Xây dựng mô hình bảo vệ mạng bằng bức từong lửa iptable của linux
Mối đe dọa trên các tài nguyên này là ai đó xâm nhập vào mạng của
chúng ta và sử dụng chúng như tài nguyên của chính họ.
Trong thực tế, trong các cuộc tấn công trên Internet, kẻ tấn công sau khi
đã làm chủ hệ thống bên trong, có thể sử dụng những máy này để phục vụ cho
lợi ích của mình như chạy các chương trình dò tìm mật khẩu người sử dụng, sử
dụng các liên kết mạng sẵn có để tiếp tục tấn công các hệ thống khác…
1.2.3Bảo vệ uy tín, danh tiếng của công ty
Một phần lớn các cuộc tấn công không được thông báo rộng rãi, và là một
trong những nguyên nhân là nỗi lo bị mất uy tín của cơ quan, đặc biệt là các
công ty lớn và các cơ quan trong nội bộ nhà nước.
Sự đe dọa này thể hiện ở chỗ một người nào đó xuất hiện trên Internet với
định danh là mạng của chúng ta, thực hiện những gì mà qui ước quốc tế về lưu
thông trên Internet cấm, hay gửi đi những thông tin không hợp pháp. Hậu quả là
ảnh hưởng tới uy tín của chúng ta, thậm chí cả tiền bạc.
1.3. Một số mối đe dọa an ninh mạng
Các mối đe dọa về bảo mật mạng có thể là con người và thiên nhiên (lũ
lụt, động đất, hỏa hoạn, … ) nhưng phạm vi đề tài chỉ tập trung và khía cạnh
con người.
Con người
Cố tình vô tình
Bên trong Bên ngoài thiếu hiểu biết
Có thể phân loại những tấn công theo tính chất hoạt động như sau:
1.3.1.Tấn công truy nhập mạng
` 1.3.1.1 Tấn công theo mật khẩu: mật khẩu là tập hợp là tất cả các chữ cái, chữ
số.
Có hai cách tấn công theo mật khẩu
Tấn công thô: là dùng tất cả các tổ hợp, các kí tự để làm mật khẩu
vào mạng và thử truy nhập. Tấn công này thường dùng cho mạng LAN.
Tấn công dùng từ điển: dự đoán một số từ khóa thông thường người
ta hay dùng làm password. Tấn công này thường dùng cho từ xa truy nhập vào
mạng.
1.3.1.2. Tấn công theo phân tích mật khẩu:
Hầu hết trong các hệ điều hành đều lưu username và password. Nhưng mỗi
hệ điều hành có các cách lưu khác nhau. Ví dụ, trong Window có file
System_32/ config/ SAM/ Security Acount, trong Linux, Unix có 2 file
Đại học dân lập Thăng Long-Nguyễn Tuấn Anh
Xây dựng mô hình bảo vệ mạng bằng bức từong lửa iptable của linux
etc/passwd và etc/shadow. Trong các hệ điều hành thì hầu như password đều
được mã hóa theo thuật toán DES và MD5 chứ nó không lưu bản rõ.
Đối với Win 95,98 thì dùng thuật toán DES.
Đối với Win NT và Win 2000 thì dùng thuật toán hàm băm MD4 sau
đó sử dụng MD5.
Đối với Win 2000 sau này dùng Kerboros.
Các thuật toán công khai như vậy thì người ta đều biết. Thông thường
biết mã và thuật toàn thì người ta giải mã được nhưng có một số thuật toán mà
người ta giải mã rất khó như thuật toán DES thì người ta phải phá vài chục năm
mới phá được (phương pháp này giống kiểu tấn công thô). Do đó, tin tặc sử
dụng các kỹ thuật sau để tấn công:
Sử dụng wordlist:
Danh sách của những từ sử dụng như danh mục địa phương, danh mục họ
tên của nước nào đó. Đầu tiên dùng thuật toán mã hóa wordlist sau đó so sánh
worslist đã mã với mật khẩu. Có thể nói dùng phương pháp này cũng gần đi tới
kết quả.
Sử dụng chương trình giám điệp :
Tin tặc dùng chương trình này để copy các tệp mật khẩu. Khi copy được
các tệp mật khẩu thì nó cũng có thể thay đổi mật khẩu được. Người dùng nên
dùng password phức tạp để tin tặc tấn công khó hơn.
1.3.2. Tấn công theo kiểu khai thác mạng:
Đầu năm 90 tin tặc đã sử dụng kỹ thuật tiếm quyền để khai thác mạng
1.3.2.1 Kỹ thuật làm tràn bộ đệm:
Kiểu bộ đệm có thể làm tràn bộ đệm trên ngôn ngữ lập trình, ví dụ trên
ngôn ngữ lập trình C:
int f (int j )
{
int i;
char buf [128];
gets (buf);
}
chương trình chính gọi chương trình con thông qua stack và sử dụng
push, pop.
Stack 100h
Địa chỉ byte
1000 4 j
996 4 return address
992 4 i
988 128 buf
Đại học dân lập Thăng Long-Nguyễn Tuấn Anh
Xây dựng mô hình bảo vệ mạng bằng bức từong lửa iptable của linux
….
(1)
Return address
CT
CT Shell
NOP
NOP
NOP
(1) khoảng cách đó là tin tặc không biết trước nên tin tặc phải thử
nhiều lần để biết return address cách bộ đệm bao nhiêu. Khi biết khoảng các đó
rồi thì phải viết địa chỉ vào để chương trình của tin tặc nhảy vào tiếp, nó không
cần biết địa chỉ chính xác mà nó nhảy vào bất kỳ một NOP nào đó ( NOP không
làm gì cả sau đó đến chương trình của tin tặc). Do các ngôn ngữ lập trình trỏ tới
bộ đệm mà không giới hạn bộ đệm đó là bao nhiêu nên tin tặc dùng lỗ hổng để
tấn công.
Tóm lại lỗ hổng kỹ thuật làm trần bộ đệm là kỹ thuật dễ dàng nhất để tin
tặc tấn công vào mạng chiếm quyền điếu khiển.
1.3.2.2 Lỗi của Unicode:
Do đường dẫn URL bằng mã Unicode khi truy nhập mail hay web thì
cũng phải qua Unicode để dẫn tới tài nguyên. Nếu là mã của ASCII thì đường
dẫn chỉ cho phép truy nhập vào nguồn tài nguyên đúng thư mục của server cung
cấp cái thông tin đó.
Đại học dân lập Thăng Long-Nguyễn Tuấn Anh
Xây dựng mô hình bảo vệ mạng bằng bức từong lửa iptable của linux
1.3.3.Tạo cửa hậu, xóa nhật ký:
Để tiếp tục tấn công vào lần sau (tấn công sau khi đã vào mạng).
Nó xóa các cổng truyền thông tạo ra các cổng truyền thông mới (nếu
cổng truyền thông server không cho phép thì tạo ra để cho phép).
Tạo ra người sử dụng mới, người sử dụng có quyền quản trị.
Cài các chương trình cho phép tin tặc từ xa có thể điều khiển được,
thường điều khiển để lấy thông tin hoặc phá hoại.
Ngụy trang để xóa hết tên tệp, thay đổi tên thư mục, thay đổi những
lệnh mà người quản trị sử dụng để phát hiện truy nhập.
Xóa tệp nhật ký để cho người quản trị không thấy được dấu vết đã truy
nhập hoặc có thể thay đổi tệp đăng ký, thay đổi thời gian ghi nhật ký. Ví dụ như
khi truy nhập tuần này thì nó thay đổi thời gian là tuần trước (nhật ký tuần trước
thì không thông báo) làm cho người quản trị không quản lí được.
Khắc phục:
Một số tệp quan trọng của hệ thống thì phải được bảo vệ tính toàn
vẹn của nó thông quan việc tạo ra các tóm lược và sau một thời gian nhất định
thì phải kiểm tra tệp đó có toàn vẹn không.
Đối với một số nhật ký quan trọng thì được sao chép lưu giữ, bảo
vệ để tin tặc không thay đổi được.
Luôn kiểm tra các cổng truyền thông để phát hiện tin tặc có truyền
thông tin ra từ máy không.
1.3.4 Tấn công từ chối dịch vụ
• SYN Fload:
SYN3
SYN2
SYN1
SYN4
SYN1/ACK
ACK
RST/ACK
SYN
Đại học dân lập Thăng Long-Nguyễn Tuấn Anh
CT tin
tặc
server
SYN5
Xây dựng mô hình bảo vệ mạng bằng bức từong lửa iptable của linux
SYN là yêu cầu của tin tặc gửi tới server
Đầu tiên tin tặc gửi yêu cầu tới server, khi server nhận được yêu cầu của
tin tặc thì server trả lời cho tin tặc nhưng tin tặc lại không xác nhận trả lời của
server (ACK) làm cho server chờ trả lời. Khi server chờ hết thời gian Tout thì
server buộc phải gửi yêu cầu hủy kết nối (RST/ACK). Khi tin tặc nhận được hủy
kết nối thì tin tặc tiếp tục gửi tín hiệu SYN để yêu cầu kết nối và cứ như vậy
server chỉ phục vụ cho tin tặc không phục được cái khác.
Khắc phục:
Có một số firewall chặn một số cổng SYN như Checkpoint.
Làm tăng hàng đợi server có thể phục vụ.
Xác định Tout một cách mềm dẻo cũng có thể tránh được tắc nghẽn do
tin tặc gây ra.
Xác định thêm một bộ đệm để biết được chu trình thiết lập liên kết một
nửa và từ đó có quy trình để đối phó.
Kết hợp các công cụ của hệ điều hành.
*Tấn công UDP flood:
Tin tặc gửi rất nhiều UDP làm cho server không kịp sử lý.
Khắc phục:
Sử dụng firewall, chỉ cho phép các dịch vụ UDP cần thiết buộc phải có như
DNS, DHCP, SNMP. Những gói UDP của các dịch vụ này thì bắt buộc phải cho
vào mạng còn các gói UDP của các dịch vụ khác thì không cần thiết.
* Tấn công SMURF
Tấn công kiểu ICMP, thường sử dụng chế độ Broadcast (quảng bá) như
thông tin Echo gửi thông tin quảng bá cho tất cả các máy và tất cả các máy gửi
lại thông tin cho echo response. Chính vì vậy, làm cho máy rất chậm có thể gây
tê liệt hệ thống.
Khắc phục:
Cấu hình bức tường lửa để từ chối Broadcast từ các máy khác gửi đến.
.Tấn công Teardrop: Tin tặc chia gói tin thành nhiều mảnh và đánh địa
chỉ offset , số không theo trình tự làm cho router server bận rộn tức là làm
cho server tê liệt vì không kịp sử lí gói tin đến.
. Tấn công Mail Bomb:
Đại học dân lập Thăng Long-Nguyễn Tuấn Anh
Xây dựng mô hình bảo vệ mạng bằng bức từong lửa iptable của linux
bomb thư cũng làm cho server tê liệt
1.3.5 Giả mạo địa chỉ IP:
Việc giả mạo địa chỉ IP có thể được thực hiện thông qua việc sử dụng khả năng
dẫn đường trực tiếp. Với cách tấn công này, tin tặc gửi các gói IP tới mạng bên
trong với địa chỉ IP giả mạo (thông thường là địa chỉ của một mạng hoặc một
máy được coi là an toàn đối với mạng bên trong), đồng thời phải chỉ rõ đường
dẫn mà các gói tin IP phải gửi đi.
1.3.6 Đùa nghịch, quấy rối:
Là do con người có tính tò mò, xâm nhập vào hệ thống tìm những thông tin mà
họ thích thú. Họ thường làm hỏng hệ thống do thiếu kiến thức hoặc cố gắng che
dấu vết của họ.
1.3.7 Phá hoại:
Là những người cố ý phá hoại hệ thống thông tin mà họ muốn. Những người này
thường là họ bất bình trong môi trường làm việc của họ, hoặc do tính chất cạnh
tranh nào đó. Chúng có thể xóa dữ liệu hoặc làm hỏng thiết bị hệ thống mà
chúng xâm nhập.
1.3.8 Gián điệp:
Là những người xâm nhập vào hệ thống và chỉ lấy những thông tin nào có giá
trị lớn như các hệ thống tín dụng, ngân hàng…Khó phát hiện tức thời được,
thường chúng lấy thông tin mà không để lại dấu vết.
1.3.9 Vô ý hay thiếu hiểu biết của con người:
Các tai họa hoàn toàn không phải do kẻ xấu làm nên, mà đa số là do những
người chưa được đào tạo tốt về kiến thức máy tính nên không nhận thức được
các mối nguy hiểm cho hệ thống và do những người quản trị hệ thống thiếu kinh
nghiệm, hoặc lỗi của một chương chình ứng dụng…
1.3.10 Tấn công vào yếu tố con người:
Tin tặc liên lạc với người quản trị hệ thống, giả làm một người sử dụng để yêu
cầu làm thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệ thống
hoặc có thậm chí có thể làm thay đổi một số cấu hình của hệ thống để thực hiện
các phương pháp tấn công khác. Với kiểu tấn công này, không một thiết bị nào
có thể ngăn chặn một cách hữu hiệu mà chỉ có một cách là giáo dục người sử
dụng mạng nội bộ về những yêu cầu về bảo mật để đề cao cảnh giác với những
hiện tượng đáng nghi ngờ. Nói chung, con người là một điểm yếu trong bất kỳ
hệ thống bảo vệ nào, chỉ có sự giáo dục và tinh thần hợp tác từ phía người sử
dụng có thể nâng cao được hệ thống bảo vệ.
Đại học dân lập Thăng Long-Nguyễn Tuấn Anh
Xây dựng mô hình bảo vệ mạng bằng bức từong lửa iptable của linux
Đại học dân lập Thăng Long-Nguyễn Tuấn Anh
Xây dựng mô hình bảo vệ mạng bằng bức từong lửa iptable của linux
CHƯƠNG II:TỔNG QUAN FIREWALL
2.1. Một số khái niệm :
-Nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn hạn chế
các hỏa hoạn, trong công nghệ thông tin, Firewall là một cơ chế đảm bảo an toàn
cho mạng máy tính, nó bao gồm một hoặc nhiều những thành phần tạo lên bức
tường lửa với mục đích để ngăn cản điều khiển các truy xuất giữa mạng bên
ngoài với mạng nội bộ. Bức tường lửa có thể là một server proxy, filter, hoặc
phần cứng, phần mềm…để hiểu chi tiết hơn về bức tường lửa ta sẽ xem xét về
các chức năng của bức tường lửa.
- Về mặt vật lý, thường có sự khác nhau từ nơi này qua nơi khác.Thông
thường Firewall là tập phần cứng sau : một router,một Host hay một tổ hợp nào
đó của routers,máy tính và mạng có các phần mềm thích hợp
- Về mặt logic, Firewall là bộ tách(Separator) vì nó phân định một bên là
mạng ngoài không an toàn và bên kia là mạng nội bộ cần được bảo vệ, là bộ
tách(Restricter) vì nó ngăn chặn sự tấn công từ bên ngoài, là bộ phân
tích(Analyzer) vì nó xem xét các gói thông tin vào ra để quyết định cho vào ra
hay không.
- Về mặt tư tưởng nhằm giải quyết 2 công việc : Cửa khẩu(Gates) và chốt
chặn(chokes). Cửa khẩu nhằm đảm bảo dữ liệu, dịch vụ thông suốt giữa các
mạng. Chốt chặn nhằm kiểm soát và ngăn chặn nguồn thông tin xác định nào đó
vào ra mạng nội bộ.
2.2.Chức năng:
-Bức tường lửa cho phép hoặc cấm các dịch vụ từ bên trong ra bên ngoài
và từ bên ngoài vào bên trong.
-Nó kiểm soát các máy thông qua các địa chỉ các ứng dụng, thông qua các
cổng.
-Nó kiểm soát người sử dụng truy cập giữa các mạng .
-Kiểm soát theo nội dung truyền thông giữa mạng bên trong và mạng bên
ngoài.
-Ngăn cản, chặn những tấn công từ bên ngoài vào bên trong nội bộ.
Một vài từ ngữ sử dụng trong firewall có ý nghĩa sau
- Mạng nội bộ (Internal network): bao gồm các máy tính, các thiết bị
mạng. Mạng máy tính thuộc các đơn vị quản lý (Trường học, Công ty, Tổ chức
đoàn thể, Quốc gia,…) cùng nằm một bên với firewall.
- Host bên trong (Internal Host): máy thuộc mạng nội bộ
Đại học dân lập Thăng Long-Nguyễn Tuấn Anh
Xây dựng mô hình bảo vệ mạng bằng bức từong lửa iptable của linux
- Host bên ngoài (External Host): máy bất kỳ kết nối vào liên mạng và
không thuộc mạng nội bộ nói trên.
- “Nội bộ ”hay “bên trong” chỉ rõ thuộc đơn vị cùng một bên đối với
firewall của đơn vị đó.
- Về vị trí: Firewall là nơi kiểm soát chặt chẽ và hạn chế về luồng thông
tin vào ra của một mạng nội bộ khi giao tiếp với các thành phần bên ngoài nó.
- Về mục tiêu: nó ngăn cản đe dọa từ bên ngoài với những yêu cầu cần
được bảo vệ, trong khi vẫn đảm bảo các dịch vụ thông suốt qua nó.
Sơ đồ tổng quát của firewall
Figure2-1: sơ đồ tổng quát của firewall
2.2.1. Khả năng của hệ thống firewall
+ Một Firewall là một trung tâm quyết định những vấn đề an toàn: Firewall
đóng vai trò là một chốt chặn, mọi dòng thông tin đi vào hay đi ra một mạng nội
bộ đều phải qua nó theo các chính sách an toàn đã được cài đặt. Tập trung kiểm
soát chặt chẽ các dòng thông tin đó có lợi hơn là phân tán trên diện rộng.
+ Một firewall làm cho chính sách an toàn trở nên hiệu quả thực sự: Nhiều
dịch vụ mà người sử dụng dịch vụ mong muốn vốn có những chỗ không an
toàn. Firewall chỉ cho đi qua sau khi đã kiểm nhận và được phép. Mặt
khác, firewall còn cho phép kiểm soát nghiêm ngặt mọi người sử dụng về
quyền xâm nhập Internet. Firewall có thể cấu hình đa dạng, nhiều mức
khác nhau. Do đó, Firewall có thể bảo đảm thích hợp cho một chính sách
an toàn đã chọn.
+ Firewall có thể ghi nhận lại các giao tiếp với Internet rất hiệu quả: Như
đã nói ở trên, mọi luồng thông tin vào hay ra mạng nội bộ đều phải qua
Firewall. Do đó, nó cung cấp một vị trí tốt nhất để tập hợp những thông tin
về hệ thống và mạng đã dùng. Ghi nhận điều gì xẩy ra trong giao tiếp giữa
mạng nội bộ và bên ngoài. Những thông tin đó rất quý giá cho những nguời
có trách nhiệm quản lý.
Đại học dân lập Thăng Long-Nguyễn Tuấn Anh
Xây dựng mô hình bảo vệ mạng bằng bức từong lửa iptable của linux
+ Firewall có thể hạn chế được sự đổ vỡ của hệ thống bên trong: Firewall
có thể tách một phần mạng nội bộ với các phần khác trong mạng nội bộ.
Làm điều này nhằm mục đích có những phần được ủy quyền nhiều hơn.
Do đó, hạn chế được những nguy hiểm xẩy ra hơn.
2.2.2. Những hạn chế của firewall
Tuy có những khả năng trên, xong mô hình Firewall có những hạn chế
nhất định sau:
+ Firewall không thể bảo vệ trước những kẻ phá hoại từ bên trong, đánh
cắp dữ liệu làm hư hỏng phần cứng và phần mềm hay thay đổi chương trình mà
không cần đến Firewall.
+ Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này
không đi qua nó. Một cách cụ thể, Firewall không thể chống lại một cuộc
tấn công từ một đường dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao
chép bất hợp pháp lên đĩa mềm.
+ Firewall không thể bảo vệ chống lại những mối đe dọa mới phát sinh vì
nó không thể tự động bảo vệ trước những mối đe dọa mới phát sinh. Do đó, khi
có những vấn đề mới cần cấu hình lại cho Firewall.
+ Firewall không thể bảo vệ chống lại virus. Firewall hầu hết chỉ xem xét
địa chỉ nơi gửi, nơi đến, số cổng của gói thông tin chứ không xem chi tiết phần
dữ liệu ngay cả các phần mềm lọc gói thông tin. Firewall không thể làm nhiệm
vụ quét virus trên dữ liệu được chuyển qua nó do sự xuất hiện của các virus mới
và do có rất nhiều cách để mã hóa dữ liệu thoát khỏi sự kiểm soát của Firewall.
Do đó, chống virus bằng Firewall là vấn đề không khả thi, vì có quá nhiều loại
virus và có quá nhiều cách virus ẩn trong dữ liệu.
Tuy nhiên Firewall vẫn là giải pháp hữu hiệu nhất được áp dụng rộng rãi.
2.3. Phân loại bức tường lửa (Firewall)
Firewall bao gồm các loại sau :
• Bức tường lửa lọc gói tin (packet-filtering router).
• Bức tường lửa ứng dụng (proxy).
• Bức tường lửa nhiều tầng
2.3.1. Firewall lọc gói
Đại học dân lập Thăng Long-Nguyễn Tuấn Anh
Không có nhận xét nào:
Đăng nhận xét