Thiết kế và xây dựng mạng lan và wan - Chương 6: Bảo mật hệ thống và Firewall
Đây là loại kết hợp được các tính năng của các
loại firewall trên: lọc các gói tại lớp mạng và
kiểm tra nội dung các gói tại lớp ứng dụng.
Firewall loại này cho phép các kết nối trực tiếp
giữa các client và các host nên giảm được các
lỗi xảy ra do tính chất "không trong suốt" của
firewall kiểu
55 trang |
Chia sẻ: nguyenlam99 | Lượt xem: 937 | Lượt tải: 0
Bạn đang xem trước 20 trang tài liệu Thiết kế và xây dựng mạng lan và wan - Chương 6: Bảo mật hệ thống và Firewall, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Q
T
S
C
-I
T
A
QUẢN TRỊ VÀ CÁC THIẾT BỊ MẠNG
Chương 6
Bảo mật hệ thống và Firewall
Q
T
S
C
-I
T
A
Objectives
• Các hình thức tấn công mạng, các lỗ
hổng, điểm yếu của mạng lưới
Q
T
S
C
-I
T
A
Bảo mật hệ thống và Firewall
• Bảo mật hệ thống
• Tổng quan về hệ thống firewall
Q
T
S
C
-I
T
A
Bảo mật hệ thống
• Các vấn đề chung về bảo mật hệ thống
và mạng
• Các biện pháp bảo vệ mạng máy tính
Q
T
S
C
-I
T
A
Các vấn đề chung về bảo mật hệ thống và
mạng
• Một số khái niệm
• Lịch sử bảo mật hệ thống
• Các lỗ hổng và phương thức tấn công
mạng chủ yếu
• Một số điểm yếu của hệ thống
• Các mức bảo vệ an toàn mạng
Q
T
S
C
-I
T
A
Một số khái niệm
• Đối tượng tấn công mạng (Intruder)
• Các lỗ hổng bảo mật
• Chính sách bảo mật
Q
T
S
C
-I
T
A
Đối tượng tấn công mạng (Intruder)
• Hacker: Là những kẻ xâm nhập vào mạng trái
phép bằng cách sử dụng các công cụ phá mật
khẩu hoặc khai thác các điểm yếu của các
thành phần truy nhập trên hệ thống.
• Masquerader: Là những kẻ giả mạo thông tin
trên mạng. Có một số hình thức như giả mạo
địa chỉ IP, tên miền, định danh người dùng ...
• Eavesdropping: Là những đối tượng nghe
trộm thông tin trên mạng, sử dụng các công
cụ sniffer; sau đó dùng các công cụ phân tích
và debug để lấy được các thông tin có giá trị.
Q
T
S
C
-I
T
A
Các lỗ hổng bảo mật
• Các lỗ hổng bảo mật là những điểm yếu
trên hệ thống hoặc ẩn chứa trong một
dịch vụ mà dựa vào đó kẻ tấn công có
thể xâm nhập trái phép để thực hiện các
hành động phá hoại hoặc chiếm đoạt tài
nguyên bất hợp pháp.
Q
T
S
C
-I
T
A
Chính sách bảo mật
• Là tập hợp các qui tắc áp dụng cho mọi đối
tượng có tham gia quản lý và sử dụng các tài
nguyên và dịch vụ mạng.
• Mục tiêu của chính sách bảo mật giúp người
sử dụng biết được trách nhiệm của mình
trong việc bảo vệ các tài nguyên thông tin
trên mạng , đồng thời giúp các nhà quản trị
thiết lập các biện pháp bảo đảm hữu hiệu
trong quá trình trang bị, cấu hình, kiểm soát
hoạt động của hệ thống và mạng
Q
T
S
C
-I
T
A
Chính sách bảo mật (tt)
• Một chính sách bảo mật được coi là hoàn hảo
nếu nó xây dựng gồm các văn bản pháp qui,
kèm theo các công cụ bảo mật hữu hiệu và
nhanh chóng giúp người quản trị phát hiện,
ngăn chặn các xâm nhập trái phép.
Q
T
S
C
-I
T
A
Lịch sử bảo mật hệ thống
• Năm 1988: Trên mạng Internet xuất hiện một
chương trình tự nhân phiên bản của chính nó
lên tất cả các máy trên mạng Internet. Các
chương trình này gọi là "sâu".
• Năm 1990: Các hình thức truyền Virus qua địa
chỉ Email xuất hiện phổ biến trên mạng
Internet.
• Năm 1991: Phát hiện các chương trình
trojans.
Q
T
S
C
-I
T
A
Lịch sử bảo mật hệ thống (tt)
• Năm 1998: Virus Melisa lan truyền trên
mạng Internet thông qua các chương
trình gửi mail của Microsoft, gây những
thiết hại kinh tế không nhỏ.
• Năm 2000: Một loạt các Web Site lớn
như yahoo.com và ebay.com bị tê liệt,
ngừng cung cấp dịch vụ trong nhiều giờ
do bị tấn công bởi hình thức DoS
Q
T
S
C
-I
T
A
Các lỗ hổng và phương thức tấn công mạng chủ yếu
• Các lỗ hổng
• Một số phương thức tấn công mạng
phổ biến
Q
T
S
C
-I
T
A
Các lỗ hổng
• Lỗ hổng loại C: các lỗ hổng loại này cho phép thực
hiện các phương thức tấn công theo DoS (Denial of
Services - Từ chối dịch vụ). Mức độ nguy hiểm thấp,
chỉ ảnh hưởng tới chất lượng dịch vụ, có thể làm
ngưng trệ, gián đoạn hệ thống; không làm phá hỏng
dữ liệu hoặc đạt được quyền truy nhập bất hợp pháp.
• Lỗ hổng loại B: Các lỗ hổng cho phép người sử dụng
có thêm các quyền trên hệ thống mà không cần thực
hiện kiểm tra tính hợp lệ nên có thể dẫn đến mất mát
hoặc lộ thông tin yêu cầu bảo mật. Mức độ nguy hiểm
trung bình. Những lỗ hổng này thường có trong các
ứng dụng trên hệ thống.
Q
T
S
C
-I
T
A
Các lỗ hổng (tt)
• Lỗ hổng loại A: Các lỗ hổng này cho
phép người sử dụng ở ngoài cho thể
truy nhập vào hệ thống bất hợp pháp.
Lỗ hổng này rất nguy hiểm, có thể làm
phá hủy toàn bộ hệ thống.
Q
T
S
C
-I
T
A
Một số phương thức tấn công mạng phổ biến
• Scanner
• Password Cracker
• Trojans
• Sniffer
Q
T
S
C
-I
T
A
Một số điểm yếu của hệ thống
• Deamon fingerd
• File hosts.equiv
• Thư mục /var/mail
• Chức năng proxy của FTPd
Q
T
S
C
-I
T
A
Deamon fingerd
• Một lỗ hổng của deamon fingerd là cơ
hội để phương thức tấn công worm
"sâu" trên Internet phát triển: đó là lỗi
tràn vùng đệm trong các tiến trình
fingerd (lỗi khi lập trình).
Q
T
S
C
-I
T
A
File hosts.equiv
• Nếu một người sử dụng được xác định
trong file host.equiv cũng với địa chỉ
máy của người đó, thì người sử dụng
đó được phép truy nhập từ xa vào hệ
thống đã khai báo.
Q
T
S
C
-I
T
A
Thư mục /var/mail
• Nếu thư mục /var/mail được set là với
quyền được viết (writeable) đối với tất
cả mọi người trên hệ thống, thì bất cứ ai
có thể tạo file trong thư mục này. Sau
đó tạo một file với tên của một người đã
có trên hệ thống rồi link tới một file trên
hệ thống, thì các thư tới người sử dụng
có tên trùng với tên file link sẽ được
gán thêm vào trong file mà nó link tới.
Q
T
S
C
-I
T
A
Chức năng proxy của FTPd
• Chức năng proxy server của FTPd cho
phép một người sử dụng có thể truyền
file từ một ftpd này tới một ftpd server
khác. Sử dụng chức năng này sẽ có thể
bỏ qua được các xác thực dựa trên địa
chỉ IP.
Q
T
S
C
-I
T
A
Các mức bảo vệ an toàn mạng
Q
T
S
C
-I
T
A
Các biện pháp bảo vệ mạng máy tính
• Kiểm soát hệ thống qua logfile
• Thiếp lập chính sách bảo mật hệ thống
Q
T
S
C
-I
T
A
Kiểm soát hệ thống qua logfile
• Hệ thống logfile trong Unix
• Một số công cụ hữu ích hỗ trợ phân tích
logfile
• Một số công cụ hữu ích hỗ trợ phân tích
logfile
Q
T
S
C
-I
T
A
Hệ thống logfile trong Unix
• Logfile lastlog : Tiện ích này ghi lại những lần
truy nhập gần đây đối với hệ thống
• Logfile UTMP: Logfile này ghi lại thông tin về
những người đang login vào hệ thống
• Logfile WTMP: Logfile này ghi lại các thông
tin về các hoạt động login và logout vào hệ
thống
• Tiện ích Syslog: Tiện ích syslog giúp người
quản trị hệ thống dễ dàng trong việc thực
hiện ghi logfile đối với các dịch vụ khác nhau
Q
T
S
C
-I
T
A
Hệ thống logfile trong Unix (tt)
• Tiện ích cron: Tiện ích cron sẽ ghi lại logfile
của các hoạt động thực hiện bởi lệnh
crontabs
• Logfile của sendmail: Hoạt động ghi log của
sendmail có thể được ghi qua tiện ích syslog.
• Tiện ích sulog: Bất cứ khi nào người sử dụng
dùng lệnh "su" để chuyển sang hoạt động hệ
thống dưới quyền một user khác đều được
ghi log thông qua tiện ích sulog
Q
T
S
C
-I
T
A
Hệ thống logfile trong Unix (tt)
• Logfile của dịch vụ FTP: Hầu hết các
daemon FTP hiện nay đều cho phép cấu
hình để ghi lại logfile sử dụng dịch vụ
FTP trên hệ thống đó
• Logfile của dịch vụ Web: Tùy thuộc vào
Web server sử dụng sẽ có các phương
thức và cấu hình ghi logfile của dịch vụ
Web khác nhau
Q
T
S
C
-I
T
A
Một số công cụ hữu ích hỗ trợ phân tích logfile
• Tiện ích chklastlog và chkwtmp giúp phân
tích các logfile lastlog và WTMP theo yêu cầu
người quản trị.
• Tiện ích netlog giúp phân tích các gói tin, gồm
3 thành phần:
• TCPlogger: log lại tất cả các kết nối TCP trên
một subnet
• UDPlogger: log lại tất cả các kết nối UDP trên
một subnet
Q
T
S
C
-I
T
A
Một số công cụ hữu ích hỗ trợ phân tích logfile
• Extract: Xử lý các logfile ghi lại bởi
TCPlogger và UDBlogger.
• Tiện ích TCP wrapper: Tiện ích này cho
phép người quản trị hệ thống dễ dàng
giám sát và lọc các gói tin TCP của các
dịch vụ như systat, finger, telnet, rlogin,
rsh, talk ...
Q
T
S
C
-I
T
A
Các công cụ ghi log thường sử dụng trong Windows
NT và 2000
Q
T
S
C
-I
T
A
Thiếp lập chính sách bảo mật hệ thống
• Xác định đối tượng cần bảo vệ
• Xác định nguy cơ đối với hệ thống
• Xác định phương án thực thi chính sách
bảo mật
• Thiết lập các qui tắc/thủ tục
• Kiểm tra, đánh giá và hoàn thiện chính
sách bảo mật
Q
T
S
C
-I
T
A
Xác định đối tượng cần bảo vệ
• Phân tách các dịch vụ tùy theo mức độ
truy cập và độ tin cậy.
• Phân tách hệ thống theo các thành phần
vật lý như các máy chủ (server), router,
các máy trạm (workstation)...
• Phân tách theo phạm vi cung cấp của
các dịch vụ như: các dịch vụ bên trong
mạng (NIS, NFS ...) và các dịch vụ bên
ngoài như Web, FTP, Mail ...
Q
T
S
C
-I
T
A
Xác định nguy cơ đối với hệ thống
• Các điểm truy nhập
• Không kiểm soát được cấu hình hệ
thống
• Những bug phần mềm sử dụng
• Những nguy cơ trong nội bộ mạng
Q
T
S
C
-I
T
A
Xác định phương án thực thi chính sách bảo mật
• Tính đúng đắn
• Tính thân thiện
• Tính hiệu quả
Q
T
S
C
-I
T
A
Thiết lập các qui tắc/thủ tục
• Các thủ tục đối với hoạt động truy nhập
bất hợp pháp
• Các thủ tục bảo vệ hệ thống
Q
T
S
C
-I
T
A
Kiểm tra, đánh giá và hoàn thiện chính sách bảo mật
• Kiểm tra, đánh giá
• Hoàn thiện chính sách bảo mật
Q
T
S
C
-I
T
A
Tổng quan về hệ thống firewall
• Giới thiệu về Firewall
• Một số phần mềm Firewall thông dụng
• Thực hành cài đặt và cấu hình firewall
Check Point v4.0 for Windows
Q
T
S
C
-I
T
A
Giới thiệu về Firewall
• Khái niệm Firewall
• Các chức năng cơ bản của Firewall
• Mô hình mạng sử dụng Firewall
• Phân loại Firewall
Q
T
S
C
-I
T
A
Khái niệm Firewall
• Firewall là thiết bị nhằm ngăn chặn sự
truy nhập không hợp lệ từ mạng ngoài
vào mạng trong. Hệ thống firewall
thường bao gồm cả phần cứng và phần
mềm. Firewall thường được dùng theo
phương thức ngăn chặn hay tạo các
luật đối với các địa chỉ khác nhau
Q
T
S
C
-I
T
A
Các chức năng cơ bản của Firewall
• Cho phép hoặc cấm các dịch vụ truy nhập từ
trong ra ngoài và từ ngoài vào trong.
• Kiểm soát địa chỉ truy nhập, và dịch vụ sử
dụng.
• Kiểm soát khả năng truy cập người sử dụng
giữa 2 mạng.
• Kiểm soát nội dung thông tin truyền tải giữa 2
mạng.
• Ngăn ngừa khả năng tấn công từ các mạng
ngoài.
Q
T
S
C
-I
T
A
Mô hình mạng sử dụng Firewall
Q
T
S
C
-I
T
A
Phân loại Firewall
• Packet Filtering
• Application-proxy firewall
Q
T
S
C
-I
T
A
Packet Filtering
• Packet filtering firewall
• Circuit level gateway
Q
T
S
C
-I
T
A
Packet filtering firewall
• Hoạt động tại lớp
mạng của mô hình
OSI hay lớp IP trong
mô hình giao thức
TCP/IP.
Q
T
S
C
-I
T
A
Circuit level gateway
• Circuit level
gateway: hoạt động
tại lớp phiên
(session) của mô
hình OSI hay lớp
TCP trong mô hình
giao thức TCP/IP.
Q
T
S
C
-I
T
A
Application-proxy firewall
• Kiểu firewall này hoạt động dựa trên phần mềm
• Ưu điểm của kiểu firewall loại này là không có
chức năng chuyển tiếp các gói tin IP, hơn nữa
ta có thể điểu khiển một cách chi tiết hơn các
kết nối thông qua firewall. Đồng thời nó còn
đưa ra nhiều công cụ cho phép ghi lại các quá
trình kết nối. Tất nhiên điều này phải trả giá bởi
tốc độ xử lý, bởi vì tất cả các kết nối cũng như
các gói tin chuyển qua firewall đều được kiểm
tra kỹ lưỡng với các luật trên firewall và rồi nếu
được chấp nhận sẽ được chuyển tiếp tới node
đích.
Q
T
S
C
-I
T
A
Application-proxy firewall
• Application level gateway
• Stateful multilayer inspection firewall
Q
T
S
C
-I
T
A
Application level gateway
• Tính năng tương tự
như loại circuit-level
gateway nhưng lại
hoạt động ở lớp ứng
dụng trong mô hình
giao thức TCP/IP.
Q
T
S
C
-I
T
A
Stateful multilayer inspection firewall
• Đây là loại kết hợp được các tính năng của các
loại firewall trên: lọc các gói tại lớp mạng và
kiểm tra nội dung các gói tại lớp ứng dụng.
Firewall loại này cho phép các kết nối trực tiếp
giữa các client và các host nên giảm được các
lỗi xảy ra do tính chất "không trong suốt" của
firewall kiểu
Q
T
S
C
-I
T
A
Một số phần mềm Firewall thông dụng
• Packet filtering
• Application-proxy firewall
Q
T
S
C
-I
T
A
Packet filtering
• TCP_Wrappers
• NetGate
• Internet Packet Filter
Q
T
S
C
-I
T
A
Application-proxy firewall
• TIS FWTK
• Raptor
Q
T
S
C
-I
T
A
Thực hành cài đặt và cấu hình firewall Check Point
v4.0 for Windows
• Yêu cầu phần cứng
• Các bước chuẩn bị trước khi cài đặt
• Tiến hành cài đặt
Q
T
S
C
-I
T
A
Question & Answer
Q
T
S
C
-I
T
A
Các file đính kèm theo tài liệu này:
- a2_module6_0836.pdf