Đang tải... (xem toàn văn)
Kỹ Thuật - Công Nghệ - Công Nghệ Thông Tin, it, phầm mềm, website, web, mobile app, trí tuệ nhân tạo, blockchain, AI, machine learning - Công nghệ thông tin LỜI CẢM ƠN Trước hết, em xin chân thành cảm ơn Thầy giáo Ths. Hoàng Hữu Đức là người trực tiếp hướng dẫn, giúp đỡ em trong quá trình nghiên cứu và hoàn thiện đồ án tốt nghiệp này. Em cũng chân thành cảm ơn các Thầy Cô giáo trong Khoa Khoa Học Máy Tính đặc biệt là các Thầy Cô trong bộ môn mạng máy tính, những người đã từng giảng dạy, chỉ bảo chúng em trong suốt những quá trình học tập. Do thời gian và kiến thức có hạn, với một lĩnh vực còn khá mới lạ và đang phát triển mạnh nên không tránh khỏi những thiếu sót nhất định. Em rất mong nhận được sự đóng góp ý kiến của Thầy Cô giáo và các bạn. Em xin chân thành cảm ơn Đà Nẵng, tháng 06 năm 2013 Sinh viên thực hiện Phùng Văn Đại Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang i LỜI MỞ ĐẦU Ngày nay, nhu cầu dịch vụ trực tuyến ngày càng phổ biến để phục vụ cho người dùng, bên cạnh đó khoa học và công nghệ phát triển xong để đáp ứng các nhu cầu đó, thì buộc các cơ quan, tổ chức phải sử dụng vào mạng toàn cầu internet. An toàn và bảo mật thông tin là một trong những vấn đề quan trọng hàng đầu, khi thực hiện kết nối mạng nội bộ của các cơ quan, doanh nghiệp, tổ chức với internet. Ngày nay, nhiều biện pháp an toàn thông tin cho máy tính cá nhân cũng như các mạng nội bộ đã được nghiên cứu và triển khai. Tuy nhiên, vẫn thường xuyên có các mạng bị tấn công, có các tổ chức bị đánh cắp thông tin, gây nên những hậu quả vô cùng nghiêm trọng. Những vụ tấn công này nhằm vào tất cả các máy tính có mặt trên internet, các máy tính, website của các tổ chức, công ty lớn với nhiều mục đích khác nhau. Phần rất lớn các vụ tấn công không được thông báo vì nhiều lý do, trong đó có thể kể đến nỗi lo mất uy tín hoặc chỉ đơn giản những người quản trị dự án không hề hay biết những vụ tấn công nhằm vào hệ thống của họ. Không chỉ các vụ tấn công tăng lên nhanh chóng mà các phương pháp tấn công cũng liên tục được cải tiến ngày càng tinh vi hơn. Điều đó một phần do các nhân viên quản trị hệ thống không đề cao cảnh giác. Vì vậy việc kết nối mạng nội bộ của cơ quan tổ chức mình vào mạng internet mà không có các biện pháp đảm bảo an ninh thì nguy cơ tấn công mạng luôn bị rình rập. Từ đó đòi hỏi các cơ quan, tổ chức phải sử dụng mạng i nternet phải chú ý đảm bảo an toàn thông tin trong quá trình kết nối. Bởi vậy, em đã lựa chọn đề tài: “Tìm hiểu bảo mật LAN và triển khai Iptables trên Linux” , nhằm điều khiển luồng thông tin ra, vào và bảo vệ hệ thống mạng tránh sự tấn công từ internet. Bố cục chính của đề tài gồm 4 chương: Chương 1: Tổng quan về bảo mật mạng máy tính. Chương 2: Giới thiệu về iptables. Chương 3: Tìm hiểu firewall iptables trong hệ điều hành Linux. Chương 4: Triển khai và thực nghiệm firewall iptables. Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang ii MỤC LỤC LỜI CẢM ƠN LỜI MỞ ĐẦU .................................................................................................................i MỤC LỤC ..................................................................................................................... ii DANH MỤC CÁC TỪ VIẾT TẮT .............................................................................iv DANH MỤC HÌNH ẢNH .............................................................................................v Chương 1: TỔNG QUAN VỀ BẢO MẬT MẠNG MÁY TÍNH ..........................1 1.1. Tổng quan về an ninh mạng máy tính .........................................................1 1.1.1 Tình hình an ninh mạng trên thế giới ..........................................................1 1.1.2 Tình hình an ninh mạng tại Việt Nam .........................................................1 1.1.3 Các giải pháp cơ bản đảm bảo an ninh ........................................................2 1.2. Các vấn đề bảo mật hệ thống mạng...............................................................4 1.2.1 Vấn đề chung về bảo mật hệ thống và mạng ...............................................4 1.2.2 Các loại lỗ hổng bảo mật và phương thức tấn công mạng ..........................6 1.3. Vấn đề bảo mật mạng LAN ............................................................................9 1.3.1 Mạng không dây (Wireless Local Area Network - WLAN) .....................10 1.3.2 Mạng LAN ảo (Virtual Local Area Network - VLAN) ............................11 Chương 2: GIỚI THIỆU VỀ IPTABLE ................................................................13 2.1. Giới thiệu về firewall.....................................................................................13 2.1.1 Các chức năng của Firewall ......................................................................13 2.1.2 Phân loại Firewall ......................................................................................13 2.1.3 Một số kiến trúc của Firewall ....................................................................17 2.1.4 Những hạn chế của Firewall ......................................................................23 2.2. Các chiến lược xây dựng Firewall ...............................................................23 2.2.1 Quyền hạn tối thiểu ...................................................................................23 2.2.2 Bảo vệ theo chiều sâu ................................................................................23 2.2.3 Nút thắt ......................................................................................................23 2.2.4 Điểm xung yếu ..........................................................................................24 2.2.5 Hỏng trong an toàn ....................................................................................24 2.2.6 Tính đa dạng ..............................................................................................25 2.3. Cách thức xây dựng Firewall .......................................................................25 2.3.1 Xây dựng các nguyên tắc căn bản .............................................................25 Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang iii 2.3.2 Xây dựng chính sách an toàn ....................................................................25 2.3.3 Xây dựng kiến trúc an toàn .......................................................................26 2.3.4 Thứ tự các quy tắc trong bảng ...................................................................26 2.3.5 Các quy tắc căn bản ...................................................................................27 2.4.Các thành phần và cơ chế hoạt động tường lửa ..........................................28 2.4.1 Bộ lọc gói ..................................................................................................28 2.4.2 Cổng ứng dụng ..........................................................................................30 2.4.3 Cổng mạch .................................................................................................31 2.4.4 Bộ lọc sesion thông minh ..........................................................................32 Chương 3:TÌM HIỂU FIREWALL IPTABLES TRONG HỆ ĐIỀU HÀNH LINUX.......................................................................................................................34 3.1. IPtables trên Redhat .....................................................................................34 3.1.1 Giới thiệu về Iptables ................................................................................34 3.1.2 Quá trình chuyển gói dữ liệu qua Netfilter................................................35 3.1.3 Cơ chế xứ lý gói tin trong Iptables. ...........................................................35 3.2. Các tham số dòng lệnh thường gặp .............................................................38 3.3. Giới thiệu về bảng NAT (Network Address Traslation) ...........................40 3.3.1 Khái niêm căn bản về NAT .......................................................................40 3.3.2 Cách đổi địa chỉ IP động ...........................................................................41 3.3.3 Cách đóng giả địa chỉ IP............................................................................42 3.3.4 Một số ví dụ sử dụng kỹ thuật NAT ..........................................................42 3.4. Firewall Iptable vùng DMZ .........................................................................44 3.4.1 Firewall Iptable không có vùng DMZ .......................................................44 3.4.1 Firewall Iptable có vùng DMZ ..................................................................45 Chương 4: TRIỂN KHAI VÀ THỰC NGHIỆM FIREWALL IPTABLES TRÊN LINUX ..........................................................................................................46 4.1. Mô hình mạng thực tế ...................................................................................46 4.2. Mô hình mạng triển khai ..............................................................................47 4.3. Tổng quan các bước thực hiện .....................................................................47 KẾT LUẬN ..................................................................................................................59 TÀI LIỆU THAM KHẢO...........................................................................................60 Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang iv DANH MỤC CÁC TỪ VIẾT TẮT Từ viết tắt Thuật ngữ viết tắt Giải nghĩa LAN Local Area Network Mạng cục bộ DNS Domain Name System Hệ thống phân giải tên miền FTP File Transfer Protocol Giao thức truyền file IP Internet Protocol Giao thức liên mạng NAT Network Address Translation Biên dịch địa chỉ mạng VPN Virtual Private Network Mạng riêng ảo SMTP Simple Mail Transfer Protocol Giao thức truyền tải thư điện tử đơn giản SMNP Simple Network Management Protocol Giao thức quản lý mạng đơn giản NFS Network File System Dịch vụ chia sẽ tài nguyên trên RedHat DMZ Demilitarized Zone Vùng phi quân sự HTTP Hyper Text Transfer Protocol Giao thức truyền tải siêu văn bản DDoS Distributed Denial of Service Tấn công từ chối dịch vụ phân tán DoS Denial of Service Tấn công từ chối dịch vụ VNISA Vietnam Information Security Association Hiệp hội an toàn thông tin Việt Nam WLAN Wireless Local Area Network Mạng không dây cục bộ Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang v DANH MỤC HÌNH ẢNH Hình 2.1: Mô hình sử dụng firewall phần cứng ............................................................14 Hình 2.2: Mô hình sử dụng firewall phần mềm ............................................................16 Hình 2.3: Sơ đồ kiến trúc Dual–homed Host ................................................................17 Hình 2.4: Sơ đồ kiến trúc Screened Host ......................................................................18 Hình 2.5: Sơ đồ kiến trúc Screened Subnet Host ..........................................................20 Hình 2.6: Sơ đồ kiến trúc sử dụng 2 Bastion Host ........................................................21 Hình 2.7: Sơ đồ kiến trúc ghép chung router trong và router ngoài ..............................22 Hình 2.8: Sơ đồ kiến trúc ghép chung bastion host và router ngoài .............................22 Hình 2.9: Sơ đồ phần thành của firewall .......................................................................28 Hình 2.10: Gói tin ở tầng Network ................................................................................29 Hình 2.11: Tầng Application .........................................................................................30 Hình 2.12: Ứng dụng cổng mạch ở lớp 4 trong mô hình OSI .......................................32 Hình 2.13: Circuit Gateway ...........................................................................................32 Hình 3.1: Firewall IPTable trong Linux ........................................................................34 Hình 3.2: Chuyển đổi gói dữ liệu qua Netfilter .............................................................35 Hình 3.3: Quá trình xử lý gói tin trong bảng Filter .......................................................36 Hình 3.4: Quá trình xử lý gói tin trong bảng NAT ........................................................36 Hình 3.5: Quá trình xử lý gói tin trong bảng Mangle ....................................................37 Hình 3.6: Bảng NAT động ............................................................................................41 Hình 3.7: Đóng giả địa chỉ IP với Masquerade .............................................................42 Hình 3.8: Snat và Masquerade.......................................................................................43 Hình 3.9: DNAT ............................................................................................................43 Hình 3.10: Firewall Iptable không có vùng DMZ .........................................................44 Hình 3.11: Firewall Iptable có vùng DMZ ....................................................................45 Hình 4.1: Mô hình mạng trường CĐ CNTT Hữu Nghị Việt Hàn .................................46 Hình 4.2: Mô hình mạng triển khai ...............................................................................47 Hình 4.3: Cấu hình địa chỉ IP trên card eth0 .................................................................48 Hình 4.4:Cấu hình địa chỉ IP trên card eth1 và eth2 .....................................................48 Hình 4.5: Cấu hình Forward ..........................................................................................48 Hình 4.6: Cấu hình ipv4 forward ...................................................................................49 Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang vi Hình 4.7: Cấu hình iptables-config ...............................................................................49 Hình 4.8: Cấu hình xóa các rule mặc định ....................................................................49 Hình 4.9: Cấu hình forward gói tin đi vào eth2 và đi ra eth0 ........................................50 Hình 4.10: Cấu hình kết nối đi vào eth0 và ra eth2 .......................................................50 Hình 4.11: Cấu hình NAT POSTROUTING ................................................................50 Hình 4.12: Cấu hình HTTP FTP POP3 và SMTP đi vào eth2 và ra eth1 .....................51 Hình 4.13: Cấu hình forward gói tin dns vào eth2 và ra eth1 .......................................51 Hình 4.14: Cấu hình các gói tin đi vào eth1 và đi ra eth2 .............................................51 Hình 4.15: Cấu hình NAT PREROUTING port 80,21 đi vào eth2 ..............................52 Hình 4.16: Cấu hình NAT PREROUTING port 110,143,21 đi vào eth2 .....................52 Hình 4.17: Cấu hình NAT PREROUTING DNS ..........................................................52 Hình 4.18: Cấu hình NAT POSTROUTING địa chỉ 10.10.10.2 đi ra eth1 ..................53 Hình 4.19: Cấu hình NAT POSTROUTING địa chỉ n10.10.10.3 đi ra eth1 ................53 Hình 4.20: Chặn gói tin với port 25...............................................................................53 Hình 4.21: Chặn gói tin với dãy địa chỉ IP ....................................................................53 Hình 4.22: Giới hạn gói tin ICMP .................................................................................53 Hình 4.23: Cấu hình syn flood ......................................................................................54 Hình 4.24: Cấu hinh địa chỉ IP trên máy SERVER.......................................................54 Hình 4.25: Cấu hình web server ....................................................................................54 Hình 4.26: Cấu hình địa chỉ IP trên máy MailServer ....................................................55 Hình 4.27: Cấu hình địa chỉ IP ......................................................................................55 Hình 4.28: Kiểm tra kết nối internet trên PC1 ..............................................................55 Hình 4.29: Phân giải tên miền DNS ..............................................................................56 Hình 4.30: PC1 truy cập web server trên máy SERVER ..............................................56 Hình 4.31: PC1 truy cập FTP Server trên máy SERVER .............................................57 Hình 4.32: Kiểm tra mail server với giao thức POP3 và SMTP ...................................57 Hình 4.33: Hộp thư mail nhận trên máy PC2 ................................................................58 Hình 4.34: Atack sử dụng httpdos tấn công Web Server ..............................................58 Hình 4.35: Cấu hình chặn gói tin SYN từ máy attack ...................................................58 Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang 1 Chương 1: TỔNG QUAN VỀ BẢO MẬT MẠNG MÁY TÍNH 1.1. Tổng quan về an ninh mạng máy tính 1.1.1 Tình hình an ninh mạng trên thế giới Với sự xuất hiện của hàng loạt các cuộc tấn công trực tuyến trong thời gian qua, báo hiệu thời kì khó khăn cho các ngân hàng trực tuyến trên toàn thế giới. Năm 2012, một số cuộc tấn công nhằm vào c ác ngân hàng Mỹ, khiến cho các website của các ngân hàng này ngừng trệ hoặc dừng hẳn. Theo Prolexic, một công ty về hạn chế các cuộc tấn từ chối dịch vụ phân tán (DDoS). Cụ thể là một loại virus mới có tên Itsoknoproblembro, có khả năng gây lây nhiễm cho các máy chủ tại các trung tâm dữ liệu, các nhà cung cấp dịch vụ đám mây, biến các máy chủ đó thành các “bRobots” mà hầu như không chương trình chống virus nào hiện nay dò tìm ra được chúng. Bằng việc gây lây nhiễm cho các trung tâm dữ liệu thay vì các máy tính đơn lẻ, những kẻ tấn công đã giành lấy sức mạnh tính toán để dựng lên vô số các cuộc tấn công từ chối dịch vụ. Khi nói đến vấn đề bảo mật, hầu hết các chuyên gia bảo mật đều chú trọng đến sự an toàn của hệ thống mạng và hệ điều hành. Để bảo vệ cho hệ thống, phương pháp thường được chọn là sử dụng tường lửa. Theo khảo sát của tập đoàn Symantec cho thấy trong giai đoạn từ tháng 72011 tới 72012 tội phạm mạng đã thực hiện các vụ tấn công gây thiệt hại lên tới 110 tỷ USD. Tại Hoa Kỳ, khoảng 20 tỷ USD của 70 triệu nạn nhân đã không cánh mà bày do các hành động phá hoại từ các hacker . Khảo sát cũng cho thấy khoảng 556 triệu người đã từng hứng chịu các hành động phá hoại của tin tặc, con số này thậm chí còn lớn hơn dân số Châu Âu ở thời điểm hiện tại. Thống kê cho thấy 15 số tài khoản mạng xã hội từng bị xâm nhập, 10 người dùng bị dính phải các link website chứa mã độc hại, 75 lổ hổng từ các website. 1.1.2 Tình hình an ninh mạng tại Việt Nam An ninh mạng là một vấn đề mới đối với đa số người sử dụng máy tính. Những công ty lập trình website cũng chưa ý thức đầy đủ về vấn đề này. Ở công ty nước ngoài, mỗi lập trình viên sau khi tuyển dụng phải qua một khoá đào tạo lập trình đặc biệt về an ninh mạng một số chứng chỉ như: CCNA (Cisco Certified Network Associate), CCNP (Cisco Certified Network Professional) . Tìm được công ty thiết kế website ở Việt Nam làm điều này rất khó. Việc đầu tư thời gian và công sức vào bảo mật có thể làm chậm tiến độ triển khai dự án, hiệu quả lại khó kiểm chứng. Tuy đã Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang 2 được các chuyên gia máy tính liên tục cảnh báo nhưng nhận thức về nguy cơ, tính rủi ro và hậu quả của tình trạng mất an ninh mạng vẫn chưa được quan tâm tìm hiểu đúng mức. Tình trạng lơ là, mất cảnh giác đối với nguy cơ virus tấn công các trang web xảy ra khá phổ biến trong giới quản trị website, thậm chí ngay cả đối với website của các doanh nghiệp CNTT. Tại ngày an toàn thông tin 2012 do hiệp hội an toàn thông tin Việt Nam VNISA (Vietnam Information Security Association) tổ chức ở Thành phố Hồ Chí Minh ngày 1611, nhiều chuyên gia an ninh mạng đều có chung một đánh giá tình hình an toàn thông tin trên thế giới và cả Việt Nam năm qua không có quá nhiều các sự kiện nổi cộm, nhưng các cuộc tấn công xâm nhập, các hành vi vụ lợi thông qua sử dụng công nghệ cao và mạng internet vẫn xảy ra phổ biến. Tháng 52012, VNISA đánh giá ngẫu nhiên 100 website tên miền .gov.vn cho thấy 78 số website có thể bị tấn công toàn diện. Việt Nam, với sự đầu tư cho an toàn thông tin chưa nhiều, sẽ có nguy cơ chịu không ít rủi ro. Đặc biệt, trong năm 2012, không chỉ các website của doanh nghiệp, c hính phủ, mà cả những website của các công ty bảo mật hàng đầu Việt Nam cũng bị tấn công. Trong năm nay, số lượng các máy tính bị nhiễm mã độc cũng không có dấu hiệu giảm (18,11000 máy tính), đây chính là các “trái bom” trong hệ thống thông tin chưa thể loại trừ được. Hiện nay, phần lớn các doanh nghiệp Việt Nam chưa có sự đầu tư đúng mức về công nghệ bảo mật cũng như về con người do chi phí cho lĩnh vực này khá cao. BKIS c ho biết, các lổ hổng bảo mật trên các trang web của Việt Nam phần lớn là do các công ty viết phần mềm chưa quan tâm đến an toàn hệ thống và đầu tư cho an ninh mạng chưa đủ ngưỡng. Người quản trị mạng chưa làm tốt những công việc như: Đặt mật khẩu yếu, mở nhiều dịch vụ không cần thiết, các doanh nghiệp và tổ chức ở Việt Nam thường đầu tư dưới 10 chi phí CNTT cho bảo mật, một tỷ lệ dưới mức đảm bảo an toàn cho hệ thống thông tin. 1.1.3. Các giải pháp cơ bản đảm bảo an ninh An ninh mạng máy tính có thể bị đe dọa từ rất nhiều góc độ và nguyên nhân khác nhau. Đe dọa an ninh có thể xuất phát từ bên ngoài mạng nội bộ hoặc cũng có thể xuất phát từ ngay bên trong tổ chức. Do đó, việc đảm bảo an ninh an toàn cho mạng máy Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang 3 tính cần phải có nhiều giải pháp cụ thể khác nhau. Tuy nhiên, tổng quan có ba giải pháp cơ bản sau: Giải pháp về phần cứng Giải pháp về phần mềm Giải pháp về con người Đây là ba giải pháp tổng quát mà bất kì một nhà quản trị an ninh nào cũng phải tính đến trong công tác đảm bảo an ninh mạng máy tính. Mỗi giải pháp có một ưu nhược điểm riêng mà người quản trị an ninh cần phải biết phân tích, tổng hợp và chọn lựa để tạo khả năng đảm bảo an ninh tối ưu nhất cho tổ chức mình. o Giải pháp về phần cứng: - Giải pháp phần cứng là giải pháp sử dụng các thiết bị vật lý như các hệ thống máy chuyên dụng, cũng có thể là các thiết lập trong mô hình mạng (thiết lập kênh truyền riêng, mạng riêng). Giải pháp phần cứng thông thường đi kèm với nó là hệ thống phần mềm điều khiển tương ứng. Đây là một giải pháp không phổ biến, vì không linh hoạt trong việc đáp ứng với sự phát triển và thay đổi của các công nghệ, các dịch vụ mới xuất hiện và chi phí rất cao. o Giải pháp về phần mềm: - Khác với giải pháp phần cứng, giải pháp phần mềm hết sức đa dạng. Giải pháp phần mềm có thể phụ thuộc hay không phụ thuộc vào phần cứng. Cụ thể các giải pháp về phần mềm như: Các phương pháp xác thực, các phương pháp mã hoá, mạng riêng ảo, các hệ thống bức tường lửa. Các phương pháp xác thực và mã hoá đảm bảo cho thông tin truyền trên mạng một cách an toàn nhất. Vì với cách thức làm việc của nó, thông tin thật trên đường truyền được mã hoá mà những kẻ trộm không thể thấy được, hoặc nếu thông tin bị sửa đổi thì tại nơi nhận có cơ chế phát hiện sự sửa đổi đó. Còn phương pháp sử dụng hệ thống bức tường lửa lại đảm bảo an ninh ở góc độ khác. - Bằng cách thiết lập các luật tại một điểm đặc biệt (gọi là điểm nghẹt) giữa hệ thống mạng bên trong (mạng cần bảo vệ) với hệ thống mạng bên ngoài (mạng được coi là không an toàn về bảo mật) , hệ thống bức tường lửa hoàn toàn có thể kiểm soát các kết nối trao đổi thông tin giữa hai mạng. Với cách thức này, hệ thống tường lửa đảm bảo an ninh khá tốt cho hệ thống mạng cần bảo vệ. Như thế, giải pháp về phần mềm gần như hoàn toàn gồm các chương trình máy tính, do đó chi phí cho giải pháp này ít hơn so với giải pháp về phần cứng. Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang 4 o Giải pháp về con người: - Bên cạnh hai giải pháp trên, giải pháp về chính sách con người là một giải pháp hết sức cơ bản và không thể thiếu được. Vì như phần trên đã trình bày, vấn đề an ninh mạng máy tính hoàn toàn là vấn đề con người, do đó việc đưa ra một hành lang pháp lý và các quy nguyên tắc làm việc cụ thể là cần thiết. Ở đây, hành lang pháp lý có thể gồm: Các điều khoản trong bộ luật của nhà nước, các văn bản dưới luật, còn các quy định có thể do từng tổ chức đặt ra cho phù hợp với từng đặc điểm riêng. Các quy định có thể như: Quy định về nhân sự, việc sử dụng máy, sử dụng phần mềm. Và như vậy, sẽ hiệu quả nhất trong việc đảm bảo an ninh an toàn cho hệ thống mạng máy tính một khi ta thực hiện triệt để giải pháp về chính sách con người. Tóm lại, vấn đề an ninh mạng máy tính là một vấn đang được các nhà quản lý internet , người quản trị và người sử dụng rất quan tâm, lo ngại về tình hình an ninh mạng hiện nay, nó yêu cầu cần phải kết hợp các giải pháp: Phần cứng, phần mềm và con người. Do đó, một trong những vấn đề mấu chốt của việc đảm bảo tính an toàn, an ninh khi sử dụng mạng internet là vấn đề tự giáo dục và nâng cao ý thức của người sử dụng cũng như trách nhiệm của những nhà cung cấp dịch vụ trong bối cảnh internet được phát triển mạnh và không kiểm soát được như ngày nay. 1.2. Các vấn đề bảo mật hệ thống mạng 1.2.1.Vấn đề chung về bảo mật hệ thống và mạng Đặc điểm chung của một hệ thống mạng là có nhiều người sử dụng chung và phân tán về mặt địa lý nên việc bảo vệ tài nguyên (mất mát hoặc sử dụng không hợp lệ) phức tạp hơn nhiều so với việc môi trường một máy tính đơn lẻ, hoặc một người sử dụng. Hoạt động của người quản trị hệ thống mạng phải đảm bảo các thông tin trên mạng là tin cậy và được s ử dụng đúng mục đích, đối tượng đồng thời đảm bảo mạng hoạt động ổn định không bị tấn công bởi những kẻ phá hoại. Nhưng trên thực tế là không một mạng nào đảm bảo là an toàn tuyệt đối, một hệ thống dù được bảo vệ chắc chắn đến mức nào thì cũng có lúc bị vô hiệu hóa bởi những kẻ có ý đồ xấu. a) Đối tượng tấn công mạng Đối tượng là những cá nhân hoặc tổ chức sử dụng những kiến thức về mạng và các công cụ phá hoại (gồm phần cứng hoặc phần mềm) để dò tìm các điểm yếu và các Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang 5 lỗ hổng bảo mật trên hệ thống, thực hiện các hoạt động xâm nhập và chiếm đoạt tài nguyên trái phép. Một số đối tượng tấn công mạng như: Hacker: Là những kẻ xâm nhập vào mạng trái phép bằng cách sử dụng các công cụ phá mật khẩu hoặc khai thác các điểm yếu của thành phần truy nhập trên hệ thống. Masquerader: Là những kẻ giả mạo thông tin trên mạng như giả mạo địa chỉ IP, tên miền, định danh người dùng. Eavesdropping: Là những đối tượng nghe trộm thông tin trên mạng, sử dụng các công cụ sniffer, sau đó dùng các công cụ phân tích và debug để lấy được các thông tin có giá trị. Những đối tượng tấn công mạng có thể nhằm nhiều mục đích khác nhau như ăn cắp các thông tin có giá trị về kinh tế, phá hoại hệ thống mạng có chủ định, hoặc có thể đó là những hành động vô ý thức. b) Lỗ hổng bảo mật Các lỗ hổng bảo mật là những điểm yếu trên hệ thống hoặc ẩn chứa trong một dịch vụ mà dựa vào đó kẻ tấn công có thể xâm nhập trái phép vào hệ thống để thực hiện những hành động phá hoại chiếm đoạt tài nguyên bất hợp pháp. Có nhiều nguyên nhân gây ra những lỗ hổng bảo mật: Có thể do lỗi của bản thân hệ thống, hoặc lỗ hổng của phần mềm hoặc người quản trị yếu kém không hiểu sâu về các dịch vụ cung cấp. Mức độ ảnh hưởng của các lỗ hổng tới hệ thống là khác nhau. Có lỗ hổng chỉ ảnh hưởng tới chất lượng dịch vụ cung cấp, có lỗ hổng ảnh hưởng tới toàn bộ hệ thống hoặc phá hủy hệ thống. c) Chính sách bảo mật Chính sách bảo mật là tập hợp các quy tắc áp dụng cho những người tham gia quản trị mạng, có sử dụng các tài nguyên và các dịch vụ mạng. Đối với từng trường hợp phải có chính sách bảo mật khác nhau. Chính sách bảo mật giúp người sử dụng biết trách nhiệm của mình trong việc bảo vệ các tài nguyên trên mạng, đồng thời còn giúp cho nhà quản trị mạng thiết lập các biên pháp đảm bảo hữu hiệu trong quá trình trang bị, cấu hình và kiểm soát hoạt động của hệ thống và mạng. Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang 6 1.2.2. Các loại lỗ hổng bảo mật và phương thức tấn công mạng a) Các loại lỗ hổng Có nhiều các tổ chức đã tiến hành phân loại các dạng lỗ hổng đặc biệt. Theo bộ quốc phòng Mỹ các loại lỗ hổng được phân làm ba loại như sau: Lỗ hổng loại C: Cho phép thực hiện các hình thức tấn công theo DoS (Denial of Services - Từ chối dịch vụ) Mức độ nguy hiểm thấp chỉ ảnh hưởng tới chất lượng dịch vụ, làm ngưng trệ gián đoạn hệ thống, không phá hỏng dữ liệu hoặc đạt được quyền truy cập bất hợp pháp. DoS là hình thức tấn công sử dụng các giao thức ở tầng internet trong bộ giao thức TCPIP để làm hệ thống ngưng trệ dẫn đến tình trạng từ chối người sử dụng hợp pháp truy nhập hay sử dụng hệ thống. Các dịch vụ có lỗ hổng cho phép các cuộc tấn công DoS có thể được nâng cấp hoặc sửa chữa bằng các phiên bản mới hơn của các nhà cung cấp dịch vụ. Hiện nay chưa có một biện pháp hữu hiệu nào để khắc phục tình trạng tấn công kiểu này vì bản thân thiết kế ở tầng internet nói riêng và bộ giao thức TCPIP nói chung đã ẩn chứa những nguy cơ tiềm tàng của các lỗ hổng loại này. Lỗ hổng loại B: Cho phép người sử dụng có thêm các quyền trên hệ thống mà không cần kiểm tra tính hợp lệ dẫn đến mất mát thông tin yêu cầu cần bảo mật. Lỗ hổng này thường có trong các ứng dụng trên hệ thống có mức độ nguy hiểm trung bình. Lỗ hổng loại B này có mức độ nguy hiểm hơn lỗ hổng loại C. Cho phép người sử dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập không hợp pháp. Những lỗ hổng loại này thường xuất hiện trong các dịch vụ trên hệ thống. Người sử dụng mạng cục bộ có quyền truy nhập vào hệ thống với một số quyền hạn nhất định. Ngoài ra một dạng khác của lỗ hổng loại B xảy ra với các chương trình viết bằng mã nguồn C. Những chương trình viết bằng mã nguồn C thường sử dụng một vùng đệm, một vùng trong bộ nhớ sử dụng để lưu trữ dữ liệu trước khi xử lý. Người lập trình thường sử dụng vùng đệm trong bộ nhớ trước khi gán một khoảng không gian bộ nhớ cho từng khối dữ liệu. Lỗ hổng loại A: Cho phép người ngoài hệ thống có thể truy cập bất hợp pháp vào hệ thống. Có thể phá huỷ toàn bộ hệ thống như lây nhiễm virus, các máy chủ ngừng hoạt động. Loại lỗ hổng này có mức độ rất nguy hiểm đe dọa tính toàn vẹn và Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang 7 bảo mật của hệ thống. Các lỗ hổng này thường xuất hiện ở những hệ thống quản trị yếu kém hoặc không kiểm soát được cấu hình mạng. Ví dụ với các web server chạy trên hệ điều hành Novell các server này có một scripst là convert.bas chạy scripst này cho phép đọc toàn bộ nội dung các file trên hệ thống. Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có trên phần mềm sử dụng, người quản trị nếu không hiểu sâu về dịch vụ và phần mềm sử dụng có thể bỏ qua điểm yếu này. Vì vậy thường xuyên phải kiểm tra các thông báo của các nhóm tin về bảo mật trên mạng để phát hiện những lỗ hổng loại này. Một loạt các chương trình phiên bản cũ thường sử dụng có những lỗ hổng loại A như: FTP, Gopher, Telnet, Sendmail, ARP, Finger. b. Các hình thức tấn công mạng phổ biến Scanner: Là một trương trình tự động rà soát và phát hiện những điểm yếu về bảo mật trên một trạm làm việc cục bộ hoặc một trạm ở xa. Một kẻ phá hoại sử dụng chương trình scanner có thể phát hiện ra những lỗ hổng về bảo mật trên một server dù ở xa. Cơ chế hoạt động là rà soát và phát hiện những cổng TCPUDP được sử dụng trên hệ thống cần tấn công và các dịch vụ sử dụng trên hệ thống đó. Scanner ghi lại những đáp ứng trên hệ thống từ xa tương ứng với dịch vụ mà nó phát hiện ra. Từ đó nó có thể tìm ra điểm yếu của hệ thống. Những yếu tố để một Scanner hoạt động như sau: - Yêu cầu thiết bị và hệ thống: Môi trường có hỗ trợ TCPIP. - Hệ thống phải kết nối vào mạng internet. Các chương trình Scanner có vai trò quan trọng trong một hệ thống bảo mật, vì chúng có khả năng phát hiện ra những điểm yếu kém trên một hệ thống mạng. Password Cracker: Là một chương trình có khả năng giải mã một mật khẩu đã được mã hoá hoặc có thể vô hiệu hoá chức năng bảo vệ mật khẩu của một hệ thống. Một số chương trình phá khoá có nguyên tắc hoạt động khác nhau. Một số chương trình tạo ra danh sách các từ giới hạn, áp dụng một số thuật toán mã hoá từ kết quả so sánh với password đã mã hoá cần bẻ khoá để tạo ra một danh sách khác theo một logic của chương trình. Khi thấy phù hợp với mật khẩu đã mã hoá, kẻ phá hoại đã có được mật khẩu dưới dạng text thông thường sẽ được ghi vào một file. Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang 8 Biện pháp khắc phục đối với cách thức phá hoại này là cần xây dựng một chính sách bảo vệ mật khẩu đúng đắn. Sniffer: Là các công cụ (phần cứng hoặc phần mềm) “bắt” các thông tin trên mạng và lấy các thông tin có giá trị trao đổi trên mạng. Sniffer có thể “bắt” được các thông tin trao đổi giữa nhiều trạm làm việc với nhau. Thực hiện bắt các gói tin từ tầng IP trở xuống. Giao thức ở tầng IP được định nghĩa công khai, và cấu trúc các trường header rõ ràng, nên việc giải mã các gói tin này không khó khăn. Sniffer thường được sử dụng vào hai mục đích khác nhau, nó có thể là một công cụ giúp cho các quản trị mạng theo dõi và bảo trì hệ thống mạng của mình hoặc có thể là một chương trình được cài vào một hệ thống mạng máy tính với mục đích đánh hơi, nghe lén các thôn g tin trong hệ thống mạng. Khi sniffer sử dụng chế độ promiscuous nó có thể nhìn thấy tất cả thông tin đang trao đổi trong mạng nằm trong một hệ thống mạng. Các thiết bị sniffer có thể bắt được toàn bộ thông tin trao đổi trên mạng là dựa vào nguyên tắc broadcast các gọi tin trong mạng ethernet. Tuy nhiên việc thiết lập một hệ thống sniffer không phải đơn giản vì cần phải xâm nhập được vào hệ thống mạng đó và cài đặt các phần mềm sniffer. Đồng thời các chương trình sniffer cũng yêu cầu người sử dụng phải hiểu sâu về kiến trúc, các giao thức mạng. Việc phát hiện hệ thống bị sniffer không phải đơn giản, vì sniffer hoạt động ở tầng rất thấp, và không ảnh hưởng tới các ứng dụng cũng như các dịch vụ hệ thống đó cung cấp. Tuy nhiên việc xây dựng các biện pháp hạn chế sniffer cũng không quá khó khăn nếu ta tuân thủ các nguyên tắc về bảo mật như: - Không cho người lạ truy nhập vào các thiết bị trên hệ thống. - Quản lý cấu hình hệ thống chặt chẽ. - Thiết lập các kết nối có tính bảo mật cao thông qua các cơ chế mã hoá. Trojan: Là một chương trình dạng virus nhằm thực hiện một việc nào đó trên máy tính bị nhiễm mà không được sự cho phép hoặc người dùng không biết, Chúng có khả năng tự nhân bản, lây lan sang các tập tin, chương trình khác trong máy tính và sang máy tính khác.Ví dụ như File virus (Jerusalem, Cascade...), Boot virus (Disk Killer, Michelangelo, Stoned...) là loại virus lây nhiễm vào boot sector trong khi khởi Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang 9 động máy. Những chương trình virus thường che dấu các đoạn mã trong các chương trình sử dụng hợp pháp. Khi những chương trình này được kích hoạt thì những đoạn mã ẩn dấu sẽ thực thi và chúng thực hiện một số chức năng mà người sử dụng không biết như: Ăn cắp mật khẩu hoặc copy file mà người sử dụng nhưng ta thường không hay biết. Trojans sẽ thực hiện một trong những công việc sau: - Thực hiện một vài chức năng hoặc giúp người lập trình lên nó phát hiện những thông tin quan trọng hoặc những thông tin cá nhân trên một hệ thống hoặc chỉ trên một vài thành phần của hệ thống đó. - Che dấu một vài chức năng hoặc là giúp người lập trình phát hiện những thông tin quan trọng hoặc những thông tin cá nhân trên một hệ thống hoặc chỉ trên một vài thành phần của hệ thống. - Ngoài ra còn có các chương trình trojan có thể thực hiện đựợc cả hai chức năng này. Có chương trình trojan còn có thể phá hủy hệ thống bằng cách phá hoại các thông tin trên ổ cứng. Nhưng ngày nay các t rojans kiểu này dễ dàng bị phát hiện và khó phát huy được tác dụng. - Tuy nhiên có những trường hợp nghiêm trọng hơn những kẻ tấn công tạo ra những lỗ hổng bảo mật thông qua t rojans và kẻ tấn công lấy được quyền root trên hệ thống và lợi dụng quyền đó để phá hủy một phần hoặc toàn bộ hệ thống hoặc dùng quyền root để thay đổi logfile, cài đặt các chương trình trojans khác mà người quản trị không thể phát hiện được gây ra mức độ ảnh hưởng rất nghiêm trọng và người quản trị chỉ còn cách cài đặt lại toàn bộ hệ thống. 1.3. Vấn đề bảo mật mạng LAN Khi nói đến vấn đề bảo mật cho mạng LAN ta thường quan tâm tới những vấn đề chính là bảo mật thông tin dữ liệu trao đổi bên trong mạng nội bộ, bảo mật thông tin dữ liệu trao đổi từ trong mạng ra bên ngoài và từ bên ngoài vào trong mạng. Việc kiểm soát được những truy cập bất hợp pháp từ bên ngoài vào cũng như kiểm soát những tru y cập không cho phép từ trong nội bộ mạng ra bên ngoài. Cùng với sự phát triển mạnh mẽ của internet và nhu cầu kết nối mạng nội bộ với i nternet thì vấn đề đảm bảo an toàn, an ninh mạng càng trở nên khó khăn và cần thiết. Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang 10 1.3.1 Mạng không dây (Wireless Local Area Network - WLAN) Các giải pháp bảo mật mạng không dây WLAN: - WEP (Wried Equivalent Privacy) - WLAN VPN - 802.1X và EAP - WPA (Wi-fi Protected Access) - WPA2 a) WEP (Wried Equivalent Privacy): - Chuẩn 802.11 cung cấp tính riêng tư cho dữ liệu bằng thuật toán WEP. WEP dựa trên mật mã dòng đối xứng RC4 (Ron’s code 4) được Ron Rivest thuộc hãng RSA Security Inc phát triển. - Một giá trị có tên Initialization Vector (IV) được sử dụng để cộng thêm với khóa nhằm tạo ra khóa khác nhau mỗi lần mã hóa. - Hiện nay, trên internet đã sẵn có những công cụ có khả năng tìm khóa WEP như AirCrack, AirSnort, dWepCrack, WepAttack, WepCrack, WepLab. WLAN VPN: - Mạng riêng ảo VPN bảo vệ mạng WLAN bằng cách tạo ra một kênh che chắn dữ liệu khỏi các truy cập trái phép. VPN tạo ra một tin cậy cao thông qua việc sử dụng một cơ chế bảo mật như IPSec (Internet Protocol Security). IPSec dùng các thuật toán mạnh như Data Encryption Standard (DES) và Triple DES (3DES) để mã hóa dữ liệu, và dùng các thuật toán khác để xác thực gói dữ liệu. - Khi được sử dụng trên mạng WLAN, cổng kết nối của VPN đảm nhận việc xác thực, đóng gói và mã hóa. b) 802.1X và EAP: 802.1x: Là chuẩn đặc tả cho việc truy cập dựa trên cổng (port- based) được định nghĩa bởi IEEE. Hoạt động trên cả môi trường có dây truyền thống và không dây. Khi một người dùng cố gắng kết nối vào hệ thống mạng, kết nối của người dùng sẽ được đặt ở trạng thái bị chặn (blocking) và chờ cho việc kiểm tra định danh người dùng hoàn tất. EAP: Là phương thức xác thực bao gồm yêu cầu định danh người dùng (password, cetificate,…), giao thức được sử dụng (MD5, TLS - Transport Layer Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang 11 Security, OTP - One Time Password,…) hỗ trợ tự động sinh khóa và xác thực lẫn nhau. c) WPA (Wi-fi Protected Access): - Cải tiến quan trọng nhất của WPA là sử dụng hàm thay đổi khoá TKIP. WPA cũng sử dụng thuật toán RC4 như WEP, nhưng mã hoá đầy đủ 128 bit. Và một đặc điểm khác là WPA thay đổi khoá cho mỗi gói tin. - WPA còn bao gồm kiểm tra tính toàn vẹn của thông tin. Vì vậy, dữ liệu không thể bị thay đổi trong khi đang ở trên đường truyền. - WPA có sẵn 2 lựa chọn: WPA Personal và WPA Enterprise. Cả 2 lựa chọn đều sử dụng giao thức TKIP, và sự khác biệt chỉ là khoá khởi tạo mã hoá lúc đầu. d) WPA2: Chuẩn này sử dụng thuật toán mã hoá mạnh mẽ và được gọi là Chuẩn mã hoá nâng cao AES(Advanced Encryption Standard). AES sử dụng thuật toán mã hoá đối xứng theo khối Rijndael, sử dụng khối mã hoá 128 bit, và 192 bit hoặc 256 bit. 1.3.2. Mạng LAN ảo (Virtual Local Area Network - VLAN) Mạng LAN (Local Area Network – còn gọi là mạng cục bộ) trong đó các máy tính và thiết bị truyền thông mạng được kết nối với nhau trong một khu vực nhỏ như tòa nhà cao ốc, trường đại học, khu giải trí. Mạng LAN có các đặc điểm sau: - Băng thông lớn để có khả năng chạy các ứng dụng trực tuyến như xem phim, giải trí, hội thảo qua mạng. - Kích thước mạng bị giới hạn bởi thiết bị. - Chi phí thiết kế, lắp đặt mạng LAN rẻ. - Quản trị đơn giản. VLAN từ viết tắt của Virtual Local Area Network hay còn được gọi là mạng LAN ảo. VLAN là một kỹ thuật cho phép tạo lập các mạng LAN độc lập một logic trên cùng một kiến trúc hạ tầng vật lý. Việc tạo lập nhiều mạng LAN ảo trong cùng một mạng cục bộ (giữa các khoa trong một trường học, giữa các khu vực, phòng ban trong một công ty,...) giúp giảm thiểu vùng quảng bá cũng như tạo thuận lợi cho việc quản lý một mạng cục bộ rộng lớn. VLAN cũng tăng cường tính bảo mật bởi vì một nhóm máy tính trong một VLAN chỉ trao đổi thông trong cùng một VLAN. Một số tính năng bảo mật: Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang 12 - Port security: Cho phép nhân viên quản trị mạng xác định số lượng máy trạm được phép kết nối đến từng cổng switch. - Private LANs: Cung cấp biện pháp an ninh và khả nǎng phân vùng các cổng trên switch mà các cổng này của cùng một VLAN. Tính nǎng này đảm bảo rằng người sử dụng có thể giao tiếp chỉ với gateway mặc định của họ mà không phải với gateway của người khác. Private VLAN thường được sử dụng hiệu quả trong các môi trường DMZ (Delimitized Zone). - STP root guardBPDU guard: Loại bỏ các cuộc tấn công theo kiểu spanning- tree bằng cách tắt tất cả các cổng có thể gây ra sự thay đổi cấu trúc mạng lớp 2. - SSH support: Cung cấp một kết nối từ xa an toàn đến các thiết bị lớp 2 và lớp 3. Đối với các kết nối từ xa, SSH cung cấp mức độ bảo mật cao hơn telnet do cung cấp phương pháp mã hoá mạnh hơn khi thiết bị được xác thực. Tính nǎng này có cả SSH server và SSH client tích hợp. - VMPS (VLAN Membership Policy Server): Cho phép các địa chỉ MAC nhất định tương ứng với các VLAN nhất định. Tính nǎng nàycho phép người sử dụng di động trong mạng campus luôn có khả kết nối với cùng một biện pháp an ninh mạng. - Xác thực IEEE 802.1X: Bảo vệ mạng bằng cách nhận thực người sử dụng theo một cơ sở dữ liệu trung tâm trước khi kết nối được phép thực hiện. - Wire-rate ACLs: Cho phép các danh sách điều khiển truy nhập được thực hiện mà không làm giảm hiệu nǎng hệ thống. Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang 13 Chương 2: GIỚI THIỆU VỀ IPTABLE Để bảo vệ mạng nội bộ firewall là một trong những giải pháp bảo vệ mạng hữu hiệu và phổ biến hiện nay. Nó giúp cho các mạng nội bộ tránh khỏi những truy nhập trái phép từ bên ngoài bằng cách điều khiển thông tin ra vào giữa các mạng nội bộ. Nội dung chính của chương này em sẽ giới thiệu tổng quan về firewall , khái niệm, các chức năng của firewall, phân loại firewall, ưu nhược điểm của từng loại firewall, các chiến lược để xây dựng firewall và giới thiệu về cơ chế lọc gói tin. 2.1. Giới thiệu về firewall Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép từ mạng ngoài vào mạng trong nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống khi chưa được cấp quyền hoặc cho phép truy cập. Cũng có thể hiểu rằng firewall là một cơ chế để bảo vệ mạng tin tưởng (Trusted network) khỏi các mạng không tin tưởng (Untrusted network). Xây dựng firewall giữa mạng của một tổ chức, một công ty, hay một quốc gia và i nternet. Nó thực hiện vai trò bảo mật các thông tin trong mạng nội bộ ngăn chặn tấn công từ bên ngoài. 2.1.1 Các chức năng của Firewall Chức năng chính của firewall là kiểm soát luồng thông tin giữa mạng cần bảo vệ (Trusted Network) và internet thông qua các chính sách truy nhập đã được thiết lập. - Cho phép hoặc cấm các dịch vụ truy nhập từ trong ra ngoài và từ ngoài vào trong. - Kiểm soát địa chỉ truy nhập và dịch vụ sử dụng. - Kiểm soát khả năng truy cập người sử dụng giữa 2 mạng. - Kiểm soát nội dung thông tin truyền tải giữa 2 mạng. - Ngăn ngừa khả năng tấn công từ các mạng ngoài. 2.1.2 Phân loại Firewall Firewall có nhiều loại tuy nhiên mỗi loại có nhưng ưu và nhược điểm riêng. Nhưng thông thường firewall được chia làm 2 loại chính là: Firewall phần cứng. Firewall phần mềm. Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang 14 a) Firewall phần cứng Là một thiết bị phần cứng được tích hợp bộ định tuyến, các quy tắc cho việc lọc gói tin được thiết lập ngay trên bộ định tuyến đó. Firewall phần cứng này như một chiếc máy tính chỉ thực hiện chức năng duy nhất là lọc gói tin bằng cách chạy một phần mềm đã được cứng hóa trong đó và chỉ có thể thiết lập các tập luật còn không thể thay đổi bộ định tuyến được cứng hóa và tích hợp bên trong. Tùy vào từng loại firewall phần cứng của các hãng khác nhau mà cho phép người quản trị có khả năng cập nhật những quy tắc lọc gói tin khác nhau. Khi hoạt động, tường lửa sẽ dựa trên các quy tắc được thiết lập trong bộ định tuyến mà kiểm tra thông tin header của gói tin như địa chỉ nguồn (source IP address), địa chỉ đích (destination IP address), cổng (Port). Nếu mọi thông tin trong header của gói tin là hợp lệ nó sẽ được cho qua và nếu không hợp lệ nó sẽ bị bỏ qua. Chính việc không mất thời gian xử lí những gói tin có địa chỉ không hợp lệ làm cho tốc độ xử lí của firewall phần cứng rất nhanh và đây chính là ưu điểm lớn nhất của hệ thống firewall phần cứng. Một điểm đáng chú là tất cả các loại firewall phần cứng trên thế giới hiện nay đều chưa thể lọc được nội dung của gói tin mà chỉ có thể lọc được phần nội dung trong header của gói tin. Mô hình sử dụng firewall phần cứng: Thiết bị phần cứng firewall trong mô hình này chỉ có một chức năng duy nhất là lọc gói tin mà không thể thực hiện bất kì một công việc nào khác. Hình 2.1: Mô hình sử dụng firewall phần cứng Trong mô hình này thông tin từ mạng internet không thể trực tiếp đi vào vùng mạng được bảo vệ và ngược lại mà nó phải thông qua firewall phần cứng. Quá trình kiểm duyệt xảy ra nếu các thông tin trong phần header của gói tin bao gồm địa chỉ Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang 15 nguồn, địa chỉ đích, cổng (port) , được chấp nhận thì nó sẽ được chuyển tiếp vào mạng bên trong hay chuyển ra mạng internet bên ngoài. Hiện nay trên thị trường có một số hãng sản xuất firewall phần cứng rất nổi tiếng như CISCO, D-LINK, PLANET. Đặc điểm của Firewall phần cứng: - Không được linh hoạt như Firewall mềm: Không thể thêm chức năng, thêm quy tắc như firewall mềm. - Firewall cứng hoạt động ở tầng thấp hơn firewall mềm (Tầng Network và tầng Transport). - Firewall cứng không thể kiểm tra được nột dung của gói tin. - Thường được sử dụng cho các hệ thống mạng lớn. b) Firewall phần mềm Loại firewall này là một chương trình ứng dụng nguyên tắc hoạt động dựa trên trên ứng dụng proxy, là một phần mềm cho phép chuyển các gói tin mà máy chủ nhận được đến những địa điểm nhất định theo yêu cầu. Và các quy tắc lọc gói tin được người sử dụng tự thiết lập. Người ta thường sử dụng firewall loại này khi một mạng máy tính có máy chủ và mọi thông tin đều thông qua máy chủ này rồi mới chuyển đến máy con trong mạng hoặc dùng cho máy tính cá nhân khi tham gia mạng. Firewall phần mềm này rất tiện lợi ở chỗ phần mềm có thể dễ dàng thay đổi cập nhật các phiên bản mới. Cách thức hoạt động của firewall dạng này cũng rất đơn giản. Phần mềm firewall được chạy thường trú trên máy chủ hay máy tính cá nhân. Máy tính này có thể đảm đương nhiều nhiệm vụ ngoài công việc là firewall. Mỗi khi có các gói tin được chuyển đến hay chuyển đi nó đều được phần mềm firewall này kiểm tra phần header của gói tin bao gồm các thông tin về địa chỉ đến, địa chỉ đi, giao thức, cổng dịch vụ. Firewall phần mềm mới hiện nay còn có thể kiểm tra được nội dung của gói tin. Các thông tin mà firewall kiểm tra được người dùng quy định trước trong tập luật. Nếu gói tin được phần mềm firewall cho qua thì tiếp theo nó sẽ được đưa đến các máy con trong mạng hoặc là các ứng dụng chạy trực tiếp trên máy đó. Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang 16 Hình 2.2: Mô hình sử dụng firewall phần mềm Dưới đây là mô hình thường sử dụng firewall phần mềm: Máy tính dùng làm firewall có thể đảm đương nhiều nhiệm vụ khác nhau ngoài việc là một firewall ví dụ DNS server, Mail server, Web server ... Trong mô hình này máy tính chạy ứng dụng firewall có vai trò trung gian. Nó sẽ nhận các gói tin từ internet và protected network sau đó thực hiện quá trình kiểm tra phần header của các gói tin đó gồm thông tin như : Địa chỉ đến, địa chỉ đi, giao thức, cổng dịch vụ,… Sau đó nếu phần mềm firewall chấp nhận cho gói tin đi qua thì gói tin sẽ tiếp tục chuyển đến đích. Ngược lại nếu gói tin không được chấp nhận chuyển tiếp thì phần mềm firewall sẽ đưa ra quyết định hủy bỏ. Cách hủy bỏ cũng có nhiều kiểu như hủy bỏ không cần trả lời cho máy gửi tới biết lí do (DROP), hủy bỏ nhưng vẫn trả lời cho máy gửi tới biết lí do (REJECT). Chính việc xử lí việc hủy bỏ gói tin như vậy dẫn đến tốc độ của loại firewall này bị hạn chế. Một số phần mềm firewall sử dụng nhiều và được đánh giá cao về khả năng lọc gói tin như ZoneAlarm Pro, SmoothWall, McAfee Personal Firewall Plus, Sygate Personal Firewall. Đặc điểm của firewall phần mềm: - Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng. - Firewall mềm hoạt động ở tầng cao hơn firewall cứng. - Firewal mềm có thể kiểm tra được nội dung của gói tin. - Chí phí đầu tư thấp hơn so với firewall cứng. - Thường được sử dụng cho các máy tính cá nhân hoặc hệ thống mạng quy nhỏ. Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang 17 2.1.3 Một số kiến trúc của Firewall a. Kiến trúc Dual – Homed Host Dual–homed h ost là hình thức xuất hiện đầu tiên trong cuộc đấu để bảo vệ mạng nội bộ. Dual–homed h ost là một máy tính có hai giao tiếp mạng: Một nối với mạng cục bộ và một nối với mạng ngoài. Hệ điều hành của Dual–homed host được sửa đổi để chức năng chuyển các gói tin giữa hai giao tiếp mạng này không hoạt động. Để làm việc được với một máy trên internet, người dùng ở mạng cục bộ trước hết phải login vào dual–homed h ost, và từ đó bắt đầu phiên làm việc. Hình 2.3: Sơ đồ kiến trúc Dual–homed Host Để cung cấp dịch vụ cho những người sử dụng mạng cục bộ (internal network) có một số giải pháp như sau: - Nếu dùng phương pháp cấp account cho user trên máy dual– homed host thì user không thích sử dụng dịch vụ phiền phức như vậy, vì mỗi lần họ muốn sử dụng dịch vụ thì phải đăng nhập vào máy khác (dual homed host) khác với máy của họ đây là vấn đề rất là không trong suốt với người sử dụng. - Nếu dùng Proxy Server: Khó có thể cung cấp được nhiều dịch vụ cho người sử dụng vì phần mềm proxy server và Proxy client không phải loại dịch vụ nào cũng có sẵn. Một khuyết điểm cơ bản của hai mô hình trên nữa là: Khi mà máy dual –homed host nói chung cũng như các proxy server bị đột nhập vào. Người tấn công (attacker) đột nhập vào được qua nó thì lưu thông bên trong mạng cục bộ bị attacker này thấy hết, điều này thì hết sức nguy hiểm. Trong các hệ thống mạng dùng ethernet hoặc Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang 18 Token r ing thì dữ liệu lưu thông trong hệ thống có thể bị bất kỳ máy nào nối vào mạng đánh cắp dữ liệu cho nên kiến trúc trên chỉ thích hợp với một số mạng nhỏ. Ưu điểm: - Cài đặt dễ dàng, không yêu cầu phần cứng hoặc phần mềm đặc biệt. - Dual–homed host chỉ yêu cầu cấm khả năng chuyển các gói tin, do vậy, thông thường trên các hệ unix, chỉ cần cấu hình và dịch lại nhân (kernel) của hệ điều hành là đủ. Nhược điểm: - Không đáp ứng được những yêu cầu bảo mật ngày càng phức tạp, cũng như những hệ phần mềm mới được tung ra thị trường. - Không có khả năng chống đỡ những cuộc tấn công nhằm vào chính bản thân nó, và khi Dual–homed h ost đó bị đột nhập, nó sẽ trở thành đầu cầu lý tưởng để tấn công vào mạng nội bộ. b) Kiến trúc Screened Host Kiến trúc này kết hợp 2 kỹ thuật đó là packet filtering và proxy services. Packet Filtering: Lọc một số loại dịch vụ mà hệ thống muốn cung cấp sử dụng proxy server, bắt người sử dụng nếu muốn dùng dịch vụ thì phải kết nối đến p roxy server mà không được bỏ qua proxy server để nối trực tiếp với mạng bên trongbên ngoài (internalexternal netwo rk), đồng thời có thể cho phép bastion host mở một số kết nối với internalexternal host. Proxy Service: Bastion host sẽ chứa các proxy s erver để phục vụ một số dịch vụ hệ thống cung cấp cho người sử dụng qua proxy server. Hình 2.4: Sơ đồ kiến trúc Screened Host Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux S
Trang 1LỜI CẢM ƠN
Trước hết, em xin chân thành cảm ơn Thầy giáo Ths Hoàng Hữu Đức là người trực tiếp hướng dẫn, giúp đỡ em trong quá trình nghiên cứu và hoàn thiện đồ án tốt nghiệp này
Em cũng chân thành cảm ơn các Thầy Cô giáo trong Khoa Khoa Học Máy Tính đặc biệt là các Thầy Cô trong bộ môn mạng máy tính, những người đã từng giảng dạy, chỉ bảo chúng em trong suốt những quá trình học tập
Do thời gian và kiến thức có hạn, với một lĩnh vực còn khá mới lạ và đang phát triển mạnh nên không tránh khỏi những thiếu sót nhất định Em rất mong nhận được sự đóng góp ý kiến của Thầy Cô giáo và các bạn
Em xin chân thành cảm ơn!
Đà Nẵng, tháng 06 năm 2013 Sinh viên thực hiện
Phùng Văn Đại
Trang 2LỜI MỞ ĐẦU
Ngày nay, nhu cầu dịch vụ trực tuyến ngày càng phổ biến để phục vụ cho người dùng, bên cạnh đó khoa học và công nghệ phát triển xong để đáp ứng các nhu cầu đó, thì buộc các cơ quan, tổ chức phải sử dụng vào mạng toàn cầu internet An toàn và bảo mật thông tin là một trong những vấn đề quan trọng hàng đầu, khi thực hiện kết nối mạng nội bộ của các cơ quan, doanh nghiệp, tổ chức với internet Ngày nay, nhiều biện pháp an toàn thông tin cho máy tính cá nhân cũng như các mạng nội bộ đã được nghiên cứu và triển khai Tuy nhiên, vẫn thường xuyên có các mạng bị tấn công, có các tổ chức bị đánh cắp thông tin, gây nên những hậu quả vô cùng nghiêm trọng
Những vụ tấn công này nhằm vào tất cả các máy tính có mặt trên internet, các máy tính, website của các tổ chức, công ty lớn với nhiều mục đích khác nhau Phần rất lớn các vụ tấn công không được thông báo vì nhiều lý do, trong đó có thể kể đến nỗi lo mất uy tín hoặc chỉ đơn giản những người quản trị dự án không hề hay biết những vụ tấn công nhằm vào hệ thống của họ Không chỉ các vụ tấn công tăng lên nhanh chóng mà các phương pháp tấn công cũng liên tục được cải tiến ngày càng tinh vi hơn Điều đó một phần do các nhân viên quản trị hệ thống không đề cao cảnh giác Vì vậy việc kết nối mạng nội bộ của cơ quan tổ chức mình vào mạng internet mà không có các biện pháp đảm bảo an ninh thì nguy cơ tấn công mạng luôn bị rình rập
Từ đó đòi hỏi các cơ quan, tổ chức phải sử dụng mạng internet phải chú ý đảm
bảo an toàn thông tin trong quá trình kết nối Bởi vậy, em đã lựa chọn đề tài: “Tìm hiểu bảo mật LAN và triển khai Iptables trên Linux”, nhằm điều khiển luồng thông
tin ra, vào và bảo vệ hệ thống mạng tránh sự tấn công từ internet
Bố cục chính của đề tài gồm 4 chương:
Chương 1: Tổng quan về bảo mật mạng máy tính Chương 2: Giới thiệu về iptables
Chương 3: Tìm hiểu firewall iptables trong hệ điều hành Linux Chương 4: Triển khai và thực nghiệm firewall iptables
Trang 3Chương 1: TỔNG QUAN VỀ BẢO MẬT MẠNG MÁY TÍNH 1
1.1 Tổng quan về an ninh mạng máy tính 1
1.1.1 Tình hình an ninh mạng trên thế giới 1
1.1.2 Tình hình an ninh mạng tại Việt Nam 1
1.1.3 Các giải pháp cơ bản đảm bảo an ninh 2
1.2 Các vấn đề bảo mật hệ thống mạng 4
1.2.1 Vấn đề chung về bảo mật hệ thống và mạng 4
1.2.2 Các loại lỗ hổng bảo mật và phương thức tấn công mạng 6
1.3 Vấn đề bảo mật mạng LAN 9
1.3.1 Mạng không dây (Wireless Local Area Network - WLAN) 10
1.3.2 Mạng LAN ảo (Virtual Local Area Network - VLAN) 11
Chương 2: GIỚI THIỆU VỀ IPTABLE 13
2.1 Giới thiệu về firewall 13
2.1.1 Các chức năng của Firewall 13
2.1.2 Phân loại Firewall 13
2.1.3 Một số kiến trúc của Firewall 17
2.1.4 Những hạn chế của Firewall 23
2.2 Các chiến lược xây dựng Firewall 23
2.2.1 Quyền hạn tối thiểu 23
2.2.2 Bảo vệ theo chiều sâu 23
Trang 42.4.4 Bộ lọc sesion thông minh 32
Chương 3:TÌM HIỂU FIREWALL IPTABLES TRONG HỆ ĐIỀU HÀNH LINUX 34
3.1 IPtables trên Redhat 34
3.1.1 Giới thiệu về Iptables 34
3.1.2 Quá trình chuyển gói dữ liệu qua Netfilter 35
3.1.3 Cơ chế xứ lý gói tin trong Iptables 35
3.2 Các tham số dòng lệnh thường gặp 38
3.3 Giới thiệu về bảng NAT (Network Address Traslation) 40
3.3.1 Khái niêm căn bản về NAT 40
4.2 Mô hình mạng triển khai 47
4.3 Tổng quan các bước thực hiện 47
KẾT LUẬN 59
TÀI LIỆU THAM KHẢO 60
Trang 5DANH MỤC CÁC TỪ VIẾT TẮT
DNS Domain Name System Hệ thống phân giải tên miền FTP File Transfer Protocol Giao thức truyền file
IP Internet Protocol Giao thức liên mạng NAT Network Address Translation Biên dịch địa chỉ mạng VPN Virtual Private Network Mạng riêng ảo
SMTP Simple Mail Transfer Protocol Giao thức truyền tải thư điện tử đơn giản SMNP Simple Network Management
NFS Network File System Dịch vụ chia sẽ tài nguyên trên RedHat
DMZ Demilitarized Zone Vùng phi quân sự
HTTP Hyper Text Transfer Protocol Giao thức truyền tải siêu văn bản DDoS Distributed Denial of Service Tấn công từ chối dịch vụ phân tán DoS Denial of Service Tấn công từ chối dịch vụ
VNISA Vietnam Information Security
Association Hiệp hội an toàn thông tin Việt Nam WLAN Wireless Local Area Network Mạng không dây cục bộ
Trang 6DANH MỤC HÌNH ẢNH
Hình 2.1: Mô hình sử dụng firewall phần cứng 14
Hình 2.2: Mô hình sử dụng firewall phần mềm 16
Hình 2.3: Sơ đồ kiến trúc Dual–homed Host 17
Hình 2.4: Sơ đồ kiến trúc Screened Host 18
Hình 2.5: Sơ đồ kiến trúc Screened Subnet Host 20
Hình 2.6: Sơ đồ kiến trúc sử dụng 2 Bastion Host 21
Hình 2.7: Sơ đồ kiến trúc ghép chung router trong và router ngoài 22
Hình 2.8: Sơ đồ kiến trúc ghép chung bastion host và router ngoài 22
Hình 2.9: Sơ đồ phần thành của firewall 28
Hình 2.10: Gói tin ở tầng Network 29
Hình 2.11: Tầng Application 30
Hình 2.12: Ứng dụng cổng mạch ở lớp 4 trong mô hình OSI 32
Hình 2.13: Circuit Gateway 32
Hình 3.1: Firewall IPTable trong Linux 34
Hình 3.2: Chuyển đổi gói dữ liệu qua Netfilter 35
Hình 3.3: Quá trình xử lý gói tin trong bảng Filter 36
Hình 3.4: Quá trình xử lý gói tin trong bảng NAT 36
Hình 3.5: Quá trình xử lý gói tin trong bảng Mangle 37
Hình 4.1: Mô hình mạng trường CĐ CNTT Hữu Nghị Việt Hàn 46
Hình 4.2: Mô hình mạng triển khai 47
Hình 4.3: Cấu hình địa chỉ IP trên card eth0 48
Hình 4.4:Cấu hình địa chỉ IP trên card eth1 và eth2 48
Hình 4.5: Cấu hình Forward 48
Hình 4.6: Cấu hình ipv4 forward 49
Trang 7Hình 4.7: Cấu hình iptables-config 49
Hình 4.8: Cấu hình xóa các rule mặc định 49
Hình 4.9: Cấu hình forward gói tin đi vào eth2 và đi ra eth0 50
Hình 4.10: Cấu hình kết nối đi vào eth0 và ra eth2 50
Hình 4.11: Cấu hình NAT POSTROUTING 50
Hình 4.12: Cấu hình HTTP FTP POP3 và SMTP đi vào eth2 và ra eth1 51
Hình 4.13: Cấu hình forward gói tin dns vào eth2 và ra eth1 51
Hình 4.14: Cấu hình các gói tin đi vào eth1 và đi ra eth2 51
Hình 4.15: Cấu hình NAT PREROUTING port 80,21 đi vào eth2 52
Hình 4.16: Cấu hình NAT PREROUTING port 110,143,21 đi vào eth2 52
Hình 4.17: Cấu hình NAT PREROUTING DNS 52
Hình 4.18: Cấu hình NAT POSTROUTING địa chỉ 10.10.10.2 đi ra eth1 53
Hình 4.19: Cấu hình NAT POSTROUTING địa chỉ n10.10.10.3 đi ra eth1 53
Hình 4.20: Chặn gói tin với port 25 53
Hình 4.21: Chặn gói tin với dãy địa chỉ IP 53
Hình 4.22: Giới hạn gói tin ICMP 53
Hình 4.23: Cấu hình syn flood 54
Hình 4.24: Cấu hinh địa chỉ IP trên máy SERVER 54
Hình 4.25: Cấu hình web server 54
Hình 4.26: Cấu hình địa chỉ IP trên máy MailServer 55
Hình 4.27: Cấu hình địa chỉ IP 55
Hình 4.28: Kiểm tra kết nối internet trên PC1 55
Hình 4.29: Phân giải tên miền DNS 56
Hình 4.30: PC1 truy cập web server trên máy SERVER 56
Hình 4.31: PC1 truy cập FTP Server trên máy SERVER 57
Hình 4.32: Kiểm tra mail server với giao thức POP3 và SMTP 57
Hình 4.33: Hộp thư mail nhận trên máy PC2 58
Hình 4.34: Atack sử dụng httpdos tấn công Web Server 58
Hình 4.35: Cấu hình chặn gói tin SYN từ máy attack 58
Trang 8Chương 1: TỔNG QUAN VỀ BẢO MẬT MẠNG MÁY TÍNH 1.1 Tổng quan về an ninh mạng máy tính
1.1.1 Tình hình an ninh mạng trên thế giới
Với sự xuất hiện của hàng loạt các cuộc tấn công trực tuyến trong thời gian qua, báo hiệu thời kì khó khăn cho các ngân hàng trực tuyến trên toàn thế giới Năm 2012, một số cuộc tấn công nhằm vào các ngân hàng Mỹ, khiến cho các website của các ngân hàng này ngừng trệ hoặc dừng hẳn Theo Prolexic, một công ty về hạn chế các cuộc tấn từ chối dịch vụ phân tán (DDoS) Cụ thể là một loại virus mới có tên Itsoknoproblembro, có khả năng gây lây nhiễm cho các máy chủ tại các trung tâm dữ liệu, các nhà cung cấp dịch vụ đám mây, biến các máy chủ đó thành các “bRobots” mà hầu như không chương trình chống virus nào hiện nay dò tìm ra được chúng Bằng việc gây lây nhiễm cho các trung tâm dữ liệu thay vì các máy tính đơn lẻ, những kẻ tấn công đã giành lấy sức mạnh tính toán để dựng lên vô số các cuộc tấn công từ chối dịch vụ
Khi nói đến vấn đề bảo mật, hầu hết các chuyên gia bảo mật đều chú trọng đến sự an toàn của hệ thống mạng và hệ điều hành Để bảo vệ cho hệ thống, phương pháp thường được chọn là sử dụng tường lửa Theo khảo sát của tập đoàn Symantec cho thấy trong giai đoạn từ tháng 7/2011 tới 7/2012 tội phạm mạng đã thực hiện các vụ tấn công gây thiệt hại lên tới 110 tỷ USD Tại Hoa Kỳ, khoảng 20 tỷ USD của 70 triệu nạn nhân đã không cánh mà bày do các hành động phá hoại từ các hacker Khảo sát cũng cho thấy khoảng 556 triệu người đã từng hứng chịu các hành động phá hoại của tin tặc, con số này thậm chí còn lớn hơn dân số Châu Âu ở thời điểm hiện tại
Thống kê cho thấy 15% số tài khoản mạng xã hội từng bị xâm nhập, 10% người dùng bị dính phải các link website chứa mã độc hại, 75% lổ hổng từ các website
1.1.2 Tình hình an ninh mạng tại Việt Nam
An ninh mạng là một vấn đề mới đối với đa số người sử dụng máy tính Những công ty lập trình website cũng chưa ý thức đầy đủ về vấn đề này Ở công ty nước ngoài, mỗi lập trình viên sau khi tuyển dụng phải qua một khoá đào tạo lập trình đặc biệt về an ninh mạng một số chứng chỉ như: CCNA (Cisco Certified Network Associate), CCNP (Cisco Certified Network Professional) Tìm được công ty thiết kế website ở Việt Nam làm điều này rất khó Việc đầu tư thời gian và công sức vào bảo mật có thể làm chậm tiến độ triển khai dự án, hiệu quả lại khó kiểm chứng Tuy đã
Trang 9được các chuyên gia máy tính liên tục cảnh báo nhưng nhận thức về nguy cơ, tính rủi ro và hậu quả của tình trạng mất an ninh mạng vẫn chưa được quan tâm tìm hiểu đúng mức Tình trạng lơ là, mất cảnh giác đối với nguy cơ virus tấn công các trang web xảy ra khá phổ biến trong giới quản trị website, thậm chí ngay cả đối với website của các doanh nghiệp CNTT
Tại ngày an toàn thông tin 2012 do hiệp hội an toàn thông tin Việt Nam VNISA (Vietnam Information Security Association) tổ chức ở Thành phố Hồ Chí Minh ngày 16/11, nhiều chuyên gia an ninh mạng đều có chung một đánh giá tình hình an toàn thông tin trên thế giới và cả Việt Nam năm qua không có quá nhiều các sự kiện nổi cộm, nhưng các cuộc tấn công xâm nhập, các hành vi vụ lợi thông qua sử dụng công nghệ cao và mạng internet vẫn xảy ra phổ biến Tháng 5/2012, VNISA đánh giá ngẫu nhiên 100 website tên miền gov.vn cho thấy 78% số website có thể bị tấn công toàn diện
Việt Nam, với sự đầu tư cho an toàn thông tin chưa nhiều, sẽ có nguy cơ chịu không ít rủi ro Đặc biệt, trong năm 2012, không chỉ các website của doanh nghiệp, chính phủ, mà cả những website của các công ty bảo mật hàng đầu Việt Nam cũng bị tấn công Trong năm nay, số lượng các máy tính bị nhiễm mã độc cũng không có dấu
hiệu giảm (18,1/1000 máy tính), đây chính là các “trái bom” trong hệ thống thông tin
chưa thể loại trừ được
Hiện nay, phần lớn các doanh nghiệp Việt Nam chưa có sự đầu tư đúng mức về công nghệ bảo mật cũng như về con người do chi phí cho lĩnh vực này khá cao BKIS cho biết, các lổ hổng bảo mật trên các trang web của Việt Nam phần lớn là do các công ty viết phần mềm chưa quan tâm đến an toàn hệ thống và đầu tư cho an ninh mạng chưa đủ ngưỡng Người quản trị mạng chưa làm tốt những công việc như: Đặt mật khẩu yếu, mở nhiều dịch vụ không cần thiết, các doanh nghiệp và tổ chức ở Việt Nam thường đầu tư dưới 10% chi phí CNTT cho bảo mật, một tỷ lệ dưới mức đảm bảo an toàn cho hệ thống thông tin
1.1.3 Các giải pháp cơ bản đảm bảo an ninh
An ninh mạng máy tính có thể bị đe dọa từ rất nhiều góc độ và nguyên nhân khác nhau Đe dọa an ninh có thể xuất phát từ bên ngoài mạng nội bộ hoặc cũng có thể xuất phát từ ngay bên trong tổ chức Do đó, việc đảm bảo an ninh an toàn cho mạng máy
Trang 10tính cần phải có nhiều giải pháp cụ thể khác nhau Tuy nhiên, tổng quan có ba giải pháp cơ bản sau:
Giải pháp về phần cứng Giải pháp về phần mềm Giải pháp về con người
Đây là ba giải pháp tổng quát mà bất kì một nhà quản trị an ninh nào cũng phải tính đến trong công tác đảm bảo an ninh mạng máy tính Mỗi giải pháp có một ưu nhược điểm riêng mà người quản trị an ninh cần phải biết phân tích, tổng hợp và chọn lựa để tạo khả năng đảm bảo an ninh tối ưu nhất cho tổ chức mình
o Giải pháp về phần cứng:
- Giải pháp phần cứng là giải pháp sử dụng các thiết bị vật lý như các hệ thống
máy chuyên dụng, cũng có thể là các thiết lập trong mô hình mạng (thiết lập kênh
truyền riêng, mạng riêng) Giải pháp phần cứng thông thường đi kèm với nó là hệ
thống phần mềm điều khiển tương ứng Đây là một giải pháp không phổ biến, vì không linh hoạt trong việc đáp ứng với sự phát triển và thay đổi của các công nghệ, các dịch vụ mới xuất hiện và chi phí rất cao
o Giải pháp về phần mềm:
- Khác với giải pháp phần cứng, giải pháp phần mềm hết sức đa dạng Giải pháp phần mềm có thể phụ thuộc hay không phụ thuộc vào phần cứng Cụ thể các giải pháp về phần mềm như: Các phương pháp xác thực, các phương pháp mã hoá, mạng riêng ảo, các hệ thống bức tường lửa Các phương pháp xác thực và mã hoá đảm bảo cho thông tin truyền trên mạng một cách an toàn nhất Vì với cách thức làm việc của nó, thông tin thật trên đường truyền được mã hoá mà những kẻ trộm không thể thấy được, hoặc nếu thông tin bị sửa đổi thì tại nơi nhận có cơ chế phát hiện sự sửa đổi đó Còn phương pháp sử dụng hệ thống bức tường lửa lại đảm bảo an ninh ở góc độ khác
- Bằng cách thiết lập các luật tại một điểm đặc biệt (gọi là điểm nghẹt) giữa hệ thống mạng bên trong (mạng cần bảo vệ) với hệ thống mạng bên ngoài (mạng được
coi là không an toàn về bảo mật), hệ thống bức tường lửa hoàn toàn có thể kiểm soát
các kết nối trao đổi thông tin giữa hai mạng Với cách thức này, hệ thống tường lửa đảm bảo an ninh khá tốt cho hệ thống mạng cần bảo vệ Như thế, giải pháp về phần mềm gần như hoàn toàn gồm các chương trình máy tính, do đó chi phí cho giải pháp này ít hơn so với giải pháp về phần cứng
Trang 11o Giải pháp về con người:
- Bên cạnh hai giải pháp trên, giải pháp về chính sách con người là một giải pháp hết sức cơ bản và không thể thiếu được Vì như phần trên đã trình bày, vấn đề an ninh mạng máy tính hoàn toàn là vấn đề con người, do đó việc đưa ra một hành lang pháp lý và các quy nguyên tắc làm việc cụ thể là cần thiết Ở đây, hành lang pháp lý có thể gồm: Các điều khoản trong bộ luật của nhà nước, các văn bản dưới luật, còn các quy định có thể do từng tổ chức đặt ra cho phù hợp với từng đặc điểm riêng Các quy định có thể như: Quy định về nhân sự, việc sử dụng máy, sử dụng phần mềm Và như vậy, sẽ hiệu quả nhất trong việc đảm bảo an ninh an toàn cho hệ thống mạng máy tính một khi ta thực hiện triệt để giải pháp về chính sách con người
Tóm lại, vấn đề an ninh mạng máy tính là một vấn đang được các nhà quản lý internet, người quản trị và người sử dụng rất quan tâm, lo ngại về tình hình an ninh mạng hiện nay, nó yêu cầu cần phải kết hợp các giải pháp: Phần cứng, phần mềm và con người Do đó, một trong những vấn đề mấu chốt của việc đảm bảo tính an toàn, an ninh khi sử dụng mạng internet là vấn đề tự giáo dục và nâng cao ý thức của người sử dụng cũng như trách nhiệm của những nhà cung cấp dịch vụ trong bối cảnh internet được phát triển mạnh và không kiểm soát được như ngày nay
1.2 Các vấn đề bảo mật hệ thống mạng
1.2.1.Vấn đề chung về bảo mật hệ thống và mạng
Đặc điểm chung của một hệ thống mạng là có nhiều người sử dụng chung và
phân tán về mặt địa lý nên việc bảo vệ tài nguyên (mất mát hoặc sử dụng không hợp
lệ) phức tạp hơn nhiều so với việc môi trường một máy tính đơn lẻ, hoặc một người sử
dụng
Hoạt động của người quản trị hệ thống mạng phải đảm bảo các thông tin trên mạng là tin cậy và được sử dụng đúng mục đích, đối tượng đồng thời đảm bảo mạng hoạt động ổn định không bị tấn công bởi những kẻ phá hoại
Nhưng trên thực tế là không một mạng nào đảm bảo là an toàn tuyệt đối, một hệ thống dù được bảo vệ chắc chắn đến mức nào thì cũng có lúc bị vô hiệu hóa bởi những kẻ có ý đồ xấu
a) Đối tượng tấn công mạng
Đối tượng là những cá nhân hoặc tổ chức sử dụng những kiến thức về mạng và
Trang 12lỗ hổng bảo mật trên hệ thống, thực hiện các hoạt động xâm nhập và chiếm đoạt tài nguyên trái phép
Một số đối tượng tấn công mạng như:
Hacker: Là những kẻ xâm nhập vào mạng trái phép bằng cách sử dụng các công
cụ phá mật khẩu hoặc khai thác các điểm yếu của thành phần truy nhập trên hệ thống
Masquerader: Là những kẻ giả mạo thông tin trên mạng như giả mạo địa chỉ IP,
tên miền, định danh người dùng
Eavesdropping: Là những đối tượng nghe trộm thông tin trên mạng, sử dụng các
công cụ sniffer, sau đó dùng các công cụ phân tích và debug để lấy được các thông tin có giá trị
Những đối tượng tấn công mạng có thể nhằm nhiều mục đích khác nhau như ăn cắp các thông tin có giá trị về kinh tế, phá hoại hệ thống mạng có chủ định, hoặc có thể đó là những hành động vô ý thức
b) Lỗ hổng bảo mật
Các lỗ hổng bảo mật là những điểm yếu trên hệ thống hoặc ẩn chứa trong một dịch vụ mà dựa vào đó kẻ tấn công có thể xâm nhập trái phép vào hệ thống để thực hiện những hành động phá hoại chiếm đoạt tài nguyên bất hợp pháp
Có nhiều nguyên nhân gây ra những lỗ hổng bảo mật: Có thể do lỗi của bản thân hệ thống, hoặc lỗ hổng của phần mềm hoặc người quản trị yếu kém không hiểu sâu về các dịch vụ cung cấp
Mức độ ảnh hưởng của các lỗ hổng tới hệ thống là khác nhau Có lỗ hổng chỉ ảnh hưởng tới chất lượng dịch vụ cung cấp, có lỗ hổng ảnh hưởng tới toàn bộ hệ thống hoặc phá hủy hệ thống
c) Chính sách bảo mật
Chính sách bảo mật là tập hợp các quy tắc áp dụng cho những người tham gia quản trị mạng, có sử dụng các tài nguyên và các dịch vụ mạng
Đối với từng trường hợp phải có chính sách bảo mật khác nhau Chính sách bảo mật giúp người sử dụng biết trách nhiệm của mình trong việc bảo vệ các tài nguyên trên mạng, đồng thời còn giúp cho nhà quản trị mạng thiết lập các biên pháp đảm bảo hữu hiệu trong quá trình trang bị, cấu hình và kiểm soát hoạt động của hệ thống và mạng
Trang 131.2.2 Các loại lỗ hổng bảo mật và phương thức tấn công mạng
a) Các loại lỗ hổng
Có nhiều các tổ chức đã tiến hành phân loại các dạng lỗ hổng đặc biệt Theo bộ quốc phòng Mỹ các loại lỗ hổng được phân làm ba loại như sau:
Lỗ hổng loại C: Cho phép thực hiện các hình thức tấn công theo DoS (Denial
of Services - Từ chối dịch vụ) Mức độ nguy hiểm thấp chỉ ảnh hưởng tới chất lượng
dịch vụ, làm ngưng trệ gián đoạn hệ thống, không phá hỏng dữ liệu hoặc đạt được quyền truy cập bất hợp pháp
DoS là hình thức tấn công sử dụng các giao thức ở tầng internet trong bộ giao thức TCP/IP để làm hệ thống ngưng trệ dẫn đến tình trạng từ chối người sử dụng hợp pháp truy nhập hay sử dụng hệ thống
Các dịch vụ có lỗ hổng cho phép các cuộc tấn công DoS có thể được nâng cấp hoặc sửa chữa bằng các phiên bản mới hơn của các nhà cung cấp dịch vụ Hiện nay chưa có một biện pháp hữu hiệu nào để khắc phục tình trạng tấn công kiểu này vì bản thân thiết kế ở tầng internet nói riêng và bộ giao thức TCP/IP nói chung đã ẩn chứa những nguy cơ tiềm tàng của các lỗ hổng loại này
Lỗ hổng loại B: Cho phép người sử dụng có thêm các quyền trên hệ thống mà không cần kiểm tra tính hợp lệ dẫn đến mất mát thông tin yêu cầu cần bảo mật Lỗ hổng này thường có trong các ứng dụng trên hệ thống có mức độ nguy hiểm trung bình
Lỗ hổng loại B này có mức độ nguy hiểm hơn lỗ hổng loại C Cho phép người sử dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập không hợp pháp Những lỗ hổng loại này thường xuất hiện trong các dịch vụ trên hệ thống Người sử dụng mạng cục bộ có quyền truy nhập vào hệ thống với một số quyền hạn nhất định
Ngoài ra một dạng khác của lỗ hổng loại B xảy ra với các chương trình viết bằng mã nguồn C Những chương trình viết bằng mã nguồn C thường sử dụng một vùng đệm, một vùng trong bộ nhớ sử dụng để lưu trữ dữ liệu trước khi xử lý Người lập trình thường sử dụng vùng đệm trong bộ nhớ trước khi gán một khoảng không gian bộ nhớ cho từng khối dữ liệu
Lỗ hổng loại A: Cho phép người ngoài hệ thống có thể truy cập bất hợp pháp vào hệ thống Có thể phá huỷ toàn bộ hệ thống như lây nhiễm virus, các máy chủ
Trang 14bảo mật của hệ thống Các lỗ hổng này thường xuất hiện ở những hệ thống quản trị yếu kém hoặc không kiểm soát được cấu hình mạng Ví dụ với các web server chạy trên hệ điều hành Novell các server này có một scripst là convert.bas chạy scripst này cho phép đọc toàn bộ nội dung các file trên hệ thống
Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có trên phần mềm sử dụng, người quản trị nếu không hiểu sâu về dịch vụ và phần mềm sử dụng có thể bỏ qua điểm yếu này Vì vậy thường xuyên phải kiểm tra các thông báo của các nhóm tin về bảo mật trên mạng để phát hiện những lỗ hổng loại này Một loạt các chương trình phiên bản cũ thường sử dụng có những lỗ hổng loại A như: FTP, Gopher, Telnet,
Sendmail, ARP, Finger
b Các hình thức tấn công mạng phổ biến
Scanner: Là một trương trình tự động rà soát và phát hiện những điểm yếu về bảo mật trên một trạm làm việc cục bộ hoặc một trạm ở xa Một kẻ phá hoại sử dụng chương trình scanner có thể phát hiện ra những lỗ hổng về bảo mật trên một server dù ở xa
Cơ chế hoạt động là rà soát và phát hiện những cổng TCP/UDP được sử dụng trên hệ thống cần tấn công và các dịch vụ sử dụng trên hệ thống đó Scanner ghi lại những đáp ứng trên hệ thống từ xa tương ứng với dịch vụ mà nó phát hiện ra Từ đó nó có thể tìm ra điểm yếu của hệ thống
Những yếu tố để một Scanner hoạt động như sau:
- Yêu cầu thiết bị và hệ thống: Môi trường có hỗ trợ TCP/IP - Hệ thống phải kết nối vào mạng internet
Các chương trình Scanner có vai trò quan trọng trong một hệ thống bảo mật, vì chúng có khả năng phát hiện ra những điểm yếu kém trên một hệ thống mạng
Password Cracker: Là một chương trình có khả năng giải mã một mật khẩu đã được mã hoá hoặc có thể vô hiệu hoá chức năng bảo vệ mật khẩu của một hệ thống
Một số chương trình phá khoá có nguyên tắc hoạt động khác nhau Một số chương trình tạo ra danh sách các từ giới hạn, áp dụng một số thuật toán mã hoá từ kết quả so sánh với password đã mã hoá cần bẻ khoá để tạo ra một danh sách khác theo một logic của chương trình
Khi thấy phù hợp với mật khẩu đã mã hoá, kẻ phá hoại đã có được mật khẩu dưới dạng text thông thường sẽ được ghi vào một file
Trang 15Biện pháp khắc phục đối với cách thức phá hoại này là cần xây dựng một chính sách bảo vệ mật khẩu đúng đắn
Sniffer: Là các công cụ (phần cứng hoặc phần mềm) “bắt” các thông tin trên
mạng và lấy các thông tin có giá trị trao đổi trên mạng
Sniffer có thể “bắt” được các thông tin trao đổi giữa nhiều trạm làm việc với
nhau Thực hiện bắt các gói tin từ tầng IP trở xuống Giao thức ở tầng IP được định nghĩa công khai, và cấu trúc các trường header rõ ràng, nên việc giải mã các gói tin này không khó khăn Sniffer thường được sử dụng vào hai mục đích khác nhau, nó có thể là một công cụ giúp cho các quản trị mạng theo dõi và bảo trì hệ thống mạng của mình hoặc có thể là một chương trình được cài vào một hệ thống mạng máy tính với mục đích đánh hơi, nghe lén các thông tin trong hệ thống mạng Khi sniffer sử dụng chế độ promiscuous nó có thể nhìn thấy tất cả thông tin đang trao đổi trong mạng nằm trong một hệ thống mạng
Các thiết bị sniffer có thể bắt được toàn bộ thông tin trao đổi trên mạng là dựa vào nguyên tắc broadcast các gọi tin trong mạng ethernet
Tuy nhiên việc thiết lập một hệ thống sniffer không phải đơn giản vì cần phải xâm nhập được vào hệ thống mạng đó và cài đặt các phần mềm sniffer
Đồng thời các chương trình sniffer cũng yêu cầu người sử dụng phải hiểu sâu về kiến trúc, các giao thức mạng
Việc phát hiện hệ thống bị sniffer không phải đơn giản, vì sniffer hoạt động ở tầng rất thấp, và không ảnh hưởng tới các ứng dụng cũng như các dịch vụ hệ thống đó cung cấp
Tuy nhiên việc xây dựng các biện pháp hạn chế sniffer cũng không quá khó khăn nếu ta tuân thủ các nguyên tắc về bảo mật như:
- Không cho người lạ truy nhập vào các thiết bị trên hệ thống - Quản lý cấu hình hệ thống chặt chẽ
- Thiết lập các kết nối có tính bảo mật cao thông qua các cơ chế mã hoá
Trojan: Là một chương trình dạng virus nhằm thực hiện một việc nào đó trên máy tính bị nhiễm mà không được sự cho phép hoặc người dùng không biết, Chúng có khả năng tự nhân bản, lây lan sang các tập tin, chương trình khác trong máy tính và sang máy tính khác.Ví dụ như File virus (Jerusalem, Cascade ), Boot virus (Disk
Trang 16động máy Những chương trình virus thường che dấu các đoạn mã trong các chương trình sử dụng hợp pháp Khi những chương trình này được kích hoạt thì những đoạn mã ẩn dấu sẽ thực thi và chúng thực hiện một số chức năng mà người sử dụng không biết như: Ăn cắp mật khẩu hoặc copy file mà người sử dụng nhưng ta thường không hay biết
Trojans sẽ thực hiện một trong những công việc sau:
- Thực hiện một vài chức năng hoặc giúp người lập trình lên nó phát hiện những thông tin quan trọng hoặc những thông tin cá nhân trên một hệ thống hoặc chỉ trên một vài thành phần của hệ thống đó
- Che dấu một vài chức năng hoặc là giúp người lập trình phát hiện những thông tin quan trọng hoặc những thông tin cá nhân trên một hệ thống hoặc chỉ trên một vài thành phần của hệ thống
- Ngoài ra còn có các chương trình trojan có thể thực hiện đựợc cả hai chức năng này Có chương trình trojan còn có thể phá hủy hệ thống bằng cách phá hoại các thông tin trên ổ cứng Nhưng ngày nay các trojans kiểu này dễ dàng bị phát hiện và khó phát huy được tác dụng
- Tuy nhiên có những trường hợp nghiêm trọng hơn những kẻ tấn công tạo ra những lỗ hổng bảo mật thông qua trojans và kẻ tấn công lấy được quyền root trên hệ thống và lợi dụng quyền đó để phá hủy một phần hoặc toàn bộ hệ thống hoặc dùng quyền root để thay đổi logfile, cài đặt các chương trình trojans khác mà người quản trị không thể phát hiện được gây ra mức độ ảnh hưởng rất nghiêm trọng và người quản trị chỉ còn cách cài đặt lại toàn bộ hệ thống
1.3 Vấn đề bảo mật mạng LAN
Khi nói đến vấn đề bảo mật cho mạng LAN ta thường quan tâm tới những vấn đề chính là bảo mật thông tin dữ liệu trao đổi bên trong mạng nội bộ, bảo mật thông tin dữ liệu trao đổi từ trong mạng ra bên ngoài và từ bên ngoài vào trong mạng Việc kiểm soát được những truy cập bất hợp pháp từ bên ngoài vào cũng như kiểm soát những truy cập không cho phép từ trong nội bộ mạng ra bên ngoài Cùng với sự phát triển mạnh mẽ của internet và nhu cầu kết nối mạng nội bộ với internet thì vấn đề đảm bảo an toàn, an ninh mạng càng trở nên khó khăn và cần thiết
Trang 171.3.1 Mạng không dây (Wireless Local Area Network - WLAN)
Các giải pháp bảo mật mạng không dây WLAN: - WEP (Wried Equivalent Privacy)
- WLAN VPN - 802.1X và EAP
- WPA (Wi-fi Protected Access) - WPA2
a) WEP (Wried Equivalent Privacy):
- Chuẩn 802.11 cung cấp tính riêng tư cho dữ liệu bằng thuật toán WEP WEP dựa trên mật mã dòng đối xứng RC4 (Ron’s code 4) được Ron Rivest thuộc hãng RSA Security Inc phát triển
- Một giá trị có tên Initialization Vector (IV) được sử dụng để cộng thêm với khóa nhằm tạo ra khóa khác nhau mỗi lần mã hóa
- Hiện nay, trên internet đã sẵn có những công cụ có khả năng tìm khóa WEP như AirCrack, AirSnort, dWepCrack, WepAttack, WepCrack, WepLab
WLAN VPN:
- Mạng riêng ảo VPN bảo vệ mạng WLAN bằng cách tạo ra một kênh che chắn dữ liệu khỏi các truy cập trái phép VPN tạo ra một tin cậy cao thông qua việc sử dụng một cơ chế bảo mật như IPSec (Internet Protocol Security) IPSec dùng các thuật toán mạnh như Data Encryption Standard (DES) và Triple DES (3DES) để mã hóa dữ liệu, và dùng các thuật toán khác để xác thực gói dữ liệu
- Khi được sử dụng trên mạng WLAN, cổng kết nối của VPN đảm nhận việc
xác thực, đóng gói và mã hóa
b) 802.1X và EAP:
802.1x: Là chuẩn đặc tả cho việc truy cập dựa trên cổng (port-based) được định nghĩa bởi IEEE Hoạt động trên cả môi trường có dây truyền thống và không dây Khi một người dùng cố gắng kết nối vào hệ thống mạng, kết nối của người dùng sẽ được đặt ở trạng thái bị chặn (blocking) và chờ cho việc kiểm tra định danh người dùng hoàn tất
EAP: Là phương thức xác thực bao gồm yêu cầu định danh người dùng (password, cetificate,…), giao thức được sử dụng (MD5, TLS - Transport Layer
Trang 18Security, OTP - One Time Password,…) hỗ trợ tự động sinh khóa và xác thực lẫn nhau
c) WPA (Wi-fi Protected Access):
- Cải tiến quan trọng nhất của WPA là sử dụng hàm thay đổi khoá TKIP WPA cũng sử dụng thuật toán RC4 như WEP, nhưng mã hoá đầy đủ 128 bit Và một đặc điểm khác là WPA thay đổi khoá cho mỗi gói tin
- WPA còn bao gồm kiểm tra tính toàn vẹn của thông tin Vì vậy, dữ liệu không thể bị thay đổi trong khi đang ở trên đường truyền
- WPA có sẵn 2 lựa chọn: WPA Personal và WPA Enterprise Cả 2 lựa chọn đều sử dụng giao thức TKIP, và sự khác biệt chỉ là khoá khởi tạo mã hoá lúc đầu
d) WPA2:
Chuẩn này sử dụng thuật toán mã hoá mạnh mẽ và được gọi là Chuẩn mã hoá nâng cao AES(Advanced Encryption Standard) AES sử dụng thuật toán mã hoá đối xứng theo khối Rijndael, sử dụng khối mã hoá 128 bit, và 192 bit hoặc 256 bit
1.3.2 Mạng LAN ảo (Virtual Local Area Network - VLAN)
Mạng LAN (Local Area Network – còn gọi là mạng cục bộ) trong đó các máy tính và thiết bị truyền thông mạng được kết nối với nhau trong một khu vực nhỏ như tòa nhà cao ốc, trường đại học, khu giải trí
Mạng LAN có các đặc điểm sau:
- Băng thông lớn để có khả năng chạy các ứng dụng trực tuyến như xem phim, giải trí, hội thảo qua mạng
- Kích thước mạng bị giới hạn bởi thiết bị - Chi phí thiết kế, lắp đặt mạng LAN rẻ - Quản trị đơn giản
VLAN từ viết tắt của Virtual Local Area Network hay còn được gọi là mạng LAN ảo VLAN là một kỹ thuật cho phép tạo lập các mạng LAN độc lập một logic trên cùng một kiến trúc hạ tầng vật lý Việc tạo lập nhiều mạng LAN ảo trong cùng một mạng cục bộ (giữa các khoa trong một trường học, giữa các khu vực, phòng ban trong một công ty, ) giúp giảm thiểu vùng quảng bá cũng như tạo thuận lợi cho việc quản lý một mạng cục bộ rộng lớn VLAN cũng tăng cường tính bảo mật bởi vì một nhóm máy tính trong một VLAN chỉ trao đổi thông trong cùng một VLAN
Một số tính năng bảo mật:
Trang 19- Port security: Cho phép nhân viên quản trị mạng xác định số lượng máy trạm được phép kết nối đến từng cổng switch
- Private LANs: Cung cấp biện pháp an ninh và khả nǎng phân vùng các cổng trên switch mà các cổng này của cùng một VLAN Tính nǎng này đảm bảo rằng người sử dụng có thể giao tiếp chỉ với gateway mặc định của họ mà không phải với gateway của người khác Private VLAN thường được sử dụng hiệu quả trong các môi trường DMZ (Delimitized Zone)
- STP root guard/BPDU guard: Loại bỏ các cuộc tấn công theo kiểu spanning-tree bằng cách tắt tất cả các cổng có thể gây ra sự thay đổi cấu trúc mạng lớp 2
- SSH support: Cung cấp một kết nối từ xa an toàn đến các thiết bị lớp 2 và lớp 3 Đối với các kết nối từ xa, SSH cung cấp mức độ bảo mật cao hơn telnet do cung cấp phương pháp mã hoá mạnh hơn khi thiết bị được xác thực Tính nǎng này có cả SSH server và SSH client tích hợp
- VMPS (VLAN Membership Policy Server): Cho phép các địa chỉ MAC nhất định tương ứng với các VLAN nhất định Tính nǎng nàycho phép người sử dụng di động trong mạng campus luôn có khả kết nối với cùng một biện pháp an ninh mạng
- Xác thực IEEE 802.1X: Bảo vệ mạng bằng cách nhận thực người sử dụng theo một cơ sở dữ liệu trung tâm trước khi kết nối được phép thực hiện
- Wire-rate ACLs: Cho phép các danh sách điều khiển truy nhập được thực hiện mà không làm giảm hiệu nǎng hệ thống
Trang 20Chương 2: GIỚI THIỆU VỀ IPTABLE
Để bảo vệ mạng nội bộ firewall là một trong những giải pháp bảo vệ mạng hữu hiệu và phổ biến hiện nay Nó giúp cho các mạng nội bộ tránh khỏi những truy nhập trái phép từ bên ngoài bằng cách điều khiển thông tin ra vào giữa các mạng nội bộ Nội dung chính của chương này em sẽ giới thiệu tổng quan về firewall, khái niệm, các chức năng của firewall, phân loại firewall, ưu nhược điểm của từng loại firewall, các chiến lược để xây dựng firewall và giới thiệu về cơ chế lọc gói tin
2.1 Giới thiệu về firewall
Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép từ mạng ngoài vào mạng trong nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống khi chưa được cấp quyền hoặc cho phép truy cập Cũng có thể hiểu rằng firewall là một cơ chế để bảo vệ mạng tin tưởng (Trusted network) khỏi các mạng không tin tưởng (Untrusted network)
Xây dựng firewall giữa mạng của một tổ chức, một công ty, hay một quốc gia và internet Nó thực hiện vai trò bảo mật các thông tin trong mạng nội bộ ngăn chặn tấn công từ bên ngoài
2.1.1 Các chức năng của Firewall
Chức năng chính của firewall là kiểm soát luồng thông tin giữa mạng cần bảo vệ (Trusted Network) và internet thông qua các chính sách truy nhập đã được thiết lập
- Cho phép hoặc cấm các dịch vụ truy nhập từ trong ra ngoài và từ ngoài vào trong
- Kiểm soát địa chỉ truy nhập và dịch vụ sử dụng
- Kiểm soát khả năng truy cập người sử dụng giữa 2 mạng - Kiểm soát nội dung thông tin truyền tải giữa 2 mạng - Ngăn ngừa khả năng tấn công từ các mạng ngoài
2.1.2 Phân loại Firewall
Firewall có nhiều loại tuy nhiên mỗi loại có nhưng ưu và nhược điểm riêng Nhưng thông thường firewall được chia làm 2 loại chính là:
Firewall phần cứng Firewall phần mềm
Trang 21a) Firewall phần cứng
Là một thiết bị phần cứng được tích hợp bộ định tuyến, các quy tắc cho việc lọc gói tin được thiết lập ngay trên bộ định tuyến đó Firewall phần cứng này như một chiếc máy tính chỉ thực hiện chức năng duy nhất là lọc gói tin bằng cách chạy một phần mềm đã được cứng hóa trong đó và chỉ có thể thiết lập các tập luật còn không thể thay đổi bộ định tuyến được cứng hóa và tích hợp bên trong Tùy vào từng loại firewall phần cứng của các hãng khác nhau mà cho phép người quản trị có khả năng cập nhật những quy tắc lọc gói tin khác nhau
Khi hoạt động, tường lửa sẽ dựa trên các quy tắc được thiết lập trong bộ định tuyến mà kiểm tra thông tin header của gói tin như địa chỉ nguồn (source IP address), địa chỉ đích (destination IP address), cổng (Port) Nếu mọi thông tin trong header của gói tin là hợp lệ nó sẽ được cho qua và nếu không hợp lệ nó sẽ bị bỏ qua Chính việc không mất thời gian xử lí những gói tin có địa chỉ không hợp lệ làm cho tốc độ xử lí của firewall phần cứng rất nhanh và đây chính là ưu điểm lớn nhất của hệ thống firewall phần cứng
Một điểm đáng chú là tất cả các loại firewall phần cứng trên thế giới hiện nay đều chưa thể lọc được nội dung của gói tin mà chỉ có thể lọc được phần nội dung trong header của gói tin
Mô hình sử dụng firewall phần cứng: Thiết bị phần cứng firewall trong mô hình này chỉ có một chức năng duy nhất là lọc gói tin mà không thể thực hiện bất kì một công việc nào khác
Hình 2.1: Mô hình sử dụng firewall phần cứng
Trong mô hình này thông tin từ mạng internet không thể trực tiếp đi vào vùng mạng được bảo vệ và ngược lại mà nó phải thông qua firewall phần cứng Quá trình kiểm duyệt xảy ra nếu các thông tin trong phần header của gói tin bao gồm địa chỉ
Trang 22nguồn, địa chỉ đích, cổng (port), được chấp nhận thì nó sẽ được chuyển tiếp vào mạng bên trong hay chuyển ra mạng internet bên ngoài
Hiện nay trên thị trường có một số hãng sản xuất firewall phần cứng rất nổi tiếng như CISCO, D-LINK, PLANET
Đặc điểm của Firewall phần cứng:
- Không được linh hoạt như Firewall mềm: Không thể thêm chức năng, thêm quy tắc như firewall mềm
- Firewall cứng hoạt động ở tầng thấp hơn firewall mềm (Tầng Network và tầng Transport)
- Firewall cứng không thể kiểm tra được nột dung của gói tin - Thường được sử dụng cho các hệ thống mạng lớn
b) Firewall phần mềm
Loại firewall này là một chương trình ứng dụng nguyên tắc hoạt động dựa trên trên ứng dụng proxy, là một phần mềm cho phép chuyển các gói tin mà máy chủ nhận được đến những địa điểm nhất định theo yêu cầu Và các quy tắc lọc gói tin được người sử dụng tự thiết lập Người ta thường sử dụng firewall loại này khi một mạng máy tính có máy chủ và mọi thông tin đều thông qua máy chủ này rồi mới chuyển đến máy con trong mạng hoặc dùng cho máy tính cá nhân khi tham gia mạng Firewall phần mềm này rất tiện lợi ở chỗ phần mềm có thể dễ dàng thay đổi cập nhật các phiên bản mới
Cách thức hoạt động của firewall dạng này cũng rất đơn giản Phần mềm firewall được chạy thường trú trên máy chủ hay máy tính cá nhân Máy tính này có thể đảm đương nhiều nhiệm vụ ngoài công việc là firewall Mỗi khi có các gói tin được chuyển đến hay chuyển đi nó đều được phần mềm firewall này kiểm tra phần header của gói tin bao gồm các thông tin về địa chỉ đến, địa chỉ đi, giao thức, cổng dịch vụ Firewall phần mềm mới hiện nay còn có thể kiểm tra được nội dung của gói tin Các thông tin mà firewall kiểm tra được người dùng quy định trước trong tập luật Nếu gói tin được phần mềm firewall cho qua thì tiếp theo nó sẽ được đưa đến các máy con trong mạng hoặc là các ứng dụng chạy trực tiếp trên máy đó
Trang 23Hình 2.2: Mô hình sử dụng firewall phần mềm
Dưới đây là mô hình thường sử dụng firewall phần mềm: Máy tính dùng làm firewall có thể đảm đương nhiều nhiệm vụ khác nhau ngoài việc là một firewall ví dụ
DNS server, Mail server, Web server
Trong mô hình này máy tính chạy ứng dụng firewall có vai trò trung gian Nó sẽ nhận các gói tin từ internet và protected network sau đó thực hiện quá trình kiểm tra phần header của các gói tin đó gồm thông tin như : Địa chỉ đến, địa chỉ đi, giao thức, cổng dịch vụ,… Sau đó nếu phần mềm firewall chấp nhận cho gói tin đi qua thì gói tin sẽ tiếp tục chuyển đến đích Ngược lại nếu gói tin không được chấp nhận chuyển tiếp thì phần mềm firewall sẽ đưa ra quyết định hủy bỏ Cách hủy bỏ cũng có nhiều kiểu như hủy bỏ không cần trả lời cho máy gửi tới biết lí do (DROP), hủy bỏ nhưng vẫn trả lời cho máy gửi tới biết lí do (REJECT) Chính việc xử lí việc hủy bỏ gói tin như vậy dẫn đến tốc độ của loại firewall này bị hạn chế
Một số phần mềm firewall sử dụng nhiều và được đánh giá cao về khả năng lọc gói tin như ZoneAlarm Pro, SmoothWall, McAfee Personal Firewall Plus, Sygate Personal Firewall
Đặc điểm của firewall phần mềm:
- Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng - Firewall mềm hoạt động ở tầng cao hơn firewall cứng
- Firewal mềm có thể kiểm tra được nội dung của gói tin - Chí phí đầu tư thấp hơn so với firewall cứng
- Thường được sử dụng cho các máy tính cá nhân hoặc hệ thống mạng quy nhỏ
Trang 242.1.3 Một số kiến trúc của Firewall
a Kiến trúc Dual – Homed Host
Dual–homed host là hình thức xuất hiện đầu tiên trong cuộc đấu để bảo vệ mạng nội bộ Dual–homed host là một máy tính có hai giao tiếp mạng: Một nối với mạng cục bộ và một nối với mạng ngoài
Hệ điều hành của Dual–homed host được sửa đổi để chức năng chuyển các gói tin giữa hai giao tiếp mạng này không hoạt động Để làm việc được với một máy trên internet, người dùng ở mạng cục bộ trước hết phải login vào dual–homed host, và từ đó bắt đầu phiên làm việc
Hình 2.3: Sơ đồ kiến trúc Dual–homed Host
Để cung cấp dịch vụ cho những người sử dụng mạng cục bộ (internal network) có một số giải pháp như sau:
- Nếu dùng phương pháp cấp account cho user trên máy dual– homed host thì user không thích sử dụng dịch vụ phiền phức như vậy, vì mỗi lần họ muốn sử dụng
dịch vụ thì phải đăng nhập vào máy khác (dual homed host) khác với máy của họ đây
là vấn đề rất là không trong suốt với người sử dụng
- Nếu dùng Proxy Server: Khó có thể cung cấp được nhiều dịch vụ cho người sử dụng vì phần mềm proxy server và Proxy client không phải loại dịch vụ nào cũng có sẵn
Một khuyết điểm cơ bản của hai mô hình trên nữa là: Khi mà máy dual –homed host nói chung cũng như các proxy server bị đột nhập vào Người tấn công (attacker) đột nhập vào được qua nó thì lưu thông bên trong mạng cục bộ bị attacker này thấy hết, điều này thì hết sức nguy hiểm Trong các hệ thống mạng dùng ethernet hoặc
Trang 25Token ring thì dữ liệu lưu thông trong hệ thống có thể bị bất kỳ máy nào nối vào mạng đánh cắp dữ liệu cho nên kiến trúc trên chỉ thích hợp với một số mạng nhỏ
Ưu điểm:
- Cài đặt dễ dàng, không yêu cầu phần cứng hoặc phần mềm đặc biệt
- Dual–homed host chỉ yêu cầu cấm khả năng chuyển các gói tin, do vậy, thông thường trên các hệ unix, chỉ cần cấu hình và dịch lại nhân (kernel) của hệ điều hành là đủ
Nhược điểm:
- Không đáp ứng được những yêu cầu bảo mật ngày càng phức tạp, cũng như những hệ phần mềm mới được tung ra thị trường
- Không có khả năng chống đỡ những cuộc tấn công nhằm vào chính bản thân nó, và khi Dual–homed host đó bị đột nhập, nó sẽ trở thành đầu cầu lý tưởng để tấn công vào mạng nội bộ
b) Kiến trúc Screened Host
Kiến trúc này kết hợp 2 kỹ thuật đó là packet filtering và proxy services
Packet Filtering: Lọc một số loại dịch vụ mà hệ thống muốn cung cấp sử dụng proxy server, bắt người sử dụng nếu muốn dùng dịch vụ thì phải kết nối đến proxy server mà không được bỏ qua proxy server để nối trực tiếp với mạng bên trong/bên ngoài (internal/external network), đồng thời có thể cho phép bastion host mở một số kết nối với internal/external host
Proxy Service: Bastion host sẽ chứa các proxy server để phục vụ một số dịch vụ hệ thống cung cấp cho người sử dụng qua proxy server
Trang 26Kiến trúc screened host hay hơn kiến trúc dual–homed host ở một số điểm cụ thể sau:
Dual–homed Host: Khó có thể bảo vệ tốt vì máy này cùng lúc cung cấp nhiều dịch vụ, vi phạm qui tắc căn bản là mỗi phần tử hay thành phần nên giữ ít chức năng nếu có thể được, cũng như tốc độ đáp ứng khó có thể cao vì cùng lúc đảm nhận nhiều chức năng
Screened host: tách chức năng lọc các gói IP và các proxy server ở hai máy riêng biệt Packet filtering chỉ giữ chức năng lọc gói nên có thể kiểm soát, cũng như khó xảy
ra lỗi (tuân thủ qui tắc ít chức năng) Proxy servers được đặt ở máy khác nên khả năng
phục vụ cũng cao
Cũng tương tự như kiến trúc dual–homed host khi mà packet filtering system
cũng như bastion host chứa các proxy server bị đột nhập vào (người tấn công đột nhập
được qua các hàng rào này) thì lưu thông của internal network bị người tấn công thấy
c) Kiến trúc Screened Subnet Host
Với kiến trúc này sẽ khắc phục được phần nào khuyết điểm trên
Hệ thống này bao gồm hai packet filtering router và một bastion host Kiến trúc này có độ an toàn cao nhất vì nó cung cấp cả mức bảo mật: Network và application trong khi định nghĩa một mạng perimeter network Mạng trung gian (DMZ) đóng vai trò như một mạng nhỏ, cô lập đặt giữa internet và mạng nội bộ Cơ bản, một DMZ được cấu hình sao cho các hệ thống trên internet và mạng nội bộ chỉ có thể truy nhập được một số giới hạn các hệ thống trên mạng DMZ, và sự truyền trực tiếp qua mạng DMZ là không thể được
Trang 27Hình 2.5: Sơ đồ kiến trúc Screened Subnet Host
Với những thông tin đến, router ngoài (exterior router) chống lại những sự tấn công chuẩn như giả mạo địa chỉ IP, và điều khiển truy nhập tới DMZ Nó chỉ cho phép hệ thống bên ngoài truy nhập bastion host Router trong (interior router) cung cấp sự bảo vệ thứ hai bằng cách điều khiển DMZ truy nhập mạng nội bộ chỉ với những truyền thông bắt đầu từ bastion host
Với những thông tin đi, router trong điều khiển mạng nội bộ truy nhập tới DMZ Nó chỉ cho phép các hệ thống bên trong truy nhập bastion Quy luật filtering trên router ngoài yêu cầu sử dụng dịch vụ proxy bằng cách chỉ cho phép thông tin ra bắt nguồn từ bastion host
Ưu điểm:
- Kẻ tấn công cần phá vỡ ba tầng bảo vệ: Router ngoài, bastion host và router trong
- Router trong chỉ quảng cáo DMZ Network tới mạng nội bộ, các hệ thống trong mạng nội bộ không thể truy nhập trực tiếp vào internet, mà phải truy nhập qua dịch vụ proxy
Đối với những hệ thống yêu cầu cung cấp dịch vụ nhanh, an toàn cho nhiều người sử dụng đồng thời cũng như khả năng theo dõi lưu thông của mỗi người sử dụng trong hệ thống và dữ liệu trao đổi giữ các người dùng trong hệ thống cần được bảo vệ thì kiến trúc cơ bản trên phù hợp
Để tăng độ an toàn trong mạng cục bộ, kiến trúc Screened subnet ở trên sử dụng miền mạng riêng để che phần nào lưu thông bên trong mạng cục bộ, nhằm tách biệt giữa perimeter network và internal network (hình 2.5)
Sử dụng 2 Screening Router: Exterior router và Interior router Áp dụng qui tắc dư thừa có thể bổ sung thêm miền mạng làm tăng khả năng bảo vệ cho hệ thống mạng
Ngoài ra, còn có những kiến trúc biến thể khác như: Sử dụng nhiều bastion host, ghép chung router trong và router ngoài, ghép chung bastion host và router ngoài
Trang 28Hình 2.6: Sơ đồ kiến trúc sử dụng 2 Bastion Host
Kiến trúc sử dụng 2 bastion host đáp ứng cho những người sử dụng bên trong một phần nào đó không bị ảnh hưởng bởi hoạt động của những người sử dụng bên ngoài
Cũng có thể sử dụng nhiều bastion host mà cung cấp cho 1 dịch vụ nào đó để tăng tốc độ đáp ứng, nhưng mất cân bằng tải giữa các server trừ khi biết trước mức độ sử dụng
Việc sử dụng kỹ thuật dư thừa để đảm bảo tính sẵn sàng cao của hệ thống, để khi mà một bastion host hỏng thì có cái khác thay thế Nhưng chỉ có một số loại dịch vụ trợ giúp dạng này: DNS server, SMTP server, có thể dùng nhiều bastion host làm DNS server, SMTP server Khi một bastion host hỏng hoặc quá tải, những yêu cầu về DNS server và SNMP sẽ được dùng qua bastion host khác như là một fallback system
Sử dụng nhiều bastion host trong trường hợp muốn cung cấp dịch vụ cho nhiều mạng khác nhau, và loại dữ liệu cung cấp cho mỗi mạng cũng khác nhau
Sử dụng nhiều bastion host cho các server khác nhau để khi mà một server nào đó bị đột nhập vào hay bị hỏng thì server khác vẫn hoạt động tốt Ví dụ: Tách HTTP server và FTP server trên 2 máy riêng biệt
Kiến trúc ghép chung router trong (interior router) và Router ngoài (exterior router) sử dụng kiến trúc này thì cần tăng tốc độ của máy làm router
Trang 29Hình 2.7: Sơ đồ kiến trúc ghép chung Router trong và Router ngoài
Kiến trúc này gần giống với screened Host trong trường hợp khi mà exterior/interior router bị đột nhập vào thì lưu thông trong mạng bên trong sẽ bị lộ ra bên ngoài nhưng tốt hơn screened host đó là nó cũng sử dụng thêm một mạng bên ngoài Mạng bên ngoài sẽ chứa các server có thể nối ra ínternet mà nếu các server này bị đột nhập thì lưu thông của mạng bên trong cũng không bị lộ ra bên ngoài Kiến trúc này cũng gần giống với screened subnet nhưng mà exterior router và interior router được ghép chung nên nó giảm đi số lớp bảo vệ Nói chung, kiến trúc ghép chung interior router và exterior router ở trung gian giữa hai kiến trúc này
Hình 2.8: Sơ đồ kiến trúc ghép chung bastion host và router ngoài
Kiến trúc này sử dụng cho mạng sử dụng kết nối PPP ra internet
Kiến ghép chung bastion host và router ngoài (exterior router) này gần giống với
Trang 30được do tốc độ đường truyền thấp, chức năng lọc của router ngoài ít, chức năng lọc gói chủ yếu là router trong
2.1.4 Những hạn chế của Firewall
Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin và phân biệt nội dung tốt hay xấu của nó Firewall có thể ngăn chặn các nguồn thông tin không mong muốn nhưng phải xác định rõ thông số
Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu khi có một chương trình được chuyển theo email vượt qua firewall và bắt đầu hoạt động trong mạng
Một ví dụ là các virus máy tính và mã độc, firewall không thể làm nhiệm vụ rà quét virus đi qua nó, do tốc độ làm việc, sự xuất hiện các biến thể và sự xuất hiện của các virus mới với nhiều cách mã hóa dữ liệu vượt quá khả năng kiểm soát của firewall Virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của firewall
2.2 Các chiến lược xây dựng Firewall 2.2.1 Quyền hạn tối thiểu
Một nguyên tắc cơ bản nhất của an toàn (không phải chỉ áp dụng cho an toàn
mạng) là trao quyền tối thiểu Về cơ bản, nguyên tắc này có nghĩa là bất kỳ một đối
tượng nào (người sử dụng, người quản trị, chương trình, hệ thống) Chỉ nên có những
quyền hạn nhất định mà đối tượng đó cần phải có để thực hiện các nhiện vụ của mình Quyền hạn tối thiểu là nguyên tắc quan trọng để tránh cho người ngoài lợi dụng đột nhập và hạn chế sự phá huỷ do các đột nhập gây ra
2.2.2 Bảo vệ theo chiều sâu
Một nguyên tắc khác của an toàn và bảo vệ theo chiều sâu Đối với mỗi hệ thống, không nên cài đặt và chỉ sử dụng một chế độ an toàn cho dù nó có thể mạnh, mà nên lắp đặt nhiều cơ chế an toàn để chúng có thể hỗ trợ lẫn nhau Vì vậy firewall được xây dựng theo cơ chế có nhiều lớp bảo vệ
2.2.3 Nút thắt
Một nút thắt bắt buộc những kẻ đột nhập phải đi qua một “cửa khẩu” hẹp mà chúng ta có thể kiểm soát và điều khiển được giống như việc muốn vào rạp xem hát, ta phải đi qua cổng kiểm soát vé
Trang 31Trong cơ chế an toàn mạng, firewall nằm giữa hệ thống của ta và mạng internet, nó chính là một nút thắt Bất kỳ ai có ý định đột nhập hệ thống từ internet sẽ phải qua cửa khẩu này, và ta có thể theo dõi, quản lý được
2.2.4 Điểm xung yếu
Khi muốn xâm nhập vào hệ thống, kẻ đột nhập thường tìm các điểm yếu nhất để tấn công vào đó Do vậy, đối với từng hệ thống cần phải biết điểm yếu nhất để có phương án bảo vệ an toàn hệ thống Thường ta hay quan tâm đến những kẻ đột nhập trên mạng hơn là những kẻ tiếp nhận hệ thống, cho nên an toàn về mặt vật lý được coi là điểm yếu nhất trong mọi hệ thống
2.2.5 Hỏng trong an toàn
Một nguyên tắc nền tảng khác của an toàn là “hỏng trong an toàn”, có nghĩa là
nếu hệ thống đang hỏng thì nó phải được hỏng theo một cách nào đó để ngăn chặn sự truy nhập bất hợp pháp tốt hơn là để cho kẻ đột nhập lọt vào phá hệ thống Đương nhiên việc hỏng trong an toàn cũng huỷ bỏ sự truy nhập hợp pháp của người sử dụng cho đến khi hệ thống được khôi phục lại
Dựa trên nguyên tắc này người ta đưa ra hai quy tắc cơ bản áp dụng cho các quy định và biện pháp an toàn:
- Default Deny Stance: Chú trọng vào những cái được phép và ngăn chặn tất cả cái gì còn lại Những gì không rõ ràng cụ thể sẽ bị ngăn cấm
- Default Permit Stance: Chú trọng vào những cái bị ngăn cấm và cho phép tất cả những cái còn lại, những gì không bị ngăn cấm thì đựợc phép
Hầu hết những người sử dụng và nhà quản lý sử dụng quy tắc cho phép mặc định và một số dịch vụ, hành động rắc rối, không rõ ràng sẽ bị ngăn cấm
Ví dụ:
- NFS không cho phép qua firewall
- Truy nhập WWW bị hạn chế đối với những chuyên gia đào tạo về những vấn đề an toàn của WWW
Người sử dụng không được cài đặt các Server không được phép Vậy vận dụng quy tắc nào thì tốt hơn Theo quan điểm về an toàn thì nên dùng quy tắc “Default deny stance” Còn theo quan điểm của các nhà quản lý thì lại là quy tắc “Default permit stance”
Trang 322.2.6 Tính đa dạng
Do sử dụng nhiều hệ thống khác nhau, ta phải có nhiều biện pháp bảo vệ để đảm bảo chiến lược bảo vệ theo chiều sâu Bởi vì, nếu tất cả các hệ thống của ta đều như nhau và một người nào đó biết cách đột nhập vào một trong số các hệ thống thì anh ta cũng có thể đột nhập vào tất các hệ thống còn lại Sử dụng nhiều hệ thống khác nhau có thể hạn chế các các cơ hội phát sinh lỗi và an toàn hơn Xong đổi lại, ta phải đối mặt với các vấn đề về giá cả và tính chất phức tạp Việc mua bán, lắp đặt nhiều hệ thống khác nhau sẽ khó hơn, tốn kém thời gian hơn các hệ thống cùng chủng loại Ngoài ra, cũng cần nhiều sự hỗ trợ và thời gian để đào tạo cán bộ vận hành, quản trị hệ thống từ phía các nhà cung cấp
2.3 Cách thức xây dựng Firewall
Trong quá trình xây dựng một firewall đòi hỏi bước tiến hành đều phải được nên kế hoạch trước và phối hợp chặt chẽ với nhau Và để giải quyết vấn đề lớn nhất là xây dựng thành công một tường lửa hoạt động theo hiệu quả thì ta phải xây dựng từng bước thật vững chắc, hạn chế tối đa những sai sót đáng tiếc có thể xảy ra trong quá trình xây dựng
2.3.1 Xây dựng các nguyên tắc căn bản
Muốn xây dựng được một firewall thành công thì nó phải thực hiện theo một số quy tắc căn bản nhất định Khi có một gói tin IP đi qua tường lửa thì nó sẽ phải dựa các quy tắc căn bản này để phân tích và lọc gói tin Vì thế chúng ta phải đưa ra các quy tắc thật đơn giản, ngắn gọn và dễ hiểu nhằm tăng tốc độ sử lý gói tin trong tường lửa và sẽ tránh được tắc nghẽn, đồng thời nó còn giúp cho việc thay đổi và bảo trì hệ thống được dễ dàng hơn rất nhiều Thông thường thì ta nên dùng không quá 30 quy tắc căn bản nếu dùng quá nhiều sẽ làm cho việc lọc gói sẽ chậm hơn và cũng sẽ dễ gây ra lỗi vì các quy tắc có thể bị chồng chéo lên nhau
2.3.2 Xây dựng chính sách an toàn
Một tường lửa phải có các chính sách an toàn vì thực chất tường lửa chỉ là một công cụ thực thi các chính sách an toàn Việc quản lý và xây dựng chính sách an toàn một cách chặt chẽ sẽ tạo ra được sức mạnh cho tường lửa Vì vậy trước khi xây dựng các quy tắc căn bản thì chúng ta phải hiểu được chính sách an toàn của tường lửa cần xây dựng là gì
Trang 33Và đồng thời cũng phải xây dựng các chính sách an toàn sao cho dễ hiểu và đơn giản một cách tương đối và không nên xây dựng một cách quá phức tạp dẫn đến chồng chéo dễ gây nhầm lẫn và dễ kiểm tra, bảo trì Chúng ta có thể đưa ra một số chính sách an toàn rất đơn giản như sau: những máy trong mạng nội bộ được truy nhập ra internet không giới hạn, cho phép sự truy cập vào Web và Mail Server của mạng nội bộ từ internet, các thông tin đi vào trong mạch nội bộ đều phải được xác thực và mã hoá.Từ những chính sách rất đơn giản như ví dụ trên đây chúng ta có thể phát triển để thành những chính sách hoạt động một cách hiệu quả và phức tạp hơn rất nhiều ví dụ giới hạn mạng nội bộ chỉ được sử dụng internet một cách hạn chế với một vài dịch vụ cơ bản như Mail, HTTP,… còn lại ngăn cấm hoàn toàn dịch vụ truyền tệp FTP
2.3.3 Xây dựng kiến trúc an toàn
Các bước cần làm khi xây dựng một kiến trúc an toàn:
- Đầu tiên thì ta cho phép tất cả các máy trong mạng nội bộ có thể truy cập ra internet
- Sau đó ta thực hiện cài đặt các phần thồng tin không cần bảo vệ (ví dụ: Web
Server và Mail Server) vào một vùng có tên kỹ thuật là vùng “phi quân sự”
(Demilitarized Zone - DMZ) DMZ là một mạng tách biệt nơi mà ta sẽ đặt các hệ thống các máy chủ như: DNS Server, Web Server, Mail Server… Nhằm nâng cao tính bảo mật cho các máy chủ trong hệ thống mạng Bởi vậy những hệ thống trong DMZ sẽ không bao giờ kết nối trực tiếp với mạng bên trong một khi chúng chưa được tin cậy Có hai loại DMZ là: DMZ được bảo vệ và DMZ không được bảo vệ DMZ được bảo vệ là một phần tách rời ra bên ngoài của tường lửa DMZ không được bảo vệ là phần mạng nằm giữa router và tường lửa Chúng ta nên dùng loại DMZ được bảo vệ, vì nơi đó là nơi chúng ta thường đặt cả Web Server và Mail Server
2.3.4 Thứ tự các quy tắc trong bảng
Trước khi chúng ta xây dựng các quy tắc căn bản thì điều chúng ta cần phải quan
tâm đến đó chính là thứ tự của các quy tắc (hay còn gọi là cấp độ của các quy tắc) và
trong đó có một quy tắc đặc biệt, nó sẽ giữ vai trò then chốt trong chính sách bảo mật ở tường lửa của chúng ta Có nhiều quy tắc có cấp độ tương tự như nhau nhưng vẫn phải đặt chúng theo một thứ tự trước sau, việc này làm thay đổi phương thức làm việc căn bản của tường lửa Đa số các tường lửa kiểm tra các gói tin một cách tuần tự và