Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (613.59 KB, 124 trang )
Tìm hiểu về an toàn và bảo mật trên mạng
Giả sử ta không có những dữ liệu cần bảo mật, chúng ta vẫn phải quan
tâm đến an toàn trên mạng vì ngoài tính bảo mật, ta còn phải quan tâm đến
tính toàn vẹn và sẵn sàng của dữ liệu. Nếu như dữ liệu của ta không cần bảo
mật, chúng ta vẫn có nguy cơ trong trường hợp dữ liệu bị xoá hay bị sửa đổi
đi. Hậu quả là chúng ta sẽ phải tốn rất nhiều thời giờ và tiền bạc để khôi
phục lại dữ liệu. Ngoài ra nếu an toàn mạng bị phỏ, thỡ nhà quản trị tiêu tốn
rất nhiều tiền của và công sức cho việc khôi phục lại hiện trạng cho mạng
như ban đầu.
1.2. Nguồn tài nguyên
Hầu hết mọi người muốn sử dụng những chiếc máy tính của chính
mình và buộc người khác phải trả chi phí khi sử dụng máy tính của họ.
Nhưng không ai có thể đòi hỏi điều này đối với những kẻ xâm nhập trái
phép. Chúng ta phải tiêu tốn rất nhiều thời gian và tiền bạc cho tài nguyên và
ta có quyền quyết định chúng phải được sử dụng như thế nào.
Hơn nữa, trên thực tế, trong các cuộc tấn công tên Internet, kẻ tấn
công sau khi đã làm chủ được hệ thống bên trong có thể sử dụng sử dụng
cỏc mỏy này để phục vụ cho mục đích của họ như chạy các chương trình dò
mật khẩu người dùng, sử dụng các liên kết mạng sẵn có để tiếp tục tấn công
các hệ thống khác v.v...
1.3. Danh tiếng của chúng ta
Trong một số trường hợp, các hacker ăn cắp user của mạng máy tính
của chúng ta rồi dựng nú để truy nhập Internet và thực hiện các cuộc tấn
công vào các mạng máy tính khác. Trong hầu hết các trường hợp, các mạng
bị tấn công đó sẽ gọi đến mạng chúng ta và chất vấn về việc có người dùng
ở đây xâm nhập vào mạng của họ. Điều này sẽ ảnh hưởng rất lớn đến uy tín
của mạng.
Tìm hiểu về an toàn và bảo mật trên mạng
Đôi khi, những kẻ mạo danh cũn dựng thư điện tử của mạng chúng ta
để gửi những thư có nội dung xấu đến các nơi khác. Điều này cũng có ảnh
hưởng rất xấu đến mạng của chúng ta.
2. Những nguy hiểm hệ thống phải đương đầu
2.1. Những kiểu tấn công
Có rất nhiều kiểu tấn công khác nhau vào hệ thống, và có nhiều cách
để phân loại chúng. Trong phần này, ta chia các kiểu tấn công thành 3 loại :
xâm nhập, từ chối dịch vụ và ăn cắp thông tin
a. Xâm nhập
Kiểu tấn công vào hệ thống thông thường nhất là xâm nhập
(intrusions), bằng xâm nhập, tin tặc có khả năng sử dụng những máy tính
của hệ thống như những người quản lý hệ thống thực sự.
Tin tặc có hàng chục con đường để xâm nhập vào. Chúng có thể dùng
kiểu tấn công bằng mánh lới (tìm hiểu tên tuổi của người lãnh đạo cấp cao
của công ty, sau đó giả danh là người đó gọi điện đến người quản trị hệ
thống yêu cầu đổi mật khẩu truy cập) hay dựng cỏch đoỏn mật khẩu (sử
dụng việc thử hàng loạt tên và mật khẩu khác nhau để tìm ra tên và mật khẩu
đúng) và có thể dựng cỏc cỏch phức tạp để truy nhập vào mạng mà không
cần dùng tên và mật khẩu.
Tường lửa có thể chống lại kiểu tấn công bằng xâm nhập. Một cách lý
tưởng, tường lửa khoá tất cả các đường vào hệ thống nếu như không biết tên
và mật khẩu. Khi được cài đặt hoàn hảo, nó làm giảm số lượng tài khoản có
khả năng truy cập từ bên ngoài, do đó làm giảm nguy cơ tấn công bằng đoán
mật khẩu hay dựng mỏnh khoộ. Nhiều hệ thống thiết kế tường lửa chỉ cho
Tìm hiểu về an toàn và bảo mật trên mạng
phép mật khẩu đưa vào một lần mà thôi, nếu như sai mật khẩu thì lập tức từ
chối truy nhập ngay lập tức để tránh việc đoán mật khẩu.
b. Từ chối dịch vụ
Kiểu tấn công từ chối dịch vụ là kiểu tấn công hệ thống bằng cách
ngăn cản người dùng sử dụng các dịch vụ của hệ thống
Tin tặc làm tràn ngập hệ thống mạng bằng những thông điệp, hay
những yêu cầu hệ thống làm cho mạng phải mất nhiều thời gian để trả lời
những thông điệp và yêu cầu đó, mạng sẽ có thể bị nghẽn vì quá tải.
Trong khi làm tràn ngập là một cách thức thông thường và đơn giản
nhất để tiến hành tấn công từ chối dịch vụ, tin tặc thông minh hơn có thể làm
vô hiệu hoỏ cỏc dịch vụ, thay đổi đường dẫn hay thay thế chúng.
Khó có thể tránh được tất cả các cuộc tấn công từ chối dịch vụ. Ví dụ
rất nhiều mạng thiết kế để người dùng sẽ bị khoá sau một số lần truy cập sai.
Thiết kế như vậy để bảo vệ kiểu tấn công bằng cách đoán mật khẩu. Nhưng
mặt khác, nó tạo cơ hội cho tin tặc tấn công bằng từ chối dịch vụ. Nú khoỏ
tài khoản của bất kỳ người dùng nào bằng cách thử truy nhập vào mạng
nhiều lần bằng tài khoản đó.
Nguy cơ của việc bị tấn công bằng từ chối dịch vụ là không thể tránh
khỏi. Nếu hệ thống chấp nhận việc nhận thông tin từ bên ngoài : thư điện tử,
gói tin ... thì rất có khả năng hệ thống sẽ bị làm nghẽn. Điều quan trọng là
khi thiết lập những dịch vụ, phải đảm bảo rằng nếu như một dịch vụ bị
nghẽn (flooded) thì phần còn lại của hệ thống vẫn phải hoạt động đồng thời
với việc tìm kiếm và sửa chữa lỗi.
c. Ăn cắp thông tin
Tìm hiểu về an toàn và bảo mật trên mạng
Một số kiểu tấn công cho phép tin tặc lấy được dữ liệu mà không cần
trực tiếp sử dụng máy tính của hệ thống. Dữ liệu đó có thể là tài khoản của
người dùng là tên truy nhập và mật khẩu. Tin tặc có thể lấy được dữ liệu đó
bằng cách nối trộm thiết bị vào mạng và thu lấy tất cả thông tin đi qua.
Thông tin về tên truy nhập và mật khẩu thường dễ dàng đoán ra ở ngay
thông tin tương tác ban đầu trong rất nhiều mạng máy tính. Việc nối trộm
vào mạng để dò la thông tin thường được gọi là sniffing.
3. Các phương pháp để bảo vệ hệ thống
Ở trên là liệt kê một loạt các kiểu tấn công. Thông thường người quản
trị mạng chọn rất nhiều kiểu bảo mật, từ kiểu bảo mật gọi là “ Bảo mật qua
việc che giấu” và bảo mật máy chủ , đến bảo mật cho toàn mạng.
3.1. Bảo mật qua việc che giấu
Một kiểu bảo mật được sử dụng thông thường là “bảo mật qua việc
che giấu”. Với kiểu bảo mật này, hệ thống được an toàn đơn giản là không ai
biết gì về nó : sự tồn tại của nó, nội dung bên trong, các biện pháp bảo mật
hay những cỏi khỏc. Kiểu này thường khó có thể làm việc được lõu vỡ có rất
nhiều cách để tìm ra một hệ thống.
Nhiều người cho rằng thậm chí khi tin tặc tìm thấy hệ thống, chúng
cũng không thèm để ý đến khi thấy đó chỉ là một mạng máy tính nhỏ. Trong
thực tế thì lại khác. có rất nhiều tin tặc nhằm vào bất kỳ hệ thống nào nếu có
thể. Đối với chúng, những mạng nhỏ được coi là những mục tiêu dễ tấn công
nhất.
3.2. Bảo mật máy chủ
Kiểu bảo mật máy chủ là kiểu hay sử dụng nhất hiện nay. Theo kiểu
này, hệ thống thiết lập bảo mật cho từng máy chủ một cách riêng rẽ. Khó
Tìm hiểu về an toàn và bảo mật trên mạng
khăn lớn nhất cho kiểu bảo mật này là nó rất phức tạp khi thiết lập cho
những hệ thống lớn. Những hệ thống hiện đại bao gồm nhiều máy chủ từ
nhiều nhà cung cấp khác nhau, chạy với nhiều hệ điều hành khác nhau, và
mỗi máy chủ với hệ điều hành khác nhau đó sẽ có vấn đề riêng về bảo mật.
Thậm chí khi hệ thống chỉ gồm máy chủ từ một nhà cung cấp, việc sử dụng
các phiên bản khác nhau của một hệ điều hành sẽ dẫn đến nhiều vấn đề về
bảo mật khác nhau. Ngay cả khi những máy chủ đó chạy cùng một phiên
bản của hệ điều hành, các cài đặt khác nhau (các dịch vụ chạy trờn cỏc mỏy
là khác nhau) có thể gây ra các vấn đề về bảo mật khác nhau.
Kiểu bảo mật máy chủ chỉ nên áp dụng ở những hệ thống mạng nhỏ,
hay ở những hệ thống đòi hỏi phải được bảo mật thật cao. Tuy nhiên mọi
mạng thực sự đều cần vài mức bảo mật máy chủ trong toàn bộ kế hoạch bảo
mật. Thậm chí khi hệ thống sử dụng kiểu bảo mật toàn mạng (được trình bày
ở phần tiếp theo), một số thiết lập áp dụng kiểu bảo mật máy chủ cũng rất có
ích. Ví dụ như một hệ thống mạng được bảo vệ bởi một bức tường lửa thì
cũng có một số phần của hệ thống phải đứng ngoài tường lửa để liên hệ với
các mạng khác cần được bảo mật theo kiểu bảo mật máy chủ. Vấn đề là nếu
chỉ một kiểu bảo mật máy chủ thụi thỡ sẽ không đạt hiệu quả về kinh tế (trừ
những hệ thống nhỏ, đơn giản); nó đòi hỏi quá nhiều hạn chế và nhiều người
để vận hành.
3.3. Bảo mật toàn mạng
Khi hệ thống mạng luôn thay đổi và phát triển, và khi việc bảo mật
chúng theo kiểu bảo mật từng máy chủ càng ngày càng khó khăn, rất nhiều
mạng đã chuyển sang kiểu bảo mật toàn mạng. Với kiểu bảo mật toàn mạng,
hệ thống tập trung vào quản lý truy nhập mạng cho rất nhiều máy chủ và các
dịch vụ chạy ở trên các máy chủ đó chứ không bảo mật từng máy chủ một.
Tìm hiểu về an toàn và bảo mật trên mạng
Phương pháp bảo mật toàn mạng bao gồm xây dựng tường lửa để bảo vệ hệ
thống mạng bên trong, sử dụng việc kiểm tra quyền truy cập một cách chặt
chẽ( như vào mật khẩu một lần), và sử dụng mó hoỏ để bảo vệ những dữ liệu
quan trọng khi dữ liệu đó truyền trên mạng.
Một hệ thống mạng dùng phương pháp bảo mật toàn mạng sẽ đạt
được hiệu quả rất lớn. Ví dụ một tường lửa bảo vệ mạng có thể bảo vệ hàng
trăm, hàng ngàn những máy tính chống lại sự tấn công từ bên ngoài mà
không hề cần đến mức bảo vệ từng máy chủ cho từng máy tính.
4. Tường lửa Internet
Như đã nói trên, tường lửa là một kiểu bảo mật hữu hiệu trong bảo
mật hệ thống. Phần này đề cập ngắn gọn về tác dụng của tường lửa đối với
bảo mật mạng máy tính.
Trong xây dựng, một tường lửa được thiết kế để ngăn lửa không cháy
lan từ một phần của ngôi nhà đến các phần khác. Về nguyên lý, một tường
lửa Internet thực hiện cùng công việc đú : nú ngăn những nguy hiểm của
Internet lan sang mạng máy tính của chúng ta. Trong thực tế, một tường lửa
Internet giống như một cái hào của lâu đài thời Trung cổ hơn là tường lửa
trong xây dựng. Nó thực hiện các chức năng sau:
• Nó hạn chế người đi vào tại những điểm cần kiểm soát cẩn thận
• Nó ngăn cản những tin tặc lại gần những điểm cần bảo vệ
• Nó hạn chế người đi ra tại những điểm cần kiểm soát cẩn thận
Một tường lửa Internet thường được thiết lập tại điểm kết nối giữa
mạng bên trong và Internet. Như hình vẽ :
Tìm hiểu về an toàn và bảo mật trên mạng
Tất cả dòng thông tin đi từ Internet vào hay đi từ mạng bên trong ra
đều phải qua tường lửa, do đó tường lửa có khả năng đảm bảo những thông
tin đó là tin cậy.
Một tường lửa có chức năng chia, hạn chế và phân tích thông tin.
Thông thường, một tường lửa là một tập hợp của các thiết bị phần cứng :
một bộ dẫn đường (router), một máy tính chủ, hay là một sự kết hợp của các
router, máy tính và mạng với phần mềm thích hợp. Có rất nhiều cách thức để
định cấu hình những thiết bị đó và điều này phụ thuộc vào chiến lược, ngân
quỹ của từng mạng.
Một tường lửa ít khi là một thực thể vật lý đơn chiếc, thông thường
một tường lửa bao gồm nhiều phần, và một số trong đó thực hiện các nhiệm
vụ khác bên cạnh chức năng là một phần của tường lửa. Kết nối với Internet
hầu như luôn là một phần của tường lửa.
4.1 Tường lửa có thể làm gì
Tường lửa có thể làm nhiều việc trong việc bảo mật mạng. Dưới đây
là liệt kê một số ưu điểm của việc sử dụng tường lửa
a. Một tường lửa là trung tâm cho những quyết định bảo mật
Tìm hiểu về an toàn và bảo mật trên mạng
Tường lửa giống như một điểm kiểm tra. Tất cả dòng thông tin vào và
ra phải qua một điểm kiểm tra duy nhất. Hệ thống có khả năng bảo mật lớn
vì tường lửa cho phép hệ thống tập trung những biện pháp bảo mật vào điểm
kiểm tra này, điểm mà mạng bên trong nối với Internet.
b. Một tường lửa có thể thi hành những chính sách bảo mật
Rất nhiều những dịch vụ mà người dùng mong muốn từ Internet
thường là không an toàn. Một tường lửa giống như một cảnh sát giao thông
cho những dịch vụ đú. Nú thi hành những chính sách bảo mật của mạng, chỉ
cho phép những dịch vụ đã được duyệt đi qua và chỉ những dịch vụ đó mà
thôi.
c. Một tường lửa có thể ghi lại những hoạt động của mạng một
cách hữu hiệu
Với một điểm truy cập, tường lửa có thể ghi lại tất cả các sự kiện xảy
ra giữa mạng bên trong và mạng bên ngoài.
4.2 Tường lửa không thể làm những gì
Tường lửa đưa ra những bảo vệ hoàn hảo chống lại những nguy cơ
với mạng máy tính, những chúng không thể giải quyết hoàn toàn các vấn đề
bảo mật. Một số nguy cơ nằm ngoài phạm vi kiểm soát của tường lửa. Hệ
thống cần phải đưa ra các phương pháp khác để chống lại các nguy cơ đó
như kết hợp các phương pháp bảo mật vật lý, bảo mật máy chủ và đào tạo
người sử dụng trong kế hoạch bảo mật toàn bộ hệ thống. Một số điểm yếu
của tường lửa được liệt kê dưới đây
a. Một tường lửa không thể bảo vệ hệ thống chống lại tấn công
từ những người trong nội bộ
Tìm hiểu về an toàn và bảo mật trên mạng
Nếu như tin tặc ở ngay trong tường lửa thì tường lửa không thể làm gì
được. Người dùng ở bên trong mạng có thể ăn cắp dữ liệu, làm hư hại phần
cứng và phần mềm, và có thể sửa đổi chương trình mà không đến gần tường
lửa. Nguy cơ từ bên trong đòi hỏi hệ thống phải có những phương pháp bảo
mật bên trong, như là máy chủ pháo đài hay nâng cao cảnh giác của người
dùng.
b. Một tường lửa không thể bảo vệ hệ thống với những kết nối
không đi qua tường lửa
Một tường lửa có thể quản lý hiệu quả những luồng thông tin đi qua;
tuy nhiên tường lửa không thể làm gì với những luồng thông tin không qua
nó. Ví dụ nếu như một hệ thống mạng cho phép truy nhập bằng phương
pháp quay số vào mạng bên trong ở sau tường lửa thì tường lửa rõ ràng
không có cách gì ngăn cản tin tặc dùng modem nối vào.
c. Một tường lửa không thể ngăn cản những nguy cơ hoàn
toàn mới
Một tường lửa được thiết kế để ngăn cản những nguy cơ đã biết. Một
tường lửa được thiết kế tốt có thể bảo vệ hệ thống chống lại nhiều nguy cơ
mới. ( Ví dụ bằng việc từ chối tất cả các dịch vụ khác, chỉ cho phép một số
dịch vụ tin cậy đi qua, tường lửa sẽ ngăn chặn người dùng thiết lập các dịch
vụ mới không an toàn). Tuy nhiên, không tường lửa nào có thể tự động bảo
vệ hệ thống chống lại mọi nguy cơ mới đang ngày càng tăng lên. Càng ngày
tin tặc càng nghĩ ra nhiều cách thức mới để tấn công vào mạng máy tính, do
đó không thể chỉ xây dựng tường lửa một lần mà có thể đảm bảo nó sẽ bảo
vệ hệ thống mãi mãi.
d. Một tường lửa không thể bảo vệ chống lại virus
Tìm hiểu về an toàn và bảo mật trên mạng
Tường lửa không thể kiểm soát virus trên mạng. Mặc dù nhiều tường
lửa quét tất cả luồng thông tin để quyết định xem thông tin nào được phép đi
qua tường lửa vào hệ thống mạng bên trong, nhưng việc quét này chỉ nhằm
xác định địa chỉ nguồn, địa chỉ đích và cổng mà dữ liệu sẽ gửi đến mà thôi,
chứ không xác định chi tiết về dữ liệu đó. Thậm chí với những phần mềm
lọc gói dữ liệu tinh vi hay những phần mềm proxy, việc bảo vệ chống lại
virus ở tường lửa không thực tế lắm. Đơn giản là vì có quá nhiều loại virus
và quá nhiều cách thức mà virus có thể ẩn trong dữ liệu.
4.3 Lựa chọn phương án mua hay xây dựng tường lửa
Ngày nay, một hệ thống mạng muốn có một tường lửa, thì hệ thống đó
phải lựa chọn hoặc là mua, hoặc là tự xây dựng lấy. Trong vài năm gần đây,
rất nhiều tường lửa được đưa ra bán ở thị trường. Những sản phẩm đó ngày
càng tăng về số lượng và chức năng với tốc độ rất nhanh, do đó nhiều hệ
thống mạng có thể dễ dàng tìm ra một sản phẩm thích hợp. Tuy nhiên, khi
xây dựng tường lửa, chúng ta phải hiểu rõ là hệ thống cần những gì để quyết
định xem cú nờn mua tường lửa hay không hay là chỉ cần dùng những công
cụ mà ta có thể tự xây dựng. Đây là một sự tính toán đòi hỏi phải xem xét
thật kỹ lưỡng. Một mạng có khả năng về tài chính nhưng cú ớt chuyên gia
thường mua sản phẩm tường lửa, trong đó mạng có nhiều chuyên gia nhưng
hạn chế về tài chính có thể tự xây dựng lấy.
5. Các vấn đề bảo mật với các dịch vụ của mạng
Internet
Khi xây dựng bức tường lửa, ta phải xem xét kỹ lưỡng nhiều yếu tố để
quyết định, trong đó việc nghiên cứu kỹ về các vấn đề ta cần bảo mật là
quan trọng nhất.Cỏi mà chúng ta cần bảo vệ là những dịch vụ mà ta sẽ dùng
Tìm hiểu về an toàn và bảo mật trên mạng
hay cung cấp lên mạng Internet. Do đó phần này đi vào xem xét các dịch vụ
của Internet và những vấn đề về bảo mật liên quan.
Có rất nhiều các dịch vụ Internet chuẩn người dùng mạng yêu cầu, và
hầu hết các mạng đều cố gắng cung cấp. Có nhiều lý do quan trọng trong
việc sử dụng các dịch vụ đó. Nếu không có chỳng thỡ việc kết nối với
Internet là vô nghĩa. Nhưng cũng có rất nhiều vấn đề về bảo mật với từng
loại dịch vụ đó.
Có rất nhiều các loại dịch vụ trong Internet, nhưng có 6 dịch vụ cơ
bản quan trọng nhất. Đó là:
• Thư điện tử (SMTP)
• Truyền file (FTP)
• Tin tức trên mạng (NNTP)
• Truy nhập thiết bị từ xa ( Telnet)
• Truy cập World Wide Web (HTTP)
• Dịch vụ cung cấp tên và địa chỉ (DNS) : người dùng về cơ
bản không sử dụng trực tiếp dịch vụ này, nhưng nó nằm dưới 5
dịch vụ trờn vỡ nú chuyển đổi từ tên miền Internet sang địa chỉ
IP và ngược lại.
Cả 6 dịch vụ trên có thể được cung cấp một cách an toàn bằng nhiều
cách khác nhau, bao gồm dùng lọc cỏc gúi hay dùng bức tường lửa proxy sẽ
được đề cập ở phần sau. Việc cung cấp các dịch vụ này cho phép người dùng
có thể truy cập được vào hầu hết các nguồn tài nguyên trên Internet.
5.1 Thư điện tử
Thư điện tử là một trong những dịch vụ mạng cơ bản và thông dụng
nhất. Nó ít khi bị nguy hiểm, nhưng không thể nói là hoàn toàn không bị