Tường lửa
Chia sẻ bởi Phan Thanh Quyền |
Ngày 14/10/2018 |
41
Chia sẻ tài liệu: Tường lửa thuộc Tư liệu tham khảo
Nội dung tài liệu:
Mục lục
1. An toàn thông tin trên mạng Error! Bookmark not defined.
1.1 Tại sao cần có Internet Firewall Error! Bookmark not defined.
1.2 Bạn muốn bảo vệ cái gì? Error! Bookmark not defined.
1.2.1 Dữ liệu của bạn Error! Bookmark not defined.
1.2.2 Tài nguyên của bạn Error! Bookmark not defined.
1.2.3 Danh tiếng của bạn Error! Bookmark not defined.
1.3 Bạn muốn bảo vệ chống lại cái gì? Error! Bookmark not defined.
1.3.1 Các kiểu tấn công Error! Bookmark not defined.
1.3.2 Phân loại kẻ tấn công Error! Bookmark not defined.
1.4 Vậy Internet Firewall là gì? Error! Bookmark not defined.
1.4.1 Định nghĩa Error! Bookmark not defined.
1.4.2 Chức năng Error! Bookmark not defined.
1.4.3 Cấu trúc Error! Bookmark not defined.
1.4.4 Các thành phần của Firewall và cơ chế hoạt động 15
1.4.5 Những hạn chế của firewall Error! Bookmark not defined.
1.4.6 Các ví dụ firewall Error! Bookmark not defined.
2. Các dịch vụ Internet 29
2.1 World Wide Web - WWW 30
2.2 Electronic Mail (Email hay thư điện tử). Error! Bookmark not defined.
2.3 Ftp (file transfer protocol hay dịch vụ chuyển file) Error! Bookmark not defined.
2.4 Telnet và rlogin Error! Bookmark not defined.
2.5 Archie 34
2.6 Finger 35
3. Hệ thống Firewall xây dựng bởi CSE Error! Bookmark not defined.
3.1 Tổng quan Error! Bookmark not defined.
3.2 Các thành phần của bộ chương trình proxy: Error! Bookmark not defined.
3.2.1 Smap: Dịch vụ SMTP Error! Bookmark not defined.
3.2.2 Netacl: công cụ điều khiển truy nhập mạng Error! Bookmark not defined.
3.2.3 Ftp-Gw: Proxy server cho Ftp 41
3.2.4 Telnet-Gw: Proxy server cho Telnet 41
3.2.5 Rlogin-Gw: Proxy server cho rlogin 42
3.2.6 Sql-Gw: Proxy Server cho Oracle Sql-net 42
3.2.7 Plug-Gw: TCP Plug-Board Connection server 42
3.3 Cài đặt Error! Bookmark not defined.
3.4 Thiết lập cấu hình: Error! Bookmark not defined.
3.4.1 Cấu hình mạng ban đầu Error! Bookmark not defined.
3.4.2 Cấu hình cho Bastion Host Error! Bookmark not defined.
3.4.3 Thiết lập tập hợp quy tắc Error! Bookmark not defined.
3.4.4 Xác thực và dịch vụ xác thực Error! Bookmark not defined.
3.4.5 Sử dụng màn hình điều khiển CSE Proxy: Error! Bookmark not defined.
3.4.6 Các vấn đề cần quan tâm với người sử dụng 68
An toàn thông tin trên mạng
Tại sao cần có Internet Firewall
Hiện nay, khái niệm mạng toàn cầu - Internet không còn mới mẻ. Nó đã trở nên phổ biến tới mức không cần phải chú giải gì thêm trong những tạp chí kỹ thuật, còn trên những tạp chí khác thì tràn ngập những bài viết dài, ngắn về Internet. Khi những tạp chí thông thường chú trọng vào Internet thì giờ đây, những tạp chí kỹ thuật lại tập trung vào khía cạnh khác: an toàn thông tin. Đó cùng là một quá trình tiến triển hợp logic: khi những vui thích ban đầu về một siêu xa lộ thông tin, bạn nhất định nhận thấy rằng không chỉ cho phép bạn truy nhập vào nhiều nơi trên thế giới, Internet còn cho phép nhiều người không mời mà tự ý ghé thăm máy tính của bạn.
Thực vậy, Internet có những kỹ thuật tuyệt vời cho phép mọi người truy nhập, khai thác, chia sẻ thông tin. Những nó cũng là nguy cơ chính dẫn đến thông tin của bạn bị hư hỏng hoặc phá huỷ hoàn toàn.
Theo số liệu của CERT(Computer Emegency Response Team - “Đội cấp cứu máy tính”), số lượng các vụ tấn công trên Internet được thông báo cho tổ chức này là ít hơn 200 vào năm 1989, khoảng 400 vào năm 1991, 1400 vào năm 1993, và 2241 vào năm 1994. Những vụ tấn công này nhằm vào tất cả các máy tính có mặt trên Internet, các máy tính của tất cả các công ty lớn như AT&T, IBM, các trường đại học, các cơ quan nhà nước, các tổ chức quân sự, nhà băng... Một số vụ tấn công có quy mô khổng lồ (có tới 100.000 máy tính bị tấn công). Hơn nữa, những con số này chỉ là phần nổi của tảng băng. Một phần rất lớn các vụ tấn công không được thông báo, vì nhiều lý do, trong đó có thể kể đến nỗi lo bị mất uy tín, hoặc đơn giản những người quản trị hệ thống không hề hay biết những cuộc tấn công nhằm vào hệ thống của họ.
Không chỉ số lượng các cuộc tấn công tăng lên nhanh chóng, mà các phương pháp tấn công cũng liên tục được hoàn thiện. Điều đó một phần do các nhân viên quản trị hệ thống được kết nối với Internet ngày càng đề cao cảnh giác. Cũng theo CERT, những cuộc tấn công thời kỳ 1988-1989 chủ yếu đoán tên người sử dụng-mật khẩu (UserID-password) hoặc sử dụng một số lỗi của các chương trình và hệ điều hành (security hole) làm vô hiệu hệ thống bảo vệ, tuy nhiên các cuộc tấn công vào thời gian gần đây bao gồm cả các thao tác như giả mạo địa chỉ IP, theo dõi thông tin truyền qua mạng, chiếm các phiên làm việc từ xa (telnet hoặc rlogin).
Bạn muốn bảo vệ cái gì?
Nhiệm vụ cơ bản của Firewall là bảo vệ. Nếu bạn muốn xây dựng firewall, việc đầu tiên bạn cần xem xét chính là bạn cần bảo vệ cái gì.
Dữ liệu của bạn
Những thông tin lưu trữ trên hệ thống máy tính cần được bảo vệ do các yêu cầu sau:
Bảo mật: Những thông tin có giá trị về kinh tế, quân sự, chính sách vv... cần được giữ kín.
Tính toàn vẹn: Thông tin không bị mất mát hoặc sửa đổi, đánh tráo.
Tính kịp thời: Yêu cầu truy nhập thông tin vào đúng thời điểm cần thiết.
Trong các yêu cầu này, thông thường yêu cầu về bảo mật được coi là yêu cầu số 1 đối với thông tin lưu trữ trên mạng. Tuy nhiên, ngay cả khi những thông tin này không được giữ bí mật, thì những yêu cầu về tính toàn vẹn cũng rất quan trọng. Không một cá nhân, một tổ chức nào lãng phí tài nguyên vật chất và thời gian để lưu trữ những thông tin mà không biết về tính đúng đắn của những thông tin đó.
Tài nguyên của bạn
Trên thực tế, trong các cuộc tấn công trên Internet, kẻ tấn công, sau khi đã làm chủ được hệ thống bên trong, có thể sử dụng các máy này để phục vụ cho mục đích của mình như chạy các chương trình dò mật khẩu người sử dụng, sử dụng các liên kết mạng sẵn có để tiếp tục tấn công các hệ thống khác vv...
Danh tiếng của bạn
Như trên đã nêu, một phần lớn các cuộc tấn công không được thông báo rộng rãi, và một trong những nguyên nhân là nỗi lo bị mất uy tín của cơ quan, đặc biệt là các công ty lớn và các cơ quan quan trọng trong bộ máy nhà nước. Trong trường hợp người quản trị hệ thống chỉ được biết đến sau khi chính hệ thống của mình được dùng làm bàn đạp để tấn công các hệ thống khác, thì tổn thất về uy tín là rất lớn và có thể để lại hậu quả lâu dài.
Bạn muốn bảo vệ chống lại cái gì?
Còn những gì bạn cần phải lo lắng. Bạn sẽ phải đương đầu với những kiểu tấn công nào trên Internet và những kẻ nào sẽ thực hiện chúng?
Các kiểu tấn công
Có rất nhiều kiểu tấn công vào hệ thống, và có nhiều cách để phân loại những kiểu tấn công này. ở đây, chúng ta chia thành 3 kiểu chính như sau:
Tấn công trực tiếp
Những cuộc tấn công trực tiếp thông thường được sử dụng trong giai đoạn đầu để chiếm được quyền truy nhập bên trong. Một phương pháp tấn công cổ điển là dò cặp tên người sử dụng-mật khẩu. Đây là phương pháp đơn giản, dễ thực hiện và không đòi hỏi một điều kiện đặc biệt nào để bắt đầu. Kẻ tấn công có thể sử dụng những thông tin như tên người dùng, ngày sinh, địa chỉ, số nhà vv.. để đoán mật khẩu. Trong trường hợp có được danh sách người sử dụng và những thông tin về môi trường làm việc, có một trương trình tự động hoá về việc dò tìm mật khẩu này. một trương trình có thể dễ dàng lấy được từ Internet để giải các mật khẩu đã mã hoá của các hệ thống unix có tên là crack, có khả năng thử các tổ hợp các từ trong một từ điển lớn, theo những quy tắc do người dùng tự định nghĩa. Trong một số trường hợp, khả năng thành công của phương pháp này có thể lên tới 30%.
Phương pháp sử dụng các lỗi của chương trình ứng dụng và bản thân hệ điều hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được tiếp tục để chiếm quyền truy nhập. Trong một số trường hợp phương pháp này cho phép kẻ tấn công có được quyền của người quản trị hệ thống (root hay administrator).
Hai ví dụ thường xuyên được đưa ra để minh hoạ cho phương pháp này là ví dụ với chương trình sendmail và chương trình rlogin của hệ điều hành UNIX.
Sendmail là một chương trình phức tạp, với mã nguồn bao gồm hàng ngàn dòng lệnh của ngôn ngữ C. Sendmail được chạy với quyền ưu tiên của người quản trị hệ thống, do chương trình phải có quyền ghi vào hộp thư của những người sử dụng máy. Và Sendmail trực tiếp nhận các yêu cầu về thư tín trên mạng bên ngoài. Đây chính là những yếu tố làm cho sendmail trở thành một nguồn cung cấp những lỗ hổng về bảo mật để truy nhập hệ thống.
Rlogin cho phép người sử dụng từ một máy trên mạng truy nhập từ xa vào một máy khác sử dụng tài nguyên của máy này. Trong quá trình nhận tên và mật khẩu của người sử dụng, rlogin không kiểm tra độ dài của dòng nhập, do đó kẻ tấn công có thể đưa vào một xâu đã được tính toán trước để ghi đè lên mã chương trình của rlogin, qua đó chiếm được quyền truy nhập.
Nghe trộm
Việc nghe trộm thông tin trê
1. An toàn thông tin trên mạng Error! Bookmark not defined.
1.1 Tại sao cần có Internet Firewall Error! Bookmark not defined.
1.2 Bạn muốn bảo vệ cái gì? Error! Bookmark not defined.
1.2.1 Dữ liệu của bạn Error! Bookmark not defined.
1.2.2 Tài nguyên của bạn Error! Bookmark not defined.
1.2.3 Danh tiếng của bạn Error! Bookmark not defined.
1.3 Bạn muốn bảo vệ chống lại cái gì? Error! Bookmark not defined.
1.3.1 Các kiểu tấn công Error! Bookmark not defined.
1.3.2 Phân loại kẻ tấn công Error! Bookmark not defined.
1.4 Vậy Internet Firewall là gì? Error! Bookmark not defined.
1.4.1 Định nghĩa Error! Bookmark not defined.
1.4.2 Chức năng Error! Bookmark not defined.
1.4.3 Cấu trúc Error! Bookmark not defined.
1.4.4 Các thành phần của Firewall và cơ chế hoạt động 15
1.4.5 Những hạn chế của firewall Error! Bookmark not defined.
1.4.6 Các ví dụ firewall Error! Bookmark not defined.
2. Các dịch vụ Internet 29
2.1 World Wide Web - WWW 30
2.2 Electronic Mail (Email hay thư điện tử). Error! Bookmark not defined.
2.3 Ftp (file transfer protocol hay dịch vụ chuyển file) Error! Bookmark not defined.
2.4 Telnet và rlogin Error! Bookmark not defined.
2.5 Archie 34
2.6 Finger 35
3. Hệ thống Firewall xây dựng bởi CSE Error! Bookmark not defined.
3.1 Tổng quan Error! Bookmark not defined.
3.2 Các thành phần của bộ chương trình proxy: Error! Bookmark not defined.
3.2.1 Smap: Dịch vụ SMTP Error! Bookmark not defined.
3.2.2 Netacl: công cụ điều khiển truy nhập mạng Error! Bookmark not defined.
3.2.3 Ftp-Gw: Proxy server cho Ftp 41
3.2.4 Telnet-Gw: Proxy server cho Telnet 41
3.2.5 Rlogin-Gw: Proxy server cho rlogin 42
3.2.6 Sql-Gw: Proxy Server cho Oracle Sql-net 42
3.2.7 Plug-Gw: TCP Plug-Board Connection server 42
3.3 Cài đặt Error! Bookmark not defined.
3.4 Thiết lập cấu hình: Error! Bookmark not defined.
3.4.1 Cấu hình mạng ban đầu Error! Bookmark not defined.
3.4.2 Cấu hình cho Bastion Host Error! Bookmark not defined.
3.4.3 Thiết lập tập hợp quy tắc Error! Bookmark not defined.
3.4.4 Xác thực và dịch vụ xác thực Error! Bookmark not defined.
3.4.5 Sử dụng màn hình điều khiển CSE Proxy: Error! Bookmark not defined.
3.4.6 Các vấn đề cần quan tâm với người sử dụng 68
An toàn thông tin trên mạng
Tại sao cần có Internet Firewall
Hiện nay, khái niệm mạng toàn cầu - Internet không còn mới mẻ. Nó đã trở nên phổ biến tới mức không cần phải chú giải gì thêm trong những tạp chí kỹ thuật, còn trên những tạp chí khác thì tràn ngập những bài viết dài, ngắn về Internet. Khi những tạp chí thông thường chú trọng vào Internet thì giờ đây, những tạp chí kỹ thuật lại tập trung vào khía cạnh khác: an toàn thông tin. Đó cùng là một quá trình tiến triển hợp logic: khi những vui thích ban đầu về một siêu xa lộ thông tin, bạn nhất định nhận thấy rằng không chỉ cho phép bạn truy nhập vào nhiều nơi trên thế giới, Internet còn cho phép nhiều người không mời mà tự ý ghé thăm máy tính của bạn.
Thực vậy, Internet có những kỹ thuật tuyệt vời cho phép mọi người truy nhập, khai thác, chia sẻ thông tin. Những nó cũng là nguy cơ chính dẫn đến thông tin của bạn bị hư hỏng hoặc phá huỷ hoàn toàn.
Theo số liệu của CERT(Computer Emegency Response Team - “Đội cấp cứu máy tính”), số lượng các vụ tấn công trên Internet được thông báo cho tổ chức này là ít hơn 200 vào năm 1989, khoảng 400 vào năm 1991, 1400 vào năm 1993, và 2241 vào năm 1994. Những vụ tấn công này nhằm vào tất cả các máy tính có mặt trên Internet, các máy tính của tất cả các công ty lớn như AT&T, IBM, các trường đại học, các cơ quan nhà nước, các tổ chức quân sự, nhà băng... Một số vụ tấn công có quy mô khổng lồ (có tới 100.000 máy tính bị tấn công). Hơn nữa, những con số này chỉ là phần nổi của tảng băng. Một phần rất lớn các vụ tấn công không được thông báo, vì nhiều lý do, trong đó có thể kể đến nỗi lo bị mất uy tín, hoặc đơn giản những người quản trị hệ thống không hề hay biết những cuộc tấn công nhằm vào hệ thống của họ.
Không chỉ số lượng các cuộc tấn công tăng lên nhanh chóng, mà các phương pháp tấn công cũng liên tục được hoàn thiện. Điều đó một phần do các nhân viên quản trị hệ thống được kết nối với Internet ngày càng đề cao cảnh giác. Cũng theo CERT, những cuộc tấn công thời kỳ 1988-1989 chủ yếu đoán tên người sử dụng-mật khẩu (UserID-password) hoặc sử dụng một số lỗi của các chương trình và hệ điều hành (security hole) làm vô hiệu hệ thống bảo vệ, tuy nhiên các cuộc tấn công vào thời gian gần đây bao gồm cả các thao tác như giả mạo địa chỉ IP, theo dõi thông tin truyền qua mạng, chiếm các phiên làm việc từ xa (telnet hoặc rlogin).
Bạn muốn bảo vệ cái gì?
Nhiệm vụ cơ bản của Firewall là bảo vệ. Nếu bạn muốn xây dựng firewall, việc đầu tiên bạn cần xem xét chính là bạn cần bảo vệ cái gì.
Dữ liệu của bạn
Những thông tin lưu trữ trên hệ thống máy tính cần được bảo vệ do các yêu cầu sau:
Bảo mật: Những thông tin có giá trị về kinh tế, quân sự, chính sách vv... cần được giữ kín.
Tính toàn vẹn: Thông tin không bị mất mát hoặc sửa đổi, đánh tráo.
Tính kịp thời: Yêu cầu truy nhập thông tin vào đúng thời điểm cần thiết.
Trong các yêu cầu này, thông thường yêu cầu về bảo mật được coi là yêu cầu số 1 đối với thông tin lưu trữ trên mạng. Tuy nhiên, ngay cả khi những thông tin này không được giữ bí mật, thì những yêu cầu về tính toàn vẹn cũng rất quan trọng. Không một cá nhân, một tổ chức nào lãng phí tài nguyên vật chất và thời gian để lưu trữ những thông tin mà không biết về tính đúng đắn của những thông tin đó.
Tài nguyên của bạn
Trên thực tế, trong các cuộc tấn công trên Internet, kẻ tấn công, sau khi đã làm chủ được hệ thống bên trong, có thể sử dụng các máy này để phục vụ cho mục đích của mình như chạy các chương trình dò mật khẩu người sử dụng, sử dụng các liên kết mạng sẵn có để tiếp tục tấn công các hệ thống khác vv...
Danh tiếng của bạn
Như trên đã nêu, một phần lớn các cuộc tấn công không được thông báo rộng rãi, và một trong những nguyên nhân là nỗi lo bị mất uy tín của cơ quan, đặc biệt là các công ty lớn và các cơ quan quan trọng trong bộ máy nhà nước. Trong trường hợp người quản trị hệ thống chỉ được biết đến sau khi chính hệ thống của mình được dùng làm bàn đạp để tấn công các hệ thống khác, thì tổn thất về uy tín là rất lớn và có thể để lại hậu quả lâu dài.
Bạn muốn bảo vệ chống lại cái gì?
Còn những gì bạn cần phải lo lắng. Bạn sẽ phải đương đầu với những kiểu tấn công nào trên Internet và những kẻ nào sẽ thực hiện chúng?
Các kiểu tấn công
Có rất nhiều kiểu tấn công vào hệ thống, và có nhiều cách để phân loại những kiểu tấn công này. ở đây, chúng ta chia thành 3 kiểu chính như sau:
Tấn công trực tiếp
Những cuộc tấn công trực tiếp thông thường được sử dụng trong giai đoạn đầu để chiếm được quyền truy nhập bên trong. Một phương pháp tấn công cổ điển là dò cặp tên người sử dụng-mật khẩu. Đây là phương pháp đơn giản, dễ thực hiện và không đòi hỏi một điều kiện đặc biệt nào để bắt đầu. Kẻ tấn công có thể sử dụng những thông tin như tên người dùng, ngày sinh, địa chỉ, số nhà vv.. để đoán mật khẩu. Trong trường hợp có được danh sách người sử dụng và những thông tin về môi trường làm việc, có một trương trình tự động hoá về việc dò tìm mật khẩu này. một trương trình có thể dễ dàng lấy được từ Internet để giải các mật khẩu đã mã hoá của các hệ thống unix có tên là crack, có khả năng thử các tổ hợp các từ trong một từ điển lớn, theo những quy tắc do người dùng tự định nghĩa. Trong một số trường hợp, khả năng thành công của phương pháp này có thể lên tới 30%.
Phương pháp sử dụng các lỗi của chương trình ứng dụng và bản thân hệ điều hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được tiếp tục để chiếm quyền truy nhập. Trong một số trường hợp phương pháp này cho phép kẻ tấn công có được quyền của người quản trị hệ thống (root hay administrator).
Hai ví dụ thường xuyên được đưa ra để minh hoạ cho phương pháp này là ví dụ với chương trình sendmail và chương trình rlogin của hệ điều hành UNIX.
Sendmail là một chương trình phức tạp, với mã nguồn bao gồm hàng ngàn dòng lệnh của ngôn ngữ C. Sendmail được chạy với quyền ưu tiên của người quản trị hệ thống, do chương trình phải có quyền ghi vào hộp thư của những người sử dụng máy. Và Sendmail trực tiếp nhận các yêu cầu về thư tín trên mạng bên ngoài. Đây chính là những yếu tố làm cho sendmail trở thành một nguồn cung cấp những lỗ hổng về bảo mật để truy nhập hệ thống.
Rlogin cho phép người sử dụng từ một máy trên mạng truy nhập từ xa vào một máy khác sử dụng tài nguyên của máy này. Trong quá trình nhận tên và mật khẩu của người sử dụng, rlogin không kiểm tra độ dài của dòng nhập, do đó kẻ tấn công có thể đưa vào một xâu đã được tính toán trước để ghi đè lên mã chương trình của rlogin, qua đó chiếm được quyền truy nhập.
Nghe trộm
Việc nghe trộm thông tin trê
* Một số tài liệu cũ có thể bị lỗi font khi hiển thị do dùng bộ mã không phải Unikey ...
Người chia sẻ: Phan Thanh Quyền
Dung lượng: 54,77KB|
Lượt tài: 0
Loại file: rar
Nguồn : Chưa rõ
(Tài liệu chưa được thẩm định)