Khóa luận tốt nghiệp
Xây dựng Firewall & IPS trên checkpoint
PHIẾU
GIAO
ĐỀ
TÀI
KHÓA
LUẬN
TỐT
NGHIỆP1.
phả
i
dán
ở
t
r
ang
đầu
t
iê
n
c
ủa
báo
c
áo1.
Họ
và
tên
sinh
Ngô
Hiệp
Toàn
MSSV:
081652
khóa:
2008-2011(2)
Nguyễn
Th
ị
Phương
Ngọc
MSSV:
Nghệ 2.
Tên
đề
tài
:
Xây
dựng
Firewall
&
IPS
trên
Checkpoint
.
thể
thiếu
trong
hệ
thống
mạng
máy
tính,
Checkpoint
là
sản
phẩm
firewall
hàng
đầu
ưu
tiên
hàng
đầu
như
ngân
hàng.4.
Các
yêu
cầu
đặc
b
i
ệt:
tố
i
th
i
ểu
phả
i
có:1.Trình
bày
hoạt
động
Firewall
&
IPS2.Đưa
ra
báo
cáo:
.…/……/……
Họ
tên
GV
hướng
dẫn
1:
Đinh
Ngọc
Luyện…….……Chữ
ký:
………………
Ngày
….
i TR
ÍC
H
Y
Ế
UTrong
đề
án
t
ố
t
nghiệp
về
đề
Checkpoint,
các
tính
năng
quản
lí
cũng
như
bảo
mậ
t
bằng
IPS
(
Intrusion
Prevention
Systems)
.
Khác
cũng
như
tính
năng
nhằm
cung
cấp
mộ
t
môi
trường
làm
v
i
ệc
hiệu
quả
bảo
mậ
t
như
“User
Authentication”,”Client
Authentication”,”Session
Authentication”,
hay
sử
dụng
mộ
t
Module
xác
thực
“Radius”
chứng
xuấ
t
dữ
li
ệu
vùng
DMZ
và
cho
phép
client
t
ruy
xuấ
t
web,
thông
qua
những
mộ
t
máy
Window
Server
2003
kế
t
nố
i
trực
ti
ếp
vào
Firewall
dùng
hệ
điều
hành
sẽ
được
t
ự
động
cập
nhậ
t
trực
ti
ếp
lên
Firewall
Linux.
Ngườ
i
quản
tr
ị
cấu
bộ.
Sử
dụng
triệ
t
để
chức
năng
Chechpoint
cung
cấp:“IPS”,
thay
v
ì
“SmartDefense”
ở
R65,
thiế
DDoS,
LAND
Attack
v.v Theo
dõi
trạng
thái
cũng
như
những
diến
biến
xảy
ra
p
thờ
i
những
truy
nhập
trái
phép
hay
diễn
biến
bấ
t
thường
thông
qua
t
ần
suấ
II
M
ỤC
L
ỤC
TRÍCH
YẾU
THIỆU
TỔNG
QUAN
7
LỜI
CẢM
ƠN
8
CHƯƠNG
1:
TỔNG
QUAN
VỀ
BẢO
cần
quan
tâm
khi
phân
tích
bảo
mậ
t
mạng
10
1.1.2
Các
yếu
t
ố
Thăm
dò(reconnaissance)
11
1.2.2
Đánh
cắp
thống
tin
bằng
Packet
Sniffers
11
1.2.3
of
services)
13
1.2.5
Tấn
công
trực
ti
ếp
password
13
1.2.6
Thám
thính(agent)
13
công
D.O.S
thông
thường
14
1.2.9
Phương
thức
t
ấn
công
bằng
Mail
Relay
công
Man-in-
t
he-middle
attack
17
1.2.12
Phương
thức
t
ấn
công
Trust
exploitation
17
ứng
dụng
18
1.2.15
Phương
thức
t
ấn
Virus
và
Trojan
Horse
18
1.3
khẩu(login/password)
19
1.3.3
Mã
hóa
dữ
li
ệu(Data
encryption)
19
1.3.5
Bức
tường
l
ửa
(firewall)
20
thiểu
(Least
Privilege)
20
1.4.2
Bảo
vệ
theo
chiều
sâu
(Defense
in
Depth)
nhấ
t
(Weakest
point)
21
1.4.5
Hỏng
trong
an
toàn
(Fail–Safe
Stance)
21
1.4.6
22
1.4.8
Đơn
g
i
ản
hóa
22
1.5
Các
chính
sách
bảo
mậ
t
bộ
23
1.5.3
Phương
thức
thiế
t
kế
24
1.6
Thiế
t
kế
chính
sách
Xác
đ
ị
nh
tài
nguyên
cần
bảo
vệ
24
1.6.3
Xác
đ
ị
nh
các
sử
dụng
mạng
26
1.6.5
Kế
hoạch
hành
động
khi
chính
sách
b
ị
v
i
Sockets
Layer
(SSL)
29
1.7.1
Mở
đầu
29
1.7.2
Nhiệm
vụ
và
cấu
trúc
Record
Protocol
33
1.7.5
Alert
Protocol
35
1.7.6
Change
CipherSpec
Protocol
35
1.7.7
Handshake
Protocol
Control
của
Checkpoint
Firewall
38
2.3
Các
thành
phần
của
Rule
38
2.4
của
User
Authentication
39
2.5.2.
Tổng
quan
về
User
Authentication
của
Check
Point
Firewall
cơ
chế
xác
thực
sử
dụng
trên
Firewall
Check
Point
40
2.5.4.1
VPN-1
&
43
2.5.4.4
TACACS
45
2.5.4.5
S/Key
45
2.5.4.6
SecurID
47
CHƯƠNG
3
:
51
3.1.1
Smart
Console
:
Bao
gồm
nhiều
client
nhỏ
để
quản
lý
các
thành54
3.1.3
Security
Gateway
55
3.2
Firewall
Inspect
Engine
55
3.3
SVN
CLIENTS
59
CHƯƠNG
4
:
IPS
60
4.1
Hệ
thống
ngăn
chăn
xâm
nhập(IPS):
4.2
Phân
loạ
i
IPS
65
4.2.1
NIPS
65
4.2.1a
Các
khả
năng
của
hệ
ngăn
chặn
xâm
nhập
mạng
cơ
sở
NIPS
69
4.2.2
HIPS
69
4.2.2a
Các
thành
phần
của
HIPS
:72
4.2.2.1
Gói
phần
mềm
để
cài
đặ
t t
ạ
i
điểm
74
1.
Trung
tâm
quản
lý:
742.
Giao
diện
quản
lý:
IPS
(Nhận
diện
dấu
hiệu)
78
4.3.2
Anomaly-Based
IPS
(Nhận
diện
bấ
t
thường)
81
4.3.3
PHÁP
CHO
TRƯỜNG
ĐẠI
HỌC
HOA
SEN
84
PHẦN
6:
TÀI
LIỆU
THAM
KHẢO
N
H
Ậ
P
Đ
Ề
Xã
hộ
i
phát
triển
kéo
chiếm
vai
trò
rấ
t
quan
trọng
trong
cuộc
sống
ngày
nay.
Bấ
t
kỳ
l
ĩnh
vực
không
thể
thiếu.
Cùng
vớ
i
sự
ra
đờ
i
và
phát
triển
của
máy
tính
và
và
đánh
cắp
thông
tin
qua
mạng,
thông
tin
cá
nhân
trực
ti
ếp
và
gián
ti
dữ
li
ệu
và
phá
hoạ
i
tư
li
ệu
quan
trọng
là
rấ
t
cần
thiế
t
.Thông
thiệu
t
ổng
quan
về
xu
hướng
quản
tr
ị
và
bảo
mậ
t
mạng
hiện
nay,
cùng
triển
khai
mô
hình
mạng.
Giả
i
pháp
an
toàn
chúng
tôi
g
i
ớ
i
thiệu
đến
là
mộ
t
cấu
trúc
cung
cấp
tính
năng
bảo
mậ
t
cho
end-
to- end
network,
giúp
network
của
enterprice
được
bảo
mậ
t
và
được
quản
lý
bằng
mộ
t
Security
Policy
đơnCheckPoint
là
mộ
t
trong
những
nhà
cung
cấp
hàng
đầu
về
các
sản
phẩm
cá
nhân
và
các công
nghệ
mạng
riêng
ảo
VPN.
Vớ
i
nền
t
ảng
NGX,
CheckPoin
t
cung
bảo
mậ
t:
bảo
mậ
t
cho
truy
cập
Internet, bảo
mậ
t
mạng
nộ
i
bộ,
bảo
mậ
t
Web,
các
ứng
dụng
của
doanh
nghiệp.
FIREWALLThuậ
t
ngữ
Firewall
có
nguồn
gốc
hoạn.
Trong
công
nghệ
mạng
thông
tin,
Firewall
là
mộ
t
kỹ
thuậ
t
được
tích
hợp
vào
thông
tin
nộ
i
bộ
và
hạn
chế
sự
xâm
nhập
không
mong
muốn
vào
hệ
tin
t
ưởng
(Trusted
network)
khỏ
i
các
mạng
không
tin
t
ưởng
(Untrusted
network).
IPS
các
ưu
điểm
của
kỹ
thuật
firewall
vớ
i
hệ
thống
phát
hiện
xâm
nhập
IDS
và
t
ự
động
ngăn
chặn
các
cuộc
tấn
công
đó.
IPS
không
dơn
g
i
ản
chỉ
trở
các
cuộc
tấn
công
đó.
Chúng
cho
phép
tổ
chức
ưu
tiên,
thực
hiện
các
ở
vành
đai
mạng,
dủ
khả
năng
bảo
vệ
tất
cả
các
thiết
bị
trong
Ngọc
Luyện
đã
hướng
dẫn
chúng
tôi
trong
suố
t
quá
trình
thực
hiện
đề
án:
“Xây
bảo
mậ
t
mạng,
firewall,
g
i
ớ
i
thiệu
IPS
-
Hai
hệ
thống
bảo
vệ mạng
hiệu
1.1
Định
nghĩa
bảo
mật
mạng
Bảo
mậ
t
mạng
là
sự
đảm
bảo
an
hoạ
i
hệ
thống
mạng
cả
t
ừ
bên
trong
như
bên
ngoài.
Hoạ
t
động
phá
phép
ăn
cắp
thông
tin,
các
hoạ
t
động
g
i
ả
mạo
nhằm
phá
hoạ
i
tài
t
mạng
luôn
là
mộ
t
vấn
đề
bức
thiế
t
khi
ta
nghiên
cứu
mộ
t
hệ
thống
đạ
t
lên
hàng
đầu.Khi
nguyên
cứu
mộ
t
hệ
thống
mạng
chúng
t
a
cần
phả
i
mạng
:
Ngăn
chặn
kẻ
xâm
nhập
bấ
t
hợp
pháp
vào
hệ
thống
mạng.
dạng
ngườ
i
dùng,
phân
quyền
truy
cập,
cho
phép
các
tác
vụ
Mức
sở
dữ
li
ệu.
Mức
trường
thông
tin:
Trong
mỗ
i
cơ
sở
dữ
li
ệu
phép
các
đố
i
tượng
khác
nhau
có
quyền
truy
cập
khác
nhau.
Mức
mậ
t
ch
ỉ
cho
phép
ngườ
i
có
“
chìa
khoá”
mớ
i
có
thể
sử
dụng
được
file
cơ
sở)
được
thiế
t l
ập
t
ừ
ba
hệ
thống
sau:
-
Hệ
thống
thông
thống
các
thông
tin
tác
nghiệp.
đóng
vai
t
rò
trung
gian
g
i
ữa
hệ
thống
trợ
giúp
quyế
t
đ
ị
nh
và
lý
và
truyền
tin. 1.1.1
Các
yếu
tố
cần
quan
tâm
kh
i
phân
tích
bảo
mật
mạng
quan
trọng.
Khi
nghiên
cứu
đến
vấn
đề
bảo
mậ
t
mạng
cần
quan
tâm
xem
ai
độ
vậ
t
lý
khi
mộ
t
ngườ
i
không
có
thẩm
quyền
vào
phòng
máy
họ
có
Kiến
trúc
mạng
:
Kiến
trúc
mạng
cũng
l
à
mộ
t
vấn
đề
mà
chúng
ta
cần
cứu
hiện
trạng mạng
khi
xây
dựng
và
nâng
cấp
mạng
đưa
ra
các
k
i
ểu
i
mình
đang
đ
ị
nh
xây
dựng….+
Phần
cứng
&
phần
mềm
:
Mạng
được
tác
dụng
của
chúng.
Xây
dựng
mộ
t
hệ
thống
phần
cứng
và
phần
mềm
phù
hệ
thống
mạng.
Xem
xét
tính
tương
thích
của
phần
cứng
và
yếu
tố
cần
được
bảo
vệ
+
Bảo
vệ
dữ
li
ệu
(tính
bảo
mậ
sử
dụng
trên
mạng
để
tránh
sử
dụng
tài
nguyên
này
vào
mục
đính
t
ấn
công
mạng
Cùng
vớ
i
sự
phát
triển
nhanh
chóng
của
mạng
thì
nó
cũng
công
ngày
càng
t
rở
nên
tinh
v
i
hơn.
Các
phương
pháp
t
ấn
công
thường
gặp
:
về
đ
ị
a
ch
ỉ
IP
hoặc
domain
name
bằng
hình
thức
này
hacker
có
thể
l
hiện
các
biện
pháp
t
ấn
công
khác…
Thăm
dò
mạng
là
t
ấ
t
cả
các
gắng
chọc
thủng
mộ
t
mạng,
thường
thì
họ
phả
i
thu
thập
được
thông
tin
về
mạng
i
các
công
cụ
như
DNS
queries,
ping
sweep,
hay
port
scan.Ta
không
thể
ngăn
ta
có
thể
t
ắ
t
đi
ICMP
echo
và
echo-reply,
khi
đó
có
thể
chăn
được
đoan
l
ỗ
i
do
đâu.NIDS
và
HIDS
giúp
nhắc
nhở
(notify)
khi
có
các
Packet
Sn
i
ffersPacket
sniffer
là
phần
mềm
sử
dụng
NIC
card
ở
chế
độ
có
thể
khai
thác
thông
tin
dướ
i
dạng
clear
Text.
Đây
là
chuyển
trên
mạng
(trên
mộ
t
collision
domain).
Sniffer
thường
được
dùng
cho
troubleshooting
network
hoặc
mạng
dướ
i
dạng
clear
text
(telnet,
FTP,
SMTP,
POP3, )
nên
sniffer
cũng
l
à
mộ
t
công
đó
có
thể
truy
xuấ
t
vào
các
thành
phần
khác
của
mạng.Khả
năng
thực
các
kế
t
nố
i
RAS
hoặc
phát
sinh
trong
WAN.Ta
có
thể
cấm
packet
sniffer
hay
hub:
hạn
chế
được
các
gói
broadcast
trong
mạng.-
Các
công
cụ
Mã
hóa:
Tấ
t
cả
các
thông
tin
lưu
chuyển
trên
mạng
đều
được
mã
hóa.
được
mã
hóa.
Cisco
dùng giao
thức
IPSec
để
mã
hoá
dữ
li
ệu.1.2.3
Đánh
l
ị
a
ch
ỉ
IP
tin
cậy
trong
mạng
nhằm
thực
hiện
v
i
ệc
chèn
thông
t
in
nh
tuyến
để
thu
nhận
các
gói
tin
cần
thiết.
•
NGX
R65
đã
interface
mà
các
packet
phải
đi
qua
cho
biết
IP
t
ương
ứng
vớ
i
cổng
của
đi
đến
đâu,
gateway
chính
xác
của
nó
sẽ
l
à
g
ì
?
Nó
sẽ
khẳng
định
network.
Nó
cũng
thẩm
định
cho
ta
biết
khi
packet
này
được
route
th
ì
nó
hết
các
network
phải
có
thể
thấy
được
nhau.
Các
network
được
định
nghĩa
đúng
hình
nó
trên
các
interface
của
gateway.
Sau
khi
kích
hoạt
tính
năng
spoofing
xong
cho
v
i
ệc
phát
hiện
xâm
nhập
và
ghi
l
ại
file
log.
smartdashboard.
Rule
này
sẽ
được
cưỡng
ép
thực
thi
trước
bất
kỳ
rule
nào
được
vụ
(Denial
of
services)Kiểu
t
ấn
công
này
nhằm
t
ắc
nghẽn
mạng
bằng
cách
mậ
t
nhằm
làm
tê
li
ện
hệ
thống
chiếm
hế
t
băng
thông
sử
dụng.1.2.5
Tấn
và
password
của
ngườ
i
sử
dụng
nhằm
ăn
cắp
tài
khoả
i
sử
dụng
vào
mục
đích
hacker
t
ấn
công
password
bằng
mộ
t
số
phương
pháp
như
:
brute-force
attack,
chương
trình
Trojan
ấy
được
user
account
và
password,
như
hacker
l
ạ
i
thường
sử
dụng
brute- force
để
l
ấy
chạy
t
rên
mạng,
cố
gắng
login
vào
các
phần
share
trên
server
băng
phương
pháp
Giớ
i
han
số
l
ần
login
sai-
Đặ
t
password
dài-
Cấm
truy
cập
toàn
như
FTP,
Telnet,
rlogin,
rtelnet…
ứng
dung
SSL,SSH
vào
quản
lý
t
ừ
xa.
t
ấn
công
vào
máy
trạm
làm
bước
đệm
để
t
ấn
công
vào
máy
chủ
và
máy
nạn
nhân
thông
qua
các
d
ị
ch
vụ
mạng.
1.2.7
Tấn
công
vào
i
nhà
quản
tr
ị
hệ
thống
hoặc
li
ên
l
ạc
vớ
i
nhà
quản
tr
ị
hệ
thống
g
Các
phương
thức
tấn
công
D.O.S
thông
thườnga.
Phương
pháp
t
ấn
công
:
điều
khiển
các
máy
tính
trên
mạng
dựa
vào
mộ
t
vài
d
ị
ch
vụ
hoặc
các
thống
máy
đích
làm
cạn
k
i
ệ
t
tài
nguyên
và
tê
li
ệ
t
d
ị
ch
vụ
hình
t
ổng
quát
cuộc
t
ấn
công
D.o.S
của
Hacker
Các
phương
thức
t
ấn
công
broadcast
echo
request
…Các
công
cụ
thường
dùng
của
tin
t
ặc:
Công cụ
4TFN 2KUDP, ICMP, SYN, Smurf5
Shaft
UDP, ICMP, SYN, combo
6MstreamStream (ACK)
7
các
hướng
cổng
Internet,
PSTN,
WAN
và
nộ
i
bộ.Đố
i
vớ
i
cổng
PSTN
và
Internet
vào
đ
ị
a
điểm
này
là
rấ
t l
ớn.b.
Vớ
i
giả
i
pháp
Cisco
Access
Overload
trên
các
Interface
như
sau:Explicitly
permit
f
l
ood
traffic
i
n
access
list:
View
access
list
"hit
counts"
to
determ
i
ne
f
l
ood
type
:
perm
it
icmp
any
f
l
ood
packets:access-list
110
perm
it
icmp
any
any
echoaccess-list
110
perm
it
icmp
own
address
space:access-list
110
deny
ip
192.200.0.0
0.0.255.255
anyBlock
outbound
traffic
notBlock
i
nbound
traff
i
c
sourced
from
unroutable
IP
addresses:access-list
110
deny
ip
110
deny
ip
127.0.0.0
0.255.255.255
any access-list
110
deny
ip
255.0.0.0
0.255.255.255
any access-
list
110
deny
thiế
t l
ập
Rule
tương
t
ự
các
chức
năng
ta
muốn
thực
hiện,
như
Allow
hay
nghĩa
trên
t
ừng
Rule.1.2.9
Phương
thức
tấn
công
bằng
Mail
RelayĐây
là
phương
của
user
sử
dụng
mail
b
ị l
ộ.
Hacker
có
thể
l
ợ
i
dụng
email
server
để
i
hình
thức
gắn
thêm
các
đoạn
script
trong
mail
hacker
có
thể
gây
ra
các
máy
chủ
Database
nộ
i
bộ
hoặc
các
cuộc
t
ấn
công
D.o.S
vào
mộ
t
mục
tiêu
nào
Sử
dụng
các
phương
thức
chống
Relay
Spam
bằng
các
công
cụ
bảo
mậ
t
cho
thức
tấn
công
hệ
thống
DNSDNS
Server
là
điểm
yếu
nhấ
t
trong
toàn
bộ
hệ
thống
máy
chủ.Việc
t
ấn
công
và
chiếm
quyền
điều
khiển
máy
chủ
bộ
hoạ
t
động
của
hệ
thống
truyền
thông
trên
mạng.
-
Hạn
-
Cài
đặ
t
hệ
thống
IDS
Host
cho
hệ
thống
DNS
-
Luôn
cập
Phương
thức
tấn
công
Man-
i
n-the-middle
attackDạng
t
ấn
công
này
đòi
hỏ
i
hacker
phả
là
mộ
t
ngườ
i
làm
v
i
ệc
t
ạ
i
ISP,
có
thể
bắ
t
được
t
ấc
cả
các
các
công
ty
khác
thuê
Leased
line
đến
ISP
đó
để
ăn
cắp
thông
tin
hoặc
dạng
này
được
thực
hiện
nhờ
mộ
t
packet
sniffer.Tấn
công
dạng
này
có
thể
t
được
các
gói
dữ
li
ệu
thì
là
các
dữ
li
ệu
đã
được
mã
hóa.
thực
hiện
bằng
cách
t
ận
dụng
mố
i
quan
hệ
tin
cậy
đố
i
vớ
i
mạng.
Mộ
hệ
tin
cậy
vớ
i
hệ
thống
bên
trong
firewall.
Khi
bên
ngoài
hệ
thống
b
bên
trong
firewall.Có
thể
g
i
ớ
i
hạn
các
t
ấn
công
k
i
ểu
này
bằng
chặ
t
chẽ
mức
truy
xuấ
t
nào
sẽ
được
truy
xuấ
t
vào
các
tài
nguyên
nào
của
i
của
t
ấn
công
trust
exploitation,
l
ợ
i
dụng
mộ
t
host
đã
đã
b
ị
độ
t
nhập
đi
truy nhập
được
mộ
t
host
trên
DMZ,
nhưng
không
t
hể
vào
được
host
ở
inside.
Host
thủng
được
host
trên DMZ,
họ
có
thể
cài
phần
mềm
trêm
host
của
DMZ
để
này
bằng
cách
sử
dụng
HIDS
cài
trên
mỗ
i
server.
HIDS
có thể
giúp
phát
hiện
thức
tấn
công
l
ớp
ứng
dụngTấn
công
l
ớp
ứng
dụng
được
thực
hiện
bằng
điểm
yếu
của
phân
mềm
như
sendmail,
HTTP, hay
FTP.Nguyên
nhân
chủ
yếu
của
bở
i
firewall.
Ví
dụ
các
hacker
t
ấn
công
Web
server
bằng
cách
sử
dụng
TCP
chế
t
ấn
công
l
ớp
ứng
dụng
: -
Lưu
l
ạ
i
log
file,
và
thường
xuên
ứng
dụng
-
Dùng
IDS,
có
2
loạ
i
IDS
: o
HIDS
:
cài
đặ
t
đó.
o
NISD:
xem
xét
t
ấ
t
cả
các
packet
trên
mạng
(collision
domain).
Khi
nó
có
thể
phát
cảnh
báo,
hay
cắ
t
session
đó.Các
IDS
phát
hiện
các
về
loạ
i t
ấn
công
đó.
Khi
IDS
phát
hiện
thấy
traffic
g
i
ống
như
mộ
Trojan
HorseCác
nguy
hiểm
chính
cho
các
workstation
và
end
user
là
các
t
ấn
được
đính
kèm
vào
mộ
t
chương
trình
thực
thi
khác
để
thực
hiện
mộ
t
chức
năng
Trojan
horse
là
mộ
t
phần
mềm
ứng
dụng
để
chạy
mộ
t
game
đơn
g
i
ản
ở
i
mộ
t
bản
copy
đến
t
ấ
t
cả
các
user
trong
address
book.
Khi
user
khác
nhận
t
cả
các
đ
ị
a
ch
ỉ
mail
có
trong
address
book
của
user
đó.
horse
và
luôn
luôn
cập
nhậ
t
chương
trình
chống
virus
mới.
1.3
Các
mức
ra
làm
các
mức
độ
an
toàn
sau:
Bức
tường
l
ửa
(Firewall)
Bảo
(Log
i
n/Password
)Quyền
truy
nhập
(Access
Right)Thông
tin
(Information)
Hình
3.3
bảo
vệ
sâu
nhấ
t
nhằm
k
i
ểm
soát
tài
nguyên
mạng
k
i
ểm
soát
ở
nhà
quản
tr
ị
quyế
t
đ
ị
nh
như
:
ch
ỉ
đọc(
only
read),
ch
ỉ
ghi
(only
write),
độ
truy
nhập
thông
tin
ở
mức
độ
hệ
thống.
Đây
là
mức
độ
bảo
Nhà
quản
tr
ị
cung
cấp
cho
mỗ
i
ngườ
i
dùng
mộ
t
username
và
password
và
k
i
ểm
mạng
ngườ
i
dùng
phả
i
đăng
nhập
nhập
username
và
password
hệ
thống
k
i
ểm
tra
thấy
là
sử
dụng
các
phương
pháp
mã
hoá
dữ
li
ệu
ở
bên
phát
và
thực
xác
khi
có
khoá
mã
hóa
do
bên
phát
cung
cấp.
1.3.4
Bảo
vệ
truy
nhập
vậ
t
lý
bấ
t
hợp
pháp
vào
hệ
thống
như
ngăn
cấm
tuyệ
t
đố
i
đặ
t
cơ
chế
báo
động
khi
có
truy
nhập
vào
hệ
thống
1.3.5
hợp
pháp
vào
mạng
nộ
i
bộ
thông
qua
firewall.
).
Chức
năng
của
tường
l
ửa
là
nh
trước)
và
thậm
chí
có
t
hể
l
ọc
các
gói
tin
mà
ta
không
muốn
được
dùng
nhiều
trong
mô
i
trường
liên
mạng
Internet.1.4
Các
biện
pháp
bảo
đặ
t
và
ch
ỉ
sử
dụng
mộ
t
chế
độ
an
toàn
cho
dù
nó
có
thể
rấ
có
thể
hỗ
trợ
l
ẫn
nhau
và
có
thể
đẳm
bảo
an
toàn
ở
mức
cơ
bản
nhấ
t
của
an
toàn
nói
chung
là
trao
quyền
t
ố
i
thiểu.
Có
nghĩa
nhấ
t
đ
ị
nh
mà
đố
i
tượng
đó
cần
phả
i
có
để
thực
hiện
các
nhiệm
sử
dụng
đều
không
nhấ
t
thiế
t
được
trao
quyền
truy
nhập
mọ
i
dich
vụ
Internet,
thống
không
nhấ
t
thiế
t
phả
i
biế
t
các
mậ
t
khẩu
root
hoặc
mậ
t
khẩu
của
mọ
i
ngườ
thấ
t
bạ
i
khi
thực
hiện
nguyên
t
ắc
Quyền
hạn
t
ố
i
thiểu.
Vì
vậy,
các
chương
chương
trình
phức
t
ạp,
ta
phả
i
tìm
cách
chia
nhỏ
và
cô
l
ập
t
ừng
phần
n
Depth)
Đố
i
vớ
i
mỗ
i
hệ
thống,
không
nên
cài
đặ
t
và
ch
ỉ
sử
ắp
đặ
t
nhiều
cơ
chế
an
toàn
để
chúng
có
thể
hỗ
trợ
l
ẫn
nhau.
những
kẻ
độ
t
nhập
phả
i
đ
i
qua
mộ
t l
ố
i
hẹp
mà
chúng
t
a
có
t
hể
F
i
rewa
ll
nằm
g
i
ữa
hệ
t
hống
mạng
của
t
a
và
mạng
In
t
erne
t
,
nhập
vào
hệ
t
hống
cũng
phả
i
đ
i
qua
nó,
v
ì
vậy,
t
a
có
t
hể
t
heo
nếu
có
mộ
t
đường
khác
vào
hệ
thống
mà
không
cần
đi
qua
nó
(trong
nhập
được
vào
hệ
thống)1.4.4
Điểm
xung
yếu
nhất
(Weakest
po
i
nt)
chắn
khi
mắ
t
nố
i
yếu
nhấ
t
được
làm
chắc
chắn”.
Khi
muốn
thâm
nhập
vào
công
vào
đó.
Do
vậy,
vớ
i t
ừng
hệ
thống,
cần
phả
i
biế
t
điểm
yếu
nhấ
t
mộ
t
hệ
thống
chẳng
may
b
ị
hỏng
thì
nó
phả
i
được
hỏng
theo
mộ
t
cách
đó.
Đương
nhiên,
v
i
ệc
hỏng
trong
an
toàn
cũng
hủy
bỏ
sự
truy
nhập
hợp
t
ắc
này
cũng
được
áp
dụng
trong
nhiều
l
ĩnh
vực.
Chẳng
hạn,
cửa
ra
vào
điện
cung
cấp
b
ị
ngắ
t
để
tránh
g
i
ữ
ngườ
i
bên
trong.
Dựa
trên
thống
an
toàn:
-
Default
deny
Stance:
Chú
trọng
vào
những
cái
được
phép
những
cái
b
ị
ngăn
cấm
và
cho
phép
t
ấ
t
cả
những
cái
còn
l
ại.
đề
an
toàn
trên
thì
nên
dùng
quy
t
ắc
thứ
nhất,
còn
theo
quan
điểm
Copyright: Tài liệu đại học ©