LỜI CẢM ƠN 1
PHẦN MỞ ĐẦU 7
1. LÍ DO CHỌN ĐỀ TÀI 7
2. MỤC ĐÍCH CỦA ĐỀ TÀI 7
3. PHƯƠNG PHÁP NGHIÊN CỨU 7
4. CẤU TRÚC KHÓA LUẬN 8
PHẦN 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN TRÊN MẠNG 9
1. ĐỐI TƯỢNG BẢO VỆ 10
1.1 Đối với dữ liệu 11
1.2 Đối với tài nguyên 11
1.3 Đối với uy tín 12
2. CÁC HÌNH THỨC TẤN CÔNG. 12
2.1 Tấn công trực tiếp: 12
2.2. Nghe trộm: 13
2.3. Giả mạo địa chỉ: 13
2.4. Vô hiệu các chức năng của hệ thống (DoS, DDoS): 14
2.5. Lỗi của người quản trị hệ thống: 15
2.6. Tấn công vào yếu tố con người: 15
3. PHÂN LOẠI KẺ TẤN CÔNG 15
3.1 Người qua đường 15
3.2 Kẻ phá hoại 16
3.3 Kẻ ghi điểm 16
3.4 Gián điệp 16
4. CÁC DỊCH VỤ BẢO VỆ THÔNG TIN TRÊN MẠNG 17
4.1. Dịch vụ bí mật (Confidentiality) 17
4.2. Dịch vụ xác thực (Authentication) 17
4.3. Dịch vụ toàn vẹn (Integrity) 18
4.4. Không thể chối bỏ (Nonrepudiation) 18
4.5. Kiểm soát truy nhập (Access control) 19
4.6. Sẵn sàng phục vụ (Availability) 19
5. CÁC KỸ THUẬT BẢO VỆ THÔNG TIN TRÊN MẠNG 20
5.1. Mã hóa 20
5.2. Cơ chế sát thực 21
5.3. Các cơ chế điều khiển truy nhập 21
6.1. Các mức bảo vệ thông tin trên mạng 22
6.2. Các phương pháp và phương tiện bảo vệ thông tin 25
PHẦN 2: FIREWALL 29
1. GIỚI THIỆU VỀ FIREWALL 29
1.1. Firewall 29
1.2. Chức năng 32
1.3. Các thành phần 33
1.3.1. Bộ lọc gói tin (packet-filtering router) 33
1.3.2. Cổng ứng dụng(application-level gateway hay proxy server) 36
1.3.3. Cổng vòng (circuite level gateway) 38
1.4. Các dạng Firewall 39
1.5. Hạn chế của Firewall. 41
1.6. Firewall có dễ phá hay không? 42
1.7. Một số mô hình Firewall 44
1.7.1. Packet-Filtering Router (Bộ trung chuyển có lọc gói) 44
1.7.2. Mô hình Screened Host Firewall 46
1.7.3. Mô hình Demilitarized Zone (DMZ-khu vực phi quân sự) hay Screened-subnet Firewall. 48
2. BASTION HOST 50
2.1. Nguyên lí cơ bản để thiết kế và xây dựng một Baston host 50
2.2. Các loại Bastion host đặc biệt 51
2.2.1. Dual-homed host không có chức năng định tuyến 51
95 trang |
Chia sẻ: huong.duong | Lượt xem: 1900 | Lượt tải: 2
Bạn đang xem trước 20 trang tài liệu Đề tài An toàn thông tin trên mạng và Tường lửa, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
tin hay phá hoại của kẻ xấu.
Cổng ứng dụng(application-level gateway hay proxy server)
Nguyên lý:
Một dạng phổ biến là Firewall dựa trên ứng dụng application-proxy. Loại này hoạt động hơi khác với Firewall dựa trên bộ định tuyến lọc gói tin. Application gateway dựa trên cơ sở phần mềm. Khi một người dùng không xác định kết nối từ xa vào mạng chạy application gateway, gateway sẽ ngăn chặn kết nối từ xa này.
Thay vì nối thông, gateway sẽ kiểm tra các thành phần của kết nối theo những quy tắc định trước. Nếu thoả mãn các quy tắc, gateway sẽ tạo cầu nối (bridge) giữa trạm nguồn và trạm đích.
Hình 8: Firewall mềm
Cầu nối đóng vai trò trung gian giữa hai giao thức. Ví dụ, trong một mô hình gateway đặc trưng, gói tin theo giao thức IP không được chuyển tiếp tới mạng cục bộ, lúc đó sẽ hình thành quá trình dịch mà gateway đóng vai trò bộ phiên dịch.
Ưu điểm:
Ưu điểm của Firewall application gateway là không phải chuyển tiếp IP. Quan trọng hơn, các điều khiển thực hiện ngay trên kết nối. Sau cùng, mỗi công cụ đều cung cấp những tính năng thuận tiện cho việc truy nhập mạng.
Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy nhập được bởi các dịch vụ.
Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào cho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là các dịch vụ ấy bị khoá.
Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có nhật ký ghi chép lại thông tin về truy nhập hệ thống.
Luật lệ lọc filltering cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so với bộ lọc packet.
Hạn chế:
Hạn chế khác của mô hình Firewall này là mỗi ứng dụng bảo mật (proxy application) phải được tạo ra cho từng dịch vụ mạng. Như vậy một ứng dụng dùng cho Telnet, ứng dụng khác dùng cho HTTP, v.v..
Yêu cầu các users thay đổi thao tác, hoặc thay đổi phần mềm đã cài đặt trên máy client cho truy nhập vào các dịch vụ proxy. Chẳng hạn, Telnet truy nhập qua cổng ứng dụng đòi hỏi hai bước để nối với máy chủ chứ không phải là một bước thôi. Tuy nhiên, cũng đã có một số phần mềm client cho phép ứng dụng trên cổng ứng dụng là trong suốt, bằng cách cho phép user chỉ ra máy đích chứ không phải cổng ứng dụng trên lệnh Telnet.
Do không thông qua quá trình chuyển dịch IP nên gói tin IP từ địa chỉ không xác định sẽ không thể tới máy tính trong mạng của bạn, do đó hệ thống application gateway có độ bảo mật cao hơn.
Cổng vòng (circuite level gateway)
Cổng vòng là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng dụng(application gateway). Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc packet nào.
VD: Cổng vòng đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực hiện một sự kiểm tra, lọc hay điều khiển các thủ tục Telnet nào.Cổng vòng làm việc như một sợi dây, sao chép các byte giữa kết nối bên trong (inside connection) và các kết nối bên ngoài (outside connection). Tuy nhiên, vì sự kết nối này xuất hiện từ hệ thống firewall, nên nó che dấu thông tin về mạng nội bộ.
Cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà các quản trị mạng thật sự tin tưởng những người dùng bên trong. Ưu điểm lớn nhất là một bastion host có thể được cấu hình như là một hỗn hợp cung cấp Cổng ứng dụng cho những kết nối đến, và cổng vòng cho các kết nối đi. Điều này làm cho hệ thống Firewall dễ dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ Internet, trong khi vẫn cung cấp chức năng Firewall để bảo vệ mạng nội bộ từ những sự tấn công bên ngoài.
Hình 9: Cổng vòng
Các dạng Firewall
Mỗi dạng Firewall khác nhau có những thuận lợi và hạn chế riêng. Dạng phổ biến nhất là Firewall mức mạng (Network-level firewall). Loại Firewall này thường dựa trên bộ định tuyến, vì vậy các quy tắc quy định tính hợp pháp cho việc truy nhập được thiết lập ngay trên bộ định tuyến. Mô hình Firewall này sử dụng kỹ thuật lọc gói tin (packet filtering technique), đó là tiến trình kiểm soát các gói tin qua bộ định tuyến.
Hình 10: Firewall được cấu hình tại router
Khi hoạt động, Firewall sẽ dựa trên bộ định tuyến mà kiểm tra địa chỉ nguồn (source address) hay địa chỉ xuất phát của gói tin. Sau khi nhận diện xong, mỗi địa chỉ nguồn IP sẽ được kiểm tra theo các quy tắc do người quản trị mạng định trước.
Firewall dựa trên bộ định tuyến làm việc rất nhanh do nó chỉ kiểm tra lướt trên các địa chỉ nguồn mà không hề có yêu cầu thực sự nào đối với bộ định tuyến, không tốn thời gian xử lý những địa chỉ sai hay không hợp lệ. Tuy nhiên, bạn phải trả giá: ngoại trừ những điều khiển chống truy nhập, các gói tin mang địa chỉ giả mạo vẫn có thể thâm nhập ở một mức nào đó trên máy chủ của bạn.
Một số kỹ thuật lọc gói tin có thể được sử dụng kết hợp với Firewall để khắc phục nhược điểm nói trên. Địa chỉ IP không phải là thành phần duy nhất của gói tin có thể mắc bẫy bộ định tuyến. Người quản trị nên áp dụng đồng thời các quy tắc, sử dụng thông tin định danh kèm theo gói tin như thời gian, giao thức, cổng để tăng cường điều kiện lọc. Tuy nhiên, sự yếu kém trong kỹ thuật lọc gói tin của Firewall dựa trên bộ định tuyến không chỉ có vậy.
Một số dịch vụ gọi thủ tục từ xa (Remote Procedure Call – RPC) rất khó lọc một cách hiệu quả do các server liên kết phụ thuộc vào các cổng được gán ngẫu nhiên khi khởi động hệ thống. Dịch vụ gọi là ánh xạ cổng (portmapper) sẽ ánh xạ các lời gọi tới dịch vụ RPC thành số dịch vụ gán sẵn, tuy nhiên, do không có sự tương ứng giữa số dịch vụ với bộ định tuyến lọc gói tin, nên bộ định tuyến không nhận biết được dịch vụ nào dùng cổng nào, vì thế nó không thể ngăn chặn hoàn toàn các dịch vụ này, trừ khi bộ định tuyến ngăn toàn bộ các gói tin UDP (các dịch vụ RPC chủ yếu sử dụng giao thức UDP hay User Datagram Protocol). Việc ngăn chặn tất cả các gói tin UDP cũng sẽ ngăn luôn cả các dịch vụ cần thiết, ví dụ như DNS (Domain Name Service ố dịch vụ đặt tên vùng). Vì thế, dẫn đến tình trạng tiến thoái lưỡng nan.
Hạn chế của Firewall.
Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ.
Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không “đi qua” nó. Một cách cụ thể, firewall không thể chống lại một cuộc tấn công từ một đường dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm.
Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (datadriven attack). Khi có một số chương trình được chuyển theo thư điện tử, vượt qua firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây.
Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của firewall.
Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi.
Firewall có dễ phá hay không?
Câu trả lời là không. Lý thuyết không chứng minh được có khe hở trên Firewall, tuy nhiên thực tiễn thì lại có. Các hacker đã nghiên cứu nhiều cách phá Firewall. Quá trình phá Firewall gồm hai giai đoạn: đầu tiên phải tìm ra dạng Firewall mà mạng sử dụng cùng các loại dịch vụ hoạt động phía sau nó; tiếp theo là phát hiện khe hở trên Firewall đó, giai đoạn này thường khó khăn hơn. Theo nghiên cứu của các hacker, khe hở trên Firewall tồn tại là do lỗi định cấu hình của người quản trị hệ thống, sai sót này cũng không hiếm khi xảy ra. Người quản trị phải chắc chắn sẽ không có bất trắc cho dù sử dụng hệ điều hành (HĐH) mạng nào, đây là cả một vấn đề nan giải. Trong các mạng UNIX, điều này một phần là do HĐH UNIX quá phức tạp, có tới hàng trăm ứng dụng, giao thức và lệnh riêng. Sai sót trong xây dựng Firewall có thể do người quản trị mạng không nắm vững về TCP/IP.
Một trong những việc phải làm của các hacker là tách các thành phần thực ra khỏi các thành phần giả mạo. Nhiều Firewall sử dụng trạm hy sinh (sacrificial hosts) – là hệ thống được thiết kế như các server Web (có thể sẵn sàng bỏ đi) hay bẫy (decoys), dùng để bắt các hành vi thâm nhập của hacker. Bẫy có thể cần dùng tới những thiết bị ngụy trang phức tạp nhằm che dấu tính chất thật của nó, ví dụ: đưa ra câu trả lời tương tự hệ thống tập tin hay các ứng dụng thực. Vì vậy, công việc đầu tiên của hacker là phải xác định đây là các đối tượng tồn tại thật.
Hình 11: Tấn công hệ thống từ bên ngoài.
Để có được thông tin về hệ thống, hacker cần dùng tới thiết bị có khả năng phục vụ mail và các dịch vụ khác. Hacker sẽ tìm cách để nhận được một thông điệp đến từ bên trong hệ thống, khi đó, đường đi được kiểm tra và có thể tìm ra những manh mối về cấu trúc hệ thống.
Ngoài ra, không Firewall nào có thể ngăn cản việc phá hoại từ bên trong. Nếu hacker tồn tại ngay trong nội bộ tổ chức, chẳng bao lâu mạng của bạn sẽ bị hack. Thực tế đã xảy ra với một công ty dầu lửa lớn: một tay hacker trà trộn vào đội ngũ nhân viên và thu thập những thông tin quan trọng không chỉ về mạng mà còn về các trạm Firewall.
Một số mô hình Firewall
Packet-Filtering Router (Bộ trung chuyển có lọc gói)
Hệ thống Internet firewall phổ biến nhất chỉ bao gồm một packet-filtering router đặt giữa mạng nội bộ và Internet. Một packet-filtering router có hai chức năng: chuyển tiếp truyền thông giữa hai mạng và sử dụng các quy luật về lọc gói để cho phép hay từ chối truyền thông.
Căn bản, các quy luật lọc đựơc định nghĩa sao cho các host trên mạng nội bộ được quyền truy nhập trực tiếp tới Internet, trong khi các host trên Internet chỉ có một số giới hạn các truy nhập vào các máy tính trên mạng nội bộ. Tư tưởng của mô cấu trúc firewall này là tất cả những gì không được chỉ ra rõ ràng là cho phép thì có nghĩa là bị từ chối.
Ưu điểm:
Giá thành thấp, cấu hình đơn giản
Trong suốt(transparent) đối với user.
b. Hạn chế:
Có rất nhiều hạn chế đối với một packet-filtering router, như là dễ bị tấn công vào các bộ lọc mà cấu hình được đặt không hoàn hảo, hoặc là bị tấn công ngầm dưới những dịch vụ đã được phép.
Bởi vì các packet được trao đổi trực tiếp giữa hai mạng thông qua router, nguy cơ bị tấn công quyết định bởi số lợng các host và dịch vụ được phép. Điều đó dẫn đến mỗi một host được phép truy nhập trực tiếp vào Internet cần phải được cung cấp một hệ thống xác thực phức tạp, và thường xuyên kiểm tra bởi người quản trị mạng xem có dấu hiệu của sự tấn công nào không.
Nếu một packet-filtering router do một sự cố nào đó ngừng hoạt động, tất cả hệ thống trên mạng nội bộ có thể bị tấn công.
Hình 12: Packet-Filtering Router
Mô hình Screened Host Firewall
Hệ thống này bao gồm một packet-filtering router và một bastion host. Hệ thống này cung cấp độ bảo mật cao hơn hệ thống trên, vì nó thực hiện cả bảo mật ở tầng network (packet-filtering) và ở tầng ứng dụng (application level). Đồng thời, kẻ tấn công phải phá vỡ cả hai tầng bảo mật để tấn công vào mạng nội bộ.
Hình 13: Mô hình Screened Host Firewall( single-Homed Bastion Host)
Trong hệ thống này, bastion host được cấu hình ở trong mạng nội bộ. Qui luật filtering trên packet-filtering router được định nghĩa sao cho tất cả các hệ thống ở bên ngoài chỉ có thể truy nhập bastion host; Việc truyền thông tới tất cả các hệ thống bên trong đều bị khoá. Bởi vì các hệ thống nội bộ và bastion host ở trên cùng một mạng, chính sách bảo mật của một tổ chức sẽ quyết định xem các hệ thống nội bộ được phép truy nhập trực tiếp vào bastion Internet hay là chúng phải sử dụng dịch vụ proxy trên bastion host. Việc bắt buộc những user nội bộ được thực hiện bằng cách đặt cấu hình bộlọc của router sao cho chỉ chấp nhận những truyền thông nội bộ xuất phát từ bastion host.
Ưu điểm:
Máy chủ cung cấp các thông tin công cộng qua dịch vụ Web và FTP có thể đặt trên packet-filtering router và bastion. Trong trường hợp yêu cầu độ an toàn cao nhất, bastion host có thể chạy các dịch vụ proxy yêu cầu tất cả các user cả trong và ngoài truy cập qua bastion host trước khi nối với máy chủ. Trong trường hợp không yêu cầu độ an toàn cao thì các máy nội bộ có thể nối thẳng với máy chủ.
Nếu cần độ bảo mật cao hơn nữa thì có thể dùng hệ thống Firewall dual-homed(hai chiều) bastion host (hình 14). Một hệ thống bastion host như vậy có hai giao diện mạng (network interface), nhưng khi đó khả năng truyền thông trực tiếp giữa hai giao diện qua dịch vụ proxy là bị cấm.
Hình 14: Mô hình Screened Host Firewall (Dual-Homed Bastion Host)
Bởi vì bastion host là hệ thống bên trong duy nhất có thể truy nhập được từ Internet, sự tấn công cũng chỉ giới hạn đến bastion host mà thôi. Tuy nhiên, nếu như user log on được vào bastion host thì họ có thể dễ dàng truy nhập toàn bộ mạng nội bộ. Vì vậy cần phải cấm không cho user logon vào bastion host.
Mô hình Demilitarized Zone (DMZ-khu vực phi quân sự) hay Screened-subnet Firewall.
Hệ thống bao gồm hai packet-filtering router và một bastion host. Hệ có độ an toàn cao nhất vì nó cung cấp cả mức bảo mật network và application, trong khi định nghĩa một mạng “phi quân sự”. Mạng DMZ đóng vai trò như một mạng nhỏ, cô lập đặt giữa Internet và mạng nội bộ. Cơ bản, một DMZ được cấu hình sao cho các hệ thống trên Internet và mạng nội bộ chỉ có thể truy nhập được một số giới hạn các hệ thống trên mạng DMZ, và sự truyền trực tiếp qua mạng DMZ là không thể được.
Hình 15: Mô hình DMZ
Với những thông tin đến, router ngoài chống lại những sự tấn công chuẩn (như giả mạo địa chỉ IP), và điều khiển truy nhập tới DMZ. Hệ thống chỉ cho phép bên ngoài truy nhập vào bastion host. Router trong cung cấp sự bảo vệ thứ hai bằng cách điều khiển DMZ truy nhập mạng nội bộ chỉ với những truyền thông bắt đầu từ bastion host.
Với những thông tin đi, router trong điều khiển mạng nội bộ truy nhập tới DMZ. Nó chỉ cho phép các hệ thống bên trong truy nhập bastion host và có thể cả information server. Quy luật filtering trên router ngoài yêu cầu sử dung dich vụ proxy bằng cách chỉ cho phép thông tin ra bắt nguồn từ bastion host.
Ưu điểm:
Kẻ tấn công cần phá vỡ ba tầng bảo vệ: router ngoài, bastion host và router trong.
Bởi vì router ngoài chỉ quảng cáo DMZ network tới Internet, hệ thống mạng nội bộ là không thể nhìn thấy được (invisible). Chỉ có một số hệ thống đã được chọn ra trên DMZ là được biết đến bởi Internet qua routing table và DNS information exchange (Domain Name Server)
Bởi vì router trong chỉ quảng cáo DMZ network tới mạng nội bộ, các hệ thống trong mạng nội bộ không thể truy nhập trực tiếp vào Internet. Điều nay đảm bảo rằng những user bên trong bắt buộc phải truy nhập Internet qua dịch vụ proxy
BASTION HOST
Bastion Host là một máy tính có độ an toàn cao, được bố trí như là điểm giao tiếp chính đối với người sử dụng trên mạng nội bộ và mạng bên ngoài, do đó nó là nơi thường bị tấn công nhất trong mạng nội bộ.
Nguyên lí cơ bản để thiết kế và xây dựng một Baston host
Sự đơn giản: Một bastion host càng đơn giản thì càng dễ bảo vệ. bất kỳ một bastion host đều có thể có lỗi phần mềm hay lỗi cấu hình trong nó, đây là vấn đề cần quan tâm trong bảo mật. Vì thế để một bastion host ít khả năng lỗi thì nó chỉ nên cung cấp một tập nhỏ các dịch vụ với đặc quyền tối thiểu mà vẫn còn đầy đủ vai trò của nó.
Dự phòng cho phương án khi bastion host bị tổn thương mà không ảnh hưởng đến mạng nội bộ. Nên đoán trước những gì xấu nhất có thể xảy ra để có kế hoạch cho nó, luôn dặt câu hỏi điều gì sẽ xảy ra nếu baston host bị tổn thương. Chúng ta nhấn mạnh điều này vì máy bastion host dễ bị tấn công nhất, do mạng bên ngoài truy cập đến nó và nó còn chống lại sự tấn công từ mạng bên ngoài vào hệ thống mạng nội bộ.
Các loại Bastion host đặc biệt
Có nhiều loại bastion host, có loại được xây dựng trong Screened host hoặc host cung cấp dịch vụ trên một Screened network. Thường được cấu hình tương tự nhau nhưng có một vài yêu cầu đặc biệt.
Dual-homed host không có chức năng định tuyến
Bản thân nó có thể là firewall, hoặc một phần của firewall phức tạp. Nó được cấu hình như các bastion host khác nhưng phải rất cẩn thận.
Victim machines(máy dùng để thử nghiệm)
Victim machine hữu dụng để chạy các dịch vụ khó cung cấp an toàn với proxy, packet filtering hoặc cá dịch vụ mới mà chúng ta chưa biết chính sách bảo mật thích hợp.
Nó chỉ cung cấp nhu cầu tối thiểu cần thiết cho dịch vụ, để tránh các tương tác không cần thiết.
Nó được cấu hình như các bastion host khác, ngoài trừ chúng luôn cho người sử dụng login vào.
Internal bastion host
Là host trên mạng nội bộ được cài đặt như một bastion host và tương tác với bastion host chính. Nó không giống như các bastion host khác trong mạng nộ bộ, vai trò của nó là một bastion host phụ, các bastion host trong mạng nộ bộ tương tác với bastion host phụ.
External bastion host.
Là một bastion host chỉ cung cấp các dịch vụ trên Internet, nó là nơi dễ bị tấn công, nên các máy này cần tăng cường bảo mật.
Nó chỉ cần giới hạn việc truy cập đến mạng bên trong, chúng thường chỉ cung cấp một ít dịch vụ với một số định nghĩa tốt về bảo mật và không cần hỗ trợ các người sử dụng bên trong.
Chọn máy
Bước đầu tiên để xây dựng bastion host là quyết định sử dụng loại máy gì? Hệ điều hành gì? Bastion host cần nhanh như thế nào? Phần cứng nào được hỗ trợ.
Hệ điều hành
Nên chọn hệ điều hành UNIX/LINUX/WINDOWS NT/ WINDOWS 2K tùy theo khả năng làm chủ hệ điều hành nào, sao cho cài đặt được proxy server, bộ lọc packet, server phục vụ cho SMTP và DNS.
Chọn máy tính nhanh như thế nào
Thường thì bastion host không cần máy tính mạnh bởi sự giới hạn tốc độ kết nối ra Internet và không xử lí nhiều, trừ khi mạng nội bộ cung cấp dịch vụ trên Internet và mạng nội bộ được nhiều người biết đến trên phạm vi rộng lớn.
Nếu mạng nội bộ cung cấp dịch vụ web thì cần bastion host có khả năng chịu tải cao.
Một vài lí do mà bastion host không cần máy tính quá mạnh:
Một máy chậm không là sự tăng uy tín của kẻ tấn công.
Nếu bastion host bị tổn thương, nó ít hữu dụng cho việc tấn công vào mạng nội bộ hoặc dò mật khẩu.
Một bastion host chậm sẽ ít hấp dẫn cho những người trong mạng nội bộ làm tổn thương. Máy tính tốc độ nhanh làm tăng thời hian chờ nên kết nối chậm.
Chọn phần cứng
Chọn phần cứng có tốc độ xử lí không cần mạnh, nhưng bộ nhớ phải nhiều và dung lượng đĩa lớn để có thể lưu trữ thông tin đã yêu cầu để cung cấp cho những yêu cầu giống yêu cầu đã có hoặc ghi lại dấu vết của các kết nối.
Chọn vị trí vật lí đặt Bastion Host
Cần đặt bastion host ở một vị trí vật lí an toàn, những người không có trách nhiệm sẽ không được đến đó. Ngoài ra cần chú ý đến nhiệt độ, nguồn điện thích hợp.
Vị trí Bastion Host trên mạng
Tùy theo nhu cầu có thể đặt trên mạng nội bộ, nhưng nên đặt trên mạng ngoại vi.
Chọn dịch vụ mạng mà Bastion Host cung cấp
Có thể chia các dịch vụ thành 4 lớp:
Các dịch vụ an toàn có thể được cung cấp qua packet filtering.
Các dịch vụ không an toàn khi được cung cấp bình thường nhưng có khả năng đạt được an toàn ở điều kiện khác.
Các dịch vụ không an toàn khi được cung cấp bình thường và không thể đạt được an toàn, dịch vụ này phải được vô hiệu hóa và cung cấp trên máy thử nghiệm.
Các dịch vụ không đến, hoặc không dùng trong việc kết nối với Internet.
Các dịch vụ thường được cung cấp trên bastion host:
SMTP (thư điện tử)
FTP (truyền dữ liệu)
HTTP (web)
DNS (chuyển đổi host thành địa chỉ IP và ngược lại). DNS ít khi được dùng trực tiếp.
Về ý tưởng chúng ta có thể đặt mỗi dịch vụ trên một bastion host, nhưng trên thực tế thì ít khi đạt được điều này. Do vấn đề tài chính và quản lí sẽ khó hơn khi có quá nhiều máy.
Có một vài nhận xét khi nhóm các dịch vụ với nhau thành một nhóm:
Các dịch vụ quan trọng: Web server phục vụ khách hàng.
Các dịch vụ theo đối tượng: người sử dụng bên trong, người siwr dụng bên ngoài.
Các dịch vụ an toàn: dịch vụ tin cậy và dịch vụ không tin cậy trên các máy khác nhau.
Các dịch vụ truy cập có mức độ khác nhau: thông tin công cộng và thông tin riêng tư.
Lí do không cung cấp tài khoản truy cập trên Bastion Host
Không cung cấp tài khoản cho người sử dụng truy cập trên Bastion host vì các lí do sau:
Tài khoản của người sử dụng dễ bị tổn thương
Giảm độ ổn định và tin cậy của Bastion host.
Sự vô ý của người sử dụng làm phá vỡ tính bảo mật
Gia tăng khó khăn khi dò tìm sự tấn công.
Xây dựng một Bastion Host an toàn chống lại sự tấn công
Bảo đảm máy không kết nối với Internet cho đến bước cuối cùng.
Bảo vệ an toàn cho máy
Cài đặt một hệ điều hành sạch tối thiểu theo yêu cầu
Sửa các lỗi của hệ điều hành qua thông tin của các nhà sản xuất hệ điều hành.
Sử dụng bảng liệt kê các mục cần kiểm tra an toàn phù hợp với phiên bản của hệ điều hành.
Bảo vệ an toàn cho các tập tin nhật kí hệ thống (system log): là phương pháp thể hiện hoạt động của bastion host, cơ sở để kiểm tra bị tấn công. Nên có hai bản sao system log để phòng trường hợp tai họa lớn xảy ra, hai bản system log này phải được đặt ở vị trí khác nhau.
Hủy các dịch vụ không dùng
Hủy bất kì dịch vụ không cần thiết cung cấp cho bastion host.
Nếu không biết chức năng của một dịch vụ nào đó thì nên tắt nó, nếu tắt nó có vấn đề thì ta biết ngay được chức năng của nó.
Tắt các chức năng định tuyến
Tắt tất cả các chương trình có chức năng định tuyến.
Hủy chức năng chuyển tiếp địa chỉ IP
Cấu hình cho dịch vụ chạy tốt nhất và kết nối bastion host vào mạng
Cấu hình hệ điều hành lần cuối.
Loại bỏ các chương trình không cần thiết.
Dựng hệ thống file chỉ đọc.
Chạy kiểm tra (dùng phần mềm) sự an toàn: Để biết lỗ hổng bảo mật, thiết lập một cơ sở dữ liệu tổng hợp thông tin của tất cả các tập tin trong hệ thống để nhận biết được sự thay đổi các tập tin này về sau bởi những người thay đổi trái phép.
CÁC DỊCH VỤ INTERNET
Internet cung cấp một hệ thống các dịch vụ cho phép người dùng nối vào Internet, truy nhập và sử dụng các thông tin trên mạng Internet. Hệ thống các dịch vụ này đã, đang được bổ sung thwo sự phát triển không ngừng của Internet. Các dịch vụ này bao gồm: World Wide Web (viết tắt là WWW hay Web), Email (thư điện tử), FTP (File transfer protocols-dịch vụ chuyển file), Telnet (ứng dụng cho phép truy nhập máy tính ở xa), Archie (hệ thống xác định thông tin ở các file và directory), Finger (hệ thống xác định các user trên Internet), Rlogin (remote login-vào mạng từ xa) và một số dịch vụ khác.
World Wide Web (WWW)
WWW là dịch vụ Internet ra đời gần đây nhất và phát triển nhanh nhất hiện nay. Nó cung cấp một giao diện rất thân thiện đối với người sử dụng, dễ sử dụng, vô cùng đơn giản và thuận lợi cho việc tìm kiếm thông tin.WWW liên kết thông tin dựa trên công nghệ hyper-link (siêu liên kết), cho phép các trang web liên kết trực tiếp với nhau qua địa chỉ của chúng. Thông qua WWW người dùng có thể:
Phát hành tin tức của mình và đọc tin tức từ khắp nơi trên thế giới.
Quảng cáo về mình, về công ty hay tổ chưc của mình cũng như xem các loại quảng cáo trên Thế giới, từ kiếm việc làm, tuyển mộ nhân viên, công nghệ và sản phẩm mới, tìm bạn
Trao đổi thông tn với bạn bè, các tổ chức xã hội, trung tâm nghiên cứu trường học
Thực hiện các dịch vụ chuyển tiền hay mua bán hàng hóa
Truy cập Cơ sở dữ liệu của các tổ chức nếu như được phép.
Và còn nhiều hoạt động khác
Electronic Mail ( Email-Thư điện tử )
Email là dịch vụ Internet được sử dụng rộng rãi nhât hiện nay. Hầu hết các thông báo ở dạng text (văn bản) đơn giản, nhưng người sử dụng có thê gửi kèm các file dạng hình ảnh, âm thanh. Hệ thống email trên Internet là hệ thống thư điện tử lớn nhất trên thế giới hiện nay, và thường được sử dụng với các hệ thống chuyển thư khác.
Khả năng chuyển thư điện tử trên Web có bị hạn chế hơn so với các hệ thống chuyển thư trên Internet, bởi vì Web là một phương tiện trao đổi công cộng, còn thư có tính chất riêng tư. Vì vậy, không phải tất cả các Web brower đều cung cấp chức năng email. Hai brower lớn nhất hiện nay là Netscape và Internet Explorer đều cunng cấp chức năng email.
FTP(File Transfer Protocols )
FTP là một dịch vụ cho phép sao chép file từ một hệ thống máy tính này sang hệ thống máy tính khác. FTP bao gồm thủ tục và chương trình ứng dụng, và là một trong số dịch vụ ra đờ sớm nhất trên Internet.
FTP có thể được dùng ở mức hệ thống (gõ lệnh vào command-line) trong web brower hay trên một số tiện ích khác. FTP vô cùng hữu ích cho người dùng Internet, bởi vì khi tìm kiếm trên Internet bạn có thể thấy rất nhiều thư viện phần mềm hữu ích trên các lĩnh vực mà bạn muốn sao chép về máy để sử dụng.
Telnet và Rlogin
Telnet là một dịch vụ cho phép bạn truy nhập vào một máy tính ở xa và chạy các ứng dụng trên máy đó. Telnet rất hữu ích khi bạn muốn chạy một ứng dụng mà không có hoặc không chạy dược trên máy tính của bạn, ví dụ bạn muốn chạy một ứng dụng UNIX nhưng máy của bạn lại là PC. Hay máy tính của bạn không đủ mạnh hoặc không có các file dữ liệu cần thiết.
Telnet cho bạn khả năng làm việc trên một máy tính ở xa hàng ngàn cây số mà bạn vẫn có cảm giác như đang ng
Các file đính kèm theo tài liệu này:
- 2108.doc