Tải bản đầy đủ - 0 (trang)
Hình 2.4 - Circuit level gateway

Hình 2.4 - Circuit level gateway

Tải bản đầy đủ - 0trang

+ Thực hiện bảo vệ mạng ở tầng mạng và tầng ứng dụng

+ Cấu hình và hoạt động Packet Filtering :

+ Đối với luồng thông tin từ Internet, chỉ các gói tin IP với địa chỉ đích là bastion host mới

được phép đi vào trong

+ Đối với luồng thông tin từ bên trong, chỉ các gói tin IP xuất phát từ bastion host mới được

phép đi ra ngoài

+ Packet Filtering cho phép bastion host mở kết nối (hợp lệ) ra bên ngồi.

+ Packet Filtering có thể cho phép các internal hosts mở kết nối đến các host trên internet

đối với 1 số dịch vụ được phép hoặc cấm tất cả kết nối từ các internal hosts.



Hình 2.5. Kiến trúc Bastion Host

2.4.2. Screened Subnet

Nhằm tăng cường khả năng bảo vệ mạng nội bộ, thực hiện chiến lược phòng thủ theo chiều

sâu, tăng cường sự an toàn cho Bastion host, tách bastion host khỏi các host khác người ta

đưa ra kiến trúc firewall có tên là Screened Subnet Host.

Kiến trúc Screened subnet host bắt nguồn từ kiến trúc screened host bằng cách thêm vào

phần an toàn: mạng ngoại vi (perimeter network) nhằm cơ lập mạng nội bộ ra khỏi mạng

bên ngồi, tách bastion host ra khỏi các host thông thường khác. Kiểu screened subnet host

đơn giản bao gồm hai screened router:

– Router ngoài (Exterior router): Nằm giữa mạng ngoại vi và mạng ngồi có chức năng bảo

vệ cho mạng ngoại vi (Bastion host, interior router). Exterior router chống lại những sự tấn

công chuẩn như giả mạo địa chỉ IP và điều khiển truy cập tới Bastion host.Quy luật filtering

trên router ngoài yêu cầu sử dụng dịch vụ proxy bằng cách chỉ cho phép thông tin bắt nguồn

từ Bastion host.

– Router trong (Interior router): Nằm giữa mạng ngoại vi va mạng nội bộ nhằm bảo vệ

mạng nội bộ và mạng ngoại vi. Nó không thực hiện hết các quy tắc packet filtering của toàn



bộ firewall. Các dịch vụ mà interior router cho phép giữa Bastion host và mạng nội bộ, giữa

bên ngoài và mạng nội bộ không nhất thiết phải giống nhau. Interior router chỉ cho phép các

hệ thống bên trong truy cập Bastion host.

Ưu điểm của Screened Subnet Host:

– Kẻ tấn công cần phá vỡ ba tầng bảo vệ: Router ngoài, Bastion Host và Router trong.

– Bởi vì router ngồi chỉ quảng bá Bastion host tới internet nên hệ thống mạng nội bộ khơng

thể nhìn thấy (invisible). Chỉ có một số hệ thống đã được chọn ra trên DMZ là được biết đến

bởi Internet qua routing table và DNS information exchange (Domain Name Server).

– Bởi vì router trong chỉ quảng bá Bastion host tới mạng nội bộ nên các hệ thống bên trong

mạng nội bộ không thể truy cập trực tiếp tới Internet. Điều này đảm bảo rằng những user

bên trong bắt buộc phải truy cập qua Internet qua dịch vụ Proxy.

– Đối với những hệ thống yêu cầu cung cấp dịch vụ nhanh và an toàn cho nhiều người sử

dụng đồng thời nâng cao khả năng theo dõi lưu thông của mỗi người sử dụng trong hệ thống

và dữ liệu trao đổi giữa các người dùng trong hệ thống cần được bảo vệ thì kiến trúc cơ bản

trên là phù hợp.

– Để tăng độ an toàn trong internal network, kiến trúc Screened Subnet Host ở trên sử dụng

thêm một dạng ngoại vi (perimeter network) để che phần nào lưu thông bên trong internal

network, tách biệt internal network với internet.

Ngồi ra, còn có những kiến trúc biến thể khác như sử dụng nhiều Bastion host, ghép chung

router trong và router ngoài, ghép chung Bastion host và router ngồi.

2.4.3. Multi-homed host:

Mơ hình này ra đời do các yêu cầu về hiệu năng (performance) và dư thừa (redudancy) cũng

như tách biệt các Server khác nhau.

Sử dụng một Bastion host cung cấp những dịch vụ cho người dùng bên trong (internal user)

như dịch vụ SNMP, DNS, Proxy Server…

Sử dụng một Bastion host khác cung cấp dịch vụ cho người dùng ngoài Internet hoặc những

người dùng bên ngoài (external user), như dịch vụ FTP Server, Web Server…



Với mơ hình này thì tốc độ đáp ứng cho những người sử dụng bên trong (local user) một

phần nào đó khơng bị ảnh hưởng bởi những hoạt động của người sử dụng bên ngồi mạng

(external user).

Chúng ta cũng có thể sử dụng nhiều Bastion host chỉ cung cấp một dịch vụ nào đó để tăng

tốc độ đáp ứng, nâng cao hiệu năng hoạt động.

Việc sử dụng nhiều Bastion host cho các server khác nhau để khi một server nào đó bị đột

nhập hoặc server bị hỏng thì server khác vẫn hoạt động tốt.



2.5. Vùng DMZ:

DMZ là một vùng mạng trung lập giữa mạng nội bộ và mạng internet.

- DMZ là nơi chứa các thông tin cho phép người dùng từ internet truy xuất vào và chấp

nhận các rủi ro tấn công từ internet.

- Các dịch vụ thường được triển khai trong vùng DMZ là: Mail, Web, FTP

- Có hai cách thiết lập vùng DMZ:

+ Đặt DMZ giữa 2 firewall, một để lọc các thông tin từ internet vào và một để kiểm tra các

luồng thông tin vào mạng cục bộ.



Hình 2.6 DMZ đặt giữa 2 firewall

+ Sử dụng Router có nhiều cổng để đặt vùng DMZ vào một nhánh riêng tách rời với

mạng cục bộ



Hình 2.7 DMZ đặt ở một nhánh riêng tách rời với mạng cục bộ



2.6. Các thế hệ Firewall

2.6.1. Thế hệ thứ 1: Lọc gói tin

Thế hệ đầu tiên của firewall là lọc gói tin, nó xác định địa chỉ mạng và port của gói tin và

xác định nếu gói tin có thể được cho qua hoặc bị chặn. Bài báo đầu tiên được công bố về

công nghệ tường lửa vào năm 1988, khi những kĩ sư từ DEC phát triển hệ thống lọc được

biết như firewall lọc gói tin. Hệ thống cơ bản này là thế hệ đầu tiên của thứ liên quan đến

tính năng an ninh mạng.

Hành động lọc gói tin bởi sự theo dõi “gói tin” được vận chuyển giữa máy tính và internet.

Nếu gói tin khơng trùng với tập luật lọc, gói tin sẽ bị loại bỏ (âm thầm loại bỏ) hoặc từ chối

nó (loại bỏ nó, và gửi “phản hồi lỗi” tới nguồn).Ngược lại, nếu gói tin trùng với một hoặc

nhiều hơn chương trình lọc, gói tin sẽ được phép cho qua.Kiểu lọc gói tin này khơng chú ý

đến việc gói tin là một phần của dòng dữ liệu sẵn có hoặc dữ liệu. Thay vào đó, nó lọc từng

gói tin chỉ dựa trên thơng tin của chính gói tin đó (phần lớn sử dụng sự kết hợp của nguồn

gói tin, đích, giao thức và dữ liệu TCP, UDP và số cổng). Giao thức TCP, UDP chiếm phần

lớn giao thức trên Internet.

Firewall lọc gói tin làm việc chủ yếu trên 3 tầng đầu tiên trong mơ hình OSI, có nghĩa là

phần lớn việc làm giữa tầng mạng và tầng vật lý, với một phần ít lấy ở tầng vận chuyển để

tìm ra cổng nguồn và cổng địch. Khi một gói tin xuất phát từ người gửi và lọc qua firewall,



thiết bị sẽ check đến khớp bất kì luật lọc nào được cấu hình trong firewall và loại bỏ hoặc từ

chối những gói tin cho phù hợp.

2.6.2. Thế hệ thứ 2: Lọc “stateful”

Firewall sẽ theo dõi toàn bộ trạng thái của kết nối mạng đi qua nó. Firewall được lập trình

để phân biệt gói tin hợp lệ với nhiều loại kết nối khác nhau. Chỉ những gói tìn phù hợp với

những kết nối được xác định mới được cho qua, còn lại sẽ từ chối.

Firewall thế hệ thứ 2 đảm bảo hoạt động của thế hệ thứ nhất, những hoạt động lên tới tầng

4. Điều này đạt được bằng cách giữ lại gói tin cho đến khi đủ thơng tin để đưa ra đánh giá

về tình trạng của gói tin. Được biết những kiểm tra gói tin tồn trạng thái, nó ghi nhận lại

tồn bộ kết nối đi qua nó, và xác địch nơi mà gói tin bắt đầu kết nối mới, một phần các kết

nối đã có, hoặc khơng thuộc phần nào của bất kì kết nối nào.

Kiểm tra “stateful” được gói những lọc gói tin động, là một tính năng bảo mật thường được

sử dụng trong mạng doang nghiệp.

2.6.3. Thế hệ thứ 3: Tầng ứng dụng

Nó được biết tới như Firewall tầng ứng dụng trong suốt. Lợi ích chính của lọc tầng ứng

dụng là nó có thể hiểu được những ứng dụng và giao thức quan trọng như FTP, DNS,

HTTP.Rất hữu ích khi sử dụng để phát hiện những giao thức không mong muốn xâm nhập

qua firewall bơi những cổng được cho phép, hoặc phát hiện nếu giao thức đang bị lạm dụng

với bất kì cách nào.

Vào năm 2012, cái được họi là thế hệ tiếp theo của firewall (NGFW) khơng hơn gì là việc

“mở rộng” hoặc “đào sâu” sự kiểm tra ở tấng công ứng dụng.

IPS



2.7. Những hạn chế của Firewall

Firewall khơng đủ thơng minh để có thể đọc hiểu từng loại thơng tin và phân tích nội

dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông

tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ.



Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn cơng này khơng "đi

qua" nó. Một cách cụ thể, Firewall không thể chống lại một cuộc tấn công từ một đường

dial-up, hoặc sự rò rỉ thơng tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm.

Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-drivent

attack). Khi có một số chương trình được chuyển theo thư điện tử, vượt qua Firewall vào

trong mạng được bảo vệ và bắt đầu hoạt động ở đây.

Một ví dụ là các virus máy tính. Firewall khơng thể làm nhiệm vụ rà quét virus trên

các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới

và do có rất nhiều cách để mã hóa dữ liệu, thốt khỏi khả năng kiểm sốt của Firewall.

Firewall có thể ngǎn chặn những kẻ xấu từ bên ngồi nhưng còn những kẻ xấu ở bên trong

thì sao. Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi.

Để có được khả nǎng bảo mật tối ưu cho hệ thống, Firewall nên được sử dụng kết hợp

với các biện pháp an ninh mạng như các phần mềm diệt virus, phần mềm đóng gói, mã hố

dữ liệu. Đặc biệt, chính sách bảo mật được thực hiện một cách phù hợp và có chiều sâu là

vấn đề sống còn để khai thác tối ưu hiệu quả của bất cứ phần mềm bảo mật nào.Và cũng cần

nhớ rằng công nghệ chỉ là một phần của giải pháp bảo mật.Một nhân tố nữa hết sức quan

trọng quyết định thành công của giải pháp là sự hợp tác của nhân viên, đồng nghiệp.



CHƯƠNG 3: GIỚI THIỆU TỔNG QUAN VỀ HONEYPOT

3.1. Khái niệm Honeypot

3.1.1. Khái niệm

Honeypot là một hệ thống tài nguyên thông tin được xây dựng với mục đích giả dạng

đánh lừa những kẻ sử dụng và xâm nhập không hợp pháp, thu hút sự chú ý của chúng, ngăn

không cho chúng tiếp xúc với hệ thống thật.

Hệ thống tài ngun thơng tin có nghĩa là Honeypot có thể giả dạng bất cứ loại máy

chủ tài nguyên nào như là Mail Server, Domain Name Server, Web Server… Honeypot sẽ

trực tiếp tương tác với tin tặc và tìm cách khai thác thơng tin về tin tặc như hình thức tấn

cơng, cơng cụ tấn cơng hay cách thức tiến hành thay vì bị tấn cơng.

3.1.2. Mục đích

- Làm lệch hướng tin tặc ra khỏi hệ thống cần bảo vệ.

- Tập hợp thông tin về tin tặc và hành động của tin tặc.

- Lôi kéo tin tặc ở trên hệ thống dài hơn để đủ thời gian cho người quản trị



phản hồi



lại.



3.2. Phân loại Honeypot

Gồm hai loại chính: Tương tác thấp và Tương tác cao

- Tương tác thấp: Mô phỏng giả các dịch vụ, ứng dụng, và hệ điều hành. Mức độ rủi

ro thấp, dễ triển khai và bảo dưỡng nhưng bị giới hạn về dịch vụ.

- Tương tác cao: Là các dịch vụ, ứng dụng và hệ điều hành thực. Mức độ thông tin

thu thập được cao. Nhưng rủi ro cao và tốn thời gian để vận hành và bảo dưỡng.



Hình 3.1 - Honeypots



- BackOfficer Friendly (BOF): Một loại hình Honeypot rất dễ vận hành và cấu hình và

có thể hoạt động trên bất kì phiên bản nào của Windows và Unix nhưng chỉ tương tác được

với một số dịch vụ đơn giản như FTP, Telnet, SMTP…

- Specter: Cũng là loại hình Honeypot tương tác thấp nhưng khả năng tương tác tốt

hơn BOF, giả lập trên 14 cổng, có thể cảnh báo và quản lý từ xa. Tuy nhiên giống BOF thì

specter bị giới hạn số dịch vụ và cũng không linh hoạt.

- Honeyd:

o Honeyd lắng nghe trên tất cả các cổng TCP và UDP, những dịch vụ mơ phỏng

được thiết kế với mục đích ngăn chặn và ghi lại những cuộc tấn công, tương tác

với kẻ tấn cơng với vai trò một hệ thống nạn nhân.

o Honeyd có thể mơ phỏng cùng một lúc nhiều hệ điều hành khác nhau.

o Hiện nay, Honeyd có nhiều phiên bản và có thể mơ phỏng được khoảng 473



hệ



điều hành.

o Honeyd là loại hình Honeypot tương tác thấp có nhiều ưu điểm tuy nhiên Honeyd

có nhược điểm là khơng thể cung cấp một hệ điều hành thật để tương tác với tin

tặc và khơng có cơ chế cảnh báo khi phát hiện hệ thống bịxâm nhập hay gặp nguy

hiểm.



3.3. HONEYNET

3.3.1. Khái niệm

- Honeynet là hình thức honeypot tương tác cao. Khác với các honeypots, Honeynet

là một hệ thống thật, hoàn toàn giống một mạng làm việc bình thường.Honeynet cung cấp

các hệ thống, ứng dụng, các dịch vụ thật.

- Quan trọng nhất khi xây dựng một honeynet chính là honeywall. Honeywall là

gateway ở giữa honeypots và mạng bên ngồi.Nó hoạt động ở tầng 2 như là Bridged.Các

luồng dữ liệu khi vào và ra từ honeypots đều phải đi qua honeywall.



Hình 3.2 - Honeywall

3.3.2. Chức năng

- Điều khiển được luồng dữ liệu

o Khi các mã hiểm độc thâm nhập vào honeynet, sẽ bị kiểm soát các hoạt động.

o Các luồng dữ liệu khi đi vào không bị hạn chế, nhưng khi đi ra ngồi thì sẽ bị hạn

chế.



Hình 3.2 - Minh họa luồng dữ liệu

- Thu nhận dữ liệu: Là quá trình thu nhận những sự kiện xảy ra trong hệ thống, nó có

thể là do attacker hay các đoạn mã độc hại gây ra. Mục đích của thu thập dữ liệu đó là ghi



nhận toàn bộ những sự kiện diễn ra trong hệ thống. Làm cơ sở cho q trình phân tích dữ

liệu sau này.

- Phân tích dữ liệu: Là q trình phân tích các sự kiện diễn ra trong hệ thống sau khi

thu thập. Mục đích của việc phân tích dữ liệu là nắm được những gì xảy ra trong hệ

thống.Với những tấn cơng cụ thể ta có thể thấy rõ được quy trình tấn cơng, cơng cụ tấn cơng

và mục đích của cuộc tấn cơng.

- Thu thập dữ liệu từ các honeynets về một nguồn tập trung. Chỉ áp dụng cho các tổ

chức có nhiều honeynets.Đa số các tổ chức chỉ có một honeynet.

3.3.3. Khả năng an tồn và các rủi ro

Honeynet có thể là một cơng cụ rất mạng, chúng ta có thể thu thập thơng tin rộng rãi

trên nhiều mối đe dọa. Để thu được những thông tin đó, bạn phải cho phép attacker và

những chương trình mã độc hại có quyền sử dụng hệ thống, thực thi những hành động của

nó, chính điều này sẽ làm cho hệ thống có thể gặp nhiều rủi ro. Các rủi ro này là khác nhau

đối với mỗi tổ chức khác nhau, mỗi tổ chức phải xác định được rủi ro quan trọng mà mình

có thể bị. Có thể có các loại rủi ro sau:

- Gây thiệt hại cho hệ thống khác

- Rủi ro khi hệ thống bị phát hiện

- Rủi ro khi hệ thống bị vơ hiệu hóa

- Các rủi ro khác

Để giảm thiểu các rủi ro chúng ta phải thực hiện việc giám sát và duy trì hệ thống

theo thời gian thực, không được sử dụng các công cụ tự động. Khi triển khai hệ thống chúng

ta phải thay đổi những cấu hình mặc định của hệ thống, do các công nghệ honeypot bao

gồm cả honeywall đều là mã nguồn mở, mọi người đều có thể tiếp xúc với mã nguồn của

nó, trong đó có cả những hacker.

3.3.4. Đánh giá so sánh mức độ an tồn

Trong vơ số các biện pháp ngăn chặn tin tặc đột nhập vào hệ thống thì "Honeypot"

(tạm gọi là mắt ong) và "Honeynet" (tạm gọi là tổ ong) được coi là một trong nhữngcamj

bẫy được kế với mục đích này.

Với hệ thống honeynet, ta có thể xây dựng được một hệ thống mạng với chi phí rẻ,

nhưng hiệu quả trong việc bảo vệ mạng máy tính, bảo vệ an tồn thơng tin trong mạng



Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Hình 2.4 - Circuit level gateway

Tải bản đầy đủ ngay(0 tr)

×