Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368 I)Tờng lửa là gì.(firewall) Tờng lửa là hệ thống ngăn chặn việc trái phép từ bên ngoài vào mang. Tờng lửa thực hiện việc lọc bỏ những địa chỉ không hợp lệ dựa theo quy tắc hay chỉ tiêu định trớc. Intranet firewall Internet 1) Cấu trúc của một firewall: Firewall bao gồm: Một hoặc nhiều hệ thống máy chủ kết nối với các bộ định tuyến (router) hoặc chức năng router. Các phần mềm quản lí an ninh chạy trên hệ thống máy chủ. Thông thờng là các hệ quản trị xác thực (Authentication), cấp quyền (Authorization) và kế toán (Accounting) 2) Các thành phần của Firewall Một firewall bao gồm một hay nhiều thành phần sau: + Bộ loc packet (packet-filtering router) + Cổng ứng dụng (Application-level gateway hay proxy server) II) Phân loại tờng lửa 1 Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368 Có ba loại tờng lửa cơ bản: Truyền thông đợc thực hiện giửa một nút đơn và mạng, hay giữa một số mạng. Truyền thông đợc chặn tại tầng mạng, hay tầng ứng dụng. Tờng lửa có theo dõi trạng thái của truyền thông hay không. 1) Phân loại theo phạm vi của các truyền trông đợc loc. Tờng lửa cá nhân, một ứng dụng phần mền với chức năng thông thờng là lọc dữ liệu ra vào một máy tính đơn. Tờng lửa mạng, thờng chạy trên một thiết bị mạng hay máy tính chuyên dụng đặt tại ranh giới của hai hay nhiều mạng hoặc các khu phi quân sự (mạng con trung gian nằm giữa mạng nội bộ và mạng bên ngoài). Một tờng lửa thuộc loại này lọc tất cả giao thông dữ liệu vào hoặc ra các mạng đợc kết nối qua đó. 2) Khi phân loại theo các tầng giao thức nơi giao thông dữ liêu có thể bị chặn, có ba loại tờng lửa chính: Tờng lửa tầng mạng. Ví dụ: Iptables Tờng lửa tầng ứng dụng. Ví dụ: TCP Wrappers Tờng lửa ứng dụng. Ví dụ: hạn chế các dịch vụ FPT bằng việc định cấu hình tại tệp /etc/ftpaccess Có loại tờng lửa tầng mạng và tờng lửa tầng ứng dụng thờng trùm lên nhau, mặc dù tờng lửa cá nhân không phục vụ mạng, nhng một số hệ thống đơn đã cài đặt chung cả hai. 3) Phân loại theo tiêu chí rằng tờng lửa theo dõi trạng thái của các kết nối mạng hay chỉ quan tâm đến từng gói tin một cách riêng rẽ, có hai loại tờng lửa: Tờng lửa có trạng thái Tờng lửa phi trạng thái III) Khả năng và hạn chế của tờng lửa hiện nay. 2 Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368 1) Khả năng của một firewall Các chức năng cơ bản của một Firewall là : Cho phép hoặc cấm các dịch vụ truy nhập ra ngoai ( từ intranet ra internet) . Cho phép hoặc cấm các dịch vụ truy nhập vào trong ( từ internet vào intranet ) . Theo dõi luồng dữ liệu trao đổi giũa mạng bên trong ( intranet ) và mạng internet. Kiểm soát địa chỉ truy nhập , cấm địa chỉ truy nhập .Xác định địa chỉ truy nhập giả mạo Kiểm soát ngòi sử dụng và việc truy nhập của ngời sử dụng . 2) Hạn chế của một firewall Firewall không đủ thông minh nh con ngời để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhng phải xác định rõ các thông số địa chỉ. Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không "đi qua" nó. Một cách cụ thể, firewall không thể chống lại một cuộc tấn công từ một đờng dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm. Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-driven attack). Khi có một số chơng trình đợc chuyển theo th điện tử, vợt qua firewall vào trong mạng đợc bảo vệ và bắt đầu hoạt động ở đây. Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu đợc chuyển qua nó, do tốc độ làm việc, sự xuất hiện 3 Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368 liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của firewall. IV) Các phơng thức tấn công tờng lửa của hacker và biện pháp phòng chống. Trên lí thuyết, Firewall là phơng pháp bảo mật an toàn nhất cho hệ thống của bạn khi có kết nối internet. Tuy nhiên vẫn tồn tại những vấn đề xung quanh môi tr- ờng bảo mật này. Nếu Firewall đợc cấu hình quá chặt chẽ thì sẽ làm giảm tiến trình làm việc của mạng, đặc biệt là trong môi truờng ngời dùng phụ thuộc hoàn toàn vào các ứng dụng phân tán. Do vậy, việc lựa chọn cấu hình Firewall sao cho vừa đảm bảo tiến trình hoạt động của mạng vùa có đựoc mức độ bảo mật cao quả là một vấn đề nan giải đối với ngời quản trị mạng . Khai thác triệt để vấn đề này, các hacker đã nghiên cứu rất nhiều phong pháp để vợt qua Firewall. Nhng cơ bản thì đều gôm hai giai đoạn sau : Tìm ra dạng tờng lủa mà mạng đang sử dụng và các dịch vụ hoạt động phía sau nó . Khai thác các tuyến quan hệ (trusted relationship) và các nút bảo mật kết nối lỏng lẻo nhất để cố gắng đi vòng qua Firewall . Mt trong nhng vic phi l m c a các hacker l tách các th nh ph n thc ra khi các th nh ph n gi mo. Nhiu tng la s dng trm (sacrificial hosts) - l h thng c thit k nh các server Web (có th sn s ng b i) hay by (decoys), dùng bt các h nh vi thâm nh p ca hacker. By có th cn dùng ti nhng thit b ngy trang phc tp nhm che du tính cht tht ca nó, ví dụ : a ra câu tr li tng t h thng tp tin hay các ng dng thc. Vì vy, công vic u tiên ca hacker l ph i xác nh ây là các đối tợng tồn tại thật . 4 Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368 có c thông tin v h thng, hacker cn dùng ti thit b có kh nng phc v mail v các d ch v khác. Hacker s tìm cách nhn c mt thông ip n t bên hệ thống . Khi đó, đờng đI đợc kiểm tra và có thể tìm ra những manh mối về cấu trúc hệ thống. Dới đây là một số phơng thức thông dụng mà hacker sử dụng để định danh Firewall và xác định cấu trúc của mạng nội bộ : 1) Định danh firewall Hu ht mi Firewall u mang mt "mùi hơng"in t duy nht. Ngha l , vi mt tin trình quét cng, lp cu la, v n m gi biu ng n gin, bn tn công có th hiu qu xác nh kiu, phiên bn, v các quy t c ca hu ht mi Firewall trên mng. Ti sao vic nh danh n y l i quan trng? Bi vỡ mt khi ó ánh x c các Firewall, chúng có th bt u tìm hiu các im yu v g ng khai thác chúng. a) Quét trực tiếp Cách d nht tìm kim các Firewall ó l quét các c ng ngm nh c th. Mt s Firewall trên th trng s t nh danh duy nht bng các t quét cng n gin bn ch cn bit ni dung tìm kim. Ví d, Firewall-1 ca Check point lng ch trên các cng TCP 256, 257, 258, v Proxy Server c a Microsoft thng lng ch trên các cng TCP 1080 v 1745. Vi s hiu bit n y, quá trình tìm ki m các kiu Firewall n y ch ng có gì khó vi mt b quét cng nh nmap : nmap -n -vv -P0 -p256,1080,1745 192.168.50.1 - 60.254 5 Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368 Dùng khóa chuyn -PO vô hiu hóa tính nng ping ICMP trc khi quét. Điu n y quan tr ng bi hu ht Firewall không áp ng các yêu cu di ICMP. C bn tn công nhút nhát ln hung bo u tin h nh quét r ng rãi mng theo cách n y, tìm ki m các Firewall n y v tìm ki m mi khe h trong két st v nh ai. Nhng bn tn công nguy him hn s lùng sc v nh ai c ng lén lút c ng t t. Có nhiu k thut m b n tn công có th s dng h sp radar, bao gm ngu nhiên hóa các ping, các cng ích, các a ch ích, v các c ng ngun;dùng các h ch cò mi; v th c hin các t quét ngun có phân phi. Các Biện Pháp Phòng Chống : Đ ngn cn các t quét cng bc tng la t Internet, cn phong ta các cng n y trên các b nh tuyn ng trc các Firewall . Nu các thit b n y do ISP qun lý, cn liên h vi h tin h nh phong t a. b) Ra tuyến đờng Mt cách thinh lng v tinh t hn tìm các Firewall trên mt mng ó l dùng traceroute . Các hacker sử dụng traceroute ca UNIX hoc tracert.exe ca NT tìm tng chng dc trên ng truyn n đích v ti n h nh suy di n. Traceroute ca Linux có tùy chn -I, thc hin r ng bng cách gi các gói tin ICMP, trái vi k thut gúi tin UDP ngm nh. Biện Pháp Phòng Chống : Đ ngn cn các traceroute chy trên biên, có th cu hình các b nh tuyn không áp ng các thông ip TTL EXPI#800000 khi nó nhn mt gói tin có TTL l 0 ho c 1. Hoc nên phong ta to n b lung lu thông UDP không cn thit ti ứac b nh tuyn biên. 6 Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368 c) N¾m gi÷ biÓu ng÷ Kỹ thuật quÐt t×m c¸c cổng Firewall l hà ữu Ých trong việc định vị c¸c Firewall , nhng hầu hết c¸c Firewall kh«ng lắng chờ trªn c¸c cổng ngầm định nh Check point v Microsoft, do ®ã vià ệc ph¸t hiện phải ®îc suy diễn. Nhiều Firewall phổ dụng sẽ c«ng bố sự hiện diện của chóng bằng c¸ch đơn giản nối với chóng. VÝ dụ , nhiều Firewall gi¸m quản sẽ c«ng bố chức năng cña chóng với t c¸ch một Firewall , v mà ột số sẽ quảng c¸o kiểu v phiªn bà ản của chóng. VÝ dụ, khi ta nối với một m¸y được tin l mà ột bức tường lửa bằng netcat trªn cổng 21 (FTP ), ta sẽ thấy một số th«ng tin thó vị : : C:\TEMP>nc -v -n 192.168.51.129 2 l [UNKNOWN] [ 192.168.5l.129 ] 2 l ( ? ) open 220 Secure Gateway FTP server ready . Biểu ngữ "Secure Gateway server FTP ready" l mà ột dấu hiệu lộ tẩy của một hộp Eagle Raptor cũ. Việc nối thªm với cổng 23 (telnet) sẽ x¸c nhận tªn bức tường lửa l "Eagle." à C:\TEMP>nc -v -n 192.168.51.129 23 [UNKNOWN] [ 192.168.5l.129 ] 23 ( ? ) open Eagle Secure Gateway . Hostname : 7 Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368 V cu i cùng. nu vn cha b thuyt phc h ch l m t bc tng la, có th netcat vi cng 25 ( SMTP ), v nó sẽ bảo cho bi t nó l gì: C:\TEMP>nc -v -n 192.168.51.129 25 [UNKNOWN] [ 192.168.5l.129 ] 25 ( ? ) open 421 fw3.acme.com Sorry, the firewall does not provide mail service to you. Nh ó thy trong các ví d trên ây, thông tin biu ng có th cung cp các thông tin quý giá cho bn tn công trong khi nh danh các bc tng la. Dùng thông tin n y, chúng có th khai thác các ch yu ph bin hoc các cu hình sai chung. Biện Pháp Phòng Chống : Đ chnh sa ch yu rò r thông tin n y, chúng ta gi i hn thông tin biu ng qung cáo. Mt biu ng tt có th kèm theo mt mc cnh giác mang tính pháp lý v t t c mi n lc giao kt s c ghi s. Hoặc có thể thay đổi thông tin về Firewall từ các biểu ngữ quảng cáo . 2) Quét qua các tờng lửa a) Kĩ thuật hping Hping l m vi c bng cách gi các gói tin TCP n mt cng ích v báo cáo các gói tin m nó nh n tr li. hping tr v nhiu áp ng khác nhau tùy theo s iu kin. Mi gói tin tng phn v to n th có th cung cp mt bc tranh khá rõ v các kiu kim soát truy cp ca Firewall. Ví d, khi dùng hping ta có th phát hln các gói tin m, b phong ta, th, v lo i b. 8 Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368 Trong vÝ dụ sau đ©y, hping b¸o c¸o cổng 80 đang mở v sà ẵn s ng nhà ận một tuyến nối. Ta biết điều n y bà ởi nã đãn nhận một gãi tin với cờ SA đợc ấn định (một gãi tin SYN/ACK). [ root@bldg_043 / opt ] # hping www.yourcompany.com -c2 - S -p80 -n HPING www.yourcomapany.com ( eth0 172.30.1.2 0 ) : S set, 40 data bytes 60 bytes from 172.30.1.20 : flags=SA seq=0 ttl=242 id= 65121 win= 64240 time=144.4 ms Giờ đ©y ta biết cã một cống mở th«ng đến đÝch, nhng cha biết nơi của Firewall. Trong vÝ dụ kế tiếp, hping b¸o c¸o nhận một ICMP unreachable type 13 từ 192.168.70.2. Một ICMP type 13 l mà ột gãi tin lọc bị ICMP admin ngăn cấm, thêng ®îc gửi từ một bộ định tuyến lọc gãi tin. [root@bldg_043 /opt ] # hping www.yourcompany.com -c2 -S -p23 -n HPING www.yourcompany.com ( eth0 172.30.1.20 ) : S set, 40 data bytes ICMP Unreachable type 13 f rom 192.168.70.2 Giờ đ©y nã ®· x¸c nhận, 192.168.70.2 ắt hẳn l bà ức tường lửa, v ta bià ết nã đang râ rệt phong tỏa cổng 23 đến đÝch của chóng ta. b) Firewalk Firewalk l mà ột công cụ nhỏ tiện dụng, nh một bộ quÐt cổng, ®îc dïng để ph¸t hiện c¸c cổng mở đ»ng sau một Firewall. §ợc viết bởi Mike Schiffnlan, tr×nh 9 Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368 tin ích n y s quét mt h ch sử dụng Firewall v báo cáo tr li các quy tc đ- ợc phép n h ch ó m không ph i thc t chm n h ích. Firewalk l m vi c bng cách kin to các gói tin vi mt IP TTL đợc tính toán kt thúc mt chặng vợt qúa bc tng la. V lý thuyt, nu gói tin đợc Firewall cho phép, nó s đợc phép i qua v s kt thúc nh d kin, suy ra mt thông ip "ICMP TTL expired in transit." Mt kuasc, nu áoi tin b ACL ca Firewall phong ta, nó s b th, v hoc không có dáp ng n o s đợc gi, hoc mt gói tin lc b ICMP type 13 admin ngn cm s c gi. Biện Pháp Phòng Chống : Bn có th phong ta các gói tin ICMP TTL EXPI#800000 ti cp giao din bên ngo i, nh ng iu n y có th tác ng tiêu ec n kh nng vn h nh c a nó, vì các h khách hp pháp ang ni s không bao gi bit iu gì ó xy ra vi tuyn ni ca chúng. V) Địa chỉ IP 1) Địa chỉ IP là gì ? Mỗi máy tính khi kết nối vào internet đều có một địa chỉ duy nhất, đó là địa chỉ IP. Địa chỉ này dùng để phân biệt máy tính đó với các máy tính còn lại trên mạng internet . Địa chỉ ip là một số 32 bit = 4 byte nên có thể coi địa chỉ ip đợc tạo thành từ 4 số có kích thớc 1 byte, mỗi số có giá trị từ o-255 .Mỗi địa chỉ ip đều gôm 2 phần là địa chỉ mạng ( network ) và địa chỉ máy (host).Ví dụ : 192.168.10.56;255.144.10.51 2) Các lớp của địa chỉ IP 10 [...]... tính ó Cách tn công ny li hi ch ch cn mt máy có kt 17 Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368 ni Internet n gin vi ng truyn bình thng cng có th đánh bt c h thng có ng truyn tt nht th gii nu nh ta không kp ngn chn 3) Những wed bị tấn công http://www.moet.gov.vn wedsite của bộ giáo duc bi tấn công thông qua lỗ hổng SQL của phần mềm và truy cập bất hợp pháp vào cơ sở dữ liệu... liệu, huỷ hoại dữ liệu và gây rối loại của trang www.vnn.vn website đợc xem là bộ măt của internet Việt Nam bị đánh sập www.vietcombank.com.vn , của ngân hàng ngoại thơng Việt Nam (Vietcombank) bị tấn công và thông tin thẻ tín dụng của hơn 30 khách hàng đã bị đánh cắp www.mobilefone.com.vn, trang chủ của công ty viễn thông di động Mobilefone đã bị hacker xâm nhập vào cơ sở dữ liệu và thông tin vể tài... DDoS servers ny tin hnh tn công DDoS n h thng nn nhân h) The Distributed Reflection Denial of Service Attack ây có l l kiu tn công li hi nht v lm boot máy tính ca i phng nhanh gn nht Cách lm thì cng tng t nh DDos nhng thay vì tn công bng nhiu máy tính thì ngi tn công ch cn dùng mt máy tn công thông qua các server ln trên th gii Vn vi phng pháp gi mo a ch IP ca victim, k tn công s gi các gói tin n các... tập tin cấu hình dự phòng từ TFTP sever - Xoá tập tin cấu hình khởi động bằng lệnh erase startup-config, sau đó khởi động lại router và vào chế độ cài đặt e) Cấu hình cổng Ethernet Mỗi cổng Ethernet cũng cần phải có một địa chỉ IP và subnet mask để có thể thực hiện định tuyến các gói IP qua cổng đó Sau đây là các bớc thực hiện cấu hình cổng Ethernet: - Vào chế độ cấu hình toàn cục - Vào chế độ cấu hình... các chuẩn và giao thức của lớp vật lý và lớp liên kết dữ liệu để kết nối mạng WAN thì lúc này nhiệm vụ chính yếu của router trong mạng WAN không phải là định tuyến nữa mà là cung cấp kết nối giữa các mạng WAN với các chuẩn vật lý và liên kết dữ liệu khác nhau Router phải có khả năng chuyển đổi luồng bít từ loại dịch vụ này sang loại dịch vụ khác 2) Cấu hình cho router a) Đặt tên cho router Công việc... hiện khi cấu hình cổng serial Vào chế độ cấu hình toàn cục Vào chế độ cấu hình cổng serial Khai báo địa chỉ và subnet mask 21 Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368 Đặt tốc độ clock nếu đầu cắm vào cổng serial lad DCE Nừu đầu cáp là DTE thì chúng ta có thể bỏ qua bớc này Khởi động cổng serial Mỗi một cổng serial đều phải có một địa chỉ IP và subnet mask để chúng có thể... router đ) Thực hiện việc thêm bớt, dịch chuyển và thay đổi tập tin cấu hình Nếu cần chỉnh sửa tập tin cấu hình thì phải di chuyển vào đúng chế độ cấu hình và thực hiện các lệnh cần thiết Ví dụ: nếu cần mở một cổng nào đó trên router thì 22 Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368 trớc hết phải vào chế độ cấu hình toàn cục, sau đó vào chế độ cấu hình của cổng đó rồi dùng lệnh... cùng một subnet mask Để phân biệt đợc các mạng con (subnet) khác nhau , bộ định tuyến dùng phép logic AND VI) Tấn công từ chối dịch vụ (DOS - Denial of sevices) 1) DOS attack là gì? DoS attack l kiu tn công rt li hi, vi loi tn công no, ch cn mt máy tính kt ni Internet l ã có th thc hin vic tn công c máy tính ca i phng Thc cht ca DoS attack l hacker s chim dng mt lng ln ti nguyên trên server (ti nguyên...Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368 Toàn bộ địa chỉ IP đợc chia vào 6 lớp khác nhau : A,B,C,D,E và loopback Mỗi lớp có cách xác định địa chỉ network và địa chỉ host khác nhau Biểu đồ cấu trúc các lớp của địa chỉ IP : Lớ Cấu trúc địa chỉ IP p 0 A 0 Netid 32 Hostid N.H.H 7/24 126 17.777 1.0.0.1- H B 1 0 Netid Hostid 7.214... việc truy cập vào router Ngoài ra mật mã còn đợc sử dụng để kiểm soát sự truy cập vào chế độ EXEC đặc quyền trên router Khi đó, 19 Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368 chỉ những ngời nào đợc phép mới có thể thực hiện việc thay đổi tập tin cấu hình trên router Chúng ta cũng cần đặt mật mã cho một hoặc nhiều đờng vty để kiểm soát các user truy cập từ xa vào router bằng . của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của firewall. IV) Các phơng thức tấn công tờng lửa của hacker và biện pháp phòng chống. Trên lí thuyết,. Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không "đi qua" nó. Một cách cụ thể, firewall không thể chống lại một cuộc tấn công từ một đờng dial-up, hoặc sự dò. không kp ngn chn . 3) Những wed bị tấn công http://www.moet.gov.vn wedsite của bộ giáo duc bi tấn công. thông qua lỗ hổng SQL của phần mềm và truy cập bất hợp pháp vào cơ sở dữ liệu trong may chủ