Tài liệu Đồ án Bảo vệ và phòng ngừa tấn công hệ thống mạng bằng firewall: ĐỒ ÁN:
BẢO VỆ VÀ PHÒNG NGỪA TẤN
CÔNG HỆ THỐNG MẠNG BẰNG
FIREWALL
MrTink
[Type the company name]
Chương Mở Đầu
1. Đặt vấn đề
Sự bùng nổ của Công nghệ Thông tin (CNTT) đã và đang ảnh hưởng sâu rộng tới
mọi lĩnh vực của cuộc sống. Đối với các cá nhân và các doanh nghiệp, CNTT đã trở
thành một trong những nhân tố, công cụ tăng năng lực cho cá nhân và tăng hiệu xuất làm
việc của doanh nghiệp đồng thời mang lại hiệu quả kinh tế cao mà chi phí bỏ ra không
đáng kể. Đặc biệt đối với các doanh nghiệp CNTT đóng vai trò nền tảng quan trọng trong
việc khai thác các ứng dụng nghiệp vụ.
Ngày nay bên cạnh sự phát triển vượt bậc không ngừng của CNTT trên toàn thế
giới và những lợi ích to lớn mà nó mang lại, thì cũng không ít phần tử lợi dụng những lỗ
hổng trong hệ thống của các tổ chức, doanh nghiệp thâm nhập cài mã độc, virus … vào
để phá hoại hệ thống, lấy cắp thông tin để phục vụ cho những mục đích không lành mạnh
của mình.
Symantec đã chính thức công bố những k...
50 trang |
Chia sẻ: haohao | Lượt xem: 1280 | Lượt tải: 1
Bạn đang xem trước 20 trang mẫu tài liệu Đồ án Bảo vệ và phòng ngừa tấn công hệ thống mạng bằng firewall, để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên
ĐỒ ÁN:
BẢO VỆ VÀ PHÒNG NGỪA TẤN
CÔNG HỆ THỐNG MẠNG BẰNG
FIREWALL
MrTink
[Type the company name]
Chương Mở Đầu
1. Đặt vấn đề
Sự bùng nổ của Công nghệ Thông tin (CNTT) đã và đang ảnh hưởng sâu rộng tới
mọi lĩnh vực của cuộc sống. Đối với các cá nhân và các doanh nghiệp, CNTT đã trở
thành một trong những nhân tố, công cụ tăng năng lực cho cá nhân và tăng hiệu xuất làm
việc của doanh nghiệp đồng thời mang lại hiệu quả kinh tế cao mà chi phí bỏ ra không
đáng kể. Đặc biệt đối với các doanh nghiệp CNTT đóng vai trò nền tảng quan trọng trong
việc khai thác các ứng dụng nghiệp vụ.
Ngày nay bên cạnh sự phát triển vượt bậc không ngừng của CNTT trên toàn thế
giới và những lợi ích to lớn mà nó mang lại, thì cũng không ít phần tử lợi dụng những lỗ
hổng trong hệ thống của các tổ chức, doanh nghiệp thâm nhập cài mã độc, virus … vào
để phá hoại hệ thống, lấy cắp thông tin để phục vụ cho những mục đích không lành mạnh
của mình.
Symantec đã chính thức công bố những kết quả của Nghiên cứu toàn cầu về hiện
trạng bảo mật doanh nghiệp năm 2010 của hãng, theo đó 42% tổ chức coi vấn đề bảo mật
là một trong những ưu tiên hàng đầu của họ. Đây không hẳn là một điều ngạc nhiên khi
có tới 75% tổ chức được khảo sát đều ít nhiều hứng chịu các cuộc tấn công mạng trong
vòng 12 tháng vừa qua. Theo thống kê những cuộc tấn công này gây ra mức tổn thất
trung bình cho các doanh nghiệp là 2 triệu USD mỗi năm.
Có một thực trạng diễn ra hiện nay là các Hacker, Cracker những kẻ luôn tìm cách
tấn công các hệ thống doanh nghiệp, các nhân người dùng … luôn đi trước những người
quản trị viên một bước. Chính vì lý do đó những nhà quản trị mạng (Security), những
người dùng cá nhân phải tự bảo vệ hệ thống của mình “Phòng hơn là Chữa”. Hiện nay
các chuyên gia bảo mật trên thế giới đã phát triển ra các hệ thống phần mềm có thể ngăn
ngừa những sự tấn công từ bên ngoài Internet và bảo vệ hệ thống của chúng ta an toàn.
Những hệ thống như vậy được gọi là Internet Firewall hay Firewall. Để cài đặt và cấu
hình được Firewall theo nhu cầu người sử dụng thì người quản trị, cài đặt phải có những
kiến thức nhất định về tin học và mạng máy tính đề tài “BẢO VỆ VÀ PHÒNG NGỪA
TẤN CÔNG HỆ THỐNG MẠNG BẰNG FIREWALL” sẽ phần nào giúp người sử dụng
làm được điều đó.
2. Mục tiêu
Đề tài là một tài liệu tham khảo cho người đọc, những người đang ứng dụng
CNTT phục vụ cho công việc của mình, của tổ chức, doanh nghiệp có một cái nhìn tổng
quát về Firewall. Nắm được những khái niệm cơ bản về các giao thức mạng, bảo mật có
thể tự cài đặt và cấu hình cơ bản cho một hệ thống Firewall.
3. Ý nghĩa khoa học và thực tiễn
Đề tài có ý nghĩa thực tiễn hết sức quan trọng trong thời kỳ hiện nay. Giúp người
đã và đang sử dụng tiếp xúc với môi trường Internet hiểu được những gì đang đe dọa
mình và giải pháp để ngăn ngừa những đe dọa đó từ đó họ có thể tự bảo vệ mình, giảm
thiểu tối đa thiệt hại về kinh tế. Giáo dục đạo đức nghề nghiệp đối với những người đang
làm trong lĩnh vực CNTT không đem tài năng của mình ra để phá hoại người khác. Ngoài
ra việc tìm hiểu chức năng và ứng dụng của Firewall còn có ý nghĩa rất quan trọng.
Đối với cá nhân người dùng giúp chúng ta tự bảo vệ những thông tin riêng tư, những
tài liệu quan trong của cá nhân khỏi sự dòm ngó của những Hacker.
Đối với hộ gia đình, giúp con em chúng ta tránh tiếp xúc với những nội dung xấu từ
các website không lành mạnh.
Đối với các công ty, doanh nghiệp giúp bảo mật tốt thông tin nội bộ, những số liệu
mật của công ty đảm bảo sự cạnh tranh công bằng giữa các doanh nghiệp với nhau.
Đối với các Quốc gia đảm bảo tính tối mật về các thông tin quốc phòng an ninh.
4. Phạm vi nghiên cứu
Đề tài tìm hiểu và làm quen với các khái niệm cơ bản về mạng máy tính, Firewall
cài đặt và cấu hình cơ bản phần mềm ISA 2006.
Cụ thể đề tài nêu tổng quan về mạng máy tính các mô hình mạng, giao thức mạng,
hệ điều hành mạng và các dịch vụ hạ tầng trên Internet. Giới thiệu về an toàn mạng,
Firewall, proxy sever đây là những khái niệm hết sức cơ bản nhưng là nền tảng cho việc
nghiên cứu bảo mật sao cho phù hợp với hệ thống. Giới thiệu về phần mềm ISA 2006 của
Microsoft một phần mềm Firewall nổi tiếng, nhu cầu người sử dụng hiện nay đặt ra cho
hệ thống Firewall ISA 2006, các bước cơ bản cài đặt và cấu hình phần mềm ISA 2006
theo mô hình Dual-Homed Host.
5. Phương pháp nghiên cứu
5.1. Dựa trên tài liệu sách vở và Internet
Tìm hiểu các khải niệm cơ bản liên quan trực tiếp và gián tiếp đến đề tài để có
được cái nhìn tổng quan về toàn bộ đề tài. Nhằm xác định đúng đắn được mục tiêu chính
của đề tài. Tìm hiểu từ nhiều sách vở và nhiều nguồn trên Internet để từ đó so sánh và rút
ra được những gì cơ bản cần thiết và dễ hiểu nhất sau đó chắt lọc thông tin, dữ liệu tìm
được đưa vào đề tài theo từng chương, từng mục cụ thể rõ ràng.
5.2. Tham khảo sự hướng dẫn của Giáo Viên và những người có kinh nghiệm
Chủ động tìm hiểu từ Giáo Viên Hướng Dẫn (GVHD) xin ý kiến, tiếp thu những gì
giáo viên và những người có kinh nghiệm hướng dẫn cộng với những kiến thức tìm được
từ sách vở, Internet để làm tư liệu đưa vào đề tài.
Chương 1: TỔNG QUAN VỀ MẠNG MÁY TÍNH
1.1. Giới thiệu mạng máy tính và các mô hình mạng
1.1.1. Giới thiệu mạng máy tính
Mạng máy tính bao gồm nhiều thành phần, chúng được nối với nhau theo một
cách thức nào đó và cùng sử dụng chung một ngôn ngữ .
Các thiết bị đầu cuối (End System) kết nối với nhau tạo thành mạng có thể là các
máy tính (Computer) hoặc các thiết bị khác. Nói chung hiện nay ngày càng nhiều
các loại thiết bị có khả năng kết nối vào mạng máy tính như điện thoại di động,
PDA, Tivi, … .
Môi trường truyền (media) mà truyền thông được thực hiện qua đó. Môi trường
truyền có thể là các loại dây dẫn (cáp), sóng (đối với các mạng không dây),…
Giao thức (protocol) là quy tắc quy định cách thức trao đổi dữ liệu giữa các thực
thể.
Tóm lại, mạng máy tính là một tập hợp các máy tính và các thiết bị khác (các nút),
chúng sử dụng một giao thức mạng chung để chia sẻ tài nguyên với nhau nhờ các phương
tiện truyền thông mạng. [1]
1.1.2. Các mô hình mạng
Một máy tính có trên mạng có thể thuộc một trong 3 loại như sau:
Máy khách (client): không cung cấp tài nguyên mà chỉ sử dụng tài nguyên trên
mạng.
Máy chủ (server): Cung cấp tài nguyên và dịch vụ cho máy trên mạng.
Peer: Sử dụng tài nguyên trên mạng đồng thời cung cấp tài nguyên trên mạng.
1.1.2.1. Mô hình khách chủ (client/server)
Các máy khách được nối với máy chủ nhận quyền truy cập mạng và tài nguyên
mạng từ các máy chủ. Máy chủ quản lý tất cả tài nguyên và các quyền truy cập vào
mạng.
Hình 1.1: Mô hình trạm chủ (Client/Sever)
Đặc điểm:
Độ an toàn và tính bảo mật thông tin: Có độ an toàn và bảo mật thông tin
cao. Người quản trị mạng quyền truy nhập thông tin cho các máy.
Khả năng cài đặt: Khó cài đặt.
Đòi hỏi về phần cứng và phần mềm: Đòi hỏi có máy chủ, hệ điều hành
mạng và các phần cứng bổ sung.
Quản trị mạng: Phải có quản trị mạng.
Xử lý và lưu trữ tập trung: Có
Chi phí cài đặt: cao
1.1.2.2. Mô hình mạng ngang hàng(Peer-to-Peer)
Mạng ngang hàng là mạng được tạo ra bởi hai hay nhiều máy tính được kết nối với
nhau và chia sẻ tài nguyên mà không phải thông qua một máy chủ dành riêng.
Hình 1.2: Mô hình mạng ngang hàng (Peer to Peer)
Đặc điểm
Độ an toàn và tính bảo mật thông tin: Độ an toàn và bảo mật kém, phụ
thuộc vào mức truy nhập được chia sẻ.
Khả năng cài đặt: Dễ cài đặt.
Đòi hỏi về phần cứng và phần mềm: Không cần máy chủ, hệ điều hành
mạng.
Quản trị mạng: Không cần có quản trị mạng.
Xử lý và lưu trữ tập trung: Không.
Chi phí cài đặt: Thấp.
1.2. Giao thức mạng (Protocol)
Là các quy định về việc truyền thông trong mạng máy tính như cách đánh địa chỉ,
cách đóng gói các thông tin, cách mã hóa và quản lý các gói tin. [1]
Hình 1.3: Mô phỏng cách thức truyền dữ liệu giữa hai hệ thống
Một tập hợp tiêu chuẩn để trao đổi thông tin giữa hai hệ thống máy tính hoặc hai
thiết bị máy tính với nhau được gọi là giao thức. Các giao thức này còn được gọi là các
nghi thức hoặc định ước của máy tính.
1.2.1. Giao thức không có khả năng tìm đường
1.2.1.1 NetBIOS ( Network BIOS)
NetBIOS là một giao diện ứng dụng cho phép các ứng dụng truy cập các dịch vụ
trên mạng thông qua phương tiện truyền tải mạng như NetBEUI, TCP/IP, và SPX/IPX.
Cung cấp giao diện lập trình cho các ứng dụng nằm ở lớp Phiên làm việc (mô hình mạng
OSI ).
NetBIOS còn có thể được đóng gói theo các tiêu chuẩn truyền của các bộ giao
thức TCP/IP và SPX/IPX (giao thức hỗ trợ định tuyến).
Hình 1.4: Mô hình Ipv4
1.2.1.2 NetBEUI (NetBIOS Extended User Interface)
Là giao thức nằm ở lớp Transport layer (mô hình OSI). NetBEUI có cùng nguồn
gốc với NetBIOS, chúng cùng thuộc một bộ giao thức mạng chuẩn sau này được tách ra.
1.2.2. Giao thức có khả năng tìm đường
1.2.2.1. IPX/SPX
IPX (Internetwork Packet eXchange) là giao thức chính được sử dụng trong hệ
điều hành mạng Netware của hãng Novell. Giao thức này thuộc lớp mạng (network layer)
trong mô hình mạng 7 lớp OSI. Nó tương tự như giao thức IP (Internet Protocol) trong
TCP/IP. IPX chứa địa chỉ mạng (netword Address) và cho phép các gói thông tin được
chuyển qua các mạng hoặc phân mạng (subnet) khác nhau. IPX không bảo đảm việc
chuyển giao một thông điệp hoặc gói thông tin hoàn chỉnh, cũng như IP, các gói tin được
"đóng gói" theo giao thức IPX có thể bị "đánh rơi" (dropped). Do vậy, các ứng dụng có
nhu cầu truyền tin "bảo đảm" thì phải sử dụng giao thức SPX thay vì IPX.
SPX là một giao thức mạng thuộc lớp vận chuyển (transport layer network
protocol) trong mô hình mạng OSI gồm 7 lớp. Cũng như IPX, SPX là giao thức (native
protocol) của các hệ điều mạng Netware của hãng Novell. Tương tự như giao thức TCP
trong bộ TCP/IP, SPX là giao thức đảm bảo toàn bộ thông điệp truyền đi từ một máy tính
trong mạng đến một máy tính khác một cách chính xác. SPX sử dụng giao thức IPX của
Netware như là cơ chế vận chuyển (TCP sử dụng IP).
1.2.2.2. TCP/IP
Hình 1.5: Mô hình TCP/IP
TCP (Transmission Control Protocol )
Cung cấp các chức năng vận chuyển, nó bảo đảm việc toàn bộ lượng dữ liệu (dưới
dạng bytes) được truyền và nhận một cách chính xác từ máy truyền cho tới máy nhận.
Đặc trưng công nghệ: TCP là một giao thức hướng nối, tin cậy:
Vận chuyển end-to-end, tin cậy, đúng thứ tự, thông qua các phương
Dùng cơ chế báo nhận (ACK).
Dùng số thứ tự các gói tin (Sequence number).
Dùng phương pháp kiểm soát lỗi mã dư vòng (CRC).
Điều khiển lưu lượng (flow control + congestion control) bằng cửa sổ trượt có
kích thước thay đổi.
Do vậy TCP là một giao thức tương đối phức tạp.
UDP (User Datagram protocol) - là một phần của TCP/IP - là một giao thức truyền
thông thay thế cho TCP nhưng không đảm bảo bằng TCP,UDP được sử dụng phổ biến
cho các ứng dụng truyền âm thanh và phim thời gian thực (realtime voice and video
transmissions) đó là các ứng dụng bị truyền lỗi không được truyền lại.
Hình 1.6: Cấu trúc gói tin TCP
IP (Internet Protocol)
IP chấp nhận các gói dữ liệu từ các giao thức TCP và UDP, cộng thêm các thông
tin của riêng nó và "chuyển giao" thông tin cho bộ phần truyền dữ liệu.
Đặc trưng công nghệ:
Không phải thiết lập; giải phóng kết nối
Packets có thể đi theo các con đường khác nhau
Không có cơ chế phát hiện/khắc phục lỗi truyền
IP là giao thức đơn giản, độ tin cậy không cao.
Các chức năng chính:
Định nghĩa khuôn dạng gói dữ liệu (IP packet).
Định nghĩa phương thức đánh địa chỉ IP.
Chon đường (Routing).
Cắt/hợp dữ liệu (Fragmentation/ Reassembly).
Hình 1.7: Các lớp địa chỉ IP
Vì vậy, Giao thức TCP/IP được phát triển từ mạng ARPANET và Internet và được
dùng như giao thức mạng và giao vận trên mạng Internet. TCP (Transmission
Control Protocol) là giao thức thuộc tầng giao vận và IP (Internet Protocol) là giao thức
thuộc tầng mạng của mô hình OSI.
Hiện nay các máy tính của hầu hết các mạng có thể sử dụng giao thức TCP/IP để
liên kết với nhau thông qua nhiều hệ thống mạng với kỹ thuật khác nhau. Giao thức
TCP/IP thực chất là một họ giao thức cho phép các hệ thống mạng cùng làm việc với
nhau thông qua việc cung cấp phương tiện truyền thông liên mạng.
So sánh mô hình OSI và TCP/IP
Hình 1.8: So sánh hai mô hình OSI và TCP/IP
Hình ảnh bộ giao thức TCP/IP
Hình 1.9: Bộ giao thức TCP/IP
1.2.3. Giao thức định tuyến
Định tuyến là quá trình router sử dụng để chuyển tiếp các packet đến mạng đích.
Router đưa ra quyết định dựa trên địa chỉ IP đích của packet. Để có thể đưa ra được quyết
định chính xác, router phải học cách làm sao để đi đến các mạng ở xa. Khi router sử dụng
quá trình định tuyến động, thông tin này sẽ được học từ những router khác. Khi quá trình
định tuyến tĩnh được sử dụng, nhà quản trị mạng sẽ cấu hình thông tin về những mạng ở
xa bằng tay cho router.
1.2.3.1. Routing Information Protocol (RIP)
Routing Information Protocol (RIP) là giao thức định tuyến vector khoảng cách
(Distance Vector Protocol) xuất hiện sớm nhất. Nó suất hiện vào năm 1970 bởi Xerox
như là một phần của bộ giao thức Xerox Networking Services (XNS).
Chu kỳ cập nhật của RIP là 30 giây.
Thông số định tuyến của RIP là số lượng hop, giá trị tối đa là 15 hop.
Một số giới hạn của RIP
Không mang thông tin subnet mask trong thông tin định tuyến
Gửi quảng bá thông tin định tuyến theo địa chỉ 255.255.255.255
Không hỗ trợ xác minh thông tin nhận được
Không hỗ trợ VLSM và CIDR (Classless Interdomain Routing)
Sử dụng cho mạng vừa và nhỏ
1.2.3.2. Interior Gateway Routing Protocol (IGRP)
Trước những nhược điểm vốn có của RIP như: metric là hop count, kích thước
mạng tối đa là 15 hop. Cisco đã phát triển một giao thức độc quyền của riêng mình là
IGRP để khắc phục những nhược điểm đó. Cụ thể là metric của IGRP là sự tổ hợp của 5
yếu tố, mặc định là bandwidth và delay:
Bandwidth
Delay
Load
Reliability
Maximum transfer uint(MTU)
IGRP không sử dụng hop count trong metric của mình, tuy nhiên nó vẫn theo dõi
được hop count. Một mạng cài đặt IGRP thì kích thước mạng có thể nên tới 255 hop.Ưu
điểm nữa của IGRP so với RIP là nó hỗ trợ được unequal-cost load sharing và thời gian
update lâu hơn RIP gấp 3 lần.Tuy nhiên bên cạnh những ưu điểm của mình so với RIP,
IGRP cũng có những nhược điểm đó là giao thức độc quyền của Cisco.
1.2.3.3. EGP (Exterior Gateway Protocol)
Là giao thức định tuyến ngoài, vì nó xảy ra giữa các hệ thống độc lập, và liên quan
tới dịch vụ của nhà cung cấp mạng sử dụng giao thức định tuyến ngoài rộng và rất phức
tạp. Phần tử cơ bản có thể được định tuyến là hệ thống độc lập .
1.3. Các dịch vụ hạ tầng trên Internet
1.3.1. DHCP service(Dynamic Host Config Protolcol)
DHCP (Dynamic Host Configuration Protocol) là giao thức Cấu hình Host động
DHCP được thiết kế làm giảm thời gian chỉnh cấu hình cho mạng TCP/IP bằng cách tự
động gán các địa chỉ IP cho khách hàng khi họ vào mạng. DHCP tập trung việc quản lý
địa chỉ IP ở các máy tính trung tâm chạy chương trình DHCP. Mặc dù có thể gán địa chỉ
IP vĩnh viễn cho bất cứ máy tính nào trên mạng, DHCP cho phép gán tự động. Để khách
có thể nhận địa chỉ IP từ máy chủ DHCP, bạn khai báo cấu hình để khách “nhận địa chỉ
tự động từ một máy chủ”.
1.3.1.1. Hoạt động của DHCP
DHCP tự động hóa mạng lưới giao thông số các thiết bị mạng từ lỗi chịu máy chủ
DHCP. Ngay cả trong các mạng nhỏ là hữu ích vì nó có thể dể dàng gắn máy mới vào
mạng.
Khi một DHCP cấu hình máy khách (một máy tính, hay một mạng nào đó, nhận
thiết bị) kết nối đến mạng, DHCP client gởi 1 truy vấn đến phát sóng yêu cầu thông tin IP
cần thiết từ DHCP server. Các DHCP server quản lí một database địa chỉ IP và thông tin
về các tham số cấu hình máy khách như cổng mặc định, tên miền, các máy chủ DNS, các
máy chủ khác như máy chủ thời gian và nhiều thiết bị khác. Khi DHCP server nhận được
yêu cầu hợp lệ. DHCP server sẽ chọn 1 địa chỉ IP trong database của nó tới máy client,
một hợp đồng thuê với thời gian định kì(mặc định là 8 ngày) .
1.3.1.2. Phương thức bốn bước
DHCP sử dụng cơ chế 4 bước để cung cấp IP cho client:
Bước 1 (IP Lease Request)
Xảy ra khi một client mới khởi động xin cấp phép IP lần đầu hay khi nó thuê bao
lại. DHCPDISCOVER broadcast message.
Bước 2 (IP Lease Offer)
DHCP sẻ gởi lại danh sách IP đề nghị cho thuê(đảm bảo các IP này chưa được cấp
cho ai).
DHCP đợi 1 giây để nhận lại gói tin Offer này, nếu không nhận được nó sẻ
rebroadcast 4 lần vào nhịp 2, 4, 8, 16 giữa 0 đến 1000 mils. Nếu vẫn không nhận được IP
sau 4 lần broadcast DHCP client sẽ nhận được IP nằm trong khoảng 169.254.0.1 đến
169.254.255.254(để đảm bảo được liên lạc trên mạng).
DHCP client vẫn tiếp tục tìm DHCP server cứ 5 phút một lần nếu tìm thấy DHCP
server nó sẽ nhận một IP hợp lệ và có khả năng kết nối với toàn mạng.
Bước 3 (IP Lease Selection)
DHCP client sẽ gởi phản hồi lại server khi nó nhận được gói Offer bằng cách gởi
broadcast, một thông điệp DHCPREQUEST.
Bước 4 (IP Lease Acknowledgement)
DHCP server sẽ xác nhận đến client việc thuê bao hoàn tất bằng gói thông tin
DHCPPACK.
1.3.2. DNS service
DNS (Domain Name System) là Hệ thống tên miền được phát minh vào năm 1984
cho Internet, chỉ một hệ thống cho phép thiết lập tương ứng giữa địa chỉ IP và tên miền.
Hệ thống tên miền (DNS) là một hệ thống đặt tên theo thứ tự cho máy vi tính, dịch vụ,
hoặc bất kì nguồn lực tham gia vào Internet. Nó liên kết nhiều thông tin đa dạng với tên
miền được gán cho những người tham gia. Quan trọng nhất là, nó chuyển tên miền có ý
nghĩa cho con người vào số định danh (nhị phân), liên kết với các trang thiết bị mạng cho
các mục đích định vị và địa chỉ hóa các thiết bị khắp thế giới. [4]
Hình 1.10: Mô hình câyDNS (hierarchical)
Dịch vụ DNS hoạt động theo mô hình Client-Server
Server : có chức năng là phân giải tên thành IP và ngược lại IP thành tên,
được gọi là Name Server, lưu trữ cơ sở dữ liệu của DNS.
Client : truy vấn phân giải tên đến DNS server được gọi là Resolver, chứa
các hàm thư viện dùng để tạo các truy vấn (query) đến Name Server.
DNS được thi hành như 1 giao thức của tầng Application trong mô hình
mạng TCP/IP.
DNS là 1 cơ sở dữ liệu dạng phân tán được tổ chức theo mô hình cây
(hierarchical) :
Nguyên tắc làm việc
Mỗi nhà cung cấp dịch vụ vận hành và duy trì DNS server riêng của mình, gồm
các máy bên trong phần riêng của mỗi nhà cung cấp dịch vụ đó trong Internet. Tức là,
nếu một trình duyệt tìm kiếm địa chỉ của một website thì DNS server phân giải tên
website này phải là DNS server của chính tổ chức quản lý website đó chứ không phải là
của một tổ chức (nhà cung cấp dịch vụ) nào khác.
INTERNIC (Internet Network Information Center) chịu trách nhiệm theo dõi các
tên miền và các DNS server tương ứng. INTERNIC là một tổ chức được thành lập bởi
NFS (National Science Foundation), AT&T và Network Solution, chịu trách nhiệm đăng
ký các tên miền của Internet. INTERNIC chỉ có nhiệm vụ quản lý tất cả các DNS server
trên Internet chứ không có nhiệm vụ phân giải tên cho từng địa chỉ.
DNS có khả năng tra vấn các DNS server khác để có được một cái tên đã được
phân giải. DNS server của mỗi tên miền thường có hai việc khác biệt. Thứ nhất, chịu
trách nhiệm phân giải tên từ các máy bên trong miền về các địa chỉ Internet, cả bên trong
lẫn bên ngoài miền nó quản lý. Thứ hai, chúng trả lời các DNS server bên ngoài đang cố
gắng phân giải những cái tên bên trong miền nó quản lý. - DNS server có khả năng ghi
nhớ lại những tên vừa phân giải. Để dùng cho những yêu cầu phân giải lần sau. Số lượng
những tên phân giải được lưu lại tùy thuộc vào quy mô của từng DNS.
Chương 2: TỔNG QUAN VỀ AN TOÀN MẠNG VÀ FIREWALL
2.1. An toàn mạng
2.1.1. Khái niệm an toàn mạng
Máy tính có phần cứng chứa dữ liệu do hệ điều hành quản lý, đa số các máy tính
nhất là các máy tính trong công ty, doanh nghiệp được nối mạng Lan và Internet. Nếu
như máy tính, hệ thống mạng của bạn không được trang bị hệ thống bảo vệ vậy chẳng
khác nào bạn đi khỏi căn phòng của mình mà quên khóa cửa, máy tính của bạn sẽ là mục
tiêu của virus, worms, unauthorized user … chúng có thể tấn công vào máy tính hoặc cả
hệ thống của bạn bất cứ lúc nào.
Vậy an toàn mạng có nghĩa là bảo vệ hệ thống mạng, máy tính khỏi sự phá hoại
phần cứng hay chỉnh sửa dữ liệu (phần mềm) mà không được sự cho phép từ những
người cố ý hay vô tình. An toàn mạng cung cấp giải pháp, chính sách, bảo vệ máy tính,
hệ thống mạng để làm cho những người dùng trái phép, cũng như các phần mềm chứa mã
độc xâm nhập bất hợp pháp vào máy tính, hệ thống mạng của bạn.
2.1.2. Phân loại các kiểu tấn công hệ thống phổ biến
2.1.2.1. Tấn công trực tiếp
Những cuộc tấn công trực tiếp thông thường được sử dụng trong giai đoạn đầu để
chiếm quyền truy nhập bên trong. Một phương pháp tấn công cổ điển là dò tìm tên người
sử dụng và mật khẩu. Đây là phương pháp đơn giản, dễ thực hiện và không đòi hỏi một
điều kiện đặc biệt nào để bắt đầu. Kẻ tấn công có thể sử dụng những thông tin như tên
người dùng, ngày sinh, địa chỉ, số nhà vv.. để đoán mật khẩu.
Phương pháp sử dụng các lỗi của chương trình ứng dụng và bản thân hệ điều hành
đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được tiếp tục để chiếm quyền truy
nhập. Trong một số trường hợp phương pháp này cho phép kẻ tấn công có được quyền
của người quản trị hệ thống (Root hay Administrator).
Hai ví dụ thường xuyên được đưa ra để minh hoạ cho phương pháp này là chương
trình sendmail và chương trình rlogin của hệ điều hành UNIX.
Sendmail là một chương trình phức tạp, với mã nguồn bao gồm hàng ngàn dòng
lệnh của ngôn ngữ C. Sendmail được chạy với quyền ưu tiên của người quản trị hệ
thống, do chương trình phải có quyền ghi vào hộp thư của những người sử dụng
máy. Và Sendmail trực tiếp nhận các yêu cầu về thư tín trên mạng bên ngoài. Đây
chính là những yếu tố làm cho sendmail trở thành một nguồn cung cấp những lỗ
hổng về bảo mật để truy nhập hệ thống.
Rlogin cho phép người sử dụng từ một máy trên mạng truy nhập từ xa vào một
máy khác sử dụng tài nguyên của máy này.
2.1.2.2. Nghe trộm
Việc nghe trộm thông tin trên mạng có thể đưa lại những thông tin có ích như tên,
mật khẩu của người sử dụng, các thông tin mật chuyển qua mạng. Việc nghe trộm thường
được tiến hành ngay sau khi kẻ tấn công đã chiếm được quyền truy nhập hệ thống, thông
qua các chương trình cho phép đưa card giao tiếp mạng (Network Interface Card-NIC)
vào chế độ nhận toàn bộ các thông tin lưu truyền trên mạng. Những thông tin này cũng có
thể dễ dàng lấy được trên Internet.
2.1.2.3. Giả mạo địa chỉ
Việc giả mạo địa chỉ IP có thể được thực hiện thông qua việc sử dụng khả năng
dẫn đường trực tiếp (source-routing). Với cách tấn công này, kẻ tấn công gửi các gói tin
IP tới mạng bên trong với một địa chỉ IP giả mạo (thông thường là địa chỉ của một mạng
hoặc một máy được coi là an toàn đối với mạng bên trong), đồng thời chỉ rõ đường dẫn
mà các gói tin IP phải gửi đi.
2.1.2.4. Vô hiệu hóa chức năng của hệ thống (denial of service)
Đây là kiểu tấn công nhằm tê liệt hệ thống, không cho nó thực hiện chức năng mà
nó thiết kế. Kiểu tấn công này không thể ngăn chặn được, do những phương tiện được tổ
chức tấn công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên
mạng. Ví dụ sử dụng lệnh ping với tốc độ cao nhất có thể, buộc một hệ thống tiêu hao
toàn bộ tốc độ tính toán và khả năng của mạng để trả lời các lệnh này, không còn các tài
nguyên để thực hiện những công việc có ích khác.
2.1.2.5. Lỗi của người quản trị hệ thống
Đây không phải là một kiểu tấn công của những kẻ đột nhập, tuy nhiên lỗi của
người quản trị hệ thống thường tạo ra những lỗ hổng cho phép kẻ tấn công sử dụng để
truy nhập vào mạng nội bộ.
2.1.2.6. Tấn công vào yếu tố con người
Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả làm một người sử
dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệ thống,
hoặc thậm chí thay đổi một số cấu hình của hệ thống để thực hiện các phương pháp tấn
công khác. Với kiểu tấn công này không một thiết bị nào có thể ngăn chặn một cách hữu
hiệu, và chỉ có một cách giáo dục người sử dụng mạng nội bộ về những yêu cầu bảo mật
để đề cao cảnh giác với những hiện tượng đáng nghi. Nói chung yếu tố con người là một
điểm yếu trong bất kỳ một hệ thống bảo vệ nào, và chỉ có sự giáo dục cộng với tinh thần
hợp tác từ phía người sử dụng có thể nâng cao được độ an toàn của hệ thống bảo vệ.
2.1.3. Tầm quan trọng của việc bảo mật mạng
Bảo mật mạng máy tính có tầm quan trọng rất lớn. Trong hầu hết các lĩnh vực kinh
tế, chính trị, văn hóa trong xã hội nhất là đối với thời đại hiện nay nghành công nghệ
thông tin đang phát triển mạnh mẽ và có ứng dụng rộng lớn thì việc bảo mật mạng càng
trở nên cấp thiết và quan trọng hơn bao giời hết.
Đối với cá nhân người sử dụng việc bảo mật mạng giúp hệ thống máy tính của
mình, khỏi sự dòm ngó của hacker, bảo vệ an toàn hệ thống phần cứng, phần mềm và dữ
liệu quan trọng. Giúp người dùng cảm thấy an toàn hơn khi làm việc trên môi trường
mạng Internet.
Đối với các Doanh nghiệp, các Tổ chức giúp họ giữ an toàn và bí mật dữ liệu và
các thông tin tối mật của công ty, tổ chức, tránh mất mát, rò rỉ thông tin ra ngoài gây ảnh
hưởng đến danh tiếng và uy tín của doanh nghiệp. Tạo ra một môi trường kinh doanh
lành mạnh giữa các doanh nghiệp và hiệu quả công việc sẽ cao hơn, giảm thiểu tối đa
thiệt hại do những cộc tấn công phá hoại của hacker gây ra.
Vấn đề an ninh bảo mật mạng còn liên quan trực tiếp đến an ninh Quốc Gia, chống
sự thâm nhập, khủng bố của tin tặc nhằm quấy rối trật tự trong dân chúng, tuyên truyền
chống phá đảng và nhà nước ta, lấy cắp thông tin tối mật của quốc gia và khi đó hậu quả
sẽ không thể lường trước được.
2.1.4. Giải pháp
Sự bùng nổ của Công nghệ Thông tin (CNTT) đã và đang ảnh hưởng sâu rộng tới
mọi lĩnh vực của cuộc sống. Đối với các doanh nghiệp, CNTT đã trở thành một trong
những nhân tố tăng sức mạnh, khả năng cạnh tranh trên thị trường, đóng vai trò nền tảng
trong việc khai thác các ứng dụng nghiệp vụ. Và trong thời đại hiện nay CNTT cũng là
công cụ không thể thiếu cho cá nhân người dùng, hay các hộ gia đình nhằm tăng năng
xuất công việc và phục vụ cho nhu cầu tìm kiếm thông tin. Chính vì vậy hiện nay mỗi
doanh nghiệp, cá nhân người dùng đang cố gắng xây dựng cho mình một hệ thống thông
tin vững mạnh, ổn định, an toàn và hiệu quả.
Để làm được điều đó phải có một công cụ một giải pháp cụ thể phù hợp với tình
hình thực tế hiện nay, đáp ứng được nhu cầu bảo mật thông tin, dữ liệu chống mất mát,
sai lệch bóp méo thông tin của cá nhân hay tổ chức sử dụng hệ thống, đề phòng và ngăn
chặn những cuộc tấn công từ phía ngoài vào bên trong hệ thống, cũng như kiểm soát
thông tin từ bên trong mạng cục bộ ra ngoài Internet.
Từ nhu cầu đó hệ thống Internet Firewall ra đời và nó ngày càng được hoàn thiện
hơn để đáp ứng được nhu cầu ngày cang cao của người sử dụng giúp bảo vệ tốt hệ thống
máy tính các nhân và hệ thống mạng cục bộ được an toàn hơn, Firewall đóng vai trò như
một người gác cổng.
Hình 2.1: Mô hình mạng phổ biến ở các doanh nghiệp khi chưa có Firewall
Hình 2.2: Mô hình mạng sau khi được lắp đặt một hệ thống Firewall
2.2. Tìm hiểu về Firewall
2.2.1. Khái niệm Firewall
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn
chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được
tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông
tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu
Firewall là một cơ chế (mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi
các mạng không tin tưởng (Untrusted network).
Internet Firewall là một thiết bị (Phần cứng + Phần mềm) giữa mạng của một tổ
chức, một công ty, một quốc gia (Intranet) và Internet. Nó thực hiện vai trò bảo mật các
thông tin Intranet từ thế giới Internet bên ngoài.
2.2.2. Phân loại và đặc điểm Firewall
2.2.2.1. Firewall cứng
Là những firewall được tích hợp trên Router.
Hình 2.3: Minh họa Firewall cứng
Đặc điểm của Firewall cứng:
Không được linh hoạt như Firewall mềm: (Không thể thêm chức năng,
thêm quy tắc như firewall mềm)
Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Network và
tầng Transport).
Firewall cứng không thể kiểm tra được nột dung của gói tin.
Ví dụ :Firewall cứng: NAT (Network Address Translate).
2.2.2.2. Firewall mềm
Là những Firewall được cài đặt trên Server.
Hình 2.4: Minh họa Firewall mềm
Đặc điểm của Firewall mềm:
Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng.
Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứng dụng).
Firewal mềm có thể kiểm tra được nội dung của gói tin (thông qua các từ khóa).
Ví dụ về Firewall mềm: Zone Alarm, Norton Firewall, Internet security acceleration …
2.2.3. Vì sao cần Firewall
Hình 2.5: Các luồng dữ trao đổi dữ liệu từ PC ra Internet và ngược lại khi có
Firewall và không có Firwall
Nếu máy tính của bạn không được bảo vệ, khi bạn kết nối Internet, tất cả các giao
thông ra vào mạng đều được cho phép, vì thế hacker, trojan, virus có thể truy cập và lấy
cắp thông tin cá nhân cuả bạn trên máy tính. Chúng có thể cài đặt các đoạn mã để tấn
công file dữ liệu trên máy tính. Đồng thời chúng còn sử dụng máy tính cuả bạn để tấn
công một máy tính của gia đình hoặc doanh nghiệp khác kết nối Internet. Một firewall có
thể giúp bạn thoát khỏi gói tin hiểm độc trước khi nó đến.
2.2.4. Chức năng
Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và Internet.
Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng
Internet. Cụ thể là:
Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet).
Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào
Intranet).
Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.
Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.
Kiểm soát người sử dụng và việc truy nhập của người sử dụng.
Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng.
2.2.5. Nhiệm vụ Firewall
Nhiệm vụ cơ bản của FireWall là bảo vệ những vấn đề sau :
Dữ liệu : Những thông tin cần được bảo vệ do những yêu cầu sau:
Bảo mât.
Tính toàn vẹn.
Tính kịp thời.
Tài nguyên hệ thống.
Danh tiếng của công ty sở hữu các thông tin cần bảo vệ.
2.2.6. Những hạn chế của firewall
Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông
tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập
của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa
chỉ.
Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không "đi
qua" nó. Một cách cụ thể, firewall không thể chống lại một cuộc tấn công từ một đường
dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm.
Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-driven
attack). Khi có một số chương trình được chuyển theo thư điện tử, vượt qua firewall vào
trong mạng được bảo vệ và bắt đầu hoạt động ở đây.
Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét virus
trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các
virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của
firewall.
Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi.
2.2.7. Các thành phần của Firewall và nguyên lý hoạt động
Firewall chuẩn bao gồm một hay nhiều các thành phần sau đây:
Bộ lọc packet (packet-filtering router).
Cổng ứng dụng (application-level gateway hay proxy server).
Cổng mạch (circuite level gateway).
2.2.7.1. Bộ lọc gói (Packet Filtering)
a. Nguyên lý hoạt động.
Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua Firewall thì
điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức TCI/IP. Vì giao thức này
làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay
nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP,
NFS...) thành các gói dữ liệu (data pakets) rồi gán cho các paket này những địa chỉ để có
thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất
nhiều đến các packet và những con số địa chỉ của chúng.
Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra toàn
bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các luật lệ
của lọc packet hay không. Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi
packet (packet header), dùng để cho phép truyền các packet đó ở trên mạng. Đó là:
Địa chỉ IP nơi xuất phát ( IP Source address).
Địa chỉ IP nơi nhận (IP Destination address).
Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel).
Cổng TCP/UDP nơi xuất phát (TCP/UDP source port).
Cổng TCP/UDP nơi nhận (TCP/UDP destination port).
Dạng thông báo ICMP ( ICMP message type).
Giao diện packet đến ( incomming interface of packet).
Giao diện packet đi ( outcomming interface of packet).
Nếu luật lệ lọc packet được thoả mãn thì packet được chuyển qua firewall. Nếu
không packet sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào các
máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thống mạng
nội bộ từ những địa chỉ không cho phép. Hơn nữa, việc kiểm soát các cổng làm cho
Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào
đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP...) được phép mới chạy được
trên hệ thống mạng cục bộ.
b. Ưu điểm và hạn chế
Ưu điểm
Đa số các hệ thống firewall đều sử dụng bộ lọc packet. Một trong những ưu điểm
của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã được bao
gồm trong mỗi phần mềm router. Ngoài ra, bộ lọc packet là trong suốt đối với người sử
dụng và các ứng dụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả.
Hạn chế
Việc định nghĩa các chế độ lọc packet là một việc khá phức tạp; đòi hỏi ngời quản
trị mạng cần có hiểu biết chi tiết về các dịch vụ Internet, các dạng packet header, và các
giá trị cụ thể có thể nhận trên mỗi trường. Khi đòi hỏi về sự lọc càng lớn, các luật lệ về
lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển. Do làm việc dựa trên
header của các packet, rõ ràng là bộ lọc packet không kiểm soát được nội dung thông tin
của packet. Các packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn
cắp thông tin hay phá hoại của kẻ xấu.
2.2.7.2. Cổng ứng dụng (Application-Level Gateway)
a. Nguyên lý hoạt động
Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát các loại
dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng. Cơ chế hoạt động của nó
dựa trên cách thức gọi là Proxy service. Proxy service là các bộ code đặc biệt cài đặt trên
gateway cho từng ứng dụng. Nếu người quản trị mạng không cài đặt proxy code cho một
ứng dụng nào đó, dịch vụ tương ứng sẽ không được cung cấp và do đó không thể chuyển
thông tin qua firewall. Ngoài ra, proxy code có thể được định cấu hình để hỗ trợ chỉ một
số đặc điểm trong ứng dụng mà người quản trị mạng cho là chấp nhận được trong khi từ
chối những đặc điểm khác.
Một cổng ứng dụng thường đợc coi như là một pháo đài (bastion host), bởi vì nó
được thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài. Những biện pháp đảm bảo an
ninh của một bastion host là bastion host luôn chạy các version an toàn (secure version)
của các phần mềm hệ thống (Operating system). Các version an toàn này được thiết kế
chuyên cho mục đích chống lại sự tấn công vào Operating System, cũng như là đảm bảo
sự tích hợp firewall. Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới
được cài đặt trên bastion host, đơn giản chỉ vì nếu một dịch vụ không được cài đặt, nó
không thể bị tấn công. Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ
Telnet, DNS, FTP, SMTP và xác thực user là được cài đặt trên bastion host. Bastion host
có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như user password hay smart
card. Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một sồ các máy chủ nhất
định. Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúng với
một số máy chủ trên toàn hệ thống. Mỗi proxy duy trì một quyển nhật ký ghi chép lại
toàn bộ chi tiết của giao thông qua nó, mỗi sự kết nối, khoảng thời gian kết nối. Nhật ký
này rất có ích trong việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại. Mỗi proxy đều độc
lập với các proxies khác trên bastion host. Điều này cho phép dễ dàng quá trình cài đặt
một proxy mới, hay tháo gỡ môt proxy đang có vấn để.
b. Ưu điểm và hạn chế
Ưu điểm
Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên mạng,
bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy
nhập được bởi các dịch vụ. Cho phép người quản trị mạng hoàn toàn điều khiển được
những dịch vụ nào cho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng
có nghĩa là các dịch vụ ấy bị khoá. Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt,
và nó có nhật ký ghi chép lại thông tin về truy nhập hệ thống. Luật lệ lọc filltering cho
cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so với bộ lọc packet.
Hạn chế
Yêu cầu các users thay đổi thao tác, hoặc thay đổi phần mềm đã cài đặt trên máy
client cho truy nhập vào các dịch vụ proxy. Chẳng hạn, Telnet truy nhập qua cổng ứng
dụng đòi hỏi hai bước để nối với máy chủ chứ không phải là một bước thôi. Tuy nhiên,
cũng đã có một số phần mềm client cho phép ứng dụng trên cổng ứng dụng là trong suốt,
bằng cách cho phép user chỉ ra máy đích chứ không phải cổng ứng dụng trên lệnh Telnet.
2.2.7.3. Cổng vòng (Circuit-Level Gateway)
Cổng vòng là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng
dụng. Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện
bất kỳ một hành động xử lý hay lọc packet nào.
Hình dưới đây minh hoạ một hành động sử dụng nối telnet qua cổng vòng. Cổng
vòng đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực hiện một sự kiểm
tra, lọc hay điều khiển các thủ tục Telnet nào.Cổng vòng làm việc như một sợi dây,sao
chép các byte giữa kết nối bên trong (inside connection) và các kết nối bên ngoài (outside
connection). Tuy nhiên, vì sự kết nối này xuất hiện từ hệ thống firewall, nó che dấu thông
tin về mạng nội bộ.
out
out
out
in
in
in
Circuit-level Gateway
Hình 2.6: Minh họa nối Telnet qua cổng vòng đơn giản
Cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà các quản trị
mạng thật sự tin tưởng những người dùng bên trong. Ưu điểm lớn nhất là một bastion
host có thể được cấu hình như là một hỗn hợp cung cấp. Cổng ứng dụng cho những kết
nối đến, và cổng vòng cho các kết nối đi. Điều này làm cho hệ thống bức tường lửa dễ
dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy nhập tới các dịch
vụ Internet, trong khi vẫn cung cấp chức năng bức tường lửa để bảo vệ mạng nội bộ từ
những sự tấn công bên ngoài.
2.2.8. Kiến trúc cơ bản của Firewall
2.2.9. Dual homed host
Dual–homed Host là hình thức xuất hiện đầu tiên trong cuộc đấu để bảo vệ mạng
nội bộ. Dual–homed Host là một máy tính có hai giao tiếp mạng một nối với mạng cục bộ
và một nối với mạng ngoài (Internet).
Hệ điều hành của Dual–homed Host được sửa đổi để chức năng chuyển các gói tin
(Packet forwarding) giữa hai giao tiếp mạng này không hoạt động. Để làm việc được với
một máy trên Internet, người dùng ở mạng cục bộ trước hết phải login vào Dual–homed
Host, và từ đó bắt đầu phiên làm việc.
Hình 2.7: Sơ đồ kiến trúc Dual–homed Host
Ưu điểm của Dual–homed Host:
Cài đặt dễ dàng, không yêu cầu phần cứng hoặc phần mềm đặc biệt.
Dual–homed Host chỉ yêu cầu cấm khả năng chuyển các gói tin, do vậy, thông
thường trên các hệ Unix, chỉ cần cấu hình và dịch lại nhân (Kernel) của hệ điều
hành là đủ.
Nhược điểm của Dual–homed Host:
Không đáp ứng được những yêu cầu bảo mật ngày càng phức tạp, cũng như những
hệ phần mềm mới được tung ra thị trường.
Không có khả năng chống đỡ những cuộc tấn công nhằm vào chính bản thân nó,
và khi Dual–homed Host đó bị đột nhập, nó sẽ trở thành đầu cầu lý tưởng để tấn
công vào mạng nội bộ.
Đánh giá về kiến trúc Dual–homed Host:
Để cung cấp dịch vụ cho những người sử dụng internal network có một số giải
pháp như sau:
Kết hợp với các Proxy Server cung cấp những Proxy Service
Cấp các account cho user trên máy dual–homed host này và khi mà người sử dụng
muốn sử dụng dịch vụ từ Internet hay dịch vụ từ external network thì họ phải
logging in vào máy này.
Nếu dùng phương pháp cấp account cho user trên máy dual– homed host thì user
không thích sử dụng dịch vụ phiền phức như vậy, vì mỗi lần họ muốn sử dụng dịch vụ thì
phải loging in vào máy khác (dual homed host) khác với máy của họ đây là vấn đề rất là
không trong suốt với người sử dụng.
Nếu dùng Proxy Server : Khó có thể cung cấp được nhiều dịch vụ cho người sử
dụng vì phần mềm Proxy Server và Proxy Client không phải loại dịch vụ nào cũng có
sẵn. Hoặc khi số dịch vụ cung cấp nhiều thì khả năng đáp ứng của hệ thống có thể giảm
xuống vì tất cả các Proxy Server đều đặt trên cùng một máy.
Một khuyết điểm cơ bản của hai mô hình trên nữa là: khi mà máy dual –homed
host nói chung cũng như các Proxy Server bị đột nhập vào. Người tấn công (attacker) đột
nhập vào được qua nó thì lưu thông bên trong internal network bị attacker này thấy hết
điều này thì hết sức nguy hiểm . Trong các hệ thống mạng dùng Ethernet hoặc Token
Ring thì dữ liệu lưu thông trong hệ thống có thể bị bất kỳ máy nào nối vào mạng đánh
cắp dữ liệu cho nên kiến trúc trên chỉ thích hợp với một số mạng nhỏ .
2.2.8.2. Screened Host
Kiến trúc này kết hợp 2 kỹ thuật đó là Packet Filtering và Proxy Services.
Packet Filtering: Lọc một số loại dịch vụ mà hệ thống muốn cung cấp sử dụng Proxy
Server, bắt người sử dụng nếu muốn dùng dịch vụ thì phải kết nối đến Proxy Server mà
không được bỏ qua Proxy Server để nối trực tiếp với mạng bên trong/bên ngoài
(internal/external network), đồng thời có thể cho phép Bastion Host mở một số kết nối
với internal/external host.
Proxy Service: Bastion Host sẽ chứa các Proxy Server để phục vụ một số dịch vụ hệ
thống cung cấp cho người sử dụng qua Proxy Server.
Hình 2.8: Sơ đồ kiến trúc Screened Host
Ưu điểm
Kiến trúc screened host hay hơn kiến trúc dual–homed host ở một số điểm cụ thể
sau:
Dual–Homed Host: Khó có thể bảo vệ tốt vì máy này cùng lúc cung cấp nhiều
dịch vụ, vi phạm qui tắc căn bản là mỗi phần tử hay thành phần nên giữ ít chức
năng nếu có thể được (mỗi phần tử nên giữ ít chức năng càng tốt), cũng như tốc độ
đáp ứng khó có thể cao vì cùng lúc đảm nhận nhiều chức năng.
Screened Host: Đã tách chức năng lọc các gói IP và các Proxy Server ở hai máy
riêng biệt. Packet Filtering chỉ giữ chức năng lọc gói nên có thể kiểm soát, cũng
như khó xảy ra lỗi (tuân thủ qui tắc ít chức năng). Proxy Servers được đặt ở máy
khác nên khả năng phục vụ (tốc độ đáp ứng) cũng cao.
Nhược điểm
Cũng tương tự như kiến trúc Dual–Homed Host khi mà Packet Filtering system
cũng như Bastion Host chứa các Proxy Server bị đột nhập vào (người tấn công đột
nhập được qua các hàng rào này) thì lưu thông của internal network bị người tấn
công thấy.
Từ khuyết điểm chính của 2 kiến trúc trên ta có kiến trúc thứ 3 sau đây khắc phục
được phần nào khuyết điểm trên .
2.2.8.3. Screened Subnet
Hình 2.9: Sơ đồ kiến trúc Screened Subnet Host
Với kiến trúc này, hệ thống này bao gồm hai Packet–Filtering Router và một
Bastion Host (hình 2.7). Kiến trúc này có độ an toàn cao nhất vì nó cung cấp cả mức bảo
mật Network và Application trong khi định nghĩa một mạng perimeter network. Mạng
trung gian (DMZ) đóng vai trò như một mạng nhỏ, cô lập đặt giữa Internet và mạng nội
bộ. Cơ bản, một DMZ được cấu hình sao cho các hệ thống trên Internet và mạng nội bộ
chỉ có thể truy nhập được một số giới hạn các hệ thống trên mạng DMZ, và sự truyền
trực tiếp qua mạng DMZ là không thể được.
Với những thông tin đến, Router ngoài (Exterior Router) chống lại những sự tấn
công chuẩn (như giả mạo địa chỉ IP), và điều khiển truy nhập tới DMZ. Nó chỉ cho phép
hệ thống bên ngoài truy nhập Bastion Host. Router trong (Interior Router) cung cấp sự
bảo vệ thứ hai bằng cách điều khiển DMZ truy nhập mạng nội bộ chỉ với những truyền
thông bắt đầu từ Bastion Host.
Với những thông tin đi, Router trong điều khiển mạng nội bộ truy nhập tới DMZ. Nó chỉ
cho phép các hệ thống bên trong truy nhập Bastion. Quy luật Filtering trên Router ngoài
yêu cầu sử dụng dịch vụ Proxy bằng cách chỉ cho phép thông tin ra bắt nguồn từ Bastion
Host.
Ưu điểm
Kẻ tấn công cần phá vỡ ba tầng bảo vệ: Router ngoài, Bastion Host và Router trong.
Bởi vì Router ngoài chỉ quảng bá DMZ Network tới Internet, hệ thống mạng nội
bộ là không thể nhìn thấy (invisible). Chỉ có một số hệ thống đã được chọn ra trên
DMZ là được biết đến bởi Internet qua routing table và DNS information
exchange ( Domain Name Server ).
Bởi vì Router trong chỉ quảng cáo DMZ Network tới mạng nội bộ, các hệ thống
trong mạng nội bộ không thể truy nhập trực tiếp vào Internet. Điều nay đảm bảo
rằng những user bên trong bắt buộc phải truy nhập Internet qua dịch vụ Proxy.
Đánh giá về kiến trúc Screened Subnet Host:
Đối với những hệ thống yêu cầu cung cấp dịch vụ nhanh, an toàn cho nhiều người
sử dụng đồng thời cũng như khả năng theo dõi lưu thông của mỗi người sử dụng trong hệ
thống và dữ liệu trao đổi giữ các người dùng trong hệ thống cần được bảo vệ thì kiến trúc
cơ bản trên phù hợp.
Để tăng độ an toàn trong internal network, kiến trúc screen subnet ở trên sử dụng
thêm một mạng DMZ (DMZ hay perimeter network) để che phần nào lưu thông bên
trong internal network. Tách biệt internal network với Internet.
Sử dụng 2 Screening Router : Exterior Router và Interior Router.
Áp dụng qui tắc dư thừa có thể bổ sung thêm nhiều mạng trung gian (DMZ hay
perimeter network) càng tăng khả năng bảo vệ càng cao.
Ngoài ra, còn có những kiến trúc biến thể khác như: sử dụng nhiều Bastion Host,
ghép chung Router trong và Router ngoài, ghép chung Bastion Host và Router ngoài.
2.2.8.4. Demilitarized Zone (DMZ)
DMZ (khu vực phi quân sự) là một vùng mạng trung lập giữa mạng nội bộ và
mạng internet, là nơi chứa các thông tin cho phép người dùng từ internet truy xuất vào và
chấp nhận các rủi ro tấn công từ internet. Hệ thống firewall này có độ an toàn cao nhất vì
nó cung cấp cả mức bảo mật network và application.
Hình 2.10: Vùng DMZ được tách riêng với mạng nội bộ
Ưu điểm:
Kẻ tấn công cần phá vỡ ba tầng bảo vệ: router ngoài, bastion host và router trong.
Router ngoài chỉ quảng cáo DMZ network tới Internet, hệ thống mạng nội bộ là
không thể nhìn thấy (invisible). Chỉ có một số hệ thống đã được chọn ra trên DMZ
là được biết đến bởi Internet qua routing table và DNS information exchange
(Domain Name Server).
Router trong chỉ quảng cáo DMZ network tới mạng nội bộ, các hệ thống trong
mạng nội bộ không thể truy nhập trực tiếp vào Internet. Điều nay đảm bảo rằng
những user bên trong bắt buộc phải truy nhập Internet qua dịch vụ proxy.
Chương 3: GIỚI THIỆU PHẦN MỀM ISA 2006
CÀI ĐẶT VÀ CẤU HÌNH ISA 2006
3.1. Tổng quan về ISA 2006 (Internet Security Acceleration)
Internet Security and Acceleration Server là phần mềm của hãng Microsoft được
tích hợp tính năng tường lửa và bộ nhớ cache nhằm đảm bảo hoạt động cho hệ thống
mạng và cải thiện hiệu xuất của hệ thống. ISA Server là một nền tảng mở rộng cung cấp
an ninh, phần cứng dự phòng (hardware redundancy) và cân bằng tải (load balancing), sử
dụng tài nguyên mạng một cách hiệu quả nhờ cơ chế bộ nhớ đệm tinh vi và các công cụ
quản trị. Với các tính năng đó ISA được sử dụng như một Firewall. Hiện Microsoft phát
hành 2 phiên bản ISA server Enterprise 2006 và ISA server Standard 2006.
3.2. Các chức năng của ISA 2006
3.2.1.Tính năng Firewall
Về mặc chức năng ISA Server chính là một firewall. Bởi mặc định, khi bạn triển
khai ISA Server, nó sẽ khóa tất cả các giao thông (traffic) giữa các mạng mà nó làm
Server, bao gồm mạng nội bộ (internal network), vùng DMZ và Internet. ISA Server
2006 dùng 3 loại quy tắc lọc (filtering rule) để ngăn chặn hoặc cho phép các giao thông
mạng (network traffic), đó là packet filtering, stateful filtering và application-layer
filtering.
3.2.2. Tính năng Proxy
Khi các Client trong hệ thống truy cập ra Internet, việc để lộ IP nguồn ra Internet
là cơ hội cho các Hacker tấn công vào hệ thống. ISA đưa ra một cơ chế che dấu các thông
tin khi Client truy cập Internet.
3.2.3. Thiết lập mạng VPN
ISA Server cung cấp một giải pháp truy cập VPN từ xa được tích hợp trong
firewall. Khi những máy trạm ở xa kết nối đến ISA Server bằng VPN, thì các máy trạm
đó được đưa vào mạng ‘VPN Clients network’. Mạng này được xem như bất kỳ một
mạng nào khác trên ISA Server, nghĩa là bạn có thể cấu hình ‘firewall rule’ để lọc tất cả
‘traffic’ từ các máy trạm VPN. ISA Server còn cung cấp chức năng giám sát cách ly VPN
(VPN quarantine control). ‘VPN quarantine control’ hoãn lại sự truy cập từ xa đến một
mạng riêng cho đến khi cấu hình của máy trạm truy cập từ xa được kiểm định và công
nhận bởi một ‘client-side-script’.
3.2.4. Tính năng Web Cache
Để tăng tốc truy cập Internet, ISA xây dựng cơ chế web Caching, cho phép Cache
các trang web có lượng truy cập lớn về Server. Nếu các Client truy cập vào Site đã được
Cache trong Server thì nội dung site đó sẽ được lấy về từ ISA Server mà không phải đi ra
Internet. Từ đó tăng tốc độ truy cập Internet.
3.2.5. Tính năng Public Server
Để Public các Site lên Internet, chúng ta cần các IP Public. Do vậy chúng ta phải
thanh toán chi phí thuê bao các địa chỉ IP này. Để tiết kiệm chi phí,chúng ta chỉ sử dụng
một IP Public và Public các Server nội bộ lên Internet nhờ ISA Server.
Muốn cấu hình việc ‘publish’ trong ISA Server, bạn cấu hình một ‘publishing
rule’ để chỉ định cách thức mà ISA Server đáp lại những yêu cầu từ internet. ISA Server
cung cấp 3 loại ‘publishing rule’ khác nhau là Web publishing rule, secure Web
publishing rule, và Server publishing rule.
3.3. Nhu cầu người sử dụng đặt ra cho hệ thống mô hình và giải pháp
3.3.1. Nhu cầu người sử dụng đặt ra
Ngày nay, thông tin số là tài sản nòng cốt của mọi tổ chức. Tổ chức và các hệ
thống thông tin đang đối mặt với những nguy cơ về an ninh là rất lớn. Chúng phát sinh từ
rất nhiều nguồn và nguyên nhân khác nhau như mã độc hại, tin tặc. Hình thức tấn công
phá hoại ngày càng phổ biến, tinh vi hơn. Vì thế thực tế hiện nay bảo mật thông tin đang
đóng một vai trò thiết yếu chứ không còn là “thứ yếu” trong mọi hoạt động liên quan đến
việc ứng dụng công nghệ thông tin trong các hệ thống thông tin quan trọng.
Nhu cầu của người sử dụng đặt ra ngày càng cao để bảo vệ hệ thống của mình.
Cần có một hệ thống bảo vệ an toàn và vững chắc trước những cuộc tấn công từ bên
ngoài và bên trong hệ thống, phòng tránh được những thiệt hại do các cuộc tấn công đó
gây ra. Cụ thể các nhu cầu đặt ra cho một hệ thống bảo mật như là:
Giao diện dễ sử dụng.
Hoạt động ổn định ít lỗi.
Hỗ trợ tốt cho hệ thống mạng giúp tăng hiệu xuất phần cứng và tốc độ truy cập
mạng của hệ thống.
Bảo vệ tốt hầu hết các cuộc tấn công từ bên ngoài.
Linh động trong việc thêm hoặc bớt các luật cấm truy cập và cho phép truy cập.
3.3.2. Mô hình và giải pháp
3.3.2.1. Mô Hình
Đây là một hệ thống mạng mà các doanh nghiệp hay tổ chức thường hay sửa
dụng.
Hình 3.1: Mô hình mạng chuẩn cho các doanh nghiệp
Hình 3.2: Mô hình mạng cho các doanh nghiệp vừa và nhỏ
Một doanh nghiệp cần triển khai một hệ thống mạng bao gồm:
Máy server cung cấp các dịch vụ cơ bản: Web Server, Mail Server, FTP Server,
Printer Server..
Hệ thống tường lửa Firewall dùng để thiết lập các điều kiện bảo mật và bảo vệ an
toàn mạng bên trong từ các tác nhân bên ngoài.
Mỗi nhân viên có những quyền khác nhau khi sử dụng tài nguyên cũng như trong
việc truy cập internet.
Doanh nghiệp sử dụng một thiết bị modem duy nhất từ nhà cung cấp dịch vụ.
Khách hàng khi đến doanh nghiệp đều có thể sử dụng laptop để truy cập vào mạng
không dây của doanh nghiệp.
3.3.2.2. Giải pháp
Để giảm thiểu thiệt hại từ các vụ tấn công lợi dụng lỗ hổng bảo mật, doanh nghiệp
cần phải thực hiện nghiêm túc quy trình phát hiện và giải quyết triệt để hoặc ngăn chặn
tối đa lỗ hổng. Để làm được điều đó cần phải có một hệ thống Firewall được thiết lập hợp
lý, lọc tốt các gói tin từ bên ngoài vào, bên trong ra để đảm bảo tính an toàn cho hệ thống
cũng như phát hiện kịp thời các mối nguy hiểm đang cố tìm cách tấn công hệ thống.
Cài đặt hệ thống ISA làm Firewall đáp ứng được các nhu cầu mà doanh nghiệp đã
đề ra cho hệ thống. Đảm bảo hệ thống hoạt động ổn định.
Tùy theo từng mô hình của mỗi doanh nghiệp, chọn lựa mô hình Firewall cho phù
hợp, sao cho giảm thiểu được chi phí mà vẫn đáp ứng được nhu cầu bảo mật tối đa cho hệ
thống của doanh nghiệp.
3.4. Tiến hành cài đặt và cấu hình ISA 2006 theo mô hình Dual-Homed Host
3.4.1. Tiến hành cài đặt ISA 2006
Cài đặt hệ thống ISA trên máy ảo Wmware với 3 máy tính máy 1 (DC) làm
DC/DNS và máy 2 (ISA2K6) cài win 2k3 để cài ISA server 2006, máy 3 (Client-XP) làm
Client cài window XP.
B1.Cài đặt và cấu hình TCP/IP trên máy DC.
IP Address: 172.16.1.2
Subnet Mask: 255.255.255.0
Gateway: 172.16.1.1
Preferred DNS: 172.16.1.2
B2. Nâng cấp DC cho máy 1.
B3. Cấu hình TCP/IP trên máy ISA2K6
Cấu hình Card Internal:
IP Address: 172.16.1.1
Subnet Mask: 255.255.255.0
Gateway:
Preferred DNS: 172.16.1.2
Cấu hình Card External:
IP Address: 192.168.1.45
Subnet Mask: 255.255.255.0
Gateway: 192.168.1.1 (Địa chỉ Modem ADSL)
Preferred DNS:
B4.1.Cài đặt Microsoft ISA Server 2006 Standard Edition trên máy ISA2K6.
B4.2 Tạo Acess Rules
Cài đặt ISA 2006
Trên máy ISA2K6 đăng nhập với User Administrator vào miền, chạy trình Setup
ISA Server lên chọn Intall ISA Server 2006.
Bắt đầu quá trình cài đặt bấm Next …
Tới bước này chọn card mạng là card Internal ở đây đặt tên là LAN bấm Next.
Tiếp theo tại đây ta nhập dãy IP mà ta muốn ISA quản lý chúng tất nhiên để tốt nhất là
chọn nguyên cả Subnet sau đó OK.
Tiếp tục bấm next cho đến khi kết thúc phần cài đặt bấm Finish.
Bắt đầu thực hiện cấu hình ISA 2006 trên máy ISA2K6, sau khi cài đặt thành công
đây là giao diện chính của ISA 2006.
3.4.2. Cấu hình ISA 2006
Sau khi cài đặt thành công hệ thống như trên, trên máy DC.
Tiến hành tạo OU HCM, trong OU HCM tạo 2 group Manager và Staff.
Trong OU HCM tạo 2 User Man1,Man2 là thành viên của nhóm Manager.
Trong OU HCM tạo 2 User Sta1,Sta2 là thành viên của nhóm Staff
Mặc định sau khi cài ISA Server 2006, chỉ có 1 access rule Default Rule cấm tất
cả mọi traffic ra vào mạng.
Logon vào máy DC truy cập vào trang thấy báo thất
bại.
Tiến hành tạo Rule có tên Allowweb cho phép tất cả các máy trong mạng nội bộ
(Internal) và kể cả máy ISA2K6 (Local) có thể vào mạng.
Sau khi thiết lập thành công Logon vào máy DC và máy ISA2K6 truy cập vào
trang thấy truy cập thành công.
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
........................................................................................................................................................
........................................................................................................................................................
........................................................................................................................................................
........................................................................................................................................................
........................................................................................................................................................
........................................................................................................................................................
........................................................................................................................................................
........................................................................................................................................................
........................................................................................................................................................
........................................................................................................................................................
........................................................................................................................................................
........................................................................................................................................................
........................................................................................................................................................
........................................................................................................................................................
........................................................................................................................................................
........................................................................................................................................................
........................................................................................................................................................
NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN
........................................................................................................................................................
........................................................................................................................................................
........................................................................................................................................................
........................................................................................................................................................
........................................................................................................................................................
........................................................................................................................................................
........................................................................................................................................................
........................................................................................................................................................
........................................................................................................................................................
........................................................................................................................................................
........................................................................................................................................................
........................................................................................................................................................
........................................................................................................................................................
........................................................................................................................................................
........................................................................................................................................................
........................................................................................................................................................
........................................................................................................................................................
Các file đính kèm theo tài liệu này:
- Đồ án tốt nghiệp - Phân tích thiết kế hệ thống - BẢO VỆ VÀ PHÒNG NGỪA TẤN CÔNG HỆ THỐNG MẠNG BẰNG FIREWALL.pdf