4R is a Vietnamese computer service company which provides clients with server
solutions, network and information security solutions, and data & storage management
Trang Chủ :  Sản Phẫm  :  Dịch Vụ  :  Đặt Hàng  :  Giải Pháp  :  Liên Hệ :
Javascript DHTML Drop Down Menu Powered by dhtml-menu-builder.com
Vui lòng liên hệ theo email
khanhndd@4rgroup.com
vundq@4rgroup.com

Hoặc theo số điện thoại:

Tel: (84 28) 36362438
Hotline: 0903847911
 

HỆ THỐNG BẢO MẬT MẠNG NỘI BỘ - TƯỜNG LỬA (FIREWALL)

1) Tổng quan về bảo mật hệ thống thông tin: Trong thời đại bùng nổ thông tin như hiện nay, việc duy trì sự tin tưởng của khách hàng và bảo vệ thành quả kinh doanh đồng nghĩa với việc bảo mật hệ thống thông tin mạng máy tính của doanh nghiệp. Thêm vào đó, để đáp ứng nhu cầu mở rộng kinh doanh, ngày càng có nhiều doanh nghiệp ứng dụng dịch vụ internet tốc độ cao ADSL hoặc internet lease-line cho việc kết nối các văn phòng chi nhánh hoặc để phục vụ cho việc nhanh chóng thăm dò, tiếp cận và quảng bá thương hiệu. Điều này càng làm tăng khả năng rò rĩ thông tin từ hệ thống máy tính. Doanh nghiệp cần một giải pháp bảo mật thông tin tin cậy, kinh tế và dễ quản lý.

Để đánh giá một cách khách quan về các giải pháp và thiết bị bảo mật, sẽ là cần thiết để tìm hiểu một số các kỹ thuật đánh cắp thông tin phổ biến đang được các tin tặc khai thác, một số các rủi ro mà một hệ thống thông tin không được bảo vệ phải đối mặt cũng như một số kỹ thuật để xây dựng một hệ thống thông tin an toàn.

a) Một số kỹ thuật thâm nhập và phá hoại phổ biến
- Khai thác các lổ hổng bảo mật của hệ điều hành.
-
Khai thác các lổ hổng bảo mật của các chương trình ứng dụng
-
Khai thác lỗi và điểm yếu kỹ thuật của nghi thức truyền thông TCP/IP
-Tấn công bằng từ chối dịch vụ. Kẻ tấn công sẽ tìm cách chiếm hết tài nguyên khả dụng của một hệ thống như CPU, bộ nhớ hoặc ngốn dãi thông khả dụng và hòan toàn nhận chìm liên kết mạng đến hệ thống này

- Phát tán virus gây tê liệt hệ thống hoặc mở cửa sau để dễ dàng thâm nhập hệ thống.

b) Điều mà tin tặc có thể làm trên máy tính của bạn:
- Đánh cắp tất cả mật khẩu bao gồm từ mật khẩu truy nhập hệ thống mạng đến mật khẩu hệ thống thư điện tử, quay số kết nối internet, chat và tất cả các mật khẩu dùng để giao dịch với ngân hàng.
- Toàn quyền truy xuất hệ thống file trên máy của bạn.
- Biết tất cả những gì bạn gõ trên bàn phím máy tính của bạn.
- Xử dụng máy tính của bạn để xâm nhập và phá họai các máy tính khác.
- Nhìn thấy tất cả những gì bạn làm trên máy tính của bạn.
- Mở hệ thống webcam để quan sát bạn nếu máy của bạn có trang bị hệ thống này.
- Các máy bị nhiễm virus có thể tự động kết nối với máy của tin tặc khi đang kết nối với internet
c) Các thành phần của một hệ thống thông tin an toàn:
- Bức tường lửa Firewall và mạng riêng ảo VPN
- Hệ thống dò xâm nhập
- Hệ thống kiểm tra tính toàn vẹn hệ thống
- Hệ thống phòng chống và diệt virus
- Hệ thống kiểm tra và cập nhật các bản sửa lỗi hệ điều hành và các phần mềm dùng trong hệ thống.

d) Đặc tính đặc trưng của hệ thống thông tin an toàn:
- Bảo vệ hệ thống khỏi các truy xuất không được phép
- Quản lý và kiểm soát quyền truy xuất tài nguyên của hệ thống thông tin
- Kiểm toán và ghi nhật ký mọi hành động truy xuất tài nguyên của hệ thống thông tin
- Có khả năng phân tích các nghi thức kết nối và truyền thông tin giữa các hệ thống thông tin
- Có khả năng cảnh báo với người quản trị mạng tất cả các hành động có liên quan đến tính bảo mật xảy ra trên hệ thống
- Hoặc có khả năng che đậy hoàn toàn sự hiện diện của hệ thống trên mạng thông tin toàn cầu hoặc có khả năng che giấu mọi thông tin liên quan đến cấu trúc mạng nội bộ khỏi các công cụ do thám mạng của kẻ tấn công
- Ngăn mọi truy xuất trực tiếp giữa máy chủ và máy trạm mà không thông qua sự kiểm soát của firewall
- Bảo vệ hệ thống khỏi các kiểu tấn công từ chối dịch vụ như: ICMP flood, TCP SYN flood, UDP flood, Smurf, Trinoo, IP Spoofing.
- Đảm bảo tính toàn vẹn của thông tin: đảm bảo thông tin không bị thay đổi trên đường truyền

2) Tường lửa (Firewall): Một trong những thành phần của một hệ thống bảo mật là firewall. Dưới đây là sơ đồ đặc trưng của một hệ thống thông tin có dùng firewall:

Như trong hình vẽ, có ba nhánh mạng có thể được kiểm soát nhờ firewall:
- Nhánh mạng có kết nối trực tiếp với mạng internet tòan cầu (External network) hoặc WAN.
- Nhánh mạng nội bộ LAN.
- Nhánh mạng DMZ chứa các máy chủ cung cấp các dịch vụ như Web, FTP, E-mail mà một tổ chức dự định cung cấp cho nhân viên hoặc khách hàng của họ.

a)Phân loại Firewall: Một firewall có thể dùng một hoặc phối hợp các kỹ thuật dưới đây để đảm bảo các tính năng của một hệ thống thông tin an toàn đã kể ở trên

i) Kỹ thuật lọc gói dữ liệu (Packet Filter):

Như đã hàm chứa, kỹ thuật này lọc các gói tin IP trên cơ sở các địa chỉ nguồn và đích, các nghi thức truyền thông TCP, UDP, ICMP và các cổng (port) của một gói tin IP để cho phép hoặc từ chối chuyển các gói này đi qua tường lửa tùy theo những quyền mà người quản trị đã định.

Ưu điểm chính của kỹ thuật này ở tốc độ xử lý và tính độc lập với các hệ điều hành và ứng dụng được dùng trong hệ thống mạng được bảo vệ bởi firewall

Công nghệ kiễm tra gói tin có nhận biết trạng thái kết nối (stateful packet filter) cung cấp khả năng ghi nhận tình trạng của tất cả các kết nối và cho phép chỉ các gói tin liên kết với một kết nối lưu thông giữa hai thực thể thiết lập kết nối. Khi một máy tính trong mạng nội bộ thiết lập kết nối với một máy chủ ở bên ngoài, firewall sẽ cho phép chỉ các gói tin trả lời liên kết với kết nối này, từ máy chủ đó, được phép lưu thông vào mạng nội bộ được bảo vệ bởi firewall. Khi kết nối bị đóng, tất cả các gói tin khác từ máy chủ đó sẽ bị từ chối trừ phi đã được cho phép một cách tường minh.

ii) Kỹ thuật ủy nhiệm ứng dụng (Application proxies):

Được xây dựng như một cổng nối (gateway) trên tầng ứng dụng, các cổng nối proxy ứng dụng họat động như một thực thể trung gian giữa các kết nối mạng bên ngoài và mạng được bảo vệ bởi firewall. Ưu điểm dễ thấy của kỹ thuật này là cho phép tách biệt hoàn toàn giữa mạng được bảo vệ và các mạng khác. Chúng bảo đảm rằng không một gói dữ liệu nào được phép di chuyển trực tiếp giữa các mạng mà không thông qua firewall. Các proxy có thể hiểu các dạng lưu lượng và các gói đến từ nhiều lọai ứng dụng khác nhau nên một proxy thường được thiết kế để sử dụng nhiều proxy agent khác nhau, mỗi agent là một chương trình được viết để điều khiển một quá trình truyền dữ liệu nào đó. Do đó một máy chủ proxy thường chạy một hay nhiều proxy agent. Dưới đây là những proxy agent thường được dùng: HTTP proxy, SMTP proxy, POP3 proxy, FTP proxy

Do các proxy ứng dụng chạy ở lớp ứng dụng (application layer) trong mô hình OSI nên chúng có thể cung cấp thêm một mức bảo mật nữa cho hệ thống:
- Kiểm tra dữ liệu trong các gói IP đang được truyền đi do đó có thể nhận biết việc sử dụng các IP “giả mạo” để lấy quyền truy nhập trái phép vào hệ thống.
- Có thể áp dụng các cơ chế chứng thực cho các khóa bảo mật khác như mật khẩu người dùng và các yêu cầu dịch vụ.

iii) Kỹ thuật ủy nhiệm kênh (circuit proxies)

Một proxy kênh có thể đóng vai trò đại diện cho cả mạng khi có nhu cầu truy xuất ra internet. Điều này cho phép toàn bộ mạng bao gồm những thông tin về địa chỉ IP, cổng kết nối, tổ chức mạng nội bộ được ẩn dấu khỏi các họat động thăm dò từ bên ngoài mạng. Bởi vì chỉ có địa chỉ của proxy được truyền qua internet nên kỹ thuật này cũng giúp làm giãm thiểu sự hiện diện của mạng nội bộ trên internet.

Người ta cũng đã phát triển một chuẩn gọi là SOCKs cho các proxy cấp kênh. SOCKs sẽ thiết lập một kênh đại diện chung đến máy chủ ứng dụng và chuyển tiếp thông tin giữa client với các máy này.

Tường lửa là một thành phần trong giải pháp bảo mật nhưng chỉ với tường lửa thì không đủ để xây dựng hệ thống bảo mật liên mạng WAN. Đó là vì tường lửa không thể giám sát hay ngăn chận được việc dữ liệu có thể bị thay đổi và xem trộm trên đường truyền. Đó cũng chính là lý do khai sinh công nghệ mạng riêng ảo VPN.

JUNIPER NETWORKS


ASTARO SECURITY GATEWAY

 

 

4SOLUTIONS Trading And Service Ltd., Co. Địa chỉ : 209/73 Tôn Thất Thuyết, P3, Q4, TP HCM, Việt Nam. Email: khanhndd@4rgroup.com Telephone: (84 28)-36362438 Hotline: 0903847911