Đề tài Tìm hiểu Firewall

MỤC LỤC LỜI MỞ ĐẦU Trong thực tế hiện nay bảo mật thông tin đang đóng một vai trò thiết yếu chứ không còn là “thứ yếu” trong mọi hoạt động liên quan đến việc ứng dụng công nghệ thông tin. Tôi muốn nói đến vai trò to lớn của việc ứng dụng CNTT đã và đang diễn ra sôi động, không chỉ thuần túy là những công cụ (Hardware, software), mà thực sự đã được xem như là giải pháp cho nhiều vấn đề. Khởi động từ những năm đầu thập niên 90, với một số ít chuyên gia về CNTT, những hiểu biết còn hạn chế và đưa CNTT ứng dụng trong các hoạt động sản xuất, giao dịch, quản lý còn khá khiêm tốn và chỉ dừng lại ở mức công cụ, và đôi khi tôi còn nhận thấy những công cụ “đắt tiền” này còn gây một số cản trở, không đem lại những hiệu quả thiết thực cho những Tổ chức sử dụng nó. Internet cho phép chúng ta truy cập tới mọi nơi trên thế giới thông qua một số dịch vụ. Ngồi trước máy tính của mình bạn có thể biết được thông tin trên toàn cầu, nhưng cũng chính vì thế mà hệ thống máy tính của bạn có thể bị xâm nhập vào bất kỳ lúc nào mà bạn không hề được biết trước. Do vậy việc bảo vệ hệ thống là một vấn đề chúng ta đáng phải quan tâm. Người ta đã đưa ra khái niệm FireWall để giải quyết vấn đề này. Để làm rõ các vấn đề này thì đồ án “ Tìm hiểu Firewall ” sẽ cho chúng ta cái nhìn sâu hơn về khái niệm, cũng như chức năng của Firewall. Trong quá trình làm đồ án tuy đã cố gắng hết sức nhưng không thể tránh khỏi được những thiếu sót. Rất mong nhận được ý kiến giúp đỡ của thầy cô để em sẽ làm tốt hơn trong các đề tài lần sau. Cuối cùng Tôi xin chân thành cảm ơn thầy NGUYỄN KIM TUẤN và các thầy cô khoa CNTT đã hướng dẫn Tôi hoàn thành đồ án của mình. ĐN, tháng ..... năm 2012 Sinh viên thực hiện Phan Dũng Sỹ I. Mục tiêu Đồ án này sẽ giúp cho chúng ta biết được các quá trình cần thiết để thiết kế nên 1 hệ thống mạng. Giúp ta biết sâu hơn về khái niệm cũng như chức năng Firewall. II. Phương pháp nghiên cứu Đọc kỹ và nắm bắt được các yêu cầu của đồ án đề ra. Đi sâu trong việc tìm kiếm tài liệu và trình bày một cách hợp lý nhất. Chăm chú lắng nghe và tiếp thu những ý kiến đóng góp của giáo viên hướng dẫn. III. Bố cục Nội dung của đồ án này được chia làm 3 chương như sau: Chương 1: Ta tìm hiểu về tổng quan bảo mật mạng Chương 2: Ta tìm hiểu về tổng quan Firewall Chương 3: Ta sẽ đi cài đặt một giải pháp Firewall cho doanh nghiệp nhỏ. DANH MỤC HÌNH VẼ SỐ HIỆU MÔ TẢ TRANG Hình 1.1 Các mức an toàn thông tin trên mạng 15 Hình 1.2 Mô hình VPN client to site 24 Hình 1.3 Mô hình VPN site-to-site 25 Hình 1.4 Mô hình tổng quát Firewall 26 Hình 1.5 Hệ thống chống xâm nhập IDS 27 Hình 2.1 Firewall được đặt ở giữa mạng riêng và mạng công cộng 32 Hình 2.2 Mạng gồm có Firewall và các máy chủ 33 Hình 2.3 Sử dụng nhiều Firewall nhằm tăng khả năng bảo mật 34 Hình 2.4 Packet filtering firewall 41 Hình 2.5 Circuit level gateway 41 Hình 2.6 Application-proxy firewall 42 Hình 2.7 Kiến trúc của hệ thống sử dụng Firewall 43 Hình 2.8 Cấu trúc chung của một hệ thống Firewall 43 Hình 2.9 Kiến trúc Dual - Homed host 45 Hình 2.10 Kiến trúc Screened host 47 Hình 2.11 Kiến trúc Screened Subnet 48 Hình 3.1 Mô hình triển khai ISA Server giữa Internal Network và Internet 52 Hình 3.2 Sơ đồ ban đầu của toà nhà 56 Hình 3.3 Mô hình logic 57 Hình 3.4 Các hình chú thích về thiết kế 58 Hình 3.5 Mô hình vật lý ở Tầng 1 58 Hình 3.6 Mô hình vật lý ở Tầng 2 56 Hình 3.7 Mô hình vật lý ở Tầng 3 60 TỪ VIẾT TẮT SỐ HIỆU CỤM TỪ VIẾT TẮT 1 Network Interface Controller NIC 2 Internet Protocol IP 3 Local Area Network LAN 4 Demilitarized Zone DMZ 5 File Transfer Protocol FTP 6 Simple Mail Transfer Protocol SMTP 7 Open Systems Interconnection OSI 8 Hypertext Transfer Protocol HTTP 9 Transmission Control Protocol TCP 10 Asymmetric Digital Subscriber Line ADSL 11 Personal Computer PC 12 Domain Name System DNS 13 Random Access Memory RAM 14 Internet Security and Acceleration ISA 15 Virtual Private Network VPN 16 Network Address Translation NAT 17 Wide Area Network WAN 18 Operating System OS 19 Post Office Protocol POP 20 Internet Message Access Protocol IMAP CHƯƠNG I: TỔNG QUAN VỀ BẢO MẬT MẠNG I.1. GIỚI THIỆU VỀ BẢO MẬT Internet phát triển, sự kết nối trên toàn thế giới đang mang lại thuận tiện cho tất cả mọi người. Nhưng bên cạnh đó nó cũng mang tiềm ẩn những nguy cơ đe dọa đến mọi mặt của đời sống xã hội. Việc mất trộm thông tin trên mạng gây ảnh hưởng đến tính riêng tư cho các cá nhân, những vụ lừa đảo, tấn công từ chối dịch vụ gây ảnh hưởng lớn đến hoạt động kinh doanh cũng như người sử dụng Internet làm cho vấn đề bảo mật trên mạng luôn là vấn đề nóng và được quan tâm đến trong mọi thời điểm. Vấn đề bảo mật được đặt ra và những đóng góp lớn trong việc hạn chế và ngăn chặn bảo mật, ví dụ như Firewall ngăn chặn những kết nối không đáng tin cậy, mã hóa làm tăng độ an toàn cho việc truyền dữ liệu, các chương trình diệt virus với cơ sở dữ liệu liên tục cập nhật…Tuy nhiên hiện nay, các vụ vi phạm bảo mật xảy ra ngày càng tinh vi cùng với sự gia tăng những vụ lạm dụng. Những điều này dẫn đến yêu cầu cần phải có một phương pháp bảo mật mới bỗ trợ cho những phương pháp bảo mật truyền thống. Hệ thống phát hiện xâm nhập IDS là một phương pháp bảo mật có khả năng chống lại các kiểu tấn công, các vụ lạm dụng… Từ những vấn đề nêu trên, tôi thực hiện đồ án này với mong muốn không chỉ nghiên cứu những đặc trưng cơ bản của hệ thống phát hiện xâm nhập IDS với vai trò bảo mật mà còn có thể xây dựng một phần mềm IDS phù hợp với điều kiện Việt Nam và qua đó ứng dụng vào thực tiễn nhằm đảm bảo an toàn cho hệ thống và chất lượng dịch vụ cho người dùng. I.1.1. Khái niệm Bảo mật là sự hạn chế khả năng lạm dụng tài nguyên và tài sản. Hạn chế ở đây có nghĩa là không thể triệt phá hết ngay việc lạm dụng, cho nên cần sẵn sàng đề phòng mọi khả năng xấu. Ngoài ra, cần phải phân tích chính xác các cuộc tấn công, các điểm yếu của hệ thống và tăng cường bảo mật những vùng cần thiết để làm giảm thiệt hại gây nên từ các cuộc tấn công. Khái niệm bảo mật thành 3 lĩnh vực chính : Bảo mật máy tính (Computer Security) – Là một tiến trình ngăn chặn và phát hiện sử dụng không hợp pháp vào máy tính của bạn bằng cách lựa chọn các công cụ thiết kế để bảo vệ dữ liệu và tấn công của hackers. Bảo mật mạng (Network Security) – Là các phương pháp để bảo vệ dữ liệu trong suốt quá trình chuyển động của chúng. Bảo mật Internet (Internet Security) – Là các phương pháp để bảo vệ dữ liệu trong suốt quá trình vận chuyển của chúng ra ngoài đến kết nối internet. Trọng tâm của chương này chúng ta quan tâm đến các vấn đề tổng quát về bảo mật mạng (Mạng và Internet). Bao gồm các giải pháp để ngăn chặn, phòng ngừa, phát hiện và hiệu chỉnh các vi phạm bảo mật mà có liên quan đến trao đổi thông tin. I.1.2. Tính an toàn của hệ thống mạng Sự an toàn của hệ thống mạng được thể hiện qua 3 vấn đề chính : Thông tin - bí mật : Thông tin chỉ cung cấp tới những người một cách chính đáng khi có sự truy nhập hợp pháp tới nó. Thông tin - Toàn vẹn : Thông tin chỉ được điểu khiển (sửa đổi, thay thế v.v…) bởi những người được quyền ủy thác. Thông tin - sẵn sàng : Thông tin có thể tiếp cận đối với những người mà cần nó khi có yêu cầu. Do đó, để đánh giá sự bảo mật của hệ thống mạng, người ta thường quan tâm đến các khía cạnh sau : Xác thực (Authentication): là các tiền trình xử lý nhằm xác định nhận dạng thực thể liên kết. Thực thể đó có thể là người dùng độc lập hay tiến trình của phần mềm. Ủy quyền (Authorization): là các luật xác định ai có quyền truy nhập vào các tài nguyên của hệ thống. Tính bảo mật (Confidentiality): nhằm đảm bảo dữ liệu được bảo vệ khỏi những nhóm không được phép truy nhập. Tính toàn vẹn (Integrity): hệ thống đảm bảo tính toàn vẹn của dữ liệu, ngăn sự thay đổi dữ liệu trái phép. Sự thay đổi bao gồm tạo, ghi, sửa, xóa và xem lại những thông điệp đã được truyền. - Tính sẵn sàng (Availability): yêu cầu tài sản hệ máy tính là sẵn sàng đối với nhóm được phép. Mục tiêu của kiểu tấn công từ chối dịch vụ DoS là phá hoại tính sẵn sàng của tài nguyên hệ thống. I.1.3. Nguyên tắc bảo vệ hệ thống mạng I.1.3. 1. Hoạch định hệ thống bảo vệ mạng Trong môi trường mạng, phải có sự đảm bảo rằng những dữ liệu có tính bí mật phải được cất giữ riêng, sao cho chỉ có người có thẩm quyền mới được phép truy cập chúng. Bảo mật thông tin là việc làm quan trọng, và việc bảo vệ hoạt động mạng cũng có tầm quan trong không kém. Mạng máy tính cần được bảo vệ an toàn, tránh khỏi những hiểm hoạ do vô tình hay cố ý. Tuy nhiên một nhà quản trị mạng cần phải biết bất cứ cái gì cũng có mức độ, không nên thái quá. Mạng không nhất thiết phải được bảo vệ quá cẩn mật, đến mức người dùng luôn gặp khó khăn khi truy nhập mạng để thực hiện nhiệm vụ của mình. Không nên để họ thất vọng khi cố gắng truy cập các tập tin của chính mình. Bốn hiểm hoạ chính đối với sự an ninh của mạng là: Truy nhập mạng bất hợp pháp. Sự can thiệp bằng phương tiện điện tử. Kẻ trộm. Tai họa vô tình hoặc có chủ ý. Mức độ bảo mật: Tuỳ thuộc vào dạng môi trường trong đó mạng đang hoạt động. Chính sách bảo mật: Hệ thống mạng đòi hỏi một tập hợp nguyên tắc, điều luật và chính sách nhằm loại trừ mọi rủi ro. Giúp hướng dẫn vượt qua các thay đổi và những tình huống không dự kiến trong quá trình phát triển mạng. Đào tạo: Người dùng mạng được đào tạo chu đáo sẽ có ít khả năng vô ý phá huỷ một tài nguyên. An toàn cho thiết bị: Tuỳ thuộc ở quy mô công ty, độ bí mật dữ liệu, các tài nguyên khả dụng. Trong môi trường mạng ngang hàng, có thể không có chính sách bảo vệ phần cứng có tổ chức nào. Người dùng chịu trách nhiệm đảm bảo an toàn cho máy tính và dữ liệu của riêng mình. I.1.3.2 Mô hình bảo mật Hai mô hình bảo mật khác nhau đã phát triển, giúp bảo vệ an toàn dữ liệu và tài nguyên phần cứng: Bảo vệ tài nguyên dùng chung bằng mật mã: Gắn mật mã cho từng tài nguyên dùng chung. - Truy cập khi được sự cho phép: Là chỉ định một số quyền nhất định trên cơ sở người dùng, kiểm tra truy nhập tài nguyên dùng chung căn cứ vào CSDL user-access trên máy server. I.1.3.3 Nâng cao mức độ bảo mật Kiểm toán: Theo dõi hoạt động trên mạng thông qua tài khoản người dùng, ghi lại nhiều dạng biến cố chọn lọc vào sổ nhật ký bảo mật của máy server. Giúp nhận biết các hoạt động bất hợp lệ hoặc không chủ định. Cung cấp các thông tin về cách dùng trong tình huống có phòng ban nào đó thu phí sử dụng một số tài nguyên nhất định, và cần quyết định phí của những tài nguyên này theo cách thức nào đó. Máy tính không đĩa: Không có ổ đĩa cứng và ổ mềm. Có thể thi hành mọi việc như máy tính thông thường, ngoại trừ việc lưu trữ dữ liệu trên đĩa cứng hay đĩa mềm cục bộ. Không cần đĩa khởi động. Có khả năng giao tiếp với server và đăng nhập nhờ vào một con chip ROM khởi động đặc biệt được cài trên card mạng. Khi bật máy tính không đĩa, chip ROM khởi động phát tín hiệu cho server biết rằng nó muốn khởi động. Server trả lời bằng cách tải phần mềm khởi động vào RAM của máy tính không đĩa và tự động hiển thị màn hình đăng nhập . Khi đó máy tính được kết nối với mạng. Mã hoá dữ liệu: Đó là mã hoá thông tin sang dạng mật mã bằng một phương pháp nào đó sao cho đảm bảo thông tin đó không thể nhận biết được nếu nơi nhận không biết cách giải mã. Một người sử dụng hay một host có thể sử dụng thông tin mà không sợ ảnh hưởng đến người sử dụng hay một host khác. Chống virus : Ngăn không cho virus hoạt động. Sửa chữa hư hại ở một mức độ nào đó. Chặn đứng virus sau khi nó bộc phát. Ngăn chặn tình trạng truy cập bất hợp pháp là một trong những giải pháp hiệu nghiệm nhất để tránh virus. Do biện pháp chủ yếu là phòng ngừa, nên người quản trị mạng phải bảo đảm sao cho mọi yếu tố cần thiết đều đã sẵn sàng: Mật mã để giảm khả năng truy cập bất hợp pháp. Chỉ định các đặc quyền thích hợp cho mọi người dùng. Các profile để tổ chức môi trường mạng cho người dùng có thể lập cấu hình và duy trì môi trường đăng nhập, bao gồm các kết nối mạng và những khoản mục chương trình khi người dùng đăng nhập. Một chính sách quyết định có thể tải phần mềm nào. I.1.4. Kiến trúc bảo mật của hệ thống mạng I.1.4.1. Các mức an toàn thông tin trên mạng Hình 1.1. Các mức an toàn thông tin trên mạng An toàn hay bảo mật không phải là một sản phẩm, nó cũng không phải là một phần mềm. Nó là một cách nghĩ. Sự an toàn có thể được khởi động và dường như một dịch vụ. Bảo mật là cách an toàn. Tài liệu bảo mật là tư liệu mà những thành viên của tổ chức muốn bảo vệ. Trách nhiệm của việc bảo mật là người quản trị mạng. Sự an toàn mạng có vai trò quan trọng tối cao. Cơ chế bảo mật cần phải bao gồm cấu hình mạng của Server, chu vi ứng dụng của tổ chức mạng và thậm chí của những Client truy nhập mạng từ xa. Có vài cách mà ta cần phải xem xét: Sự an toàn vật lý. An toàn hệ thống. An toàn mạng. An toàn các ứng dụng. Sự truy nhập từ xa và việc chấp nhận. Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo ra sự ngưng trệ của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy nhập không hợp pháp vào hệ thống. Các lỗ hổng cũng có thể nằm ngay ở các dịch vụ cung cấp như sendmail, web, ftp ... Ngoài ra các lỗ hổng còn tồn tại ngay chính tại hệ điều hành như trong Windows NT, Windows 95, XP, UNIX hoặc trong các ứng dụng mà người sử dụng thường xuyên sử dụng như Word processing, các hệ databases ... I.1.4.2. Ảnh hưởng của các lỗ hổng mạng Ở phần trên đã phân tích một số trường hợp có những lỗ hổng bảo mật, những kẻ tấn công có thể lợi dụng những lỗ hổng này để tạo ra những lỗ hổng khác tạo thành một chuỗi mắt xích những lỗ hổng. Ví dụ, một kẻ phá hoại muốn xâm nhập vào hệ thống mà không có tài khoản truy nhập hợp lệ trên hệ thống đó. Trong trường hợp này, trước tiên kẻ phá hoại sẽ tìm ra các điểm yếu trên hệ thống, hoặc từ các chính sách bảo mật, hoặc sử dụng các công cụ dò xét thông tin trên hệ thống đó để đạt được quyền truy nhập vào hệ thống. Sau khi mục tiêu duy nhất đã đạt được, kẻ phá hoại có thể tiếp tục tìm hiểu các dịch vụ trên hệ thống, nắm bắt được các điểm yếu và thực hiện các hành động phá hoại tinh vi hơn. Tuy nhiên, có phải bất kỳ lỗ hổng bảo mật nào cùng nguy hiểm đến hệ thống hay không. Có rất nhiều thông báo liên quan đến lỗ hổng bảo mật trên mạng Internet, hầu hết trong số đó là các lỗ hổng loại C, là không đặc biệt nguy hiểm đối với hệ thống. Ví dụ, khi những lỗ hổng về sendmail được thông báo trên mạng, không phải ngay lập tức ảnh hưởng trên toàn bộ hệ thống. Khi những thông báo về lỗ hổng được khẳng định chắc chắn, các nhóm tin sẽ đưa ra một số phương pháp để khắc phục hệ thống. I.2. NHỮNG NGUY CƠ VÀ MỐI ĐE DỌA ĐỐI VỚI BẢO MẬT Theo đánh giá của tổ chức CERT, các nguy cơ an ninh xuất hiện từ khả năng : Sự lạm dụng của máy tính của các bạn bởi những người làm phiền qua Internet. Đối mặt thường xuyên khi làm việc trên Internet. Sự ngẫu nhiên do khi cài đặt các phần mềm hay sử dụng các dịch vụ không chính thống v.v… Chính các nguy cơ này làm bộc lỗ những điểm trong các hệ thống máy tính ( chẳng hạn như các lỗ hỗng) mà kẻ xấu có thể lợi dụng để truy cập bất hợp pháp hoặc hợp pháp vào máy tính của bạn. Các lỗ hỗng này trên mạng là các yếu điểm quan trọng mà người dùng, hacker dựa đó để tấn công vào mạng. Các hiện tượng sinh ra trên mạng do các lỗ hổng này mang lại thường là : sự ngưng trệ của dịch vụ, cấp thêm quyền đối với các user hoặc cho phép truy nhập không hợp pháp vào hệ thống. Hiện nay trên thế giới có nhiều cách phân lọai khác nhau về lỗ hổng của hệ thống mạng. Dưới đây là cách phân loại sau đây được sử dụng phổ biến theo mức độ tác hại hệ thống, do Bộ quốc phòng Mỹ công bố năm 1994. I.2.1. Các lỗ hổng loại C Các lỗ hổng loại này cho phép thực hiện các phương thức tấn công theo DoS (Denial of Services - Từ chối dịch vụ). Mức độ nguy hiểm thấp, chỉ ảnh hưởng tới chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống, không làm phá hỏng dữ liệu hoặc đạt được quyền truy nhập bất hợp pháp DoS là hình thức tấn công sử dụng các giao thức ở tầng Internet trong bộ giao thức TCP/IP để làm hệ thống ngưng trệ dẫn đến tình trạng từ chối người sử dụng hợp pháp truy nhập hay sử dụng hệ thống. Một số lượng lớn các gói tin được gửi tới server trong khoảng thời gian liên tục làm cho hệ thống trở nên quá tải, kết quả là server đáp ứng chậm hoặc không thể đáp ứng các yêu cầu từ client gửi tới. Tuy nhiên, mức độ nguy hiểm của các lỗ hổng loại này được xếp loại C, ít nguy hiểm vì chúng chỉ làm gián đoạn cung cấp dịch vụ của hệ thống trong một thời gian mà không làm nguy hại đến dữ liệu và những kẻ tấn công cũng không đạt được quyền truy nhập bất hợp pháp vào hệ thống. I.2.2. Các lỗ hổng loại B Các lỗ hổng cho phép người sử dụng có thêm các quyền trên hệ thống mà không cần thực hiện kiểm tra tính hợp lệ. Đối với dạng lỗ hổng này, mức độ nguy hiểm ở mức độ trung bình. Những lỗ hổng này thường có trong các ứng dụng trên hệ thống, có thể dẫn đến mất hoặc lộ thông tin yêu cầu bảo mật. Các lỗ hổng loại B có mức độ nguy hiểm hơn lỗ hổng loại C, cho phép người sử dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập không hợp pháp. Những lỗ hổng loại này thường xuất hiện trong các dịch vụ trên hệ thống. Người sử dụng cục bộ được hiểu là người đã có quyền truy nhập vào hệ thống với một số quyền hạn nhất định. Việc kiểm soát chặt chẽ cấu hình hệ thống và các chương trình sẽ hạn chế được các lỗ hổng loại B. I.2.3. Các lỗ hổng loại A Các lỗ hổng này cho phép người sử dụng ở ngoài có thể truy nhập vào hệ thống bất hợp pháp. Lỗ hổng này rất nguy hiểm, có thể làm phá hủy toàn bộ hệ thống. Các lỗ hổng loại A có mức độ rất nguy hiểm, đe dọa tính toàn vẹn và bảo mật của hệ thống. Các lỗ hổng loại này thường xuất hiện ở những hệ thống quản trị yếu kém hoặc không kiểm soát được cấu hình mạng. Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có trên phần mềm sử dụng; người quản trị nếu không hiểu sâu về dịch vụ và phần mềm sử dụng sẽ có thể bỏ qua những điểm yếu này. Ví dụ, một kẻ phá hoại muốn xâm nhập vào hệ thống mà anh ta không có tài khoản truy nhập hợp lệ trên hệ thống đó. Trong trường hợp này, trước tiên kẻ phá hoại sẽ tìm ra các điểm yếu trên hệ thống, hoặc từ các chính sách bảo mật, hoặc sử dụng các công cụ dò xét thông tin như ISS trên hệ thống đó để đạt được quyền truy nhập vào hệ thống. Sau khi mục tiêu thứ nhất đã đạt được, kẻ phá hoại có thể tiếp tục tìm hiểu các dịch vụ trên hệ thống, nắm bắt được các điểm yếu và thực hiện các hành động phá hoại tinh vi hơn. Tuy nhiên, không phải bất kỳ lỗ hổng bảo mật nào cùng nguy hiểm đến hệ thống. Có rất nhiều thông báo liên quan đến lỗ hổng bảo mật trên mạng Internet, hầu hết trong số đó là các lỗ hổng loại C, và không đặc biệt nguy hiểm đối với hệ thống. Ví dụ, khi những lỗ hổng về sendmail được thông báo trên mạng, không phải ngay lập tức ảnh hưởng trên toàn bộ hệ thống. Khi những thông báo về lỗ hổng được khẳng định chắc chắn, các nhóm tin sẽ đưa ra một số phương pháp để khắc phục hệ thống. Dựa vào kẻ hở của các lỗ hỗng này, kẻ xấu sẽ xây dựng các hình thức tấn công khác nhau nhằm không chế và nắm quyền kiểm soát trên mạng. Cho đến nay, các hacker đã nghĩ ra không biết bao nhiêu kiểu tấn công từ xa qua mạng khác nhau. Mỗi cuộc tấn công thường mở đầu bằng việc trực tiếp hoặc gián tiếp chui vào một hoặc nhiều máy tính đang nối mạng của người khác. Sau khi đã vào được hệ thống mạng, hacker có thể đi đến các bước khác như xem trộm, lấy cắp, thay đổi và thậm chí phá huỷ dữ liệu hoặc làm treo các hoạt động của một hệ thống thông tin điện tử.Các hacker cũng có thể gài bẫy những người sử dụng thiếu cảnh giác hoặc đánh lừa những hệ thống thông tin kém phòng bị. Chẳng hạn, chúng sưu tầm các địa chỉ email và gửi thư kèm virus đến đó hoặc làm nghẽn tắc mạng bằng cách gửi thật nhiều các bức thư điện tử đến cùng một địa chỉ. Đôi khi các hacker xâm nhập vào một mạng máy tính nào mà nó phát hiện ra lỗi và để lại thông báo cho người quản trị mạng, tệ hơn nữa là chúng cài virus hoặc phần mềm nào đó để theo dõi và lấy đi những thông tin nội bộ I.3. CÁC PHƯƠNG PHÁP XÂM NHẬP HỆ THỐNG – BIỆN PHÁP PHÁT HIỆN VÀ NGĂN NGỪA I.3.1. Phương thức ăn cắp thông tin bằng Packet Sniffer Đây là chương trình ứng dụng bắt giữ được tất cả các gói tin lưu chuyển trên mạng. Phụ thuộc vào cách nghe lén và mức bảo mật trong hệ thống như thế nào, một hacker có thể sử dụng một sniffer để tìm ra tên đăng nhập, mật mã và các thông tin bí mật khác trao đổi trong mạng. Biện pháp phát hiện và ngăn ngừa: Authentication Kỹ thuật này được thực hiện bao gồm hai yếu tố: Personal Identification number (PIN) để xác thực một thiết bị hoặc một phần mềm ứng dụng. Token card là thiết bị phần cứng hoặc phần mềm sản sinh ra thông tin một cách ngẫu nhiên (password) tại một thời điểm, thường là 60 giây. Khách hàng sẽ kết nối password đó với một PIN để vào hệ thống. Giả sử một hacker học được password đó bằng kỹ thuật packet sniffers thì thông tin đó cũng không còn giá trị vì hết hạn. Mã hóa Tất cả thông tin lưu chuyển trên mạng đều được mã hóa. Khi đó, nếu hacker dùng packet sniffer thì chỉ bắt được các gói dữ liệu đã được mã hóa. Cisco dùng giao thức IPSec để mã hóa dữ liệu… I.3.2. Phương thức tấn công mật khẩu Password attack Các hacker tấn công password bằng một số phương pháp như: brute – force attack, chương trình Trojan House, IP spoofing, và packet sniffer. Mặc dù dùng packet sniffer và IP spoofing có thể lấy được user account và password, nhưng hacker lại thường sử dụng brute – force để lấy user account hơn. Tấn công brute – force được thực hiện bằng cách dùng một chương trình chạy trên mạng, cố gắng login vào các phần share trên server bằng phương pháp “thử và sai” password. Biện pháp phát hiện và ngăn ngừa: Phương pháp giảm thiểu tấn công password: giới hạn số lần login sai,đặt password sai. - Cấm truy cập vào thiết bị, server từ xa thông qua các giao thức không an toàn như FTP, Telnet… 1.3.3. Phương thức tấn công bằng Mail Relay Đây là phương pháp phố biến hiện nay. Email server nếu cấu hình không chuẩn hoặc Username/ password bị lộ. Hacker có thể lợi dụng email server để gửi mail gây ngập mạng, phá hoại hệ thống email khác. Biện pháp phát hiện và ngăn ngừa: Giới hạn dung lượng Mail box Sử dụng các phương thức chống Relay Spam bằng các công cụ bảo mật cho SMTP server, đặt password cho SMTP - Sử dụng gateway SMTP riêng 1.3.4. Phương thức tấn công hệ thống DNS DNS Server là hệ thống quan trọng nhất trong hệ thống máy chủ. Việc tấn công và chiếm quyền điều khiển máy chủ phục vụ DNS là một sự phá hoại nguy hiểm liên quan đến toàn bộ hoạt động của hệ thống truyền trên mạng. Biện pháp phát hiện và ngăn ngừa: Hạn chế tối đa các dịch vụ khác trên hệ thống máy chủ DNS Cài đặt hệ thống IDS Host cho hệ thống DNS - Luôn cập nhật phiên bản mới có sửa lỗi của hệ thống phần mềm DNS 1.3.5. Phương thức tấn công Man-in-the-middle attack Tấn công theo kiểu Man-in-the-middle là trường hợp trong đó hacker sử dụng một AP để đánh cắp các node di động bằng cách gởi các tín hiệu RF mạnh hơn AP hợp pháp đến các node đó. Các node di động nhận thấy có AP phát tín hiệu RF tốt hơn nên sẽ kết nối đến AP giả mạo này, và lúc này thì hacker toàn quyền sử lý. Tấn công dạng này được thực hiện nhờ một packet sniffer. Biện pháp phát hiện và ngăn ngừa: - Tấn công dạng này có thể hạn chế bằng cách mã hóa dữ liệu được gửi ra. Nếu các hacker có bắt được các gói dữ liệu thì là các dữ liệu đã được mã hóa. 1.3.6. Phương thức tấn công để thăm dò mạng Thăm dò mạng tất cả các hoạt động nhằm mục đích lấy các thông tin về mạng. Khi một hacker cố gắng chọc thủng một mạng thường thì họ phải thu thập được thông tin về mạng càng nhiều càng tốt trước khi tấn công. Điều này có thể thực hiện bởi các công cụ như ping sweep, hay port scan. Biện pháp phát hiện và ngăn ngừa: - Ta không thể ngăn chặn được hoàn toàn các hoạt động thăm dò kiểu như vậy. Ví dụ ta có thể tắt đi ICMP echo và echo-reply, khi đó có thể chặn được ping sweep, nhưng lại nhưng lại khó cho ta khi mạng có sự cố, cần phải chẩn đoan lỗi do đâu. NIDS và HIDS giúp nhắc nhở khi có các hoạt động thăm dò xảy ra trong mạng 1.3.7. Phương thức tấn công lớp ứng dụng Tấn công lớp ứng dụng được thực hiện bằng nhiều cách khác nhau. Một trong những cách thông dụng nhất là tấn công vào các điểm yếu của phần mềm như sendmail, HTTP, hay FTP…Nguyên nhân chủ yếu của các tấn công lớp ứng dụng này là chúng sử dụng những port cho qua bởi Firewall. Ví dụ các hacker tấn công Web server bằng cách sử dụng TCP port 80, mail server bằng TCP port 25… Biện pháp phát hiện và ngăn ngừa: Lưu lại file log, và thường xuyên phân tích file log. Luôn cập nhật các patch cho OS và các ứng dụng. - Dùng IDS, có 2 loại IDS: HIDS, NIDS. 1.3.8. Phương thức tấn công Virus và Trojan Horse Các nguy hiểm cho các workstation và end user là các tấn công virus và trojan house. Virus là một phần mềm có hại, được đính kèm vào một chương trình thực thi khác để thực hiện một chức năng phá hoại nào đó. Trojan house thì hoạt động khác hơn. Một ví dụ