Đồ án tốt nghiệp Tìm hiểu lý thuyết và xây dựng Firewall trên nền Linux
tải về 0.55 Mb.
|
- Điều hướng trang này:
- 4.3.2 Bảo vệ theo chiều sâu ( Defence in Depth )
- 4.3.3 Nút thắt ( Choke Point )
- 4.3.4 Liên kết yếu nhất ( Weakest Link )
- 4.3.5 Hỏng an toàn ( Fail – Safe Stance )
- 4.3.6 Tính toàn cục ( Universal Participation )
- 4.3.7 Đa dạng trong bảo vệ ( Diversity of Defence )
- 4.3.8 Đơn giản ( Simplicity )
- Chương 2 : INTERNET FIREWALL
- I. Khái niệm 1.1 Khái niệm
4.3 Các chiến lược bảo vệ mạng4.3.1 Quyền hạn tối thiểu ( Least Privilege )Có lẽ chiến lược cơ bản nhất về an toàn ( không chỉ cho an ninh mạng mà còn cho mọi cơ chế an ninh khác ) là quyền hạn tối thiểu. Về cơ bản, nguyên tắc này có nghĩa là : bất kỳ một đối tượng nào ( người sử dụng, người quản trị hệ thống … ) chỉ có những quyền hạn nhất định nhằm phục vụ cho công việc của đối tượng đó và không hơn nữa. Quyền hạn tối thiểu là nguyên tắc quan trọng nhằm giảm bớt những sự phô bày mà kẻ tấn công có thể tấn công vào hệ thống và hạn chế sự phá hoại do các vụ phá hoại gây ra. Tất cả mọi người sử dụng hầu như chắc chắn không thể truy cập vào mọi dịch vụ của Internet, chỉnh sửa ( hoặc thậm chí chỉ là đọc ) mọi file trên hệ thống của ta, biết được mật khẩu root. Tất cả mọi nhà quản trị cũng không thể biết hết được các mật khẩu root của tất cả các hệ thống. Để áp dụng nguyên tắc quyền hạn tối thiểu, ta nên tìm cách giảm quyền hạn cần dùng cho từng người, từng công việc cụ thể. 4.3.2 Bảo vệ theo chiều sâu ( Defence in Depth )Một nguyên tắc khác của mọi cơ chế an ninh la bao ve theo chiều sâu. Đừng phụ thuộc vào chỉ một cơ chế an ninh, cho dù là nó mạnh đến đâu đi nữa. Thay vào đó là sử dụng nhiều cơ chế an ninh để chúng hỗ trợ nhau. 
Hình 1-14 : Bảo vệ theo chiều sâu 4.3.3 Nút thắt ( Choke Point )Với cách xây dựng nút thắt, ta đã buộc tất cả mọi luồng thông tin phải qua đó và những kẻ tấn công cũng không là ngoại lệ. Chính nhờ đặc điểm này mà có thể kiểm tra và điều khiển các luồng thông tin ra vào mạng. Có rất nhiều ví dụ về nút thắt trong thực tế cuộc sống. Với an ninh mạng thì nút thắt chính là các Firewall đặt giữa mạng cần bảo vệ và Internet. Bất kỳ ai muốn đi vào trong mạng cần bảo vệ đều phải đi qua các Firewall này. 4.3.4 Liên kết yếu nhất ( Weakest Link )Đối với mootj hệ thống bảo vệ thì cho dù có nhiều khâu có mức an toàn cao nhưng chỉ cần một khâu mất an toàn thì toàn bộ hệ thống cũng sẽ mất an toàn. Những kẻ tấn công thông minh sẽ tìm ra những điểm yếu và tập trung tấn công vào đó. Cần phải thận trọng tới các điểm yếu này bởi kẻ tấn công luôn biết tìm cách để khai thác nó. 4.3.5 Hỏng an toàn ( Fail – Safe Stance )Một điểm yếu cơ bản khác trong chiến lược an ninh là khả năng cho phép hệ thống hỏng an toàn ( faile – safe ) – có nghĩa là nếu hệ thống có hỏng thì sẽ hỏng theo cách chống lại sự tấn công của đối phương.Sự sụp đổ này có thể cũng ngăn cản sự truy cập của người dung hợp pháp nhưng trong một số trường hợp thì vẫn phải áp dụng chiến lược này. Hầu hết các ứng dụng hiện nay đều có cơ chế hỏng an toàn. Ví dụ như nếu một router lọc gói bị down, nó sẽ không cho bất kỳ một gói tin nào đi qua. Nếu một proxy bị down, nó sẽ không cung cấp một dịch vụ nào cả. Nhưng nếu một hệ thống lọc gói được cấu hình mà tất cả các gói tin được hướng tới một máy chạy ứng dụng lọc gói và một máy khác cung cấp ứng dụng thì khi máy chạy ứng dụng lọc gói bị down, các gói tin sẽ di chuyển toàn bộ đến các ứng dụng cung cấp dịch vụ. Kiểu thiết kế này không phải là dạng hỏng an toàn và cần phải đuợc ngăn ngừa. Điểm quan trọng trong chiến lược này là nguyên tắc, quan điểm của ta về an ninh. Ta có xu hướng hạn chế, ngăn cấm hay cho phép? Có hai nguyên tắc cơ bản mà ta có thể quyết định đến chính sách an ninh : + Mặc định từ chối : Chỉ quan tâm những gì ta cho phép và cấm tất cả những cái còn lạl + Mặc định cho phép : Chỉ quan tâm đến những gì mà ta ngăn cấm và cho qua tất cả những cái còn lại.
Chúng ta hãy thận trọng với ý tưởng đa dạng này. Vì khi sử dụng nhiều hệ thống khác nhau như vậy chưa chắc đã có sự đa dạng trong bảo vệ mà còn có thể xảy ra trường hợp hệ thống này hạn chế hoạt động của hệ thống khác mà không hỗ trợ nhau như ta mong muốn. 4.3.8 Đơn giản ( Simplicity )Đơn giản là một trong những chiến lược an ninh vì hai lý do sau : Thứ nhất : Với những gì đơn giản thì cũng có nghĩa là dễ hiểu, nếu ta không hiểu về phần nào đó, ta không thể chắc chắn liệu nó có an toàn không. Thứ hai : Sự phức tạp sẽ tạo ra nhiều ngóc nghách mà ta không thể quản lý nổi, nhiều thứ sẽ ẩn chứa trong đó mà ta không biết.Rõ ràng, bảo vệ một căn hộ dễ dàng hơn nhiều bảo vệ một toà lâu đài lớn!.
Trong chương này chúng ta sẽ nghiên cứu vể Internet Firewall : Thế nào là một Firewall, các chức năng cơ bản của một Firewall, kiến trúc của một Firewall khi triển khai một hệ thống mạng an toàn và cuối cùng là công việc bảo dưỡng một Firewall. I. Khái niệm1.1 Khái niệmFirewall là một phần mềm hay thiết bị phần cứng hoặc sự kết hợp giữa chúng được thiết kế với mục đích : chống lại những rủi ro, nguy hiểm từ phía ngoài vào mạng nội bộ. Nó thường được đặt giữa mạng nội bộ mà ta cần bảo vệ với mạng Internet và thực hiện ngăn cấm một số lưu thông mạng. 
Hình 2-1 : Vị trí Firewall trên mạng Theo cách bố trí này thì tất cả các luồng thông tin đi vào mạng nội bộ từ Internet hay ngược lại, đi từ mạng nội bộ ra Internet đều phải qua Firewall. Nhờ vậy Firewall có thể kiểm soát được các luồng thông tin, từ đó đưa ra các quyết định cho phép hay không cho phép. Cho phép hay không cho phép ở đây là dựa trên chính sách an ninh do người quản trị Firewall đặt ra. tải về 0.55 Mb. Chia sẻ với bạn bè của bạn:
|
