Download miễn phí Đề tài An toàn thông tin trên mạng và Tường lửa





LỜI CẢM ƠN 1

PHẦN MỞ ĐẦU 7

1. LÍ DO CHỌN ĐỀ TÀI 7

2. MỤC ĐÍCH CỦA ĐỀ TÀI 7

3. PHƯƠNG PHÁP NGHIÊN CỨU 7

4. CẤU TRÚC KHÓA LUẬN 8

PHẦN 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN TRÊN MẠNG 9

1. ĐỐI TƯỢNG BẢO VỆ 10

1.1 Đối với dữ liệu 11

1.2 Đối với tài nguyên 11

1.3 Đối với uy tín 12

2. CÁC HÌNH THỨC TẤN CÔNG. 12

2.1 Tấn công trực tiếp: 12

2.2. Nghe trộm: 13

2.3. Giả mạo địa chỉ: 13

2.4. Vô hiệu các chức năng của hệ thống (DoS, DDoS): 14

2.5. Lỗi của người quản trị hệ thống: 15

2.6. Tấn công vào yếu tố con người: 15

3. PHÂN LOẠI KẺ TẤN CÔNG 15

3.1 Người qua đường 15

3.2 Kẻ phá hoại 16

3.3 Kẻ ghi điểm 16

3.4 Gián điệp 16

4. CÁC DỊCH VỤ BẢO VỆ THÔNG TIN TRÊN MẠNG 17

4.1. Dịch vụ bí mật (Confidentiality) 17

4.2. Dịch vụ xác thực (Authentication) 17

4.3. Dịch vụ toàn vẹn (Integrity) 18

4.4. Không thể chối bỏ (Nonrepudiation) 18

4.5. Kiểm soát truy nhập (Access control) 19

4.6. Sẵn sàng phục vụ (Availability) 19

5. CÁC KỸ THUẬT BẢO VỆ THÔNG TIN TRÊN MẠNG 20

5.1. Mã hóa 20

5.2. Cơ chế sát thực 21

5.3. Các cơ chế điều khiển truy nhập 21

6.1. Các mức bảo vệ thông tin trên mạng 22

6.2. Các phương pháp và phương tiện bảo vệ thông tin 25

PHẦN 2: FIREWALL 29

1. GIỚI THIỆU VỀ FIREWALL 29

1.1. Firewall 29

1.2. Chức năng 32

1.3. Các thành phần 33

1.3.1. Bộ lọc gói tin (packet-filtering router) 33

1.3.2. Cổng ứng dụng(application-level gateway hay proxy server) 36

1.3.3. Cổng vòng (circuite level gateway) 38

1.4. Các dạng Firewall 39

1.5. Hạn chế của Firewall. 41

1.6. Firewall có dễ phá hay không? 42

1.7. Một số mô hình Firewall 44

1.7.1. Packet-Filtering Router (Bộ trung chuyển có lọc gói) 44

1.7.2. Mô hình Screened Host Firewall 46

1.7.3. Mô hình Demilitarized Zone (DMZ-khu vực phi quân sự) hay Screened-subnet Firewall. 48

2. BASTION HOST 50

2.1. Nguyên lí cơ bản để thiết kế và xây dựng một Baston host 50

2.2. Các loại Bastion host đặc biệt 51

2.2.1. Dual-homed host không có chức năng định tuyến 51

 





Để tải tài liệu này, vui lòng Trả lời bài viết, Mods sẽ gửi Link download cho bạn ngay qua hòm tin nhắn.

Ketnooi -


Ai cần tài liệu gì mà không tìm thấy ở Ketnooi, đăng yêu cầu down tại đây nhé:
Nhận download tài liệu miễn phí

Tóm tắt nội dung tài liệu:


tin hay phá hoại của kẻ xấu.
Cổng ứng dụng(application-level gateway hay proxy server)
Nguyên lý:
Một dạng phổ biến là Firewall dựa trên ứng dụng application-proxy. Loại này hoạt động hơi khác với Firewall dựa trên bộ định tuyến lọc gói tin. Application gateway dựa trên cơ sở phần mềm. Khi một người dùng không xác định kết nối từ xa vào mạng chạy application gateway, gateway sẽ ngăn chặn kết nối từ xa này.
Thay vì nối thông, gateway sẽ kiểm tra các thành phần của kết nối theo những quy tắc định trước. Nếu thoả mãn các quy tắc, gateway sẽ tạo cầu nối (bridge) giữa trạm nguồn và trạm đích.
Hình 8: Firewall mềm
Cầu nối đóng vai trò trung gian giữa hai giao thức. Ví dụ, trong một mô hình gateway đặc trưng, gói tin theo giao thức IP không được chuyển tiếp tới mạng cục bộ, lúc đó sẽ hình thành quá trình dịch mà gateway đóng vai trò bộ phiên dịch.
Ưu điểm:
Ưu điểm của Firewall application gateway là không phải chuyển tiếp IP. Quan trọng hơn, các điều khiển thực hiện ngay trên kết nối. Sau cùng, mỗi công cụ đều cung cấp những chức năng thuận tiện cho việc truy nhập mạng.
Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy nhập được bởi các dịch vụ.
Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào cho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là các dịch vụ ấy bị khoá.
Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có nhật ký ghi chép lại thông tin về truy nhập hệ thống.
Luật lệ lọc filltering cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so với bộ lọc packet.
Hạn chế:
Hạn chế khác của mô hình Firewall này là mỗi ứng dụng bảo mật (proxy application) phải được tạo ra cho từng dịch vụ mạng. Như vậy một ứng dụng dùng cho Telnet, ứng dụng khác dùng cho HTTP, v.v..
Yêu cầu các users thay đổi thao tác, hay thay đổi phần mềm đã cài đặt trên máy client cho truy nhập vào các dịch vụ proxy. Chẳng hạn, Telnet truy nhập qua cổng ứng dụng đòi hỏi hai bước để nối với máy chủ chứ không phải là một bước thôi. Tuy nhiên, cũng đã có một số phần mềm client cho phép ứng dụng trên cổng ứng dụng là trong suốt, bằng cách cho phép user chỉ ra máy đích chứ không phải cổng ứng dụng trên lệnh Telnet.
Do không thông qua quá trình chuyển dịch IP nên gói tin IP từ địa chỉ không xác định sẽ không thể tới máy tính trong mạng của bạn, do đó hệ thống application gateway có độ bảo mật cao hơn.
Cổng vòng (circuite level gateway)
Cổng vòng là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng dụng(application gateway). Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc packet nào.
VD: Cổng vòng đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực hiện một sự kiểm tra, lọc hay điều khiển các thủ tục Telnet nào.Cổng vòng làm việc như một sợi dây, sao chép các byte giữa kết nối bên trong (inside connection) và các kết nối bên ngoài (outside connection). Tuy nhiên, vì sự kết nối này xuất hiện từ hệ thống firewall, nên nó che dấu thông tin về mạng nội bộ.
Cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà các quản trị mạng thật sự tin tưởng những người dùng bên trong. Ưu điểm lớn nhất là một bastion host có thể được cấu hình như là một hỗn hợp cung cấp Cổng ứng dụng cho những kết nối đến, và cổng vòng cho các kết nối đi. Điều này làm cho hệ thống Firewall dễ dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ Internet, trong khi vẫn cung cấp chức năng Firewall để bảo vệ mạng nội bộ từ những sự tấn công bên ngoài.
Hình 9: Cổng vòng
Các dạng Firewall
Mỗi dạng Firewall khác nhau có những thuận lợi và hạn chế riêng. Dạng phổ biến nhất là Firewall mức mạng (Network-level firewall). Loại Firewall này thường dựa trên bộ định tuyến, vì vậy các quy tắc quy định tính hợp pháp cho việc truy nhập được thiết lập ngay trên bộ định tuyến. Mô hình Firewall này sử dụng kỹ thuật lọc gói tin (packet filtering technique), đó là tiến trình kiểm soát các gói tin qua bộ định tuyến.
Hình 10: Firewall được cấu hình tại router
Khi hoạt động, Firewall sẽ dựa trên bộ định tuyến mà kiểm tra địa chỉ nguồn (source address) hay địa chỉ xuất phát của gói tin. Sau khi nhận diện xong, mỗi địa chỉ nguồn IP sẽ được kiểm tra theo các quy tắc do người quản trị mạng định trước.
Firewall dựa trên bộ định tuyến làm việc rất nhanh do nó chỉ kiểm tra lướt trên các địa chỉ nguồn mà không hề có yêu cầu thực sự nào đối với bộ định tuyến, không tốn thời gian xử lý những địa chỉ sai hay không hợp lệ. Tuy nhiên, bạn phải trả giá: ngoại trừ những điều khiển chống truy nhập, các gói tin mang địa chỉ giả mạo vẫn có thể thâm nhập ở một mức nào đó trên máy chủ của bạn.
Một số kỹ thuật lọc gói tin có thể được sử dụng kết hợp với Firewall để khắc phục nhược điểm nói trên. Địa chỉ IP không phải là thành phần duy nhất của gói tin có thể mắc bẫy bộ định tuyến. Người quản trị nên áp dụng đồng thời các quy tắc, sử dụng thông tin định danh kèm theo gói tin như thời gian, giao thức, cổng để tăng cường điều kiện lọc. Tuy nhiên, sự yếu kém trong kỹ thuật lọc gói tin của Firewall dựa trên bộ định tuyến không chỉ có vậy.
Một số dịch vụ gọi thủ tục từ xa (Remote Procedure Call – RPC) rất khó lọc một cách hiệu quả do các server liên kết phụ thuộc vào các cổng được gán ngẫu nhiên khi khởi động hệ thống. Dịch vụ gọi là ánh xạ cổng (portmapper) sẽ ánh xạ các lời gọi tới dịch vụ RPC thành số dịch vụ gán sẵn, tuy nhiên, do không có sự tương ứng giữa số dịch vụ với bộ định tuyến lọc gói tin, nên bộ định tuyến không nhận biết được dịch vụ nào dùng cổng nào, vì thế nó không thể ngăn chặn hoàn toàn các dịch vụ này, trừ khi bộ định tuyến ngăn toàn bộ các gói tin UDP (các dịch vụ RPC chủ yếu sử dụng giao thức UDP hay User Datagram Protocol). Việc ngăn chặn tất cả các gói tin UDP cũng sẽ ngăn luôn cả các dịch vụ cần thiết, ví dụ như DNS (Domain Name Service ố dịch vụ đặt tên vùng). Vì thế, dẫn đến tình trạng tiến thoái lưỡng nan.
Hạn chế của Firewall.
Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ.
Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không “đi qua” nó. Một cách cụ thể, firewall không thể chống lại một cuộc tấn công từ một đường dial-up, hay sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm.
Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (datadriven attack). Khi có một số chương trình được chuyển theo thư điện tử, vượt qua firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây.
Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuy

 

Các chủ đề có liên quan khác

Top