Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
PHẦN I: TỔNG QUAN VỀ AN TOÀN
THÔNG TIN TRÊN MẠNG
An toàn thông tin là nhu cầu rất quan trọng đối với cá nhân cũng như đối với
xã hội và các quốc gia trên thế giới. Mạng máy tính an toàn thông tin được tiến
hành thông qua cá phương pháp vật lý và hành chính. Từ khi ra đời cho đến nay
mạng máy tính đã đem lại hiệu quả vô cùng to lớn trong tất cả các lĩnh vực của đời
sống. Bên cạnh đó người sử dụng phải đối mặt với các hiểm họa do thông tin trên
mạng của họ bị tấn công. An toàn thông tin trên mạng máy tính bao gồm các
phương pháp nhằm bảo vệ thông tin được lưu giữ và truyền trên mạng. An toàn
thông tin trên mạng máy tính là một lĩnh vực đang được quan tâm đặc biệt đồng
thời cũng là một công việc hết sức khó khăn và phức tạp.
Thực tế đã chứng tỏ rằng có một tình trạng rất đáng lo ngại khi bị tấn công
thông tin trong quá trình xử lý, truyền và lưu giữ thông tin. Những tác động bất
hợp pháp lên thông tin với mục đích làm tổn thất, sai lạc, lấy cắp các tệp lưu giữ
tin, sao chép các thông tin mật, giả mạo người được phép sử dụng thông tin trong
các mạng máy tính. Sau đây là một vài ví dụ điển hình về các tác động bất hợp
pháp vào các mạng máy tính:
Các sinh viên trường Đại học Tổng hợp Mỹ đã lập và cài đặt vào máy tính
một chương trình bắt chước sự làm việc với người sử dụng ở xa. Bằng chương
trình họ đã nắm trước được nhu cầu của người sử dụng và hỏi mật khẩu của họ.
Đến khi bị phát hiện các sinh viên này đã kịp lấy được mật khẩu của hơn 100
người sử dụng hợp pháp hệ thống máy tính.
Các nhân viên của hãng CDC(Mỹ) đã “xâm nhập” vào trung tâm tính toán
của một hãng sản xuất hóa phẩm và đã phá hủy các dữ liệu lưu giữ trên băng từ
gây thiệt hại cho hãng này tới hơn 100.000$.
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
1
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
Hãng bách khoa toàn thư của Anh đã đưa ra tòa 3 kĩ thuật viên trong trung
Những cuộc tấn công trực tiếp thông thường được sử dụng trong giai
đoạn đầu để chiếm được quyền truy nhập bên trong. Một phương pháp tấn công
cổ điển là dò tìm tên ngời sử dụng và mật khẩu. Đây là phương pháp đơn giản,
dễ thực hiện và không đòi hỏi một điều kiện đặc biệt nào để bắt đầu. Kẻ tấn
công có thể sử dụng những thông tin như tên người dùng, ngày sinh, địa chỉ, số
nhà vv.. để đoán mật khẩu. Trong trường hợp có được danh sách người sử dụng
và những thông tin về môi trường làm việc, có một trương trình tự động hoá về
việc dò tìm mật khẩu này.
Một chương trình có thể dễ dàng lấy được từ Internet để giải các mật
khẩu đã mã hoá của các hệ thống unix có tên là crack, có khả năng thử các tổ
hợp các từ trong một từ điển lớn, theo những quy tắc do người dùng tự định
nghĩa. Trong một số trường hợp, khả năng thành công của phương pháp này có
thể lên tới 30%.
Phương pháp sử dụng các lỗi của chương trình ứng dụng và bản thân hệ
điều hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được tiếp tục
để chiếm quyền truy nhập. Trong một số trường hợp phương pháp này cho phép
kẻ tấn công có được quyền của người quản trị hệ thống (root hay administrator).
Hai ví dụ thường xuyên được đưa ra để minh hoạ cho phương pháp này
là ví dụ với chương trình sendmail và chương trình rlogin của hệ điều hành
UNIX.
Sendmail là một chương trình phức tạp, với mã nguồn bao gồm hàng
ngàn dòng lệnh của ngôn ngữ C. Sendmail được chạy với quyền ưu tiên của
người quản trị hệ thống, do chương trình phải có quyền ghi vào hộp thư
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
3
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
của những người sử dụng máy. Và Sendmail trực tiếp nhận các yêu cầu về
thư tín trên mạng bên ngoài. Đây chính là những yếu tố làm cho sendmail trở
thành một nguồn cung cấp những lỗ hổng về bảo mật để truy nhập hệ thống.
có ích khác.
Hình 1 Mô hình tấn công DdoS
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
5
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
• Client là một attacker sắp xếp một cuộc tấn công
• Handler là một host đã được thỏa hiệp để chạy những chương
trình đặc biệt dùng đê tấn công
• Mỗi handler có khả năng điều khiển nhiều agent
• Mỗi agent có trách nhiệm gửi stream data tới victim
1.5. Lỗi của người quản trị hệ thống:
Đây không phải là một kiểu tấn công của những kẻ đột nhập, tuy nhiên
lỗi của người quản trị hệ thống thờng tạo ra những lỗ hổng cho phép kẻ tấn
công sử dụng để truy nhập vào mạng nội bộ.
1.6. Tấn công vào yếu tố con người:
Kẻ tấn công có thể liên lạc với một ngời quản trị hệ thống, giả làm một
người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của
mình đối với hệ thống, hoặc thậm chí thay đổi một số cấu hình của hệ thống để
thực hiện các phương pháp tấn công khác. Với kiểu tấn công này không một
thiết bị nào có thể ngăn chặn một cách hữu hiệu, và chỉ có một cách giáo dục
người sử dụng mạng nội bộ về những yêu cầu bảo mật để đề cao cảnh giác với
những hiện tượng đáng nghi. Nói chung yếu tố con ngời là một điểm yếu trong
bất kỳ một hệ thống bảo vệ nào, và chỉ có sự giáo dục cộng với tinh thần hợp
tác từ phía người sử dụng có thể nâng cao được độ an toàn của hệ thống bảo vệ.
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
6
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
II. CÁC DỊCH VỤ BẢO VỆ THÔNG TIN TRÊN
hiệu chuông, dịch vụ xác thực đảm bảo với bên nhận rằng thông báo đến từ
đúng bên nêu danh. Trong trường hợp có một giao dịch đang xảy ra, dịch vụ
xác thực đảm bảo rằng hai bên giao dịch là xác thực và không có kẻ nào giả
danh làm một trong các bên trao đổi.
Nói cách khác, dịch vụ xác thực yêu cầu nguồn gốc của thông báo được
nhận dạng đúng với các định danh đúng.
2.3. Dịch vụ toàn vẹn (Integrity)
Dịch vụ toàn vẹn đòi hỏi rằng các tài nguyên hệ thống máy tính và thông
tin được truyền không bị sử đổi trái phép. Việc sửa đổi bao gồm các thao tác
viết, thay đổi, thay đổi trạng thái, xóa thông báo, tạo thông báo, làm trể hoặc
dùng lại các thông báo được truyền.
Dịch vụ toàn vẹn có thể áp dụng cho một thông báo, một luồng thông báo
hay chỉ một số trường trong thông báo.
Dịch vụ toàn vẹn định hướng kết nối (connection-oriented) áp dụng cho
một luồng thông báo và nó bảo đảm rằng các thông báo được nhận có nội dung
giống như khi được gửi, không bị nhân bản, chèn, sửa đổi, thay đổi trật tự hay
dùng lại kể cả hủy hoại số liệu. Như vậy dịch vụ toàn vẹn định hướng kết nối
quan tâm đến cả việc thay đổi thông báo và từ chối dịch vụ. Mặt khác, dịch vụ
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
8
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
toàn vẹn phi kết nối chỉ quan tâm đến việc sử đổi thông báo. Dịch vụ toàn vẹn
này thiên về phát hiện hơn là ngăn chặn.
2.4. Không thể chối bỏ (Nonrepudiation)
Dịch vụ không thể chối bỏ ngăn chặn người gửi hay người nhận chối bỏ
thông báo được truyền. Khi thông báo được gửi đi người nhận có thể chứng
minh rằng người gửi nêu danh đã gửi nó đi. Khi thông báo nhận được, người
gửi có thể chứng minh thông báo đã được nhận bởi người nhận hợp pháp.
III. CÁC KỸ THUẬT BẢO VỆ THÔNG TIN TRÊN
MẠNG
III.1 Mã hóa
Việc mã hóa các thông báo có các vai trò sau:
1. Nó dùng để che dấu thông tin mật được đặt trong hệ thống. Như chúng ta
đã biết, các kênh truyền thông vật lý luôn bị tấn công bởi sự nghe trộm và xuyên
tạc thông báo. Theo truyền thống, việc trao đổi thư từ bằng mật mã được dùng
trong các hoạt động quân sự, tình báo. Điều này dựa trên nguyên tắc là một thông
báo được mã hóa với một khóa mã xác định và chỉ có thể được giải mã bởi người
biết khóa ngược tương ứng.
2. Nó được dùng để hỗ trợ cho cơ chế truyền thông xác thực giữa các cặp
người dùng hợp pháp mà ta gọi là người ủy nhiệm (Principal). Một người ủy nhiệm
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
10
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
sau khi giải mã thành công một thông báo bằng cách dùng một khóa dịch xác định
có thể thừa nhận rằng thông báo được xác thực nếu nó chứa một vài giá trị mong
muốn. Từ đó người nhận có thể suy ra rằng người gửi của thông báo có khóa mã
tương ứng. Như vậy nếu ác khóa được giữ bí mật thì việc giả mã thành công sẽ xác
thực thông báo đến từ một người gửi xác định.
3. Nó được dùng để cài đặt một cơ chế chữ kí số. Chữ kí số có vai trò quan
trọng như một chữ kí thông thường trong việc xác nhận với một thành viên thứ ba
rằng một thông báo là một bản sao không bị thay đổi của một thông báo được tạo
bởi người ủy nhiệm đặc biệt. Khả năng để cung cấp một chữ kí số dựa trên nguyên
tắc : có những việc chỉ có người ủy nhiệm là người gửi thực sự mới có thể làm còn
những người khác thì không thể. Điều này có thể đạt được bằng việc đòi hỏi một
thành viên thứ 3 tin cậy mà anh ta có bằng chứng định danh của người yêu cầu để
mã thông báo hoặc để mã một dạng ngắn của thông báo được gọi là digest tương tự
như một checksum. Thông báo hoặc digest được mã đóng vai trò như một chữ kí đi
tệp bí mật và để chia xẻ chúng trong một cách thức được điều khiển nào đó.
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
12
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
IV. GIẢI PHÁP TỔNG THỂ CHO AN TOÀN
THÔNG TIN TRÊN MẠNG
Khi nói đến giả pháp tổng thể cho an toàn thông tin trên mạng, các chuyên
gia đểu nhấn mạnh một thực tế là không có thứ gì là an toàn tuyệt đối. Hệ thống
bảo vệ có chắc chắn đến đâu đi nữa rồi cũng có lúc bị vô hiệu hóa bởi những kẻ
phá hoại điêu luyện về kĩ xảo và có đủ thời gian. Chưa kể trong nhiều trường hợp
kẻ phá hoại lại nằm ngay trong nội bộ cơ quan có mạng cần bảo vệ. Từ đó có thể
thấy rằng vấn đề an toàn mạng máy tính thực tế là một cuộc chạy tiếp sức không
ngừng và không ai dám khẳng định là có đích cuối cùng hay không.
IV.1 Các mức bảo vệ thông tin trên mạng
Vì không thể có một giải pháp an toàn tuyệt đối nên người ta thường phải
sử dụng đồng thời nhiều mức bảo vệ khác nhau tạo thành nhiều lớp “rào chắn”
đối với các hoạt động xâm phạm. Ngoài việc bảo vệ thông tin trên đường
truyền, chúng ta còn phải bảo vệ thông tin được cất giữ trong các máy tính, đặc
biệt là trong các máy chủ trên mạng. Bởi thế ngoài một số biện pháp nhằm
chống lại việc tấn công vào thông tin trên đường truyền, mọi cố gắng phải tập
trung vào việc xây dựng các mức “rào chắn” từ ngoài vào trong cho các hệ
thống kết nối vào mạng. Hình 1.3 mô tả các lớp “rào chắn” thông dụng hiện nay
để bảo vệ thông tin trên mạng máy tính:
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
13
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
Hình 2: Các mức bảo vệ thông tin trên mạng máy tính
• Quyền truy nhập:
thời gian…
• Mã hóa dữ liệu;
Để bảo mật thông tin truyền trên mạng, người ta sử dụng các phương
pháp mã hóa. Dữ liệu được biến đổi từ dạng nhận thức được sang dạng không
nhận thức được theo một thuật toán nào đó (lập mã) và sẽ được biến đổi ngược
lại (dịch mã) ở nơi nhận. Đây là lớp bảo vệ thông tin rất quan trọng và được sử
dụng rộng rãi trong môi trường mạng.
• Bảo vệ vật lý
Nhằm ngăn cản các truy nhập vật lý bất hợp pháp vào hệ thống. Người ta
thường dùng các biện pháp truyền thống như cấm tuyệt đối người không phận
sự vào phòng đặt máy mạng, dùng ổ khóa trên máy tính (ngắt nguồn điện đến
màn hình và bàn phím nhưng vẫn giữ liên lạc trực tuyến giữa máy tính với
mạng, hoặc cài cơ chế báo động khi có truy nhập vào hệ thống) hoặc dùng các
trạm không có ổ đĩa mềm…
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
15
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
• Bức tường lửa (Firewall)
Để bảo vệ từ xa một máy tính hoặc cho cả một mạng nội bộ, người ta
thường dùng các hệ thống đặc biệt là tường lửa. Chức năng của các tường lửa là
ngăn chặn các thâm nhập trái phép (theo danh sách truy nhập xác định trước) và
thậm chí có thể “lọc” bỏ các gói tin mà ta không muốn gửi đi hoặc nhận vì
những lí do nào đó. Phương thức này được sử dụng nhiều trong môi trường
mạng Internet.
Một cách tiếp cận khác trong việc xây dựng giải pháp tổng thể về an toàn
thông tin trên mạng máy tính là đưa ra các phương pháp và phương tiện bảo vệ
thông tin.
IV.2 Các phương pháp và phương tiện bảo vệ thông tin
Trong giai đoạn đầu tiên, người ta cho rằng việc bảo vệ thông tin trong hệ
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
17
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
Hình 3: Các phương pháp và phương tiện bảo vệ thông tin.
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Các chướng
ngại
Điều khiển
Mã hóa thông
tin
Quy định
Cướng bức
Kích thích
Vật lý
Máy móc
Chương
trình
Tổ chức
Luật pháp
Đạo đức
Các
phương
tiện bảo
vệ
Các
phương
pháp bảo
vệ
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
thống thông tin. Các biện pháp tổ chức cần được quan tâm một cáh đầy đủ trong
quá trình thiết kế, xây dựng và hoạt động của hệ thống.
Các phương tiện luật pháp bao gồm các điều khoản luật pháp của nhà nước
qui định về nguyên tắc sử dụng và xử lí thông tin, về việc tiếp cận có hạn chế
thông tin và những biện pháp xử lí khi vi phạm những nguyên tắc đó.
Quá trình xây dựng hệ thống bảo vệ thông tin trải qua nhiều giai đoạn.
Trong giai đoạn đầu các phương tiện chương trình chiếm ưu thế phát triển còn đến
giai đoạn hai thì tất cả các phương tiện bảo vệ đều được quan tâm. Nhưng đến giai
đoạn ba thì hình thành rõ rệt các khuynh hướng sau:
- Tạo ra những thiết bị có chức năng bảo vệ cơ bản.
- Xây dựng các phương tiện bảo vệ phức hợp có thể thực hiện một vài
chức năng bảo vệ khác nhau.
- Thống nhất và chuẩn hóa các phương tiện bảo vệ.
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
20
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
PHẦN II: FIREWALL
A. GIỚI THIỆU VỀ FIREWALL
Ngày nay, ở bất kỳ đâu chúng ta cũng nghe nói đến mạng Internet, các
phương tiện thông tin đại chúng như báo chí, phát thanh, truyền hình…
Qua mạng Internet, con người có thể kinh doanh tiếp thị trên toàn cầu và tiếp
cận được khối lượng thông tin khổng lồ, cập nhật trong thời gian nhanh. Lợi ích
của Internet mang lại là không nhỏ, nhưng nguy hiểm khi tham gia vào mạng cũng
không ít. Nguy hiểm chính là ngày càng có nhiều mối đe dạo đến sự bảo mật và
mất mát thông tin.
Thông tin là sự sống còn của một doanh nghiệp, một tổ chức hay một quốc
gia. Do đó thông tin là vô giá. Chúng ta bằng mọi cách để bảo vệ chúng tránh các
mối nguy hiểm, một trong những giải pháp tốt hiện nay là xây dựng Firewall. Sử
yêu cầu số 1 đối với thông tin lưu trữ trên mạng. Tuy nhiên, ngay cả khi những
thông tin này không được giữ bí mật, thì những yêu cầu về tính toàn vẹn cũng
rất quan trọng. Không một cá nhân, một tổ chức nào lãng phí tài nguyên vật
chất và thời gian để lưu trữ những thông tin mà không biết về tính đúng đắn của
những thông tin đó.
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
22
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
1.2 Đối với tài nguyên
Tài nguyên nói ở đây bao gồm không gian bộ nhớ, không gian đĩa, các
chương trình ứng dụng, thời gian thực thi chương trình, năng lực của bộ vi xử
lí….
Trên thực tế, trong các cuộc tấn công trên Internet, kẻ tấn công, sau khi
đã làm chủ được hệ thống bên trong, có thể sử dụng các máy này để phục vụ
cho mục đích của mình nhằm chạy các chương trình dò mật khẩu người sử
dụng, sử dụng các liên kết mạng sẵn có để tiếp tục tấn công các hệ thống khác
vv...
1.3 Đối với uy tín
Một phần lớn các cuộc tấn công không được thông báo rộng rãi, và một
trong những nguyên nhân là nỗi lo bị mất uy tín của cơ quan, đặc biệt là các
công ty lớn và các cơ quan quan trọng trong bộ máy nhà nước. Trong trường
hợp người quản trị hệ thống chỉ được biết đến sau khi chính hệ thống của mình
được dùng làm bàn đạp để tấn công các hệ thống khác, thì tổn thất về uy tín là
rất lớn và có thể để lại hậu quả lâu dài.
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
23
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
II. PHÂN LOẠI KẺ TẤN CÔNG
mục đích là đột nhập, vô tình hay hữu ý họ sẽ làm hư hỏng hệ thống của bạn.
2.4 Gián điệp
Hiện nay có rất nhiều thông tin quan trọng được lưu giữ trên máy tính
như các thông tin về quân sự, kinh tế…Gián điệp máy tính là một vấn đề phức
tạp và khó phát hiện. Thực tế, phần lớn các tổ chức không thể phòng thủ kiểu
tấn công này một cách hiệu quả và bạn có thể chắc rằng đường lên kết với
Internet không phải là con đường dễ nhất để gián điệp thu lượm thông tin.
III. INTERNET FIREWALL
3.1 Firewall là gì ?
Một vài thuật ngữ:
- Mạng nội bộ (Inernal network) : bao gồm các máy tính, các thiết bị
mạng. Mạng máy tính thuộc một đơn vị quản lý (Trường học, công ty, tổ chức.
đoàn thể, Quốc gia…) cùng nằm một bên với firewall, mà thông tin đến và đi từ
một máy thuộc nó đến một máy không thuộc nó đều phải qua firewall đó.
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
25
Copyright: Tài liệu đại học ©