Tải bản đầy đủ
3 Cơ bản an toàn mạng

3 Cơ bản an toàn mạng

Tải bản đầy đủ

Các lỗ hổng loại này cho phép thực hiện các phương thức tấn công theo
DoS (Denial of Services - Từ chối dịch vụ). Mức độ nguy hiểm thấp, chỉ ảnh
hưởng tới chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống; không
làm phá hỏng dữ liệu hoặc đạt được quyền truy nhập bất hợp pháp.
b) Các lỗ hổng loại B
Các lỗ hổng cho phép người sử dụng có thêm các quyền trên hệ thống mà
không cần thực hiện kiểm tra tính hợp lệ. Đối với dạng lỗ hổng này, mức độ nguy
hiểm ở mức độ trung bình. Những lỗ hổng này thường có trong các ứng dụng
trên hệ thống; có thể dẫn đến mất hoặc lộ thông tin yêu cầu bảo mật.
c) Các lỗ hổng loại A
Các lỗ hổng này cho phép người sử dụng ở ngoài có thể truy nhập vào hệ
thống bất hợp pháp. Lỗ hổng này rất nguy hiểm, có thể làm phá hủy toàn bộ hệ
thống. Các lỗ hổng loại A có mức độ rất nguy hiểm, đe dọa tính toàn vẹn và bảo
mật của hệ thống. Các lỗ hổng loại này thường xuất hiện ở những hệ thống quản
trị yếu kém hoặc không kiểm soát được cấu hình mạng.
1.3.2 Các phương pháp tấn công trên mạng
a) Virus
Virus tin học là một phần mềm máy tính mang tính lây lan (ký sinh) và có
thể phá hoại dữ liệu. Tính lây lan của Virus là khả năng tự sao chép của Virus từ
đối tượng bị nhiễm sang đối tượng khác và làm cho nó nhân bản nhanh chóng.
Đối tượng bị nhiễm là các tệp ( như chương trình, dữ liệu, thư điện tử, văn bản,
macro…) và môi trường lan truyền bao gồm mạng, đường truyền và các loại bộ
nhớ (RAM, đĩa cứng, đĩa mềm, băng từ, đĩa CD, đĩa ZIP, đĩa ĐV, đĩa Flash…).
Virus có nhiều cách lây lan và tất nhiên cũng có nhiều cách phá hoại khác nhau.
Virus máy tính có nhiều chủng họ, chẳng hạn như Boot, File, Macro, Trojan,
Worm, Polymorphic, Hoaxes.
Tấn công mạng sử dụng Virus là một phương pháp tấn công khá phổ biến
hiện nay. Mọi loại hệ điều hành đều thường xuyên bị tấn công bởi virus và tác
hại gây ra bởi virus là rất lớn và thật khó lường.
b) Treo cứng hệ thống

17

Kỹ thuật này làm treo cứng hệ thống của nạn nhân bằng cách tấn công qua
những giao thức tiêu chuẩn, chẳng hạn "dội bom thư" (mail bombing) qua giao
thức SMTP, hoặc tấn công "ngập lụt" (flooding) qua giao thức TCP. Trong đó,
tấn công "ngập lụt" là kiểu tấn công phổ biến.
c) Từ chối dịch vụ
Kỹ thuật "từ chối phục vụ" (Denial of Service-DoS) làm cho hệ thống máy
chủ bị nhận quá nhiều yêu cầu giả và không thể đáp ứng được nữa. Kỹ thuật này
còn được cải tiến thành "từ chối phục vụ phân tán" ( Distributed DoS- DDoS) khi
các cuộc tấn công đồng loạt xuất phát từ nhiều nơi trên mạng và được hứa hẹn
trước vào cùng một thời điểm nên rất khó chống đỡ.
d) Lợi dụng chương trình
Kỹ thuật "lợi dụng" (exploit) khai thác các điểm yếu hoặc các lỗi có sẵn
trong trong một số phần mềm quen biết trên máy của nạn nhân hoặc máy chủ.
Phần lớn các phiên bản hệ điều hành đều có nhiều kẻ hở và thường bị lợi dụng.
e) Giả mạo địa chỉ IP
Kỹ thuật "giả dạng" ( masquerade) hay còn gọi là "giả mạo IP" (IP
spoofing) cho phép hacker gửi vào một máy tính những gói dữ liệu có vẻ đi đến
từ một địa chỉ IP khác với địa chỉ của hacker nhằm che đậy dấu vết. Kỹ thuật này
kết hợp với các kiểu tấn công chủ động khác như lặp lại hoặc thay đổi các thông
điệp.
1.3.3 Các phương pháp bảo mật
Xác thực (Authentication): là quá trình xử lý và giám sát người sử dụng
trong quá trình logon hay truy cập bất kỳ vào tài nguyên mạng. Ta có thể xác
thực bằng các phương pháp như sử dụng mật mã (password), khóa (key), dấu vân
tay (fingerprints),…
Điều khiển truy cập (Access Control): giới hạn quyền truy cập của người
dùng vào tài nguyên hệ thống và cho phép những ai có quyền truy cập vào.
Mã hóa dữ liệu (Data Encryption): nhằm mục đích không cho người khác
đánh cắp dữ liệu. Khi dữ liệu gửi đi thì có kèm theo một khóa (key), nếu ai có
khóa trùng với khóa đó mới đọc được nội dung của dữ liệu gửi tới.

18

Chính sách (Auditing): nhằm mục đích quản lý người sử dụng trong hệ
thống như giám sát quá trình đăng nhập vào hệ thống, chỉnh sửa dữ liệu và một
số vấn đề khác.

1.4 Tường lửa
1.4.1 Khái niệm cơ bản
Thuật ngữ Tường lửa(Firewall) có nguồn gốc từ một kỹ thuật thiết kế trong
xây dựng để ngăn chặn, hạn chế hỏa hoạn. Trong công nghệ mạng thông tin,
Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập
trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không
mong muốn vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế để bảo vệ
mạng tin tưởng khỏi các mạng không tin tưởng.
Nói cách khác, Firewall là hệ thống ngăn chặn việc truy nhập trái phép từ
bên ngoài vào mạng cũng như những kết nối không hợp lệ từ bên trong ra.
Firewall thực hiện việc lọc bỏ những địa chỉ không hợp lệ dựa theo các quy tắc
hay chỉ tiêu định trước.

Hình 1.24: Tưởng lửa
1.4.2 Các kiểu firewall
Firewall dựa trên Application level gateway

19

Hình 1.25: Application level gateway
Cổng vòng (Circuit level gateway)

Hình 1.26: Circuit level gateway
Proxy Server Firewall

Hình 1.27: Proxy Server Firewall

20

CHƯƠNG 2
TỔNG QUAN VỀ ĐỊA CHỈ IPV6
2.1 Những hạn chế của địa chỉ IPv4 và sự ra đời của địa chỉ IPv6
2.1.1 Những hạn chế của địa chỉ IPv4
Sự cạn kiệt địa chỉ IPv4: theo số liệu của những tổ chức quản lý địa chỉ
quốc tế thì không gian địa chỉ IPv4 đã được sử dụng trên 60%. Những công
nghệ góp phần giảm nhu cầu địa chỉ IP như NAT, DHCP cấp địa chỉ tạm thời
được sử dụng rộng rãi. Tuy nhiên, hiện nay nhu cầu địa chỉ tăng rất lớn do
những nguyên nhân như Internet phát triển tại những khu vực dân đông như
Trung Quốc, Ấn Độ; những dạng dịch vụ mới đòi hỏi không gian địa chỉ IP cố
định…
Cấu trúc định tuyến không hiệu quả: địa chỉ IPv4 có cấu trúc định tuyến
vừa phân cấp, vừa không phân cấp. Mỗi bộ định tuyến (router) phải duy trì
bảng thông tin định tuyến lớn, đòi hỏi router phải có dung lượng bộ nhớ lớn.
IPv4 cũng yêu cầu router phải can thiệp xử lý nhiều đối với gói tin IPv4.
Ví dụ: thực hiện phân mảnh, điều này tiêu tốn CPU của router và ảnh
hưởng đến hiệu quả xử lý (gây trễ, hỏng gói tin ).
Những hạn chế về tính bảo mật và kết nối đầu cuối – đầu cuối: không
cung cấp phương tiện mã hóa dữ liệu, chủ yếu sử dụng bảo mật ở mức ứng
dụng. Nếu áp dụng IPSec (Internet Protocol Security) là một phương thức bảo
mật phổ biến tại tầng IP, mô hình bảo mật chủ yếu là bảo mật lưu lượng giữa
các mạng, việc bảo mật lưu lượng đầu cuối – đầu cuối được sử dụng rất hạn
chế. Mặc khác, để giảm nhu cầu sử dụng địa chỉ, hoạt động mạng IPv4 sử dụng
phổ biến công nghệ biên dịch NAT. Trong đó, máy chủ biên dịch địa chỉ can
thiệp vào gói tin truyền tải và thay thế trường địa chỉ để các máy tính gắn địa
chỉ riêng (private) có thể kết nối vào mạng Internet. Nhưng công nghệ biên
dịch NAT lại luôn tồn tại những nhược điểm như:
-

Khó thực hiện được kết nối điểm – điểm và gây trễ: làm khó khăn và ảnh
hưởng tới nhiều dạng dịch vụ (mạng riêng ảo - VPN, dịch vụ thời gian
thực). Đối với nhiều dạng dịch vụ cần xác thực cổng (port) nguồn
21