Hình 1: Vị trí của máy chủ pháo đài trên mạng.

Tìm hiểu về an toàn và bảo mật trên mạng



Các dịch vụ bảo mật:

Các dịch vụ trong loại này có thể được cung cấp thông qua lọc gói tin,

nếu bạn đang sử dụng cách tiếp cận này. (trong một bức tường lửa uỷ quyền

thuần tuý, mọi thứ cần được cung cấp trên máy chủ pháo đài hoặc không

được cung cấp gì cả).

Các dịch vụ không bảo mật nh các cung cấp chuẩn, nhưng có thể

được bảo mật

Các dịch vụ loại này có thể được cung cấp trên máy chủ pháo đài.

Các dịch vụ không bảo mật nh các cung cấp chuẩn, nhưng không thể

được bảo mật

Các dịch vụ này sẽ cần được vô hiệu hoá và cung cấp trên một máy

chủ nạn nhân (thảo luận ở trên) nếu bạn thực sự cần chúng.

Các dịch vụ bạn không sử dụng, hoặc bạn không sử dụng trong cấu

hình với Internet

Bạn cần vô hiệu hoá các dịch vụ loại này.

Thư tín điện tử (SMTP) là nền tảng cơ bản nhất mà các máy chủ pháo

đài thường cung cấp. Bạn có thể cũng muốn truy cập hay cung cấp các dịch

vụ thông tin nh:

FTP – truyền file

Gopher – phục hồi thông tin nền tảng trình đơn

WAIS – phục hồi thông tin tìm kiếm từ khoá

HTTP – WWW

NNTP_ tin tức trên mạng



Tìm hiểu về an toàn và bảo mật trên mạng



Để cung cấp bất cứ dịch vụ nào (bao gồm cả SMTP), bạn cần truy cập

và cung cấp dịch vụ tên miền (DNS). DNS hiếm khi được sử dụng trực tiếp,

nhưng nó làm nền tảng cho tất cả các giao thức khác bằng cách cung cấp các

giá trị trung gian để chuyển đổi tên miền thành địa chỉ IP và thông qua, cũng

như là cung cấp thông tin phân phối khác về tên miền và máy chủ.

Bạn cũng có thể muốn cung cấp một số phiên bản của dịch vụ finger,

để cung cấp thông tin về site của bạn và mọi người ở đó. Tuy nhiên, bạn cần

quyết định thông tin nào mà bạn muốn mọi người có, và sử dụng thay đổi

trình tiện Ých finger mà chỉ cung cấp nó. Nhìn chung không nên mong

muốn cho thế giới thấy các mật khẩu tồn tại trên máy chủ pháo đài và những

cái nào đang được sử dụng. Nó không chỉ hữu Ých đối với những kẻ tấn

công, mà nó còn không hữu Ých cho những người điều tra thực, những

người muốn biết thông tin về tổng thể site của bạn, chứ không phải chỉ biết

riêng về máy chủ pháo đài.

Quyển sách “các dịch vụ quản lý thông tin Internet (Managing

Internet information Services), tham khảo ở trên, có một chương rất tốt trong

việc cung cấp các dịch vụ thông tin qua finger, inetd, và Telnet. Một kỹ thuật

riêng được mô tả, để tạo “nắm bắt” hoặc “không phá vỡ” các trình tiện Ých

giao diện, tạo ra các dịch vụ uỷ quyền. Các dịch vụ này là một phương thức

cho người sử dụng trong mạng của bạn có thể chạy ping hay traceroute

ngược lại với các máy chủ bên ngoài, từ một trình tiện Ých giao diện trên

máy chủ pháo đài.

Nhiều dịch vụ hướng LAN bao gồm các điểm yếu mà người tấn công

có thể khai thác từ bên ngoài, và tất cả chúng đều trở thành cơ hội cho kẻ tấn

công muốn thành công trong việc làm tổn hại máy chủ pháo đài. Về cơ bản,



Tìm hiểu về an toàn và bảo mật trên mạng



bạn cần loại bỏ những thứ mà bạn sẽ không sử dụng, và bạn cần chọn lựa cái

cần sử dụng một cách cẩn thận.



6. Không cho phép các account người sử dụng trên

máy chủ pháo đài

Nếu có thể, không cho phép bất cứ account người sử dụng nào trên

máy chủ pháo đài. Giữ các account này ngoài máy chủ pháo đài sẽ cho bạn

bảo mật tốt nhất. Có nhiều lý do, bao gồm:

•



Các điểm yếu của chớnh cỏc account.



•



Các điểm yếu của các dịch vụ yêu cầu để cung cấp cho



các account.

•



Giảm sự ổn định và độ tin cậy của máy móc.



•



Thiếu thận trọng với sự phá hoại của bảo mật máy chủ



pháo đài bởi người sử dụng.

•



Tăng mức độ khó trong việc phát hiện tấn công.



Các account người sử dụng tương đối dễ cung cấp các đại lộ để tấn

công cho những người có ý định phá vỡ máy chủ pháo đài. Mỗi account

thường có mật khẩu có thể sử dụng được để tấn công và nó có thể bị những

kẻ tấn công biết được bằng nhiều cách, bao gồm cả các tìm kiếm từ điển, các

tìm kiếm bắt ép thô bạo, hoặc bằng nghe trộm mạng. Nhõn nú lờn bởi nhiều

người sử dụng, và bạn tạo ra một tai hoạ.

Xác nhận các account người sử dụng đòi hỏi máy chủ pháo đài cho

quyền các dịch vụ (ví dụ, các dịch vụ in và phân phối thư cục bộ) mà mặt

khác có thể bị vô hiệu hoỏ trờn máy chủ pháo đài. Mọi dịch vụ cú trờn máy

chủ pháo đài cung cấp một đại lộ khác của sự tấn công, qua các lỗi phần

mềm hoặc các lỗi cấu hình.



Tìm hiểu về an toàn và bảo mật trên mạng



Với việc có xác nhận các account người sử dụng cũng có thể làm

giảm sự ổn định và độ tin cậy của chính máy móc. Cỏc mỏy khụng xác nhận

các account người sử dụng có khuynh hướng chạy ổn định và có thể dự báo

trước. Nhiều site nhận thấy rằng các máy tính với không người sử dụng có

khuynh hướng chạy tốt vô thời hạn (hoặc ít nhất cho đến khi nguồn năng

lượng hỏng) mà không bị phá vỡ.

Chính những người sử dụng có thể góp phần cho các vấn đề bảo mật

trên máy chủ pháo đài. Họ không thường xuyên thực hiện nó thận trọng, và

họ có thể phá hoại hệ thống theo nhiều cách khác nhau. Những loại này

không đáng kể (ví dụ, chọn một mật khẩu tồi) để làm phức tạp (ví dụ, đưa ra

một máy chủ không có quyền mà không được biết đến mối quan hệ bảo

mật). Người sử dụng hiếm khi cố tình làm hại, họ thường chỉ cố gắng hoàn

thành các công việc của họ hiệu quả và ấn tượng hơn.

Thông thường là đơn giản hơn để nói nếu mọi thứ đang chạy một cách

bình thường trên một máy mà không cho phép người sự dụng làm lụn xộn.

Người sử dụng thực hiện theo các phương thức không thể đoán trước được,

nhưng bạn muốn một máy chủ pháo đài có dự báo trước theo kiểu dáng

thông thường, để phát hiện các chỉ thị bằng cách xem xét các ngắt trong

mẫu.

Nếu bạn cần cho phép các account người sử dụng trên máy chủ pháo

đài, giữ chúng ở mức nhỏ nhất. Bổ sung các tài khoản riêng, người quản trị

cấn phải cẩn thận và thường thay đổi nếu thấy cần thiết.



Tìm hiểu về an toàn và bảo mật trên mạng



7. Xây dựng một pháo đài phòng thủ

Bây giờ bạn xác định cái mà bạn muốn máy chủ pháo đài thực hiện,

bạn cần xây dựng thực sự máy chủ pháo đài. Để thực hiện điều đó bạn phải

tiến hành những bước sau đõy:

• Bảo vệ máy.

• Tắt tất cả các dịch vụ không cần thiết.

• Cài đặt và thay đổi các dịch vụ mà bạn muốn cung

cấp.

• Định lại cấu hình từ một cấu hình phù hợp cho sự phát

triển tới trạng thái chạy cuối cùng.

• Chạy một trình kiểm tra tính bảo mật để xác định ranh

giới.

• Kết nối máy với mạng mà nó sẽ được sử dụng trong

đó.

Bạn cần phải rất cẩn thận để đảm bảo rằng máy không có thể bị truy

cập từ Internet cho đến bước cuối cùng. Bạn không nên kết nối Internet tới

khi máy chủ pháo đài được định cấu hình. Nếu bạn bổ sung một tường lửa

tới một site vừa được kết nối tới Internet, bạn cần định cấu hình máy chủ

pháo đài như một máy chuẩn độc lập, không kết nối tới mạng của bạn.

Nếu máy chủ pháo đài dễ bị tấn công từ Internet trong khi nó đang

được xây dựng, nó có thể trở thành một kỹ thuật tấn công thay cho một kỹ

thuật bảo vệ. Người xâm nhập, người len vào trước khi bạn chạy ranh giới

kiểm tra, sẽ khó khăn trong việc phát hiện và sẽ là vị trí tốt để đọc tất cả trên

giao tuyến của bạn tới và từ Internet. Các trường hợp được báo cáo khi cỏc



Tìm hiểu về an toàn và bảo mật trên mạng



mỏy vừa bị tấn công trong vài phút khi bắt đầu kết nối Internet; hiếm khi nó

có thể xảy ra.

Các phần tiếp theo mô tả từng bước chính trong xây dựng một máy

chủ pháo đài. Chúng cũng đề cập một cách ngắn gọn đến quá trình tiếp tục

duy trì và bảo vệ máy chủ pháo đài; lưu ý, các vấn đề về sự duy trì được

thảo luận chủ yếu ở chương 12.



7.1 Bảo vệ máy

Để bắt đầu, xây dựng một máy với một hệ điều hành chuẩn, bảo mật

đến mức có thể. Bắt đầu với một hệ điều hành không lỗi và tiếp theo là các

thủ tục mà chúng ta sẽ mô tả trong phần này.

Bắt đầu với việc cài đặt hệ điều hành ít lỗi nhất

Bắt đầu với việc cài đặt một hệ điều hành không lỗi, từ các nhà cung

cấp phân phối truyền thông. Nếu bạn làm như thế, bạn sẽ biết chính xác vấn

đề bạn cần làm. Bạn sẽ không cần trang bị thêm thiết bị mới . Sử dụng một

hệ thống như vậy cũng sẽ làm cho các công việc sau dơn giản hơn. Hầu hết

các sửa tạm bảo mật nhà cung ứng, cũng nh là các chỉ dẫn cấu hình nhà cung

ứng và tài liệu khác, giả sử rằng bạn đang bắt đầu với một cài đặt không thay

đổi.

Trong khi bạn đang cài đặt hệ điều hành, cài đặt ít như là bạn có thể

tránh. Sẽ đơn giản khi tránh cài đặt it các mẫu tin hơn là xoá toàn bộ các

mẫu tin này sau đó. Với vấn đề này, một khi hệ điều hành của bạn ít chức

năng nhất, nó sẽ khụng khú để thờm cỏc thành phần nếu bạn nhận ra bạn cần

chúng. Đừng cài đặt các hệ thống con không cần thiết trừ khi bạn biết rằng

bạn sẽ cần nó.

Sửa chữa tất cả các lỗi đã biết



Tìm hiểu về an toàn và bảo mật trên mạng



Tạo một danh sách của các đoạn sửa tạm bảo mật đã biết và các tư

vấn cho hệ điều hành của bạn; qua chỳng xỏc định cái phù hợp với hệ thống

của riêng bạn, và sửa tất cả các vấn đề được mô tả trong các đoạn sửa tạm và

các tư vấn. Bạn nhận được thông tin này từ nhà tư vấn hay các nhà liên hệ

cung cấp kỹ thuật, hoặc từ các nhóm người sử dụng, hay từ danh sách thư

diện tử dành cho nền riêng của bạn.

Một danh sách hữu ích của các liên hệ có sẵn qua FTP nặc danh tại

các tường lửa danh sách lưu trữ thư:

ftp://ftp.greatcircle.com/pub/firewalls/vendor_security_contacts"

Bổ sung thêm, chắc chắn có được từ Compurter Emergency Response

Team Coordination Center (CERT-CC) tư vấn hợp lệ cho nền tảng của bạn,

và làm việc với chúng. (Cho thông tin trên cách liên hệ CERT-CC và phục

hồi thông tin của nó, xem danh sách của các phương pháp trong phụ lục A).

Sử dụng bản liệt kê các mục cần kiểm tra

Chắc chắn là bạn không bỏ qua bất cứ điều gì trong bảo mật máy chủ

pháo đài của bạn, sử dụng một bảng liệt kê các mục cần kiểm tra. Có rất

nhiều các mục cần kiểm tra. Chắc chắn khi sử dụng một bản mục phù hợp

với phần nền của bạn và phiên bản hệ điều hành.

Phụ lục A của Practicakl UNIX security, được nhắc đến từ trước, bao

gồm một bảng liệt kê các mục cần kiểm tra cho phần lớn các phần nền

UNIX. Các bảng liệt kê các mục cần kiểm tra cụ thể cho từng hệ điều hành

riêng thường tồn tại qua cỏc kờnh xác nhận chuẩn hoặc không chuẩn cho các

phần nền đó; kiểm tra với các nhà liên hệ cung cấp kỹ thuật, hoặc từ các

nhóm người sử dụng, hay từ các danh sách thư dành cho phần nền.

Bảo vệ cho các truy cập hệ thống



Tìm hiểu về an toàn và bảo mật trên mạng



Bước tiếp theo trong việc xây dựng máy chủ pháo đài là đảm bảo rằng

bạn có một phương thức bảo vệ cho các truy cập hệ thống cho máy chủ pháo

đài. Các truy cập hệ thống trên máy chủ pháo đài là quan trong vì hai lý do

sau:

•



Chúng là một trong các phương thức tốt nhất của việc



quyết định nếu máy chủ pháo đài của bạn đang hoạt động như là nó

cần. Nếu mọi việc mà máy chủ pháo đài làm là truy cập (và nó cần

làm thế), bạn nờn cú khả năng kiểm tra các truy cập để xác định chính

xác cái mà nó đang thực hiện và quyết định công việc mà nó dự tính

phải làm.

•



Khi một ngày nào đó, một người nào đó thành công trong



việc phá huỷ máy chủ pháo đài, các truy cập hệ thống là một trong

những kỹ thuật căn bản để xác định chính xác điều gì đã xảy ra. Bằng

việc kiểm tra các truy cập và đoán nhận những sai sót, bạn cần có khả

năng giữ lại cuộc tấn công tránh xảy ra thêm một lần nữa.

Bạn nên đặt các truy cập hệ thống ở đâu? Một mặt, bạn muốn các truy

cập hệ thống ở nơi tiện lợi; bạn muốn chúng ở tại nơi chúng có thể đơn giản

kiểm tra và xác định công việc mà máy chủ pháo đài đang làm. Mặt khác,

bạn muốn các truy cập hệ thống được đặt ở nơi an toỏn; nú sẽ giữ chỳng

trỏnh cỏc can thiệp trong trường hợp bạn cần sử dụng chúng để khôi phục lại

một sự việc đã xảy ra.

Giải pháp cho hai yêu cầu có vẻ trái ngược này là giữ hai bản sao của

các truy cập hệ thống - một cho vấn đề tiện dụng và một cho các tai biến.

Các truy cập hệ thống cho mục đích tiện lợi



Tìm hiểu về an toàn và bảo mật trên mạng



Bản sao đầu tiên của các truy cập hệ thống là bản mà bạn sẽ sử dụng

trên một nền tảng thông thường để giám sát các hoạt động đang diễn ra của

máy tính. Các truy cập này ngược lại với những truy cập mà bạn chạy các

bản ghi phân tích tự động hàng ngày và hàng tuần. Bạn có thể giữ các truy

cập trờn chớnh cỏc máy chủ pháo đài hay trên một máy chủ nội bộ nào đó.

Lợi thế của việc giữ chỳng trờn máy chủ pháo đài là dễ hiểu: bạn

không phải thực hiện truy cập tới một hệ thống nào khác, và bạn cũng không

phải định cấu hình lọc gói tin để chấp nhận nó. Lợi thế của việc đặt chỳng

trờn một máy chủ nội bộ là đơn giản cho truy cập: bạn không phải vào máy

chủ pháo đài, nơi không có các công cụ đại khái, để kiểm tra các truy cập.

Tánh truy cập tới pháo đài phòng thủ, trong bất cứ trường hợp nào.

Các truy cập hệ thống cho các tai biến

Bản sao thứ hai của các truy cập hệ thống là bản sao bạn sẽ sử dụng

sau khi có tai biến. Bạn không thể sử dụng các truy cập tiện ích của bạn

trong trường hợp này. Các truy cập tiện lợi sẽ không thể dùng được, hoặc

bạn sẽ không thể chắc chắn về tính toàn vẹn của chúng.

Một trong các phương thức đơn giản để tạo các bản ghi cho tai biến là

tấn công vào một tới cổng nối tiếp của máy chủ pháo đài, và đơn giản truy

cập một bản sao của mọi thứ tới cổng này. Có một số vấn đề với tiếp cận

này. Trước hết, bạn phải giữ cho máy in đầy giấy, không được chặt, và với

một giải băng mới. Sau nữa, mỗi khi các bản ghi được in ra, không có nhiều

việc cho bạn làm với chúng chỉ trừ bạn nhỡn chỳng. Bởi vì chúng ở dạng

điện từ, bạn không có cách nào tìm kiếm hay phân tích chúng trong dạng tự

động.



Tìm hiểu về an toàn và bảo mật trên mạng



Một phương thức hiệu quả hơn để tạo các truy cập cho tai biến là kết

nối một máy tính cá nhân chuyên môn tới một cổng nối tiếp trờn phỏo đài

phòng thủ, như một thiết bị truy cập. Cấu hình máy PC trong phương thức

mà nó khởi động vào một chương trình đầu cuối trong dạng “bản ghi”, và

thỉnh thoảng (ví dụ thường là 100,000 bytes), các tệp truy cập được luân

phiên nhau và được chặt khúc sao cho hệ thống không bao giờ bị tràn không

gian đĩa. Trong phương thức này, mỗi vấn đề mà máy chủ pháo đài để lộ ra

cổng nối tiếp đều sẽ được ghi lại trên đĩa của máy tính cá nhân. Trừ khi một

ai đú có truy cập vật lý tới PC (PC phải không được kết nối tới mạng), các

truy cập sẽ vẫn an toàn ngoài tầm với. Thuận lợi của cách tiếp cận phương

thức đầu tiên này là các dữ liệu vần ở dạng điện từ. Nếu bạn phải tìm kiếm

và phân tích trên dữ liệu (sau một tai biến chẳng hạn), bạn có thể khôi phục

nó từ từ máy thiếu an toàn.

Nếu bạn có sẵn một thiết bị ghi một lần, sử dụng thiết bị này; thực

hiện, đặc biệt nếu thiết bị ghi một lần của bạn có thể mô phỏng một hệ thống

file. Đảm bảo rằng bạn có thể tin tưởng vào tính năng viết một lần. Một số

từ quang có khả năng chứa cả toán tử ghi một lần và ghi nhiều lần, và giữ

rãnh ghi dạng của chúng bằng phần mềm. Nếu hệ thống bị làm tổn hại, nó có

thể có khả năng ghi lại như là một phương tiện ghi một lần.

Một số hệ điều hành (đặc biệt là BSD 4.4-Lite và các hệ thống bắt

nguồn từ nó, như là các bản phát hành hiện thời của BSDI, FreeBSD, và

NetBSD) hỗ trợ các tệp bổ sung dữ liệu. Đõy không phải là một lựa chọn

thích hợp cho phương tiện ghi một lần hoặc cho một máy thiếu an toàn. Dù

là bạn có thể tin cậy sự thực hiện của các tệp chỉ bổ sung dữ liệu, đĩa mà

chúng ở trên đó có thể ghi được, và có thế có phương tiện truy cập nó bên

ngoài hệ thống tệp, đặc biệt cho người xâm nhập muốn phá huỷ các bản ghi.



Tìm hiểu về an toàn và bảo mật trên mạng



Hình 5.2 chỉ ra cách thức bạn có thể kết nối một máy tính cá nhân tới

hệ thống của bạn để thực hiện việc truy cập.

Xây dựng các bản ghi hệ thống

Trên một hệ thống UNIX, việc truy cập được thực hiện bằng syslog.

Các bản ghi trình tiện Ých syslog đưa vào cỏc thụng điệp từ vùng khác nhau

của mỏy khỏch từ xa (các chương trình với cỏc thụng điệp mà chúng muốn

đưa vào). Mỗi thông điệp được gắn thẻ với cỏc mó tiện ích và có quyền ưu

tiên; mã tiện ích thông tin syslog biết hệ thống con chung nào thông điệp từ

đó đến (ví dụ, hệ thống thư, nhân, hệ thống in, hệ thống tin tức Usenet, …),

và mã quyền ưu tiên thông tin syslog tầm quan trọng của thông điệp (xếp

loại từ thông tin gỡ rối và cỏc thụng điệp có tin tức thường lệ qua nhiều mức

tuỳ theo tình trạng khẩn cấp của thông tin). Tệp /etc/syslog.conf điều khiển

công việc mà syslog tiến hành với cỏc thụng điệp, dựa trên quyền ưu tiên và

tiện ích của chúng. Một thông điệp được đưa ra có thể bị bỏ qua, được đưa

vào một hay nhiều file, gửi tới trình tiện ích syslog trên một hệ thống khác,

xuất hiện trờn cỏc màn hình của người sử dụng nào đó hoặc của tất cả người

sử dụng đang trực tiếp truy cập, hay bất kỳ kết hợp nào.