Giáo trình An toàn mạng được biên soạn với mục tiêu nhằm giúp sinh viên xác định được các thành phần cần bảo mật cho một hệ thống mạng; Trình bày được các hình thức tấn công vào hệ thống mạng; Mô tả được cách thức mã hoá thông tin;...Mời các bạn cùng tham khảo!
TỔNG QUAN VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN
Các khái niệm chung
- Mô tả được các đối tượng tấng công hệ thống mạng ;
- Xác định được các lỗ hổng bảo mật
1.1 Đối tƣợng tấn công mạng (Intruder)
Những cá nhân và tổ chức tấn công mạng sử dụng kiến thức về mạng và công cụ phá hoại để tìm kiếm lỗ hổng bảo mật trong hệ thống Họ thực hiện các hoạt động xâm nhập và chiếm đoạt tài nguyên mạng một cách trái phép Một số đối tượng tấn công mạng bao gồm
Hacker là những cá nhân xâm nhập trái phép vào mạng, sử dụng công cụ phá mật khẩu hoặc khai thác các lỗ hổng trong hệ thống để truy cập vào các thành phần.
- Masquerader: Là những kẻ giả mạo thông tin trên mạng Một số hình thức giả mạo như giả mạo địa chỉ IP, tên miền, định danh người dùng
Eavesdropping là hành vi nghe trộm thông tin trên mạng bằng cách sử dụng các công cụ sniffer, sau đó phân tích và debug để thu thập thông tin giá trị Các đối tượng tấn công mạng có thể có nhiều mục đích khác nhau, từ việc ăn cắp thông tin kinh tế, phá hoại hệ thống mạng có chủ đích, đến những hành động vô ý thức như thử nghiệm các chương trình mà không kiểm tra cẩn thận.
1.2 Các lỗ hổng bảo mật
Các lỗ hổng bảo mật là những điểm yếu trong hệ thống hoặc dịch vụ, cho phép kẻ tấn công xâm nhập trái phép để thực hiện hành vi phá hoại hoặc chiếm đoạt tài nguyên một cách bất hợp pháp.
Những lỗ hổng bảo mật xuất hiện do nhiều nguyên nhân khác nhau, bao gồm lỗi trong hệ thống hoặc phần mềm, cũng như sự thiếu hiểu biết của người quản trị về các dịch vụ mà họ cung cấp.
Mức độ ảnh hưởng của các lỗ hổng bảo mật rất đa dạng; một số lỗ hổng chỉ tác động đến chất lượng dịch vụ, trong khi những lỗ hổng khác có thể gây ra ảnh hưởng nghiêm trọng đến toàn bộ hệ thống.
Nhu cầu bảo vệ thông tin
- Trình bày được các nhu cầu cần bảo vệ trên hệ thống mạng
Tài nguyên đầu tiên mà chúng ta nói đến chính là dữ liệu Đối với dữ liệu, chúng ta cần quan tâm những yếu tố sau:
Những thông tin lưu trữ trên hệ thống máy tính cần được bảo vệ do các yêu cầu sau:
- Bảo mật: những thông tin có giá trị về kinh tế, quân sự, chính sách vv cần đƣợc bảo vệ và không lộ thông tin ra bên ngoài
- Tính toàn vẹn: Thông tin không bị mất mát hoặc sửa đổi, đánh tráo
- Tính kịp thời: Yêu cầu truy nhập thông tin vào đúng thời điểm cần thiết
Trong các yêu cầu về thông tin lưu trữ trên mạng, bảo mật thường được xem là ưu tiên hàng đầu Tuy nhiên, tính toàn vẹn của thông tin cũng đóng vai trò rất quan trọng Không ai, dù là cá nhân hay tổ chức, muốn lãng phí tài nguyên và thời gian để lưu trữ thông tin mà không đảm bảo tính chính xác của nó.
2.3 Bảo vệ tài nguyên sử dụng trên mạng
Kẻ tấn công sau khi chiếm quyền kiểm soát hệ thống bên trong có thể lợi dụng các máy tính này để thực hiện các hoạt động xâm nhập, chẳng hạn như chạy chương trình dò mật khẩu và sử dụng các kết nối mạng có sẵn để tấn công thêm các hệ thống khác.
2.4 Bảo bệ danh tiếng của cơ quan
Nhiều cuộc tấn công mạng không được công bố rộng rãi do lo ngại về việc mất uy tín, đặc biệt là ở các công ty lớn và cơ quan nhà nước Khi một hệ thống chỉ được biết đến sau khi bị lợi dụng để tấn công các hệ thống khác, tổn thất về uy tín sẽ rất nghiêm trọng và có thể để lại hậu quả lâu dài.
Bài tập thực hành của học viên
Câu 1: Trình bày các đối tƣợng tấng công hệ thống mạng
Câu 2: Đối với dữ liệu, chúng ta cần quan tâm những yếu tố nào?
MÃ HÓA THÔNG TIN
Cơ bản về mã hoá (Cryptography)
- Trình bày được nhu cầu sử dụng mã hóa;
- Mô tả được quá trình mã hóa và giải mã
Những điều căn bản về mã hoá
Khi bắt đầu tìm hiểu về mã hóa, nhiều người thường thắc mắc về tầm quan trọng của việc sử dụng mã hóa và lý do tồn tại nhiều thuật toán mã hóa khác nhau.
1.1 Tại sao cần phải sử dụng mã hoá
Thuật toán mã hóa (Cryptography) là ngành khoa học nghiên cứu về việc mã hóa và giải mã thông tin, chuyển đổi dữ liệu từ dạng rõ (clear text) sang dạng mờ (cipher text) và ngược lại Phương pháp này rất hiệu quả trong việc bảo vệ dữ liệu khỏi truy cập bất hợp pháp trên mạng, vì thông tin được truyền đi dưới dạng mờ, không thể đọc được bởi những ai cố tình muốn lấy thông tin đó.
1.2 Nhu cầu sử dụng kỹ thuật mã hoá
Không phải mọi người hay ứng dụng đều cần sử dụng mã hóa Nhu cầu mã hóa xuất hiện khi các bên trao đổi thông tin cần bảo vệ tài liệu quan trọng hoặc gửi chúng một cách an toàn Các tài liệu này có thể bao gồm thông tin quân sự, tài chính, kinh doanh, hoặc các dữ liệu mang tính riêng tư.
Nhƣ chúng ta đã biết, Internet hình thành và phát triển từ yêu cầu của chính phủ
Mã hóa đóng vai trò quan trọng trong việc bảo vệ thông tin cá nhân và dữ liệu trong môi trường Internet không an toàn Khi tham gia trao đổi thông tin, chúng ta phải đối mặt với nhiều rủi ro và nguy hiểm, vì không có gì đảm bảo rằng thông tin không bị đọc trộm Việc áp dụng mã hóa giúp tự bảo vệ bản thân và thông tin gửi đi, đồng thời còn đảm bảo tính toàn vẹn của dữ liệu.
Tại sao lại có quá nhiều thuật toán mã hoá
Theo một số tài liệu, trước đây, tính an toàn và bí mật của một thuật toán phụ thuộc vào cách thức hoạt động của nó Nếu an toàn chỉ dựa vào sự bí mật của thuật toán, thì đó được gọi là thuật toán hạn chế (Restricted Algorithm) Mặc dù có tầm quan trọng trong lịch sử, nhưng thuật toán hạn chế không còn phù hợp trong thời đại hiện nay Sự hạn chế này thể hiện rõ ràng: khi một người dùng rời khỏi nhóm, toàn bộ nhóm phải chuyển sang thuật toán khác Hơn nữa, nếu thông tin về thuật toán bị tiết lộ hoặc bị phát hiện, thuật toán sẽ bị coi là đã bị phá vỡ, khiến tất cả người dùng còn lại phải thay đổi thuật toán, dẫn đến việc tiêu tốn thời gian và công sức.
Hệ thống mã hoá hiện nay đã tách rời yếu tố khoá (Key) khỏi thuật toán mã hoá, với tính an toàn phụ thuộc vào khoá này Khoá có thể là bất kỳ giá trị chữ hoặc số nào, và không gian giá trị của khoá được gọi là Keyspace Cả hai quá trình mã hoá và giải mã đều sử dụng khoá, và thuật toán được phân loại dựa trên số lượng cũng như đặc tính của khoá được sử dụng.
Mã hoá là quá trình che giấu thông tin thông qua các thuật toán, không phải làm cho thông tin biến mất mà là chuyển đổi từ dạng tỏ sang dạng mờ Thuật toán là tập hợp các lệnh giúp chương trình xáo trộn hoặc phục hồi dữ liệu Ví dụ, một thuật toán đơn giản có thể mã hoá thông điệp cần gửi đi.
Bước 1: Thay thế toàn bộ chữ cái “e” thành số “3”
Bước 2: Thay thế toàn bộ chữ cái “a” thành số “4”
Bước 3: Đảo ngược thông điệp
Bài viết này trình bày một ví dụ đơn giản về cách hoạt động của thuật toán mã hóa Dưới đây là các thuật ngữ cơ bản để giúp bạn hiểu rõ hơn về các khái niệm liên quan đến mã hóa.
Hinh1: Minh hoạ quá trình mã hóa và giải mã Sender/Receiver: Người gửi/Người nhận dữ liệu
- Plaintext (Cleartext): Thông tin trước khi được mã hoá Đây là dữ liệu ban đầu ở dạng rõ
- Ciphertext: Thông tin, dữ liệu đã đƣợc mã hoá ở dạng mờ
- Key: Thành phần quan trọng trong việc mã hoá và giải mã
- CryptoGraphic Algorithm: Là các thuật toán đƣợc sử dụng trong việc mã hoá hoặc giải mã thông tin
- CryptoSystem: Hệ thống mã hoá bao gồm thuật toán mã hoá, khoá, Plaintext, Ciphertext
Kí hiệu chung: P là thông tin ban đầu, trước khi mã hoá E() là thuật toán mã hoá D() là thuật toán giải mã C là thông tin mã hoá K là khoá
1.3 Quá trình mã hoá và giải mã nhƣ sau:
- Quá trình mã hoá đƣợc mô tả bằng công thức: EK(P)=C
- Quá trình giải mã đƣợc mô tả bằng công thức: DK(C)=P
Mã hóa không chỉ đơn thuần là che giấu thông tin mà còn phải đảm bảo bốn mục tiêu chính: Tính bí mật đảm bảo dữ liệu được truyền đi an toàn, chỉ những người được phép mới có thể đọc thông tin gốc Tính xác thực giúp người nhận xác định dữ liệu là chính xác và không bị giả mạo, cho phép kiểm tra nguồn gốc thông tin Tính toàn vẹn cho phép người nhận xác minh rằng dữ liệu không bị thay đổi trong quá trình truyền tải, ngăn chặn việc thay thế dữ liệu gốc bằng dữ liệu giả mạo Cuối cùng, tính không thể chối bỏ đảm bảo rằng cả người gửi và người nhận không thể phủ nhận hành động gửi hoặc nhận thông tin.
Độ an toàn của thuật toán
- Trình bày được các thuật toán mã hóa
Nguyên tắc đầu tiên trong mã hóa là "Tất cả các thuật toán đều có thể bị phá vỡ" Mỗi thuật toán cung cấp mức độ an toàn khác nhau, tùy thuộc vào độ phức tạp trong việc phá vỡ chúng Độ an toàn của một thuật toán sẽ thay đổi theo thời gian và phụ thuộc vào nhiều yếu tố khác nhau.
Nếu chi phí để phá vỡ một thuật toán lớn hơn giá trị của thông tin được mã hóa, thì thuật toán đó được coi là tạm thời an toàn.
- Nếu thời gian cần thiết dùng để phá vỡ một thuật toán là quá lâu thì thuật toán đó tạm thời đƣợc coi là an toàn
Nếu lượng dữ liệu cần thiết để phá vỡ một thuật toán vượt quá lượng dữ liệu đã được mã hóa, thì thuật toán đó có thể được xem là an toàn trong thời điểm hiện tại.
Thuật toán an toàn chỉ tạm thời, vì khả năng bị phá vỡ luôn hiện hữu, phụ thuộc vào thời gian, công sức và sự kiên trì của những kẻ tấn công Với sự gia tăng tốc độ xử lý của CPU và khả năng tính toán của máy tính, không ai có thể đảm bảo rằng thuật toán của mình sẽ luôn an toàn Trong lĩnh vực mạng máy tính, cuộc chiến giữa những kẻ tấn công và những người bảo vệ hệ thống diễn ra như một ván cờ, nơi mỗi nước đi đều quyết định số phận của các bên Ai có kỹ năng vượt trội sẽ giành chiến thắng, và trong thế giới mã hóa, mọi thứ đều phụ thuộc vào trình độ và thời gian, làm cho trò chơi này trở nên thú vị và khó đoán.
Phân loại các thuật toán mã hoá
Có nhiều thuật toán mã hóa khác nhau, bao gồm cả những thuật toán công khai được sử dụng rộng rãi như tiêu chuẩn chung cho mã hóa dữ liệu, và những thuật toán không được công bố Các thuật toán mã hóa có thể được phân loại theo nhiều tiêu chí khác nhau.
Phân loại theo các phương pháp:
- Mã hoá cổ điển (Classical cryptography)
- Mã hoá đối xứng (Symetric cryptography)
- Mã hoá bất đối xứng(Asymetric cryptography)
Phân loại theo số lƣợng khoá:
- Mã hoá khoá bí mật (Private-key Cryptography)
- Mã hoá khoá công khai (Public-key Cryptography)
Trong lịch sử, các phương pháp mã hóa không sử dụng khóa đã xuất hiện với thuật toán đơn giản và dễ hiểu Những từ chính trong các phương pháp này đã dẫn dắt chúng ta đến các thuật toán mã hóa đối xứng hiện đại Trong mã hóa cổ điển, hai phương pháp nổi bật là:
- Mã hoá thay thế (Substitution Cipher):
Phương pháp mã hóa này thay thế từng ký tự hoặc nhóm ký tự trong bản rõ (Plaintext) bằng ký tự hoặc nhóm ký tự khác, tạo ra bản mờ (Ciphertext) Để khôi phục lại bản rõ ban đầu, bên nhận chỉ cần thực hiện thao tác đảo ngược trình tự thay thế trên bản mờ.
Các hệ mật mã cổ điển- Hệ mã hóa thay thế(Substitution Cipher)
Chọn một hoán vị p: Z26 Z26 làm khoá
- Mã hoá hoán vị (Transposition Cipher):
Bên cạnh phương pháp mã hoá thay thế, mã hoá hoán vị cũng là một phương pháp nổi tiếng trong mã hoá cổ điển Khác với mã hoá thay thế, trong mã hoá hoán vị, các kí tự trong Plaintext không bị thay đổi mà chỉ được sắp xếp lại vị trí để tạo ra Ciphertext Điều này có nghĩa là các kí tự trong Plaintext vẫn giữ nguyên nhưng được tổ chức lại để hình thành nội dung mã hoá.
Mã hoán vị - Permutation Cipher
Chuyển đổi vị trí bản thân các chữ cái trong văn bản gốc từng khối m chữ cái
Trong đó, π: Z26 Z26 là một hoán vị, π‟ :=π-1 là nghịch đảo của π
“shesellsseashellsbytheseashore” shesel | lsseas | hellsb | ythese | ashore
EESLSH | SALSES | LSHBLE | HSYEET | HRAEOS
3.2 Mã hoá đối xứng: Ở phần trên, chúng ta đã tìm hiểu về mã hoá cổ điển, trong đó có nói rằng mã hoá cổ điển không dùng khoá Nhƣng trên thực nếu chúng ta phân tích một cách tổng quát, chúng ta sẽ thấy đƣợc nhƣ sau:
Mã hóa cổ điển sử dụng khóa để bảo vệ thông tin, như trong phương pháp Caesar Cipher, nơi khóa là phép dịch ký tự, cụ thể là dịch 3 ký tự Trong phương pháp mã hóa hoán vị, khóa được xác định bởi số hàng hoặc số cột mà chúng ta quy định Khóa này có thể thay đổi tùy theo mục đích mã hóa, nhưng phải nằm trong một phạm vi cho phép nhất định.
Để sử dụng mã hóa cổ điển, bên mã hóa và bên giải mã cần phải thống nhất về cơ chế mã hóa và giải mã Nếu không có sự thống nhất này, hai bên sẽ không thể hợp tác hiệu quả.
Mã hoá đối xứng, còn được gọi là Secret Key Cryptography hay Private Key Cryptography, là phương pháp sử dụng một khoá duy nhất cho cả quá trình mã hoá và giải mã.
Quá trình thực hiện nhƣ sau:
Trong hệ thống mã hoá đối xứng, hai bên gửi và nhận phải thỏa thuận về khoá chung trước khi truyền dữ liệu Bên gửi sẽ mã hoá bản rõ bằng khoá bí mật đã thỏa thuận và gửi thông điệp đã mã hoá cho bên nhận Sau khi nhận thông điệp, bên nhận sử dụng khoá bí mật để giải mã và khôi phục bản rõ.
Mã hóa đối xứng là phương pháp trao đổi thông tin giữa bên gửi và bên nhận, trong đó khoá là thành phần quan trọng nhất cần được giữ bí mật Trong khi thuật toán mã hóa có thể được thỏa thuận công khai, việc thỏa thuận về khoá mã hóa và giải mã phải diễn ra một cách bí mật Thuật toán mã hóa đối xứng rất hữu ích cho các cơ quan hay tổ chức đơn lẻ, nhưng khi cần trao đổi thông tin với bên thứ ba, việc đảm bảo tính bí mật của khoá là ưu tiên hàng đầu.
Mã hoá đối xứng có thể đƣợc phân thành 02 loại:
Loại thứ nhất tác động lên bản rõ theo từng nhóm bits, được gọi là khối (Block) Thuật toán áp dụng cho các khối dữ liệu có cùng độ dài, với kích thước chung hiện nay là 64 bits.
Mã hóa dòng, hay còn gọi là Stream Cipher, là loại thuật toán mã hóa tác động lên từng bit của dữ liệu một cách riêng lẻ Phương pháp này cho phép mã hóa dữ liệu nhanh hơn so với các thuật toán mã hóa khối, đặc biệt hữu ích khi khối lượng dữ liệu cần mã hóa chưa được xác định Một số thuật toán mã hóa đối xứng nổi tiếng bao gồm DES, Triple DES (3DES), RC4 và AES.
DES, viết tắt của Data Encryption Standard, là một thuật toán mã hóa phổ biến, sử dụng khối dữ liệu 64 bits và khóa 64 bits, nhưng chỉ 56 bits được sử dụng cho mã hóa thực tế Mặc dù DES đã từng được ưa chuộng, hiện nay nó không còn được đánh giá cao do kích thước khóa quá nhỏ, dẫn đến dễ bị tấn công Để khắc phục nhược điểm này, Triple DES (3DES) ra đời, sử dụng ba khóa khác nhau trong quá trình mã hóa và giải mã, với khối 64 bits đầu tiên được mã hóa bằng khóa thứ nhất, sau đó giải mã bằng khóa thứ hai, và cuối cùng mã hóa lại bằng khóa thứ ba, giúp tăng cường độ bảo mật.
+ AES: Viết tắt của Advanced Encryption Standard, đƣợc sử dụng để thay thế cho
DES Nó hỗ trợ độ dài của khoá từ 128 bits cho đến 256 bits
3.3 Mã hoá bất đối xứng:
Mã hóa khóa công khai (Public Key Cryptography) là một phương pháp bảo mật cho phép sử dụng hai loại khóa khác nhau trong quá trình mã hóa và giải mã Khóa mã hóa (Public Key) có thể được công khai cho mọi người, trong khi khóa giải mã (Private Key) chỉ được giữ bí mật bởi người sở hữu Điều đặc biệt của phương pháp này là khóa giải mã không thể được tính toán hay suy ra từ khóa mã hóa, mặc dù chúng có mối quan hệ toán học Nhờ đó, bất kỳ ai cũng có thể mã hóa dữ liệu bằng khóa công khai, nhưng chỉ người sở hữu khóa giải mã mới có thể đọc được dữ liệu đó.
Mã hoá khoá công khai được phát triển nhằm khắc phục những hạn chế trong quản lý và phân phối khoá của các phương pháp mã hoá đối xứng Hệ thống này cho phép truyền tin an toàn, như minh hoạ đã chỉ ra, thông qua quy trình mã hoá khoá công khai Quá trình này bao gồm các bước cụ thể để đảm bảo an toàn và bảo mật trong việc truyền tải thông tin.
Hình 3: mã hóa bất đối xứng
- Bên gửi yêu cầu cung cấp hoặc tự tìm khoá công khai của bên nhận trên một server chịu trách nhiệm quản lý khoá
NAT ( Network Address Translation)
Giới thiệu
- Trình bày được quá trình NAT của một hệ thống mạng;
- Trình bày được NAT tĩnh và NAT động
NAT được phát minh ban đầu nhằm giải quyết vấn đề thiếu địa chỉ IP Thời điểm đó, ít ai nhận ra rằng NAT còn có nhiều ứng dụng hữu ích khác, và nhiều vấn đề liên quan đến NAT vẫn chưa được khám phá.
Trong bối cảnh hiện nay, nhiều người đang tìm hiểu về vai trò và lợi ích của NAT trong tương lai Khi IPv6 được triển khai, nó không chỉ giải quyết vấn đề thiếu IP mà còn mang lại nhiều lợi ích khác Các thử nghiệm đã chứng minh rằng việc chuyển đổi hoàn toàn sang IPv6 diễn ra nhanh chóng và không gặp vấn đề lớn Tuy nhiên, việc giải quyết các vấn đề liên quan giữa IPv6 và IPv4 vẫn còn khó khăn Do đó, có khả năng IPv4 sẽ tiếp tục là giao thức chính cho Internet và Intranet trong thời gian dài hơn dự kiến.
Trước khi thảo luận về vai trò của NAT trong hiện tại và tương lai, bài viết sẽ làm rõ sự khác biệt về phạm vi sử dụng NAT vào thời điểm hiện tại Giải thích này cung cấp cái nhìn tổng quan mà không khuyến nghị cách thức hay loại NAT nào nên được áp dụng Bài viết chỉ giới thiệu và phân loại các loại NAT, với các chi tiết sẽ được bàn luận trong chương tiếp theo về hiện thực hóa NAT.
Phần trình bày được chia làm 2 phần :
Phần đầu của bài viết được gọi là CLASSIC NAT, đề cập đến các kỹ thuật NAT từ những năm đầu tiên (đầu những năm 90), được mô tả chi tiết trong RFC 1931 Những kỹ thuật này chủ yếu được áp dụng để giải quyết vấn đề thiếu hụt địa chỉ IP trên Internet.
- Phần hai trình bày những kỹ thuật NAT đƣợc tìm ra gần đây và ứng dụng trong nhiều mục đích khác.
Các kỹ thuật NAT cổ điển
NAT (Network Address Translation) có hai loại chính: NAT tĩnh và NAT động NAT tĩnh cho phép một địa chỉ IP nguồn luôn được ánh xạ tới một địa chỉ IP đích cố định, trong khi NAT động cho phép địa chỉ IP nguồn thay đổi theo thời gian và các kết nối khác nhau Sự phân chia IP trong NAT tĩnh là rõ ràng, trong khi NAT động mang tính linh hoạt hơn.
Trong phần này, chúng ta định nghĩa m là số IP cần chuyển đổi (IP nguồn) và n là số IP có sẵn để chuyển đổi (IP NATs hay còn gọi là IP đích).
Yêu cầu m, n >= 1; m = n (m, n là số tự nhiên)
Với cơ chế IP tĩnh, chúng ta có thể chuyển đổi một số lượng nhất định các địa chỉ IP nguồn và đích, đặc biệt trong trường hợp cả hai chỉ chứa duy nhất một IP, chẳng hạn như khi netmask là 255.255.255.255 Việc thực hiện NAT tĩnh trở nên đơn giản vì toàn bộ quy trình dịch địa chỉ được thực hiện qua một công thức dễ hiểu: Địa chỉ đích = Địa chỉ mạng mới OR (Địa chỉ nguồn AND (NOT netmask)).
Không có thông tin về trạng thái kết nối, chỉ cần xác định các IP đích thích hợp Các kết nối từ bên ngoài vào hệ thống chỉ khác nhau về IP, vì vậy cơ chế NAT tĩnh hầu như hoàn toàn trong suốt.
Ví dụ một rule cho NAT tĩnh:
Dịch toàn bộ IP trong mạng 138.201.148.0 đến mạng có địa chỉ là 94.64.15.0, netmask là 255.255.255.0 cho cả hai mạng
Dưới đây là mô tả việc dịch từ địa chỉ có IP là 138.201.148.27 đến 94.64.15.27, các cái khác tương tự
NAT động được áp dụng khi số lượng địa chỉ IP nguồn không khớp với số địa chỉ IP đích Số lượng host chia sẻ thường bị giới hạn bởi số địa chỉ IP đích có sẵn NAT động phức tạp hơn NAT tĩnh vì nó cần lưu trữ thông tin kết nối và thậm chí xác định thông tin TCP trong gói dữ liệu.
Nhƣ đã đề cập ở trên NAT động cũng có thể sử dụng nhƣ một NAT tĩnh khi m
Một số người sử dụng NAT động thay cho NAT tĩnh nhằm mục đích bảo mật, vì những kẻ tấn công bên ngoài không thể xác định được IP kết nối với host chỉ định Điều này xảy ra bởi vì host có thể nhận được một IP hoàn toàn khác tại thời điểm tiếp theo Trong một số trường hợp đặc biệt, số lượng địa chỉ đích có thể vượt quá số địa chỉ nguồn (m < n).
Kết nối từ bên ngoài chỉ khả thi khi các host vẫn giữ một địa chỉ IP trong bảng NAT động NAT router lưu trữ thông tin về địa chỉ IP nội bộ (IP nguồn) được liên kết với địa chỉ NAT-IP (IP đích).
In a session of FPT non-passive mode, the server attempts to establish a data transmission channel When the server sends an IP packet to the FTP client, an entry for the client must exist in the NAT table to maintain the connection.
Khi một client IP sử dụng cùng một NAT-IPs để bắt đầu kênh truyền control, giao thức FTP sẽ duy trì kết nối cho đến khi phiên FTP không hoạt động sau một khoảng thời gian timeout Giao thức FTP hoạt động với hai cơ chế là passive và non-passive, sử dụng hai cổng (control và data) Trong cơ chế passive, host kết nối nhận thông tin về cổng dữ liệu từ server, trong khi ở cơ chế non-passive, host kết nối chỉ định cổng dữ liệu và yêu cầu server lắng nghe kết nối Để tìm hiểu thêm về giao thức FTP, bạn có thể tham khảo RFC 959 Khi một kẻ tấn công từ bên ngoài muốn kết nối vào một host bên trong mạng, chỉ có hai trường hợp có thể xảy ra.
+ Host bên trong không có một entry trong bảng NAT khi đó sẽ nhận đƣợc thông tin
“host unreachable” hoặc có một entry nhƣng NAT-IPs là không biết
Khi một kết nối từ host bên trong ra ngoài mạng, bạn có thể biết được địa chỉ IP của kết nối đó Tuy nhiên, địa chỉ IP này chỉ là NAT-IPs và không phải là địa chỉ IP thật của host Lưu ý rằng thông tin này sẽ bị mất sau một khoảng thời gian timeout của entry trong bảng NAT router.
Ví dụ về một rule cho NAT động:
Dịch toàn bộ các địa chỉ IP trong lớp B từ 138.201.0.0 đến 178.201.112.0 Mỗi kết nối mới từ bên trong sẽ được gán với một địa chỉ IP trong lớp B khi địa chỉ đó chưa được sử dụng.
Vd: xem quá trình NAT trong trường hợp sau:
Hình 5: Mô tả quá trình NAT tĩnh
Quá trình NAT: Khi Client gởi yêu cầu đến webserver, Header sẽ báo tin gói tin bắt đầu tại:
Gói tin từ địa chỉ 10.1.1.170/1074 được gửi đến cổng 80 của Webserver có địa chỉ 203.154.1.20, nhưng đã bị chặn tại cổng 80 của NAT Server 10.1.1.1 Trước khi chuyển tiếp đến Webserver, NAT Server sẽ gắn header mới cho gói tin, cho biết nguồn gốc của gói tin là từ 203.154.1.5/1563, trong khi đích đến vẫn không thay đổi.
- Webserver nhận yêu cầu tại cổng 80 của nó và đáp ứng yêu cầu trở lại cho NAT server
- Header của gói tin cho biết gói tin đƣợc gởi lại từ Webserver và đích của nó là cổng 1563 trên 203.154.1.5
NAT (Network Address Translation) là một phương pháp giúp ẩn địa chỉ IP của các máy chủ trong mạng nội bộ, từ đó tiết kiệm địa chỉ IP công cộng Bằng cách này, NAT cũng bảo vệ các máy chủ dịch vụ bên trong khỏi các cuộc tấn công trực tiếp từ bên ngoài, vì địa chỉ IP của chúng không hiển thị ra ngoài Do đó, NAT đóng vai trò quan trọng trong việc tăng cường bảo mật cho mạng LAN.
NAT hoạt động như một cầu nối giữa mạng nội bộ và mạng bên ngoài, giúp chuyển đổi địa chỉ IP Công nghệ này thường được áp dụng cho các mạng sử dụng địa chỉ lớp A, B và C.
- Hoạt động NAT bao gồm các bước sau:
Địa chỉ IP trong header IP có thể được thay thế bằng một địa chỉ mới, có thể là bên trong hoặc bên ngoài, trong khi số hiệu cổng trong header TCP cũng sẽ được cập nhật thành số hiệu cổng mới.
NAT trong Window server
- Trình bày được khái niệm và các thành phần Nat trong Windows server
- Thiết lập cấu hình NAT trên Windows server
3.1 Win 2003 cung cấp khái niệm NAT
NAT (Network Address Translation) là công nghệ cho phép kết nối nhiều mạng LAN vào Internet, giúp các mạng nhỏ như IPSec có thể truy cập Internet chỉ với một địa chỉ IP công cộng duy nhất Điều này cho phép hàng loạt thiết bị trong mạng nội bộ kết nối ra bên ngoài mà không cần số lượng lớn địa chỉ IP công cộng.
Máy chủ NAT cần địa chỉ của một mạng LAN nội bộ, giúp bảo vệ các máy chủ bên trong khỏi các cuộc tấn công từ Internet, vì người dùng bên ngoài không thể nhìn thấy địa chỉ này.
- NAT của Win 2003 bao gồm các thành phần sau:
Máy tính chạy Win 2003 với chức năng NAT hoạt động như một bộ chuyển đổi địa chỉ IP, chuyển đổi số hiệu cổng của mạng LAN nội bộ thành các địa chỉ máy chủ bên ngoài Intranet.
Địa chỉ là một máy tính hoạt động như bộ chuyển đổi địa chỉ mạng, cung cấp thông tin địa chỉ IP cho các máy tính Nó được xem như một máy chủ DHCP, cung cấp thông tin về địa chỉ IP, Subnet Mask, Default Gateway và DNS Server.
Trong trường hợp này tất cả máy tính bên trong LAN phải được cấu hình DHCP client
Name Resolution là một mạng máy tính hoạt động như một máy chủ NAT và cũng là máy chủ DNS Khi một máy tính trong mạng nội bộ gửi yêu cầu đến máy chủ NAT, máy chủ này sẽ chuyển tiếp yêu cầu đến máy chủ DNS để thực hiện việc đổi tên Sau đó, kết quả sẽ được gửi trở lại cho máy chủ NAT, từ đó máy chủ NAT sẽ chuyển kết quả về cho máy tính yêu cầu.
Khi một client trong mạng cục bộ gửi yêu cầu, NAT server sẽ chuyển tiếp dữ liệu chứa địa chỉ IP riêng và địa chỉ cổng trong Header IP NAT server thực hiện việc chuyển đổi địa chỉ để đảm bảo kết nối đúng đắn.
IP và địa chỉ cổng này thành địa chỉ công cộng và địa chỉ của nó rồi gởi gói dữ liệu
Với địa chỉ IP mới này, NATserver cần lưu giữ địa chỉ IP và cổng của Client trong mạng cục bộ để có thể chuyển kết quả về cho Client sau này.
Khi nhân đƣợc yêu cầu từ host Internet, NATserver sẽ thay Header của gói tin thành Header nguyên thuỷ và gởi lại về cho Client yêu cầu
3.3 Cài Đặt và cấu hình:
Phân tích bảng luật sau:
Rule S_Addr D_Addr Service Action log NAT
A Firewall Any Any Permit Yes
C 192.168.1.15 Any Any Permit No Nat(LAN )
D Any Firewall TCP/80 Permit Yes MAP
E Any Any Any Deny Na
- Luật A không cho phép các máy trọng mạng nội bộ đi ra ngoài
Luật B cho phép máy Client trong mạng nội bộ truy cập qua Firewall, sử dụng mọi dịch vụ mà không ghi lại File lưu Ngoài ra, NAT chỉ được phép đến đích của Firewall.
Luật C cho phép các thiết bị có địa chỉ nguồn như trên kết nối internet với mọi dịch vụ mà không cần ghi lại tệp lưu sử dụng NAT trong mạng LAN.
- Luật D cho phép từ bên ngoài với Firewall sử dụng giao thức TCP với cổng
Bài tập thực hành của học viên
Câu 1: So sánh Nat tĩnh và Nat động
Câu 2: Trình bày khái niệm và cơ chế hoạt động Nat trong Window
Thực hiện Nat trên nền Windows Server 2003 theo mô hình sau
1.Cấu hình máy PC09 làm NAT Server
B1: Mở Routing and Remote Access -> Click phải chuột lên NAT Server (PC09) chọn Configure and Enable Routing and Remote Access -> Trong Welcome chọn
Next -> Trong Configuration chọn ô Custom configuration -> Next
-Trong Custome Configuration -> Đánh dấu chọn ô NAT and basic firewall và ô
Note: Khi kết thúc quá trình cấu hình hệ thống yêu cầu restart Service, chọn Yes
B2:Trong Routing and Remote Access, Click chuột phải lên NAT/Basic Firewall, chọn New Interface -> trong New Interface for Network Address Tranlation
(NAT) -> Chọn card LAN -> OK
-Trong Network Address Translation Properties -> LAN Properties -> Chọn ô
Public interface connected to private network -> Đánh dấu chọn ô Enable NAT on this interface -> OK
To configure NAT in Routing and Remote Access, right-click on NAT/Basic Firewall, select New Interface, and then choose the LAN card in the New Interface for Network Address Translation (NAT) window before clicking OK.
-Trong Network Address Translation Properties -> CROSS Properties -> Chọn ô
Private interface connected to private network -> OK
B4: Trong Routing and Remote Access -> vào IP Routing -> Click phải chuột trên Static Routes chọn New Static Route… -> Trong cửa Static Route cấu hình nhƣ sau:
Note: Gateway phải cùng NetID với địa chỉ IP card LAN
B5: Trong Routing and Remote Access -> Click phải chuột lên PC09 chọn All
Các máy trong NetID 10.0.0.0/8 đều có thể truy cập Internet Ta có thể dùng lệnh
Tracert (phân tích đường đi của gói dữ liệu) để kiểm tra
II.NAT Inbound ( NAT vào)
1.Cấu hình Web Server trên máy PC08
B1:Start -> Programs -> Administrator Tools -> Configure Your Server Wizard -
> Next -> Chọn Application Server (IIS, ASP.NET) -> Next Làm theo các hướng dẫn để hoàn thành việc cài đặt
Note: Trong quá trình cài đặt IIS, chỉ đường dẫn vào thư mục I386 trong đĩa CD Windows Server 2003 khi hệ thống yêu cầu
B2:Mở Windows Explore -> Vào thƣ mục C:\Inetpub\wwwroot -> Tạo file index.htm có nội dung ( Vd: Welcome to website)
B3:Mở Internet Explore -> Truy cập vào địa chỉ IP hoặc địa chỉ Webserver
Note: Kiểm tra đã truy cập đƣợc vào trang web vừa mới tạo
2.Cấu hình NAT Server trên máy PC09
B1:Mở Routing and Remote Access -> chọn mục NAT/Basic Firewall -> Click chuột phải lên LAN chọn Properties
-chọn tab Services and Ports -> Kéo thanh trượt xuống phía dưới chọn mục Web
-Trong mục Edit Service nhập địa chỉ IP vào ô Private Address:
B2: Trong Routing and Remote Access -> Click chuột phải lên PC09 chọn All Tasks -> Restart
Máy PC10 mở Internet Explorer -> Truy cập vào địa chỉ IP hoặc địa chỉ Webserver Nếu truy cập thành công là kết quả đúng.
BẢO VỆ MẠNG BẰNG TƯỜNG LỬA
Các kiểu tấn công
Mục tiêu: Liệt kê được các tình huống tấn công mạng
Tấn công máy tính nhằm dò tìm mật khẩu và tên tài khoản là một hành vi phổ biến, trong đó kẻ tấn công có thể sử dụng các chương trình giải mã để truy cập các tệp chứa mật khẩu trên hệ thống của nạn nhân Vì vậy, mật khẩu ngắn và đơn giản rất dễ bị phát hiện và gây ra rủi ro bảo mật cao.
Hacker có thể thực hiện các cuộc tấn công trực tiếp vào hệ thống thông qua những lỗ hổng trong phần mềm hoặc hệ điều hành, dẫn đến việc hệ thống bị tê liệt hoặc hư hỏng Trong một số tình huống, họ còn có khả năng chiếm quyền quản trị hệ thống.
Nghe trộm thông tin trên mạng có thể thu thập dữ liệu quan trọng như tên và mật khẩu của người dùng cùng các thông tin nhạy cảm khác Thường thì hành vi này diễn ra sau khi kẻ tấn công đã chiếm quyền truy cập vào hệ thống, sử dụng các phần mềm cho phép can thiệp vào giao tiếp mạng.
Interface Card-NIC) vào chế độ nhận toàn bộ các thông tin lưu truyền trên mạng
Những thông tin này cũng có thể dễ dàng lấy đƣợc trên Internet
Giả mạo địa chỉ IP có thể được thực hiện thông qua kỹ thuật dẫn đường trực tiếp (source-routing) Trong phương pháp tấn công này, kẻ tấn công gửi các gói tin IP tới mạng nội bộ với địa chỉ IP giả mạo, thường là địa chỉ của một mạng hoặc thiết bị được xem là an toàn, và chỉ định rõ đường dẫn mà các gói tin này phải đi qua.
1.4 Vô hiệu hoá các chức năng của hệ thống Đây là kểu tấn công nhằm tê liệt hệ thống, không cho nó thực hiện chức năng mà nó thiết kế Kiểu tấn công này không thể ngăn chặn được, do những phương tiện được tổ chức tấn công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên mạng Ví dụ sử dụng lệnh ping với tốc độ cao nhất có thể, buộc một hệ thống tiêu hao toàn bộ tốc độ tính toán và khả năng của mạng để trả lời các lệnh này, không còn các tài nguyên để thực hiện những công việc có ích khác
1.5 Lỗi của người quản trị hệ thống Đây không phải là một kiểu tấn công của những kẻ đột nhập, tuy nhiên lỗi của người quản trị hệ thống thường tạo ra những lỗ hổng cho phép kẻ tấn công sử dụng để truy nhập vào mạng nội bộ
1.6 Tấn công vào yếu tố con người
Kẻ tấn công có thể giả mạo người dùng để yêu cầu thay đổi mật khẩu hoặc quyền truy cập hệ thống, gây ra các mối đe dọa bảo mật nghiêm trọng Không có thiết bị nào có thể ngăn chặn hiệu quả kiểu tấn công này, vì vậy việc giáo dục người dùng về các yêu cầu bảo mật là rất quan trọng Yếu tố con người thường là điểm yếu trong hệ thống bảo vệ, và chỉ có sự hợp tác và nhận thức từ người sử dụng mới có thể nâng cao độ an toàn cho hệ thống.
Các mức bảo vệ an toàn
- Mô tả được xây dựng kiến trúc mạng sử dụng tường lửa
Do không có giải pháp an toàn tuyệt đối, người ta thường áp dụng nhiều mức bảo vệ khác nhau để tạo thành các lớp "rào chắn" chống lại các hoạt động xâm phạm Việc bảo vệ thông tin trên mạng chủ yếu tập trung vào việc bảo vệ dữ liệu lưu trữ trong máy tính, đặc biệt là trên các server của mạng Hình ảnh minh họa dưới đây cho thấy các lớp rào chắn phổ biến hiện nay được sử dụng để bảo vệ thông tin tại các trạm mạng.
Hình 7:Các mức độ bảo vệ mạng Nhƣ minh hoạ trong hình trên, các lớp bảo vệ thông tin trên mạng gồm:
Informatio n Access rights login/password data encrytion Physical firewalls
Lớp bảo vệ trong cùng của mạng là quyền truy nhập, giúp kiểm soát thông tin và quyền hạn thực hiện các thao tác trên tài nguyên Hiện nay, việc kiểm soát này được áp dụng chủ yếu đối với các tệp tin.
Lớp bảo vệ tiếp theo trong hệ thống an ninh mạng là việc hạn chế quyền truy cập thông qua tên đăng nhập và mật khẩu Đây là phương pháp bảo vệ phổ biến nhất nhờ vào tính đơn giản, chi phí thấp và hiệu quả cao Tất cả người dùng muốn truy cập vào mạng và sử dụng tài nguyên đều phải đăng ký với tên và mật khẩu riêng Người quản trị hệ thống có trách nhiệm quản lý và kiểm soát mọi hoạt động trên mạng, đồng thời xác định quyền truy cập của từng người dùng dựa trên thời gian và không gian.
Lớp thứ ba trong bảo mật dữ liệu là sử dụng các phương pháp mã hoá, chuyển đổi thông tin từ dạng "đọc được" sang dạng "không đọc được" thông qua các thuật toán cụ thể Bài viết này sẽ xem xét các phương thức và thuật toán mã hoá phổ biến hiện nay.
Lớp thứ tư của bảo vệ vật lý đóng vai trò quan trọng trong việc ngăn chặn truy cập trái phép vào hệ thống Để thực hiện điều này, các biện pháp truyền thống như hạn chế người không có nhiệm vụ vào khu vực máy tính, sử dụng hệ thống khóa cho máy tính, và lắp đặt các hệ thống báo động khi có sự xâm nhập đều được áp dụng.
Lớp thứ năm của hệ thống mạng tập trung vào việc cài đặt các tường lửa (firewall) để ngăn chặn các cuộc xâm nhập trái phép Hệ thống này cho phép lọc các gói tin không mong muốn, giúp bảo vệ dữ liệu và kiểm soát thông tin được gửi đi hoặc nhận vào một cách hiệu quả.
Internet Firwall
- Trình bày được định nghĩa Firewall;
- Mô tả chức năng và cấu trúc của Firewall
Firewall, có nguồn gốc từ kỹ thuật xây dựng nhằm ngăn chặn hỏa hoạn, là một công nghệ mạng quan trọng giúp ngăn chặn truy cập trái phép vào hệ thống Nó bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập từ các mạng không tin cậy Nói cách khác, Firewall hoạt động như một cơ chế bảo vệ mạng tin cậy khỏi các mối đe dọa từ mạng không tin cậy.
Internet Firewall là một thiết bị kết hợp phần cứng và phần mềm, đóng vai trò quan trọng trong việc bảo vệ thông tin của mạng nội bộ (Intranet) của tổ chức, công ty hoặc quốc gia khỏi các mối đe dọa từ Internet Nó giúp ngăn chặn truy cập trái phép và đảm bảo an toàn cho dữ liệu trong môi trường mạng.
Firewall là một thành phần quan trọng nằm giữa Intranet và Internet, có nhiệm vụ kiểm soát toàn bộ lưu thông và truy cập giữa hai mạng này.
Firewall đóng vai trò quan trọng trong việc quản lý truy cập giữa mạng nội bộ và bên ngoài, xác định dịch vụ nào được phép truy cập từ bên ngoài cũng như những người bên ngoài nào có quyền truy cập vào dịch vụ nội bộ Để đảm bảo hiệu quả hoạt động, tất cả các giao tiếp thông tin giữa mạng trong và ngoài đều phải đi qua Firewall.
Chỉ có những trao đổi nào đƣợc phép bởi chế độ an ninh của hệ thống mạng nội bộ mới được quyền lưu thông qua Firewall
Hình 8 :Sơ đồ chức năng hệ thống của firewall
Một hoặc nhiều hệ thống máy chủ kết nối với các bộ định tuyến (router) hoặc có chức năng router
Các phần mềm quản lý an ninh hoạt động trên hệ thống máy chủ, chủ yếu bao gồm các chức năng quản trị xác thực (Authentication), cấp quyền (Authorization) và kế toán (Accounting).
3.4 Các thành phần của Firewall và cơ chế hoạt động
Một Firewall chuẩn bao gồm một hay nhiều các thành phần sau đây:
Bộ lọc packet ( packet-filtering router )
Cổng ứng dụng (application-level gateway hay proxy server )
Cổng mạch (circuite level gateway)
3.4.1.Bộ lọc gói tin (Packet filtering router)
Khi lưu thông dữ liệu giữa các mạng qua Firewall, Firewall hoạt động chặt chẽ với giao thức TCP/IP Giao thức này sử dụng thuật toán chia nhỏ dữ liệu từ các ứng dụng mạng, hay chính xác hơn là các dịch vụ trên các giao thức.
In tra n e t fire w a ll In te rn e t
Các giao thức như Telnet, SMTP, DNS, SNMP, và NFS chuyển đổi dữ liệu thành các gói dữ liệu (data packets) và gán địa chỉ cho những gói này để dễ dàng nhận diện và tái lập tại điểm đến Do đó, các loại Firewall có mối liên hệ chặt chẽ với các gói dữ liệu và địa chỉ của chúng.
Bộ lọc packet là công cụ giúp cho phép hoặc từ chối từng gói dữ liệu mà nó nhận được Nó thực hiện việc kiểm tra toàn bộ đoạn dữ liệu để xác định xem có phù hợp với các quy tắc lọc packet hay không Những quy tắc này dựa trên thông tin trong phần đầu của mỗi gói dữ liệu, bao gồm địa chỉ IP nguồn (IP Source address) và địa chỉ IP đích (IP Destination address), nhằm đảm bảo việc truyền tải gói dữ liệu trên mạng.
Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)
Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)
Cổng TCP/UDP nơi nhận (TCP/UDP destination port)
Dạng thông báo ICMP ( ICMP message type) giao diện packet đến ( incomming interface of packet) giao diện packet đi ( outcomming interface of packet)
Firewall hoạt động bằng cách kiểm tra các luật lệ lọc packet; nếu packet đáp ứng các tiêu chí, nó sẽ được chuyển qua, ngược lại sẽ bị loại bỏ Điều này giúp ngăn chặn các kết nối không mong muốn vào máy chủ hoặc mạng đã được xác định, đồng thời kiểm soát truy cập từ các địa chỉ không được phép Bằng cách kiểm soát các cổng, Firewall chỉ cho phép một số loại kết nối và dịch vụ nhất định, như Telnet, SMTP, và FTP, hoạt động trên mạng nội bộ Một trong những ưu điểm của hệ thống firewall là sử dụng bộ lọc packet với chi phí thấp, do cơ chế này đã được tích hợp sẵn trong phần mềm router.
Bộ lọc packet hoạt động một cách trong suốt đối với người sử dụng và các ứng dụng, do đó không cần yêu cầu đào tạo đặc biệt nào.
Việc định nghĩa chế độ lọc packet là một nhiệm vụ phức tạp, yêu cầu người quản trị mạng phải có kiến thức sâu rộng về các dịch vụ Internet, các loại header packet và các giá trị cụ thể trong từng trường Khi yêu cầu về lọc tăng cao, các quy tắc lọc trở nên dài dòng và phức tạp, gây khó khăn trong việc quản lý và điều khiển.
Bộ lọc packet chỉ kiểm soát dựa trên header của các packet, điều này có nghĩa là chúng không thể xác định nội dung bên trong Do đó, các packet vẫn có thể chứa những hành động ác ý nhằm đánh cắp thông tin hoặc gây hại từ những kẻ xấu.
3.4.2 Cổng ứng dụng (application-level gateway)
Firewall proxy là một loại tường lửa được thiết kế để kiểm soát các dịch vụ và giao thức truy cập vào mạng Nó hoạt động dựa trên dịch vụ đại diện (Proxy service), với các chương trình đặc biệt được cài đặt trên gateway cho từng ứng dụng Nếu không có chương trình proxy cho một ứng dụng, dịch vụ tương ứng sẽ không hoạt động và thông tin không thể truyền qua firewall Hơn nữa, mã proxy có thể được cấu hình để chỉ cho phép một số tính năng trong ứng dụng mà người quản trị mạng cho là chấp nhận được, trong khi từ chối những tính năng khác.
Cổng ứng dụng được xem như một pháo đài (bastion host) vì nó được thiết kế đặc biệt để bảo vệ chống lại các cuộc tấn công từ bên ngoài Những biện pháp đảm bảo an ninh của một bastion host bao gồm việc sử dụng tường lửa, hệ thống phát hiện xâm nhập và các giao thức bảo mật tiên tiến.
A bastion host consistently operates secure versions of system software, specifically designed to protect against attacks on the operating system while ensuring the integrity of the firewall.
