Cơ chế bảo vệ an toàn thông tin trên mạng máy tính

MỤC LỤC

Cơ chế sát thực

Trong các mạng máy tính, việc xác thực là biện pháp mà nhờ nó các định danh của các máy chủ và các máy khách hàng được xác minh là đáng tin cậy. Dịch vụ phân phối khóa có chức năng tạo, lưu giữ và phân phối tất cả các khóa mật mã cần thiết cho tất cả người dùng trên mạng.

Các cơ chế điều khiển truy nhập

Việc sở hữu một mật khẩu bí mật cũng được dùng để xác nhận định danh của người sở hữu. Các dịch vụ xác thực dựa vào việc dùng mật mã có độ an toàn cao.

FIREWALL

GIỚI THIỆU VỀ FIREWALL

  • ĐỐI TƯỢNG BẢO VỆ
    • PHÂN LOẠI KẺ TẤN CÔNG
      • INTERNET FIREWALL

        Trên thực tế, trong các cuộc tấn công trên Internet, kẻ tấn công, sau khi đã làm chủ được hệ thống bên trong, có thể sử dụng các máy này để phục vụ cho mục đích của mình nhằm chạy các chương trình dò mật khẩu người sử dụng, sử dụng các liên kết mạng sẵn có để tiếp tục tấn công các hệ thống khác vv. Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS..) thành các gói dữ liệu (data pakets) rồi gán cho các packet này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng.

        Hơn nữa, việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP..) được phép mới chạy được trên hệ thống mạng cục bộ. - Việc định nghĩa các chế độ lọc package là một việc khá phức tạp; đòi hỏi người quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạng packet header, và các giá trị cụ thể có thể nhận trên mỗi trường. Điều này làm cho hệ thống Firewall dễ dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ Internet, trong khi vẫn cung cấp chức năng Firewall để bảo vệ mạng nội bộ từ những sự tấn công bên ngoài.

        Firewall dựa trên bộ định tuyến làm việc rất nhanh do nó chỉ kiểm tra lướt trên các địa chỉ nguồn mà không hề có yêu cầu thực sự nào đối với bộ định tuyến, không tốn thời gian xử lý những địa chỉ sai hay không hợp lệ. Dịch vụ gọi là ánh xạ cổng (portmapper) sẽ ánh xạ các lời gọi tới dịch vụ RPC thành số dịch vụ gán sẵn, tuy nhiên, do không có sự tương ứng giữa số dịch vụ với bộ định tuyến lọc gói tin, nên bộ định tuyến không nhận biết được dịch vụ nào dùng cổng nào, vì thế nó không thể ngăn chặn hoàn toàn các dịch vụ này, trừ khi bộ định tuyến ngăn toàn bộ các gói tin UDP (các dịch vụ RPC chủ yếu sử dụng giao thức UDP hay User Datagram Protocol). Căn bản, các quy luật lọc đựơc định nghĩa sao cho các host trên mạng nội bộ được quyền truy nhập trực tiếp tới Internet, trong khi các host trên Internet chỉ có một số giới hạn các truy nhập vào các máy tính trên mạng nội bộ.

        Bởi vì các hệ thống nội bộ và bastion host ở trên cùng một mạng, chính sách bảo mật của một tổ chức sẽ quyết định xem các hệ thống nội bộ được phép truy nhập trực tiếp vào bastion Internet hay là chúng phải sử dụng dịch vụ proxy trên bastion host.

        Hình 4: Mô hình firewall
        Hình 4: Mô hình firewall

        BASTION HOST

        • CÁC LOẠI BASTION HOST ĐẶC BIỆT
          • CHỌN MÁY
            • XÂY DỰNG MỘT BASTION HOST AN TOÀN VÀ CHỐNG LẠI SỰ TẤN CÔNG

              Victim machine hữu dụng để chạy các dịch vụ khó cung cấp an toàn với proxy, packet filtering hoặc cá dịch vụ mới mà chúng ta chưa biết chính sách bảo mật thích hợp. Nó không giống như các bastion host khác trong mạng nộ bộ, vai trò của nó là một bastion host phụ, các bastion host trong mạng nộ bộ tương tác với bastion host phụ. Nó chỉ cần giới hạn việc truy cập đến mạng bên trong, chúng thường chỉ cung cấp một ít dịch vụ với một số định nghĩa tốt về bảo mật và không cần hỗ trợ các người sử dụng bên trong.

              Nên chọn hệ điều hành UNIX/LINUX/WINDOWS NT/ WINDOWS 2K tùy theo khả năng làm chủ hệ điều hành nào, sao cho cài đặt được proxy server, bộ lọc packet, server phục vụ cho SMTP và DNS. Thường thì bastion host không cần máy tính mạnh bởi sự giới hạn tốc độ kết nối ra Internet và không xử lí nhiều, trừ khi mạng nội bộ cung cấp dịch vụ trên Internet và mạng nội bộ được nhiều người biết đến trên phạm vi rộng lớn. Chọn phần cứng có tốc độ xử lí không cần mạnh, nhưng bộ nhớ phải nhiều và dung lượng đĩa lớn để có thể lưu trữ thông tin đã yêu cầu để cung cấp cho những yêu cầu giống yêu cầu đã có hoặc ghi lại dấu vết của các kết nối.

              • Các dịch vụ không an toàn khi được cung cấp bình thường và không thể đạt được an toàn, dịch vụ này phải được vô hiệu hóa và cung cấp trên máy thử nghiệm. - Chạy kiểm tra (dùng phần mềm) sự an toàn: Để biết lỗ hổng bảo mật, thiết lập một cơ sở dữ liệu tổng hợp thông tin của tất cả các tập tin trong hệ thống để nhận biết được sự thay đổi các tập tin này về sau bởi những người thay đổi trái phép.

              CÁC DỊCH VỤ INTERNET

                Hầu hết các thông báo ở dạng text (văn bản) đơn giản, nhưng người sử dụng có thê gửi kèm các file dạng hình ảnh, âm thanh. Hệ thống email trên Internet là hệ thống thư điện tử lớn nhất trên thế giới hiện nay, và thường được sử dụng với các hệ thống chuyển thư khác. Khả năng chuyển thư điện tử trên Web có bị hạn chế hơn so với các hệ thống chuyển thư trên Internet, bởi vì Web là một phương tiện trao đổi công cộng, còn thư có tính chất riêng tư.

                Vì vậy, không phải tất cả các Web brower đều cung cấp chức năng email. Hai brower lớn nhất hiện nay là Netscape và Internet Explorer đều cunng cấp chức năng email.

                PROTOCOLS)

                TELNET VÀ RLOGIN

                Telnet là một dịch vụ cho phép bạn truy nhập vào một máy tính ở xa và chạy các ứng dụng trên máy đó. Telnet rất hữu ích khi bạn muốn chạy một ứng dụng mà không có hoặc không chạy dược trên máy tính của bạn, ví dụ bạn muốn chạy một ứng dụng UNIX nhưng máy của bạn lại là PC. Telnet cho bạn khả năng làm việc trên một máy tính ở xa hàng ngàn cây số mà bạn vẫn có cảm giác như đang ngồi trước máy đó.

                Archie là một loại thư viện thường xuyên tự động tìm kiếm các máy tính trên Internet, tạo ra một kho dữ liệu về danh sách các file có thể nạp xuống (down load) từ Internet. Người dùng chỉ cần gửi tên file hoặc từ khóa tìm kiếm đến Archie, Archie sẽ cho lại địa chỉ của các file có tên đó hoặc chứa những từ khóa đó. Tối thiểu Finger có thể cho bạn biết ai đang truy nhập một hệ thống máy tính nào đó, tên login của người đó là gì.

                Finger còn có thể cung cấp cho bạn các thông tin khác, như là một người nào đó đã login vào mạng bao lâu. Vì thế Finger có thể được coi là người trợ giúp đắc lực nhưng cũng là mối hiểm họa cho an toàn mạng.

                PROXY

                  Finger là một chương trình ứng dụng cho phép tìm địa chỉ của các user khác trên mạng Internet. Fnger hay được sử dụng để tìm địa chỉ email của bạn bè trên Internet. • Tăng tốc kết nối: các proxy có một cơ chế gọi là cache, cơ chế cache cho phép proxy lưu trữ lại những trang được truy cập nhiều nhất, điều này làm cho việc truy cập của bạn sẽ nhanh hơn, vì bạn được đáp ứng yêu cầu một cách nội bộ mà không phải lấy thông tin trực tiếp từ internet.

                  • Bảo mật: mọi truy cập đều phải thông qua proxy nên việc bảo mật được thực hiện triệt để. • Filtering: ngăn cản các truy cập không được cho phép như các trang đồi trụy, các trang phản động….

                  Hình 16: Mô hình Proxy
                  Hình 16: Mô hình Proxy