HỆ THỐNG BẢO MẬT MẠNG NỘI BỘ - TƯỜNG LỬA (FIREWALL)
1) Tổng quan về bảo mật hệ thống thông tin: Trong thời đại bùng nổ thông tin như hiện nay, việc duy trì sự
tin tưởng của khách hàng và bảo vệ thành quả kinh doanh đồng nghĩa với việc
bảo mật hệ thống thông tin mạng máy tính của doanh nghiệp. Thêm vào đó, để
đáp ứng nhu cầu mở rộng kinh doanh, ngày càng có nhiều doanh nghiệp ứng
dụng dịch vụ internet tốc độ cao ADSL hoặc internet lease-line cho việc
kết nối các văn phòng chi nhánh hoặc để phục vụ cho việc nhanh chóng thăm dò, tiếp cận và
quảng bá thương hiệu. Điều này càng làm tăng khả năng rò rĩ thông tin từ hệ thống máy tính. Doanh nghiệp cần một giải pháp bảo mật
thông tin tin cậy, kinh tế và dễ quản lý.
Để đánh giá một
cách khách quan về các giải pháp và thiết bị bảo mật, sẽ là cần thiết để
tìm hiểu một số các kỹ thuật đánh cắp thông tin phổ biến đang được các tin
tặc khai thác, một số các rủi ro mà một hệ thống thông tin không được bảo
vệ phải đối mặt cũng như một số kỹ thuật để xây dựng một hệ thống thông tin
an toàn.
a) Một số kỹ thuật thâm nhập và phá hoại phổ biến
- Khai thác các lổ hổng bảo mật của hệ điều hành.
-
Khai thác các lổ hổng bảo mật của các chương trình ứng dụng
-
Khai thác lỗi và điểm yếu kỹ thuật của nghi thức truyền
thông TCP/IP
-Tấn công bằng từ chối dịch vụ. Kẻ tấn công sẽ tìm cách chiếm
hết tài nguyên khả dụng của một hệ thống như CPU, bộ nhớ
hoặc ngốn dãi thông khả dụng và hòan toàn nhận chìm liên kết
mạng đến hệ thống này
-
Phát tán virus gây tê liệt hệ thống hoặc mở cửa sau để dễ
dàng thâm nhập hệ thống.
b)
Điều mà tin tặc có thể làm
trên máy tính của bạn:
- Đánh cắp tất cả mật khẩu bao
gồm từ mật khẩu truy nhập hệ thống mạng đến mật khẩu hệ
thống thư điện tử, quay số kết nối internet, chat và tất cả
các mật khẩu dùng để giao dịch với ngân hàng.
-
Toàn quyền truy xuất hệ thống
file trên máy của bạn.
- Biết tất cả những gì bạn gõ
trên bàn phím máy tính của bạn.
- Xử dụng máy tính của bạn để
xâm nhập và phá họai các máy tính khác.
- Nhìn thấy tất cả những gì bạn
làm trên máy tính của bạn.
- Mở hệ thống webcam để quan
sát bạn nếu máy của bạn có trang bị hệ thống này.
- Các máy bị nhiễm virus có thể
tự động kết nối với máy của tin tặc khi đang kết nối với
internet
c)
Các thành phần của một hệ
thống thông tin an toàn:
- Bức tường lửa Firewall và
mạng riêng ảo VPN
- Hệ thống dò xâm nhập
- Hệ thống kiểm tra tính toàn
vẹn hệ thống
- Hệ thống phòng chống và diệt
virus
- Hệ thống kiểm tra và cập nhật
các bản sửa lỗi hệ điều hành và các phần mềm dùng trong hệ
thống.
d) Đặc tính đặc trưng của hệ thống thông tin an
toàn:
- Bảo vệ hệ thống khỏi các truy
xuất không được phép
- Quản lý và kiểm soát quyền
truy xuất tài nguyên của hệ thống thông tin
- Kiểm toán và ghi nhật ký mọi
hành động truy xuất tài nguyên của hệ thống thông tin
- Có khả năng phân tích các
nghi thức kết nối và truyền thông tin giữa các hệ thống
thông tin
- Có khả năng cảnh báo với
người quản trị mạng tất cả các hành động có liên quan đến
tính bảo mật xảy ra trên hệ thống
- Hoặc có khả năng che đậy hoàn
toàn sự hiện diện của hệ thống trên mạng thông tin toàn cầu
hoặc có khả năng che giấu mọi thông tin liên quan đến cấu
trúc mạng nội bộ khỏi các công cụ do thám mạng của kẻ tấn
công
- Ngăn mọi truy xuất trực tiếp
giữa máy chủ và máy trạm mà không thông qua sự kiểm soát của
firewall
- Bảo vệ hệ thống khỏi các kiểu
tấn công từ chối dịch vụ như: ICMP flood, TCP SYN flood, UDP
flood, Smurf, Trinoo, IP Spoofing.
- Đảm bảo tính toàn vẹn của thông tin: đảm bảo thông tin không
bị thay đổi trên đường truyền
2) Tường lửa (Firewall): Một
trong những thành phần của một hệ thống bảo mật là firewall.
Dưới đây là sơ đồ đặc trưng của một hệ thống thông tin có
dùng firewall:
Như trong hình vẽ, có ba nhánh mạng có thể được kiểm soát
nhờ firewall:
- Nhánh mạng có kết nối trực
tiếp với mạng internet tòan cầu (External network) hoặc WAN.
- Nhánh mạng nội bộ LAN.
- Nhánh mạng DMZ chứa các máy chủ cung cấp các dịch vụ như
Web, FTP, E-mail mà một tổ chức dự định cung cấp cho nhân
viên hoặc khách hàng của họ.
a)Phân loại Firewall: Một firewall có thể dùng một hoặc phối hợp các kỹ thuật dưới
đây để đảm bảo các tính năng của một hệ thống thông tin an
toàn đã kể ở trên
i) Kỹ thuật lọc gói dữ liệu (Packet Filter):
Như đã hàm chứa, kỹ thuật này lọc các gói tin IP trên cơ sở
các địa chỉ nguồn và đích, các nghi thức truyền thông TCP,
UDP, ICMP và các cổng (port) của một gói tin IP để cho phép
hoặc từ chối chuyển các gói này đi qua tường lửa tùy theo
những quyền mà người quản trị đã định.
Ưu điểm chính của kỹ thuật này ở tốc độ xử lý và
tính độc lập với các hệ điều hành và ứng dụng được dùng
trong hệ thống mạng được bảo vệ bởi firewall
Công nghệ kiễm tra gói tin có nhận biết trạng thái kết nối
(stateful packet filter) cung cấp khả năng ghi nhận tình
trạng của tất cả các kết nối và cho phép chỉ các gói tin
liên kết với một kết nối lưu thông giữa hai thực thể thiết
lập kết nối. Khi một máy tính trong mạng nội bộ thiết lập
kết nối với một máy chủ ở bên ngoài, firewall sẽ cho phép
chỉ các gói tin trả lời liên kết với kết nối này, từ máy chủ
đó, được phép lưu thông vào mạng nội bộ được bảo vệ bởi
firewall. Khi kết nối bị đóng, tất cả các gói tin khác từ
máy chủ đó sẽ bị từ chối trừ phi đã được cho phép một cách
tường minh.
ii) Kỹ thuật ủy nhiệm ứng dụng
(Application proxies):
Được xây dựng như một
cổng nối (gateway) trên tầng ứng dụng, các cổng nối proxy
ứng dụng họat động như một thực thể trung gian giữa các kết
nối mạng bên ngoài và mạng được bảo vệ bởi firewall. Ưu điểm
dễ thấy của kỹ thuật này là cho phép tách biệt hoàn toàn
giữa mạng được bảo vệ và các mạng khác. Chúng bảo đảm rằng
không một gói dữ liệu nào được phép di chuyển trực tiếp giữa
các mạng mà không thông qua firewall.
Các proxy có thể hiểu
các dạng lưu lượng và các gói đến từ nhiều lọai ứng dụng
khác nhau nên một proxy thường được thiết kế để sử dụng
nhiều proxy agent khác nhau, mỗi agent là một chương trình
được viết để điều khiển một quá trình truyền dữ liệu nào đó.
Do đó một máy chủ proxy thường chạy một hay nhiều proxy
agent. Dưới đây là những proxy agent thường được dùng: HTTP proxy,
SMTP proxy, POP3 proxy, FTP proxy
Do các proxy ứng dụng
chạy ở lớp ứng dụng (application layer) trong mô hình OSI
nên chúng có thể cung cấp thêm một mức bảo mật nữa cho hệ
thống:
-
Kiểm tra dữ liệu trong các gói IP đang được truyền đi do đó có thể
nhận biết việc sử dụng các IP “giả mạo” để lấy quyền truy
nhập trái phép vào hệ thống.
- Có thể áp dụng các cơ chế chứng thực cho các khóa bảo mật khác như
mật khẩu người dùng và các yêu cầu dịch vụ.
iii) Kỹ thuật ủy nhiệm kênh
(circuit proxies)
Một proxy kênh có thể
đóng vai trò đại diện cho cả mạng khi có nhu cầu truy xuất
ra internet. Điều này cho phép toàn bộ mạng bao gồm những
thông tin về địa chỉ IP, cổng kết nối, tổ chức mạng nội bộ
được ẩn dấu khỏi các họat động thăm dò từ bên ngoài mạng.
Bởi vì chỉ có địa chỉ của proxy được truyền qua internet nên
kỹ thuật này cũng giúp làm giãm thiểu sự hiện diện của mạng
nội bộ trên internet.
Người ta cũng đã phát
triển một chuẩn gọi là SOCKs cho các proxy cấp kênh. SOCKs
sẽ thiết lập một kênh đại diện chung đến máy chủ ứng dụng và
chuyển tiếp thông tin giữa client với các máy này.
Tường lửa là một
thành phần trong giải pháp bảo mật nhưng chỉ với tường lửa
thì không đủ để xây dựng hệ thống bảo mật liên mạng WAN. Đó
là vì tường lửa không thể giám sát hay ngăn chận được việc
dữ liệu có thể bị thay đổi và xem trộm trên đường truyền. Đó
cũng chính là lý do khai sinh công nghệ mạng riêng ảo VPN. |