Đề tài Xây dựng giải pháp an ninh mạng cho các doanh nghiệp vừa và nhỏ dựa trên phần mềm mã nguồn mở

TRƯỜNG ĐẠI HỌC SƯ PHẠM HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN =========================== BÁO CÁO NGHIÊN CỨU KHOA HỌC ĐỀ TÀI : XÂY DỰNG GIẢI PHÁP AN NINH MẠNG CHO CÁC DOANH NGHIỆP VỪA VÀ NHỎ DỰA TRÊN PHẦN MỀM MÃ NGUỒN MỞ Sinh viên thực hiện : Trịnh Thị Thu Hương Lớp : K54C- CNTT HÀ NỘI, 4/2008 Xây dựng giải pháp an ninh mạng cho các doanh nghiệp vừa và nhỏ dựa trên phần mềm mã nguồn mở MỤC LỤCCHƯƠNG I : TỔNG QUAN VỀ AN TOÀN - AN NINH MẠNGI.1. An toàn – an ninh mạng là gi ?I.2 Các đặc trưng kỹ thuật của an toàn- an ninh mạngI.3 Đánh giá về sự đe doạ, các điểm yếu hệ thống và các kiểu tấn côngI.3.1 Đánh giá về sự đe doạI.3.2 Các lỗ hỏng và điểm yếu của hệ thốngI.3.3 Các kiểu tấn côngI.3.4 Các biện pháp phát hiện hệ thống bị tấn côngI.4 Một số công cụ an ninh-an toàn mạngI.5 Một số giải pháp dùng cho doanh nghiệp vừa và nhỏCHƯƠNG II : GIẢI PHÁP AN TOÀN- AN NINH MẠNGII.1 Thực hiện an ninh mạng với tường lửaII.1.1 Khái niệm FirewallII.1.2 Chức năng II.1.3 Cấu trúcII.1.4 Các thành phần của Firewall và cơ chế hoạt động1. Thành phần2. Cơ chế hoạt độngII.1.5 Các loại FirewallII.1.6 Kỹ thuật FirewallII.1.7 Những hạn chế của FirewallII.1.8 Một số mô hình Firewall1. Packet-Filtering Ruoter2. Screened Host Firewall3. Demilitarized Zone hay Screened-subnet Firewall4. Proxy serverII.2 Mạng riêng ảo – VPNII.2.1 Giới thiệu về VPN1. Khái niệm VPN2. Ưu điểm của VPNII.2.2 Kiến trúc của VPNII.2.3 Các loại VPNII.2.4 Các yêu cầu cơ bản đối với một giải pháp VPNCHƯƠNG III : MỘT SỐ CÔNG CỤ AN NINH MẠNG MÃ NGUỒN MởIII.1 Giới thiệuIII.2 Netfilter và Iptable1. Giới thiệu2. Cấu trúc của Iptable3. Quá trình chuyển gói dữ liệu qua tường lửa4. Targets và Jump5. Thực hiện lệnh trong IptableIII.3 OpenVPNIII.4 Webmin MỤC LỤC CHƯƠNG I : TỔNG QUAN VỀ AN TOÀN - AN NINH MẠNG An toàn – an ninh mạng là gi ?......................................................................... 3 Các đặc trưng kỹ thuật của an toàn- an ninh mạng…………………………4 Đánh giá về sự đe doạ, các điểm yếu hệ thống và các kiểu tấn công………. 6 Đánh giá về sự đe doạ……………………………………………………..6 Các lỗ hỏng và điểm yếu của hệ thống……………………………………6 Các kiểu tấn công………………………………………………………....7 Các biện pháp phát hiện hệ thống bị tấn công…………………………….9 Một số công cụ an ninh-an toàn mạng………………………………………12 Một số giải pháp dùng cho doanh nghiệp vừa và nhỏ……………………..14 CHƯƠNG II : GIẢI PHÁP AN TOÀN- AN NINH MẠNG………………………17 II.1 Thực hiện an ninh mạng với tường lửa……………………………………… 17 II.1.1 Khái niệm Firewall…………………………………………………………….17 II.1.2 Chức năng …………………………………………………………………….18 II.1.3 Cấu trúc………………………………………………………………………..19 II.1.4 Các thành phần của Firewall và cơ chế hoạt động…………………………….19 Thành phần……………………………………………………………………19 Cơ chế hoạt động……………………………………………………………...19 II.1.5 Các loại Firewall………………………………………………………………..24 II.1.6 Kỹ thuật Firewall………………………………………………………………24 II.1.7 Những hạn chế của Firewall……………………………………………………25 II.1.8 Một số mô hình Firewall………………………………………………………..26 Packet-Filtering Ruoter………………………………………………………...26 Screened Host Firewall……………………………………………..………….27 Demilitarized Zone hay Screened-subnet Firewall………………...…..……...29 Proxy server……………………………………………………………………30 II.2 Mạng riêng ảo – VPN…………………………………………………………...32 II.2.1 Giới thiệu về VPN………………………………………………………………32 Khái niệm VPN………………………………………………………………….32 Ưu điểm của VPN……………………………………………………………….33 II.2.2 Kiến trúc của VPN……………………………………………………………...33 II.2.3 Các loại VPN……………………………………………………………………34 II.2.4 Các yêu cầu cơ bản đối với một giải pháp VPN………………………………..40 CHƯƠNG III : MỘT SỐ CÔNG CỤ AN NINH MẠNG MÃ NGUỒN MỞ……..42 III.1 Giới thiệu………………………………………………………………………...42 III.2 Netfilter và Iptable……………………………………………………………….43 Giới thiệu………………………………………………………………………43 Cấu trúc của Iptable…………………………………………………………....43 Quá trình chuyển gói dữ liệu qua tường lửa…………………………………...43 Targets và Jump………………………………………………………………..44 Thực hiện lệnh trong Iptable…………………………………………………...45 III.3 OpenVPN………………………………………………………………………...47 III.4 Webmin…………………………………………………………………………..49 CHƯƠNG I : TỔNG QUAN VỀ AN TOÀN - AN NINH MẠNG An toàn mạng là gì ? Mục tiêu của việc kết nối mạng là để nhiều người sử dụng, từ những vị trí địa lý khác nhau có thể sử dụng chung tài nguyên, trao đổi thông tin với nhau. Do đặc điểm nhiều người sử dụng lại phân tán về mặt vật lý nên việc bảo vệ các tài nguyên thông tin trên mạng tránh sự mất mát, xâm phạm là cần thiết và cấp bách. An toàn mạng có thể hiểu là cách bảo vệ, đảm bảo an toàn cho tất cả các thành phần mạng bao gồm : dữ liệu, thiết bị, cơ sở hạ tầng mạng và đảm bảo mọi tài nguyên mạng được sử dụng tương ứng với một chính sách hoạt động được ấn định và với chỉ những người có thẩm quyền tương ứng. An toàn mạng bao gồm : Xác định chính sách, các khả năng nguy cơ xâm phạm mạng, các sự cố rủi ro đối với thiết bị, dữ liệu trên mạng để có các giải pháp phù hợp đảm bảo an toàn mạng. Đánh giá nguy cơ tấn công của các Hacker đến mạng, sự phát tán virus…Phải nhận thấy an toàn mạng là một trong những vấn đề cực kỳ quan trọng trong các hoạt động, giao dịch điện tử và trong việc khai thác sử dụng các tài nguyên mạng. Một thách thức đối với an toàn mạng là xác định chính xác cấp độ an toàn cần thiết cho việc điều khiển hệ thống và các thành phần mạng. Đánh giá các nguy cơ, các lỗ hỏng khiến mạng có thể bị xâm phạm thông qua cách tiếp cận có cấu trúc. Xác định những nguy cơ ăn cắp, phá hoại máy tính, thiết bị, nguy cơ virus, bọ gián điệp, nguy cơ xoá, phá hoại CSDL, ăn cắp mật khẩu,…nguy cơ đối với sự hoạt động của hệ thống như nghẽn mạng, nhiễu điện tử. Khi đánh giá được hết những nguy cơ ảnh hưởng tới an ninh mạng thì mới có thể có được những biện pháp tốt nhất để đảm bảo an ninh mạng. Sử dụng hiệu quả các công cụ bảo mật (ví dụ như Firewall) và những biện pháp, chính sách cụ thể chặt chẽ. Về bản chất có thể phân loại vi phạm thành các vi phạm thụ động và vi phạm chủ động. Thụ động và chủ động được hiểu theo nghĩa có can thiệp vào nội dung và luồng thông tin có bị trao đổi hay không. Vi phạm thụ động chỉ nhằm mục đích nắm bắt được thông tin. Vi phạm chủ động là thực hiện sự biến đổi, xoá bỏ hoặc thêm thông tin ngoại lai để làm sai lệch thông tin gốc nhằm mục đích phá hoại. Các hành động vi phạm thụ động thường khó có thể phát hiện nhưng có thể ngăn chặn hiệu quả. Trái lại, vi phạm chủ động rất dễ phát hiện nhưng lại khó ngăn chặn. Các đặc trưng kỹ thuật của an toàn mạng 1. Tính xác thực (Authentification): Kiểm tra tính xác thực của một thực thể giao tiếp trên mạng. Một thực thể có thể là một người sử dụng, một chương trình máy tính, hoặc một thiết bị phần cứng. Các hoạt động kiểm tra tính xác thực được đánh giá là quan trọng nhất trong các hoạt động của một phương thức bảo mật. Một hệ thống thông thường phải thực hiện kiểm tra tính xác thực của một thực thể trước khi thực thể đó thực hiện kết nối với hệ thống. Cơ chế kiểm tra tính xác thực của các phương thức bảo mật dựa vào 3 mô hình chính sau : Đối tượng cần kiểm tra cần phải cung cấp những thông tin trước, ví dụ như password, hoặc mã số thông số cá nhân PIN. Kiểm tra dựa vào mô hình những thông tin đã có, đối tượng kiểm tra cần phải thể hiện những thông tin mà chúng sở hữu, ví dụ như Private Key, hoặc số thẻ tín dụng. Kiểm tra dựa vào mô hình những thông tin xác định tính duy nhất, đối tượng kiểm tra cần phải có những thông tin để định danh tính duy nhất của mình, ví dụ như thông qua giọng nói, dấu vân tay, chữ ký,… Có thể phân loại bảo mật trên VPN theo các cách sau : mật khẩu truyền thống hay mật khẩu một lần; xác thực thông qua các giao thức (PAP, CHAP,..) hay phần cứng (các loại thẻ card: smart card, token card, PC card), nhận diện sinh trắc học (dấu vân tay, giọng nói, quét võng mạc…). 2. Tính khả dụng (Availability): Tính khả dụng là đặc tính mà thông tin trên mạng được các thực thể hợp pháp tiếp cận và sử dụng theo yêu cầu khi cần thiết bất cứ khi nào, trong hoàn cảnh nào. Tính khả dụng nói chung dùng tỉ lệ giữa thời gian hệ thống được sử dụng bình thường với thời gian quá trình hoạt động để đánh giá. Tính khả dụng cần đáp ứng những yêu cầu sau : Nhận biết và phân biệt thực thể, khống chế tiếp cận (bao gồm cả việc khống chế tự tiếp cận và khống chế tiếp cận cưỡng bức ), khống chế lưu lượng (chống tắc nghẽn), khống chế chọn đường (cho phép chọn đường nhánh, mạch nối ổn định, tin cậy), giám sát tung tích (tất cả các sự kiện phát sinh trong hệ thống được lưu giữ để phân tích nguyên nhân, kịp thời dùng các biện pháp tương ứng). 3. Tính bảo mật (Confidentialy): Tính bảo mật là đặc tính tin tức không bị tiết lộ cho các thực thể hay quá trình không đuợc uỷ quyền biết hoặc không để cho các đối tượng xấu lợi dụng. Thông tin chỉ cho phép thực thể được uỷ quyền sử dụng. Kỹ thuật bảo mật thường là phòng ngừa dò la thu thập, phòng ngừa bức xạ, tăng cường bảo mật thông tin (dưới sự khống chế của khoá mật mã), bảo mật vật lý (sử dụng các phương pháp vật lý để đảm bảo tin tức không bị tiết lộ). 4. Tính toàn vẹn (Integrity): Là đặc tính khi thông tin trên mạng chưa được uỷ quyền thì không thể tiến hành được, tức là thông tin trên mạng khi đang lưu giữ hoặc trong quá trình truyền dẫn đảm bảo không bị xoá bỏ, sửa đổi, giả mạo, làm dối loạn trật tự, phát lại, xen vào một cách ngẫu nhiên hoặc cố ý và những sự phá hoại khác. Những nhân tố chủ yếu ảnh hưởng tới sự toàn vẹn thông tin trên mạng gồm : sự cố thiết bị, sai mã, bị tác động của con người, virus máy tính.. Một số phương pháp bảo đảm tính toàn vẹn thông tin trên mạng : - Giao thức an toàn có thể kiểm tra thông tin bị sao chép, sửa đổi hay sao chép,. Nếu phát hiện thì thông tin đó sẽ bị vô hiệu hoá. - Phương pháp phát hiện sai và sửa sai. Phương pháp sửa sai mã hoá đơn giản nhất và thường dùng là phép kiểm tra chẵn lẻ. - Biện pháp kiểm tra mật mã ngăn ngừa hành vi xuyên tạc và cản trở truyền tin. - Chữ ký điện tử : bảo đảm tính xác thực của thông tin. - Yêu cầu cơ quan quản lý hoặc trung gian chứng minh chân thực của thông tin. 5. Tính khống chế (Accountlability): Là đặc tính về năng lực khống chế truyền bá và nội dung vốn có của tin tức trên mạng. 6. Tính không thể chối cãi (Nonreputation): Trong quá trình giao lưu tin tức trên mạng, xác nhận tính chân thực đồng nhất của những thực thể tham gia, tức là tất cả các thực thể tham gia không thể chối bỏ hoặc phủ nhận những thao tác và cam kết đã được thực hiện. Đánh giá về sự đe doạ, các điểm yếu của hệ thống và các kiểu tấn công. Đánh giá về sự đe doạ Về cơ bản có 4 nối đe doạ đến vấn đề bảo mật mạng như sau : Đe doạ không có cấu trúc (Unstructured threats) Đe doạ có cấu trúc (Structured threats) Đe doạ từ bên ngoài (External threats) Đe doạ từ bên trong (Internal threats) 1) Đe doạ không có cấu trúc Những mối đe doạ thuộc dạng này được tạo ra bởi những hacker không lành nghề, họ thật sự không có kinh nghiệm. Những người này ham hiểu biết và muốn download dữ liệu từ mạng Internet về. Họ thật sự bị thúc đẩy khi nhìn thấy những gì mà họ có thể tạo ra. 2) Đe doạ có cấu trúc Hacker tạo ra dạng này tinh tế hơn dạng unstructured rất nhiều. Họ có kỹ thuật và sự hiểu biết về cấu trúc hệ thống mạng. Họ thành thạo trong việc làm thế nào để khai thác những điểm yếu trong mạng. Họ tạo ra một hệ thống có “cấu trúc” về phương thức xâm nhập sâu vào trong hệ thống mạng. Cả hai dạng có cấu trúc và không có cấu trúc đều thông qua Internet để thực hiện tấn công mạng. 3) Đe doạ từ bên ngoài Xuất phát từ Internet, những người này tìm thấy lỗ hổng trong hệ thống mạng từ bên ngoài. Khi các công ty bắt đầu quảng bá sự có mặt của họ trên Internet thì cũng là lúc các hacker rà soát để tìm kiếm điểm yếu, đánh cắp dữ liệu và phá huỷ hệ thống mạng. 4) Đe doạ từ bên trong Mối đe doạ này thật sự rất nguy hiểm bởi vì nó xuất phát từ ngay trong chính nội bộ, điển hình là nhân viên hoặc bản thân những người quản trị. Họ có thể thực hiện việc tấn công một cách nhanh gọn và dễ dàng vì họ am hiểu cấu trúc cũng như biết rõ điểm yếu của hệ thống mạng. Các lỗ hỏng và điểm yếu của mạng Các lỗ hỏng của mạng Các lỗ hỏng bảo mật hệ thống là các điểm yếu có thể tạo ra sự ngưng trệ của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy nhập không hợp lệ vào hệ thống. Các lỗ hỏng tồn tại trong các dịch vụ như : Sendmail, Web,..và trong hệ điều hành mạng như trong WindowsNT, Windows95, Unix hoặc trong các ứng dụng Các lỗ hỏng bảo mật trên một hệ thống được chia như sau : Lỗ hỏng loại C: Cho phép thực hiện các phương thức tấn công theo kiểu từ chối dịch vụ DoS (Dinal of Services). Mức độ nguy hiểm thấp, chỉ ảnh hưởng chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống, không phá hỏng dữ liệu hoặc chiếm quyền truy nhập. DoS là hình thức thức tấn công sử dụng giao thức ở tầng Internet trong bộ giao thức TCP/IP để làm hệ thống ngưng trệ dẫn đến tình trạng từ chối người sử dụng hợp pháp truy nhập hay sử dụng hệ thống. Một số lượng lớn các gói tin được gửi tới server trong khoảng thời gian liên tục làm cho hệ thống trở nên quá tải, kết quả là server đáp ứng chậm hoặc không thể đáp ứng các yêu cầu từ client gửi tới. Một ví dụ điển hình của phương thức tấn công DoS là vào một số website lớn làm ngưng trệ hoạt động của website này như : www.ebay.com và www.yahoo.com Tuy nhiên, mức độ nguy hiểm của các lỗ hỏng loại này được xếp loại C; ít nguy hiểm vì chúng chỉ làm gián đoạn cung cấp dịch vụ của hệ thống trong một thời gian mà không làm nguy hại đến dữ liệu và những kẻ tấn công cũng không đạt được quyền truy nhập bất hợp pháp vào hệ thống. Lỗ hỏng loại B: Cho phép người sử dụng có thêm các quyền trên hệ thống mà không cần thực hiện kiểm tra tính hợp lệ. Mức độ nguy hiểm trung bình, những lỗ hỏng loại này thường có trong các ứng dụng trên hệ thống, có thể dẫn đến lộ thông tin yêu cầu bảo mật. Lỗ hỏng loại này có mức độ nguy hiểm hơn lỗ hỏng loại C, cho phép người sử dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập không hợp pháp. Những lỗ hỏng loại này hường xuất hiện trong các dịch vụ trên hệ thống. Người sử dụng local được hiểu là người đã có quyền truy nhập vào hệ thống với một số quyền hạn nhất định. Một số lỗ hỏng loại B thường xuất hiện trong các ứng dụng như lỗ hỏng của trình Sendmail trong hệ điều hành Unix, Linux… hay lỗi tràn bộ đệm trong các chương trình uviết bằng C. Những chương trình viết bằng C thường sử dụng bộ đệm – là một vùng trong bộ nhớ sử dụng để lưu dữ liệu trước khi xử lý. Những người lập trình thường sử dụng vùng đệm trong bộ nhớ trước khi gán một khoảng không gian bộ nhớ cho từng khối dữ liệu. Ví dụ: người sử dụng viết chương trình nhập trường tên người sử dụng ; qui định trường này dài 20 ký tự. Do đó họ sẽ khai báo : Char first_name [20]; Với khai báo này, cho phép người sử dụng nhập vào tối đa 20 ký tự. Khi nhập dữ liệu, trước tiên dữ liệu được lưu ở vùng đệm; nếu người sử dụng nhập vào 35 ký tự, sẽ xảy ra hiện tượng tràn vùng đệm và kết quả là 15 ký tự dư thừa sẽ nằm ở một vị trí không kiểm soát được trong bộ nhớ. Đối với những kẻ tấn công có thể lợi dụng lỗ hỏng này để nhập vào những ký tự đặc biệt để thực hiện một số lệnh đặc biệt trên hệ thống. Thông thường, lỗ hỏng này thường được lợi dụng bởi những người sử dụng trên hệ thống để đạt được quyền root không hợp lệ. Việc kiểm soát chặt chẽ cấu hình hệ thống và các chương trình sẽ hạn chế được các lỗ hỏng loại B. Lỗ hỏng loại A: Cho phép người sử dụng ở ngoài có thể truy nhập vào hệ thống bất hợp pháp. Lỗ hỏng loại này rất nguy hiểm, có thể làm phá huỷ toàn bộ hệ thống. Các lỗ hỏng loại A có mức độ rất nguy hiểm; đe dọa tính toàn vẹn và bảo mật của hệ thống. Các lỗ hỏng loại này thường xuất hiện ở những hệ thống quản trị yếu kém hoặc không kiểm soát được cấu hình mạng. Những lỗ hỏng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có trên phần mềm sử dụng; người quản trị nếu không hiểu sâu về dịch vụ và phần mềm sử dụng sẽ có thể bỏ qua những điểm yếu này. Đối với những hệ thống cũ, thường xuyên phải kiểm tra các thông báo của các nhóm tin về bảo mật trên mạng để phát hiện những lỗ hỏng loại này. Một loạt các chương trình phiên bản cũ thường sử dụng có những lỗ hỏng loại A như : FTP, Sendmail,… Ảnh hưởng của các lỗ hỏng bảo mật trên mạng Internet Phần trên đã trình bày một số trường hợp có những lỗ hỏng bảo mật, những kẻ tấn công có thể lợi dụng những lỗ hỏng này để tạo ra những lỗ hỏng khác tạo thành một chuỗi mắt xích những lỗ hỏng. Ví dụ : Một kẻ phá hoại muốn xâm nhập vào hệ thống mà anh ta không có tài khoản truy nhập hợp lệ trên hệ thống đó. Trong trường hợp này, trước tiên kẻ phá hoại sẽ tìm ra các điểm yếu trên hệ thống, hoặc từ các chính sách bảo mật, hoặc sử dụng các công cụ dò tìm thông tin trên hệ thống đó để đạt được quyền truy nhập vào hệ thống; sau khi mục tiêu thứ nhất đã đạt được, kẻ phá hoại có thể tiếp tục tìm hiểu các dịch vụ trên hệ thống, nắm bắt được các điểm yếu và thực hiện các hành động phá hoại tinh vi hơn. Tuy nhiên, không phải bất kỳ lỗ hỏng nào cũng nguy hiểm đến hệ thống.Có rất nhiều thông báo liên quan đến lỗ hỏng bảo mật trên mạng, hầu hết trong số đó là các lỗ hỏng loại C và không đặc biệt nguy hiểm đối với hệ thống. Ví dụ: khi những lỗ hỏng về sendmail được thông báo trên mạng, không phải ngay lập tức ảnh hưởng trên toàn bộ hệ thống. Khi những thông báo về lỗ hỏng được khẳng định chắc chắn, các nhóm tin sẽ đưa ra một số phương pháp để khắc phục hệ thống. Các kiểu tấn công Tấn công trực tiếp Những cuộc tấn công trực tiếp thường được sử dụng trong giai đoạn đầu để chiếm được quyền truy nhập bên trong. Một phương pháp tấn công cổ điển là dò tìm tên người sử dụng và mật khẩu. Đây là phương pháp đơn giản, dễ thực hiện và không đòi hỏi một điều kiện đặc biệt nào để bắt đầu. Kẻ tấn công có thể dựa vào những thông tin mà chúng biết như tên người dùng, ngày sinh, địa chỉ, số nhà v.v.. để đoán mật khẩu dựa trên một chương trình tự động hoá về việc dò tìm mật khẩu. Trong một số trường hợp, khả năng thành công của phương pháp này có thể lên tới 30%. Phương pháp sử dụng các lỗi của chương trình ứng dụng và bản thân hệ điều hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được tiếp tục để chiếm quyền truy nhập.Trong một số trường hợp phương pháp này cho phép kẻ tấn công có được quyền của người quản trị hệ thống. Nghe trộm     Việc nghe trộm thông tin trên mạng có thể đem lại những thông tin có ích như tên, mật khẩu của người sử dụng, các thông tin mật chuyển qua mạng. Việc nghe trộm thường được tiến hành ngay sau khi kẻ tấn công đã chiếm được quyền truy nhập hệ thống, thông qua các chương trình cho phép. Những thông tin này cũng có thể dễ dàng lấy được trên Internet. Giả mạo địa chỉ     Việc giả mạo địa chỉ IP có thể được thực hiện thông qua việc sử dụng khả năng dẫn đường trực tiếp. Với cách tấn công này, kẻ tấn công gửi các gói tin IP tới mạng bên trong với một địa chỉ IP giả mạo (thông thường là địa chỉ của một mạng hoặc một máy được coi là an toàn đối với mạng bên trong), đồng thời chỉ rõ đường dẫn mà các gói tin IP phải gửi đi. Vô hiệu các chức năng của hệ thống     Đây là kểu tấn công nhằm tê liệt hệ thống, không cho nó thực hiện chức năng mà nó thiết kế. Kiểu tấn công này không thể ngăn chặn được, do những phương tiện được tổ chức tấn công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên mạng. Ví dụ sử dụng lệnh “ping” với tốc độ cao nhất có thể, buộc một hệ thống tiêu hao toàn bộ tốc độ tính toán và khả năng của mạng để trả lời các lệnh này, không còn các tài nguyên để thực hiện những công việc có ích khác. Lỗi của người quản trị hệ thống     Đây không phải là một kiểu tấn công của những kẻ đột nhập, tuy nhiên lỗi của người quản trị hệ thống thường tạo ra những lỗ hổng cho phép kẻ tấn công sử dụng để truy nhập vào mạng nội bộ. Tấn công vào yếu tố con người     Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả làm một người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệ thống, hoặc thậm chí thay đổi một số cấu hình của hệ thống để thực hiện các phương pháp tấn công khác. Với kiểu tấn công này không một thiết bị nào có thể ngăn chặn một cách hữu hiệu, và chỉ có một cách giáo dục người sử dụng mạng nội bộ về những yêu cầu bảo mật để đề cao cảnh giác với những hiện tượng đáng nghi. Nói chung yếu tố con người là một điểm yếu trong bất kỳ một hệ thống bảo vệ nào và chỉ có sự giáo dục cộng với tinh thần hợp tác từ phía người sử dụng có thể nâng cao được độ an toàn của hệ thống bảo vệ. Các biện pháp phát hiện hệ thống bị tấn công Không có một hệ thống nào có thể đảm bảo an toàn tuyệt đối, mỗi một dịch vụ đều có những lỗ hỏng bảo mật tiềm tàng. Người quản trị hệ thống không những nghiên cứu, xác định các lỗ hỏng bảo mật mà còn phải thực hiện các biện pháp kiểm tra hệ thống có dấu hiệu tấn công hay không. Một số biện pháp cụ thể : Kiểm tra các dấu hiệu hệ thống bị tấn công : Hệ thống thường bị treo bằng những thông báo lỗi không rõ ràng. Khó xác định nguyên nhân do thiếu thông tin liên quan. Trước tiên, xác định các nguyên nhân có phải phần cứng hay không, nếu không phải hãy nghĩ đến khả năng máy tính bị tấn công. Kiểm tra các tài khoản người dùng mới lạ, nhất là với các tài khoản có ID bằng không. Kiểm tra sự xuất hiện của các tập tin lạ. Người quản trị hệ thống nên có thói quen đặt tên tập theo mẫu nhất định để dễ dàng phát hiện tập tin lạ. Kiểm tra thời gian thay đổi trên hệ thống. Kiểm tra hiệu năng của hệ thống : Sử dụng các tiện ích theo dõi tài nguyên và các tiến trình đang hoạt động trên hệ thống. Kiểm tra hoạt động của các dịch vụ hệ thống cung cấp. Kiểm tra truy nhập hệ thống bằng các tài khoản thông thường, đề phòng trường hợp các tài khoản này bị truy nhập trái phép và thay đổi quyền hạn mà người sử dụng hợp pháp không kiểm soát được. Kiểm tra các file liên quan đến cấu hình mạng và dịch vụ, bỏ các dịch vụ không cần thiết. Kiểm tra các phiên bản của sendmaill, /bin/mail, ftp,.. tham gia các nhóm tin về bảo mật để có thông tin về lỗ hỏng của dịch vụ sử dụng. Các biện pháp này kết hợp với nhau tạo nên một chính sách về bảo mật đối với hệ thống. Một số công cụ an ninh –an toàn mạng Thực hiện an ninh – an toàn từ cổng truy nhập dùng tường lửa Tường lửa cho phép quản trị mạng điều khiển truy nhập, thực hiện chính sách đồng ý hoặc từ chối dịch vụ và lưu lượng đi vào hoặc đi ra khỏi mạng. Tường lửa có thể được sử dụng để xác thực người sử dụng nhằm đảm bảo chắc chắn rằng họ đúng là người như họ đã khai báo trước khi cấp quyền truy nhập tài nguyên mạng. Tường lửa còn được sử dụng để phân chia mạng thành những phân đoạn mạng và thiết lập nhiều tầng an ninh khác nhau trên các phân đoạn mạng khác nhau để có thể đảm bảo rằng những tài nguyên quan trọng hơn sẽ được bảo vệ tốt hơn, đồng thời tường lửa còn có thể hạn chế lưu lượng và điều khiển lưu lượng chỉ cho phép chúng đến những nơi chúng được phép đến. Chúng ta sẽ đi tìm hiểu kỹ hơn về phần này trong các chương sau. Mã mật thông tin Mật mã (Cryptography) là quá trình chuyển đổi thông tin gốc sang dạng mã hoá. Có hai cách tiếp cận để bảo vệ thông tin bằng mật mã : theo đường truyền và từ mút-đến-mút (End-to-End). Trong cách thứ nhất, thông tin được mã hoá để bảo vệ trên đường truyền giữa hai nút không quan tâm đến nguồn và đích của thông tin đó. Ưu điểm của cách này là có thể bí mật được luồng thông tin giữa nguồn và đích và có thể ngăn chặn được toàn bộ các vi phạm nhằm phân tích thông tin trên mạng. Nhược điểm là vì thông tin chỉ được mã hoá trên đường truyền nên đòi hỏi các nút phải được bảo vệ tốt. Ngược lại, trong cách thứ hai, thông tin được bảo vệ trên toàn đường đi từ nguồn tới đích. Thông tin được mã hoá ngay khi mới được tạo ra và chỉ được giải mã khi đến đích. Ưu điểm của tiếp cận này là người sử dụng có thể dùng nó mà không ảnh hưởng gì tới người sử dụng khác. Nhược điểm của phương pháp này là chỉ có dữ liệu người sử dụng được mã hoá, còn thông tin điều khiển phải giữ nguyên để có thể xử lý tại các nút. Giải thuật DES mã hoá các khối 64bits của văn bản gốc thành 64 bits văn bản mật bằng một khoá. Khoá gồm 64 bits trong đó 56 bits được dùng mã hoá và 8 bits còn lại được dùng để kiểm soát lỗi. Một khối dữ liệu cần mã hoá sẽ phải trải qua 3 quá trình xử lý : Hoán vị khởi đầu, tính toán phụ thuộc khoá và hoán vị đảo ngược hoán vị khởi đầu. Hình 1.1 : Mô hình mật mã đối xứng Phương pháp sử dụng khoá công khai : Các phương pháp mật mã chỉ dùng một khoá cho cả mã hoá lẫn giải mã, đòi hỏi người gửi và người nhận phải biết khoá và giữ bí mật. Tồn tại chính của các phương pháp này là làm thế nào để phân phối khoá một cách an toàn, đặc biệt trong môi trường nhiều người sử dụng. Để khắc phục, người ta thường sử dụng phương pháp mã hoá 2 khoá, một khoá công khai để mã hoá và một mã bí mật để giải mã. Mặc dù hai khoá này thực hiện các thao tác ngược nhau nhưng không thể suy ra khoá bí mật từ khoá công khai và ngược lại nhờ các hàm toán học đặc biệt gọi là các hàm sập bẫy một chiều. Đặc điểm các hàm này là phải biết được cách xây dựng hàm thì mới có thể suy ra được nghịch đảo của nó. Giải thuật RSA dựa trên nhận xét sau : phân tích ra thừa số nguyên tố của tích 2 số nguyên tố rất lớn cựu kỳ khó khăn. Vì vậy, tích của hai số nguyên tố có thể công khai còn hai số nguyên tố lớn có thể dùng để tạo khoá giải mã mà không sợ bị mất an toàn. Trong giải thuật RSA mỗi trạm lựa chọn ngẫu nhiên 2 số nguyên tố lớn p, q và nhân chúng với nhau để có tích n=p.q (p,q được giữu bí mật). Hình 1.2 : Mô hình mật mã không đối xứng Một số giải pháp dùng cho doanh nghiệp vừa và nhỏ Với các doanh nghiệp nhỏ việc trang bị một mạng tác nghiệp vừa phải đảm bảo an ninh an toàn, vừa phải phù hợp chi phí, và dễ triển khai và bảo trì là điều rất cần thiết. Ở đây chúng ta đưa ra giải pháp dùng một thiết bị PC đa chức năng làm tường lửa để bảo vệ vành đai, chạy IDS để cảnh báo tấn công, chạy NAT để che cấu trúc logic của mạng, chạy VPN để hỗ trợ kết nối xa bảo mật với các cấu hình cơ bản sau: Intel x86 based hardware: CPU 1GHz, SDRAM 512MB, HDD/Flash 1GB Ethernet 10/100Mbps: 1xLAN, 2xWAN, 1xDMZ Firewall: Policy based, NAT/NATPT, SPI Kết nối mạng: PPPoE, Static Route, RIPv2 Cân bằng tải: Policy-based routing, Round-Robin VPN: 1000 tunnels, PPTP/IPSec, DES/3DES/AES, SHA-1/MD5, Client-to-Site/Site-to-Site Quản lý băng thông: Policy-based Network servers: DDNS, DHCP, SIP Proxy Quản trị/cấu hình hệ thống: Web-GUI (Tiếng Việt/Anh), SNMP, Telnet/Console. Hình 1.3: Sơ đồ mạng cho doanh nghiệp cỡ nhỏ Với các doanh nghiệp vừa thì sơ đồ trên phù hợp cho các chi nhánh của họ. Còn tại trung tâm mạng có thể thực hiện sơ đồ an ninh nhiều tầng như: Hình 1.4: Sơ đồ mạng cho doanh nghiệp cỡ vừa CHƯƠNG II : GIẢI PHÁP AN TOÀN- AN NINH MẠNG Thực hiện an ninh mạng với tường lửa Khái niệm Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn. Trong công nghệ thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy nhập trái phép nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế để bảo vệ mạng tin tưởng khỏi các mạng không tin tưởng. Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một công ty, tổ chức, ngành hay một quốc gia và Internet. Vai trò chính là bảo mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài và cấm truy nhập từ bên trong tới một số địa chỉ nhất định trên Internet. Hình 2.1: Mô hình tường lửa đơn giản Một cách vắn tắt, firewall là hệ thống ngăn chặn việc truy nhập trái phép từ bên ngoài vào mạng cũng như những kết nối không hợp lệ từ bên trong ra. Firewall thực hiện việc lọc bỏ những địa chỉ không hợp lệ dựa theo các quy tắc hay chỉ tiêu định trước. Firewall có thể là hệ thống phần cứng, phần mềm hoặc kết hợp cả hai. Firewall cứng : Là những firewall được tích hợp trên Router. Đặc điểm của Firewall cứng: Không được linh hoạt như Firewall mềm: (Không thể thêm chức năng, thêm quy tắc như firewall mềm) Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Network và tầng Transport) Firewall cứng không thể kiểm tra được nột dung của gói tin. Ví dụ Firewall cứng : NAT (Network Address Translate). Firewall mềm : Là những Firewall được cài đặt trên Server Đặc điểm của Firewall mềm: Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng. Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứng dụng) Firewal mềm có thể kiểm tra được nội dung của gói tin (thông qua các từ khóa). Ví dụ Firewall mềm : Zone Alarm, Norton Firewall. Chức năng Chức năng chính của Firewall là kiểm soát luồng thông tin giữa Intranet (mạng bên trong) và Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa Intranet và mạng Internet. Cụ thể là : • Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet). • Cho phép hoặc cấm những dịch vụ từ ngoài truy nhập vào trong (từ Internet vào Intranet). • Theo dõi luồng dữ liệu mạng giữa Internet và Intranet. • Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập. • Kiểm soát người sử dụng và việc truy nhập của người sử dụng. Kiểm soát nội dung thông tin lưu chuyển trên mạng. Một firewall khảo sát tất cả các luồng lưu lượng giữa hai mạng để xem nó có đạt chuẩn hay không. Nếu nó đạt, nó được định tuyến giữa các mạng, ngược lại nó bị hủy. Một bộ lọc firewall lọc cả lưu lượng ra lẫn lưu lượng vào. Nó cũng có thể quản lý việc truy cập từ bên ngoài vào nguồn tài nguyên mạng bên trong. Nó có thể được sử dụng để ghi lại tất cả các cố gắng để vào mạng riêng và đưa ra cảnh báo nhanh chóng khi kẻ thù hoặc kẻ không được phân quyền đột nhập. Firewall có thể lọc các gói dựa vào địa chỉ nguồn, địa chỉ đích và số cổng của chúng. Điều này còn được gọi là lọc địa chỉ. Firewall cũng có thể lọc các loại đặc biệt của lưu lượng mạng. Điều này được gọi là lọc giao thức bởi vì việc ra quyết định cho chuyển tiếp hoặc từ chối lưu lượng phụ thuộc vào giao thức được sử dụng, ví dụ HTTP, FTP hoặc Telnet. Firewall cũng có thể lọc luồng lưu lượng thông qua thuộc tính và trạng thái của gói. Cấu trúc Firewall bao gồm : - Một hoặc nhiều hệ thống máy chủ kết nối với các bộ định tuyến (router) hoặc có chức năng router. - Các phần mềm quản lí an ninh chạy trên hệ thống máy chủ. Thông thường là các hệ quản trị xác thực (Authentication), cấp quyền (Authorization) và kế toán (Accounting). Các thành phần của Firewall và cơ chế hoạt động Thành phần Firewall chuẩn gồm một hay nhiều các thành phần sau đây : Bộ lọc packet (packet- filtering router) Cổng ứng dụng (application-level gateway hay proxy server) Cổng mạch (circuite level gateway) Cơ chế hoạt động Bộ lọc packet: Firewall hoạt động chặt chẽ với giao thức TCP/IP, vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS …) thành các gói dữ liệu (data packets) rồi gán cho các gói này những địa chỉ có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng. Hình 2.2: Lọc gói tin Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số các luật lệ của lọc packet hay không. Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi packet (header), dùng để cho phép truyền các packet đó ở trên mạng. Bao gồm: • Địa chỉ IP nơi xuất phát (Source) • Địa chỉ IP nơi nhận ( Destination) • Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel …) • Cổng TCP/UDP nơi xuất phát • Cổng TCP/UDP nơi nhận • Dạng thông báo ICMP • Giao diện packet đến • Giao diện packet đi Nếu packet thỏa các luật lệ đã được thiết lập trước của Firewall thì packet đó được chuyển qua, nếu không thỏa thì sẽ bị loại bỏ. Việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định được phép mới vào được hệ thống mạng cục bộ. Ưu điểm Đa số các hệ thống Firewall đều sử dụng bộ lọc packet. Một trong những ưu điểm của phương pháp dùng bộ lọc packet là đảm bảo thông qua của lưu lượng mạng. Bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả. Hạn chế Việc định nghĩa các chế độ lọc packet là một việc khá phức tạp, nó đòi hỏi người quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạng packet header và các giá trị cụ thể mà họ có thể nhận trên mỗi trường. Khi đòi hỏi vể sự lọc càng lớn, các luật lệ vể lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển. Cổng ứng dụng Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát các loại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng. Cơ chế hoạt động của nó dựa trên cách thức gọi là Proxy service (dịch vụ uỷ quyền). Proxy service là các bộ code đặc biệt cài đặt trên gateway cho từng ứng dụng. Nếu người quản trị mạng không cài đặt proxy code cho một ứng dụng nào đó, dịch vụ tương ứng sẽ không được cung cấp và do đó không thể chuyển thông tin qua firewall. Ngoài ra, proxy code (mã uỷ nhiệm) có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà người quản trị mạng cho là chấp nhận được trong khi từ chối những đặc điểm khác. Một cổng ứng dụng thường được coi như là một pháo đài chủ (bastion host), bởi vì nó được thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài. Những biện pháp đảm bảo an ninh của một bastion host là : - Bastion host luôn chạy các version (phiên bản) an toàn của các phần mềm hệ thống (Operating system). Các version an toàn này được thiết kế chuyên cho mục đích chống lại sự tấn công vào Operating System, cũng như là đảm bảo sự tích hợp firewall. - Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trên bastion host, đơn giản chỉ vì nếu một dịch vụ được cài đặt, nó không thể bị tấn công. Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS, FTP, SMTP và xác thực user là được cài đặt trên bastion host. - Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như user password hay smart card. - Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một số các máy chủ nhất định. Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúng với một số máy chủ trên toàn hệ thống. - Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giao thông qua nó, mỗi sự kết nối, khoảng thời gian kết nối. Nhật ký này rất có ích trong việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại. - Mỗi proxy đều độc lập với các proxies khác trên bastion host. Điều này cho phép dễ dàng trong quá trình cài đặt một proxy mới, hay tháo gỡ một proxy đang có vấn để. Ưu điểm: Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy nhập được bởi các dịch vụ. Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào cho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là các dịch vụ ấy bị khoá. Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt và nó có nhật ký ghi chép lại thông tin về truy nhập hệ thống. Luật lệ filtering (lọc) cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so với bộ lọc packet. Hạn chế: Yêu cầu các users thực hiện các thao tác chỉnh sửa phần mềm đã cài đặt trên máy client cho truy nhập vào các dịch vụ proxy. Ví dụ, Telnet truy nhập qua cổng ứng dụng đòi hỏi hai bước đê nối với máy chủ chứ không phải là một bước. Tuy nhiên, cũng đã có một số phần mềm client cho phép ứng dụng trên cổng ứng dụng là trong suốt, bằng cách cho phép user chỉ ra máy đích chứ không phải cổng ứng dụng trên lệnh Telnet. Cổng mạch Cổng mạch là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng dụng. Cổng mạch đơn giản chỉ chuyển tiếp các kết nối TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc packet nào. Hình 2.3 minh hoạ một hành động sử dụng nối telnet qua cổng mạch. Cổng mạch đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực hiện một sự kiểm tra, lọc hay điều khiển các thủ tục Telnet . Cổng mạch làm việc như một sợi dây, sao chép các byte giữa kết nối bên trong (inside connection) và các kết nối bên ngoài (outside connection). Tuy nhiên, vì sự kết nối này xuất hiện từ hệ thống firewall nên nó che dấu thông tin về mạng nội bộ. Hình 2. 3: Cổng mạch Cổng mạch thường được sử dụng cho những kết nối ra ngoài, nơi mà các quản trị mạng thật sự tin tưởng những người dùng bên trong. Ưu điểm lớn nhất là một bastion host có thể được cấu hình như là một hỗn hợp cung cấp. Cổng ứng dụng cho những kết nối đến và cổng mạch cho các kết nối đi. Điều này làm cho hệ thống bức tường lửa dễ dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ Internet, trong khi vẫn cung cấp chức năng bức tường lửa để bảo vệ mạng nội bộ từ những sự tấn công bên ngoài. Các loại Firewall Firewall lọc gói thường là một bộ định tuyến có lọc. Khi nhận một gói dữ liệu, nó quyết định cho phép qua hoặc từ chối bằng cách thẩm tra gói tin để xác định quy tắc lọc gói dựa vào các thông tin của header để đảm bảo quá trình chuyển phát IP Firewall cổng mạng hai ngăn là loại firewall có hai cửa nối đến mạng khác. Ví dụ một cửa nối tới một mạng bên ngoài không tín nhiệm còn một cửa nối tới một mạng nội bộ có thể tín nhiệm. Đặc điểm lớn nhất của firewall này là gói tin IP bị chặn lại. Firewall che chắn (Screening) máy chủ bắt buộc có sự kết nối tới tất cả máy chủ bên ngoài với máy chủ kiên cố, không cho phép kết nối trực tiếp với máy chủ nội bộ. Firewall che chắn máy chủ là do bộ định tuyến lọc gói và máy chủ kiên cố hợp thành. Hệ thống Firewall có cấp an toàn cao hơn so với hệ thống Firewall lọc gói thôngthường vì nó đảm bảo an toàn tầng mạng (lọc gói) và tầng ứng dụng (dịch vụ đại lý). Firewall che chắn mạng con: Hệ thống Firewall che chắn mạng con dùng hai bộ định tuyến lọc gói và một máy chủ kiên cố, cho phép thiết lập hệ thống Firewall an toàn nhất, vì nó đảm bảo chức năng an toàn tầng ứng dụng. Kỹ thuật Firewall Lọc khung (Frame Filtering): Hoạt động trong hai tầng của mô hình OSI, có thể lọc, kiểm tra được mức bit và nội dung của khung tin. Trong tầng này các khung dữ liệu không tin cậy sẽ bị từ chối ngay trước khi vào mạng. Lọc gói (Packet Filtering): Kiểu Firewall chung nhất là kiểu dựa trên tầng mạng của mô hình OSI. Lọc gói cho phép hay từ chối gói tin mà nó nhận được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các quy định của lọc Packet hay không. Các quy tắc lọc packet dựa vào các thông tin trong Packet header. Nếu quy tắc lọc packet được thoả mãn thì gói tin được chuyển qua Firewall. Nếu không sẽ bị bỏ đi. Như vậy Firewall có thể ngăn cản các kết nối vào hệ thống hoặc khoá việc truy nhập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Một số Firewall hoạt động ở tầng mạng thường cho phép tốc độ xử lý nhanh vì chỉ kiểm tra địa chỉ IP nguồn mà không thực hiện lệnh trên router, không xác định địa chỉ sai hay bị cấm. Nó sử dụng địa chỉ IP nguồn làm chỉ thị, nếu một gói tin mang địa chỉ nguồn là địa chỉ giả thì nó sẽ chiếm được quyền truy nhập vào hệ thống. Tuy nhiên có nhiều biện pháp kỹ thuật có thể được áp dụng cho việc lọc gói tin nhằm khắc phục nhược điểm trên, ngoài trường địa chỉ IP được kiểm tra còn có các thông tin khác được kiểm tra với quy tắc được tạo ra trên Firewall, các thông tin này có thể là thời gian truy nhập, giao thức sử dụng, cổng. Firewall kiểu Packet Filtering có hai loại : Packet filtering Firewall : Hoạt động tại tầng mạng của mô hình OSI hay tầng IP trong mô hình TCP/IP. Kiểu Firewall này không quản lý được các giao dịch trên mạng. Circuit level gateway : Hoạt động tại tầng phiên của mô hình OSI hay tầng TCP trong mô hình TCP/IP. Là loại Firewall xử lý bảo mật giao dịch giữa hệ thống và người dùng cuối. (VD: kiêmt tra ID, mật khẩu) loại Firewall cho phép lưu vết trạng thái của người truy nhập. Những hạn chế của Firewall Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ. Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không “đi qua” nó. Một cách cụ thể : firewall không thể chống lại một cuộc tấn công từ một đường dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bắt hợp pháp lên đĩa mềm. Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu. Khi có một số chương trình được chuyền theo thư điện tử, vượt qua firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây. Ví dụ với các virus máy tính, firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hoá dữ liệu thoát khỏi khả năng kiểm soát của firewall. Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi. Một số mô hình Firewall Packet -Filtering Router (Bộ trung chuyển có lọc gói) Hệ thống Internet firewall phổ biến nhất chỉ bao gồm một packet-filtering router đặt giữa mạng nội bộ và Internet. Một packe-filtering router có hai chức năng : chuyển tiếp truyền thông giữa hai mạng và sử dụng các quy luật về lọc gói để cho phép hay từ chối truyền thông. Hình 2.4: Packet-filtering router Căn bản, các quy luật lọc được định nghĩa sao cho các host trên mạng nộ bộ được quyền truy nhập trực tiếp tới Internet, trong khi các host trên Internet chỉ có một số giới hạn các truy nhập vào các máy tính trên mạng nội bộ. Tư tưởng của mô hình cấu trúc firewall này là tất cả những gì không được chỉ ra ràng thì có nghĩa là bị từ chối. Ưu điểm: Giá thành thấp, cấu hình đơn giản Trong suốt đối với user Hạn chế: Dễ bị tấn công vào các bộ lọc mà cấu hình được đặt không hoàn hảo hoặc bị tấn công ngầm dưới những dịch vụ đã được phép. Do cac packet được trao đổi trực tiếp giữa hai mạng thông qua router, nguy cơ bị tấn công quyết định bởi số lượng các host và dịch vụ được phép. Điều đó dẫn đến mỗi một host được phép truy nhập trực tiếp vào Internet cần phải được cung cấp một hệ thống xác thực phức tạp và thường xuyên kiểm tra bởi người quản trị mạng xem có dấu hiệu của sự tấn công nào không. Nếu một packet-filtering router do một sự cố nào đó ngừng hoạt động , tất cả hệ thống trên mạng nội bộ có thể bị tấn công. Screened Host Firewall Hệ thống bao gồm một packet-filtering router và một bastion host (pháo đài chủ). Hệ thống này cung cấp độ bảo mật cao hơn hệ thống trên, vì nó thực hiện cả bảo mật ở tầng network và ở tầng ứng dụng. Đồng thời kẻ tấn công phải phá vỡ cả hai tầng bảo mật để tấn công vào mạng nội bộ. Hình 2.5: Single- Homed Bastion Host Trong hệ thống này, bastion host được cấu hình ở trong mạng nội bộ. Quy luật filtering router được định nghĩa sao cho tất cả các hệ thống ở bên ngoài chỉ có thể truy nhập bastion host. Việc truyền thông tới tất cả các hệ thống bên trong đều bị khoá, bởi vì các hệ thống nội bộ và bastion host ở trên cùng một mạng, chính sách bảo mật của một tố chức sẽ quyết định xem các hệ thống nội bộ được phép truy nhập trực tiếp vào bastion Internet hay là chúng phải sử dụng dịch vụ proxy trên bastion host. Việc bắt buộc những user nội bộ được thực hiện bằng cách đặt cấu hình bộ lọc của router sao cho chỉ chấp nhận những truyền thông nội bộ xuất phát từ bastion host. Ưu điểm : Máy chủ cung cấp các thông tin công cộng qua dịch vụ Web và FTP có thể đặt trên packet-filtering router và bastion. Trong trường hợp yêu cầu độ an toàn cao nhất, bastion host có thể chạy các dịch vụ proxy yêu cầu tất cả các user cả trong và ngoài truy nhập qua bastion host trước khi nối với máy chủ. Trường hợp không yêu cầu độ an toàn cao thì các máy nội bộ có thể nối thẳng với máy chủ. Nếu cần độ bảo mật cao hơn nữa thì có thể dùng hệ thống firewall dual-home (hai chiều) bastion host. Một hệ thống bastion host nh vậy có 2 giao diện mạng (network interface), nhng khi đó khả năng truyền thông trực tiếp giữa hai giao diện đó qua dịch vụ proxy là bị cấm. Hình 2.6: Dual- Homed Bastion Host Hạn chế : Bởi vì bastion host là hệ thống bên trong duy nhất có thể truy nhập được từ Internet, sự tấn công cũng chỉ giới hạn đến bastion host mà thôi. Tuy nhiên, nếu như người dùng truy nhập được vào bastion host thì họ có thể dễ dàng truy nhập toàn bộ mạng nội bộ. Vì vậy cần phải cấm không cho người dùng truy nhập vào Bastion Host. Demilitarized Zone (khu vực phi quân sự hoá - DMZ) hay Screened-subnet Firewall Hệ thống bao gồm hai packet-filtering router và một bastion host. Hệ thống có độ an toàn cao nhất vì nó cung cấp cả mức bảo mật network và application, trong khi định nghĩa một mạng “phi quân sự”. Mạng DMZ đóng vai trò như một mạng nội bộ. Cơ bản, một DMZ được cấu hình sao cho các hệ thống trên Internet và mạng nội bộ chỉ có thể truy nhập được một số giới hạn các hệ thống trên mạng DMZ và sự truyền trực tiếp qua mạng DMZ là không thể được. Với những thông tin đến, router ngoài chống lại những sự tấn công chuẩn (như giả mạo địa chỉ IP) và điều khiển truy nhập tới DMZ. Hệ thống chỉ cho phép bên ngoài truy nhập vào bastion host. Router trong cung cấp sự bảo vệ thứ hai bằng cách điều khiển DMZ truy nhập mạng nội bộ chỉ với những truyền thông bắt đầu từ bastion host. Với những thông tin đi, router trong điều khiển mạng nội bộ truy nhập tới DMZ. Nó chỉ cho phép các hệ thống bên trong truy nhập bastion host và có thể cả information server. Quy luật filtering trên router ngoài yêu cầu sử dụng dịch vụ proxy bằng cách chỉ cho phép thông tin ra bắt nguồn từ bastion host. Ưu điểm: Kẻ tấn công cần phá vỡ 3 tầng bảo vệ : router ngoài, bastion host và router trong. Bởi vì router ngoài chỉ quảng cáo DMZ network tới Internet, hệ thống mạng nội bộ là không thể nhìn thấy, chỉ có một số hệ thống đã được chọn ra trên DMZ là được biết đến bởi Internet qua routing table và DNS niformation exchange (Domain Name Server) Bởi vì ruoter trong chỉ quảng cáo DMZ network tới mạng nội bộ, các hệ thống trong mạng nội bộ không thể truy nhập trực tiếp vào Internet. Điều này đảm bảo rằng những uer bên trong bắt buộc phải truy nhập Internet qua dịch vụ proxy. Hình 2.7 : Mô hình Screened-Subnet Firewall Proxy server Chúng ta sẽ xây dựng Firewall theo kiến trúc application-level gateway (cổng vào mức ứng dụng), theo đó một bộ chương trình proxy (uỷ quyền) được đặt ở gateway cách một mạng bên trong tới Internet. Bộ chương trình proxy được phát triển dựa trên bộ công cụ xây dựng Internet Firewall TIS (Trusted Information System - Hệ thống thông tin tin cậy), bao gồm một bộ các chương trình và đặt lại cấu hình hệ thống để nhằm mục đích xây dựng một Firewall. Bộ chương trình được thiết kế để chạy trên hệ Unix sử dụng TCP/IP với giao diện socket Berkeley. Hình 2.8: Mô hình 1 Proxy đơn giản Bộ chương trình proxy được thiết kế cho một số cấu hình firewall, theo các dạng cơ bản: dual-home gateway, screened host gateway và screened subnet gateway. Thành phần bastion host trong firewall đóng vai trò như một người chuyển tiếp thông tin, ghi nhật ký truyền thông và cung cấp các dịch vụ, đòi hỏi độ an toàn cao. Proxy server giống như một vệ sĩ bảo vệ khỏi những rắc rối trên internet. Một Proxy server thường nằm bên trong tường lửa, giữa trình duyệt web và server thật, làm chức năng tạm giữ những yêu cầu Internet của các máy khách để chúng không giao tiếp trực tiếp Internet. Người dùng sẽ không truy cập được những trang web không cho phép (bị công ty cấm ).Ví dụ : Không muốn nhân viên mua bán cổ phiếu trong giờ làm việc thì admin có thể dùng Proxy server để khóa việc truy cập vào các site tài chính trong một số giờ. Mọi yêu cầu của máy khách phải qua Proxy server, nếu địa chỉ IP có trên proxy, nghĩa là Web site này được lưu trữ cục bộ, thì trang này sẽ đươc truy cập mà không cần phải kết nối Internet, nếu không có trên Proxy server và trang này không bị cấm yêu cầu sẽ được chuyển đến server thật và ra Internet . Proxy server lưu trữ cục bộ các trang Web thường truy cập nhất trong bộ đệm dẫn đến giảm chi phí mà tốc độ hiển thị trang Web nhanh. Proxy server bảo vệ mạng nội bộ khỏi bị xác định bởi bên ngoài bằng cách mang lại cho mạng hai định danh : một cho nội bộ, một cho bên ngoài .Điều này tạo ra một “bí danh” đối với thế giới bên ngoài gây khó khăn đối với nếu người dùng “tự tung tự tác” hay các tay bẻ khóa muốn xâm nhập trực tiếp máy nào đó. Proxy server làm cho việc sử dụng băng thông hiệu quả. Mạng riêng ảo –VPN (Virtual Private Networks) Giới thiệu về VPN Khái niệm VPN VPN được hiểu đơn giản như là sự mở rộng của một mạng riêng (private network) thông qua các mạng công cộng. Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung (thường là internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa. Thay cho việc sử dụng bởi một kết nối thực chuyên dụng như đường leased line, mỗi VPN sử dụng các kết nối ảo được dẫn đường qua Internet từ mạng riêng của các công ty tới các site hay các nhân viên từ xa. Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn bảo đảm tính an tòan và bảo mật, VPN cung cấp các cơ chế mã hóa dữ liệu trên đường truyền tạo ra một đường ống bảo mật giữa nơi nhận và nơi gửi giống như một kết nối “point-to-point” trên mạng riêng. Để có thể tạo ra một đường ống bảo mật đó, dữ liệu phải được mã hóa hay che giấu đi chỉ cung cấp phần đầu gói dữ liệu là thông tin về đường đi cho phép nó có thể đi đến đích thông qua mạng công cộng một cách nhanh chóng. Dữ lịêu được mã hóa một cách cẩn thận do đó nếu các packet bị bắt lại trên đường truyền công cộng cũng không thể đọc được nội dung vì không có khóa để giải mã. Liên kết với dữ liệu được mã hóa và đóng gói được gọi là kết nối VPN. Các đường kết nối VPN thường được gọi là đường ống VPN (VPN Tunnel). Hình 2.9: Mô hình một mạng VPN điển hình Ưu điểm của VPN Chi phí : Công nghệ VPN cho phép tiết kiệm đáng kể chi phí thuê kênh riêng hoặc các cuộc gọi đường dài bằng chi phí cuộc gọi nội hạt. Việc sử dụng kết nối đến ISP còn cho phép vừa sử dụng VPN vừa truy cập Internet. Công nghệ VPN cho phép sử dụng băng thông đạt hiệu quả cao nhất. Giảm nhiều chi phí quản lý, bảo trì hệ thống. Tính bảo mật : Trong VPN sử dụng cơ chế đường hầm và các giao thức tầng 2 và tầng 3, xác thực người dùng, kiểm soát truy nhập, bảo mật dữ liệu bằng mã hoá. Vì vậy VPN có tính bảo mật cao, giảm thiểu khả năng tấn công, thất thoát dữ liệu. Truy nhập dễ dàng : Người sử dụng trên VPN ngoài việc sử dụng các tài nguyên trên VPN còn được sử dụng các dịch vụ khác của Internet mà không cần quan tâm đến phần phức tạp ở tầng dưới. Kiến trúc của VPN Hai thành phần cơ bản của Internet để tạo nên mạng riêng ảo VPN đó là : Đường hầm (Tunnelling) cho phép làm “ảo” một mạng riêng. Các dịch vụ bảo mật đa dạng cho phép dữ liệu mang tính riêng tư. Hình 2.10: Cấu trúc một đường hầm Đường hầm là kết nối giữa hai điểm cuối khi cần thiết. Kết nối này được giải phóng khi không truyền dữ liệu, dành băng thông cho các kết nối khác. Kết nối này mang tính logic “ảo” không phụ thuộc vào cấu trúc vật lý của mạng. Nó che giấu các thiết bị như bộ định tuyến, chuyển mạch và trong suốt đối với người dùng. Các loại VPN VPNs nhằm hướng vào ba yêu cầu cơ bản sau đây: Có thể truy cập từ xa, thực hiện liên lạc giữa các nhân viên của một tổ chức tới các tài nguyên mạng. Nối kết thông tin liên lạc giữa các chi nhánh văn phòng từ xa. Ðược điều khiển truy nhập tài nguyên mạng khi cần thiết của khách hàng, nhà cung cấp và những đối tác quan trọng của công ty nhằm hợp tác kinh doanh. Dựa trên những nhu cầu cơ bản trên, ngày nay VPNs đã phát triển và phân chia ra làm 3 phân loại chính sau : Remote Access VPNs (VPNs truy nhập từ xa) Intranet VPNs (VPNs mạng bên trong) Extranet VPNs (VPNs mạng bên ngoài) Remote Access VPNs: Remote Access VPNs cho phép truy cập bất cứ lúc nào bằng Remote, mobile và các thiết bị truyền thông của nhân viên các chi nhánh kết nối đến tài nguyên mạng của tổ chức. Ðặc biệt là những người dùng thường xuyên di chuyển hoặc các chi nhánh văn phòng nhỏ mà không có kết nối thường xuyên đến mạng Intranet hợp tác. Bằng việc triển khai Remote Access VPNs, những người dùng từ xa hoặc các chi nhánh văn phòng chỉ cần cài đặt một kết nối cục bộ đến nhà cung cấp dịch vụ ISP hoặc ISP’s POP và kết nối đến tài nguyên thông qua Internet. Thông tin Remote Access Setup được mô tả bởi hình vẽ sau : Hình 2.11: Mô hình Remote Access VPNs Intranet VPNs Việc kết nối Intranet giữa các văn phòng, chi nhánh của một công ty, tổ chức theo phương pháp truyền thống là sử dụng các Backbone Router như hình minh họa dưới đây: Hình 2.12 : Kết nối Internet sử dụng Backbone WAN Theo mô hình trên sẽ rất tốn chi phí do phải sử dụng Backbone router để kết nối các chi nhánh với nhau, thêm vào đó việc triển khai, bảo trì và quản lý mạng Intranet Backbone sẽ rất tốn kém còn tùy thuộc vào lượng lưu thông trên mạng đi trên nó và phạm vi địa lý của toàn bộ mạng Intranet. Ðể giải quyết vấn đề trên, sự tốn kém của WAN backbone được thay thế bởi các kết nối Internet với chi phí thấp, điều này có thể giảm một lượng chi phí đáng kể của việc triển khai mạng Intranet, xem hình phía dưới : Hình 2.13: Thiết lập Intranet dựa trên VPN Những ưu điểm chính của việc thiết lập Intranet dựa trên VPN: Hiệu quả chi phí hơn do giảm số lượng router được sữ dụng theo mô hình WAN backbone. Bởi vì Internet hoạt động như một kết nối trung gian, nó dễ dàng cung cấp những kết nối mới ngang hàng. Kết nối nhanh hơn và tốt hơn do về bản chất kết nối đến nhà cung cấp dịch vụ, loại bỏ vấn đề về khoảng cách xa và thêm nữa giúp tổ chức giảm thiểu chi phí cho việc thực hiện Intranet.  Những bất  lợi chính kết hợp với cách giải quyết : Bởi vì dữ liệu vẫn còn tunnel trong suốt quá trình chia sẻ trên mạng công cộng Internet và những nguy cơ tấn công, như tấn công bằng từ chối dịch vụ (denial-of-service), vẫn còn là một mối đe doạ an toàn thông tin. Khả năng mất dữ liệu trong lúc di chuyển thông tin cũng vẫn rất cao. Trong một số trường hợp như các tập tin mulltimedia, việc trao đổi dữ liệu sẽ rất chậm chạp do được truyền thông qua Internet. Do là kết nối dựa trên Internet, nên tính hiệu quả không liên tục, thường xuyên, và QoS cũng không được đảm bảo. Extranet VPNs: Không giống như Intranet và Remote Access-based, Extranet không hoàn toàn cách li từ bên ngoài (outer-world), Extranet cho phép truy cập những tài nguyên mạng cần thiết của các đối tác kinh doanh, chẳng hạn như khách hàng, nhà cung cấp, đối tác, những người giữ vai trò quan trọng trong tổ chức. Như hình dưới đây, mạng Extranet rất tốn kém do có nhiều đoạn mạng riêng biệt trên Intranet kết hợp lại với nhau để tạo ra một Extranet. Ðiều này làm cho khó triển khai và quản lý do có nhiều mạng, đồng thời cũng khó khăn cho cá nhân làm công việc bảo trì và quản trị. Thêm nữa là mạng Extranet sẽ dễ mở rộng do điều này sẽ làm rối tung toàn bộ mạng Intranet và có thể ảnh hưởng đến các kết nối bên ngoài mạng. Sẽ có những vấn đề bạn gặp phải bất thình lình khi kết nối một Intranet vào một mạng Extranet. Triển khai và thiết kế một mạng Extranet có thể là một cơn ác mộng của các nhà thiết kế và quản trị mạng. Hình 2.14: Mô hình mạng Extranet thông thường Hình 1.15: Mô hình Extranet VPN Một số thuận lợi của Extranet VPN : Do hoạt động trên môi trường Internet, chúng ta có thể lựa chọn nhà phân phối khi lựa chọn và đưa ra phương pháp giải quyết tuỳ theo nhu cầu của tổ chức. Bởi vì một phần Internet-connectivity (kết nối) được bảo trì bởi nhà cung cấp (ISP) nên cũng giảm chi phí bảo trì khi thuê nhân viên bảo trì. Dễ dàng triển khai, quản lý và chỉnh sữa thông tin. Một số bất lợi của Extranet VPN : Sự đe dọa về tính an toàn, như bị tấn công bằng từ chối dịch vụ vẫn còn tồn tại. Tăng thêm nguy hiểm sự xâm nhập đối với tổ chức trên Extranet. Do dựa trên Internet nên khi dữ liệu là các loại high-end data (dữ liệu cấp cao) thì việc trao đổi diễn ra chậm chạp. Do dựa trên Internet, QoS cũng không được bảo đảm thường xuyên. Các yêu cầu cơ bản đối với một giải pháp VPN Tính tương thích : Mỗi một công ty, một doanh nghiệp đều được xây dựng các hệ thống mạng nội bộ và diện rộng của mình dựa trên các thủ tục khác nhau và không tuân theo một chuẩn nhất định của nhà cung cấp dịch vụ. Rất nhiều các hệ thống mạng không sử dụng các chuẩn TCP/IP vì vậy không thể kết nối trực tiếp với Internet. Để có thể sử dụng được IP VPN tất cả các hệ thống mạng riêng đều phải được chuyển sang một hệ thống địa chỉ theo chuẩn sử dụng trong internet cũng như bổ sung các tính năng về tạo kênh kết nối ảo, cài đặt cổng kết nối internet có chức năng trong việc chuyển đổi các thủ tục khác nhau sang chuẩn IP. Tính bảo mật : Tính bảo mật cho khách hang là một yếu tố quan trọng nhất đối với một giải pháp VPN. Người sử dụng cần được đảm bảo các dữ liệu thông qua mạng. VPN đạt được mức đọ an toàn giống như trong một hệ thống mạng dung riêng do họ tự xây dựng và quản lý. Việc cung cấp tính năng bảo đảm an toàn cần đảm bảo hai mục tiêu sau : Cung cấp tính năng an toàn thích hợp bao gồm : cung cấp mật khẩu cho mọi người sử dụng trong mạng và mã hoá dữ kiệu khi truyền Đơn giản trong việc duy trì quản lý, sử dụng. Đòi hỏi thuận tiện và đơn giản cho người sử dụng cũng như nhà quản trị mạng trong việc cài đặt cũng như quản trị hệ thống Tính khả dụng : Một giải pháp VPN cần thiết phải cung cấp được tính bảo đảm về chất lượng, hiệu suất sử dụng dịch vụ cũng như dung lượng truyền. CHƯƠNG III : MỘT SỐ CÔNG CỤ AN NINH MẠNG MÃ NGUỒN MỞ Giới thiệu Hệ thống mạng đang trở thành những thành phần quan trọng trong thành công của doanh nghiệp - cho dù lớn hay nhỏ. Khi mạng bị lỗi, khách hàng và các nhân viên không thể trao đổi được với nhau, các nhân viên không thể truy cập được những thông tin cần thiết hoặc không thể sử dụng được các tính năng in ấn hoặc email, kết quả là sản lượng và doanh thu bị giảm sút. Các công cụ phần mềm an ninh mạng làm giảm thời gian ngừng hoạt động của mạng và làm cho các doanh nghiệp hoạt động suôn sẻ hơn, giảm chi phí và ngăn ngừa được việc giảm doanh thu. Và đối với các doanh nghiệp nhỏ, những người chưa bao giờ nghĩ đến một khoản ngân sách chi cho phần mềm an ninh mạng. Một lựa chọn tối ưu để khởi đầu với phần mềm giám sát mạng miễn phí với mã nguồn mở, giảm thời gian và chi phí cho quản trị mạng. Chương này giới thiệu một số phần mềm an ninh, giám sát hệ thống mạng mã nguồn mở miễn phí có sẵn hiện nay. Khi xây dựng một hệ thống an ninh mạng, các doanh nghiệp thường có những mục tiêu chung như sau: Chi phí thấp : Phần mềm giám sát hệ thống mạng có chi phí phù hợp với mô hình của doanh nghiệp Dễ dàng cài đặt và sử dụng : Phần mềm giám sát hệ thống mạng mang tính trực quan, bắt đầu mà không phải đọc những tài liệu khô cứng và buồn tẻ. Nhiều tính năng : Phần mềm giám sát hệ thống mạng có thể giám sát toàn bộ các nguồn lực, cả những nguồn lực của hiện tại cũng như những nguồn lực có thể có trong tương lai. Dưới đây chúng ta sẽ đi tìm hiểu một số công cụ an ninh mạng mã nguồn mở được sử dụng phổ biến hiện nay. Netfilter và Iptables Giới thiệu Iptables là một tường lửa ứng dụng lọc gói dữ liệu rất mạnh, miễn phí và có sẵn trên Linux. Netfilter/Iptables gồm 2 phần là Netfilter ở trong nhân Linux và Iptables nằm ngoài nhân. Iptables chịu trách nhiệm giao tiếp giữa người dùng và Netfilter để đẩy các luật của người dùng vào cho Netfiler xử lí. Netfilter tiến hành lọc các gói dữ liệu ở mức IP. Netfilter làm việc trực tiếp trong nhân, nhanh và không làm giảm tốc độ của hệ thống. Hình 3.1: Vị trí của iptables trong một Firewall Linux Cấu trúc của iptables Iptables được chia làm 4 bảng (table): Bảng lọc gói (Packet filtering - filter) Trong bảng này có 3 chuỗi INPUT(công đoạn nhập dữ liệu), OUTPUT (công đoạn xuất dữ liệu) và FORWARD (công đoạn truyền dữ liệu). Nếu tường lửa làm việc như thiết bị định tuyến thì chỉ chuỗi FORWARD được dùng. Lưu lượng mà mạng nhận sẽ được chuỗi INPUT xử lý và lưu lượng mà mạng gửi đi sẽ được chuỗi OUTPUT xử lý. Bảng dịch địa chỉ (Network address translation - Nat) Bảng này chỉ dùng cho các gói khởi đầu kết nối, các luật trong chuỗi PREROUTING được áp dụng cho các gói ngay khi hệ thống nhận được gói tin, và các luật trong chuỗi POSTROUTING sẽ được áp dụng khi các gói đã được định tuyến(after routing). các luật trong chuỗi OUTPUT được áp dụng cho các gói trước khi định tuyến (before routing). Nói chung các luật đưa vào bảng này phục vụ các mục đích dịch địa chỉ, đóng giả địa chỉ IP và thực hiện dịch vụ ủy quyền trong suốt (transparent proxying). Bảng lựa chọn gói – hay đánh dấu gói (Packet alteration - mangle) Bảng này dùng cho mục đính chọn các gói tin theo dấu đã được đánh trước. Nó có chuỗi- xích PREROUTING để thay đổi gói tin trước khi định tuyến, và chuỗi OUTPUT để thay đổi gói tin cụ bộ trong hệ thống. Bảng conntrack dùng để theo dõi các kết nối. Các luật (rules) có thể là ACCEPT (chấp nhận gói dữ liệu), DROP (thả gói), REJECT (loại bỏ gói) hoặc tham chiếu (reference) đến một chain khác. Quá trình chuyển gói dữ liệu qua tường lửa. Gói dữ liệu (packet) từ mạng ngoài, sau đó đi vào giao diện mạng nối với mạng ngoài (chẳng hạn như eth0). Đầu tiên packet sẽ qua chuỗi PREROUTING (trước khi định tuyến). Tại đây, packet có thể bị thay đổi thông số (mangle) hoặc bị đổi địa chỉ IP đích (DNAT). Đối với packet đi vào máy, nó sẽ qua chuỗi INPUT. Tại chuỗi INPUT, packet có thể được chấp nhận hoặc bị hủy bỏ. Tiếp theo packet sẽ được chuyển lên cho các ứng dụng (client/server) xử lí và tiếp theo là được chuyển ra chuỗi OUTPUT. Tại chuỗi OUTPUT, packet có thể bị thay đổi các thông số và bị lọc chấp nhận ra hay bị hủy bỏ. Gói sau khi rời chuỗi PREROUTING sẽ qua chuỗi FORWARD. Tại chuỗi FORWARD, nó cũng bị lọc ACCEPT hoặc DENY. Gói sau khi qua chuỗi FORWARD hoặc chuỗi OUTPUT sẽ đến chuỗi POSTROUTING (sau khi định tuyến). Tại chuỗi POSTROUTING, gói có thể được đổi địa chỉ IP nguồn (SNAT) hoặc đóng giả địa chỉ (MASQUERADE). Gói sau khi ra giao diện mạng sẽ được chuyển để đi đến máy tính khác trên mạng ngoài. Hình 3.2: Quá trình chuyển gói dữ liệu qua Netfilter Trong chuỗi, mỗi luật sẽ được áp dụng theo thứ tự, mỗi luật có một tập các điều kiện xác định luật có phù hợp hay không và tác động chỉ xảy ra khi điều kiện phù hợp. Kết thúc một chuỗi thì tác động mặc định sẽ được sử dụng, nghĩa là gói tin sẽ được phép đi qua. Các trạng thái kết nối : - NEW: mở kết nối mới - ESTABLISHED: đã thiết lập kết nối - RELATED: mở một kết nối mới trong kết nối hiện tại - CONNMARK - MARK - INVALID - UNTRACKED Targets và jump Jump (Nhảy) là cơ chế chuyển một packet đến một target (đích) nào đó để xử lý thêm một số thao tác khác. Targets (Đích) là hành động sẽ diễn ra khi một gói dữ liệu được kiểm tra và phù hợp với một yêu cầu nào đó. Khi một target đã được các định, gói dữ liệu cần nhảy để thực hiện các xử lý tiếp theo. Target dùng để nhận diện và kiểm tra packet. Các target được xây dựng sẵn trong iptables như: ACCEPT: iptables chấp nhận chuyển gói tin đến đích. DROP: iptables khóa những packet. LOG: thông tin của packet sẽ gửi vào syslog daemon iptables tiếp tục xử lý luật tiếp theo trong bảng mô tả luật. Nếu luật cuối cùng không thỏa mãn thì sẽ hủy gói tin. Với tùy chọn thông dụng là --log-prefix=”string”, tức iptables sẽ ghi nhận lại những message bắt đầu bằng chuỗi “string”. REJECT: ngăn chặn packet và gửi thông báo cho sender. Với tùy chọn thông dụng là -- reject-with qualifier, tức qualifier chỉ định loại reject message sẽ được gửi lại cho người gửi. Các loại qualifer sau: icmp-port-unreachable (default), icmp-net-unreachable, icmp-host-unreachable, icmp-proto-unreachable, … DNAT: thay đổi địa chỉ đích của gói tin. Tùy chọn là --to-destination ipaddress. SNAT: thay đổi địa chỉ nguồn của gói tin. Tùy chọn là --to-source [- address][:-] MASQUERADING: được sử dụng để thực hiện kỹ thuật NAT (giả mạo địa chỉ nguồn với địa chỉ của interface của Firewall). Tùy chọn là [--to-ports [-]],chỉ định dãy port nguồn sẽ ánh xạ với dãy port ban đầu. Thực hiện lệnh trong Iptable IPtable command Switch Mô tả -t Chỉ định bảng cho iptables bao gồm: filter, nat, mangle tables. -j Nhảy đến một target chain khi packet thoả luật hiện tại -A Thêm luật vào cuối iptables chain. -F Xoá tất cả các luật trong bảng lựa chọn. -p Mô tả các giao thức bao gồm: icmp, tcp, udp và all -s Chỉ định địa chỉ nguồn. -d Chỉ định địa chỉ đích. -i Chỉ định “input” interface nhận packet -o Chỉ định “output” interface chuyền packet ra ngoài OpenVPN OpenVPN sử dụng thiết bị tun/tap (hầu như có sẵn trên các bản Linux) và công nghệ openssl để xác nhận, mã hóa (khi gửi) và giải mã (khi nhận) đường truyền giữa hai bên thành chung một mạng. Nghĩa là khi người dùng nối vào máy chủ OpenVPN từ xa, họ có thể sử dụng các dịch vụ như chia sẻ tập tin sử dụng Samba/NFS/FTP/SCP, đọc thư (bằng cách khai báo địa chỉ nội bộ trên máy họ), duyệt intranet, sử dụng các phần mềm khác...như là họ đang ngồi trong văn phòng. Ở đây chúng ta chọn OpenVPN để thiết lập mạng VPN mà không dùng FreeS/WAN (sử dụng ipsec) hay PoPToP (sử dụng pptp)? Bởi vì việc thiết lập VPN sử dụng các chương trình này tương đối rắc rối, hay bị vấn đề với các máy trạm sử dụng NAT, người dùng hay bị ràng buộc hay hạn chế với một vài phần mềm để kết nối đến máy chủ từ nhiều hệ điều hành khác nhau. Với OpenVPN chúng ta không phải lo lắng vấn đề NAT traversal, thiết lập rất dễ dàng và có thể chạy trên nhiều hệ điều hành khác nhau như *BSD, Linux, Mac OS X, Solaris và Windows 2000 trở lên. Việc cài đặt OpenVPN khá đơn giản. Rất có thể nó đã có sẵn trên bản Linux đang dùng. OpenVPN có thể được tải về tại địa chỉ phiên bản beta hiện tại là 2.0 beta15. Phiên bản stable hiện tại là 1.6.0. Hình 3.3: Sơ đồ đóng gói dữ liệu trong OpenVPN Dưới đây là một mô hình minh họa một giải pháp kết nối VPN dùng OpenVPN cho một doanh nghiệp vừa và nhỏ. Hình 3.4: Giải pháp OpenVPN cho doanh nghiệp vừa và nhỏ Webmin – Công cụ quản trị mạng Webmin là một chương trinh nhằm đơn giản hoá quá trình quản lý trên hệ thống Linux/Unix. Webmin giúp bạn thực hiện công việc thông qua một giao diện mạng dễ sử dụng và tự động cập nhật tất cả các cấu hình được yêu cầu, giúp cho việc điều hành hệ thống trở nên dễ dàng hơn. Một số chức năng của Webmin bao gồm : Tạo, sửa, xoá những tài khoản đăng nhập trên hệ thống Unix của bạn. Truyền các file và thư mục tới những hệ thống khác với nghi thức NFS. Kiểm soát số lượng người sử dụng không gian trên các file. Thay đổi địa chỉ IP của hệ thống, thiết đặt DNS và cấu hình chương trình. Thiết lập Firewall để bảo về máy tính hay những host trên mạng LAN truy cập vào Internet. Tạo và định nghĩa những trang Web thực cho Apacho Web server. Quản lý CSDL và các bảng trong My SQL và Postgre SQL. …… Trên đây là một số chức năng sẵn có của Webmin. Webmin cho phép bạn cấu hình gần như tất cả những dịch vụ chung trên hệ thống Unix dựa trên một giao diện mạng đơn giản. Nó bảo vệ bạn trước những lỗi cú pháp và những lỗi khác thường xẩy ra khi cấu hình file trực tiếp, và cảnh báo bạn trước khi những hoạt động nguy hiểm xảy ra . Webmin được biết đến như một modul thiết kế. Mỗi modun chịu trách nhiệm quản lý một dịch vụ hay phần mềm ứng dụng nào đó.