Mô tả:
QTSC-ITA
QUẢN TRỊ VÀ CÁC THIẾT BỊ MẠNG
Chương 6
Bảo mật hệ thống và Firewall
QTSC-ITA
Objectives
• Các hình thức tấn công mạng, các lỗ
hổng, điểm yếu của mạng lưới
QTSC-ITA
Bảo mật hệ thống và Firewall
• Bảo mật hệ thống
• Tổng quan về hệ thống firewall
QTSC-ITA
Bảo mật hệ thống
• Các vấn đề chung về bảo mật hệ thống
và mạng
• Các biện pháp bảo vệ mạng máy tính
QTSC-ITA
Các vấn đề chung về bảo mật hệ thống và
mạng
• Một số khái niệm
• Lịch sử bảo mật hệ thống
• Các lỗ hổng và phương thức tấn công
mạng chủ yếu
• Một số điểm yếu của hệ thống
• Các mức bảo vệ an toàn mạng
QTSC-ITA
Một số khái niệm
• Đối tượng tấn công mạng (Intruder)
• Các lỗ hổng bảo mật
• Chính sách bảo mật
QTSC-ITA
Đối tượng tấn công mạng (Intruder)
• Hacker: Là những kẻ xâm nhập vào mạng trái
phép bằng cách sử dụng các công cụ phá mật
khẩu hoặc khai thác các điểm yếu của các
thành phần truy nhập trên hệ thống.
• Masquerader: Là những kẻ giả mạo thông tin
trên mạng. Có một số hình thức như giả mạo
địa chỉ IP, tên miền, định danh người dùng ...
• Eavesdropping: Là những đối tượng nghe
trộm thông tin trên mạng, sử dụng các công
cụ sniffer; sau đó dùng các công cụ phân tích
và debug để lấy được các thông tin có giá trị.
QTSC-ITA
Các lỗ hổng bảo mật
• Các lỗ hổng bảo mật là những điểm yếu
trên hệ thống hoặc ẩn chứa trong một
dịch vụ mà dựa vào đó kẻ tấn công có
thể xâm nhập trái phép để thực hiện các
hành động phá hoại hoặc chiếm đoạt tài
nguyên bất hợp pháp.
QTSC-ITA
Chính sách bảo mật
• Là tập hợp các qui tắc áp dụng cho mọi đối
tượng có tham gia quản lý và sử dụng các tài
nguyên và dịch vụ mạng.
• Mục tiêu của chính sách bảo mật giúp người
sử dụng biết được trách nhiệm của mình
trong việc bảo vệ các tài nguyên thông tin
trên mạng , đồng thời giúp các nhà quản trị
thiết lập các biện pháp bảo đảm hữu hiệu
trong quá trình trang bị, cấu hình, kiểm soát
hoạt động của hệ thống và mạng
QTSC-ITA
Chính sách bảo mật (tt)
• Một chính sách bảo mật được coi là hoàn hảo
nếu nó xây dựng gồm các văn bản pháp qui,
kèm theo các công cụ bảo mật hữu hiệu và
nhanh chóng giúp người quản trị phát hiện,
ngăn chặn các xâm nhập trái phép.
QTSC-ITA
Lịch sử bảo mật hệ thống
• Năm 1988: Trên mạng Internet xuất hiện một
chương trình tự nhân phiên bản của chính nó
lên tất cả các máy trên mạng Internet. Các
chương trình này gọi là "sâu".
• Năm 1990: Các hình thức truyền Virus qua địa
chỉ Email xuất hiện phổ biến trên mạng
Internet.
• Năm 1991: Phát hiện các chương trình
trojans.
QTSC-ITA
Lịch sử bảo mật hệ thống (tt)
• Năm 1998: Virus Melisa lan truyền trên
mạng Internet thông qua các chương
trình gửi mail của Microsoft, gây những
thiết hại kinh tế không nhỏ.
• Năm 2000: Một loạt các Web Site lớn
như yahoo.com và ebay.com bị tê liệt,
ngừng cung cấp dịch vụ trong nhiều giờ
do bị tấn công bởi hình thức DoS
QTSC-ITA
Các lỗ hổng và phương thức tấn công mạng chủ yếu
• Các lỗ hổng
• Một số phương thức tấn công mạng
phổ biến
QTSC-ITA
Các lỗ hổng
• Lỗ hổng loại C: các lỗ hổng loại này cho phép thực
hiện các phương thức tấn công theo DoS (Denial of
Services - Từ chối dịch vụ). Mức độ nguy hiểm thấp,
chỉ ảnh hưởng tới chất lượng dịch vụ, có thể làm
ngưng trệ, gián đoạn hệ thống; không làm phá hỏng
dữ liệu hoặc đạt được quyền truy nhập bất hợp pháp.
• Lỗ hổng loại B: Các lỗ hổng cho phép người sử dụng
có thêm các quyền trên hệ thống mà không cần thực
hiện kiểm tra tính hợp lệ nên có thể dẫn đến mất mát
hoặc lộ thông tin yêu cầu bảo mật. Mức độ nguy hiểm
trung bình. Những lỗ hổng này thường có trong các
ứng dụng trên hệ thống.
QTSC-ITA
Các lỗ hổng (tt)
• Lỗ hổng loại A: Các lỗ hổng này cho
phép người sử dụng ở ngoài cho thể
truy nhập vào hệ thống bất hợp pháp.
Lỗ hổng này rất nguy hiểm, có thể làm
phá hủy toàn bộ hệ thống.
QTSC-ITA
Một số phương thức tấn công mạng phổ biến
• Scanner
• Password Cracker
• Trojans
• Sniffer
QTSC-ITA
Một số điểm yếu của hệ thống
• Deamon fingerd
• File hosts.equiv
• Thư mục /var/mail
• Chức năng proxy của FTPd
QTSC-ITA
Deamon fingerd
• Một lỗ hổng của deamon fingerd là cơ
hội để phương thức tấn công worm
"sâu" trên Internet phát triển: đó là lỗi
tràn vùng đệm trong các tiến trình
fingerd (lỗi khi lập trình).
QTSC-ITA
File hosts.equiv
• Nếu một người sử dụng được xác định
trong file host.equiv cũng với địa chỉ
máy của người đó, thì người sử dụng
đó được phép truy nhập từ xa vào hệ
thống đã khai báo.
QTSC-ITA
Thư mục /var/mail
• Nếu thư mục /var/mail được set là với
quyền được viết (writeable) đối với tất
cả mọi người trên hệ thống, thì bất cứ ai
có thể tạo file trong thư mục này. Sau
đó tạo một file với tên của một người đã
có trên hệ thống rồi link tới một file trên
hệ thống, thì các thư tới người sử dụng
có tên trùng với tên file link sẽ được
gán thêm vào trong file mà nó link tới.
- Xem thêm -