ ng
d$n mà các gói tin IP phi gi i.
1.3.1.4 Vô hiu hoá các chc nng ca h thng (denial
of service)
ây là ku tn công nh!m tê lit h th(ng, không cho nó
thc hin chc nng mà nó thit k. Kiu tn công này
không th ngn ch&n c, do nhng phng tin c t
chc tn công c#ng chính là các phng tin làm vic và
truy nhp thông tin trên mng. Ví d s dng lnh ping vi
t(c cao nht có th, buc mt h th(ng tiêu hao toàn b
t(c tính toán và kh nng ca mng tr li các lnh
này, không còn các tài nguyên thc hin nhng công
vic có ích khác.
1.3.1.5 Li ca ngi qun tr h thng
ây không phi là mt kiu tn công ca nhng k t
nhp, tuy nhiên l*i ca ngi qun tr h th(ng thng to
ra nhng l* hng cho phép k tn công s dng truy
nhp vào mng ni b.
11
1.3.1.6 Tn công vào yu t con ngi
K tn công có th liên lc vi mt ngi qun tr h th(ng,
gi làm mt ngi s dng yêu cu thay i mt kh,u,
thay i quyn truy nhp ca mình (i vi h th(ng, ho&c
thm chí thay i mt s( cu hình ca h th(ng thc hin
các phng pháp tn công khác. Vi kiu tn công này
không mt thit b nào có th ngn ch&n mt cách hu hiu,
và ch" có mt cách giáo dc ngi s dng mng ni b v
nhng yêu cu bo mt cao cnh giác vi nhng hin
tng áng nghi. Nói chung yu t( con ngi là mt im
yu trong bt k+ mt h th(ng bo v nào, và ch" có s giáo
dc cng vi tinh thn hp tác t- phía ngi s dng có th
nâng cao c an toàn ca h th(ng bo v.
1.3.2 Phân loi k tn công
Có rt nhiu k tn công trên mng toàn cu – Internet và
chúng ta c#ng không th phân loi chúng mt cách chính
xác, bt c mt bn phân loi kiu này c#ng ch" nên c
xem nh là mt s gii thiu hn là mt cách nhìn rp
khuôn.
1.3.2.1 Ngi qua ng
Ngi qua ng là nhng k bu)n chán vi nhng công
vic thng ngày, h mu(n tìm nhng trò gii trí mi. H
t nhp vào máy tính ca bn vì h ngh bn có th có
nhng d liu hay, ho&c bi vì h cm thy thích thú khi s
dng máy tính ca ngi khác, ho&c ch" n gin là h
không tìm c mt vic gì hay hn làm. H có th là
ngi tò mò nhng không ch nh làm hi bn. Tuy nhiên,
h thng gây h h%ng h th(ng khi t nhp hay khi xoá
b% du vt ca h .
12
1.3.2.2 K phá hoi
K phá hoi ch nh phá hoi h th(ng ca bn, h có th
không thích bn, h c#ng có th không bit bn nhng h
tìm thy nim vui khi i phá hoi.
Thông thng, trên Internet k phá hoi khá him. M i
ngi không thích h . Nhiu ngi còn thích tìm và ch&n
ng nhng k phá hoi. Tuy ít nhng k phá hoi thng
gây h%ng trm tr ng cho h th(ng ca bn nh xoá toàn b
d liu, phá h%ng các thit b trên máy tính ca bn...
1.3.2.3 K ghi im
Rt nhiu k qua ng b cu(n hút vào vic t nhp, phá
hoi. H mu(n c kh2ng nh mình thông qua s( lng
và các kiu h th(ng mà h ã t nhp qua. t nhp c
vào nhng ni ni ting, nhng ni phòng b ch&t ch0,
nhng ni thit k tinh xo có giá tr nhiu im (i vi h .
Tuy nhiên h c#ng s0 tn công tt c nhng ni h có th,
vi mc ích s( lng c#ng nh mc ích cht lng.
Nhng ngi này không quan tâm n nhng thông tin bn
có hay nhng &c tính khác v tài nguyên ca bn. Tuy
nhiên t c mc ích là t nhp, vô tình hay hu ý
h s0 làm h h%ng h th(ng ca bn.
1.3.2.4 Gián ip
Hin nay có rt nhiu thông tin quan tr ng c lu tr trên
máy tính nh các thông tin v quân s, kinh t... Gián ip
máy tính là mt vn phc tp và khó phát hin. Thc t,
phn ln các t chc không th phòng th kiu tn công này
mt cách hiu qu và bn có th chc r!ng ng liên kt
13
vi Internet không phi là con ng d1 nht gián ip
thu lm thông tin.
