Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (613.59 KB, 124 trang )
Tìm hiểu về an toàn và bảo mật trên mạng
Cài đặt máy chủ với hệ điều hành chuẩn và thực hiện bảo mật hệ điều
hành càng cao càng tốt. Thực hiện sửa hết các lỗi trong hệ điều hành bằng
các chương trình sửa lỗi mới nhất
b. Bỏ đi những dịch vụ không cần thiết
Những dịch vụ máy chủ pháo đài cung cấp đều có thể có lỗi và có thể
bị thiết lập sai. Điều này dẫn đến nguy cơ với bảo mật cho máy chủ pháo
đài. Do đó những dịch vụ không thực sự cần thiết trong máy chủ pháo đài
nên bỏ đi ngay vì càng ít dịch vụ thì càng hạn chế các lỗi bảo mật.
c. Cài đặt các dịch vụ cần cung cấp và xây dựng các thiết lập cho
dịch vụ
Các dịch vụ cần cung cấp sẽ được cài đặt lên máy chủ cùng với các
thiết lập cân nhắc kỹ lưỡng để đảm bảo bảo mật cho từng loại hình dịch vụ.
Chú ý cập nhật các bản sửa lỗi mới nhất để nâng cấp tính bảo mật của dịch
vụ
d. Kiểm tra lại máy chủ một lần nữa trước khi vận hành
Sau khi cài đặt các dịch vụ, việc kế tiếp là kiểm tra toàn bộ hệ thống
của máy chủ pháo đài, bỏ đi những chương trình không cần thiết trong máy
chủ. Các tệp dữ liệu và hệ điều hành chuyển đến số lượng tối đa cho phép
sang chế độ chỉ đọc .
e. Chạy trương trình kiểm tra bảo mật
Nờn dùng một số phần mềm kiểm tra các lỗi bảo mật để kiểm tra máy
chủ pháo đài. Các phần mềm này sẽ phát hiện những lỗi bảo mật cũn sút
trong hệ thống. Sau đó thực hiện sửa các lỗi bảo mật đó.
f. Kết nối máy chủ pháo đài với Internet
Tìm hiểu về an toàn và bảo mật trên mạng
Sau khi hoàn thành việc bảo mật cho máy chủ pháo đài ta tiến hành
việc kết nối máy chủ pháo đài vào mạng và kết nối với Internet. Trong quá
trình hoạt động của máy chủ pháo đài phải thường xuyên kiểm tra theo dõi
các nhật ký để phát hiện kịp thời các lỗi bảo mật.
6.3 Kết hợp các kỹ thuật và thiết bị để xây dựng các cấu trúc
tường lửa khác nhau
6.3.1 Cấu trúc máy chủ hai giao diện
Cấu trúc máy chủ hai giao diện được xây dựng trên một máy tính có
hai giao diện mạng. Máy chủ này có thể đóng vai là một bộ dẫn đường giữa
hai hệ thống mạng mà máy chủ nối tới. Hệ thống bên trong tường lửa có thể
liên hệ với máy chủ hai giao diện, và những mạng bên ngoài tường lửa
(Internet ) có thể liên hệ với máy chủ hai giao diện, nhưng giữa bên trong và
bên ngoài không thể liên hệ trực tiếp với nhau.
Cấu trúc máy chủ hai giao diện
Tìm hiểu về an toàn và bảo mật trên mạng
Cấu trúc này tương đối đơn giản, máy chủ hai giao diện nằm ở giữa và
được kết nối với Internet và mạng bên trong.
Máy chủ hai giao diện có thể cung cấp quản lý ở mức cao. Trong một
số trường hợp, máy chủ hai giao diện có thể cho phép hệ thống ngắt bỏ kết
nối của một số dịch vụ khi các dịch vụ này truyền sai kiểu dữ liệu. ( Một hệ
thống lọc gói dữ liệu khó có thể làm gì với mức quản lý này). Tuy nhiên, nó
cũng đòi hỏi phải thực hiện một số lớn công việc để có thể có được tính
năng này.
Một máy chủ đại diện chỉ có thể cung cấp các dịch vụ bằng việc chạy
chương trình “proxy program” đã nói ở trên hay cho phép người dùng truy
nhập vào máy chủ một cách trực tiếp. Tuy nhiên việc cung cấp dịch vụ bằng
cách cho người dùng truy nhập trực tiếp có thể gây ra nguy hiểm cho hệ
thống nếu người dùng không cẩn thận ( để mất mật khẩu, chạy sai chương
trình ...), hơn nữa, nhiều người dùng cảm thấy không thuận lợi khi phải truy
nhập vào máy chủ hai giao diện trước khi sử dụng các dịch vụ.
Dùng chương trình proxy thuận tiện hơn, nhưng như đã nói ở trên,
không thể cung cấp cho tất cả các dịch vụ. Cấu trúc tường lửa mạng con có
lọc phần kế tiếp đưa ra một số lựa chọn cho việc cung cấp các dịch vụ mới
và không tin cậy lắm.
6.3.2 Cấu trúc máy chủ có lọc
Ngược với cấu trúc máy chủ hai giao diện, cấu trúc máy chủ có lọc
cung cấp các dịch vụ từ máy chủ chỉ nối với mạng bên trong, sử dụng router
riêng. Trong cấu trúc này, bảo mật đầu tiên được cung cấp bởi lọc gói dữ
liệu
Tìm hiểu về an toàn và bảo mật trên mạng
Hình 3.3.2 Cấu trúc máy chủ có lọc
Máy chủ pháo đài nằm ở mạng bên trong. Lọc gói dữ liệu trên router
có lọc được cài đặt sao cho máy chủ pháo đài là nơi duy nhất ở mạng bên
trong mà các máy chủ trên Internet có thể kết nối tới ( ví dụ như để phân
phối những thư điện tử đi tới). Thậm chí hơn nữa là chỉ một số kiểu kết nối
là được chấp nhận. Bất kỳ mạng bên ngoài nào muốn truy nhập vào hệ thống
hay dịch vụ bên trong đều phải nối tới máy chủ này. Máy chủ pháo đài do đó
cần phải thiết lập bảo mật máy chủ ở mức cao.
Lọc gói dữ liệu cũng cho phép máy chủ pháo đài mở những kết nối
được phép (“ được phộp” ở đây được quyết định bởi chính sách bảo mật của
hệ thống) tới Internet bên ngoài. Lọc gói dữ liệu được cấu hình trong router
có lọc sẽ thực hiện một trong những liệt kê dưới đây:
• Cho phép những máy chủ bên trong có thể mở những kết nối tới
những máy chủ trên Internet cho những dịch vụ nhất định ( cho phép những
dịch vụ đó qua lọc gói dữ liệu)
Tìm hiểu về an toàn và bảo mật trên mạng
• Cấm tất cả những kết nối từ những máy chủ bên trong ra ngoài (bắt
tất cả những máy chủ đó phải qua máy chủ đại diện là máy chủ pháo đài sử
dụng chương trình proxy)
Hệ thống có thể kết hợp các kiểu trên cho những dịch vụ khác nhau;
một số dịch vụ có thể được cho phép qua lọc gói dữ liệu trong khi những
dịch vụ khác chỉ được cho phép đi không trực tiếp qua máy chủ đại diện. Tất
cả đều phụ thuộc vào chính sách riêng của từng mạng.
Vì cấu trúc này cho phép cỏc gúi tin truyền từ Internet tới mạng bên
trong, do đó dường như nó có thể gây nguy hiểm cho hệ thống hơn cấu trúc
máy chủ hai giao diện, là kiểu được thiết kế sao cho không có gói dữ liệu
bên ngoài nào có thể trực tiếp đến được mạng bên trong. Nhưng trong thực
tế, cấu trúc máy chủ hai giao diện cũng dễ bị phá hỏng làm cho cỏc gúi tin
có thể thực sự truyền từ mạng bên ngoài vào mạng bên trong. (Do kiểu hỏng
này khó dự đoán được, cho nên dường như không thể chống lại kiểu tấn
công theo kiểu này). Hơn thế nữa, việc bảo vệ router là dễ hơn (do router chỉ
cung cấp một số hữu hạn các dịch vụ) so với bảo vệ máy chủ. Để đáp ứng
hầu hết các mục đích , cấu trúc máy chủ có lọc là bảo mật hơn và tính năng
sử dụng cũng tốt hơn so với cấu trúc máy chủ hai giao diện.
Tuy nhiên khi so sánh với các cấu trúc khác, như cấu trúc mạng con
có lọc được trình bày trong phần tiếp theo, thì cấu trúc máy chủ có lọc có
một số hạn chế nhất định. Hạn chế lớn nhất là nếu tin tặc xâm nhập được
vào máy chủ pháo đài thì không còn có tuyến bảo vệ nào nữa giữa máy chủ
pháo đài và các máy chủ còn lại của hệ thống. Router cũng là một điểm dễ bị
tổn thương. Nếu router bị xâm nhập vào, thì toàn bộ hệ thống mạng bị nguy
hiểm. Vì lý do này, cấu trúc mạng con có lọc trở nên phổ biến.
Tìm hiểu về an toàn và bảo mật trên mạng
6.3.3 Cấu trúc mạng con có lọc
Cấu trúc mạng con có lọc là cấu trúc máy chủ có lọc cộng thêm một
lớp bảo mật nữa bằng cách đưa thêm một mạng vòng ngoài để cách ly giữa
mạng bên trong và Internet. Ta sẽ giải thích lý do tại sao lại thực hiện như
vậy.
Như thiết kế ban đầu, máy chủ pháo đài là những máy dễ bị tấn công
nhất trong mạng máy tính. Mặc dù người quản trị mạng luôn cố gắng tối đa
để bảo vệ chúng, nhưng những máy này dường như thường xuyên bị tấn
công. Và với cấu trúc máy chủ có lọc, khi máy chủ pháo đài bị xâm nhập
vào thì không có sự bảo vệ nào khác giữa nó và những máy chủ khác trong
mạng. Nếu như tin tặc thành công trong việc xâm nhập vào máy chủ pháo
đài, cả hệ thống mạng sẽ gặp nguy hiểm.
Bằng việc cách ly máy chủ pháo đài trên mạng vòng ngoài, hệ thống
có thể giảm bớt nguy hiểm khi máy chủ pháo đài bị xâm nhập.
Kiểu đơn giản nhất của cấu trúc mạng con có lọc gồm có hai router có
lọc, mỗi cái được nối với mạng vòng ngoài. Một cái ở giữa mạng vòng ngoài
và mạng bên trong, và cái còn lại nằm giữa mạng vòng ngoài và Internet. Để
xâm nhập vào mạng bên trong của cấu trúc này, tin tặc phải vượt qua cả hai
router. Nếu như bằng cách nào đó mà tin tặc xâm nhập vào được máy chủ
pháo đài, hắn ta phải vượt qua router bên trong. ở đây không có điểm nguy
hiểm nào để có thể gây tổn hại đến mạng bên trong.
Một số mạng còn làm hơn thế nữa bằng cách tạo một loạt các mạng
vòng ngoài giữa Internet và mạng bên trong. Những dịch vụ kém tin tưởng
và nhiều nguy hiểm được đặt ở những lớp mạng vòng ngoài xa mạng bên
trong nhất. ý tưởng này là nếu tin tặc thành công trong việc xâm nhập vào
Tìm hiểu về an toàn và bảo mật trên mạng
máy chủ trên mạng vòng ngoài thì sẽ phải mất nhiều thời gian để có thể xâm
nhập vào mạng bên trong. Điều này chỉ đúng nếu như hệ thống lọc giữa các
lớp mạng được thiết lập khác nhau. Nếu như bảo mật giữa các lớp mạng là
như nhau thì việc tạo nhiều lớp mạng vòng ngoài là không có ý nghĩa.
Cấu trúc mạng con có lọc ( sử dụng hai router)
Sau đây ta sẽ tìm hiểu sâu hơn về các thành phần của cấu trúc này.
a. Mạng vòng ngoài
Mạng vòng ngoài là một lớp khác của bảo mật, một mạng đưa thêm
vào giữa mạng bên trong và Internet. Nếu tin tặc thành công trong việc xâm
nhập vào phần ngoài của tường lửa, mạng vòng ngoài sẽ thực hiện việc bảo
mật ngăn cản tin tặc với mạng bên trong.
Sau đây là một ví dụ cho thấy tác dụng của mạng vòng ngoài. Rất
nhiều phần thiết lập mạng cho phép bất kỳ máy tính nào trong mạng cũng có
thể nhìn thấy được thông tin truyền trên mạng của tất cả cỏc mỏy khỏc. (Ví
dụ với các mạng Ethernet). Những tin tặc có thể thành công trong việc lấy
Tìm hiểu về an toàn và bảo mật trên mạng
cắp được mật khẩu bằng cách theo dõi các luồng thông tin đó bằng cách sử
dụng các lệnh của Telnet, FTP hay rlogin. Thậm chí nếu không ăn cắp được
mật khẩu, tin tặc cũng có thể xem trộm được nội dung của các tệp dữ liệu
quan trọng khi người dùng đang sử dụng.
Với mạng vòng ngoài, nếu như tin tặc xâm nhập vào máy chủ pháo
đài trong mạng vòng ngoài, hắn ta chỉ có thể theo dừi cỏc luồng thông tin
trên mạng đó mà thôi. Tất cả các luồng thông tin trên mạng vòng ngoài có
thể là từ máy chủ pháo đài hay từ Internet. Do chắc chắn không có luồng
thông tin trao đổi bên trong được truyền qua mạng vòng ngoài, luồng thông
tin trao đổi bên trong luôn được an toàn trước con mắt rình mò của tin tặc.
Tuy nhiên, luồng thông tin trao đổi từ máy chủ pháo đài hay mạng
bên ngoài vẫn có thể nhìn thấy. Một phần trong việc xây dựng tường lửa là
phải đảm bảo những luồng thông tin đó không có chứa những thông tin bí
mật mà việc đọc trộm được nó không thể gây nguy hại cho toàn bộ hệ thống
mạng.
b. Máy chủ pháo đài
Với cấu trúc mạng con có lọc, hệ thống gắn máy chủ pháo đài vào
mạng vòng ngoài. Máy chủ này là điểm liên kết chính cho các kết nối đi vào
từ Internet, ví dụ như :
• Cho những kết nối email đi vào (SMTP) để truyền thư điện tử tới
mạng
• Cho những kết nối FTP đi vào tới các máy chủ FTP
• Cho những yêu cầu dịch vụ cung cấp tên miền đi vào
Những dịch vụ bên ngoài ( từ máy trạm bên trong tới các máy chủ
trên Internet) được thực hiện theo các cách thức sau :
Tìm hiểu về an toàn và bảo mật trên mạng
• Thiết lập lọc gói dữ liệu trên cả router bên ngoài và router bên trong
cho phép máy trạm bên trong có thể truy nhập trực tiếp ra các máy chủ trên
Internet
• Thiết lập chương trình proxy chạy trên máy chủ pháo đài cho phép
máy trạm bên trong có thể truy nhập gián tiếp ra các máy chủ trên Internet.
Cũng có thể thiết lập lọc gói dữ liệu cho phép máy trạm bên trong có thể nói
chuyện được với máy chủ pháo đài và ngược lại thông qua chương trình
proxy, nhưng cấm kết nối trực tiếp giữa máy trạm bên trong và Internet.
Trong cả hai trường hợp, lọc gói dữ liệu cho phép máy chủ pháo đài
có thể nối tới và cho phép nối tới với các máy chủ trên Internet. Máy chủ
nào, và dịch vụ nào được chỉ định bởi chính sách bảo mật của mạng.
c. Router bên trong
Router bên trong bảo vệ mạng bên trong chống lại nguy cơ từ cả
mạng vòng ngoài và Internet.
Router bên trong thực hiện hầu hết việc lọc gói dữ liệu cho tường lửa
hệ thống. Nó cho phép những dịch vụ đã được chọn lựa từ mạng bên trong
ra bên ngoài Internet. Những dịch vụ này là những dịch vụ mà hệ thống
mạng có thể cung cấp an toàn bằng việc sử dụng lọc gói dữ liệu hơn là dùng
chương trình proxy. Những dịch vụ router bên trong cho phép truyền giữa
máy chủ pháo đài (ở trên mạng vòng ngoài) và mạng bên trong không nhất
thiết phải giống như những dịch vụ router bên trong cho phép truyền giữa
Internet và mạng bên trong. Lý do của việc hạn chế những dịch vụ giữa máy
chủ pháo đài và mạng bên trong là để giảm số lượng máy tính có thể bị tấn
công từ máy chủ pháo đài.
Tìm hiểu về an toàn và bảo mật trên mạng
Người quản trị mạng nên giới hạn những dịch vụ cho phép giữa máy
chủ pháo đài và mạng bên trong tới mức ít nhất, chỉ cho phép những dịch vụ
cần thiết nhất đi qua như SMTP ( để máy chủ pháo đài có thể gửi thư đến),
DNS ( để máy chủ pháo đài có thể trả lời những yêu cầu của cỏc mỏy bên
trong, hay hỏi những máy bên trong, tuỳ thuộc vào việc đặt cấu hình của
mạng) ... Người quản trị mạng cũng nên giới hạn phạm vi của dịch vụ, như
chỉ cho phép chúng từ máy chủ pháo đài truyền tới một số máy cụ thể ở bên
trong. Ví dụ SMTP được hạn chế chỉ cho kết nối giữa máy chủ pháo đài tới
máy chủ thư điện tử bên trong.
d. Router bên ngoài
Theo lý thuyết, router bên ngoài được dùng để bảo vệ mạng vòng
ngoài và mạng bên trong chống lại nguy cơ từ Internet. Trên thực tế, router
bên ngoài có xu hướng cho phép hầu hết mọi thứ từ mạng vòng ngoài đi ra
ngoài, và router bên ngoài thực hiện lọc gói dữ liệu rất ít. Những luật lọc gói
dữ liệu để bảo vệ mạng bên trong về cơ bản cần phải giống nhau giữa router
bên trong và router bên ngoài. Nếu có lỗi trong các luật dẫn đến việc cho
phép tin tặc bên ngoài truy nhập vào, sẽ có thông báo lỗi thể hiện trên cả hai
router.
Những luật lọc gói dữ liệu thực sự riêng biệt trên router bên ngoài là
những luật để bảo vệ những máy tính trên mạng vòng ngoài ( đó là những
máy chủ pháo đài và router bên trong). Tuy nhiên thông thường thì không
cần thiết phải có nhiều luật bảo vệ vì máy chủ trên mạng vòng ngoài thường
được bảo vệ chủ yếu bằng bảo mật máy chủ.
những luật còn lại mà người quản trị nên thiết lập trên router bên
ngoài là sao lại những luật trên router bên trong. Đó là những luật dùng để
Tìm hiểu về an toàn và bảo mật trên mạng
ngăn chặn những luồng thông tin không an toàn giữa những máy chủ bên
trong và Internet.
Tóm lại, công việc mà router bên ngoài thực hiện tốt nhất và việc này
chỉ thực hiện được tốt ở router bên ngoài là chặn tất cả những gói tin đi vào
từ Internet có địa chỉ giả mạo. Những gói tin đó giả như đi từ mạng bên
trong, nhưng thực sự đi từ Internet vào.
Router bên trong cũng có thể làm được việc đó, nhưng nó không thể
làm gì nếu như những gói tin giả mạo đó dường như đi từ mạng vòng ngoài.
Phần II: Máy chủ pháo đài
Trong chương này:
Các nguyên lý chung.