An toàn thông tin trên mạng và tường lửa

i đa phần trao đổi với nhau thông qua Internet. Kết nối vào Internet, sử dụng và khai thác là việc làm quen thuộc của mỗi chúng ta. Nhưng phải làm sao để việc trao đổi thông tin vẫn đảm bảo được tính an toàn. Hiện nay, đảm bảo an toàn trong kết nối với môi trường Internet là vấn đề mà cả thế giới quan tâm. Nhiều giải pháp đã được đề xuất. Một trong các giải pháp hữu hiệu nhất đó chính là Firewall-tường lửa. MỤC ĐÍCH CỦA ĐỀ TÀI Mục đích của đề tài “An toàn thông tin trên mạng và tường lửa”: Tổng quan về mạng máy tính và An toàn thông tin trên mạng. Cung cấp các kiến thức đầy đủ, chi tiết về tường lửa Giới thiệu các kiến thức có liên quan. Từ đó giúp mọi người có những hiểu biết về an toàn thông tin, về chức năng, cấu tạo, các dạng tường lửa. Biết cách sử dụng tường lửa một cách thành thạo nhằm đảm bảo được an toàn thông tin khi kết nối với môi trường Internet. PHƯƠNG PHÁP NGHIÊN CỨU Thu thập, phân tích các tài liệu và thông tin liên quan đến đề tài. Tìm hiểu các phần mềm tường lửa đã có Tìm hiểu một số phương pháp vượt tường lửa CẤU TRÚC KHÓA LUẬN Đồ án gồm 4 phần: Phần 1: Tổng quan mạng máy tính và An toàn thông tin trên mạng Chương I: Giới thiệu về mạng máy tính. Nhu cầu kết nối các máy tính thành mạng. Phận loại các mạng máy tính Chương II: Tổng quan về An toàn thong tịn trên mạng Khái niệm an ninh mạng Đánh giá vẫn đề an toàn và bảo mật hệ thống Đảm bảo an ninh mạng Phần 2: Firewall Nghiên cứu chi tiết về Firewall Tìm hiểu về Bastion, các dịch vụ mạng và Proxy Phần 3: Vượt Firewall Giới thiệu khái quát về vượt Firewall Tìm hiểu chi tiết hai phương pháp: vượt firewall bằng HTTP Proxy và vượt Firewall bằng Web-based Proxy Phần 4: Tổng kết : Tổng kết lại các kết quả đạt được của đề tài và đưa ra hướng phát triển. An toàn thông tin trên mạng và Firewall là vấn đề khó, đòi hỏi lượng kiến thức sâu rộng. Trong quá trình thực hiện đề tài, bản thân em đã cố gắng giải quyết những vần đề cơ bản mà đề tài đặt ra, nhưng chắc chắn vẫn còn nhiều hạn chế, em mong sẽ nhận được nhiều ý kiến nhận xét, góp ý của thầy cô. Phần I : Giới thiệu mạng máy tính và An toàn thông tin trên mạng Chương I: Giới thiệu Mang máy tính Mạng máy tính là một hệ thống kết nối các máy tính đơn lẻ thông qua các đường truyền vật lý theo một kiến trúc nào đó. Đường truyền vật lý dùng để chuyển các tín hiệu số hay tín hiệu tương tự giữa các máy tính. Đường truyền vật lý thường là: Đường dây điện thoại thông thường. Cáp đồng trục. Sóng vô tuyến điện từ. Cáp sợi quang 1. Nhu cầu và mục đích của việc kết nối các máy tính thành mạng: Việc nối máy tính thành mạng từ lâu đã trở thành một nhu cầu khách quan bởi vì: – Có rất nhiều công việc về bản chất là phân tán hoặc về thông tin, hoặc về xử lý hoặc cả hai đòi hỏi có sự kết hợp truyền thông với xử lý hoặc sử dụng phương tiện từ xa – Chia sẻ các tài nguyên trên mạng cho nhiều người sử dụng tại một thời điểm (ổ cứng, máy in, ổ CD ROM ...) – Nhu cầu liên lạc, trao đổi thông tin nhờ phương tiện máy tính – Các ứng dụng phần mềm đòi hòi tại một thời điểm cần có nhiều người sử dụng, truy cập vào cùng một cơ sở dữ liệu. Chính vì vậy, việc kết nối các máy tính thành mạng nhằm mục đích: Chia sẻ dữ liệu: Về nguyên tắc, bất kỳ người sử dụng nào trên mạng đều có quyền truy nhập, khai thác và sử dụng những tài nguyên chung của mạng (thường được tập trung trên một Máy phục vụ – Server) mà không phụ thuộc vào vị trí địa lý của người sử dụng đó. Chia sẻ phần cứng: Tài nguyên chung của mạng cũng bao gồm các máy móc, thiết bị như: Máy in (Printer), Máy quét (Scanner), Ổ đĩa mềm (Floppy), Ổ đĩa CD (CD Rom), … được nối vào mạng. Thông qua mạng máy tính, người sử dụng có thể sử dụng những tài nguyên phần cứng này ngay cả khi máy tính của họ không có những phần cứng đó. 2. Phân loại mạng theo khoảng cách địa lý Mạng máy tính có thể phân bổ trên một vùng lãnh thổ nhất định và cũng có thể phân bổ trong phạm vi một quốc gia hay rộng hơn nữa là toàn thế giới. Dựa vào phạm vi phân bổ của mạng, người ta có thể phân ra các loại mạng như sau. 2.1. Mạng toàn cầu (GAN – Global Area Network) Là mạng kết nối các máy tính từ các châu lục khác nhau. Thông thường kết nối này được thực hiện thông qua mạng viễn thông và vệ tinh. 2.2. Mạng diện rộng (WAN – Wide Area Network) Là mạng kết nối các máy tính trong nội bộ các quốc gia hay giữa các quốc gia trong cùng một châu lục. Thông thường các kết nối này được thực hiện thông qua mạng viễn thông. Các WAN có thể kết nối với nhau tạo thành GAN hay tự nó cũng có thể xem là một GAN. 2.3. Mạng đô thị (MAN – Metropolitan Area Network) Là mạng kết nối các máy tính trong phạm vi một đô thị, một trung tâm văn hoá xã hội, có bán kính tối đa vào khoảng 100 km. Kết nối này được thực hiện thông qua môi trường truyêng thông tốc độ cao (50–100 Mbps). 2.4. Mạng cục bộ (LAN – Local Area Network) Là mạng kết nối các máy tính trong một khu vực bán kính hẹp, thông thường khoảng vài trăm mét đến vài kilômét. Kết nối được thực hiện thông qua môi trường truyền thông tốc độ cao Ví Dụ như cáp đồng trục, cáp xoắn đôi hay cáp quang. LAN thường được sử dụng trong nội bộ một cơ quan, tổ chức, trong một tòa nhà. Nhiều LAN có thể được kết nối với nhau thành WAN. 3. Phân loại theo kỹ thuật chuyển mạch áp dụng trong mạng. Nếu lấy kỹ thuật chuyển mạch làm yếu tố chính để phân loại ta sẽ có: Mạng chuyển mạch kênh Mạng chuyển mạch thông báo Mạng chuyển mạch gói 3.1. Mạng chuyển mạch kênh (Circuit Switched Network) Hình 11: Mạng chuyển mạch kênh Trong trường hợp này khi hai thực thể cần trao đổi thông tin với nhau thì giữa chúng sẽ thiết lập một kênh (Circuit) cố định và được duy trì cho tới khi một trong hai bên bị ngắt liên lạc. 3.2. Mạng chuyển mạch thông báo (Message Switched Network) Hình 12: Mạng chuyển mạch thông báo Thông báo là một đơn vị thông tin của người sử dụng có khuôn dạng đã được quy định trước. Mỗi thông báo đều có chứa vùng thông tin điều khiển, trong đó chỉ rõ đích của thông báo. Căn cứ vào thông tin này mà mỗi nút trung gian có thể chuyển thông báo tới nút kế tiếp theo đường dẫn tới đích của nó. Như vậy mỗi nút cần phải lưu trữ tạm thời để đọc thông tin điều khiển trên thông báo, sau đó chuyển tiếp thông báo đi. Tuỳ thuộc vào điều kiện của mạng các thông báo có thể được gửi đi trên các đường khác nhau. Ưu điểm của phương pháp này là : Hiệu suất sử dụng đường truyền cao vì không bị chiếm dụng độc quyền mà được phân chia giữa nhiều thực thể truyền thông. Mỗi nút mạng có thể lưu trữ thông tin tạm thời sau đó mới chuyển thông báo đi, do đó có thể điều chỉnh để làm giảm tình trạng tắc nghẽn trên mạng. 3.3. Mạng chuyển mạch gói (Packet Switched Network) Hình 13: Mạng chuyển mạch gói Trong trường hợp này mỗi thông báo được chia ra thành nhiều phần nhỏ hơn gọi là các gói tin (Information Packet) có khuôn dạng quy định trước. Mỗi gói tin cũng chứa các thông tin điều khiển, trong đó có địa chỉ nguồn và địa chỉ đích của gói tin. Các gói tin thuộc về một thông báo nào đó có thể được gửi đi qua mạng để tới đích bằng nhiều con đường khác nhau. Phương pháp chuyển mạch thông báo và chuyển mạch gói là gần giống nhau. Điểm khác biệt là các gói tin được giới hạn kích thước tối đa sao cho các nút mạng (các nút chuyển mạch) có thể xử lý toàn bộ gói tin trong bộ nhớ mà không phải lưu giữ tạm thời trên đĩa. Bởi vậy nên mạng chuyển mạch gói truyền dữ liệu hiệu quả hơn so với mạng chuyển mạch thông báo. 4. Phân loại theo hình trạng mạng Khi phân loại theo hình trạng mạng, người ta thường phân loại thành: Mạng hình sao, hình vòng, trục tuyến tính, hình cây, ... Dưới đây là một số hình trạng mạng cơ bản: 4.1. Mạng hình sao Mạng hình sao có tất cả các trạm được kết nối với một thiết bị trung tâm có nhiệm vụ nhận tín hiệu từ các trạm và chuyển đén trạm đích. Tuỳ theo yêu cầu truyền thông trên mạng mà thiết bị trung tâm có thể là bộ chuyển mạch (switch), bộ chọn đường (Router) hoặc là bộ phân kênh (hub). Vai trò của thiết bị trung tâm này là thực hiện việc thiết lập các liên kết điểm–điểm (point–to–point) giữa các trạm. Hình 14: Mạng hình sao (Star) Ưu điểm của topo mạng hình sao Thiết lập mạng đơn giản, dễ dàng cấu hình lại mạng (thêm, bớt các trạm), dễ dàng kiểm soát và khắc phục sự cố, tận dụng được tối đa tốc độ truyền của đường truyền vật lý. Nhược điểm của topo mạng hình sao Độ dài đường truyền nối một trạm với thiết bị trung tâm bị hạn chế (trong vòng 100m, với công nghệ hiện nay). 4.2. Mạng hình vòng Trên mạng hình vòng tín hiệu được truyền đi trên vòng theo một chiều duy nhất. Mỗi trạm của mạng được nối với vòng qua một bộ chuyển tiếp (repeater) có nhiệm vụ nhận tín hiệu rồi chuyển tiếp đến trạm kế tiếp trên vòng. Như vậy tín hiệu được lưu chuyển trên vòng theo một chuỗi liên tiếp các liên kết điểm–điểm giữa các repeater do đó cần có giao thức điều khiển việc cấp phát quyền được truyền dữ liệu trên vòng mạng cho trạm có nhu cầu. Để tăng độ tin cậy của mạng ta có thể lắp đặt thêm các vòng dự phòng, nếu vòng chính có sự cố thì vòng phụ sẽ được sử dụng. Mạng hình vòng có ưu nhược điểm tương tự mạng hình sao, tuy nhiên mạng hình vòng đòi hỏi giao thức truy nhập mạng phức tạp hơn mạng hình sao. Hình 15: Mạng hình vòng (Ring) 4.3. Mạng trục tuyến tính (Bus) Trong mạng trục tất cả các trạm phân chia một đường truyền chung (bus). Đường truyền chính được giới hạn hai đầu bằng hai đầu nối đặc biệt gọi là terminator. Mỗi trạm được nối với trục chính qua một đầu nối chữ T (T–connector) hoặc một thiết bị thu phát (transceiver). Hình 17: Mạng trục tuyến tính (Bus) Ưu điểm : Dễ thiết kế, chi phí thấp Nhược điểm: Tính ổn định kém, chỉ một nút mạng hỏng là toàn bộ mạng bị ngừng hoạt động 4.4. Mạng dạng cây Hình 18: Mạng dạng cây (Tree) 4.5. Mạng dạng vô tuyến – Satellite (Vệ tinh) hoặc Radio Hình 19: Mạng vô tuyến – Satellite (Vệ tinh) hoặc Radio 4.6. Mạng kết nối hỗn hợp Ngoài các hình trạng mạng cơ bản chuẩn, còn có thể kết hợp hai hay nhiều hình trạng mạng cơ bản lại với nhau tạo ra các hình trạng mở rộng nhằm tận dụng những ưu điểm, khắc phục những nhược điểm của từng loại mạng riêng khi chúng chưa được kết hợp với nhau. Tùy từng hoàn cảnh cụ thể để thiết kế cấu trúc mạng phù hợp nhất, đó cũng là nhiệm vụ của những chuyên viên cơ sở mạng. Hình dưới đây minh họa một mạng kết nỗi hỗn hợp: Hình 20: Mạng kết nối hỗn hợp 5. Phân loại theo giao thức và theo hệ điều hành mạng sử dụng. Khi phân loại theo giao thức mà mạng sử dụng người ta phân loại thành: Mạng TCP/IP, mạng NETBIOS … Tuy nhiên cách phân loại trên không phổ biến và chỉ áp dụng cho các mạng cục bộ. Nếu phân loại theo hệ điều hành mạng người ta chia ra theo mô hình mạng ngang hàng, mạng chủ/khách hoặc phân loại theo tên hệ điều hành mà mạng sử dụng: Windows NT, Unix, Novell … 5.1. Mạng khách/chủ (Client – Server). Trong mạng có những máy chuyên dụng phục vụ cho những mục đích khác nhau, máy phục vụ này hoạt động như một người phục vụ và không kiêm vai trò của trạm làm việc hay máy khách. Các máy phục vụ chuyên dụng được tối ưu hóa để phục vụ nhanh những yêu cầu của các máy khách. Thường thấy một số loại máy phục vụ chuyên dụng như: Máy phục vụ tập tin/in ấn (file/print Server) Máy phục vụ chương trình ứng dụng (Application Server) Máy phục vụ thư tín (mail Server) Máy phục vụ fax (fax Server) Máy phục vụ truyền thông (communication Server) Một trong những ưu điểm quan trọng của mạng dựa trên máy phục vụ đó là: có tính an toàn và bảo mật cao. Hầu hết các mạng trong thực tế (nhất là những mạng lớn) đều dựa trên mô hình khách/chủ này. 5.2. Mạng ngang hàng (Peer to Peer) Trong mạng ngang hàng không tồn tại một cấu trúc phân cấp nào, mọi máy tính đều bình đẳng. Thông thường, mỗi máy tính kiêm luôn cả hai vai trò máy khách và máy phục vụ, vì vậy không máy nào được chỉ định chịu trách nhiệm quản lý mạng. Người dùng ở từng máy tự quyết định phần dữ liệu nào trên máy của họ sẽ được dùng chung trên mạng. Mô hình mạng ngang hàng thích hợp cho các mạng có quy mô nhỏ (như nhóm làm việc) và không yêu cầu phải có tính bảo mật cao. 6. Một số mạng máy tính thông dụng nhất 6.1. Mạng cục bộ (LAN) Một mạng cục bộ là sự kết nối một nhóm máy tính và các thiết bị kết nối mạng được lắp đặt trên một phạm vị địa lý giới hạn, thường trong một toà nhà hoặc một khu công sở nào đó. Mạng cục bộ có một số các đặc trưng sau: Đặc trưng địa lý: Mạng cục bộ thường được cài đặt trong một phạm vi địa lý tương đối nhỏ như: trong một tòa nhà, một trường đại học, một căn cứ quân sự, … với đường kính của mạng có thể là từ vài chục mét, tới vài chục kilômét trong điều kiện công nghệ hiện nay. Đặc trưng tốc độ truyền: Mạng cục bộ có tốc độ truyền thường cao hơn so với mạng diện rộng. Với công nghệ mạng hiện nay, tốc độ truyền của mạng cục bộ có thể đạt tới 100Mb/s Đặc trưng độ tin cậy: Tỷ suất lỗi trên mạng cục bộ là thấp hơn nhiều so với mạng diện rộng hoặc các loại mạng khác.Đặc trưng quản lý: Mạng cục bộ thường là sở hữu riêng của một tổ chức nào đó (trường học, doanh nghiệp, …) do vậy, việc quản lý và khai thác mạng hòan toàn tập trung, thống nhất. 6.2. Mạng diện rộng với kết nối LAN to LAN Hình 21: Mạng diện rộng với kết nối LAN to LAN Mạng diện rộng bao giờ cũng là sự kết nối của các mạng LAN, mạng diện rộng có thể trải trên phạm vi một vùng, quốc gia hoặc cả một lục địa thậm chí trên phạm vi toàn cầu. Mạng diện rộng có một số đặc điểm sau: Tốc độ truyền dữ liệu không cao Phạm vi địa lý không giới hạn Thường triển khai dựa vào các công ty truyền thông, bưu điện và dùng các hệ thống truyền thông này để tạo dựng đường truyền Một mạng WAN có thể là sở hữu của một tập đoàn, một tổ chức hoặc là mạng kết nối của nhiều tập đoàn, tổ chức. 6.3. Liên mạng Internet Cùng với sự phát triển nhanh chóng của công nghệ là sự ra đời của liên mạng Internet. Nó có những đặc điểm sau: Là một mạng toàn cầu Là sự kết hợp của vô số các hệ thống truyền thông, máy chủ cung cấp thông tin và dịch vụ, các máy trạm khai thác thông tin…. svsd Chương II:Tổng quan về An toàn thong tin trên mạng I. Khái niệm an ninh mạng Trong hệ thống mạng, vấn đề an toàn và bảo mật một hệ thống thông tin đóng một vai trò hết sức quan trọng. Thông tin chỉ có giá trị khi nó giữ được tính chính xác, thông tin chỉ có tính bảo mật khi chỉ có những người được phép nắm giữ thông tin biết được nó. Khi ta chưa có thông tin, hoặc việc sử dụng hệ thống thông tin chưa phải là phương tiện duy nhất trong quản lý, điều hành thì vấn đề an toàn, bảo mật đôi khi bị xem thường. Nhưng một khi nhìn nhận tới mức độ quan trọng của tính bền hệ thống và giá trị đích thực của thông tin đang có thì chúng ta sẽ có mức độ đánh giá về an toàn và bảo mật hệ thống thông tin. Để đảm bảo được tính an toàn và bảo mật cho một hệ thống cần phải có sự phối hợp giữa các yếu tố phần cứng, phần mềm và con người. 1. Đánh giá vấn đề an toàn, bảo mật hệ thống Để đảm bảo an ninh cho mạng, cần phải xây dựng một số tiêu chuẩn đánh giá mức độ an ninh an toàn mạng. Một số tiêu chuẩn đã được thừa nhận là thước đo mức độ an ninh mạng. 1.1. Đánh giá trên phương diện vật lý 1.1.1. An toàn thiết bị Các thiết bị sử dụng trong mạng cần đáp ứng được các yêu cầu sau: - Có thiết bị dự phòng nóng cho các tình huống hỏng đột ngột. Có khả năng thay thế nóng từng phần hoặc toàn phần (hot-plug, hot-swap). - Khả năng cập nhật, nâng cấp, bổ xung phần cứng và phần mềm. - Yêu cầu nguồn điện, có dự phòng trong tình huống mất đột ngột - Các yêu cầu phù hợp với môi trường xung quanh: độ ẩm, nhiệt độ, chống sét, phòng chống cháy nổ, vv... 1.1.2. An toàn dữ liệu - Có các biện pháp sao lưu dữ liệu một cách định kỳ và không định kỳ trong các tình huống phát sinh. - Có biện pháp lưu trữ dữ liệu tập trung và phân tán nhằm chia bớt rủi ro trong các trường hợp đặc biệt như cháy nổ, thiên tai, chiến tranh, vv.. 1.2. Đánh giá trên phương diện logic Đánh giá theo phương diện này có thể chia thành các yếu tố cơ bản sau: 1.2.1. Tính bí mật, tin cậy (Condifidentislity) Là sự bảo vệ dữ liệu truyền đi khỏi những cuộc tấn công bị động. Có thể dùng vài mức bảo vệ để chống lại kiểu tấn công này. Dịch vụ rộng nhất là bảo vệ mọi dữ liệu của người sử dụng truyền giữa hai người dùng trong một khoảng thời gian. Nếu một kênh ảo được thiết lập giữa hai hệ thống, mức bảo vệ rộng sẽ ngăn chặn sự rò rỉ của bất kỳ dữ liệu nào truyền trên kênh đó. Cấu trúc hẹp hơn của dịch vụ này bao gồm việc bảo vệ một bản tin riêng lẻ hay những trường hợp cụ thể bên trong một bản tin. Khía cạnh khác của tin bí mật là việc bảo vệ lưu lượng khỏi việc phân tích. Điều này làm cho những kẻ tấn công không thể quan sát được tần suất, độ dài của nguồn và đích hoặc những đặc điểm khác của lưu lượng trên một phương tiện giao tiếp. 1.2.2. Tính xác thực (Authentication) Liên quan tới việc đảm bảo rằng một cuộc trao đổi thông tin là đáng tin cậy. Trong trường hợp một bản tin đơn lẻ, ví dụ như một tín hiệu báo động hay cảnh báo, chức năng của dịch vụ ủy quyền là đảm bảo bên nhận rằng bản tin là từ nguồn mà nó xác nhận là đúng. Trong trường hợp một tương tác đang xẩy ra, ví dụ kết nối của một đầu cuối đến máy chủ, có hai vấn đề sau: thứ nhất tại thời điểm khởi tạo kết nối, dịch vụ đảm bảo rằng hai thực thể là đáng tin. Mỗi chúng là một thực thể được xác nhận. Thứ hai, dịch vụ cần phải đảm bảo rằng kết nối là không bị gây nhiễu do một thực thể thứ ba có thể giả mạo là một trong hai thực thể hợp pháp để truyền tin hoặc nhận tin không được cho phép. 1.2.3. Tính toàn vẹn (Integrity) Cùng với tính bí mật, toàn vẹn có thể áp dụng cho một luồng các bản tin, một bản tin riêng biệt hoặc những trường lựa chọn trong bản tin. Một lần nữa, phương thức có ích nhất và dễ dàng nhất là bảo vệ toàn bộ luồng dữ liệu Một dịch vụ toàn vẹn hướng kết nối, liên quan tới luồng dữ liệu, đảm bảo rằng các bản tin nhận được cũng như gửi không có sự trùng lặp, chèn, sửa, hoán vị hoặc tái sử dụng. Việc hủy dữ liệu này cũng được bao gồm trong dịch vụ này. Vì vậy, dịch vụ toàn vẹn hướng kết nối phá hủy được cả sự thay đổi luồng dữ liệu và cả từ chối dữ liệu. Mặt khác, một dịch vụ toàn vẹn không kết nối, liên quan tới từng bản tin riêng lẻ, không quan tâm tới bất kỳ một hoàn cảnh rộng nào, chỉ cung cấp sự bảo vệ chống lại sửa đổi bản tin Chúng ta có thể phân biệt giữa dịch vụ có và không có phục hồi. Bởi vì dịch vụ toàn vẹn liên quan tới tấn công chủ động, chúng ta quan tâm tới phát hiện hơn là ngăn chặn. Nếu một sự vi phạm toàn vẹn được phát hiện, thì phần dịch vụ đơn giản là báo cáo sự vi phạm này và một vài những phần của phần mềm hoặc sự ngăn chặn của con người sẽ được yêu cầu để khôi phục từ những vi phạm đó. Có những cơ chế giành sẵn để khôi phục lại những mất mát của việc toàn vẹn dữ liệu. 1.2.4. Không thể phủ nhận (Non repudiation) Tính không thể phủ nhận bảo đảm rằng người gửi và người nhận không thể chối bỏ 1 bản tin đã được truyền. Vì vậy, khi một bản tin được gửi đi, bên nhận có thể chứng minh được rằng bản tin đó thật sự được gửi từ người gửi hợp pháp. Hoàn toàn tương tự, khi một bản tin được nhận, bên gửi có thể chứng minh được bản tin đó đúng thật được nhận bởi người nhận hợp lệ. 1.2.5. Khả năng điều khiển truy nhập (Access Control) Trong hoàn cảnh của an ninh mạng, điều khiển truy cập là khả năng hạn chế các truy nhập với máy chủ thông qua đường truyền thông. Để đạt được việc điều khiển này, mỗi một thực thể cố gắng đạt được quyền truy nhập cần phải được nhận diện, hoặc được xác nhận sao cho quyền truy nhập có thể được đáp ứng nhu cầu đối với từng người. 1.2.6. Tính khả dụng, sẵn sàng (Availability) Một hệ thống đảm bảo tính sẵn sàng có nghĩa là có thể truy nhập dữ liệu bất cứ lúc nào mong muốn trong vòng một khoảng thời gian cho phép. Các cuộc tấn công khác nhau có thể tạo ra sự mất mát hoặc thiếu về sự sẵn sàng của dịch vụ. Tính khả dụng của dịch vụ thể hiện khả năng ngăn chặn và khôi phục những tổn thất của hệ thống do các cuộc tấn công gây ra. 2. Các loại hình tấn công vào mạng Các kiểu tấn công vào mạng ngày càng vô cùng tinh vi, phức tạp và khó lường, gây ra nhiều tác hại. Các kỹ thuật tấn công luôn biến đổi và chỉ được phát hiện sau khi đã để lại những hậu quả xấu. Một yêu cầu cần thiết để bảo vệ an toàn cho mạng là phải phân tích, thống kê và phân loại được các kiểu tấn công, tìm ra các lỗ hổng có thể bị lợi dụng để tấn công. Có thể phân loại các kiểu tấn công theo một số cách sau. 2.1. Theo tính chất xâm hại thông tin - Tấn công chủ động: Là kiểu tấn công can thiệp được vào nội dung và luồng thông tin, sửa chữa hoặc xóa bỏ thông tin. Kiểu tấn công này dễ nhận thấy khi phát hiện được những sai lệch thông tin nhưng lại khó phòng chống. - Tấn công bị động: Là kiểu tấn công nghe trộm, nắm bắt được thông tin nhưng không thể làm sai lạc hoặc hủy hoại nội dung và luồng thông tin. Kiểu tấn công này dễ phòng chống nhưng lại khó có thể nhận biết được thông tin có bị rò rỉ hay không 2.2. Theo vị trí mạng bị tấn công - Tấn công trực tiếp vào máy chủ cung cấp dịch vụ làm tê liệt máy chủ dẫn tới ngưng trệ dịch vụ, hay nói cách khác là tấn công vào các thiết bị phần cứng và hệ điều hành. - Tấn công vào cơ sở dữ liệu làm rỏ rỉ, sai lệch hoặc mất thông tin. - Tấn công vào các điểm (node) truyền tin trung gian làm nghẽn mạng hoặc có thể làm gián đoạn mạng - Tấn công đường truyền (lấy trộm thông tin từ đường truyền vật lý) 2.3. Theo kỹ thuật tấn công - Tấn công từ chối dịch vụ (Denied of service): tấn công vào máy chủ làm tê liệt một dịch vụ nào đó - Tấn công kiểu lạm dụng quyền truy cập (Abose of acccess privileges): kẻ tấn công chui vào máy chủ sau khi đã vượt qua được các mức quyền truy cập. Sau đó sử dụng các quyền này để tấn công hệ thống. - Tấn công kiểu ăn trộm thông tin vật lý (Physical theft): lấy trộm thông tin trên đường truyền vật lý. - Tấn công kiểu thu lượm thông tin (information gather): bắt các tập tin lưu thông trên mạng, tập hợp thành những nội dung cần thiết - Tấn công kiểu bẻ khóa mật khẩu (password cracking): dò, phá, bẻ khóa mật khẩu - Tấn công kiểu khai thác những điểm yếu, lỗ hổng (exploitation of system and network vulnerabilities): tấn công trực tiếp vào các điểm yếu, lỗ hổng của mạng - Tấn công kiểu sao chép, ăn trộm thông tin (spoofing): giả mạo người khác để tránh bị phát hiện khi gửi thông tin vô nghĩa hoặc tấn công mạng - Tấn công bằng các đoạn mã nguy hiểm (malicious code): gửi theo gói tin đến hệ thống các đoạn mã mang tính chất nguy hại đến hệ thống. 2.4. Các hình thức tấn công - Mạo danh: Mạo danh là một thành viên trong mạng để truy cập hệ thống, nhưng kiểu mạo danh hay gặp trong mạng có dây là giả làm các máy chủ như Web server, Mail server, Data server, .. để thu hút sự truy cập của máy Client, lấy nguồn thông tin mà Client cung cấp. - Dò mật khẩu, giải mã dữ liệu: Trong mạng có dây thường thì quá trình trao đổi dữ liệu không được mã hóa, ví dụ như quá trình trao đổi dữ liệu giữa 2 máy tính trong một mạng LAN. Vì thế, quá trình quét, dò, thử, giải mã các thông tin, phổ biến nhất là mật khẩu, thông tin cá nhân của người sử dụng ở đây thường tập trung vào dữ liệu ở các lớp cao, ví dụ lớp Present của mô hình OSI 7 lớp . Kẻ tấn công có truy cập vào đến hệ thống cơ sở dữ liệu và thực hiện giải mã ở đó. - Tìm lỗ hổng trong hệ thống: Đây là một phương pháp khá thông dụng hiện nay và dường như không có biện pháp ngăn chặn bởi vì kẻ tấn công luôn tìm ra các lỗi phần mềm mới trong hệ thống, tiêu biểu nhất là của hệ điều hành Microsoft Windows, các hệ quản trị CSDL SQL Server, .. - Chiếm quyền điều khiển: Việc chiếm quyền điều khiển có thể xuất phát từ việc dò lỗi của các lỗ hổng, cũng có thể do việc đưa được các chương trình của kẻ phá hoại ví dụ như virus vào được hệ thống. Khi đó kẻ tấn công có thể thực hiện phá hoại ngay hoặc có thể thu thập, bắt các thông tin trao của trên máy tính đó. - Tấn công từ chối dịch vụ - DOS: Kiểu tấn công này cũng khá phổ biến, ngoài ra nó còn được phát triển thành những hình thức khác, ví dụ như DRDOS – Distributed Reflection DOS, tấn công từ chối dịch vụ kiểu phân tán bằng phản xạ, có nghĩa là kẻ tấn công có thể chỉ cần dùng một máy tính bình thường, đường truyền tốc độ thấp ra lệnh cho nhiều máy chủ cùng gửi bản tin tấn công DOS đến một máy chủ khác theo nguyên lý truyền phản xạ bản tin từ máy chủ này sang máy chủ kia. II. Đảm bảo an ninh mạng 1. Các biện pháp bảo vệ Trong một hệ thống truyền thông ngày nay, các loại dữ liệu như các quyết định, chỉ thị, tài liệu,.. được lưu chuyển trên mạng với một lưu lượng lớn, khổng lồ và đa dạng. Trong quá trình dữ liệu đi từ người gửi đến người nhận, chúng ta quan tâm đến vấn đề sau: - Dữ liệu có bị sửa đổi không? - Dữ liệu có bị mạo danh không? Vì không thể có một giải pháp an toàn tuyệt đối nên người ta thường phải sử dụng đồng thời nhiều mức độ bảo vệ khác nhau trước các hoạt động xâm phạm. Việc bảo vệ thông tin trên mạng chủ yếu là bảo vệ thông tin trên các kho dữ liệu được cài đặt trong các Server của mạng. Bởi thế ngoài một số biện pháp nhằm chống thất thoát thông tin trên đường truyền, mọi cố gắng tập trung vào việc xây dựng các mức “rào chắn” từ ngoài vào trong cho các hệ thống kết nối vào mạng. 1.1. Quy trình xây dựng hệ thống thông tin an toàn 1.1.1. Đánh giá và lập kế hoạch - Có các khóa đào tạo trước triển khai để người trực tiếp thực hiện nắm vững các thông tin về an toàn thông tin. Sau quá trình đào tạo người trực tiếp tham gia công việc biết rõ làm thể nào để bảo vệ các tài nguyên thông tin của mình. - Đánh giá mức độ an toàn hệ thống về mọi bộ phận như các ứng dụng mạng, hệ thống, hệ điều hành, phần mềm ứng dụng, vv... Các đánh giá được thực hiện cả về mặt hệ thống mạng logic lẫn hệ thống vật lý. Mục tiêu là có cài nhìn tổng thể về an toàn của hệ thống của bạn, các điểm mạnh và điểm yếu. - Các cán bộ chủ chốt tham gia làm việc để đưa ra được chính xác thực trạng an toàn hệ thống hiện tại và các yêu cầu mới về mức độ an toàn. - Lập kế hoạch an toàn hệ thống. 1.1.2. Phân tích hệ thống và thiết kế - Thiết kế hệ thống an toàn thông tin cho mạng. - Lựa chọn các công nghệ và tiêu chuẩn về an toàn sẽ áp dụng. - Xây dựng các tài liệu về chính sách an toàn cho hệ thống 1.1.3. Áp dụng vào thực tế - Thiết lập hệ thống an toàn thông tin trên mạng. - Cài đặt các phần mềm tăng cường khả năng an toàn như firewall, các bản chữa lỗi, chương trình quét và diệt virus, các phần mềm theo dõi và ngăn chặn truy nhập bất hợp pháp. - Thay đổi cấu hình các phần mềm hay hệ thống hiện sử dụng cho phù hợp. - Phổ biến các chính sách an toàn đến nhóm quản trị hệ thống và từng người sử dụng trong mạng, quy định để tất cả mọi người nắm rõ các chức năng và quyền hạn của mình. 1.1.4. Duy trì và bảo dưỡng - Đào tạo nhóm quản trị có thể nắm vững và quản lý được hệ thống. - Liên tục bổ sung các kiến thức về an toàn thông tin cho những người có trách nhiệm như nhóm quản trị, lãnh đạo... - Thay đổi các công nghệ an toàn để phù hợp với những yêu cầu mới. 1.2. Các biện pháp và công cụ bảo mật hệ thống Có nhiều biện pháp và công cụ bảo mật hệ thống, ở đây xin liệt kê một số loại phổ biến, thường áp dụng 1.2.1. Kiểm soát truy nhập Kiểm soát quyền truy nhập bảo vệ cho hệ thống khỏi các mối đe dọa bằng cách xác định cái gì có thể đi vào và đi ra khỏi mạng. Việc kiểm soát truy nhập sẽ xác định trên mọi dịch vụ và ứng dụng cơ bản hoạt động trên hệ thống. 1.2.2. Kiểm soát sự xác thực người dùng (Authentication) Kiểm soát sự xác thực người sử dụng là bước tiếp theo sau khi được truy nhập vào mạng. Người sử dụng muốn truy nhập vào các tài nguyên của mạng thì sẽ phải được xác nhận bởi hệ thống bảo mật. Có thể có mấy cách kiểm soát sự xác thực người sử dụng: - Xác thực người sử dụng: cung cấp quyền sử dụng các dịch vụ cho mỗi người dùng. Mỗi khi muốn sử dụng một tài nguyên hay dịch vụ của hệ thống, anh ta sẽ phải được xác thực bởi một máy chủ xác thực người sử dụng và kiểm tra xem có quyền sử dụng dịch vụ hay tài nguyên của hệ thống không. - Xác thực trạm làm việc: Cho phép người sử dụng có quyền truy nhập tại những máy có địa chỉ xác định. Ngược lại với việc xác thực người sử dụng, xác thực trạm làm việc không giới hạn với các dịch vụ. - Xác thực phiên làm việc: Cho phép người sử dụng phải xác thực để sử dụng từng dịch vụ trong mỗi phiên làm việc. - Có nhiều công cụ dùng cho việc xác thực, ví dụ như: + TACAC + dùng cho việc truy nhập từ xa thông qua Cisco Router. + RADIUS khá phổ biến cho việc truy nhập từ xa (Remote Access). + Firewall-1 cũng là một công cụ mạnh cho phép xác thực cả 3 loại ở trên. 1.2.3. Bảo vệ hệ điều hành Một trong những mối đe doạ mạng đó là việc người dùng trong mạng có thể truy nhập vào hệ điều hành cơ sở của các máy chủ, thay đổi cấu hình hệ điều hành và do đó có thể làm thay đổi chính sách bảo mật của hệ thống, vì vậy phải có chỉ định và cấp quyền và trách nhiệm một các rõ ràng. 1.2.4. Phòng chống những người dùng trong mạng - Sử dụng phần mềm crack: Các chương trình crack có thể bẻ khóa, sửa đổi các quy tắc hoạt động của chương trình phần mềm. Vì vậy có 1 ý tưởng là sử dụng chính các chương trình crack này để phát hiện các lỗi của hệ thống - Sử dụng mật khẩu một lần: Mật khẩu một lần là mật khẩu chỉ được dùng một lần khi truy nhập vào mạng. Mật khẩu này sẽ chỉ dùng một lần sau đó sẽ không bao giờ được dùng nữa. Nhằm phòng chống những chương trình bắt mật khẩu để đánh cắp tên và mật khẩu của người sử dụng khi chúng được truyền qua mạng. 1.2.5. Kiểm soát nội dung thông tin Việc kiểm soát nội dung thông tin bao gồm: - Diệt virus: Quét nội dung các dữ liệu gửi qua cổng truy nhập mạng để phát hiện các virus và tự động diệt. - Kiểm soát thư tín điện tử : Bằng cách có thể kiểm soát, xác nhận những e-mail từ người nào đó hay không cho phép gửi thư đến người nào đó, kiểm soát các file gửi kèm, giới hạn kích thước của thư và chống virus đi kèm. - Kiểm soát dịch vụ kết nối mạng khác 1.2.6. Mã hoá dữ liệu Việc mã hoá dữ liệu là một phần quan trọng trong việc bảo mật. Dữ liệu quan trọng sẽ được mã hoá trước khi được chuyển đi qua mạng hay qua lưu trữ. Với việc phát triển các giao dịch điện tử việc mã hoá và bảo mật các thông tin thương mại trên mạng. Đây là một vấn đề nóng hổi._. đối với các nhà phát triển trên thế giới và cũng là một đề tài cần phải nghiên cứu và phát triển. 1.2.7. Xác nhận chữ ký điện tử Trong môi trường mạng, việc trao đổi thông điệp đòi hỏi phải có sự xác nhận người gửi. Việc xác nhận người gửi đảm bảo rằng bức thông điệp đó thực sự được gửi từ người gửi chứ không phải ai khác (sử dụng thời gian lận tên người gửi đó). Công nghệ chữ ký điện tử ra đời để phục vụ việc xác nhận người gửi này. Thực chất của công nghệ chữ ký điện tử này chính là chữ ký của người gửi sẽ được mã hoá thông qua khoá private chỉ có người gửi có. Chữ ký được mã hóa sẽ được gửi kèm bức thông điệp đến tay người nhận, và người nhận sử dụng khoá công cộng do người gửi cung cấp để giải mã và xác nhận xem chữ ký đó là đúng hay sai. PHẦN 2: FIREWALL GIỚI THIỆU VỀ FIREWALL Ngày nay, ở bất kỳ đâu chúng ta cũng nghe nói đến mạng Internet, các phương tiện thông tin đại chúng như báo chí, phát thanh, truyền hình… Qua mạng Internet, con người có thể kinh doanh tiếp thị trên toàn cầu và tiếp cận được khối lượng thông tin khổng lồ, cập nhật trong thời gian nhanh. Lợi ích của Internet mang lại là không nhỏ, nhưng nguy hiểm khi tham gia vào mạng cũng không ít. Nguy hiểm chính là ngày càng có nhiều mối đe dạo đến sự bảo mật và mất mát thông tin. Thông tin là sự sống còn của một doanh nghiệp, một tổ chức hay một quốc gia. Do đó thông tin là vô giá. Chúng ta bằng mọi cách để bảo vệ chúng tránh các mối nguy hiểm, một trong những giải pháp tốt hiện nay là xây dựng Firewall. Sử dụng các bức tường lửa (Firewall) để bảo vệ mạng, tránh sự tấn công từ bên ngoài đảm bảo được các yếu tố: An toàn cho sự hoạt động của toàn bộ hệ thống mạng Bảo mật cao trên nhiều phương diện Khả năng kiểm soát cao Đảm bảo tốc độ nhanh Mềm dẻo và dễ sử dụng Trong suốt với người sử dụng Đảm bảo kiến trúc mở Firewall Mạng nội bộ (Inernal network) : bao gồm các máy tính, các thiết bị mạng. Mạng máy tính thuộc một đơn vị quản lý (Trường học, công ty, tổ chức. đoàn thể, Quốc gia…) cùng nằm một bên với firewall, mà thông tin đến và đi từ một máy thuộc nó đến một máy không thuộc nó đều phải qua firewall đó. Host bên trong (Internal Host) : máy thuộc mạng nội bộ. Host bên ngoài (External Host): máy bất kỳ kết nối vào liên mạng và không thuộc mạng nội bộ nói trên. Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế (mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi các mạng không tin tưởng (Untrusted network). Thông thường Firewall được đặt giữa mạng bên trong của một công ty, tổ chức, ngành hay một quốc gia, và Internet. Vai trò chính là bảo mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài và cấm truy nhập từ bên trong tới một số địa chỉ nhất định trên Internet. Hình 4: Mô hình firewall Một cách vắn tắt, firewall là hệ thống ngăn chặn việc truy nhập trái phép từ bên ngoài vào mạng cũng như những kết nối không hợp lệ từ bên trong ra. Firewall thực hiện việc lọc bỏ những địa chỉ không hợp lệ dựa theo các quy tắc hay chỉ tiêu định trước. Hình 5: Lọc gói tin tại Firewall Firewall có thể là hệ thống phần cứng, phần mềm hoặc kết hợp cả hai. Tính chất chung của các Firewall là phân biệt địa chỉ IP dựa trên các gói tin hay từ chối việc truy nhập bất hợp pháp căn cứ trên địa chỉ nguồn. Phần cứng – Điển hình là các tường lửa mạng, thiết bị mở rộng này được đặt giữa máy tính hoặc mạng và cáp hoặc modem DSL. Nhiều hãng và nhà cung cấp dịch vụ Internet (ISP) đưa ra các thiết bị “router” trong đó cũng bao gồm các tính năng tường lửa. Tường lửa phần cứng được sử dụng có hiệu quả trong việc bảo vệ nhiều máy tính mà vẫn có mức bảo mật cao cho một máy tính đơn. Nếu bạn chỉ có một máy tính phía sau tường lửa, hoặc nếu bạn chắc chắn rằng tất cả các máy tính khác trên mạng được cập nhật các bản vá miễn phí về virus, worm và các mã nguy hiểm khác thì bạn không cần mở rộng sự bảo vệ của một phần mềm tường lửa. Tường lửa phần cứng có ưu điểm trong việc phân chia các thiết bị đang chạy trên hệ điều hành riêng, vì vậy chúng cung cấp khả năng chống lại các tấn công. Tuy nhiên mặt hạn chế lớn đối với chúng là chi phí, mặc dù vậy nhiều sản phẩm cũng có giá thấp hơn 100$ (thậm chí còn có sản phẩm thấp hơn 50$). Phần mềm – Một vài hệ điều hành có tường lửa kèm theo, nếu hệ điều hành của bạn không có thì cũng dễ dàng kiếm được từ một số cửa hàng máy tính hay hãng phần mềm hoặc các nhà cung cấp dịch vụ Internet. Vì có nhiều rủi ro trong việc download phần mềm từ Internet về một máy tính không được bảo vệ nên tốt nhất là bạn nên cài đặt tường lửa từ đĩa CD, DVD hoặc đĩa mềm. Chức năng Chức năng chính của Firewall là kiểm soát luồng thông tin giữa mạng bên trong (Intranet) và mạng Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng Intranet và mạng Internet. Cụ thể là: Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet). Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào Intranet). Theo dõi luồng dữ liệu mạng giữa Internet và Intranet. Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập. Kiểm soát người sử dụng và việc truy nhập của người sử dụng. Kiểm soát nội dung thông tin lưu chuyển trên mạng. Hình 6: Một số chức năng của Firewall Các thành phần Firewall chuẩn bao gồm một hay nhiều các thành phần sau đây: Bộ lọc gói tin (packet-filtering router) Cổng ứng dụng (application-level gateway hay proxy server) Cổng mạch vòng (circuite level gateway) Bộ lọc gói tin (packet-filtering router) Nguyên lý: Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức TCP/IP. Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS…) thành các gói dữ liệu (data pakets) rồi gán cho các packet này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng Hình 7: Lọc gói tin Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các luật lệ của lọc packet hay không. Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi packet (packet header), dùng để cho phép truyền các packet đó ở trên mạng. Đó là: Địa chỉ IP nơi xuất phát ( IP Source address) Địa chỉ IP nơi nhận (IP Destination address) Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel) Cổng TCP/UDP nơi xuất phát (TCP/UDP source port) Cổng TCP/UDP nơi nhận (TCP/UDP destination port) Dạng thông báo ICMP ( ICMP message type) Giao diện packet đến ( incomming interface of packet) Giao diện packet đi ( outcomming interface of packet) Nếu luật lệ lọc packet được thoả mãn thì packet được chuyển qua Firewall. Nếu không packet sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Hơn nữa, việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP…) được phép mới chạy được trên hệ thống mạng cục bộ. b. Ưu điểm: Đa số các hệ thống Firewall đều sử dụng bộ lọc packet. Một trong những ưu điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã được bao gồm trong mỗi phần mềm router. Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả. c. Hạn chế: Việc định nghĩa các chế độ lọc package là một việc khá phức tạp; đòi hỏi người quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạng packet header, và các giá trị cụ thể có thể nhận trên mỗi trường. Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet không kiểm soát được nôi dung thông tin của packet. Các packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu. Cổng ứng dụng(application-level gateway hay proxy server) Nguyên lý: Một dạng phổ biến là Firewall dựa trên ứng dụng application-proxy. Loại này hoạt động hơi khác với Firewall dựa trên bộ định tuyến lọc gói tin. Application gateway dựa trên cơ sở phần mềm. Khi một người dùng không xác định kết nối từ xa vào mạng chạy application gateway, gateway sẽ ngăn chặn kết nối từ xa này. Thay vì nối thông, gateway sẽ kiểm tra các thành phần của kết nối theo những quy tắc định trước. Nếu thoả mãn các quy tắc, gateway sẽ tạo cầu nối (bridge) giữa trạm nguồn và trạm đích. Hình 8: Firewall mềm Cầu nối đóng vai trò trung gian giữa hai giao thức. Ví dụ, trong một mô hình gateway đặc trưng, gói tin theo giao thức IP không được chuyển tiếp tới mạng cục bộ, lúc đó sẽ hình thành quá trình dịch mà gateway đóng vai trò bộ phiên dịch. Ưu điểm: Ưu điểm của Firewall application gateway là không phải chuyển tiếp IP. Quan trọng hơn, các điều khiển thực hiện ngay trên kết nối. Sau cùng, mỗi công cụ đều cung cấp những tính năng thuận tiện cho việc truy nhập mạng. Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy nhập được bởi các dịch vụ. Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào cho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là các dịch vụ ấy bị khoá. Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có nhật ký ghi chép lại thông tin về truy nhập hệ thống. Luật lệ lọc filltering cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so với bộ lọc packet. Hạn chế: Hạn chế khác của mô hình Firewall này là mỗi ứng dụng bảo mật (proxy application) phải được tạo ra cho từng dịch vụ mạng. Như vậy một ứng dụng dùng cho Telnet, ứng dụng khác dùng cho HTTP, v.v.. Yêu cầu các users thay đổi thao tác, hoặc thay đổi phần mềm đã cài đặt trên máy client cho truy nhập vào các dịch vụ proxy. Chẳng hạn, Telnet truy nhập qua cổng ứng dụng đòi hỏi hai bước để nối với máy chủ chứ không phải là một bước thôi. Tuy nhiên, cũng đã có một số phần mềm client cho phép ứng dụng trên cổng ứng dụng là trong suốt, bằng cách cho phép user chỉ ra máy đích chứ không phải cổng ứng dụng trên lệnh Telnet. Do không thông qua quá trình chuyển dịch IP nên gói tin IP từ địa chỉ không xác định sẽ không thể tới máy tính trong mạng của bạn, do đó hệ thống application gateway có độ bảo mật cao hơn. Cổng vòng (circuite level gateway) Cổng vòng là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng dụng(application gateway). Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc packet nào. VD: Cổng vòng đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực hiện một sự kiểm tra, lọc hay điều khiển các thủ tục Telnet nào.Cổng vòng làm việc như một sợi dây, sao chép các byte giữa kết nối bên trong (inside connection) và các kết nối bên ngoài (outside connection). Tuy nhiên, vì sự kết nối này xuất hiện từ hệ thống firewall, nên nó che dấu thông tin về mạng nội bộ. Cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà các quản trị mạng thật sự tin tưởng những người dùng bên trong. Ưu điểm lớn nhất là một bastion host có thể được cấu hình như là một hỗn hợp cung cấp Cổng ứng dụng cho những kết nối đến, và cổng vòng cho các kết nối đi. Điều này làm cho hệ thống Firewall dễ dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ Internet, trong khi vẫn cung cấp chức năng Firewall để bảo vệ mạng nội bộ từ những sự tấn công bên ngoài. Hình 9: Cổng vòng Các dạng Firewall Mỗi dạng Firewall khác nhau có những thuận lợi và hạn chế riêng. Dạng phổ biến nhất là Firewall mức mạng (Network-level firewall). Loại Firewall này thường dựa trên bộ định tuyến, vì vậy các quy tắc quy định tính hợp pháp cho việc truy nhập được thiết lập ngay trên bộ định tuyến. Mô hình Firewall này sử dụng kỹ thuật lọc gói tin (packet filtering technique), đó là tiến trình kiểm soát các gói tin qua bộ định tuyến. Hình 10: Firewall được cấu hình tại router Khi hoạt động, Firewall sẽ dựa trên bộ định tuyến mà kiểm tra địa chỉ nguồn (source address) hay địa chỉ xuất phát của gói tin. Sau khi nhận diện xong, mỗi địa chỉ nguồn IP sẽ được kiểm tra theo các quy tắc do người quản trị mạng định trước. Firewall dựa trên bộ định tuyến làm việc rất nhanh do nó chỉ kiểm tra lướt trên các địa chỉ nguồn mà không hề có yêu cầu thực sự nào đối với bộ định tuyến, không tốn thời gian xử lý những địa chỉ sai hay không hợp lệ. Tuy nhiên, bạn phải trả giá: ngoại trừ những điều khiển chống truy nhập, các gói tin mang địa chỉ giả mạo vẫn có thể thâm nhập ở một mức nào đó trên máy chủ của bạn. Một số kỹ thuật lọc gói tin có thể được sử dụng kết hợp với Firewall để khắc phục nhược điểm nói trên. Địa chỉ IP không phải là thành phần duy nhất của gói tin có thể mắc bẫy bộ định tuyến. Người quản trị nên áp dụng đồng thời các quy tắc, sử dụng thông tin định danh kèm theo gói tin như thời gian, giao thức, cổng… để tăng cường điều kiện lọc. Tuy nhiên, sự yếu kém trong kỹ thuật lọc gói tin của Firewall dựa trên bộ định tuyến không chỉ có vậy. Một số dịch vụ gọi thủ tục từ xa (Remote Procedure Call – RPC) rất khó lọc một cách hiệu quả do các server liên kết phụ thuộc vào các cổng được gán ngẫu nhiên khi khởi động hệ thống. Dịch vụ gọi là ánh xạ cổng (portmapper) sẽ ánh xạ các lời gọi tới dịch vụ RPC thành số dịch vụ gán sẵn, tuy nhiên, do không có sự tương ứng giữa số dịch vụ với bộ định tuyến lọc gói tin, nên bộ định tuyến không nhận biết được dịch vụ nào dùng cổng nào, vì thế nó không thể ngăn chặn hoàn toàn các dịch vụ này, trừ khi bộ định tuyến ngăn toàn bộ các gói tin UDP (các dịch vụ RPC chủ yếu sử dụng giao thức UDP hay User Datagram Protocol). Việc ngăn chặn tất cả các gói tin UDP cũng sẽ ngăn luôn cả các dịch vụ cần thiết, ví dụ như DNS (Domain Name Service ố dịch vụ đặt tên vùng). Vì thế, dẫn đến tình trạng tiến thoái lưỡng nan. Hạn chế của Firewall. Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ. Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không “đi qua” nó. Một cách cụ thể, firewall không thể chống lại một cuộc tấn công từ một đường dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm. Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (datadriven attack). Khi có một số chương trình được chuyển theo thư điện tử, vượt qua firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây. Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của firewall. Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi. Firewall có dễ phá hay không? Câu trả lời là không. Lý thuyết không chứng minh được có khe hở trên Firewall, tuy nhiên thực tiễn thì lại có. Các hacker đã nghiên cứu nhiều cách phá Firewall. Quá trình phá Firewall gồm hai giai đoạn: đầu tiên phải tìm ra dạng Firewall mà mạng sử dụng cùng các loại dịch vụ hoạt động phía sau nó; tiếp theo là phát hiện khe hở trên Firewall đó, giai đoạn này thường khó khăn hơn. Theo nghiên cứu của các hacker, khe hở trên Firewall tồn tại là do lỗi định cấu hình của người quản trị hệ thống, sai sót này cũng không hiếm khi xảy ra. Người quản trị phải chắc chắn sẽ không có bất trắc cho dù sử dụng hệ điều hành (HĐH) mạng nào, đây là cả một vấn đề nan giải. Trong các mạng UNIX, điều này một phần là do HĐH UNIX quá phức tạp, có tới hàng trăm ứng dụng, giao thức và lệnh riêng. Sai sót trong xây dựng Firewall có thể do người quản trị mạng không nắm vững về TCP/IP. Một trong những việc phải làm của các hacker là tách các thành phần thực ra khỏi các thành phần giả mạo. Nhiều Firewall sử dụng trạm hy sinh (sacrificial hosts) – là hệ thống được thiết kế như các server Web (có thể sẵn sàng bỏ đi) hay bẫy (decoys), dùng để bắt các hành vi thâm nhập của hacker. Bẫy có thể cần dùng tới những thiết bị ngụy trang phức tạp nhằm che dấu tính chất thật của nó, ví dụ: đưa ra câu trả lời tương tự hệ thống tập tin hay các ứng dụng thực. Vì vậy, công việc đầu tiên của hacker là phải xác định đây là các đối tượng tồn tại thật. Hình 11: Tấn công hệ thống từ bên ngoài. Để có được thông tin về hệ thống, hacker cần dùng tới thiết bị có khả năng phục vụ mail và các dịch vụ khác. Hacker sẽ tìm cách để nhận được một thông điệp đến từ bên trong hệ thống, khi đó, đường đi được kiểm tra và có thể tìm ra những manh mối về cấu trúc hệ thống. Ngoài ra, không Firewall nào có thể ngăn cản việc phá hoại từ bên trong. Nếu hacker tồn tại ngay trong nội bộ tổ chức, chẳng bao lâu mạng của bạn sẽ bị hack. Thực tế đã xảy ra với một công ty dầu lửa lớn: một tay hacker trà trộn vào đội ngũ nhân viên và thu thập những thông tin quan trọng không chỉ về mạng mà còn về các trạm Firewall. Một số mô hình Firewall Packet-Filtering Router (Bộ trung chuyển có lọc gói) Hệ thống Internet firewall phổ biến nhất chỉ bao gồm một packet-filtering router đặt giữa mạng nội bộ và Internet. Một packet-filtering router có hai chức năng: chuyển tiếp truyền thông giữa hai mạng và sử dụng các quy luật về lọc gói để cho phép hay từ chối truyền thông. Căn bản, các quy luật lọc đựơc định nghĩa sao cho các host trên mạng nội bộ được quyền truy nhập trực tiếp tới Internet, trong khi các host trên Internet chỉ có một số giới hạn các truy nhập vào các máy tính trên mạng nội bộ. Tư tưởng của mô cấu trúc firewall này là tất cả những gì không được chỉ ra rõ ràng là cho phép thì có nghĩa là bị từ chối. Ưu điểm: Giá thành thấp, cấu hình đơn giản Trong suốt(transparent) đối với user. b. Hạn chế: Có rất nhiều hạn chế đối với một packet-filtering router, như là dễ bị tấn công vào các bộ lọc mà cấu hình được đặt không hoàn hảo, hoặc là bị tấn công ngầm dưới những dịch vụ đã được phép. Bởi vì các packet được trao đổi trực tiếp giữa hai mạng thông qua router, nguy cơ bị tấn công quyết định bởi số lợng các host và dịch vụ được phép. Điều đó dẫn đến mỗi một host được phép truy nhập trực tiếp vào Internet cần phải được cung cấp một hệ thống xác thực phức tạp, và thường xuyên kiểm tra bởi người quản trị mạng xem có dấu hiệu của sự tấn công nào không. Nếu một packet-filtering router do một sự cố nào đó ngừng hoạt động, tất cả hệ thống trên mạng nội bộ có thể bị tấn công. Hình 12: Packet-Filtering Router Mô hình Screened Host Firewall Hệ thống này bao gồm một packet-filtering router và một bastion host. Hệ thống này cung cấp độ bảo mật cao hơn hệ thống trên, vì nó thực hiện cả bảo mật ở tầng network (packet-filtering) và ở tầng ứng dụng (application level). Đồng thời, kẻ tấn công phải phá vỡ cả hai tầng bảo mật để tấn công vào mạng nội bộ. Hình 13: Mô hình Screened Host Firewall( single-Homed Bastion Host) Trong hệ thống này, bastion host được cấu hình ở trong mạng nội bộ. Qui luật filtering trên packet-filtering router được định nghĩa sao cho tất cả các hệ thống ở bên ngoài chỉ có thể truy nhập bastion host; Việc truyền thông tới tất cả các hệ thống bên trong đều bị khoá. Bởi vì các hệ thống nội bộ và bastion host ở trên cùng một mạng, chính sách bảo mật của một tổ chức sẽ quyết định xem các hệ thống nội bộ được phép truy nhập trực tiếp vào bastion Internet hay là chúng phải sử dụng dịch vụ proxy trên bastion host. Việc bắt buộc những user nội bộ được thực hiện bằng cách đặt cấu hình bộlọc của router sao cho chỉ chấp nhận những truyền thông nội bộ xuất phát từ bastion host. Ưu điểm: Máy chủ cung cấp các thông tin công cộng qua dịch vụ Web và FTP có thể đặt trên packet-filtering router và bastion. Trong trường hợp yêu cầu độ an toàn cao nhất, bastion host có thể chạy các dịch vụ proxy yêu cầu tất cả các user cả trong và ngoài truy cập qua bastion host trước khi nối với máy chủ. Trong trường hợp không yêu cầu độ an toàn cao thì các máy nội bộ có thể nối thẳng với máy chủ. Nếu cần độ bảo mật cao hơn nữa thì có thể dùng hệ thống Firewall dual-homed(hai chiều) bastion host (hình 14). Một hệ thống bastion host như vậy có hai giao diện mạng (network interface), nhưng khi đó khả năng truyền thông trực tiếp giữa hai giao diện qua dịch vụ proxy là bị cấm. Hình 14: Mô hình Screened Host Firewall (Dual-Homed Bastion Host) Bởi vì bastion host là hệ thống bên trong duy nhất có thể truy nhập được từ Internet, sự tấn công cũng chỉ giới hạn đến bastion host mà thôi. Tuy nhiên, nếu như user log on được vào bastion host thì họ có thể dễ dàng truy nhập toàn bộ mạng nội bộ. Vì vậy cần phải cấm không cho user logon vào bastion host. Mô hình Demilitarized Zone (DMZ-khu vực phi quân sự) hay Screened-subnet Firewall. Hệ thống bao gồm hai packet-filtering router và một bastion host. Hệ có độ an toàn cao nhất vì nó cung cấp cả mức bảo mật network và application, trong khi định nghĩa một mạng “phi quân sự”. Mạng DMZ đóng vai trò như một mạng nhỏ, cô lập đặt giữa Internet và mạng nội bộ. Cơ bản, một DMZ được cấu hình sao cho các hệ thống trên Internet và mạng nội bộ chỉ có thể truy nhập được một số giới hạn các hệ thống trên mạng DMZ, và sự truyền trực tiếp qua mạng DMZ là không thể được. Hình 15: Mô hình DMZ Với những thông tin đến, router ngoài chống lại những sự tấn công chuẩn (như giả mạo địa chỉ IP), và điều khiển truy nhập tới DMZ. Hệ thống chỉ cho phép bên ngoài truy nhập vào bastion host. Router trong cung cấp sự bảo vệ thứ hai bằng cách điều khiển DMZ truy nhập mạng nội bộ chỉ với những truyền thông bắt đầu từ bastion host. Với những thông tin đi, router trong điều khiển mạng nội bộ truy nhập tới DMZ. Nó chỉ cho phép các hệ thống bên trong truy nhập bastion host và có thể cả information server. Quy luật filtering trên router ngoài yêu cầu sử dung dich vụ proxy bằng cách chỉ cho phép thông tin ra bắt nguồn từ bastion host. Ưu điểm: Kẻ tấn công cần phá vỡ ba tầng bảo vệ: router ngoài, bastion host và router trong. Bởi vì router ngoài chỉ quảng cáo DMZ network tới Internet, hệ thống mạng nội bộ là không thể nhìn thấy được (invisible). Chỉ có một số hệ thống đã được chọn ra trên DMZ là được biết đến bởi Internet qua routing table và DNS information exchange (Domain Name Server) Bởi vì router trong chỉ quảng cáo DMZ network tới mạng nội bộ, các hệ thống trong mạng nội bộ không thể truy nhập trực tiếp vào Internet. Điều nay đảm bảo rằng những user bên trong bắt buộc phải truy nhập Internet qua dịch vụ proxy BASTION HOST Bastion Host là một máy tính có độ an toàn cao, được bố trí như là điểm giao tiếp chính đối với người sử dụng trên mạng nội bộ và mạng bên ngoài, do đó nó là nơi thường bị tấn công nhất trong mạng nội bộ. Nguyên lí cơ bản để thiết kế và xây dựng một Baston host Sự đơn giản: Một bastion host càng đơn giản thì càng dễ bảo vệ. bất kỳ một bastion host đều có thể có lỗi phần mềm hay lỗi cấu hình trong nó, đây là vấn đề cần quan tâm trong bảo mật. Vì thế để một bastion host ít khả năng lỗi thì nó chỉ nên cung cấp một tập nhỏ các dịch vụ với đặc quyền tối thiểu mà vẫn còn đầy đủ vai trò của nó. Dự phòng cho phương án khi bastion host bị tổn thương mà không ảnh hưởng đến mạng nội bộ. Nên đoán trước những gì xấu nhất có thể xảy ra để có kế hoạch cho nó, luôn dặt câu hỏi điều gì sẽ xảy ra nếu baston host bị tổn thương. Chúng ta nhấn mạnh điều này vì máy bastion host dễ bị tấn công nhất, do mạng bên ngoài truy cập đến nó và nó còn chống lại sự tấn công từ mạng bên ngoài vào hệ thống mạng nội bộ. Các loại Bastion host đặc biệt Có nhiều loại bastion host, có loại được xây dựng trong Screened host hoặc host cung cấp dịch vụ trên một Screened network. Thường được cấu hình tương tự nhau nhưng có một vài yêu cầu đặc biệt. Dual-homed host không có chức năng định tuyến Bản thân nó có thể là firewall, hoặc một phần của firewall phức tạp. Nó được cấu hình như các bastion host khác nhưng phải rất cẩn thận. Victim machines(máy dùng để thử nghiệm) Victim machine hữu dụng để chạy các dịch vụ khó cung cấp an toàn với proxy, packet filtering hoặc cá dịch vụ mới mà chúng ta chưa biết chính sách bảo mật thích hợp. Nó chỉ cung cấp nhu cầu tối thiểu cần thiết cho dịch vụ, để tránh các tương tác không cần thiết. Nó được cấu hình như các bastion host khác, ngoài trừ chúng luôn cho người sử dụng login vào. Internal bastion host Là host trên mạng nội bộ được cài đặt như một bastion host và tương tác với bastion host chính. Nó không giống như các bastion host khác trong mạng nộ bộ, vai trò của nó là một bastion host phụ, các bastion host trong mạng nộ bộ tương tác với bastion host phụ. External bastion host. Là một bastion host chỉ cung cấp các dịch vụ trên Internet, nó là nơi dễ bị tấn công, nên các máy này cần tăng cường bảo mật. Nó chỉ cần giới hạn việc truy cập đến mạng bên trong, chúng thường chỉ cung cấp một ít dịch vụ với một số định nghĩa tốt về bảo mật và không cần hỗ trợ các người sử dụng bên trong. Chọn máy Bước đầu tiên để xây dựng bastion host là quyết định sử dụng loại máy gì? Hệ điều hành gì? Bastion host cần nhanh như thế nào? Phần cứng nào được hỗ trợ. Hệ điều hành Nên chọn hệ điều hành UNIX/LINUX/WINDOWS NT/ WINDOWS 2K tùy theo khả năng làm chủ hệ điều hành nào, sao cho cài đặt được proxy server, bộ lọc packet, server phục vụ cho SMTP và DNS. Chọn máy tính nhanh như thế nào Thường thì bastion host không cần máy tính mạnh bởi sự giới hạn tốc độ kết nối ra Internet và không xử lí nhiều, trừ khi mạng nội bộ cung cấp dịch vụ trên Internet và mạng nội bộ được nhiều người biết đến trên phạm vi rộng lớn. Nếu mạng nội bộ cung cấp dịch vụ web thì cần bastion host có khả năng chịu tải cao. Một vài lí do mà bastion host không cần máy tính quá mạnh: Một máy chậm không là sự tăng uy tín của kẻ tấn công. Nếu bastion host bị tổn thương, nó ít hữu dụng cho việc tấn công vào mạng nội bộ hoặc dò mật khẩu. Một bastion host chậm sẽ ít hấp dẫn cho những người trong mạng nội bộ làm tổn thương. Máy tính tốc độ nhanh làm tăng thời hian chờ nên kết nối chậm. Chọn phần cứng Chọn phần cứng có tốc độ xử lí không cần mạnh, nhưng bộ nhớ phải nhiều và dung lượng đĩa lớn để có thể lưu trữ thông tin đã yêu cầu để cung cấp cho những yêu cầu giống yêu cầu đã có hoặc ghi lại dấu vết của các kết nối. Chọn vị trí vật lí đặt Bastion Host Cần đặt bastion host ở một vị trí vật lí an toàn, những người không có trách nhiệm sẽ không được đến đó. Ngoài ra cần chú ý đến nhiệt độ, nguồn điện thích hợp. Vị trí Bastion Host trên mạng Tùy theo nhu cầu có thể đặt trên mạng nội bộ, nhưng nên đặt trên mạng ngoại vi. Chọn dịch vụ mạng mà Bastion Host cung cấp Có thể chia các dịch vụ thành 4 lớp: Các dịch vụ an toàn có thể được cung cấp qua packet filtering. Các dịch vụ không an toàn khi được cung cấp bình thường nhưng có khả năng đạt được an toàn ở điều kiện khác. Các dịch vụ không an toàn khi được cung cấp bình thường và không thể đạt được an toàn, dịch vụ này phải được vô hiệu hóa và cung cấp trên máy thử nghiệm. Các dịch vụ không đến, hoặc không dùng trong việc kết nối với Internet. Các dịch vụ thường được cung cấp trên bastion host: SMTP (thư điện tử) FTP (truyền dữ liệu) HTTP (web) DNS (chuyển đổi host thành địa chỉ IP và ngược lại). DNS ít khi được dùng trực tiếp. Về ý tưởng chúng ta có thể đặt mỗi dịch vụ trên một bastion host, nhưng trên thực tế thì ít khi đạt được điều này. Do vấn đề tài chính và quản lí sẽ khó hơn khi có quá nhiều máy. Có một vài nhận xét khi nhóm các dịch vụ với nhau thành một nhóm: Các dịch vụ quan trọng: Web server phục vụ khách hàng. Các dịch vụ theo đối tượng: người sử dụng bên trong, người siwr dụng bên ngoài…. Các dịch vụ an toàn: dịch vụ tin cậy và dịch vụ không tin cậy trên các máy khác nhau. Các dịch vụ truy cập có mức độ khác nhau: thông tin công cộng và thông tin riêng tư. Lí do không cung cấp tài khoản truy cập trên Bastion Host Không cung cấp tài khoản cho người sử dụng truy cập trên Bastion host vì các lí do sau: Tài khoản của người sử dụng dễ bị tổn thương Giảm độ ổn định và tin cậy của Bastion host. Sự vô ý của người sử dụng làm phá vỡ tính bảo mật Gia tăng khó khăn khi dò tìm sự tấn công. Xây dựng một Bastion Host an toàn chống lại sự tấn công Bảo đảm máy không kết nối với Internet cho đến bước cuối cùng. Bảo vệ an toàn cho máy Cài đặt một hệ điều hành sạch tối thiểu theo yêu cầu Sửa các lỗi của hệ điều hành qua thông tin của các nhà sản xuất hệ điều hành. Sử dụng bảng liệt kê các mục cần kiểm tra an toàn phù hợp với phiên bản của hệ điều hành. Bảo vệ an toàn cho các tập tin nhật kí hệ thống (system log): là phương pháp thể hiện hoạt động của bastion host, cơ sở để kiểm tra bị tấn công. Nên có hai bản sao system log để phòng trường hợp tai họa lớn xảy ra, hai bản system log này phải được đặt ở vị trí khác nhau. Hủy các dịch vụ không dùng Hủy bất kì dịch vụ không cần thiết cung cấp cho bastion host. Nếu không biết chức năng của một dịch vụ nào đó thì nên tắt nó, nếu tắt nó có vấn đề thì ta biết ngay được chức năng của nó. Tắt các chức năng định tuyến Tắt tất cả các chương trình có chức năng định tuyến. Hủy chức năng chuyển tiếp địa chỉ IP Cấu hình cho dịch vụ chạy tốt nhất và kết nối bastion host vào mạng Cấu hình hệ điều hành lần cuối. Loại bỏ các chương trình không cần thiết. Dựng hệ thống file chỉ đọc. Chạy kiểm tra (dùng phần mềm) sự an toàn: Để biết lỗ hổng bảo mật, thiế._.