Đang tải... (xem toàn văn)
MỞ ĐẦU Mạng Internet là mạng máy tính toàn cầu, là nguồn tài nguyên vô tận, chứa đựng một lượng thông tin vô cùng lớn. Các dịch vụ trên Internet ngày được phát triển mạnh mẽ, cung cấp cho chúng ta lượng thông tin vô cùng bổ ích. Nhưng mặt trái của Internet đang xuất hiện rất nhiều : đó là Virus, Website có nội dung xấu, ăn trộm mật khẩu Email, phá hoại và sao lưu trái phép dữ liệu.... Những điều này sẽ gây nên những thiệt hại rất lớn cho các cá nhân và tập thể khi sử dụng tài nguyên mạng máy tính. Vì vậy, đề tài này sẽ tập trung nghiên cứu một số giải pháp giúp bảo mật thông tin trong mạng máy tính để giúp hạn chế những mặt trái của Internet. PHẦN I: TẠI SAO PHẢI BẢO MẬT MẠNG? 1. Nguy cơ đe dọa an toàn anh ninh mạng. Nguy cơ mất an toàn thông tin do nhiều nguyên nhân, do các nguyên nhân bên trong hay bên ngoài máy tính. Trong đó, nguy cơ mất an ninh toàn mạng máy tính xuất phát từ bên trong xảy ra thường lớn hơn nhiều. Nguyên nhân chính là do người sử dụng có quyền truy nhập hệ thống nắm được điểm yếu của hệ thống hay vô tình tạo cơ hội cho những đối tượng khác xâm nhập hệ thống. Tóm lại, phát triển không ngừng của lĩnh vực công nghệ thông tin đã tạo điều kiện thuận lợi cho đời sống xã hội, bên cạnh những thuận lợi, cũng có nhiều khó khăn để tìm ra giải pháp bảo mật thông tin dữ liệu. 2. Các đối tượng tấn công mạng Là đối tượng sử dụng kỹ thuật về mạng để dò tìm các lỗ hổng bảo mật trên hệ thống để thực hiện xâm nhập và chiếm đoạt thông tin bất hợp pháp. Các đối tượng tấn công mạng gồm: Hacker: Xâm nhập vào mạng trái phép bằng cách sử dụng các công cụ phá mật khẩu hoặc khai thác các điểm yếu của hệ thống. Masquerader: Giả mạo thông tin, địa chỉ IP, tên miền, định danh người dùng… Eavesdropping: Là đối tượng nghe trộm thông tin trên mạng để lấy cắp thông tin. II. MỘT SỐ GIẢI PHÁP ĐẢM BẢO AN NINH MẠNG CHO HỆ THỐNG Việc đảm bảo an ninh an toàn mạng máy tính có 3 giải pháp chủ yếu sau: Giải pháp về con người. Giải pháp về phần cứng. Giải pháp về phần mềm. Đảm bảo an ninh, an toàn thông tin phụ thuộc nhiều vào yếu tố con người, do vậy cần phải có chế tài mạnh để định hướng người sử dụng trong khai thác, sử dụng thông tin. Giải pháp phần cứng là giải pháp sử dụng các thiết bị vật lý như các hệ thống máy chuyên dụng, thiết lập trong mô hình mạng... Giải pháp phần cứng thông thường đi kèm là hệ thống phần mềm điều khiển tương ứng. Đây là một giải pháp không phổ biến, do thiếu linh hoạt và không phù hợp, chi phí đầu tư trang thiết bị cao. Giải pháp phần mềm có thể phụ thuộc hay không phụ thuộc vào phần cứng. Các giải pháp phần mềm: xác thực, mã hoá dữ liệu, mạng riêng ảo, hệ thống tường lửa... Mạng riêng ảo (Virtual Private Network VPN): Là sự mở rộng mạng riêng thông qua sử dụng các kết nối mạng công cộng. VPN sử dụng giao thức để tạo đường hầm truyền tin riêng với phương pháp mã hoá, xác thực… Firewall (Tường lửa): Là một kỹ thuật được tích hợp vào hệ thống mạng để ngăn chặn sự truy cập trái phép nhằm bảo vệ các nguồn thông tin được lưu trữ trong nội bộ.
KHOA HTTTKT - HVTC MÔN: MẠNG VÀ TRUYỀN THÔNG ĐỀ TÀI: TÌM HIỂU CÁC CHỨC NĂNG BẢO MẬT MẠNG TRONG WINDOWS Thực hiện: Nguyễn Phương Thảo CQ51/41.1LT2 Phạm Thị Yến CQ51/41.1LT2 MỞ ĐẦU Mạng Internet mạng máy tính tồn cầu, nguồn tài nguyên vô tận, chứa đựng lượng thông tin vô lớn Các dịch vụ Internet ngày phát triển mạnh mẽ, cung cấp cho lượng thơng tin vơ bổ ích Nhưng mặt trái Internet xuất nhiều : Virus, Website có nội dung xấu, ăn trộm mật Email, phá hoại lưu trái phép liệu Những điều gây nên thiệt hại lớn cho cá nhân và tập thể sử dụng tài nguyên mạng máy tính Vì vậy, đề tài này sẽ tập trung nghiên cứu một số giải pháp giúp bảo mật thông tin mạng máy tính để giúp hạn chế những mặt trái của Internet PHẦN I: TẠI SAO PHẢI BẢO MẬT MẠNG? Nguy đe dọa an toàn anh ninh mạng - Nguy an tồn thơng tin nhiều ngun nhân, các nguyên nhân bên hay bên ngoài máy tính Trong đó, nguy an ninh toàn mạng máy tính xuất phát từ bên xảy thường lớn nhiều Nguyên nhân người sử dụng có quyền truy nhập hệ thống nắm điểm yếu hệ thống hay vơ tình tạo hội cho đối tượng khác xâm nhập hệ thống - Tóm lại, phát triển khơng ngừng lĩnh vực cơng nghệ thông tin tạo điều kiện thuận lợi cho đời sống xã hội, bên cạnh thuận lợi, có nhiều khó khăn để tìm giải pháp bảo mật thông tin liệu Các đối tượng tấn công mạng Là đối tượng sử dụng kỹ thuật mạng để dị tìm lỗ hổng bảo mật hệ thống để thực xâm nhập chiếm đoạt thông tin bất hợp pháp Các đối tượng tấn công mạng gồm: - Hacker: Xâm nhập vào mạng trái phép cách sử dụng công cụ phá mật khai thác điểm yếu hệ thống - Masquerader: Giả mạo thông tin, địa IP, tên miền, định danh người dùng… - Eavesdropping: Là đối tượng nghe trộm thông tin mạng để lấy cắp thông tin II MỘT SỐ GIẢI PHÁP ĐẢM BẢO AN NINH MẠNG CHO HỆ THỚNG Việc đảm bảo an ninh an tồn mạng máy tính có giải pháp chủ yếu sau: - Giải pháp người - Giải pháp phần cứng - Giải pháp phần mềm Đảm bảo an ninh, an tồn thơng tin phụ thuộc nhiều vào yếu tố người, cần phải có chế tài mạnh để định hướng người sử dụng khai thác, sử dụng thông tin Giải pháp phần cứng giải pháp sử dụng thiết bị vật lý hệ thống máy chuyên dụng, thiết lập mô hình mạng Giải pháp phần cứng thơng thường kèm hệ thống phần mềm điều khiển tương ứng Đây giải pháp không phổ biến, thiếu linh hoạt khơng phù hợp, chi phí đầu tư trang thiết bị cao Giải pháp phần mềm phụ thuộc hay không phụ thuộc vào phần cứng Các giải pháp phần mềm: xác thực, mã hoá liệu, mạng riêng ảo, hệ thống tường lửa - Mạng riêng ảo (Virtual Private Network- VPN): Là mở rộng mạng riêng thông qua sử dụng kết nối mạng công cộng VPN sử dụng giao thức để tạo đường hầm truyền tin riêng với phương pháp mã hoá, xác thực… - Firewall (Tường lửa): Là kỹ thuật tích hợp vào hệ thống mạng để ngăn chặn truy cập trái phép nhằm bảo vệ nguồn thông tin lưu trữ nội PHẦN III TÌM HIỂU CHI TIẾT VỀ MỘT SỐ GIẢI PHÁP ĐẢM BẢO AN TOÀN AN NINH CHO HỆ THỐNG I FIREWALL Firewall giải pháp bảo vệ mạng hiệu phổ biến Khái niệm, chức phân loại Firewall Khái niệm Firewall 1.1 Firewall thiết bị nhằm ngăn chặn truy cập không hợp lệ từ mạng bên vào mạng bên Firewall bao gồm phần cứng phần mềm Các chức Firewall 1.2 Cho phép chặn dịch vụ truy nhập từ bên ngồi ngược lại; Kiểm sốt địa truy nhập dịch vụ sử dụng; Kiểm sốt khả truy cập; KIểm sốt nội dung thơng tin truyền tải; Ngăn ngừa công từ mạng bên ngồi Phân loại Firewall 1.3 Firewall có nhiều loại khác có ưu, nhược điểm riêng Thơng thường Firewall chia làm lại: Fire wall phần cứng Firewall phần mềm a Firewall phần cứng: Là thiết bị tích hợp đính tuyến, quy tắc lọc gói tin đặt định tuyến Firewall dựa quy tắc để kiểm tra gói tin Mơ hình Firewall phần cứng Mơ hình sử dụng Firewall phần cứng b Firewall phần mềm: Là phần mềm cho phép chuyển gói tin mà máy chủ nhận đến địa điểm theo yêu cầu, quy tắc lọc gói tin người sử dụng tự thiết lập Mơ hình sử dụng Firewall phần mềm c Mơ hình firewall sử dụng phần mềm Ưu nhược điểm Firewall: Firewall phần cứng thường sử dụng cho mạng lớn, Firewall nhận gói tin kiểm duyệt chuyển tiếp cho máy mạng, tốc độ Firewall phần mềm hoạt động chậm so với Firewall phần cứng nên ảnh hưởng đến tốc độ hệ thống mạng Firewall phần mềm sử dụng để đảm bảo an ninh cho mạng vừa, nhỏ chi phí thấp, khơng ảnh hưởng đến tốc độ chuyển gói tin; Firewall phần mềm thực hệ điều hành định Firewall phần cứng thực độc lập Firewall phần mềm lọc nội dung gói tin cịn Firewall phần cứng lcoj thơng tin gói tin, nội dụng gói tin Firewall phần cứng khơng kiểm sốt 1.4 a Một số hệ thống Firewall khác Packet-filtering Router ( định tuyến có lọc gói) Có hai chức năng: chuyển tiếp truyền thông hai mạng sử dụng quy luật lọc gói phép hay từ chối tuyền thông Quy luật lọc định nghĩa cho Host mạng nội quyền truy nhập trực tiếp tới internet, Host internet có số giới hạn truy nhập vào máy tính mạng nội Mơ hình Packet-filtering Router Ưu điểm: cấu hình đơn giản, chi phí thấp; suốt người dùng Hạn chế: dễ bị cơng vào lọc cấu hình khơng hồn hảo b Sreened Host Firewall Bao gồm Packet-filtering Router Bastion Host Sreened Host Firewall cung cấp đọ bảo mật cao Packet-filtering Router, hệ thống thực bảo mật tần mạng tầng ứng dụng Mơ hình này, đối tượng cơng bị ngăn cản hai tầng bảo mật c Mơ hình Sreened Host Firewall Demilitarized Zone (DMZ – khu vực phi quân sự) Bao gồm hai Sreened Host Firewall Bastion Host, có độ an tồn cao cung cấp mức bảo mật mạng ứng dụng Mạng DMZ đóng vai trò độc lập internet mạng nội bộ, cấu hình cho hệ thống truy nhập số dịch vụ mà không kết nối trực tiếp với mạng DMZ Ưu điểm: phải qua ba tầng bảo vệ: Router ngoài, Bastion Host Router Các kiến trúc Firewall Kiến trúc Dual-Homed Host 2.1 Phải có hai Card mạng để giao tiếp với hai mạng khác đóng vai trò Router mềm Kiến trúc đơn giản, Dual-Homed Host giữa, bên kết nối với internet bên nối với mạng LAN Kiến trúc Screened Host 2.2 Có cấu trúc ngược lại với Dual-Homed Host, cung cấp dịch vụ từ Host bên mạng nội bộ, dùng Router độc lập với mạng bên ngoài, chế bảo mật kiến trúc phương pháp Packet Filtering Kiến trúc Screen subnet 2.3 Kiến trúc dựa tảng hiến trúc Screen Host cách thêm vào phần an tồn nhằm lập mạng nội khỏi mạng bên ngoiaf, tách Bastion Host khỏi Host thông thường khác Kiểu Screen subnet đơn giản bao goomf hai Screen Router: - Router ngoài: Nằm mạng ngoại vi mạng ngoiaf có chức bảo vệ cho mạng ngoại vi 3 Router trong: Nằm mạng ngoại vi mạng nội bộ, nhằm bảo vệ mạng nội trước ngồi mạng ngoại vi Chính sách để xây dụng Firewall Một số giải pháp nguyên tắc xây dựng Firewall 3.1 Quyền hạn tối thiểu (Least Privilege) Nguyên tắc có nghĩa đối tượng hệ thơng nên quyền hạn định Mơ hình Screened-subnet Firewall 3.2 Bảo vệ theo chiều sâu (Defense in Depth) Lắp đặt nhiều cowchees an tồn để hỗ trợ lẫn Vì Firewall xây dựng theo chế có nhiều lớp bảo vệ hợp lý 3.3 Nút thắt (Choke Point) Một nút thắt bắt buộc kẻ đột nhập phải qua ngõ hẹp mà người quản trị kiểm sốt 3.4 Điểm xung yếu (weakest Link) Cần phải tìm điểm yếu hệ thống để có phương án bảo vệ, tránh đối tượng công lợi dụng để truy cập trái phép 3.5 Hỏng an toàn (Fail-Safe Stance) Có nghĩa hệ thống đnag hỏng phải hỏng theo cahs để ngăn chặn truy nhập bất hợp pháp tốt kẻ công lọt vào phá hệ thống 3.6 Sự tham gia toàn cầu Các hệ thống mạng cần phải có biện pháp bảo vệ an tồn Nếu khơng, người truy nhập bất hợp pháp truy nhập vào hệ thống này, sau truy nhập hệ thống kháckhác 3.7 Tính đa dạng việc bảo vệ Áp dụng nhiều biện pháp bảo vệ thông tin liệu hệ thống mạn theo chiều sâu 3.8 Tuân thủ nguyên tắc (Rule Base) Thực theo số quy tắc định , có gói tin qua Firewall phải dựa quy tắc đề để phân tích lọc gói tin 3.9 Xây dựng sách an tồn (Security Policy) Firewall phải thiết kế, xây dựng sahcs an tồn tạo sức mạnh hiệu cho Firewall Một số sahcs an tồn sau: 3.10 Hạn chế máy tính mạng nội truy nhập tinternet Thông tin vào mạng nội đề phải xác thực mã hóa Thứ tự quy tắc bảng (Sequence of Rules Base) Cần phải quan tâm đến thứ tự, cấp độ quy tắc có số quy tắc đặc biệt Đa số Firewall kiểm tra gói tin cách liên tục, Firewall nhận gói tin, xem xét gói với quy tăc hay khơng có quy tắc thỏa mãn thực thi theo quy tắc 3.11 II Các quy tắc (Rules Base) Khơng có gói tin bào qua được, gói tin Đầu tiêncho phép việc từ tron ngồi mà khơng có hạn chế Hạn chế tất không cho phép xâm nhập vào Firewall Khơng kết nối với Firewall, bao gồm Admin, phải tạo quy tắc phép Admin truy nhập vào Firewall IP SECURITY Tổng quan IPsec (IP security) bao gồm giao thức để bảo mật q trình truyền thơng tin tảng Internet Protocol (IP) Gồm xác thực và/hoặc mã hóa (Autheti cating, Encrypting) cho gói IP (IP Packet) q trình truyền thơng tin Giao thức IPsec làm việc tầng Network Layer mơ hình OSI Cấu trúc bảo mật Khi IPsec triển khai, cấu trúc bảo mật gồm: sử dụng giao thức cung cấp mật mã nhằm bảo mật gói tin; cung cấp phương thức xác thực; thiết lập thơng số mã hóa Mơ hình OIS (Open System Interconnection) Thực trạng IPsec phần bắt buộc IP v6, lựa chọn sử dụng IPv4 Trong chuẩn thiết kế cho phiên IP giống nhau, phổ biến áo dụng triển khai tảng IPv4 Thiết kế theo yêu cầu IPsec cung cấp Transport Mode (End-to-End) đáp ứng bảo mật máy tính giao tiếp trực tiếp với sử dụng Tunnel Mode (Portal-to-Portal) cho giaotiếp hai mạng với chủ yếu sử dụng kết nối VPN IPsec giới thiệu cung cấp dịch vụ bảo mật: - - Mã hóa q trình truyền thơng tin; đảm bảo tính ngun vẹn liệu; xác thực giao tiếp; Chống trình Replay phiên bảo mật; Modes – Các mode Có hai mode thực IPsec Transport Mode: liệu giao tiếp gói tin mã hóa và/hoặc xác thực; Tunnel Mode: Tồn gói IP mã hóa xác thực Mơ tả kỹ thuật Có hai giao thức cung cấp để bảo mật cho gói tin hai phiên IPv4 IPv6: - IP Authentication Header giúp đảm bảo tính tồn vẹn cung cấp xác thực - IP Encapsulating Security Payload cung cấp bảo mật lựa chọn tính Authentication Integrity để đảm bảo tính tồn vẹn liệu Giao thức Authentication Header (AH) 5.1 AH sử dụng kết nối khơng có tính đảm bảo liệu lựa chọn nhằm chống lại công Replay Attack cách sử dụng công nghệ công Sliding Windows Discarding Older Packets Các Modes thực hiện: Ý nghĩa phần: - Next Header: Nhận dạng giao thức sử dụng truyền thông tin Payload Length: Độ lớn gói AH Reserved: Sử dụng tương lai (được biểu diễn số 0) Mơ hình hoạt động giao thức AH 5.2 Security Parameters Index (SPI): Nhận thơng số bảo mật, tích hợp với địa IP, nhận dạng thương lượng bảo mật kết hợp với gói tin Sequence Number: Một số tự động tăng lên gói tin, sử dụng nhằm chống lại công dạng replay attacks Authentication Data: Bao gồm thông số Integrity Check Value (ICV) cần thiết gói tin xác thực Giao thức Encapsulation Security Payload (ESP) Giao thức ESP cung cấp xác thực, toàn vẹn, bảo mật cho gói tin ESP hỗ trợ tính cấu hình sử dụng trường hợp cần bảo mã hoá cần cho Authentication, sử dụng mã hố mà khơng u cầu xác thực khơng đảm bảo tính bảo mật Mơ hình giao thức Encapsulating Security Payload Ý nghĩa phần - Security Parameters Index (SPI): Nhận thơng số tích hợp với địa IP - Sequence Number: Tự động tăng có tác dụng chống cơng kiểu Replay Attacks - Payload Data: Cho liệu truyền - Padding: Sử dụng vài Block mã hoá - Pad Length: Độ lớn Padding - Next Header: Nhận giao thức sử dụng truyền thông tin - Authentication Data: Bao gồm liệu để xác thực cho gói tin Thực IPsec thực nhận với trình quản lý khóa q trình thỏa hiệp bảo mật ISAKMP/IKE từ người dùng Tuy nhiên chuẩn giao diện cho quản lý khố, điều khiển nhân IPsec III BẢO MẬT WEB Tìm hiểu ứng dụng web ứng dụng web 1.1 Ứng dụng Web trình ứng dụng mà tiếp cận Web thơng qua mạng Internet hay Intranet Ứng dụng Web dùng để thực bán hàng trực tuyến, diễn đàn thảo luận, Weblog nhiều chức khác Cấu trúc ứng dụng web: Ứng dụng Web cấu trúc ứng dụng ba lớp Thứ trình duyệt Web,lớp sử dụng công nghệ Web động, lớp thứ ba sở liệu Trình duyệt gửi yêu cầu đến lớp để tạo truy vấn, cập nhật CSDL tạo giao diện cho người dùng Mơ hình hoạt động trình duyệt Web Domain – Hosting 1.2 Mạng internet mạng máy tính tồn cầu, nên internet có cấu trúc địa chỉ, cách đánh địa đặc biệt, khác cách tổ chức địa mạng viễn thông Khi sử dụng internet, người dùng không cần thiết nhớ đến địa IP mà cần nhớ tên miền truy nhập Cấu tạo tên miền Gồm nhiều thành phần cấu tạo nên, cách dấu chấm Thành phần thứ “home” tên máy chủ, thành phần thứ hai “vnn” thường gọi tên miền mức hai, thành phần cuối “vn” tên miền mức cao Tên miền mức cao (Top Level Domain – TLD): Bao gồm mã quốc gia nước tham gia internet quy định hai chữ theo tiêu chuẩn ISO -3166 Tên miền mức hai (Second Level): Tên miền mức hai tổ chức quản lý mạng quốc gia định nghĩa theo lĩnh vực kinh tế, xã hội, trị… - 1.3 Các loại domain name: Domain Name cấp cao tên miền đăng kí trực tiếp với nhà cung cấp Domain Name Domain Name thứ cấp: tất loại Domain Name cịn lại mà Domain phải phụ thuộc vào Domain Name cấp cao Để đăng ký Domain Name kiểu thông thường phải kiên hệ trực tiếp với người quản lý Domain Name cấp cao Web Hosting: Web Hosting nơi lưu trữ tất trang web, thông tin website máy chủ internet Các yêu cầu tính web Hosting: Web Hosting phải có dung lượng lớn để lưu trữ thơng tin website Phải hỗ trợ truy xuất máy chủ giao thức FPT để cập nhật thông tin Phải có bang thơng (Bandwidth) đủ lớn để phục vụ trao đổi thông tin website Hỗ trợ công cụ lập trình phần mềm internet Hỗ trợ dịch vụ E-mail POP3 Email Forwarding… Web server Là máy chủ có dung lượng lớn, tốc độ cao dùng để lưu trữ thông tin website thiết kế với thông tin liên quan khác Bảo mật ứng dụng web Bảo mật gì? 2.1 Bảo mật web yêu cầu tất yếu máy tính mang tính tồn cầu ngày trở nên an toàn phải đối mặt với nguy an ninh cao yếu tố đảm bảo an ninh thơng tin: 2.2 Tính bảo mật: đảm bảo người phép truy cập thơng tin Tính tồn vẹn: đảm bảo tính xác đầy đủ thơng tin phương pháp xử lý thơng tin Tính sẵn sang: đảm bảo người sử dụng phép truy cập thơng tin Các phương thức gây an tồn thơng tin - Thu thập thơng tin chung để tìm kiếm thơng tin xung quanh website Mơ hình sơ lược phương thức công Môi trường mạng, hệ điều hành, ngơn ngữ lập trình, hệ quản trị sở liệu + + + 2.3 Các cổng dịch vụ towng ứng mở server Số lượt truy cập, bang thông website Khảo sát ứng dụng web: Thăm dò, phát lỗi Khai thác lỗi để công: giai đoạn quan trọng để phá hoại chiếm quyền điều khiển website Một vài cách thức công phổ biến: SQL Injections: kĩ thuật cho phứ kẻ công lợi dụng lỗ hổng việc kiểm tra liệu đưa vào ứng dụng web để thi hành câu lệnh SQL bất hợp pháp Session Hijacking: sử dụng phiên làm việc người dùng, tạo kết nối hợp lệ phương thức không hợp lệ Local Attack: kiểu công nội từ bên trong, khái niệm xuất từ máy chủ mạnh lên thời gian gần Các phương thức gây an tồn thơng tin từ phía người quản trị Hiện việc xây dựng ứng dụng web với mã nguồn mở phát triển mạnh, website có khả bị công