4 1. An toàn thông tin trên mng 1.1 Ti sao cn có Internet Firewall Hin nay, khái nim mng toàn cu - Internet không còn mi m. Nó ã tr nên ph bin ti mc không cn phi chú gii gì thêm trong nhng tp chí k thut, còn trên nhng tp chí khác thì tràn ngp nhng bài vit dài, ngn v Internet. Khi nhng tp chí thông thng chú tr ng vào Internet thì gi ây, nhng tp chí k thut li tp trung vào khía cnh khác: an toàn thông tin. ó cùng là mt quá trình tin trin hp logic: khi nhng vui thích ban u v mt siêu xa l thông tin, bn nht nh nhn thy r!ng không ch" cho phép bn truy nhp vào nhiu ni trên th gii, Internet còn cho phép nhiu ngi không mi mà t ý ghé thm máy tính ca bn. Thc vy, Internet có nhng k thut tuyt vi cho phép m i ngi truy nhp, khai thác, chia s thông tin. Nhng nó c#ng là nguy c chính d$n n thông tin ca bn b h h%ng ho&c phá hu' hoàn toàn. Theo s( liu ca CERT(Computer Emegency Response Team - “i cp cu máy tính”), s( lng các v tn công trên Internet c thông báo cho t chc này là ít hn 200 vào nm 1989, khong 400 vào nm 1991, 1400 vào nm 1993, và 2241 vào nm 1994. Nhng v tn công này nh!m vào tt c các máy tính có m&t trên Internet, các máy tính ca tt c các công ty ln nh AT&T, IBM, các trng i h c, các c quan nhà nc, các t chc quân s, nhà bng . Mt s( v tn công có quy mô khng l) (có ti 100.000 máy tính b tn công). Hn na, nhng con s( này ch" là phn ni ca tng bng. Mt phn rt ln các v tn công 5 không c thông báo, vì nhiu lý do, trong ó có th k n n*i lo b mt uy tín, ho&c n gin nhng ngi qun tr h th(ng không h hay bit nhng cuc tn công nh!m vào h th(ng ca h . Không ch" s( lng các cuc tn công tng lên nhanh chóng, mà các phng pháp tn công c#ng liên tc c hoàn thin. iu ó mt phn do các nhân viên qun tr h th(ng c kt n(i vi Internet ngày càng  cao cnh giác. C#ng theo CERT, nhng cuc tn công thi k+ 1988- 1989 ch yu oán tên ngi s dng-mt kh,u (UserID- password) ho&c s dng mt s( l*i ca các chng trình và h iu hành (security hole) làm vô hiu h th(ng bo v, tuy nhiên các cuc tn công vào thi gian gn ây bao g)m c các thao tác nh gi mo a ch" IP, theo dõi thông tin truyn qua mng, chim các phiên làm vic t- xa (telnet ho&c rlogin). 6 1.2 Bn mun bo v cái gì? Nhim v c bn ca Firewall là bo v. Nu bn mu(n xây dng firewall, vic u tiên bn cn xem xét chính là bn cn bo v cái gì. 1.2.1 D liu ca bn Nhng thông tin lu tr trên h th(ng máy tính cn c bo v do các yêu cu sau:  Bo mt: Nhng thông tin có giá tr v kinh t, quân s, chính sách vv . cn c gi kín.  Tính toàn v.n: Thông tin không b mt mát ho&c sa i, ánh tráo.  Tính kp thi: Yêu cu truy nhp thông tin vào úng thi im cn thit. Trong các yêu cu này, thông thng yêu cu v bo mt c coi là yêu cu s( 1 (i vi thông tin lu tr trên mng. Tuy nhiên, ngay c khi nhng thông tin này không c gi bí mt, thì nhng yêu cu v tính toàn v.n c#ng rt quan tr ng. Không mt cá nhân, mt t chc nào lãng phí tài nguyên vt cht và thi gian  lu tr nhng thông tin mà không bit v tính úng n ca nhng thông tin ó. 1.2.2 Tài nguyên ca bn Trên thc t, trong các cuc tn công trên Internet, k tn công, sau khi ã làm ch c h th(ng bên trong, có th s dng các máy này  phc v cho mc ích ca mình nh chy các chng trình dò mt kh,u ngi s dng, s dng các liên kt mng s/n có  tip tc tn công các h th(ng khác vv . 7 1.2.3 Danh ting ca bn Nh trên ã nêu, mt phn ln các cuc tn công không c thông báo rng rãi, và mt trong nhng nguyên nhân là n*i lo b mt uy tín ca c quan, &c bit là các công ty ln và các c quan quan tr ng trong b máy nhà nc. Trong trng hp ngi qun tr h th(ng ch" c bit n sau khi chính h th(ng ca mình c dùng làm bàn p  tn công các h th(ng khác, thì tn tht v uy tín là rt ln và có th  li hu qu lâu dài. 8 1.3 Bn mun bo v chng li cái gì? Còn nhng gì bn cn phi lo lng. Bn s0 phi ng u vi nhng kiu tn công nào trên Internet và nhng k nào s0 thc hin chúng? 1.3.1 Các kiu tn công Có rt nhiu kiu tn công vào h th(ng, và có nhiu cách  phân loi nhng kiu tn công này.  ây, chúng ta chia thành 3 kiu chính nh sau: 1.3.1.1 Tn công trc tip Nhng cuc tn công trc tip thông thng c s dng trong giai on u  chim c quyn truy nhp bên trong. Mt phng pháp tn công c in là dò c&p tên ngi s dng-mt kh,u. ây là phng pháp n gin, d1 thc hin và không òi h%i mt iu kin &c bit nào  bt u. K tn công có th s dng nhng thông tin nh tên ngi dùng, ngày sinh, a ch", s( nhà vv  oán mt kh,u. Trong trng hp có c danh sách ngi s dng và nhng thông tin v môi trng làm vic, có mt trng trình t ng hoá v vic dò tìm mt kh,u này. mt trng trình có th d1 dàng ly c t- Internet  gii các mt kh,u ã mã hoá ca các h th(ng unix có tên là crack, có kh nng th các t hp các t- trong mt t- in ln, theo nhng quy tc do ngi dùng t nh ngha. Trong mt s( trng hp, kh nng thành công ca phng pháp này có th lên ti 30%. Phng pháp s dng các l*i ca chng trình ng dng và bn thân h iu hành ã c s dng t- nhng v tn công u tiên và v$n c tip tc  chim quyn truy 9 nhp. Trong mt s( trng hp phng pháp này cho phép k tn công có c quyn ca ngi qun tr h th(ng (root hay administrator). Hai ví d thng xuyên c a ra  minh ho cho phng pháp này là ví d vi chng trình sendmail và chng trình rlogin ca h iu hành UNIX. Sendmail là mt chng trình phc tp, vi mã ngu)n bao g)m hàng ngàn dòng lnh ca ngôn ng C. Sendmail c chy vi quyn u tiên ca ngi qun tr h th(ng, do chng trình phi có quyn ghi vào hp th ca nhng ngi s dng máy. Và Sendmail trc tip nhn các yêu cu v th tín trên mng bên ngoài. ây chính là nhng yu t( làm cho sendmail tr thành mt ngu)n cung cp nhng l* hng v bo mt  truy nhp h th(ng. Rlogin cho phép ngi s dng t- mt máy trên mng truy nhp t- xa vào mt máy khác s dng tài nguyên ca máy này. Trong quá trình nhn tên và mt kh,u ca ngi s dng, rlogin không kim tra  dài ca dòng nhp, do ó k tn công có th a vào mt xâu ã c tính toán trc  ghi è lên mã chng trình ca rlogin, qua ó chim c quyn truy nhp. 1.3.1.2 Nghe trm Vic nghe trm thông tin trên mng có th a li nhng thông tin có ích nh tên-mt kh,u ca ngi s dng, các thông tin mt chuyn qua mng. Vic nghe trm thng c tin hành ngay sau khi k tn công ã chim c quyn truy nhp h th(ng, thông qua các chng trình cho phép a v" giao tip mng (Network Interface Card-NIC) vào ch  nhn toàn b các thông tin lu truyn trên mng. 10 Nhng thông tin này c#ng có th d1 dàng ly c trên Internet. 1.3.1.3 Gi mo a ch Vic gi mo a ch" IP có th c thc hin thông qua vic s dng kh nng d$n ng trc tip (source- routing). Vi cách tn công này, k tn công gi các gói tin IP ti mng bên trong vi mt a ch" IP gi mo (thông thng là a ch" ca mt mng ho&c mt máy c coi là an toàn (i vi mng bên trong), )ng thi ch" rõ ng d$n mà các gói tin IP phi gi i. 1.3.1.4 Vô hiu hoá các chc nng ca h thng (denial of service) ây là ku tn công nh!m tê lit h th(ng, không cho nó thc hin chc nng mà nó thit k. Kiu tn công này không th ngn ch&n c, do nhng phng tin c t chc tn công c#ng chính là các phng tin  làm vic và truy nhp thông tin trên mng. Ví d s dng lnh ping vi t(c  cao nht có th, buc mt h th(ng tiêu hao toàn b t(c  tính toán và kh nng ca mng  tr li các lnh này, không còn các tài nguyên  thc hin nhng công vic có ích khác. 1.3.1.5 Li ca ngi qun tr h thng ây không phi là mt kiu tn công ca nhng k t nhp, tuy nhiên l*i ca ngi qun tr h th(ng thng to ra nhng l* hng cho phép k tn công s dng  truy nhp vào mng ni b. 11 1.3.1.6 Tn công vào yu t con ngi K tn công có th liên lc vi mt ngi qun tr h th(ng, gi làm mt ngi s dng  yêu cu thay i mt kh,u, thay i quyn truy nhp ca mình (i vi h th(ng, ho&c thm chí thay i mt s( cu hình ca h th(ng  thc hin các phng pháp tn công khác. Vi kiu tn công này không mt thit b nào có th ngn ch&n mt cách hu hiu, và ch" có mt cách giáo dc ngi s dng mng ni b v nhng yêu cu bo mt   cao cnh giác vi nhng hin tng áng nghi. Nói chung yu t( con ngi là mt im yu trong bt k+ mt h th(ng bo v nào, và ch" có s giáo dc cng vi tinh thn hp tác t- phía ngi s dng có th nâng cao c  an toàn ca h th(ng bo v. 1.3.2 Phân loi k tn công Có rt nhiu k tn công trên mng toàn cu – Internet và chúng ta c#ng không th phân loi chúng mt cách chính xác, bt c mt bn phân loi kiu này c#ng ch" nên c xem nh là mt s gii thiu hn là mt cách nhìn rp khuôn. 1.3.2.1 Ngi qua ng Ngi qua ng là nhng k bu)n chán vi nhng công vic thng ngày, h mu(n tìm nhng trò gii trí mi. H t nhp vào máy tính ca bn vì h ngh bn có th có nhng d liu hay, ho&c bi vì h cm thy thích thú khi s dng máy tính ca ngi khác, ho&c ch" n gin là h không tìm c mt vic gì hay hn  làm. H có th là ngi tò mò nhng không ch nh làm hi bn. Tuy nhiên, h thng gây h h%ng h th(ng khi t nhp hay khi xoá b% du vt ca h . 12 1.3.2.2 K phá hoi K phá hoi ch nh phá hoi h th(ng ca bn, h có th không thích bn, h c#ng có th không bit bn nhng h tìm thy nim vui khi i phá hoi. Thông thng, trên Internet k phá hoi khá him. M i ngi không thích h . Nhiu ngi còn thích tìm và ch&n ng nhng k phá hoi. Tuy ít nhng k phá hoi thng gây h%ng trm tr ng cho h th(ng ca bn nh xoá toàn b d liu, phá h%ng các thit b trên máy tính ca bn . 1.3.2.3 K ghi im Rt nhiu k qua ng b cu(n hút vào vic t nhp, phá hoi. H mu(n c kh2ng nh mình thông qua s( lng và các kiu h th(ng mà h ã t nhp qua. t nhp c vào nhng ni ni ting, nhng ni phòng b ch&t ch0, nhng ni thit k tinh xo có giá tr nhiu im (i vi h . Tuy nhiên h c#ng s0 tn công tt c nhng ni h có th, vi mc ích s( lng c#ng nh mc ích cht lng. Nhng ngi này không quan tâm n nhng thông tin bn có hay nhng &c tính khác v tài nguyên ca bn. Tuy nhiên  t c mc ích là t nhp, vô tình hay hu ý h s0 làm h h%ng h th(ng ca bn. 1.3.2.4 Gián ip Hin nay có rt nhiu thông tin quan tr ng c lu tr trên máy tính nh các thông tin v quân s, kinh t . Gián ip máy tính là mt vn  phc tp và khó phát hin. Thc t, phn ln các t chc không th phòng th kiu tn công này mt cách hiu qu và bn có th chc r!ng ng liên kt 13 vi Internet không phi là con ng d1 nht  gián ip thu lm thông tin. [...]... là: 18 ch(ng l i m b o an ninh Bastion host luôn ch y các version an toàn (secure version) c a các ph n m m h th(ng (Operating system) Các version an toàn này c thi t k chuyên cho m c ích ch(ng l i s System, c#ng nh là t n công vào Operating m b o s tích h p firewall Ch" nh ng d ch v mà ng i qu n tr m ng cho là c n c cài &t trên bastion host, thi t m i n u m t d ch v không công Thông th n gi n ch" vì... t k trong xây d ng ng n ch&n, h n ch ho ho n Trong công ngh m ng thông tin, Firewall là m t k thu t tích h p vào h th(ng m ng c ch(ng s truy c p trái phép nh!m b o v các ngu)n thông tin n i b c#ng nh h n ch s xâm nh p vào h th(ng c a m t s( thông tin khác không mong mu(n C#ng có th hi u r!ng Firewall là m t c ch b o v m ng tin t không tin t ng (trusted network) kh%i các m ng ng (untrusted network) Internet... p nh n nh ng truy n thông n i b xu t phát t- bastion host u i m: 25 Máy ch cung c p các thông tin công c ng qua d ch v Web và FTP có th bastion Trong tr &t trên packet-filtering router và ng h p yêu c u an toàn cao nh t, bastion host có th ch y các d ch v proxy yêu c u t t c các user c trong và ngoài truy nh p qua bastion host tr khi n(i v i máy ch Tr ng h p không yêu c u c an toàn cao thì các máy... không thông minh nh con ng i có th c hi u t-ng lo i thông tin và phân tích n i dung t(t hay x u c a nó Firewall ch" có th ng n ch&n s xâm nh p c a nh ng ngu)n thông tin không mong mu(n nh ng ph i xác nh rõ các thông s( a ch" Firewall không th ng n ch&n m t cu c t n công n u cu c t n công này không " i qua" nó M t cách c th , firewall không th ch(ng l i m t cu c t n công t- m t ng dial-up, ho&c s dò r" thông. .. packet header, và các giá tr c th mà h có th nh n trên m*i tr ng Khi òi h%i v s l c càng l n, các lu t l v l c càng tr nên dài và ph c t p, r t khó qu n lý và i u khi n Do làm vi c d a trên header c a các packet, rõ ràng là b l c packet không ki m soát c n i dung thông tin c a packet Các packet chuy n qua v$n có th mang theo nh ng hành ng v i ý ) n c p thông tin hay phá ho i c a k x u 1.4.4.2 C ng ng d... n c ng+ph n m m) gi a m ng c a m t t ch c, m t công ty, hay m t qu(c gia (Intranet) và Internet Nó th c hi n vai trò b o m t các thông tin Intranet t- th gi i Internet bên ngoài 1.4.2 Ch c n ng Internet Firewall (t- nay v sau g i t t là firewall) là m t thành ph n &t gi a Intranet và Internet ki m soát t t c các vi c l u thông và truy c p gi a chúng v i nhau bao g)m: • Firewall quy t nh nh ng d ch... trong i nào tbên c phép firewall làm vi c hi u qu , t t c trao • t- trong ra ngoài và ng c l i i thông tin u ph i th c hi n thông qua Firewall • Ch" có nh ng trao i nào c phép b i ch c a h th(ng m ng n i b m i an ninh c quy n l u thông qua Firewall ) ch c n ng h th(ng c a firewall S c mô t nh trong hình 2.1 Intranet Internet firewall Hình 2.1 S ) ch c n ng h th(ng c a firewall 1.4.3 C u trúc Firewall bao... i u khi n DMZ truy nh p m ng n i b ch" v i nh ng truy n thông b t u t- bastion host V i nh ng thông tin i, router trong i u khi n m ng n i b truy nh p t i DMZ Nó ch" cho phép các h th(ng bên trong truy nh p bastion host và có th c information server Quy lu t filtering trên router ngoài yêu c u s dung dich v proxy b!ng cách ch" cho phép thông tin ra b t ngu)n tbastion host 27 u i m: K t n công c n phá... th c c cài &t trên bastion host user là Bastion host có th yêu c u nhi u m c xác th c khác nhau, ví d nh user password hay smart card c &t c u hình M*i proxy m t s) các máy ch nh t nh cho phép truy nh p ch" i u này có ngh a r!ng b l nh và &c i m thi t l p cho m*i proxy ch" úng v i m t s( máy ch trên toàn h th(ng M*i proxy duy trì m t quy n nh t ký ghi chép l i toàn b chi ti t c a giao thông qua nó,... outside client Outside client thì tin r!ng Telnet proxy là máy ch th t bên trong, trong khi máy ch bên trong thì tin r!ng Telnet proxy là client th t 1.4.4.2.2 3u i m: Cho phép ng i qu n tr m ng hoàn toàn i u khi n c t-ng d ch v trên m ng, b i vì ng d ng proxy h n ch b l nh và quy t th truy nh p Cho phép ng nh nh ng máy ch nào có c b i các d ch v i qu n tr m ng hoàn toàn i u khi n c nh ng d ch v nào . khía cnh khác: an toàn thông tin. ó cùng là mt quá trình tin trin hp logic: khi nhng vui thích ban u v mt siêu xa l thông tin, bn nht nh. Nghe trm Vic nghe trm thông tin trên mng có th a li nhng thông tin có ích nh tên-mt kh,u ca ngi s dng, các thông tin mt chuyn qua mng.