Giáo trình Mạng máy tính (Nghề: Kỹ thuật sửa chữa, lắp ráp máy tính - Cao đẳng): Phần 2 - Trường CĐ nghề Việt Nam - Hàn Quốc thành phố Hà Nội

THÔNG TIN TÀI LIỆU

(NB) Tiếp phần 1, Giáo trình Mạng máy tính phần 2 trình bày một trong những hệ điều hành mạng thông thường nhất hiện đang dùng trong thực tế: hệ điều hành mạng Windows 2000 Server. Ngoài phần giới thiệu chung, tài liệu còn hướng dẫn cách thức cài đặt và một số kiến thức liên quan đến việc quản trị tài khoản người dùng. Mời các bạn cùng tham khảo nội dung giáo trình phần 2 dưới đây.

Chƣơng Các giao thức 5.1 Các mơ hình giao thức 5.1.1 Giới thiệu chung Giao thức liên mạng IP giao thức quan trọng giao thức TCP/IP Mục đích giao thức liên mạng IP cung cấp khả kết nối mạng thành liên mạng để truyền liệu IP giao thức cung cấp dịch vụ phân phát datagram theo kiểu không liên kết không tin cậy nghĩa khơng cần có giai đoạn thiết lập liên kết trước truyền liệu, không đảm bảo IP datagram tới đích khơng trì thông tin datagram gửi Khuôn dạng đơn vị liệu dùng IP thể hình vẽ Hình 5- 1: Khuôn dạng liệu IP Ý nghĩa tham số IP header: − Version (4 bit): phiên (version) hành IP cài đặt − IHL (4 bit): độ dài phần header tính theo đơn vị từ (word - 32 bit) − Type of Service (8 bit): đặc tả tham số yêu cầu dịch vụ − Total length (16 bit): độ dài tồn IP datagram tính theo byte Dựa vào trường trường header length ta tính vị trí bắt đầu liệu IP datagram − Indentification (16 bit): trường định danh, tham số khác địa nguồn (Source address) địa đích (Destination address) để định danh cho datagram gửi trạm Thông thường phần định danh (Indentification) tăng thêm datagram gửi 57 − Flags (3 bit): cờ, sử dụng phân đoạn datagram Bit 0: reseved (chưa sử dụng, có giá trị 0) bit 1: ( DF ) = (May fragment) = (Don‟t fragment) bit : ( MF) =0 (Last fragment) =1 (More Fragment) − Fragment Offset (13 bit): vị trí đoạn phân mảnh (Fragment) datagram tính theo đơn vị 64 bit − TTL (8 bit): thiết lập thời gian tồn datagram để tránh tình trạng datagram bị quẩn mạng TTL thường có giá trị 32 64 giảm liệu qua router Khi trường datagram bị hủy bỏ không báo lại cho trạm gửi − Protocol (8 bit): giao thức tầng − Header checksum (16 bit): để kiểm soát lỗi cho vùng IP header − Source address (32 bit): địa IP trạm nguồn − Destination address (32 bit): địa IP trạm đích − Option (độ dài thay đổi): khai báo tùy chọn người gửi yêu cầu, thường là:  Độ an toàn bảo mật,  Bảng ghi tuyến mà datagram qua ghi đường truyền,  Time stamp,  Xác định danh sách địa IP mà datagram phải qua datagram không bắt buộc phải truyền qua router định trước,  Xác định tuyến router mà IP datagram phải qua 5.1.2 Các giao thức  Giao thức có khả định tuyến: Là giao thức cho phép qua thiết bị liên mạng Router để xây dựng mạng lớn có qui mơ lớn  Ví dụ, giao thức có khả định tuyến là: TCP/IP, SPX/IPX  Giao thức khơng có khả định tuyến: Ngược với giao thức có khả định tuyến, giao thức khơng cho phép qua thiết bị liên mạng Router để xây dựng mạng lớn 58  Ví dụ giao thức khơng có khả định tuyến : NETBEUI Hiện có loại giao thức thường hay sử dụng: - TCP/IP - SPX/IPX (Novell Netware) - Microsoft Network - Bộ giao thức TCP/IP (Transmission Control Protocol / Internet Protocol) TCP/IP thiết kế hoàn toàn độc lập với phương pháp truy cập mạng, cấu trúc gói liệu (data frame), mơi trường truyền, mà TCP/IP dùng để liên kết dạng mạng khác mạng LAN Ethernet, LAN Token Ring hay dạng WAN như: Frame Relay, X.25 TCP/IP lớp giao thức ( protocol stack) bao gồm giao thức sau: + FTP (File Transfer Protocol): FTP cung cấp phương pháp truyền nhận file máy với nhau, cho phép người sử dụng gởi hay nhiều file từ máy lên hệ thống (upload) nhận hay nhiều file từ hệ thống máy (download) +Telnet: Với Telnet, người sử dụng kết nối vào hệ thống xa thông qua mạng Internet +SMTP (Simple Mail Transfer protocol): Là giao thức cho phép thực dịch vụ truyền nhận mail mạng Internet Hình So sánh giao thức TCP/IP với mơ hình OSI Hình 5- 2: So sánh giao thức TCP/IP với mơ hình OSI 59 + TCP UDP: Hai giao thức đóng vai trị tầng transport, có trách nhiệm tạo liên kết dịch vụ kết nối liệu (datagram communication service) TCP (Transmission Control Protocol) giao thức chuyển giao TCP/IP TCP cung cấp đường truyền có độ tin cậy cao, liên kết có định hướng (connection oriented protocol), khơi phục gói liệu bị qúa trình truyền Quá trình truyền liệu theo TCP byte, gói liệu TCP bao gồm thông tin sau Thông tin Chức Source Port Thông tin địa cổng (port) máy gởi Destination port Thông tin port máy nhận Chỉ số thứ tự Chỉ số thứ tự tính từ byte liệu TCP ACK Chỉ số byte mà người gởi nhận từ người nhận Window Bộ đệm liệu cho TCP TCP Checksum Xác định tính tồn vẹn liệu TCP header TCP data Một số port TCP thông dụng Số port Dịch vụ 20 FTP ( Data) 21 FTP (Control) 23 Telnet 80 HTTP 139 NETBIOS UDP (User Datagram protocol) loại liên kết một hay nhiều, không định hướng (Connectionless), khơng có độ tin cậy cao, thường hay dùng dung lượng liệu truyền tải mạng nhỏ Các thông tin UDP header bao gồm: Thông tin Chức Source Port Thông tin port máy gởi Destination port Thông tin port máy nhận TCP Checksum Xác định tính tồn vẹn liệu TCP header TCP data 60 Một số port UDP thông dụng: Số port Dịch vụ 53 Domain name system 137 NETBIOS NAME 138 NETBIOS Datagram 161 SNMP + Các giao thức IP, ARP, ICMP, RIP Đóng vai trị tầng Internet có chức tìm đường (routing), nhận dạng địa (addressing), đóng gói (package) IP (Internet protocol) dạng giao thức cho phép tìm đường (routable protocol), nhận dạng địa (addressing), phân tích đóng gói Một gói IP bao gồm IP header IP payload, IP header bao gồm thơng tin sau: IP Header Chức Ðịa IP gởi Thông tin địa IP máy gởi Ðịa IP nhận Thông tin địa IP máy nhận Identification Nhận dạng mạng có địa IP Checksum Xác định tính tồn vẹn liệu phần IP header ARP (Address Resolution Protocol) có chức phân giải địa IP thành địa giao tiếp mạng ICMP (Internet Control Message Protocol) có chức thơng báo lại lỗi xảy qua trình truyền liệu NDIS (Network Driver Interface Specification) ODI (Open Data Interface): Hai giao thức đóng vai trị tầng DataLink, cho phép card giao tiếp (interface card) giao tiếp với nhiểu giao thức khác mạng ODI phát triển Novell Apple, ban đầu ODI driver viết cho Novell Macintosh NDIS phát triển Microsoft COM có phiên NDIS, NDIS2 NDIS3 Các phiên cũ dùng cho Windows for workgroup, NT 3.5, phiên dùng cho WinNT 4.0 hay Windows 2000 - Bộ giao thức IPX/SPX (Internetwork Packet Exchange / Sequenced Packet Exchange) 61 5.2 Internet Protocols 5.2.1 Giao thức IP a Họ giao thức TCP/IP Sự đời họ giao thức TCP/IP gắn liền với đời Internet mà tiền thân mạng ARPAnet (Advanced Research Projects Agency) Bộ Quốc phòng Mỹ tạo Đây giao thức dùng rộng rãi tính mở Hai giao thức dùng chủ yếu TCP (Transmission Control Protocol) IP (Internet Protocol) Chúng nhanh chóng đón nhận phát triển nhiều nhà nghiên cứu hãng cơng nghiệp máy tính với mục đích xây dựng phát triển mạng truyền thông mở rộng khắp giới mà ngày gọi Internet Đến năm 1981, TCP/IP phiên hoàn tất phổ biến rộng rãi cho tồn máy tính sử dụng hệ điều hành UNIX Sau Microsoft đưa TCP/IP trở thành giao thức hệ điều hành Windows 9x mà sử dụng Đến năm 1994, thảo phiên IPv6 hình thành với cộng tác nhiều nhà khoa học thuộc tổ chức Internet giới để cải tiến hạn chế IPv4 Khác với mơ hình ISO/OSI tầng liên mạng sử dụng giao thức kết nối mạng "không liên kết" (connectionless) IP, tạo thành hạt nhân hoạt động Internet Cùng với thuật toán định tuyến RIP, OSPF, BGP, tầng liên mạng IP cho phép kết nối cách mềm dẻo linh hoạt loại mạng "vật lý" khác như: Ethernet, Token Ring , X.25 Giao thức trao đổi liệu "có liên kết" (connection - oriented) TCP sử dụng tầng vận chuyển để đảm bảo tính xác tin cậy việc trao đổi liệu dựa kiến trúc kết nối "không liên kết" tầng liên mạng IP Các giao thức hỗ trợ ứng dụng phổ biến truy nhập từ xa (telnet), chuyển tệp (FTP), dịch vụ World Wide Web (HTTP), thư điện tử (SMTP), dịch vụ tên miền (DNS) ngày cài đặt phổ biến phận cấu thành hệ điều hành thông dụng UNIX (và hệ điều hành chuyên dụng họ nhà cung cấp thiết bị tính tốn AIX IBM, SINIX Siemens, Digital UNIX DEC), Windows9x/NT, Novell Netware, b Chức giao thức liên mạng IP (v4) Trong cấu trúc bốn lớp TCP/IP, liệu truyền từ lớp ứng dụng lớp vật lý, lớp cộng thêm vào phần điều khiển để đảm bảo cho việc truyền liệu xác Mỗi thơng tin điều khiển gọi 62 header đặt trước phần liệu truyền Mỗi lớp xem tất thơng tin mà nhận từ lớp liệu, đặt phần thông tin điều khiển header vào trước phần thơng tin Việc cộng thêm vào header lớp trình truyền tin gọi encapsulation Quá trình nhận liệu diễn theo chiều ngược lại: lớp tách phần header trước truyền liệu lên lớp Hình 5- 2: Mơ hinh OSI mơ hình kiến trúc TCP/IP Mỗi lớp có cấu trúc liệu riêng, độc lập với cấu trúc liệu dùng lớp hay lớp Sau giải thích số khái niệm thường gặp Stream dòng số liệu truyền sở đơn vị số liệu Byte Số liệu trao đổi ứng dụng dùng TCP gọi stream, dùng UDP, chúng gọi message Mỗi gói số liệu TCP gọi segment UDP định nghĩa cấu trúc liệu packet Lớp Internet xem tất liệu khối gọi datagram Bộ giao thức TCP/IP dùng nhiều kiểu khác lớp mạng cùng, loại có thuật ngữ khác để truyền liệu Phần lớn mạng kết cấu phần liệu truyền dạng packets frames Hình 5- 4: Cấu trúc liệu lớp TCP/TP 63 Hình 5- 5: Cách đánh địa TCP/IP - Thực việc phân mảnh hợp (fragmentation - reassembly) gói liệu nhúng / tách chúng gói liệu tầng liên kết c Địa IP Mỗi địa IP có độ dài 32 bits (đối với IP4) tách thành vùng (mỗi vùng byte), biểu thị dạng thập phân, bát phân, thập lục phân nhị phân Cách viết phổ biến dùng ký pháp thập phân có dấu chấm để tách vùng Địa IP để định danh cho host liên mạng Khuôn dạng địa IP: host mạng TCP/IP định danh địa có khn dạng Do tổ chức độ lớn mạng liên mạng khác nhau, người ta chia địa IP thành lớp ký hiệu A,B,C, D, E Các bit byte dùng để định danh lớp địa (0- lớp A; 10 lớp B; 110 lớp C; 1110 lớp D; 11110 lớp E) Subneting Trong nhiều trường hợp, mạng chia thành nhiều mạng (subnet), lúc đưa thêm vùng subnetid để định danh mạng Vùng subnetid lấy từ vùng hostid, cụ thể lớp A, B, C sau: Hình 5- 6: Bổ xung vùng subnetid Tham khảo chi tiết thêm giáo trình “Thiết kế xây dựng mạng LAN WAN” 64 d Cấu trúc gói liệu IP IP giao thức cung cấp dịch vụ truyền thông theo kiểu “khơng liên kết” (connectionless) Các gói liệu IP định nghĩa datagram Mỗi datagram có phần tiêu đề (header) chứa thông tin cần thiết để chuyển liệu (ví dụ địa IP trạm đích) Nếu địa IP đích địa trạm nằm mạng IP với trạm nguồn gói liệu chuyển thẳng tới đích; địa IP đích khơng nằm mạng IP với máy nguồn gói liệu gửi đến máy trung chuyển, IP gateway để chuyển tiếp IP gateway thiết bị mạng IP đảm nhận việc lưu chuyển gói liệu IP hai mạng IP khác Hình 5- 7: cấu trúc gói liệu TCPIP e Phân mảnh hợp gói IP Một gói liệu IP có độ dài tối đa 65536 byte, hầu hết tầng liên kết liệu hỗ trợ khung liệu nhỏ độ lớn tối đa gói liệu IP nhiều lần (ví dụ độ dài lớn MTU khung liệu Ethernet 1500 byte) Vì cần thiết phải có chế phân mảnh phát hợp thu gói liệu IP Hình 5- 8: Nguyên tắc phân mảnh gói liệu 65 P dùng cờ MF (3 bit thấp trường Flags phần đầu gói IP) trường Flagment offset gói IP (đã bị phân đoạn) để định danh gói IP phân đoạn vị trí phân đoạn gói IP gốc Các gói chuỗi phân mảnh có trường giống Cờ MF gói đầu chuỗi phân mảnh gói cuối gói phân mảnh f Định tuyến IP Có hai loại định tuyến: - Định tuyến trực tiếp: Định tuyến trực tiếp việc xác định đường nối hai trạm làm việc mạng vật lý - Định tuyến không trực tiếp Định tuyến không trực tiếp việc xác định đường nối hai trạm làm việc không nằm mạng vật lý vậy, việc truyền tin chúng phải thực thông qua trạm trung gian gateway Để kiểm tra xem trạm đích có nằm mạng vật lý với trạm nguồn hay không, người gửi phải tách lấy phần địa mạng phần địa IP Nếu hai địa có địa mạng giống datagram truyền trực tiếp; ngược lại phải xác định gateway, thông qua gateway chuyển tiếp datagram Hình 5- 9: Định tuyến hai hệ thống 5.2.2 Một số giao thức điều khiển a Giao thức ICMP ICMP ((Internet Control Message Protocol) giao thức điều khiển mức IP, dùng để trao đổi thông tin điều khiển dịng số liệu, thơng báo lỗi thơng tin trạng thái khác giao thức TCP/IP Ví dụ: - Điều khiển lưu lượng liệu (Flow control) 66 7.4 Kết hợp ADSL WLAN Các bước cấu hình phát wifi TP Link WR841N Để tiến hành cài đặt thông số cho Wireless Router TP Link WR841N khơng khó chút hết Các bạn cần áp dụng theo bước hướng dẫn sau: Bước 1: Kết nối Router TP Link WR841N với máy tính thơng qua cổng LAN Sử dụng đoạn dây mạng LAN bấm sẵn hai đầu để kết nối cổng Lan với phát wifi, máy tính Thực khởi động lại máy tính sau khởi động Router Bước 2: Đăng nhập vào Router TP Link WR841N Bạn gõ vào trình duyệt web dòng địa IP mặc định sau 192.168.0.1 tplinklogin.net Bạn sử dụng đến trình duyệt IE/Firefox hay Chrome hết Nhập vào báo thông báo username & password admin để tiến hành login vào router Bước 3: Thiết lập lại bảng thông số cho Router TP Link WR841N Chọn vào mục Basic Setting - > Network - > Lan Đổi địa IP từ 192.168.1.1 192.168.01 sau nhấn save để tiếp tục Bạn nên nhớ cài IP không phép trùng với IP thiết bị modem Router khác đường mạng 99 Lúc Router TP Link WR841N tự động reset lại từ đầu Nếu muốn truy cập vào lại Router bạn vào web gõ 192.168.0.1 Sau bạn nhập username & password admin để tiếp tục Bước 4: Thiết lập thông số Wireless Router cho phát wifi TP Link WR841N Chọn vào mục Wireless - > Wireless Settings SSID: Lựa chọn tên mạng wifi nhà bạn 100 Security Type sau chọn WPA- PSK/WPA2- PSK Khuyến nghị nên WPA2- PSK Phần PSK PassPhrase bạn nhập password mà bạn mong muốn nhập cho wifi nhà Nhấn Save để hồn tất q trình cài đặt Wireless Router TP Link WR841N Vào lại System Tools - > Reboot sau thiết bị khởi động lại bạn kết nối vào mạng wifi tận hưởng Lưu ý sử dụng phát wifi TP Link WR841N thời gian dài Các bạn ý sau thời gian dài sử dụng phát wifi TP Link WR841N chắn kiểu xảy lỗi hết Có thể trường hợp mạng chậm, mạng lag gặp phải lỗi kết nối kiểu… Lúc bạn thử rút điện từ phát wifi ra, sau cắm lại vào Trong trường hợp xảy lỗi bạn thực cách giải cao cấp Reset lại phát wifi TP Link WR841N Cái tương tự với việc máy tính windows gặp phải lỗi lầm y tiến hành reset lại máy cài lại win sau chạy ngon lành 101 Chƣơng Các phƣơng pháp khắc phục cố 8.1 Các cố mạng 8.1.1 Giới thiệu Trước tìm hiểu vấn đề liên quan đến phương thức phá hoại biện pháp bảo vệ thiết lập sách bảo mật, phần sau trình bày số khái niệm liên quan đến bảo mật thông tin mạng Internet 8.1.2 Các lỗ hổng phƣơng thức công mạng chủ yếu a Các lỗ hổng bảo mật: Các lỗ hổng bảo mật điểm yếu hệ thống ẩn chứa dịch vụ mà dựa vào kẻ cơng xâm nhập trái phép để thực hành động phá hoại chiếm đoạt tài nguyên bất hợp pháp Nguyên nhân gây lỗ hổng bảo mật khác nhau: lỗi thân hệ thống, phần mềm cung cấp, ng−ời quản trị yếu không hiểu sâu sắc dịch vụ cung cấp Mức độ ảnh hưởng lỗ hổng khác Có lỗ hổng ảnh hưởng tới chất lượng dịch vụ cung cấp, có lỗ hổng ảnh hưởng nghiêm trọng tới toàn hệ thống Top 10 cố bảo mật phổ biến năm 2020 Truy cập trái phép vào hệ thống liệu Để ngăn tác nhân đe dọa truy cập vào hệ thống liệu tài khoản người dùng ủy quyền Hãy triển khai xác thực hai yếu tố Điều đòi hỏi người dùng phải cung cấp phần thứ hai thông tin nhận dạng bên cạnh mật Ngoài ra, mã hóa liệu nhạy cảm cơng ty nghỉ ngơi Hoặc di chuyển qua mạng phần mềm công nghệ phần cứng phù hợp Bằng cách đó, kẻ cơng khơng thể truy cập liệu bí mật Tấn cơng leo thang đặc quyền Kẻ công cố gắng giành quyền truy cập trái phép vào mạng tổ chức Sau cố gắng để có đặc quyền cấp cao cách sử dụng gọi khai thác leo thang đặc quyền Các công leo thang đặc quyền thành công mang lại đặc quyền cho tác nhân đe dọa mà người dùng bình thường khơng có Thơng thường, leo thang đặc quyền xảy tác nhân đe dọa lợi dụng lỗi, giám sát cấu hình lỗi lập trình lỗ hổng ứng dụng hệ thống để có quyền truy cập cao vào liệu bảo vệ 102 Điều thường xảy sau tin tặc xâm phạm mạng cách truy cập vào tài khoản người dùng cấp thấp Và tìm kiếm đặc quyền cấp cao – tức truy cập đầy đủ vào hệ thống CNTT doanh nghiệp – để nghiên cứu thêm hệ thống thực công Để giảm nguy leo thang đặc quyền, tổ chức nên tìm kiếm Và khắc phục điểm yếu bảo mật môi trường CNTT họ cách thường xuyên Họ nên tuân theo nguyên tắc đặc quyền tối thiểu Nghĩa giới hạn quyền truy cập cho người dùng mức tối thiểu mà họ cần để thực công việc Và thực giám sát bảo mật Các tổ chức nên đánh giá rủi ro liệu nhạy cảm họ thực bước cần thiết để bảo mật liệu Mối đe dọa nội Đây mối đe dọa độc hại vơ tình bảo mật liệu tổ chức thường quy cho nhân viên, nhân viên cũ bên thứ ba, bao gồm nhà thầu, công nhân tạm thời khách hàng Để phát ngăn chặn mối đe dọa nội Hãy triển khai chương trình quét phần mềm gián điệp, chương trình chống vi- rút, tường lửa Và thói quen lưu trữ lưu liệu nghiêm ngặt Ngoài ra, đào tạo nhân viên nhà thầu nhận thức bảo mật trước cho phép họ truy cập mạng công ty Thực phần mềm giám sát nhân viên để giảm nguy vi phạm liệu Và đánh cắp tài sản trí tuệ cách xác định người bất cẩn, bất mãn độc hại Tấn công lừa đảo (Phishing Attack) Trong công lừa đảo, kẻ công giả mạo thực thể người có uy tín email kênh liên lạc khác Kẻ công sử dụng email lừa đảo để phân phối liên kết Hoặc tệp đính kèm độc hại thực nhiều chức khác Bao gồm trích xuất thông tin đăng nhập thông tin tài khoản từ nạn nhân Một kiểu công lừa đảo nhắm mục tiêu nhiều gọi lừa đảo giáo xảy kẻ công đầu tư thời gian nghiên cứu nạn nhân để thực cơng chí thành cơng Bảo vệ hiệu chống lại công lừa đảo bắt đầu việc giáo dục người dùng xác định tin nhắn lừa đảo Ngoài ra, lọc email cổng bẫy nhiều email lừa đảo nhắm mục tiêu hàng loạt giảm số lượng email lừa đảo tiếp cận hộp thư đến người dùng Tấn công mã độc Đây thuật ngữ rộng cho loại phần mềm độc hại (phần mềm độc hại) khác Được cài đặt hệ thống doanh nghiệp Phần mềm độc hại bao gồm Trojans, sâu, ransomware, phần mềm quảng cáo, phần mềm gián điệp 103 Và loại vi- rút khác Một số phần mềm độc hại vơ tình cài đặt nhân viên nhấp vào quảng cáo, truy cập trang web bị nhiễm Hoặc cài đặt phần mềm miễn phí phần mềm khác Dấu hiệu phần mềm độc hại bao gồm hoạt động hệ thống bất thường, chẳng hạn không gian đĩa đột ngột; tốc độ chậm bất thường; tai nạn lặp lại đóng băng; gia tăng hoạt động internet không mong muốn; quảng cáo bật lên Cài đặt cơng cụ chống vi- rút phát loại bỏ phần mềm độc hại Các công cụ cung cấp bảo vệ thời gian thực phát Và loại bỏ phần mềm độc hại cách thực quét hệ thống thông thường Tấn công từ chối dịch vụ(DoS) Một tác nhân đe dọa khởi động công DoS để tắt máy riêng lẻ Hoặc tồn mạng để đáp ứng yêu cầu dịch vụ Các công DoS thực điều cách làm ngập mục tiêu với lưu lượng truy cập Hoặc gửi cho số thơng tin gây cố Một tổ chức thường đối phó với công DoS làm sập máy chủ cách khởi động lại hệ thống Ngồi ra, cấu hình lại tường lửa, định tuyến máy chủ chặn lưu lượng khơng có thật Giữ định tuyến tường lửa cập nhật với vá bảo mật Ngoài ra, phần cứng mặt trước ứng dụng tích hợp vào mạng giúp phân tích sàng lọc gói liệu Tức là, phân loại liệu ưu tiên, thường xuyên nguy hiểm – chúng xâm nhập vào hệ thống Phần cứng giúp chặn liệu đe dọa Tấn công Man- in- the- middle (MitM) Một công chừng cơng mà kẻ cơng bí mật chặn Và thay đổi tin nhắn hai bên tin họ liên lạc trực tiếp với Trong công này, kẻ công thao túng hai nạn nhân để có quyền truy cập liệu Ví dụ cơng MitM bao gồm chiếm quyền điều khiển phiên, chiếm quyền điều khiển email nghe Wi- Fi Mặc dù khó để phát cơng MitM, có nhiều cách để ngăn chặn chúng Một cách thực giao thức mã hóa, chẳng hạn TLS (Transport Layer Security) Cung cấp xác thực, quyền riêng tư tính tồn vẹn liệu hai ứng dụng máy tính giao tiếp Một giao thức mã hóa khác SSH, giao thức mạng cung cấp cho người dùng Đặc biệt quản trị viên hệ thống, cách an tồn để truy cập vào máy tính qua mạng khơng bảo mật Các doanh nghiệp nên giáo dục nhân viên nguy hiểm việc sử dụng Wi- Fi cơng cộng mở Vì tin tặc dễ dàng hack kết nối Các tổ chức nên nói với cơng nhân viên họ khơng ý đến cảnh 104 báo từ trình duyệt trang web Hoặc kết nối khơng hợp pháp Các công ty nên sử dụng VPN để giúp đảm bảo kết nối an tồn Tấn cơng mật Kiểu cơng nhằm mục đích cụ thể lấy mật người dùng Hoặc mật tài khoản Để làm điều này, tin tặc sử dụng nhiều phương pháp khác Bao gồm chương trình bẻ khóa mật khẩu, cơng từ điển, đánh mật đốn mật thơng qua vũ lực (thử sai) Trình phá mật chương trình ứng dụng sử dụng để xác định mật không xác định Hoặc bị quên tài nguyên mạng máy tính Điều giúp kẻ cơng có quyền truy cập trái phép vào tài nguyên Tấn công từ điển phương pháp xâm nhập vào máy tính Hoặc máy chủ bảo vệ mật cách nhập cách có hệ thống từ từ điển dạng mật Để xử lý công mật Các tổ chức nên áp dụng xác thực đa yếu tố để xác thực người dùng Ngoài ra, người dùng nên sử dụng mật mạnh bao gồm bảy ký tự kết hợp chữ cái, chữ số chữ thường Người dùng nên thay đổi mật thường xuyên Và sử dụng mật khác cho tài khoản khác Ngoài ra, tổ chức nên sử dụng mã hóa mật lưu trữ kho lưu trữ an tồn Tấn cơng ứng dụng web Đây cố ứng dụng web véc tơ công Bao gồm khai thác lỗ hổng cấp mã ứng dụng ngăn chặn chế xác thực Một ví dụ cơng ứng dụng web công kịch chéo trang Đây kiểu cơng bảo mật tiêm kẻ công tiêm liệu Chẳng hạn tập lệnh độc hại, vào nội dung từ trang web đáng tin cậy khác Doanh nghiệp nên xem lại mã sớm giai đoạn phát triển để phát lỗ hổng; máy quét mã tĩnh động tự động kiểm tra Ngoài ra, thực chức phát bot để ngăn bot truy cập liệu ứng dụng Và tường lửa ứng dụng web giám sát mạng chặn công tiềm Mối đe dọa liên tục nâng cao – Advanced persistent threat (APT) APT công mạng kéo dài nhắm mục tiêu Thường thực tội phạm mạng quốc gia Trong cơng này, kẻ xâm nhập có quyền truy cập vào mạng Và không bị phát khoảng thời gian dài Mục tiêu APT thường giám sát hoạt động mạng đánh cắp liệu thay gây thiệt hại cho mạng tổ chức 105 Giám sát lưu lượng đến Có thể giúp tổ chức ngăn chặn tin tặc cài đặt backdoor trích xuất liệu nhạy cảm Các doanh nghiệp nên cài đặt tường lửa ứng dụng web rìa mạng Để lọc lưu lượng truy cập vào máy chủ ứng dụng web họ Điều giúp lọc công lớp ứng dụng Chẳng hạn công tiêm nhiễm SQL, thường sử dụng giai đoạn xâm nhập APT Ngồi ra, tường lửa mạng giám sát lưu lượng truy cập nội b Một số phương thức cơng mạng Có thể cơng mạng theo hình thức sau đây: - Dựa vào lỗ hổng bảo mật mạng: Những lỗ hổng điểm yếu dịch vụ mà hệ thống cung cấp; Ví dụ kẻ công lợi dụng điểm yếu dịch vụ mail, ftp, web để xâm nhập phá hoại Hình 8- - Các hình thức công mạng Sử dụng công cụ để phá hoại: Ví dụ sử dụng chương trình phá khoá mật để truy nhập vào hệ thống bất hợp pháp; Lan truyền virus hệ thống; cài đặt đoạn mã bất hợp pháp vào số chương trình Nhưng kẻ cơng mạng kết hợp hình thức với đểđạt mục đích 106 - Mức (Level 1): Tấn cụng vào số dịch vụ mạng: Web, Email, dẫn đến nguy lộ thông tin cấu hình mạng Các hình thức cơng mức cụ thể dựng DoS spam mail - Mức (Level 2): Kẻ phá hoại dựng tài khoản người dựng hợp pháp để chiếm đoạt tài nguyên hệ thống; (Dựa vào phương thức cơng bẻ khóa, đánh cắp mật ); kẻ phá hoại cụ thể thay đổi quyền truy nhập hệ thống qua lỗ hổng bảo mật đọc thông tin tập tin liên quan đến truy nhập hệ thống /etc/passwd - Từ Mức đến mức 5: Kẻ phá hoại không sử dụng quyền người dựng thông thường; mà có thêm số quyền cao hệ thống; quyền kích hoạt số dịch vụ; xem xột thông tin khác hệ thống - Mức 6: Kẻ công chiếm quyền root hệ thống 8.1.3 Một số điểm yếu hệ thống Các lỗ hổng bảo mật hệ thống điểm yếu tạo ngưng trệ dịch vụ, thêm quyền người sử dụng cho phép truy nhập không hợp pháp vào hệ thống Các lỗ hổng tồn dịch vụ Sendmail, Web,Ftp hệ điều hành mạng Windows NT, Windows 95, UNIX; ứng dụng Các loại lỗ hổng bảo mật hệ thống chia sau: Lỗ hổng loại C: cho phép thực phương thức công theo kiểu từ chối dịch vụ DoS (Dinal of Services) Mức nguy hiểm thấp, ảnh hưởng chất lượng dịch vụ, làm ngưng trệ, gián đoạn hệ thống, không phá hỏng liệu chiếm quyền truy nhập Lổ hổng loại B: cho phép người sử dụng có thêm quyền hệ thống mà không cần thực kiểm tra tính hợp lệ Mức độ nguy hiểm trung bình, lỗ hổng thường có ứng dụng hệ thống, dẫn đến lộ thơng tin yêu cầu bảo mật Lỗ hổng loại A: Các lỗ hổng cho phép người sử dụng cho thể truy nhập vào hệ thống bất hợp pháp Lỗ hổng nguy hiểm, làm phá hủy tồn hệ thống 8.1.4 Các mức bảo vệ an toàn mạng Vì khơng có giải pháp an tồn tuyệt đối nên người ta thường phải sử dụng đồng thời nhiều mức bảo vệ khác tạo thành nhiều lớp "rào chắn" hoạt động xâm phạm Việc bảo vệ thông tin mạng chủ yếu bảo vệ thơng tin cất giữ máy tính, đặc biệt server mạng Hình 107 sau mô tả lớp rào chắn thông dụng để bảo vệ thông tin trạm mạng Hình 8- 2: Các mức độ bảo vệ mạng Như minh hoạ hình trên, lớp bảo vệ thơng tin mạng gồm: - Lớp bảo vệ quyền truy nhập nhằm kiểm soát tài nguyên (ở thông tin) mạng quyền hạn (có thể thực thao tác gì) tài ngun Hiện việc kiểm sốt mức áp dụng sâu tệp - Lớp bảo vệ hạn chế theo tài khoản truy nhập gồm đăng ký tên/ mật tương ứng Đây phương pháp bảo vệ phổ biến đơn giản, tốn có hiệu Mỗi người sử dụng muốn truy nhập vào mạng sử dụng tài nguyên phải có đăng ký tên mật Người quản trị hệ thống có trách nhiệm quản lý, kiểm sốt hoạt động mạng xác định quyền truy nhập người sử dụng khác tuỳ theo thời gian không gian - Lớp thứ ba sử dụng phương pháp mã hoá (encryption) Dữ liệu biến đổi từ dạng "đọc được" sang dạng không "đọc được" theo thuật tốn Chúng ta xem xét phương thức thuật toán mã hoá sử dụng phổ biến phần - Lớp thứ tư bảo vệ vật lý (physical protection) nhằm ngăn cản truy nhập vật lý bất hợp pháp vào hệ thống Thường dùng biện pháp truyền thống ngăn cấm người khơng có nhiệm vụ vào phịng đặt máy, dùng hệ thống khố máy tính, cài đặt hệ thống báo động có truy nhập vào hệ thống - Lớp thứ năm: Cài đặt hệ thống tường lửa (firewall), nhằm ngăn chặn thâm nhập trái phép cho phép lọc gói tin mà ta khơng muốn gửi nhận vào lý 108 8.2 Tiến trình khắc phục cố 8.2.1 Các biện pháp bảo vệ mạng máy tính Thực tế khơng có biện pháp hữu hiệu đảm bảo an toàn tuyệt đối cho mạng Hệ thống bảo vệ dù có chắn đến đâu có lúc bị vơ hiệu hố kẻ phá hoại điêu luyện Có nhiều biện pháp đảm bảo an ninh mạng Tổng quan bảo vệ thông tin mật mã (Cryptography) Mật mã q trình chuyển đối thơng tin gốc sang dạng mã hóa (Encryption) Có hai cách tiếp cận để bảo vệ thông tin mật mã: theo đường truyền (Link Oriented Security) từ mútđến- mút (End- to- End) Trong cách thứ nhất, thơng tin mã hố để bảo vệ đường truyền nút không quan tâm đến nguồn đích thơng tin Ưu điểm cách bí mật luồng thơng tin nguồn đích ngăn chặn tồn vi phạm nhằm phân tích thơng tin mạng Nhược điểm thơng tin mã hố đường truyền nên địi hỏi nút phải bảo vệ tốt Ngược lại, cách thứ hai, thơng tin bảo vệ tồn đường từ nguồn tới đích Thơng tin mã hoá tạo giải mã đến đích Ưu điểm tiếp cận người sử dụng dùng mà khơng ảnh hưởng đến người sử dụng khác Nhược điểm phương pháp có liệu người sử dụng mã hố, cịn thơng tin điều khiển phải giữ nguyên để xử lý node Giải thuật DES mã hoá khối 64 bits văn gốc thành 64 bits văn mật khố Khố gồm 64 bits 56 bits dùng mã hố bits cịn lại dùng để kiểm soát lỗi Một khối liệu cần mã hố phải trải qua q trình xử lý: Hốn vị khởi đầu, tính tốn phụ thuộc khoá hoán vị đảo ngược hoán vị khởi đầu Khóa K Bản rõ Bản mã Mật mã Giải mã Bản rõ ban đầu Phương pháp sử dụng khố cơng khai (Public key): Các phương pháp mật mã dùng khố cho mã hố lẫn giải mã địi hỏi người gửi người nhận phải biết khoá giữ bí mật Tồn phương pháp làm để phân phối khoá cách an tồn, đặc biệt mơi trường nhiều người sử dụng Để khắc phục, người ta thường sử dụng phương pháp mã hố khố, khố cơng khai để mã hố mã bí mật để giải mã Mặc dù hai khoá thực thao tác ngược khơng thể suy khố bí mật từ khố cơng khai ngược lại nhờ hàm toán học đặc biệt gọi hàm sập bẫy chiều (trap door one- way functions) Đặc điểm hàm phải biết cách xây dựng hàm suy nghịch đảo Giải thuật RSA dựa nhận xét sau: phân tích thừa số tích số ngun tố lớn khó khăn Vì vậy, tích số ngun tố cơng khai, cịn 109 số ngun tố lớn dùng để tạo khố giải mã mà khơng sợ bị an toàn Trong giải thuật RSA trạm lựa chọn ngẫu nhiên số nguyên tố lớn p q nhân chúng với để có tích n=pq (p q giữ bí mật) 8.2.2 Tổng quan hệ thống Firewall Firewall hệ thống dùng để tăng cường khống chế truy xuất, phòng ngừa đột nhập bên vào hệ thống sử dụng tài nguyên mạng cách phi pháp Tất thông tin đến thiết phải qua Firewall chịu kiểm tra tường lửa Nói chung Firewall có chức lớn sau: Lọc gói liệu vào/ra mạng lưới Quản lý hành vi khai thác vào/ra mạng lưới Ngăn chặn hành vi Ghi chép nội dung tin tức hoạt động thông qua tường lửa Tiến hành đo thử giám sát cảnh báo công mạng lưới Ưu điểm nhược điểm tường lửa: Ưu điểm chủ yếu việc sử dụng Firewall để bảo vệ mạng nội Cho phép người quản trị mạng xác định điểm khống chế ngăn chặn để phòng ngừa tin tặc, kẻ phá hoại, xâm nhập mạng nội Cấm không cho loại dịch vụ an toàn vào mạng, đồng thời chống trả cơng kích đến từ đường khác Tính an tồn mạng củng cố hệ thống Firewall mà phân bố tất máy chủ mạng Bảo vệ dịch vụ yếu mạng Firewall dễ dàng giám sát tính an tồn mạng phát cảnh bảo Tính an tồn tập trung Firewall giảm vấn đề không gian địa che dấu cấu trúc mạng nội Tăng cường tính bảo mật, nhấn mạnh quyền sở hữu Firewall sử dụng để quản lý lưu lượng từ mạng ngoài, xây dựng phương án chống nghẽn Nhược điểm hạn chế dịch vụ có ích, để nâng cao tính an tồn mạng, người quản trị hạn chế đóng nhiều dịch vụ có ích mạng Khơng phịng hộ cơng kẻ phá hoại mạng nội bộ, ngăn chăn công thông qua đường khác ngồi tường lửa Firewall Internet khơng thể hồn tồn phịng ngừa phát tán phần mềm tệp nhiễm virus Các loại Firewall Firewall lọc gói thường định tuyến có lọc Khi nhận gói liệu, định cho phép qua từ chối cách thẩm tra gói tin để xác định quy tắc lọc gói dựa vào thơng tin Header để đảm bảo trình chuyển phát IP Firewall cổng mạng hai ngăn loại Firewall có hai cửa nối đến 110 mạng khác Ví dụ cửa nối tới mạng bên ngồi khơng tín nhiệm cịn cửa nối tới mạng nội tín nhiệm Đặc điểm lớn Firewall loại gói tin IP bị chặn lại Firewall che chắn (Screening) máy chủ bắt buộc có kết nối tới tất máy chủ bên với máy chủ kiên cố, không cho phép kết nối trực tiếp với máy chủ nội Firewall che chắn máy chủ định tuyến lọc gói máy chủ kiên cố hợp thành Hệ thống Firewall có cấp an tồn cao so với hệ thống Firewall lọc gói thơng thường đảm bảo an tồn tầng mạng (lọc gói) tầng ứng dụng (dịch vụ đại lý) Firewall che chắn mạng con: Hệ thống Firewall che chắn mạng dùng hai định tuyến lọc gói máy chủ kiên cố, cho phép thiết lập hệ thống Firewall an tồn nhất, đảm bảo chức an toàn tầng mạng tầng ứng dụng Kỹ thuật Fire wall Lọc khung (Frame Filtering): Hoạt động tầng mơ hình OSI, lọc, kiểm tra mức bit nội dung khung tin (Ethernet/802.3, Token Ring 802.5, FDDI, ) Trong tầng khung liệu không tin cậy bị từ chối trước vào mạng Lọc gói (Packet Filtering): Kiểu Firewall chung kiểu dựa tầng mạng mô hình OSI Lọc gói cho phép hay từ chối gói tin mà nhận Nó kiểm tra tồn đoạn liệu để định xem đoạn liệu có thoả mãn số quy định lọc Packet hay không Các quy tắc lọc Packet dựa vào thông tin Packet Header Nếu quy tắc lọc Packet thoả mãn gói tin chuyển qua Firewall Nếu không bị bỏ Như Firewall ngăn cản kết nối vào hệ thống, khoá việc truy cập vào hệ thống mạng nội từ địa không cho phép Một số Firewall hoạt động tầng mạng (tương tự Router) thường cho phép tốc độ xử lý nhanh kiểm tra địa IP nguồn mà không thực lệnh Router, không xác định địa sai hay bị cấm Nó sử dụng địa IP nguồn làm thị, gói tin mang địa nguồn địa giả chiếm quyền truy nhập vào hệ thống Tuy nhiên có nhiều biện pháp kỹ thuật áp dụng cho việc lọc gói tin nhằm khắc phục nhược điểm trên, trường địa IP kiểm tra, cịn có thơng tin khác kiểm tra với quy tắc tạo Firewall, thông tin thời gian truy nhập, giao thức sử dụng, cổng Firewall kiểu Packet Filtering có loại: Packet filtering Fire wall: Hoạt động tầng mạng mơ hình OSI hay tầng IP mơ hình TCP/IP Kiểu Firewall khơng quản lý giao dịch mạng Circuit Level Gateway: Hoạt động tầng phiên (Session) mơ hình OSI hay tầng TCP mơ hình TCP/IP Là loại Firewall xử lý bảo mật giao dịch hệ thống người dùng cuối (VD: kiểm tra ID, mật ) loại Firewall cho phép lưu vết trạng thái người truy nhập 111 Kỹ thuật Proxy Là hệ thống Firewall thực kết nối thay cho kết nối trực tiếp từ máy khách yêu cầu.Proxy hoạt động dựa phần mềm Khi kết nối từ người sử dụng đến mạng sử dụng Proxy kết nối bị chặn lại, sau Proxy kiểm tra trường có liên quan đến yêu cầu kết nối Nếu việc kiểm tra thành cơng, có nghĩa trường thông tin đáp ứng quy tắc đặt ra, tạo cầu kết nối hai node với Ưu điểm kiểu Firewall loại khơng có chức chuyển tiếp gói tin IP, điểu khiển cách chi tiết kết nối thông qua Firewall Cung cấp nhiều cơng cụ cho phép ghi lại q trình kết nối Các gói tin chuyển qua Firewall kiểm tra kỹ lưỡng với quy tắc Firewall, điều phải trả giá cho tốc độ xử lý Khi máy chủ nhận gói tin từ mạng chuyển chúng vào mạng trong, tạo lỗ hổng cho kẻ phá hoại (Hacker) xâm nhập từ mạng vào mạng Nhược điểm kiểu Firewall hoạt động dựa trình ứng dụng uỷ quyền (Proxy) 112 TÀI LIỆU THAM KHẢO [1] Mạng máy tính – Trường đại học cơng nghệ - ĐHQG Hà Nội [2] Thạc Mạnh Cường – Tin học văn phòng – 2005 [3] Tài liệu tham khảo Internet [5] Giáo trình Mạng máy tính tồn tập tiếng Việt 113 ... hai loại: - Direct Ví dụ : 1 92. 168.1 .25 5 - Local : Ví dụ : 25 5 .25 5 .25 5 .25 5 Ví dụ : Xét máy có địa IP 1 92. 168 .2. 1 - Máy gửi broadcast đến 25 5 .25 5 .25 5 .25 5 ,tất gói tin thuộc mạng 1 92. 168 .2. 0 nhận... mạng giữ mức thấp 6.5 .2 Phƣơng pháp phân mạng Phân mạng theo nguyên tắc chung - Phần nhận dạng mạng (Network ID) địa mạng ban đầu giữ nguyên - Phần nhận dạng máy tính địa mạng ban đầu chia thành. .. Networking - - > General - - > TCP/IP - - > Properties - - > Gateway - - > New Gateway, nhập địa IP 1 92. 168.1.1 chọn Add, DNS Configuration nhập vào 20 3.1 62. 0.181 nhấp nút Add sau nhập 20 3.1 62. 0.11

Ngày đăng: 23/03/2022, 09:32

Xem thêm: