Các phương pháp tấn công vượt tường lửa (2014)

56 8 0
  • Loading ...
1/56 trang

Thông tin tài liệu

Ngày đăng: 16/04/2018, 17:11

TRƯỜNG ĐẠI HỌC SƯ PHẠM HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN - PHẠM THANH CHUNG CÁC PHƯƠNG PHÁP TẤN CÔNG VƯỢT TƯỜNG LỬA KHÓA LUẬN TỐT NGHIỆP ĐẠI HỌC Chuyên ngành: Tin học Người hướng dẫn khoa học PGS TS TRỊNH ĐÌNH THẮNG HÀ NỘI - 2014 LỜI CẢM ƠN Trên thực tế khơng có thành cơng mà khơng gắn liền với hỗ trợ, giúp đỡ dù hay nhiều, dù trực tiếp hay gián tiếp người khác Chính thế, suốt q trình làm khóa luận, lời em xin chân thành cảm ơn hướng dẫn tận tình thầy giáo PGS.TS.Trịnh Đình Thắng, khoa Công nghệ thông tin, trường Đại học sư phạm Hà Nội Mặc dù bận rộn công việc Thầy dành nhiều thời gian tâm huyết việc hướng dẫn em Thầy cung cấp cho em nhiều hiểu biết lĩnh vực em bắt đầu bước vào thực khóa luận Em xin chân thành cảm ơn thầy, cô giáo khoa Công nghệ thông tin, thầy, cô giáo trường giảng dạy giúp đỡ em năm học vừa qua Chính thầy, giáo xây dựng cho chúng em kiến thức tảng kiến thức chuyên mơn để em hồn thành khóa luận tốt nghiệp chuẩn bị cho cơng việc sau Cuối em xin bày tỏ lòng biết ơn tới gia đình bạn bè giúp đỡ động viên em nhiều suốt trình học tập để em thực tốt khóa luận Tuy có cố gắng định thời gian trình độ có hạn nên chắn khóa luận nhiều thiếu sót hạn chế Kính mong nhận góp ý thầy, cô giáo bạn Hà Nội, tháng 05 năm 2014 Sinh viên Phạm Thanh Chung LỜI CAM ĐOAN Tên em là: Phạm Thanh Chung Sinh viên lớp: K36 – Tin học, khoa Công nghệ thông tin, trường Đại học sư phạm Hà Nội Em xin cam đoan: Khóa luận tốt nghiệp “Các phương pháp cơng vượt tường lửa” nghiên cứu riêng em, hướng dẫn thầy PGS.TS.Trịnh Đình Thắng Khóa luận hồn tồn khơng chép tác giả khác Nếu sai em xin hoàn toàn chiu trách nhiệm Hà Nội, tháng 05 năm 2014 Người cam đoan Phạm Thanh Chung MỤC LỤC MỞ ĐẦU CHƯƠNG 1: INTERNET FIREWAL 1.1 Khái niệm 1.1.1 Khái niệm 1.1.2 Ưu, nhược điểm Firewall 1.1.2.1 Ưu điểm 1.1.2.2 Nhược điểm 1.2 Các chức Firewall 1.2.1 Packet Filtering 1.2.1.1 Khái niệm 1.2.1.2 Các hoạt động Packet Filtering 1.2.1.3 Ưu, nhược điểm Packet Filtering 1.2.2 Proxy 10 1.2.2.1 Khái niệm 10 1.2.2.2 Ưu nhược điểm Proxy 11 1.2.2.3 Các hoạt động Proxy 11 1.2.2.4 Phân loại Proxy 11 1.2.2.5 Sử dụng Proxy với dịch vụ Internet 13 1.2.3 Network Address Translation 13 1.2.4 Theo dõi ghi chép (Monitoring and Logging) 15 1.3 Kiến trúc Firewall 15 1.3.1 Bastion host 15 1.3.1.1 Những nguyên tắc Bastion host 16 1.3.1.2 Các dạng Bastion host 16 1.2.3.4 Vị trí Bastion host mạng 17 1.3.2 Dual –home host 18 1.3.3 Screened host 19 1.3.4 Screened Subnet 20 1.4 Bảo dưỡng Firewall 23 CHƯƠNG 2: HỆ ĐIỀU HÀNH LINUX 24 2.1 Tổng quan hệ điều hành Linux 24 2.1.1 Sơ lược Linux 24 2.1.2 Môi trường Linux 24 2.2 IPTables 24 2.2.1 Giới thiệu Iptables 24 2.2.2 Quá trình di chuyển gói tin qua lõi hệ thống 26 2.2.3 Sử dụng IPtables Commands 28 2.2.4 Sử dụng Masquerading NAT 32 CHƯƠNG 3: CÁC PHƯƠNG PHÁP TẤN CÔNG VƯỢT TƯỜNG LỬA 34 3.1 Tình hình thực tế an ninh mạng 34 3.2 Các mục tiêu cần bảo vệ 35 3.3 Các phương pháp công vượt tường lửa 36 3.3.1 Các dạng công 36 3.3.2 Một số phương pháp công vượt tường lửa 36 3.3.2.1 Giả mạo địa IP (IP Spoofing) 36 3.3.2.2 SYN flooding – Tấn cơng tràn ngập gói tin SYN 38 3.3.2.3 ICMP flooding – Tấn công tràn ngập gói tin ICMP 39 CHƯƠNG 4: XÂY DỰNG HỆ THỐNG FIREWALL 41 4.1 Mục tiêu xây dựng hệ thống Firewall 41 4.2 Giải pháp kỹ thuật lựa chọn 41 4.3 Mơ hình hệ thống Firewall 42 4.4 Cấu hình Firewall 43 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 45 TÀI LIỆU THAM KHẢO 47 MỤC LỤC HÌNH VẼ Hình 1-1: Vị trí Firewall mạng Hình 1-2: Screening Router sử dụng lọc gói Hình 1-3: Proxy Server 10 Hình 1-4: Chuyển đổi địa mạng 13 Hình 1-5: Kiến trúc Dual –home host 19 Hình 1-6: Kiến trúc Screen host 20 Hình 1-7: Kiến trúc Screen subnet 21 Hình 2-1: Q trình gói tin lõi hệ thống Linux 28 Hình 3-1: Thiết lập kết nối TCP client server 37 Hình 3-2: Tấn cơng tràn ngập SYN (1) 38 Hình 3-3: Tấn cơng tràn ngập SYN (2) 39 Hình 4-1: Mơ hình tổng thể hệ thống Firewall 42 BẢNG CÁC TỪ VIẾT TẮT ARP (Address Resolution Protocol): Giao thức chuyển đổi từ địa IP sang địa vật lý FIREWALL (Bach Khoa Firewall System) CGI (Common Gateway Interface): Giao tiếp gateway chung DDoS (Distributed Denied of Service): Tấn công từ chối dịch vụ phân tán DMA (Direct Memory Access): Truy nhập nhớ trực tiếp DMZ (DeMilitarized Zone): Vùng phi quân DNS (Domain Name Service): Dịch vụ tên miền DoS (Denied of Service): Tấn công từ chối dịch vụ DRDoS(Distributed Reflection Denied of Service): DoS phản xạ, phân tán FDDI (Fiber Distributed Data Interface) FIB (Forwarding Information Table): Bảng thông tin chuyển đổi định tuyến FTP (File Transfer Protocol): Giao thức truyền file HTTP (Hyper Text Transfer Protocol): Giao thức truyền siêu văn ICMP (Internet Control Message Protocol): Giao thức điều khiển thông điệp Internet IGMP (Internet Group Management Protocol): Giao thức Internet để host kết nối, huỷ kết nối từ nhóm multicast IP (Internet Protocol): Giao thức Internet IPS (Intrusion Preventation System): Hệ thống phòng chống xâm nhập ISP (Internet Services Provider): Nhà cung cấp dịch vụ Internet ISDN (Integrated Services Digital Network): Mạng số học dịch vụ tích hợp LAN (Local Area Network): Mạng nội MAC (Media Access Control): Địa thiết bị MTU (Maximum Transmission Unit): Đơn vị truyền lớn NIC (Network Interface Card): Card giao tiếp mạng PSTN (Public Switched Telephone Network): Mạng điện thoại chuyển mạch công cộng RARP (Reverse Address Resolution Protocol): Giao thức chuyển đổi từ địa vật lý sang địa IP RIP (Routing Information Protocol): Một kiểu giao thức dẫn đường SSL (Secure Socket Layer): Tầng socket an toàn SSH (Secure Shell): Dịch vụ truy cập từ xa STMP (Simple Mail Transfer Protocol): Giao thức truyền thư đơn giản TCP (Transmission Control Protocol): Giao thức điều khiển truyền tin TELNET: dịch vụ đăng nhập hệ thống từ xa UDP (User Datagram Protocol): Giao thức điều khiển truyền tin không tin cậy URI (Uniform Resouce Indentifier) Địa định vị tài nguyên URL (Uniform Resouce Locator): Địa tài nguyên thống MỞ ĐẦU Lý chọn đề tài Trong năm gần đây, việc tổ chức khai thác mạng Internet phát triển Mọi đối tượng sử dụng dịch vụ tiện ích Internet cách dễ dàng trao đổi thông tin, tham khảo thư viện tri thức đồ sộ nhân loại…Tại thời điểm lợi ích Internet q rõ ràng khơng thể phủ nhận Nhưng điều không may kèm với nguy an tồn thông tin Internet vấn đề hàng đầu cản trở phát triển Internet Bảo đảm an tồn an ninh khơng nhu cầu riêng nhà cung cấp dịch vụ mà nhu cầu đáng người sử dụng Các thơng tin nhạy cảm quốc phòng, thương mại vô giá để lọt vào tay đối thủ cạnh tranh Vào ngày 8/4/2014, Microsoft thức ngừng cung cấp cập nhật bảo mật, sửa chữa nóng đưa vá cho Windows XP Office 2003 Các hỗ trợ kỹ thuật không tiếp tục cho hai tảng Nếu doanh nghiệp tiếp tục sử dụng Windows XP Office 2003 khơng có cập nhật để giúp bảo vệ tài nguyên quan trọng máy tính đối mặt với nguy virus, phần mềm gián điệp mã độc phát sinh Người dùng Windows XP giữ số hàng triệu người toàn giới Việt Nam đứng mức 45,65%, tương đương khoảng 5,5 triệu máy tính cá nhân Việc Windows XP bị "khai tử" ảnh hưởng lớn đến cộng đồng người tin dùng gắn bó với hệ điều hành thập kỷ Để khắc phục có giải pháp tốn chuyển sang dung hệ điều hành Linux Linux hệ điều hành họ UNIX miễn phí dùng cho máy tính cá nhân sử dụng rộng rãi Tại Việt Nam, Internet trở lên phổ biến năm gần vấn đề an tồn an ninh mạng khơng ngoại lệ Mặc dù thực chưa có tổn thất lớn kinh tế tiềm ẩn  Cho phép Masquerading Áp dụng cho tất lưu lượng khỏi mạng chúng ta, có nghĩa firewall biến đổi địa nguồn gói tin Để cho phép Masquerading có hiệu lực, cần thực câu lệnh iptable sau: iptables –t nat –A POSTROUTING –o ppp0 –j MASQUERADE  Sử dụng SNAT Cũng giống Masquerading khác giao diện mạng cho lưu thông mạng ngồi (external interface) phải có địa ip tĩnh Để cho phép SNAT có hiệu lực ta thực iptables command sau: iptables –t nat –A POSTROUTING –o eth0 –j SNAT –to-source xxx.xxx.xxx.xxx  Sử dụng DNAT iptables –t nat –A PREROUTING –i eth0 –p tcp\ –sport 1024:65635 -d xxx.xxx.xxx.xxx –dport 80\ -j DNAT –to-destination 192.168.1.80 iptables –A FORWARD -i eth0 –o eth1 –p tcp\ –sport 1024:65635 -d 192.168.1.80 –dport 80 –m state state N 33 CHƯƠNG 3: CÁC PHƯƠNG PHÁP TẤN CƠNG VƯỢT TƯỜNG LỬA 3.1 Tình hình thực tế an ninh mạng Mạng Internet – mạng tồn cầu kết nối máy tính cung cấp dịch vụ WWW, Email, tìm kiếm thơng tin, … tảng cho dịch vụ điện tử ngày phát triển nhanh chóng Internet trở thành phần thiếu sống ngày Và với nguy hiểm mà mạng Internet mang lại Những kẻ công ngày tinh vi hoạt động chúng Thông tin lỗ hổng bảo mật, kiểu cơng trình bày cơng khai mạng Không kể kẻ công không chuyên nghiệp, người có trình độ cao mà cần người có chút hiểu biết lập trình, mạng đọc thơng tin trở thành hacker Chính lí mà số vụ công mạng không ngừng tăng nhiều phương thức công đời, kiểm sốt Theo điều tra Ernst And Young, 4/5 tổ chức lớn (số lượng nhân viên lớn 2500) triển khai ứng dụng tảng, quan trọng mạng cục LAN Khi mạng cục kết nối với mạng Internet, thông tin thiết yếu nằm khả bị đột nhập, lấy cắp, phá hoại cản trở lưu thông Phần lớn tổ chức có áp dụng biện pháp an toàn chưa triệt để có nhiều lỗ hổng để kẻ cơng lợi dụng Những năm gần đây, tình hình bảo mật mạng máy tính trở lên nóng bỏng hết hàng loạt vụ công, lỗ hổng bảo mật phát bị lợi dụng công Theo Arthur Wong – giám đốc điều hành SecurityFocus – trung bình tuần, phát 30 lỗ hổng bảo mật Theo điều tra Security Focus số 10.000 khách hàng 34 hãng có cài đặt phần mềm phát xâm nhập trái phép trung bình khách hàng phải chịu 129 thăm dò, xâm nhập Những phần mềm web server IIS Microsoft mục tiêu phổ biến cơng Trước tình hình việc bảo vệ an tồn thơng tin cho hay hệ thống máy tính trước nguy bị cơng từ bên ngồi kết nối vào Internet vấn đề cấp bách Để thực yêu cầu trên, giới xuất phần mềm khác với tính khác mà gọi Firewall Sử dụng Firewall để bảo vệ mạng nội bộ, tránh công từ bên giải pháp hữu hiệu, đảm bảo yếu tố:  An toàn cho hoạt động toàn hệ thống mạng  Bảo mật cao nhiều phương diện  Khả kiểm soát cao  Mềm dẻo dễ sử dụng  Trong suốt với người sử dụng  Đảm bảo kiến trúc mở “Biết địch biết ta, trăm trận trăm thắng” để bảo vệ hệ thống, chống lại công hacker, ta phải biết mục tiêu cần bảo vệ, kỹ thuật công khác nhau, đưa chiến lược bảo vệ mạng hợp lý, … 3.2 Các mục tiêu cần bảo vệ Để bảo vệ hệ thống, chống lại công hacker Chúng ta phải biết mục tiêu cần bảo vệ, kỹ thuật công khác từ đưa chiến luợc bảo vệ hợp lý… Trong phần trình bày cụ thể vấn đề Có ba mục tiêu cần bảo vệ là:  Dữ liệu: thông tin lưu trữ máy tính  Tài nguyên: thân máy tính, máy in, CPU… 35  Danh tiếng 3.3 Các phương pháp công vượt tường lửa 3.3.1 Các dạng cơng Có nhiều dạng cơng khác vào hệ thống có nhiều cách phân loại dạng công Trong mục này, chia dạng công làm ba phần bản:  Xâm nhập (Intrusion)  Từ chối dịch vụ (Denial of Service – DoS)  Ăn trộm thông tin (Information thieft) 3.3.2 Một số phương pháp công vượt tường lửa Sau số phương pháp công phổ biến mà hacker thường sử dụng để công tường lửa Các phương pháp công chủ yếu thuộc dạng công xâm nhập từ chối dịch vụ 3.3.2.1 Giả mạo địa IP (IP Spoofing) Hầu hết giao thức sử dụng mạng theo giao thức TCP, xem xét chế thiết lập kết nối giao thức TCP giao thức hướng liên kết, client server muốn thực kết nối để trao đổi thơng tin chúng phải thực qua ba bước sau (cơ chế bắt tay ba bước): Bước 1: Client gửi gói tin SYN tới server thơng báo yêu cầu thiết lập kết nối Lúc kết nối tiềm tàng (potential connection) thiết lập client server Bước 2: Server sau nhận tín hiệu SYN gửi lại cho client gói tin SYN/ACK xác nhận việc thiết lập liên kết Bước 3: Client sau nhận gói tin SYN/ACK trên, gửi tiếp cho Server gói tin ACK Kết thúc bước client server hoàn thành kết nối 36 Hình 3-1: Thiết lập kết nối TCP client server Nếu client u cầu đòi hỏi thiết lập kết nối với server lại nhận gói tin SYN/ACK, gửi trả lại server gói tin RST (reset) Nhờ mà server biết để huỷ bỏ kết nối Chú ý bước 1, client gửi tín hiệu SYN server dành riêng cho client vùng nhớ để hoạt động Vùng nhớ bị huỷ bỏ client có yêu cầu huỷ bỏ kết nối hay sau khoảng thời gian định (gọi thời gian Timeout) khơng có tín hiệu từ client Timeout server khác nằm khoảng từ 75 giây đến 23 phút Dựa vào chế thiết lập kết nối giao thức TCP mà kẻ công đưa kỹ thuật sau nhằm giả mạo địa IP: Giả sử hai host X Y tin tưởng Kẻ công vị trí Z, kẻ cơng tạo gói tin giả mạo Y để gửi tới cho X nhằm trông đợi thông tin phản hồi lại Tuy nhiên nhận gói tin yêu cầu kết nối X coi gói tin Y gửi tới phản hồi lại cho Y Z khơng thu Khi Y nhận gói tin phản hồi từ X (khi bits ACK thiết lập) gửi trả lại gói tin RST kết nối đươc huỷ bỏ Kẻ công không muốn X huỷ bỏ kết nối tìm cách khơng cho Y nhận gói tin phản hồi này, ví dụ dùng cơng từ chối dịch vụ, làm Y bị tràn ngập băng thông nhận thêm thơng tin Tuy nhiên cách làm mang nhiều tính chất lý thuyết, thực tế khó thực theo cách 37 3.3.2.2 SYN flooding – Tấn cơng tràn ngập gói tin SYN Chúng ta ý tới chế bắt tay ba bước trình thiết lập kết nối hai thực thể TCP Kẻ công sử dụng địa giả mạo để gửi gói tin SYN cho nạn nhân Khi nạn nhân nhận gói tin dành phần nhớ cho kết nối Hình 3-2: Tấn cơng tràn ngập SYN (1) Cũng tương tự trên, nhận gói tin SYN u cầu kết nối gửi trả lại gói tin SYN/ACK cho host có địa mà kẻ cơng giả mạo sử dụng Nếu gói tin đến host bị giả mạo gửi gói tin RST, kết nối bị huỷ bỏ, phần nhớ mà host nạn nhân cung cấp cho kết nối huỷ bỏ Trong trường hợp này, kẻ cơng khơng thu Để khắc phục kẻ công thực sau: địa mà chúng sử dụng để giả mạo địa mà host nạn nhân khơng thể gửi gói tin đến Khi gói tin SYN/ACK mà nạn nhân gửi trả lại bước mô hình bắt tay bước khơng thể tới đích, khơng có gói tin RST gửi lại cho nạn nhân Như vậy, nạn nhân phải chờ kết nối thời gian Timeout hết Điều có nghĩa kẻ cơng thành công việc chiếm dụng phần tài nguyên hoạt động máy nạn nhân Hơn nữa, kẻ cơng khơng gửi gói tin SYN tới nạn nhân mà sau khoảng thời gian định lại gửi gói tin SYN tới máy 38 nạn nhân Kết toàn tài nguyên máy nạn nhân bị sử dụng cho việc chờ kết nối khơng có thực Hình 3-3: Tấn công tràn ngập SYN (2) Ưu điểm phương pháp công cần lượng băng thơng nhỏ kẻ cơng làm tê liệt nạn nhân Ngồi gói tin SYN mà kẻ công gửi tới nạn nhân sử dụng địa giả, khó phát thủ phạm 3.3.2.3 ICMP flooding – Tấn công tràn ngập gói tin ICMP Ping chương trình dùng để báo cho người sử dụng biết hai host mạng có thơng với khơng Ping dựa giao thức ICMP Nó cho phép người sử dụng gửi gói tin tới hệ thống xa hiển thị khoảng thời gian từ gửi gói tin đến nhận phản hồi từ phía nhận (RTT: Round Trip Time) Gói tin gửi ICMP echo request, gói tin phản hồi ICMP echo receive Kẻ công sử dụng giao thức ICMP để công nạn nhân theo cách sau: Bước 1: Kẻ công giả mạo nạn nhân, gửi lệnh Ping với địa IP nạn nhân địa đích dạng broadcast mạng Sau bước tất host mạng 10.0.0.x nhận gói tin ICMP từ host nạn nhân Bước 2: Do nhầm lẫn mà tất host mạng 10.0.0.x gửi cho nạn nhân gói tin ICMP echo receive Hàng loạt gói tin dạng nguyên nhân gây lên hện tượng làm băng thông tới host nạn nhân bị chiếm dụng Nạn nhân giao dịch với 39 host khác mạng Hiện có nhiều cơng cụ thuận tiện để thực kiểu cơng Hình 3-4: Tấn cơng tràn ngập gói tin ICMP 40 CHƯƠNG 4: XÂY DỰNG HỆ THỐNG FIREWALL 4.1 Mục tiêu xây dựng hệ thống Firewall Mục tiêu khóa luận tốt nghiệp phát triển hệ thống tường lửa cho mạng máy tính quy mơ doanh nghiệp vừa nhỏ Trên sở đó, hệ thống xây dựng sở phần mềm Shorewall hệ điều hành Linux Do thời gian thực khóa luận tốt nghiệp khơng có nhiều nên mục tiêu cụ thể đề xây dựng hệ thống bao gồm:  Thiết lập Firewall cho mạng máy tính vừa nhỏ  Triển khai hệ thống máy chuyên dụng (Application Server) 4.2 Giải pháp kỹ thuật lựa chọn Sau tìm hiểu phương pháp vượt tường lửa, kỹ thuật lọc gói, web proxy tìm hiểu giải pháp thương mại mã nguồn mở, giải pháp kỹ thuật xây dựng hệ thống Firewall lựa chọn gồm có vấn đề sau:  Xây dựng hệ điều hành Linux Với vai trò Firewall gateway, hệ thống cần đặt vị trí thích hợp mạng Đối với mạng quy mơ vừa nhỏ, vị trí thích hợp để cài đặt hệ thống gateway Hệ thống Firewal lựa chọn Linux lý sau: - Mã nguồn mở miễn phí hồn toàn - Hỗ trợ mạng đầy đủ mạnh mẽ - Có thể tùy biến dễ dàng để cài đặt lên máy chuyên dùng - Đặc biệt khả lọc gói kernel  Sử dụng iptables làm cơng cụ thực thành phần lọc gói hệ thống Iptables phần mềm firewall mặc định hầu hết phát hành hệ điều hành Linux Iptables tương đối đơn giản sức mạnh kiểm chứng nhiều sản phẩm thương mại phát triển dựa 41 Astaro, SmoothWall, … Khi xây dựng giải pháp, Iptables lựa chọn cho thành phần lọc gói vì: - Mã nguồn mở, sẵn có với hầu hết Linux phổ biến - Hoạt động hiệu quả, có khả kiểm soạt tồn lưu thơng qua gateway - Hỗ trợ giao tiếp lập trình thơng qua thư viện libipq, kết hợp với inline-mode Snort 4.3 Mơ hình hệ thống Firewall Hình 4-1: Mơ hình tổng thể hệ thống Firewall Mạng chia làm miền: loc (local) server có địa 10.33.3.0/24 Các server mạng local chạy dịch vụ (DMZ) Cấu hình firewall cho phép địa IP client phép truy cập vào mạng Các IP lại khơng phép truy cập vào miền DMZ chạy dịch vụ để bảo vệ dịch vụ Net có địa chỉ: 192.168.99.0/24 Trong mơ hình mạng Net có địa IP 192.168.99.15 192.168.99.17 42 Ta cấu hình firewall cho có địa IP 192.168.99.15 phép sử dụng dịch vụ miền DMZ Để an toàn cho dịch vụ chạy bên trong, ta sử dụng kỹ thuật DNAT đển thay đổi địa đích gói tin qua firewall Bình thường, Linux server sử dụng port 22 cho dịch vụ SSH, FTP server sử dụng port 21 cho dịch vụ FTP, Web server sử dụng port 80 Trên Firewall ta sử dụng bảng ánh xạ Port có gói tin qua firewall 33226 10.33.3.226:22 4421 10.33.3.249:21 4141 10.33.3.48:3389 4480 10.33.3.80:226 4.4 Cấu hình Firewall 43 44 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN KẾT LUẬN Khóa luận tốt nghiệp đề cập đến phương pháp vượt tường lửa nói chung sâu nghiên cứu lý thuyết Firewall công cụ để xây dựng Firewall hoàn chỉnh Cụ thể khóa luận tốt nghiệp đạt số thành sau:  Tìm hiểu chung số phương pháp công vượt tường lửa  Đi sâu nghiên cứu lý thuyết Firewall cơng cụ liên quan nhằm mục đích xây dựng sản phẩm tường lửa  Tích hợp thành phần mã nguồn mở, xây dựng thành công hệ thống Firewall Bên cạnh đó, hạn chế thời gian trình độ nên khóa luận tốt nghiệp khơng tránh khỏi thiếu xót hạn chế cụ thể hạn chế là:  Hệ thống hoạt động chưa hiệu  Chính sách ngăn chặn phải người quản trị thiết lập Chưa xây dựng khả tổ chức luật người quản trị đưa vào nhằm tối ưu hoá luật  Hệ thống điều khiển chưa khai thác hết khả tùy biến Iptables  Hệ thống chưa có khả tích hợp với cơng cụ khác như: VPN (Virtual Private Network), IDS (Intrustion Detection System) vào hệ thống Firewall  Chưa khai thác triệt để sản phẩm mã nguồn mở chưa thực phát triển nhiều dựa sản phẩm 45 HƯỚNG PHÁT TRIỂN Trong tương lai, với mong muốn tiếp tục phát triển khóa luận tốt nghiệp thành sản phẩm Firewall hữu ích, ứng dụng rộng dãi, phục vụ cho việc đảm bảo an ninh thông tin Việt Nam, em xin đề xuất số hướng phát triển sau:  Tối ưu hóa cấu hình thành phần mã nguồn mở sử dụng để tăng hiệu độ tin cậy  Tiếp tục phát triển hệ thống điều khiển, tận dụng hết khả tùy biến hệ thống với giao diện khả tương tác thân thiện  Nghiên cứu chức quản lý luật người quản trị đưa vào hiệu hơn, có khả tối ưu hố luật người quản trị đưa vào  Nghiên cứu khả cứng hóa hệ thống thiết bị chuyên dụng hãng sản xuất thiết bị an ninh mạng Cisco hay Checkpoint 46 TÀI LIỆU THAM KHẢO [1] Nguyễn Thúc Hải (2001), Mạng máy tính hệ thống mở, NXB Giáo Dục [2] Nguyễn Thanh Thuỷ (2000), Quản trị Hệ thống Linux, NXB Khoa học kỹ thuật [3] D.Brent Chapman & Elizabeth D.Zwicky (1995) Building Internet Firewall, O’Reilly & Asscociates [4] Marcus Goncalves (1997) Firewalls Complete, Mc Graw Hill [5] Sturt McClure, Joel Scambray (1997) Hacking Expose, George Kurtz [8] http://iptables–tutorial.frozentux.net/iptables–tutorial.html [9] http://www.vnsecurity.com [10] http://www.yolinux.com/TUTORIALS/LinuxTutorialNetworking [11] http://smoothwall.org 47 ... CHƯƠNG 3: CÁC PHƯƠNG PHÁP TẤN CƠNG VƯỢT TƯỜNG LỬA 34 3.1 Tình hình thực tế an ninh mạng 34 3.2 Các mục tiêu cần bảo vệ 35 3.3 Các phương pháp công vượt tường lửa 36 3.3.1 Các. .. để vượt tường lửa Vì vậy, cần tìm hiểu rõ kỹ thuật để đưa biện pháp ngăn chặn, từ xây hệ thống tường lửa tối ưu Trên sở đó, em chọn khóa luận tốt nghiệp: Các phương pháp công vượt tường lửa ... Linux  Các kỹ thuật công vượt tường lửa  Thực xây dựng Firewall hệ điều hành Linux Đối tượng phạm vi nghiên cứu  Đối tượng nghiên cứu: Lý thuyết tường lửa phương pháp công vượt tường lửa  Phạm
- Xem thêm -

Xem thêm: Các phương pháp tấn công vượt tường lửa (2014) , Các phương pháp tấn công vượt tường lửa (2014)

Mục lục

Xem thêm

Gợi ý tài liệu liên quan cho bạn

Nhận lời giải ngay chưa đến 10 phút Đăng bài tập ngay