Giải pháp bảo vệ Mạng nội bộ

Vũ Mạnh Cường Công ty Phát triển Phần mềm VASC
(firewall)

Đặt vấn đề

Song song với việc xây dựng nền tảng về công nghệ thông tin, cũng nh­ phát triển các ứng dụng máy tính trong sản xuất, kinh doanh, khoa học, giáo dục, xã hội,... thì việc bảo về những thành quả đó là một điều không thể thiếu. Sử dụng các bức t­ờng lửa (Firewall) để bảo vệ mạng nội bộ (Intranet), tránh sự tấn công từ bên ngoài là một giải pháp hữu hiệu, đảm bảo đ­ợc các yếu tố:

An toàn cho sự hoạt động của toàn bộ hệ thống mạng
Bảo mật cao trên nhiều phương diện
Khả năng kiểm soát cao
Đảm bảo tốc độ nhanh
Mềm dẻo và dễ sử dụng
Trong suốt với ng­ời sử dụng
Đảm bảo kiến trúc mở
Trong khuôn khổ bài viết này, chúng tôi xin dừng lại ở các vấn đề cần phải bảo vệ trên mạng và các hình thức tấn công vào mạng. Từ đó đưa ra các ph­ơng thức bảo vệ cụ thể.

Nhu cầu bảo vệ thông tin

Nguyên nhân

Ngày nay, Internet, một kho tàng thông tin khổng lồ, phục vụ hữu hiệu trong sản xuất kinh doanh, đã trở thành đối t­ợng cho nhiều ng­ời tấn công với các mục đích khác nhau. Đôi khi, cũng chỉ đơn giản là để thử tài hoặc đùa bỡn với ng­ời khác.

Cùng với sự phát triển không ngừng của Internet và các dịch vụ trên Internet, số l­ợng các vụ tấn công trên Internet cũng tăng theo cấp số nhân. Trong khi các ph­ơng tiện thông tin đại chúng ngày càng nhắc nhiều đến Internet với những khả năng truy nhập thông tin dường như đến vô tận của nó, thì các tài liệu chuyên môn bắt đầu đề cập nhiều đến vấn đề bảo đảm và an toàn dữ liệu cho các máy tính được kết nối vào mạng Internet.

Theo số liệu của CERT (Computer Emegency Response Team - "Đội cấp cứu máy tính"), số l­ợng các vụ tấn công trên Internet đ­ợc thông báo cho tổ chức này là ít hơn 200 vào năm 1989, khoảng 400 vào năm 1991, 1400 vào năm 1993, và 2241 vào năm 1994. Những vụ tấn công này nhằm vào tất cả các máy tính có mặt trên Internet, các máy tính của tất cả các công ty lớn nh­ AT&T, IBM, các tr­ờng đại học, các cơ quan nhà n­ớc, các tổ chức quân sự, nhà băng... Một số vụ tấn công có quy mô khổng lồ (có tới 100.000 máy tính bị tấn công). Hơn nữa, những con số này chỉ là phần nổi của tảng băng. Một phần rất lớn các vụ tấn công không đ­ợc thông báo, vì nhiều lý do, trong đó có thể kể đến nỗi lo bị mất uy tín, hoặc đơn giản những ng­ời quản trị hệ thống không hề hay biết những cuộc tấn công nhằm vào hệ thống của họ.

Không chỉ số l­ợng các cuộc tấn công tăng lên nhanh chóng, mà các ph­ơng pháp tấn công cũng liên tục đ­ợc hoàn thiện. Điều đó một phần do các nhân viên quản trị hệ thống đ­ợc kết nối với Internet ngày càng đề cao cảnh giác. Cũng theo CERT, những cuộc tấn công thời kỳ 1988-1989 chủ yếu đoán tên ng­ời sử dụng-mật khẩu (UserID-password) hoặc sử dụng một số lỗi của các ch­ơng trình và hệ điều hành (security hole) làm vô hiệu hệ thống bảo vệ, tuy nhiên các cuộc tấn công vào thời gian gần đây bao gồm cả các thao tác nh­ giả mạo địa chỉ IP, theo dõi thông tin truyền qua mạng, chiếm các phiên làm việc từ xa (telnet hoặc rlogin).

Nhu cầu bảo vệ thông tin trên Internet có thể chia thành ba loại gồm: Bảo vệ dữ liệu; Bảo vệ các tài nguyên sử dụng trên mạng và Bảo vệ danh tiếng của cơ quan

Bảo vệ dữ liệu

Những thông tin l­u trữ trên hệ thống máy tính cần đ­ợc bảo vệ do các yêu cầu sau:

Bảo mật: Những thông tin có giá trị về kinh tế, quân sự, chính sách vv... cần đ­ợc giữ kín.
Tính toàn vẹn: Thông tin không bị mất mát hoặc sửa đổi, đánh tráo.
Tính kịp thời: Yêu cầu truy nhập thông tin vào đúng thời điểm cần thiết.
Trong các yêu cầu này, thông th­ờng yêu cầu về bảo mật đ­ợc coi là yêu cầu số 1 đối với thông tin l­u trữ trên mạng. Tuy nhiên, ngay cả khi những thông tin này không đ­ợc giữ bí mật, thì những yêu cầu về tính toàn vẹn cũng rất quan trọng. không một cá nhân, một tổ chức nào lãng phí tài nguyên vật chất và thời gian để l­u trữ những thông tin mà không biết về tính đúng đắn của những thông tin đó.

Bảo vệ các tài nguyên sử dụng trên mạng

Trên thực tế, trong các cuộc tấn công trên Internet, kẻ tấn công, sau khi đã làm chủ đ­ợc hệ thống bên trong, có thể sử dụng các máy này để phục vụ cho mục đích của mình nh­ chạy các ch­ơng trình dò mật khẩu ng­ời sử dụng, sử dụng các liên kết mạng sẵn có để tiếp tục tấn công các hệ thống khác vv...

Bảo vệ danh tiếng của cơ quan

Một phần lớn các cuộc tấn công không đ­ợc thông báo rộng rãi, và một trong những nguyên nhân là nỗi lo bị mất uy tín của cơ quan, đặc biệt là các công ty lớn và các cơ quan quan trọng trong bộ máy nhà n­ớc. Trong tr­ờng hợp ng­ời quản trị hệ thống chỉ đ­ợc biết đến sau khi chính hệ thống của mình đ­ợc dùng làm bàn đạp để tấn công các hệ thống khác, thì tổn thất về uy tín là rất lớn và có thể để lại hậu quả lâu dài.