Đề tài Khai thác và triển khai phần mềm tường lửa Checkpoint

, giám sát và phân tích các giao thức trao đổi giữa các thiết bị được nối mạng (Một máy trạm hoặc một hệ thống).Một hệ thống Application Protocol-based Intrusion Detection System (APIDS) bao gồm một hệ thống (System) hoặc một thành phần (Agent) thường nằm giữa một nhóm các máy chủ, giám sát và phân tích các trao đổi ở lớp ứng dụng của một giao thức định sẵn. Ví dụ; trên một máy chủ web với một cơ sở dữ liệu thì nó giám sát giao thức SQL để ngăn chặn các truy nhập vào ứng dụng khi trao đổi với cơ sở dữ liệu.  Hệ thống Host-based Intrusion Detection System (HIDS) Trong hệ thống HIDS, các Sensor thường thường là một phần mềm trên máy trạm (Software agent), nó giám sát tất cả các hoạt động của máy trạm mà nó nằm trên đó. Hệ thống Host-based Intrusion Detection System bao gồm thành phần (Agent) cài đặt trên các máy trạm, nó xác định các truy nhập trái phép vào hệ thống bằng cách phân tích các trao đổi của hệ thống, các bản ghi của các ứng dụng, sự sửa đổi các tệp tin trên hệ thống (Các file dạng binary, mật khẩu của file, dung lượng và các acl của các cơ sở dữ liệu) các hoạt động và trạng thái khác của hệ thống để từ đó phát hiện ra các dấu hiệu truy nhập trái phép vào hệ thống. Khi phát hiện ra các truy nhập trái phép, Agent lập tức sinh ra một sự kiện và gửi báo cáo về Engine, Engine tiến hành lưu các báo cáo của Agent vào cơ sở dữ liệu và tiến hành phân tích thông tin để đưa ra các cảnh báo cho người quản trị hoặc hệ thống. Hybrid Intrusion Detection System là một hệ thống lai giữa hệ thống Network-based IDS và Hệ thống Host-based IDS. Nó kết hợp một hoặc nhiều các thành phần thích hợp của hai hệ thống lại với nhau. Các thông tin thu được trên máy trạm (Host agent data) kết hợp với thông tin thu được trên mạng để có được sự phân tích một cách chi tiết về hiện trạng hệ thống mạng. Hệ thống ngăn ngừa truy nhập trái phép (IPS) - Lịch sử ra đời của hệ thống ngăn ngừa truy nhập trái phép. Hệ thống Firewall cổ điển đã được ứng dụng nhiều trong hệ thống mạng để bảo vệ mạng khỏi các cuộc tấn công hoặc truy nhập không được phép từ rất lâu. Tuy nhiên trong quá trình hoạt động Firewall đã thể hiện nhiều nhược điểm cố hữu. Đó là: Thứ nhất, hệ thống Firewall là một hệ thống thụ động, Firewall hoạt động trên cơ sở các tập luật, các luật trên Firewall phải được người quản trị cấu hình hay chỉ định cho phép hay không cho phép gói tin đi qua. Bản thân Firewall không nhận biết được các mối nguy hại đến từ mạng mà nó phải được người quản trị mạng chỉ ra thông qua việc thiết lập các luật trên đó. Thứ hai, Hệ thống Firewall hoạt động chủ yếu ở lớp mạng trở xuống, Firewall ngăn chặn các truy nhập thông qua các trường địa chỉ IP đích và nguồn, các cổng dịch vụ (TCP/UDP), một số Firewall còn ngăn chặn ở lớp vật lý thông qua địa chỉ MAC Address. Như vậy, các thông tin mà Firewall dùng để ngăn chặn các truy nhập là ở trong phần tiêu đề của gói tin, Firewall cổ điển không thể đọc thông tin trong phần tải của gói tin (Pay Load) là nơi chứa nội dung thông tin được truyền đi, nơi tiềm ẩn các mã nguy hiểm gây hại cho hệ thống. Thứ ba, do không có khả năng đọc nội dung gói tin nên hệ thống Firewall chỉ có khả năng bảo vệ vòng ngoài của hệ thống, bản thân nó không có khả năng chống các cuộc tấn công xuất phát từ bên trong mạng. Trong bối cảnh đó, IDS ra đời là một sự bổ sung cho Firewall cổ điển. IDS có khả năng bắt, đọc, phân tích gói tin để phát hiện ra các nguy cơ tấn công tiềm ẩn trong nội dung. Tuy nhiên IDS lại chỉ sinh ra các cảnh báo cho hệ thống hoặc cho người quản trị mạng, nghĩa là hoạt động IDS chỉ mang tính chất cảnh báo và trợ giúp thông tin cho người quản trị mạng, căn cứ trên các thông tin cảnh báo về bảo mật, người quản trị mạng phải tiến hành ra lệnh cho Firewall ngăn chặn cuộc tấn công. Như thế bản thân hệ thống IDS vẫn là một hệ thống thụ động. IDS là sự bổ sung cần thiết cho hệ thống an ninh cổ điển, tuy nhiên nó chưa triệt để, do đó người ta phải kết hợp hoạt động của IDS với hệ thống Firewall để tạo ra một hệ thống an ninh có khả năng phát hiện các dấu hiệu tấn công và chủ động ngăn chặn cuộc tấn công. Đó chính là hệ thống ngăn ngừa xâm nhập IPS. 1.2.2. Hệ thống IPS IPS là viết tắt tiếng anh của Intrusion Prevention System hay thường được gọi là hệ thống ngăn chặn truy nhập trái phép. IPS là hệ thống kết hợp giữa hệ thống IDS và hệ thống Firewall, nó có ba thành phần chính: Hệ thống Firewall, hệ thống IDS và thành phần trung gian kết nối hai hệ thống trên với nhau. Firewall: là thành phần bảo vệ hệ thống mạng ở vùng biên, Firewall căn cứ trên tập luật mà nó được thiết lập từ trước để xác định xem có cho phép hay không cho phép các gói tin có thể được hay không được phép đi qua nó để vào sâu bên trong. IDS: làm nhiệm vụ ra quét tất cả các gói tin trước khi hoặc sau khi đi vào mạng, đọc nội dung gói tin, tìm và phát hiện ra các dấu hiệu tấn công chứa đựng trong gói tin đó, nếu nó phát hiện có dấu hiệu tấn công, nó sẽ sinh ra các cảnh báo cho hệ thống biết. Thành phần trung gian kết nối: Thành phần trung gian kết nối nhận các cảnh báo và thông tin đưa ra từ hệ thống IDS, phân tích mức độ cảnh báo, tiến hành tác động lên hệ thống Firewall để cấu hình lại tập luật trên đó nhằm ngăn chặn các cuộc tấn công. Như vậy, hệ thống IPS là một hệ thống chủ động, có khả năng phát hiện và ngăn ngừa các truy nhập trái phép, có khả năng ngăn chặn các cuộc tấn công, các nguy cơ tiềm ẩn trong nội dung của gói tin. Vì vậy hình thành lên một thế hệ Firewall mới có khả năng hoạt động ở lớp ứng dụng hay còn gọi là Application Layer Firewall. - Một số sản phẩm IDS/IPS hiện có trên thị trường Hiện nay trên thị trường có rất nhiều hãng sản xuất hệ thống IDS/IPS điển hình như hãng Juniper, Cisco, Tipping Point, Snort … Các sản phẩm của các hãng Juniper, Cisco, Tipping Point là các giải pháp IDS/IPS bao gồm cả phần cứng và phần mềm. Như trên đã trình bày, hầu hết các thiết bị IDS/IPS của các hãng trên đều là các thiết bị tích hợp cả ba thành phần Sensor, Console, Engine trên cùng một thiết bị. Một số sản phẩm IDS/IPS điển hình của các hãng: - Juniper: Juniper Networks IDP 50/200/600/1100; Juniper Networks ISG 1000 and ISG 2000; - Cisco: Cisco ASA 5500 Series Adaptive Security Appliances; Cisco IPS 4200 Series Sensors -Tipping Point: TippingPoint X505/ X506/50/200/200E/600E/2400E/5000E; TippingPoint SMS (Enterprise-Level Management System); TippingPoint ZPHA (Zero Power High Availability). -Snort là một giải pháp IDS bằng phần mềm mã nguồn mở và có khả năng chạy trên các nền hệ điều hành Debian, FreeBSD, RHEL, Fedora Core, Solaris, Windows, Gentoo Linux. Snort có thể kết hợp với giải pháp Firewall trong linux là iptables với thành phần kết nối trung gian là snortsam để tạo thành một hệ thống IPS đầy đủ. Công cụ phân tích an ninh hệ thống và mạng Hiện nay trong số các sản phẩm phân tích an ninh đang có trên thị trường, hai sản phẩm phân tích an ninh mạng của ISS được đánh giá là một trong những sản phẩm tốt nhất, đó là: Internet Scanner - Công cụ đánh giá an ninh mạng của Internet Security System. Internet Scanner là một giải pháp nổi tiếng và được đánh giá cao của ISS thực hiện các tác vụ phân tích an ninh mạng tại các thiết bị mạng và Server. System Scanner - Công cụ đánh giá an ninh hệ thống của Internet Security System. Giải pháp phân tích an ninh hệ thống (Host-based) System Scanner của ISS cũng có được sự tin cậy của các nhà quản trị mạng trên toàn thế giới không kém gì Internet Scanner. Internet Scanner và System Scanner của ISS Theo đánh giá về các đặc điểm của các sản phẩm phân tích an ninh hiện đang lưu hành trên thế giới của tổ chức NetworkComputing (một tổ chức nổi tiếng về đánh giá các giải pháp mạng và an ninh): Sản phẩm phân tích an ninh mạng của ISS là một trong những công cụ được đánh giá cao nhất. Internet Scanner của ISS đáp ứng được hầu hết các tiêu chí được đặt ra cho các sản phẩm phân tích an ninh của NetworkComputing bao gồm: Built-in automatic signature update feature (Cơ chế tự cập nhật thông tin về điểm yếu). Scans for host vulnerabilities (Có thể quét điểm yếu tại host). CVE cross-references ( Tham chiếu hệ thống thông tin điểm yếu CVE - Common Vulnerability - Expose). Command-line automation (Khả năng dòng lệnh tự động ). Integrates with a data-management suite (tích hợp với khả năng quản lý dữ liệu thích hợp). 1.3. VPN (Virtual Private Network). Giải pháp VPN (Virtual Private Network) được thiết kế cho những tổ chức có xu hướng tăng cường thông tin từ xa vì địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu). Tài nguyên ở trung tâm có thể kết nối đến từ nhiều nguồn nên tiết kiệm được được chi phí và thời gian. Một mạng VPN điển hình bao gồm mạng LAN chính tại trụ sở (Văn phòng chính), các mạng LAN khác tại những văn phòng từ xa, các điểm kết nối (như 'Văn phòng' tại gia) hoặc người sử dụng (Nhân viên di động) truy cập đến từ bên ngoài. Khái niệm Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa. Các loại VPN Có hai loại phổ biến hiện nay là VPN truy cập từ xa (Remote-Access ) và VPN điểm-nối-điểm (site-to-site) VPN truy cập từ xa còn được gọi là mạng Dial-up riêng ảo (VPDN), là một kết nối người dùng-đến-LAN, thường là nhu cầu của một tổ chức có nhiều nhân viên cần liên hệ với mạng riêng của mình từ rất nhiều địa điểm ở xa. Ví dụ như công ty muốn thiết lập một VPN lớn phải cần đến một nhà cung cấp dịch vụ doanh nghiệp (ESP). ESP này tạo ra một máy chủ truy cập mạng (NAS) và cung cấp cho những người sử dụng từ xa một phần mềm máy khách cho máy tính của họ. Sau đó, người sử dụng có thể gọi một số miễn phí để liên hệ với NAS và dùng phần mềm VPN máy khách để truy cập vào mạng riêng của công ty. Loại VPN này cho phép các kết nối an toàn, có mật mã. Hình minh họa cho thấy kết nối giữa Văn phòng chính và "Văn phòng" tại gia hoặc nhân viên di động là loại VPN truy cập từ xa). VPN điểm-nối-điểm là việc sử dụng mật mã dành cho nhiều người để kết nối nhiều điểm cố định với nhau thông qua một mạng công cộng như Internet. Loại này có thể dựa trên Intranet hoặc Extranet. Loại dựa trên Intranet: Nếu một công ty có vài địa điểm từ xa muốn tham gia vào một mạng riêng duy nhất, họ có thể tạo ra một VPN intranet (VPN nội bộ) để nối LAN với LAN. Loại dựa trên Extranet: Khi một công ty có mối quan hệ mật thiết với một công ty khác (ví dụ như đối tác cung cấp, khách hàng...), họ có thể xây dựng một VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác nhau có thể làm việc trên một môi trường chung. Trong hình minh họa trên, kết nối giữa Văn phòng chính và Văn phòng từ xa là loại VPN Intranet, kết nối giữa Văn phòng chính với Đối tác kinh doanh là VPN Extranet. Bảo mật trong VPN Tường lửa (firewall) là rào chắn vững chắc giữa mạng riêng và Internet. Bạn có thể thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói tin và giao thức được chuyển qua. Một số sản phẩm dùng cho VPN như router 1700 của Cisco có thể nâng cấp để gộp những tính năng của tường lửa bằng cách chạy hệ điều hành Internet Cisco IOS thích hợp. Tốt nhất là hãy cài tường lửa thật tốt trước khi thiết lập VPN. Mật mã truy cập là khi một máy tính mã hóa dữ liệu và gửi nó tới một máy tính khác thì chỉ có máy đó mới giải mã được. Có hai loại là mật mã riêng và mật mã chung. Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính đều có một mã bí mật để mã hóa gói tin trước khi gửi tới máy tính khác trong mạng. Mã riêng yêu cầu bạn phải biết mình đang liên hệ với những máy tính nào để có thể cài mã lên đó, để máy tính của người nhận có thể giải mã được. Mật mã chung (Public-Key Encryption) kết hợp mã riêng và một mã công cộng. Mã riêng này chỉ có máy của bạn nhận biết, còn mã chung thì do máy của bạn cấp cho bất kỳ máy nào muốn liên hệ (một cách an toàn) với nó. Để giải mã một message, máy tính phải dùng mã chung được máy tính nguồn cung cấp, đồng thời cần đến mã riêng của nó nữa. Có một ứng dụng loại này được dùng rất phổ biến là Pretty Good Privacy (PGP), cho phép bạn mã hóa hầu như bất cứ thứ gì. Giao thức bảo mật giao thức Internet (IPSec) cung cấp những tính năng an ninh cao cấp như các thuật toán mã hóa tốt hơn, quá trình thẩm định quyền đăng nhập toàn diện hơn. IPSec có hai cơ chế mã hóa là Tunnel và Transport. Tunnel mã hóa tiêu đề (header) và kích thước của mỗi gói tin còn Transport chỉ mã hóa kích thước. Chỉ những hệ thống nào hỗ trợ IPSec mới có thể tận dụng được giao thức này. Ngoài ra, tất cả các thiết bị phải sử dụng một mã khóa chung và các tường lửa trên mỗi hệ thống phải có các thiết lập bảo mật giống nhau. IPSec có thể mã hóa dữ liệu giữa nhiều thiết bị khác nhau như router với router, firewall với router, PC với router, PC với máy chủ. Máy chủ AAA AAA là viết tắt của ba chữ Authentication (thẩm định quyền truy cập), Authorization (cho phép) và Accounting (kiểm soát). Các server này được dùng để đảm bảo truy cập an toàn hơn. Khi yêu cầu thiết lập một kết nối được gửi tới từ máy khách, nó sẽ phải qua máy chủ AAA để kiểm tra. Các thông tin về những hoạt động của người sử dụng là hết sức cần thiết để theo dõi vì mục đích an toàn. Sản phẩm công nghệ dành cho VPN Tùy vào loại VPN (truy cập từ xa hay điểm-nối-điểm), bạn sẽ cần phải cài đặt những bộ phận hợp thành nào đó để thiết lập mạng riêng ảo. Đó có thể là: Phần mềm cho desktop của máy khách dành cho người sử dụng từ xa. Phần cứng cao cấp như bộ xử lý trung tâm VPN hoặc firewall bảo mật PIX. Server VPN cao cấp dành cho dịch vụ Dial-up. NAS (máy chủ truy cập mạng) do nhà cung cấp sử dụng để phục vụ người sử dụng từ xa. - Mạng VPN và trung tâm quản lý. Bộ xử lý trung tâm VPN Có nhiều loại máy xử lý VPN của các hãng khác nhau, nhưng sản phẩm của Cisco tỏ ra vượt trội ở một số tính năng. Tích hợp các kỹ thuật mã hóa và thẩm định quyền truy cập cao cấp nhất hiện nay, máy xử lý VPN được thiết kế chuyên biệt cho loại mạng này. Chúng chứa các module xử lý mã hóa SEP, cho phép người sử dụng dễ dàng tăng dung lượng và số lượng gói tin truyền tải. Dòng sản phẩm có các model thích hợp cho các mô hình doanh nghiệp từ nhỏ đến lớn (từ100 cho đến 10.000 điểm kết nối từ xa truy cập cùng lúc).  Bộ xử lý trung tâm VPN số hiệu 3000 của hãng Cisco. ( Ảnh: quadrantcommunications) Router dùng cho VPN Thiết bị này cung cấp các tính năng truyền dẫn, bảo mật. Dựa trên hệ điều hành Internet IOS của mình, hãng Cisco phát triển loại router thích hợp cho mọi trường hợp, từ truy cập nhà-tới-văn phòng cho đến nhu cầu của các doanh nghiệp quy mô lớn. Tường lửa PIX của Cisco Firewall trao đổi Internet riêng (Private Internet Exchange) bao gồm một cơ chế dịch địa chỉ mạng rất mạnh, máy chủ proxy, bộ lọc gói tin, các tính năng VPN và chặn truy cập bất hợp pháp. Thay vì dùng IOS, thiết bị này có hệ điều hành với khả năng tổ chức cao, xoay sở được với nhiều giao thức, hoạt động rất mạnh bằng cách tập trung vào IP. 1.4. Quét mã độc hại. Mối đe doạ của việc các virus máy tính phá hoại và nhu cầu cần phải có phần mềm chống virus tốt hiện nay lớn hơn bao giờ hết. Nhiều tổ chức đã phải trải qua những thực tế đau đớn và đầy tốn kém khi để cho mạng máy tính của mình không được bảo vệ khỏi sự tấn công của virus. Với ý tưởng thực hiện một chiến lược chống virus hoàn toàn hiệu quả, chúng ta cần phải đi vào thảo luận cách tiến hành tốt nhất trong điều kiện hạ tầng mà bạn hiện cã. Một cơ sở hạ tầng mạng có thể được chia làm ba lớp rõ rệt cần phải được bảo vệ khỏi sự tấn công của virus: Lớp thứ nhất (1) - Các cổng Internet (SMTP). Lớp thứ hai (2) - Các máy chủ (thư, ứng dụng, các tệp tin và máy in...). Lớp thứ ba (3) - Các máy trạm (máy tính để bàn và máy tính xách tay). Tuy nhiên, với sự bùng nổ của các thiết bị cầm tay, tôi cho rằng các công ty cần phải kết thêm một lớp thứ tư vào đẳng thức trên, đó là: Lớp thứ tư (4) – các thiết bị PDA (cụ thể là các máy tính cầm tay (Palm) và các máy tính cá nhân bỏ túi (Pocket PCs)). Hình dưới đây minh hoạ cho điều này. (bốn lớp của cơ sở hạ tầng mạng máy tính). Tôi không cho rằng ai đó có thể phủ nhận được tác dụng của việc bảo vệ lớp thứ hai và thứ 3. Thông thường, lớp thứ nhất là lớp dễ bị lãng quên nhất và cũng là lớp quan trọng nhất. Phần lớn tất cả các virus máy tính đều được phát tán thông qua mạng Internet, cho dù bằng email hay là thông qua việc lướt trang web. Về mặt lý thuyết, nếu bạn có thể bảo đảm an toàn cho lớp thứ nhất không để cho virus có thể thâm nhập được vào tổ chức của bạn thì nói chung việc bảo vệ lớp thứ hai và lớp thứ ba không còn cần thiết trong thực tế. Tôi nhấn mạnh đến từ “về mặt lý thuyết” vì trong thực tế còn có nhiều cách để vi rút thâm nhập vào mạng lưới của tổ chức bạn chứ không chỉ đơn thuần là qua mạng Internet và còn vì công nghệ để bảo vệ chống lại những virus mới nguồn gốc từ trang Web vẫn còn khá non nớt. Mô hình các giải pháp của Trend Micro Chúng ta hãy xem xét qua việc bảo vệ chống virus cho mỗi lớp trong bốn lớp đã nêu trên: Lớp thứ nhất: Các cổng Internet: Lớp bảo vệ thứ nhất thực sự cần phải có hai thành tố, đó là việc thực thi các chính sách dựa trên các quy định và việc quét virus. Bằng việc thực thi các chính sách dựa trên các quy tắc, chúng ta có thể tạo ra các quy định để ngăn cản virus, căn cứ vào những nội dung đã được biết trước (chẳng hạn, I LOVE YOU trong dòng tiêu đề), thậm chí trước khi các nhà sản xuất phần mềm chống virus đưa ra được dấu hiện nhận biết chúng. Thêm vào đó, các quy định có thể được áp dụng để tìm kiếm những virus cũ mà có thể được phân loại. Bằng việc ngăn ngừa virus ở lớp đầu tiên, các tổ chức có thể bắt và chặn các virus tại một hay hai cổng Internet cho toàn bộ công ty. Một khi một virus đã thâm nhập được, công ty cần phải dựa vào phần mềm agent cho máy chủ. Lúc đó họ sẽ buộc phải thực hiện quét và chữa virus cho nhiều máy chủ chung một Cổng mạng. Nếu vì một vài lý do nào đó virus luồn qua được lớp máy chủ thì việc cứu chữa sẽ phải dựa vào phần mềm diệt virus tại lớp của máy trạm, có nghĩa là sẽ liên quan đến vô số các mắt xích khác nhau. Một phép tính đơn giản cho thấy chặn virus ngay từ lớp thứ nhất là giải pháp hiệu quả nhất. Nếu một công ty không quản lý được cổng mạng Internet của chính mình thì nó hoàn toàn phải phụ thuộc vào nhà cung cấp dịch vụ Internet của mình để có được phần mềm chống virus. Nếu nhà cung cấp dịch vụ Internet không cung cấp dịch vụ chống virus hay lấy giá cung cấp quá cao thì lúc đó khổ chủ cần phải nhờ đến tay của các nhà cung cấp dịch vụ tổng đài. Cho dù ai là người cung cấp dịch vụ này đi nữa thì việc báo nhiễm chính xác và kịp thời vẫn là điều cần thiết. Khi virus Annak tấn công, tổ chức của chúng tôi đã ngăn được hơn 300 vụ tấn công trong vòng mấy giờ đầu tiên. Việc báo cáo này là rất có ích vì hai lý do. Trước hết, nó chứng minh tính hợp lý của chi phí cài đặt và vận hành phần mềm chống virus Internet và đảm bảo nguồn kinh phí và hỗ trợ được liên tục từ hội đồng quản trị cấp cao. Thứ hai, nó giúp cho chúng tôi xác định ai là nguồn của những virus này. Điều này cho phép chúng tôi định vị và thu nhỏ khả năng bị nhiễm virus với nhiều đối tác của chúng tôi. Lớp thứ hai: các máy chủ: Lớp tiếp theo là lớp máy chủ. Chỉ dựa vào các máy tính để bàn của bạn để chạy các phần mềm diệt virus thì không đủ. Trong nội bộ tổ chức của chúng tôi, vào bất kỳ lúc nào, tôi có thể đảm bảo rằng có hàng chục máy tính không kích hoạt, không cài đặt phần mềm diệt virus hay phần mềm ở những máy đó bị tê liệt ở dạng này hay dạng khác. Trên tất cả các máy chủ của bạn cần có phần mềm bảo vệ vì có rất nhiều người đang lưu các tệp tin hay các nội dung email của họ. Trên những máy chủ này, phần mềm quét virus của bạn cần phải thiết lập được cấu hình để cung cấp sự bảo vệ thời gian thực cũng như quét thường xuyên theo một lịch trình lập sẵn. Nếu bạn chỉ dựa vào việc quét thường xuyên theo một lịch trình lập sẵn thì một virus nào đó đã nhiễm vào một máy chủ ở một vị trí công cộng thì nó có thể nhân bản và nhiễm lên nhiều trạm làm việc khác trước khi bạn có thể giải quyết trong quá trình quét theo lịch trình. Lớp thứ 3: các máy trạm: Lớp máy trạm là các máy để bàn và các máy xách tay là lớp lớn nhất và có lẽ khó bảo vệ nhất. Do có thể đã tạm ngừng hoạt động phần mềm quét virus một cách cố ý, quên hay ngẫu nhiên, các máy trạm có thể có khả năng làm tê liệt phần mềm chống virus của mình. Các signature (chữ ký hay mã nhận diện virus) chống virus cần luôn được lưu hành, việc giám sát cần phải được thực hiện thường xuyên trên máy và cũng cần phải kích hoạt việc quét virus thường xuyên. Trong tổ chức của chúng tôi, chúng tôi đã đi một bước xa hơn và đã viết ra một số mã thông tin vào trong logon script của chúng tôi để đảm bảo rằng phiên bản phần mềm chống virus được cài đặt đang là mới nhất. Nếu nó không phải là mới nhất thì một phiên bản tốt (và đã được cập nhật) sẽ được nạp vào máy tính. Sẽ không có một trạm làm việc nào được hoạt động trên mạng lưới của bạn mà không được cấu hình cần thiết để chống lại sự phá hoại và thâm nhập của virus, bao gồm cả các máy tính truy nhập từ xa qua Modem vào mạng. Các thế hệ phần mềm diệt virus mới nhất của Trend Micro Inc, sẽ tự động hoá việc phát hiện và phân phối cho bạn. Chắc chắn, những máy trạm không kích hoạt phần mềm chống virus để chúng hiện hành sẽ là những máy tính gây ra thiệt hại lớn nhất cho một tổ chức. Lớp thứ 4: các thiết bị PDA Lớp PDA là một lớp tương đối mới được thêm trong đẳng thức cần được bảo vệ. Trong khi các thiết bị PDA đã xuất hiện được khá lâu song chỉ mới gần đây mới xảy ra hiện tượng nhiễm virus đối với các thiết bị này. Theo đó, các nhà sản xuất phần mềm chống virus đã bắt đầu cho ra đời phần mềm chống lại các virus này. Tôi dự báo rằng đây sẽ là một đấu trường hoàn toàn mới cho bọn tạo virus, đặc biệt khi chúng biết mức độ dễ nhiễm của các thiết bị PDA. Một khi PDA đã bị nhiễm virus thì ai dám nói rằng những kẻ thông minh kia lại không tìm được đường thâm nhập vào máy tính để bàn thông qua quá trình đồng bộ hoá? Không phải tất cả các nhà sản xuất phần mềm chống virus đều cung cấp sự bảo vệ cho các máy tính cầm tay (Palm) và cho các máy tính bỏ túi. Nếu bạn có cả hai loại này trong tổ chức của mình thì sách lược tốt nhất là chọn phần mềm có thể bảo vệ cho cả hai loại thiết bị đó, chứ không nên chọn cài phần mềm cho một loại thiết bị chẳng hạn như Palms hoặc máy tính bỏ túi. Việc có thêm nhiều phần mềm chỉ làm nặng thêm gánh nặng quản lý của bạn. Hãy đưa tất cả những phần mềm bảo vệ này kết hợp lại với nhau. Rõ ràng quá trình này cần phải tốn nhiều công sức và tiền của nhưng đó là điều rất nên làm. Công sức bạn bỏ ra sẽ được đền bù xứng đáng khi một virus lớn nào đó được tung ra. Bạn sẽ thích thú khi biết rằng những đồng nghiệp khác cùng trong ngành của bạn phải bò lê ra để ngăn chặn sự phá hoại của những virus đang hoành hành. Bạn hiện đang bảo vệ máy của bạn chống lại sự thâm nhập và phá hoại của virus nhu thế nào? Bạn có bảo vệ đối với cả bốn lớp không? Chúng tôi rất mong nhận được thông tin của bạn kể về những kinh nghiệm của bạn về vấn đề này. CHƯƠNG III: TỔNG QUAN VỀ FIREWAL 3.1.Firewall: 3.1.1.Khái niệm: Firewall hiểu một cách chung nhất là cơ cấu để bảo vệ một mạng máy tính chống lại sự truy nhập bất hợp pháp từ các (mạng) máy tính khác. Firewall bao gồm các cơ cấu nhằm: • Ngăn chặn truy nhập bất hợp pháp. • Cho phép truy nhập sau khi đã kiểm tra tính xác thực của thực thể yêu cầu truy nhập. Trên thực tế, Firewall được thể hiện rất khác nhau: bằng phần mềm hoặc phần cứng chuyên dùng, sử dụng một máy tính hoặc một mạng các máy tính. Theo William Cheswick và Steven Beilovin thì bức tường lửa có thể được xác định như là một tập hợp các cấu kiện đặt giữa hai mạng. Nhìn chung bức tường lửa có những thuộc tính sau : Thông tin giao lưu được theo hai chiều. Chỉ những thông tin thoả mãn nhu cầu bảo vệ cục bộ mới được đi qua. Bản thân bức tường lửa không đòi hỏi quá trình thâm nhập. 3.1.2. Chức năng: Ưu điểm: - Firewall có thể bảo vệ hệ thống máy tính chống lại những kẻ đột nhập qua khả năng ngăn chặn những phiên làm việc từ xa (remote login). - Ngăn chặn thông tin từ bên ngoài (Internet) vào trong mạng được bảo vệ, trong khi cho phép người sử dụng hợp pháp được truy nhập tự do mạng bên ngoài. - Firewall ngăn chặn các dịch vụ ít tin cậy. - Truy nhập có điều khiển đến từng host. - Tập trung hóa chính sách bảo mật - Xác nhận người dùng và lưu trữ thông tin. Hạn chế: • Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ. • Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không “đi qua” nó. Một cách cụ thể, Firewall không thể chống lại một cuộc tấn công từ một đường dial–up, hoặc sự mất mát thông tin do dữ liệu bị