Đồ án Vấn đề an toàn trong mạng máy tính

mỡnh. Khi thực thể TCP đó nhận được thụng điệp FIN và sau khi đó gửi thụng điệp FIN của chớnh mỡnh, kết nối TCP thực sụ kết thỳc. 4.3. Internet 4.3.1. Lịch sử phỏt triển của Internet Internet bắt nguồn từ đề ỏn ARPANET (Advanced Research Project Agency Network) khởi sự trong năm 1969 bởi Bộ Quốc phũng Mỹ (American Department of Defense). Đề ỏn ARPANET với sự tham gia của một số trung tõm nghiờn cứu, đại học tại Mỹ (UCLA, Stanford, ... ) nhằm mục đớch thiết kế một mạng WAN (Wide Area Network) cú khả năng tự bảo tồn chống lại sự phỏ hoại một phõn mạng bằng chiến tranh nguyờn tử. Đề ỏn này dẫn tới sự ra đời của nghi thức truyền IP (Internet Protocol). Theo nghi thức này, thụng tin truyền sẽ được đúng thành cỏc gúi dữ liệu và truyền trờn mạng theo nhiều đường khỏc nhau từ người gửi tới nơi người nhận. Một hệ thống mỏy tớnh nối trờn mạng gọi là Router làm nhiệm vụ tỡm đường đi tối ưu cho cỏc gúi dữ liệu, tất cả cỏc mỏy tớnh trờn mạng đều tham dự vào việc truyền dữ liệu, nhờ vậy nếu một phõn mạng bị phỏ huỷ cỏc Router cú thể tỡm đường khỏc để truyền thụng tin tới người nhận. Mạng ARPANET được phỏt triển và sử dụng trước hết trong cỏc trường đại học, cỏc cơ quan nhà nước Mỹ, tiếp theo đú, cỏc trung tõm tớnh toỏn lớn, cỏc trung tõm truyền vụ tuyến điện và vệ tinh được nối vào mạng, ... trờn cơ sở này, ARPANET được nối với khắp cỏc vựng trờn thế giới. Tới năm 1983, trước sự thành cụng của việc triển khai mạng ARPANET, Bộ quốc phũng Mỹ tỏch một phõn mạng giành riờng cho quõn đội Mỹ(MILNET). Phần cũn lại, gọi là NSFnet, được quản lý bởi NSF (National Science Foundation) NSF dựng 5 siờu mỏy tớnh để làm Router cho mạng, và lập một tổ chức khụng chớnh phủ để quản lý mạng, chủ yếu dựng cho đại học và nghiờn cứu cơ bản trờn toàn thế giới. Tới năm 1987, NSFnet mở cửa cho cỏ nhõn và cho cỏc cụng ty tư nhõn (BITnet), tới năm 1988 siờu mạng được mang tờn INTERNET. Tuy nhiờn cho tới năm 1988, việc sử dụng INTERNET cũn hạn chế trong cỏc dịch vụ truyền mạng (FTP), thư điện tử (E–mail), truy nhập từ xa (TELNET) khụng thớch ứng với nhu cầu kinh tế và đời sống hàng ngày. INTERNET chủ yếu được dựng trong mụi trường nghiờn cứu khoa học và giảng dạy đại học. Trong năm 1988, tại trung tõm nghiờn cứu nguyờn tử của Phỏp CERN (Centre Europộen de Recherche Nuclaire) ra đời đề ỏn Mạng nhện thế giới WWW (World Wide Web). Đề ỏn này, nhằm xõy dựng một phương thức mới sử dụng INTERNET, gọi là phương thức Siờu văn bản (HyperText). Cỏc tài liệu và hỡnh ảnh được trỡnh bày bằng ngụn ngữ HTML (HyperText Markup Language) và được phỏt hành trờn INTERNET qua cỏc hệ chủ làm việc với nghi thức HTTP (HyperText Transport Protocol). Từ năm 1992, phương thức làm việc này được đưa ra thử nghiờm trờn INTERNET. Rất nhanh chúng, cỏc cụng ty tư nhõn tỡm thấy qua phương thức này cỏch sử dụng INTERNET trong kinh tế và đời sống. Vốn đầu tư vào INTERNET được nhõn lờn hàng chục lần. Từ năm 1994 INTERNET trở thành siờu mạng kinh doanh. Số cỏc cụng ty sử dụng INTERNET vào việc kinh doanh và quảng cỏo lờn gấp hàng nghỡn lần kể từ năm 1995. Doanh số giao dịch thương mại qua mạng INTERNET lờn hàng chục tỉ USD trong năm 1996 ... Với phương thức siờu văn bản, người sử dụng, qua một phần mềm truy đọc (Navigator), cú thể tỡm đọc tất cả cỏc tài liệu siờu văn bản cụng bố tại mọi nơi trờn thế giới (kể cả hỡnh ảnh và tiếng núi). Với cụng nghệ WWW, chỳng ta bước vào giai đoạn mà mọi thụng tin cú thể cú ngay trờn bàn làm việc của mỡnh. Mỗi cụng ty hoặc người sử dụng, được phõn phối một trang cội nguồn (Home Page) trờn hệ chủ HTTP. Trang cội nguồn, là siờu văn bản gốc, để từ đú cú thể tỡm tới tất cả cỏc siờu văn bản khỏc mà người sử dụng muốn phỏt hành. Địa chỉ của trang cội nguồn được tỡm thấy từ khắp mọi nơi trờn thế giới. Vỡ vậy, đối với một xớ nghiệp, trang cội nguồn trở thành một văn phũng đại diện điện tử trờn INTERNET. Từ khắp mọi nơi, khỏch hàng cú thể xem cỏc quảng cỏo và liờn hệ trực tiếp với xớ nghiệp qua cỏc dũng siờu liờn kết (HyperLink) trong siờu văn bản. Tới năm 1994, một điểm yếu của INTERNET là khụng cú khả năng lập trỡnh cục bộ, vỡ cỏc mỏy nối vào mạng khụng đồng bộ và khụng tương thớch. Thiếu khả năng này, INTERNET chỉ được dựng trong việc phỏt hành và truyền thụng tin chứ khụng dựng để xử lý thụng tin được. Trong năm 1994, hóng mỏy tớnh SUN Corporation cụng bố một ngụn ngữ mới, gọi là JAVA(cafe), cho phộp lập trỡnh cục bộ trờn INTERNET, cỏc chương trỡnh JAVA được gọi thẳng từ cỏc siờu văn bản qua cỏc siờu liờn (Applet). Vào mựa thu năm 1995, ngụn ngữ JAVA chớnh thức ra đời, đỏnh dấu một bước tiến quan trọng trong việc sử dụng INTERNET. Trước hết, một chương trỡnh JAVA, sẽ được chạy trờn mỏy khỏch (Workstation) chứ khụng phải trờn mỏy chủ (Server). Điều này cho phộp sử dụng cụng suất của tất cả cỏc mỏy khỏch vào việc xử lý số liệu. Hàng triệu mỏy tớnh (hoặc vi tớnh) cú thể thực hiện cựng một lỳc một chương trỡnh ghi trờn một siờu văn bản trong mỏy chủ. Việc lập trỡnh trờn INTERNET cho phộp truy nhập từ một trang siờu văn bản vào cỏc chương trỡnh xử lý thụng tin, đặc biệt là cỏc chương trỡnh điều hành và quản lý thụng tin của một xớ nghiệp. phương thức làm việc này, được gọi là Intranet. Chỉ trong năm 1995–1996, hàng trăm nghỡn dịch vụ phần mềm Intranet được phỏt triển. Nhiều hóng mỏy tớnh và phần mềm như Microsoft, SUN, IBM, Oracle, Netscape,... đó phỏt triển và kinh doanh hàng loạt phần mềm hệ thống và phần mềm cơ bản để phỏt triển cỏc ứng dụng INTERNET / Intranet. 4.3.2. Kiến trỳc của Internet. Internet là một siờu mạng dựa trờn sự liờn nối trờn nhiều lớp khỏc nhau: Mạng liờn lục địa: Sử dụng trục cable qua cỏc đại dương, hoặc sử dụng cỏc vệ tinh. Mục đớch là nối thụng tin giữa cỏc lục địa. Một số hóng điều tiết chớnh (Operaters) trờn thế giới: MCInet, SPRINTlink, ANSnet–AOL, CERFnet, Ebone, Eurpanet, ... Mạng lục địa: Gồm cỏc hóng điều tiết quốc gia hay liờn quốc gia, cung cấp phương tiện truyền tin cho cỏc khỏch hàng trờn một vựng nhất định của một lục địa: VIETPAC (Việt Nam), TRANSPAC (Phỏp), AUSPAC (Australia), TELEPAC ( Singapore), ... Mạng truy nhập địa phương: Gồm cỏc hóng bỏn dịch vụ cổng vào cho khỏch hàng qua mạng lưới điện thoại hay mạng riờng, và nối vào cỏc mạng lục địa bởi cỏc đường truyền đặc biệt (Specialized links): TRANSPAC–France–Telecom, FranceNet, World Net, Imaginet, ... Mạng biệt lập: Cỏc mạng được xõy dựng riờng để bỏn dịch vụ cho khỏch và cú cổng nối với siờu mạng Internet (Computer Serve, IBM, Micronet, Microsoft Network, ...) Trong cỏc hóng bỏn dịch vụ cổng vào, cần phõn biệt: – Cỏc hóng điều tiết Internet: Cỏc hóng này, cú khả năng cung cấp đường kết nối liờn tục vào siờu mạng (on–line services), họ tham gia vào việc quản lý hệ Internet trờn phạm vi một địa phương hay một quốc gia: VIETPAC (VDC – Việt Nam), AUSPAC, TRANSPAC, ... – Cỏc hóng cung cấp dịch vụ dial–up: cho thuờ bao cổng vào qua hệ thống điện thoại. Cỏc dịch vụ này khụng phải là dịch vụ liờn tục (off–line services). Tại Việt Nam: VAREnet và Netnam – Viện Cụng nghệ Thụng tin, Vietnet – Bưu điện Khỏnh Hoà, Trớ tuệ Việt Nam – Cụng ty FPT, Phương Nam – Trung tõm Hội chợ Triển lươm, ... – Cỏc hóng cung cấp dịch vụ UUCP ( Unix to Unix Copy), chủ yếu là truyền mạng từ xa (FTP) và thư điện tử (e–mail), chẳng hạn VN–mail tại Việt Nam. Cỏc hóng thuờ bao cổng vào thường kết hợp với việc làm cỏc dịch vụ Internet như: thuờ làm trang cội nguồn (Home Page), thiết kế và xõy dựng cỏc siờu văn bản, quản lý cỏc nhúm hội thảo (Newgroup), dịch vụ Intranet, ... Về mặt thiết bị ba thành phần chớnh tạo nờn Internet là: Cỏc trạm chủ (Hosts), cỏc trạm làm việc (Workstation), PCs, mỏy chủ, mỏy lớn, v.v ... trờn đú chạy cỏc chương trỡnh ứng dụng. Cỏc mỏy tớnh cú thể thuộc cỏc loại khỏc nhau, chỉ cần hiểu được TCP/IP và cú phần cứng, phần mềm tương ứng để truy cập và sử dụng cỏc dịch vụ Internet. Cỏc mạng diện rộng, mạng cục bộ, đường thuờ bao điểm–điểm (Point to Point), liờn kết Dial–Up (điện thoại, ISDN, X.25) v.v ... mang tải thụng tin trao đổi giữa cỏc mỏy tớnh. Cỏc bộ dẫn đường (Router) phục vụ việc kết nối giữa cỏc mạng. Nhiều cụng nghệ mạng khỏc nhau được kết hợp nhằm đảm bảo ở khắp mọi nơi dịch vụ chuyển nhận cỏc gúi dữ liệu (IP Packet – đơn vị cấu thành trao đổi thụng tin) trờn mạng. Vấn đề then chốt là cần cú chuẩn truyền thụng thống nhất và cơ chế dẫn đường trờn cỏc mạng phõn tỏn diện rộng. Internet dựa trờn tập hợp cỏc giao thức cú tờn chung là TCP/IP được xõy dựng nhằm cho mục đớch trờn: – Mỗi mỏy tớnh trờn mạng Internet đều cú 1 địa chỉ IP duy nhất. – Cơ chế dẫn đường được thực hiện qua cỏc ROUTER. Tại đú cú cỏc bảng thụng tin dẫn đường được cập nhật liờn tục chỉ cho biết điểm đến tiếp theo trờn mạng. Khi cú một trạm nào đú bị hỏng thụng tin cú thể được lỏi đi qua một số trạm khỏc để đến địa chỉ cuối cựng. 4.3.3. Cỏc dịch vụ thụng tin trờn Internet. 4.3.3.1. Thư điện tử (Email). Dịch vụ thư tớn điện tử (Email) giỳp ta gửi thụng tin đến mọi người nếu ta cú địa chỉ thư điện tử của họ. Trờn Internet thư điện tử khụng chỉ đến với những người nối trực tiếp vào Internet mà cú thể đến cả với những người khụng nối trực tiếp vào Internet. Những người khụng nối trực tiếp vào mạng vào Internet thường là thành viờn của một số mạng thương mại như CompuServe, American Online,.... Số lượng người sử dụng thư điện tử lờn tới hàng chục triệu người, do vậy dịch vụ thư điện tử đúng một vai trũ hết sức quan trọng. Ta cú thể chia dịch vụ thư điện tử thành 2 dịch vụ cơ bản là: Mailing list (với mỏy chủ quản lý danh sỏch thư) Archive Server (mỏy chủ thực thi) Mailing list cú khả năng đưa ra danh sỏch địa chỉ thư điện tử của mọi người mà bạn cú thể gửi thư đến từng địa chỉ đú. Archive Server cho phộp gửi cỏc tệp theo đường thư điện tử để đỏp ứng yờu cầu của người dựng đưa ra. 4.3.3.2. Truyền file (FTP). FTP (File Tranfer Protocol) là một dịch vụ tốt và cú hiệu quả để lấy tệp từ cỏc mỏy tớnh khỏc trờn mạng. Việc này cũng giống như việc đăng nhập vào một mỏy tớnh nhưng nú giới hạn người sử dụng bằng một số lệnh giới hạn đối với những người sử dụng nặc danh. FTP hỗ trợ tất cả cỏc dạng tệp, ta cú thể tạo ra cỏc văn bản mó ACSII, Portscript hoặc tài liệu PCL, hay cỏc phần mềm dưới dạng nhị phõn. Chỉ cần thay đổi một chỳt cấu hỡnh với một Server FTP đặc biệt, là cú thể cú cỏc lớp (Classes) cho người sử dụng với khả năng cú thể truy cập với mức độ khỏc nhau vào từng phần của nơi lưu trữ dữ liệu, kết nối, truyền, và giới hạn số lượng người sử dụng cú khả năng cựng một lỳc cú thể truy nhập vào nơi lưu trữ dữ liệu của ta. Điểm yếu của FTP là quỏ trỡnh hiển thị cỏc thư mục và tệp khụng thõn thiện cụ thể là nú khụng cung cấp giao diện đồ hoạ và những chỉ dẫn cần thiết về tệp hay thư mục. Một cỏch truyền thống mà người quản trị giỳp đỡ người sử dụng tài nguyờn bằng việc cung cấp một danh sỏch cỏc tệp trong kho lưu trữ nhưng khụng phải lỳc nào cũng cú hiệu quả. Một số người quản trị cũn cung cấp tệp Readme trong mỗi thư mục để mụ tả từng tệp hay từng thư mục con. 4.3.3.3. Truy cập từ xa (Telnet). Telnet là dịch vụ cú trong bất cứ hệ điều hành nào do vậy chỳng được sử dụng ngay lỳc chỳng ra đời. Telnet cho phộp bạn đăng nhập vào hệ thống từ một thiết bị đầu cuối nào trờn mạng. Nú sử dụng để cung cấp cỏc dịch vụ của Internet hoàn toàn giống như bạn quay số để nối trực tiếp vào Internet bằng modem. 4.3.3.4. World Wide Web World Wide Web (WWW) hay Web là một dịch vụ mới nhất và cú hiệu quả nhất trờn Internet. WWW với những đặc trưng của riờng nú cựng với tổ hợp cỏc dịch vụ thụng tin đó biến nú trở thành một dịch vụ rất hữu ớch nhưng lại rất dễ hiểu. Nếu khi bạn cần FTP thỡ Client FTP sẽ cho phộp bạn cú thể truy nhập vào tài nguyờn của FTP. Nếu bạn cần WAIS thỡ Client WAIS sẽ cho phộp bạn truy nhập vào WAIS Server. Nếu là Client Gopher thỡ cú thể nối với Gopher Server. Cũn trỡnh duyệt Web cú thể cho phộp bạn truy nhập vào tất cả cỏc dịch vụ trờn và cũn hơn thế nữa. Tài liệu WWW được viết bằng ngụn ngữ HTML (HyperText Markup Language) hay cũn gọi là ngụn ngữ siờu văn bản. Dưới dạng nguyờn thủy nú giống như văn bản bỡnh thường nhưng nú cú thờm một số lệnh định dạng. HTML bao gồm nhiều cỏch liờn kết với cỏc tài nguyờn FTP, Gopher Server, WAIS Server và Web Server. Web Server trao đổi cỏc tài liệu HTML bằng giao thức HTTP (HyperText Transfer Protocol) hay gọi là giao thức truyền siờu văn bản. Với một cỏch định dạng đặc biệt bởi cỏc lệnh của HTML, ta biết được cú sự liờn kết với siờu văn bản khỏc hay khụng bằng cỏch nhận biết qua việc gạch dưới một cụm từ. Khi đú người dựng chỉ việc kớch chuột thỡ trỡnh duyệt sẽ tự động chuyển tới kết nối đú. Nếu đú là một tài liệu HTML thỡ trỡnh duyệt chỉ đơn giản là hiển thị văn bản đú. Nếu đú là một thư mục của một tài nguyờn FTP thỡ trỡnh duyệt sẽ liệt kờ danh sỏch thư mục và thể hiện nội dụng bằng một loạt cỏc kết nối với tờn sau khi cỏc thư mục con và cỏc tệp đó được liệt kờ đầy đủ trờn thư mục. Khi bạn kớch vào tệp thỡ liờn kết phục hồi thành tệp và hiện chỳng nếu cú thể hoặc truyền nú đến người sử dụng. Để sử dụng trỡnh duyệt đồ hoạ, người dựng là cỏc cụng ty hay cỏc trường đại học phải kết nối IP vào Internet. Đối với người sử dụng tại nhà riờng thỡ cần kết nối SLIP hoặc PPP để sử dụng trỡnh duyệt đồ hoạ. Việc dịch vụ WWW cú thể cho phộp kết nối cỏc thụng tin trờn quy mụ lớn, sử dụng đơn giản đó giỳp nú trở thành một dịch vụ quan trọng trờn Internet. Tài liệu HTML cú khả năng cung cấp cỏc nội dung cú giỏ trị và cỏc thụng tin bổ ớch, đơn giản. Chỉ cần một lần kớch chuột là cú thể truy nhập vào cỏc Server thụng tin ở bất cứ đõu. Phần II: vấn đề an toàn trong mạng máy tính Chương 1: Khái quát về an toàn mạng 1.1. Cỏc nguy cơ đe doạ hệ thống và mạng mỏy tớnh 1.1.1. Mụ tả cỏc nguy cơ Chỳng ta hóy hỡnh dung với một hệ thống thụng tin (Mạng LAN, mạng Intranet ...) đang hoạt động, bỗng đến một ngày nào đú nú bị tờ liệt toàn bộ (điều này khụng phải là khụng thể xảy ra) bởi một kẻ phỏ hoại cố tỡnh nào đú; hoặc nhẹ nhàng hơn là phỏt hiện thấy cỏc dữ liệu quý bỏu của mỡnh bị sai lạc một cỏch cố ý, thậm chớ bị mất mỏt. Hoặc một ngày nào đú bạn nhận thấy cụng việc kinh doanh của mỡnh bị thất bại thảm hại bởi vỡ thụng tin trong hệ thống của bạn bị kẻ khỏc xõm nhập và xem lộn ... Xử lý, phõn tớch, tổng hợp và bảo mật thụng tin là hai mặt của một vấn đề khụng thể tỏch rời nhau. Ngay từ khi mỏy tớnh ra đời, cựng với nú là sự phỏt triển ngày càng lớn mạnh và đa dạng của cỏc hệ thống xử lý thụng tin người ta đó nghĩ ngay đến cỏc giải phỏp đảm bảo an toàn cho hệ thống thụng tin của mỡnh. Với một mạng mỏy tớnh bạn sẽ cú bao nhiờu nguy cơ bị xõm phạm ? Cõu trả lời chớnh xỏc đú là ở mọi thời điểm, mọi vị trớ trong hệ thống đều cú khả năng xuất hiện. Chỳng ta phải kiểm soỏt cỏc vấn đề an toàn mạng theo cỏc mức khỏc nhau đú là : Mức mạng: Ngăn chặn kẻ xõm nhập bất hợp phỏp vào hệ thống mạng. Mức Server: Kiểm soỏt quyền truy cập, cỏc cơ chế bảo mật, quỏ trỡnh nhận dạng người dựng, phõn quyền truy cập, cho phộp cỏc tỏc vụ Mức CSDL: Kiểm soỏt ai? được quyền như thế nào ? với mỗi cơ sở dữ liệu. Mức trường thụng tin: Trong mỗi cơ sở dữ liệu kiểm soỏt được mỗi trường dữ liệu chứa thụng tin khỏc nhau sẽ cho phộp cỏc đối tượng khỏc nhau cú quyền truy cập khỏc nhau. Mức mật mó: Mó hoỏ toàn bộ file dữ liệu theo một phương phỏp nào đú và chỉ cho phộp người cú “ chỡa khoỏ” mới cú thể sử dụng được file dữ liệu. Theo quan điểm hệ thống, một xớ nghiệp (đơn vị kinh tế cơ sở) được thiết lập từ ba hệ thống sau: Hệ thống thụng tin quản lý. Hệ thống trợ giỳp quyết định. Hệ thống cỏc thụng tin tỏc nghiệp. Trong đú hệ thống thụng tin quản lý đúng vai trũ trung gian giữa hệ thống trợ giỳp quyết định và hệ thống thụng tin tỏc nghiệp với chức năng chủ yếu là thu thập, xử lý và truyền tin. Trong thời gian gần đõy, số vụ xõm nhập trỏi phộp vào cỏc hệ thống thụng tin qua mạng Internet và Intranet ngày càng tăng. Cú nhiều nguyờn nhõn dẫn đến việc cỏc mạng bị tấn cụng nhiều hơn, trong số những nguyờn chớnh cú thể kể đến xu hướng chuyển sang mụi trường tớnh toỏn Client/Server (khỏch/chủ), cỏc ứng dụng thương mại điện tử, việc hỡnh thành cỏc mạng Intranet của cỏc cụng ty với việc ứng dụng cụng nghệ Internet vào cỏc mạng kiểu này dẫn tới xoỏ nhoà ranh giới giữa phần bờn ngoài (Internet) và phần bờn trong (Intranet) của mạng, tạo nờn những nguy cơ mới về an toàn thụng tin. Cũng cần lưu ý rằng những nguy cơ mất an toàn thụng tin khụng chỉ do tấn cụng từ bờn ngoài mà một phần lớn lại chớnh là từ nội bộ: nhõn viờn bất món, sai sút của người sử dụng, ý thức bảo mật kộm,… Qua sơ đồ tổng quan một hệ thống tin học (hỡnh 34), ta cú thể thấy cỏc vị trớ cú nguy cơ về an toàn dữ liệu. Cỏc phương phỏp tấn cụng vào hệ thống thụng tin của những kẻ phỏ hoại (hacker) ngày càng trở nờn tinh vi, lợi dụng những điểm yếu cơ bản của mụi trường tớnh toỏn phõn tỏn. Một số cỏc phương phỏp tấn cụng thường gặp: Cỏc thủ thuật quan hệ: Hacker mạo nhận là người trong cơ quan, người phụ trỏch mạng hoặc nhõn viờn an ninh để hỏi mật khẩu của người sử dụng. Với những mạng cú người sử dụng từ xa thỡ hacker lấy lý do quờn mật khẩu hoặc bị hỏng đĩa cứng để yờu cầu cấp lại mật khẩu. Bẻ mật khẩu: Hacker tỡm cỏch lấy file mật khẩu và sau đú tấn cụng bằng từ điển, dựa trờn cỏc thuật toỏn mó hoỏ mà cỏc hệ điều hành sử dụng. Những mật khẩu yếu rất dễ bị phỏt hiện bằng cỏch này. Virus và cỏc chương trỡnh tấn cụng từ bờn trong. Hacker cú thể sử dụng chỳng để thực hiện những việc như: bắt cỏc ký tự gừ vào từ bàn phớm để tỡm mật khẩu, chộp trộm file mật khẩu, thay đổi quyền của người sử dụng ... Cỏc cụng cụ tấn cụng giả mạo địa chỉ (IP spoofing): hacker cú thể dựng những cụng cụ này để làm hệ thống tưởng lầm mỏy tớnh của hacker là một mỏy trong mạng nội bộ, hoặc để xoỏ dấu vết trỏnh bị phỏt hiện. Hỡnh 34: Sơ đồ tổng quan một hệ thống tin học Phong toả dịch vụ (DoS – Denial of Service): kiểu tấn cụng này nhằm làm giỏn đoạn hoạt động của mạng, Vớ Dụ gõy lỗi của chương trỡnh ứng dụng để làm treo mỏy, tạo những thụng điệp giả trờn mạng để chiếm đường truyền hoặc làm cạn cụng suất xử lý của mỏy chủ. 1.1.2. Cỏc mức bảo vệ an toàn mạng Vỡ khụng thể cú một giải phỏp an toàn tuyệt đối nờn người ta phải sử dụng đồng thời nhiều mức bảo vệ khỏc nhau tạo thành nhiều lớp “rào chắn” đối với cỏc hoạt động xõm phạm. Việc bảo vệ thụng tin trờn mạng chủ yếu là bảo vệ thụng tin cất giữ trờn cỏc mỏy tớnh, đặc biệt là trong cỏc Server của mạng. Vỡ thế mọi cố gắng tập trung vào việc xõy dựng cỏc mức “rào chắn” từ ngoài vào trong cho cỏc hệ thống kết nối vào mạng. 1.2. Phõn tớch cỏc mức an toàn mạng Bức tường lửa (Firewall) Bảo vệ vật lý (Physical Protect) Mó húa dữ liệu(Data Encryption) Đăng nhập/Mật khẩu (Login/Password) Quyển truy nhập (Access Right) Thụng tin (Information) Hỡnh 35: Cỏc mức an toàn mạng 1.2.1. Quyền truy nhập (Access Rights) Đõy là lớp bảo vệ sõu nhất, nhằm kiểm soỏt cỏc tài nguyờn (thụng tin) của mạng và quyền hạn (cú thể thực hiện cỏc thao tỏc gỡ) trờn tài nguyờn đú. Dĩ nhiờn là kiểm soỏt được cấu trỳc dữ liệu càng chi tiết càng tốt. Hiện tại việc kiểm soỏt thường ở mức tệp tin (file), và việc xỏc lập cỏc quyền thường do người quản trị mạng quyết định. Quyền hạn trờn tập tin là những thao tỏc mà người sử dụng cú thể thực hiện được trờn tệp tin đú: chỉ đọc, được phộp thay đổi … Tuy nhiờn, kiểm soỏt được cấu trỳc dữ liệu càng chi tiết thỡ mức độ an toàn càng cao. 1.2.2. Đăng nhập/Mật khẩu (Login/Password) Lớp bảo vệ này thực ra cũng là kiểm soỏt quyền truy nhập nhưng khụng phải truy nhập ở mức thụng tin mà ở mức hệ thống (tức là truy nhập vào mạng). Đõy là phương phỏp bảo vệ phổ biến nhất vỡ nú đơn giản ớt phớ tổn và rất cú hiệu quả. Mỗi người sử dụng (kể cả người quản trị mạng) muốn được vào mạng để sử dụng cỏc tài nguyờn của mạng đều phải cú tờn đăng ký và mật khẩu. Người quản trị mạng cú trỏch nhiệm quản lý, kiểm soỏt mọi hoạt động của mạng và xỏc định quyền truy nhập người sử dụng khỏc tuỳ theo thời gian và khụng gian. Nghĩa là một người sử dụng trờn mạng chỉ cú thể được phộp truy nhập vào mạng ở một thời gian và một vị trớ nhất định. Mật khẩu cú thể cú cỏc dạng như: mật khẩu cho từng nhúm người sử dụng, mật khẩu cho từng cỏ nhõn sử dụng riờng biệt, mật khẩu được thay đổi mỗi lần truy cập hệ thống, … Một nhà quản trị khi tạo mật khẩu trờn hệ thống và cho từng người sử dụng phải tuõn thủ những nguyờn tắc sau để đảm bảo an toàn cho người sử dụng cũng như cho cả hệ thống Mật khẩu khụng được là tờn riờng hoặc sắp xếp theo dạng viết tờn hay sự hoỏn vị của tờn. Mật khẩu khụng thể giống như một từ, một ngữ mà phải là một tập hợp cỏc kớ tự tựy ý và khụng được ớt hơn 6 kớ tự. Mật khẩu khụng được toàn là kớ tự hay số mà phải kết hợp cả kớ tự và số. Lớp bảo vệ này đạt hiệu quả rất cao, trỏnh được cỏc truy nhập trỏi phộp nếu mỗi người sử dụng đều giữ được bớ mật về tờn Đăng nhập và Mật khẩu của mỡnh. Nhưng trờn thực tế, do nhiều lý do khụng đảm bảo được bớ mật của mật khẩu, do vậy làm giảm hiệu quả của nú rất nhiều. 1.2.3. Mó húa dữ liệu (Data Encryption) Để bảo mật thụng tin truyền trờn mạng, người ta sử dụng cỏc phương phỏp mó hoỏ (Encryption). Dữ liệu được biến đổi từ dạng nhận thức được sang dạng khụng nhận thức được theo một thuật toỏn nào đú (tạo mật mó) và sẽ được biến đổi ngược lại (giải mó) ở trạm nhận. Đõy là lớp bảo vệ thụng tin rất quan trọng và được sử dụng rộng rói trong mụi trường mạng . 1.2.4. Bảo vệ vật lý (Physical Protection) Đõy là lớp bảo vệ rất quan trọng, nhằm ngăn cản cỏc truy nhập vật lý bất hợp phỏp vào hệ thống. Thường dựng cỏc biện phỏp truyền thống như ngăn cấm tuyệt đối người khụng phận sự vào phũng đặt mỏy mạng, dựng ổ khoỏ mỏy tớnh, hoặc cài đặt cơ chế bỏo động khi cú truy nhập vào hệ thống ... 1.2.5. Bức tường lửa (Firewall) Để bảo vệ từ xa một mỏy tớnh hay cho cả một mạng nội bộ (Intranet), người ta thường dựng cỏc hệ thống đặc biệt là tường lửa (Firewall). Chức năng của tường lửa là ngăn chặn cỏc truy nhập trỏi phộp (theo danh sỏch truy nhập đó xỏc định trước) và thậm chớ cú thể lọc cỏc gúi tin mà ta khụng muốn gửi đi hoặc nhận vào vỡ một lý do nào đú. Phương thức bảo vệ này được dựng nhiều trong mụi trường liờn mạng Internet. Chương 2: Các biện pháp bảo vệ an toàn hệ thống Trước khi thiết kế một chớnh sỏch bảo vệ an toàn cho một hệ thống, người thiết kế phải tỡm hiểu một số biện phỏp cơ bản được dựng làm nguyờn tắc để xõy dựng một hệ thống an ninh như sau: 2.1. Quyền hạn tối thiểu (Least Privilege) Một nguyờn tắc cơ bản nhất của an toàn núi chung là trao quyền tối thiểu. Cú nghĩa là: Bất kỳ một đối tượng nào trờn mạng chỉ nờn cú những quyền hạn nhất định mà đối tượng đú cần phải cú để thực hiện cỏc nhiệm vụ của mỡnh và chỉ cú những quyền đú mà thụi. Đõy là nguyờn tắc quan trọng nhằm hạn chế sự phụ bày cho người ngoài lợi dụng đột nhập và hạn chế sự phỏ hủy nếu cú đột nhập xảy ra. Như vậy, mọi người sử dụng đều khụng nhất thiết được trao quyền truy nhập mọi dich vụ Internet, đọc và sửa đổi tất cả cỏc file trong hệ thống … Người quản trị hệ thống khụng nhất thiết phải biết cỏc mật khẩu Root hoặc mật khẩu của mọi người sử dụng … Nhiều vấn đề an toàn trờn mạng Internet bị xem là thất bại khi thực hiện nguyờn tắc Quyền hạn tối thiểu. Vỡ vậy, cỏc chương trỡnh đặc quyền phải được đơn giản đến mức cú thể và nếu một chương trỡnh phức tạp, ta phải tỡm cỏch chia nhỏ và cụ lập từng phần mà nú yờu cầu quyền hạn. 2.2. Bảo vệ theo chiều sõu (Defense in Depth) Đối với mỗi hệ thống, khụng nờn cài đặt và chỉ sử dụng một chế độ an toàn cho dự nú cú thể rất mạnh, mà nờn lắp đặt nhiều cơ chế an toàn để chỳng cú thể hỗ trợ lẫn nhau. 2.3. Nỳt thắt (Choke Point) Một nỳt thắt bắt buộc những kẻ đột nhập phải đi qua một lối hẹp mà chỳng ta cú thể kiểm soỏt và điều khiển được. Trong cơ chế an toàn mạng, Firewall nằm giữa hệ thống mạng của ta và mạng Internet, nú chớnh là một nỳt thắt. Khi đú, bất kỳ ai muốn truy nhập vào hệ thống cũng phải đi qua nú, vỡ vậy, ta cú thể theo dừi, quản lý được. Nhưng một nỳt thắt cũng sẽ trở nờn vụ dụng nếu cú một đường khỏc vào hệ thống mà khụng cần đi qua nú (trong mụi trường mạng, cũn cú những đường Dial–up khụng được bảo vệ khỏc cú thể truy nhập được vào hệ thống) 2.4. Điểm xung yếu nhất (Weakest Link) Một nguyờn tắc cơ bản khỏc của an toàn là: “Một dõy xớch chỉ chắc chắn khi mắt nối yếu nhất được làm chắc chắn”. Khi muốn thõm nhập vào hệ thống của chỳng ta, kẻ đột nhập thường tỡm điểm yếu nhất để tấn cụng vào đú. Do vậy, với từng hệ thống, cần phải biết điểm yếu nhất để cú phương ỏn bảo vệ. Trong mụ hỡnh Host Security, giữa nỳt thắt và đường yếu nhất cú mối quan hệ và tỏc động lẫn nhau. Một hệ thống mà khụng cú điểm thắt cú nghĩa là nú cú rất nhiều đường vào, ra và do đú cú nhiều điểm xung yếu. Một hệ thống như vậy đũi hỏi phải cú phương ỏn bảo vệ phức tạp, tốn kộm hơn. 2.5. Hỏng trong an toàn (Fail–Safe Stance) Nếu một hệ thống chẳng may bị hỏng thỡ nú phải được hỏng theo một cỏch nào đú để ngăn chặn những kẻ lợi dụng tấn cụng vào hệ thống hỏng đú. Đương nhiờn, việc hỏng trong an toàn cũng hủy bỏ sự truy nhập hợp phỏp của người sử dụng cho tới khi hệ thống được khụi phục lại. Nguyờn tắc này cũng được ỏp dụng trong nhiều lĩnh vực. Chẳng hạn, cửa ra vào tự