ỦY BAN NHÂN DÂN TP HỒ CHÍ MINH TRƯỜNG CAO ĐẲNG CÔNG NGHỆ THỦ ĐỨC KHOA CÔNG NGHỆ THÔNG TIN GIÁO TRÌNH AN NINH MẠNG NGÀNH TRUYỀN THƠNG VÀ MẠNG MÁY TÍNH TRÌNH ĐỘ CAO ĐẲNG Ban hành kèm theo Quyết định số: ……/QĐ-CNTĐ-CN ngày tháng … năm của……………………………… TP Hồ Chí Minh, năm 2019 TUYÊN BỐ BẢN QUYỀN Tài liệu thuộc loại sách giáo trình nên nguồn thơng tin phép dùng nguyên trích dùng cho mục đích đào tạo tham khảo Mọi mục đích khác mang tính lệch lạc sử dụng với mục đích kinh doanh thiếu lành mạnh bị nghiêm cấm | 2019 – Lưu hành nội | LỜI GIỚI THIỆU An ninh mạng học phần chuyên ngành giúp sinh viên hiểu vận dụng nguyên tắc bảo mật an toàn liệu mạng, phương pháp nhận dạng công ngăn chặn mã độc hại Ngoài học phần giới thiệu cách cấu hình thiết bị bảo vệ hệ thống mạng phổ biến Thông qua hoạt động học tập, giúp sinh viên vận dụng khả tư cách có hệ thống, khả tự học kỹ làm việc nhóm thực theo u cầu mơn học Giáo trình biên soạn dựa theo đề cương học phần “An ninh mạng 1” Khoa Công nghệ thông tin Trường Cao đẳng Công nghệ Thủ Đức Do giáo trình phát hành lần đầu nên không tránh khỏi sai sót nội dung lẫn hình thức, tác giả biên soạn mong nhận góp ý chân thành từ Quý thầy cô em sinh viên để giáo trình hoàn thiện TP Hồ Chí Minh, ngày 01 tháng 08 năm 2019 Tham gia biên soạn Chủ biên: Lê Diên Tâm MỤC LỤC CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG 1.1 Khái niệm an toàn mạng 1.1.1 Lịch sử công 1.1.2 Các khái niệm liên quan 1.1.3 Trạng thái dữ liệu 12 1.2 Nguyên nhân hậu 13 CHƯƠNG : TẤN CÔNG MẠNG VÀ CÁC MỐI NGUY HẠI 16 2.1 Lổ hỗng bảo mật 16 2.1.1 Nguồn gốc lổ hổng bảo mật 16 2.1.2 Phân loại lỗ hổng 16 2.2 Các mối nguy hại 17 2.2.1 Virus 17 2.2.2 Worm 23 2.2.3 Trojan horse 26 2.2.4 Logic bomb 31 2.2.5 Backdoors 34 2.2.6 Spyware 38 2.3 Các kiểu công mạng phòng chống 42 2.3.1 Eavesdropping 42 2.3.2 Cryptanalysis 44 2.3.3 Identity Spoofing 47 2.3.4 Buffer-Overflow Exploitations 50 2.3.5 Repudiation 53 2.3.6 Denial of Service Attacks 55 CHƯƠNG 3: PHÒNG CHỐNG TẤN CÔNG 66 3.1 Mơ hình AAA bảo mật hệ thớng mạng 66 3.1.1 Authentication 66 3.1.2 Authorization 68 3.1.3 Auditting 71 3.2 Các giao thức bảo mật 73 3.2.1 SSH 73 3.2.2 SSL/TLS 75 3.2.3 PGP S/MINE 78 3.2.4 Kerberos 80 3.3 Hệ thống Firewall 85 3.3.1 Định nghĩa 85 3.3.2 Đặc điểm, chế hoạt động 86 3.3.3 Firewall cứng 93 3.3.4 Firewall mềm 93 3.4 Bảo mật mạng không dây 94 3.4.1 Giới thiệu mạng không dây 94 3.4.2 Các mối đe dọa 96 3.4.3 WEP, WPA, WPA2 97 3.4.4 Phương pháp công cụ công 99 3.4.5 Các công cụ công mạng không dây 113 3.4.6 Biện pháp phòng chống 117 CHƯƠNG 4: GIẢI PHÁP AN NINH MẠNG 128 4.1 Phân tích mơ hình 128 4.2 Một sớ mơ hình mạng phổ biến 129 4.3 Một sớ tiêu chí thiết kế mơ hình mạng bảo mật 131 4.4 Hướng dẫn cài đặt cấu hình sớ loại Firewall 133 4.4.1 IPtable 133 4.4.2 PfSense 139 Tài liệu tham khảo 183 DANH MỤC HÌNH ẢNH Hình 1.1 Mơ hình CIA 10 Hình 2.1 Chương trình yêu cầu mật người dùng 52 Hình 2.2 Lỗi tràn đệm 52 Hình 2.3 Tấn công từ chối dịch vụ 56 Hình 3.1 Hệ thớng firewall windows 87 Hình 3.2 Quy tắc hoạt động firewall 89 Hình 3.3 Tấn cơng bị động 100 Hình 3.4 Phần mềm bắt gói tin Ethereal 102 Hình 3.5 Phần mềm thu thập thơng tin hệ thống mạng không dây NetStumbler 102 Hình 3.6 Tấn công chủ động 103 Hình 3.7 Mơ tả q trình cơng DOS tầng liên kết dữ liệu 106 Hình 3.8 Mơ tả q trình cơng mạng AP giả mạo 108 Hình 3.9 Mơ tả q trình cơng theo kiểu chèn ép 111 Hình 3.10 Mơ tả q trình cơng theo kiểu thu hút 111 Hình 4.1 Mơ hình mạng sử dụng firewall 129 Hình 4.2 Mơ hình mạng sử dụng firewall 130 Hình 4.3 Mơ hình mạng sử dụng firewall 131 Danh mục bảng Bảng 1: Những module giúp đỡ NAT 135 Bảng Các lệnh tùy chọn IP table 138 Bảng Các câu lệnh lưu phục hồi IPtable 138 Bảng Lệnh ghi lại IPtable 139 Danh mục từ viết tắt Từ viết tắt Mô tả CIA Confidentiality – integrity - availability ACID Atomicity- consistency- isolation- durability HTTP HyperText Transfer Protocol LAN Local Area Network DOS Denial of Services CD Compact Disc USB Universal Serial Bus CFAA Computer Fraud and Abuse Act IM Instant Messaging BYOD Bring Your Own Device UDP User Datagram Protocol TCP Transmission Control Protocol VoIP Voice over Internet Protocol SSL Secure Sockets Layer TLS Transport Layer Security URL Uniform Resource Locator HTTPS Hypertext Transfer Protocol Secure KPA Known-plaintext Analysis CPA Chosen-plaintext Analysis COA Ciphertext-only Analysis ACPA Adaptive Chosen-plaintext Attack ARP Address Resolution Protocol DNS Domain Name System IP Internet Protocol MAC Media Access Control SYN Synchronous Idle Character ACK Acknowledgement DDoS Distributed Denial of Service ICMP Internet Control Message Protocol NTP Network Time Protocol APDoS Advanced Persistent DoS ISP Internet Service Provider CDN Content Delivery Network IPS Intrusion Protection Systems AAA Authentication-Authorization- Auditing DAC Dicscretionary Access Control RBAC Role Based Access Control TLS Transport Layer Security PGP Pretty Good Privacy S/MIME Secure/Multipurpose Internet Mail Extensions AS authentication server WML Wireless Markup Language Trigger Level: Packet Loss or High Latency (bật gói tin độ trễ cao), Description: Load Balance WANs -> click “Save” Trong phần Trigger Level thấy giá trị bên dưới, có ý nghĩa sau: • Member down: kích hoạt đường truyền down hồn tồn • Packet loss: kích hoạt failover gói tin cao ngưỡng định (đơn vị gói) • High Latency: kích hoạt failover độ trễ cao ngưỡng định (đơn vị giây) Lựa chọn cuối kết hợp trường hợp , tùy chọn hay dùng 169 Hình 4.42 Chọn “Add” để thêm “Gateway Groups” với Group Name WAN_Failover, Gateway Priority : ADSL1GW = Tier 2, ADSL2GW = Tier1, Trigger Level: High Latency, Description: If ADSL2 down, ADSL1 go up -> click “Save” 170 Hình 4.43 Chon tiếp “Add” để thêm “Gateway Groups” với Group Name WAN_Failover2, Gateway Priority : ADSL1GW = Tier 1, ADSL2GW = Tier2, Trigger Level: High Latency, Description: If ADSL1 down, ADSL2 go up -> click “Save” Bước 3: Cấu hình firewall rules cho load balancer fail over Sau đưa WAN vào Group , việc cấu hình rules Firewall để chỉnh lưu lượng truy cập đến GW Click “Firewall > Rules > LAN tab -> Click “Add” Mặc định pfSense2 có rules tạo sẵn,1 rule có Description Anti-Lockout Rule để quy định cho phép port đượckết nới từ ngồi Internet vào LAN (cho phép 20,80,443) Và rule có Decription Default allow LAN to any rule,rule phép máy LAN truy cập ngồi Hình 4.44 Rule cho WAN Loadbanace Chọn Action: Pass, Interface: LAN, Address: IPv4, Protocal: any, Source: LAN net Mục “Extra Options” thêm vào Description: ADSL1 balance ADSL2 -> chọn “Show Advanced” , Gateway: WAN_Loadbalance – Load Balance WANs -> click “Save” để lưu cấu hình 171 Hình 4.45 Rule thứ cho WAN failover Chọn Action: Pass, Interface: LAN, Address: IPv4, Protocal: any, Source: LAN net Mục “Extra Options” thêm vào 172 Description: ADSL1 failover ADSL2 -> chọn “Show Advanced” , Gateway: WAN_Failover – If ADSL2 down, ADSL1 go up-> click “Save” để lưu cấu hình Làm tương tự với Rule thứ cho WAN_Failover2 173 Hình 4.46 Cửa sổ Rules sau cấu hình Lưu ý Rule xử lý xuống, rule khớp (matched) xử lý theo rule bỏ qua rule sau Bước 4: Kiểm tra kết Kiểm tra khả load balancing pfSense Vào Status > Gateways > Gateways Tab Hình 4.47 Kiểm tra tình trạng Gateways 174 Hình 4.48 Chuyển qua tab “Gateways Groups” Hình 4.49 Cấu hình máy ảo Window LAN để kiểm tra khả Load Balancing FailOver pfSense 175 Để card mạng dải LAN (VMnet 8), IP: 192.168.8.100/24, Gateway: 192.168.8.10 (pfSense’s LAN IP), DNS: 8.8.8 Sau download file dung lượng lớn từ máy ảo Window Hình 4.50 Kiểm tra Traffic card mạng ADSL1 ADSL2 Chọn Status > Traffic Graph Trong mục Graph Settings, chọn ADSL1, ADSL2 quan sát traffic card mạng hình 176 Kiểm tra khả Fail Over pfsense Hình 4.51 Trên máy ảo cài pfSense Chuột phải vào biểu tượng card mạng góc máy ảo -> Chọn Disconnect card ADSL1, ADSL2 177 Hình 4.52 Chuyển qua Status > Gateways > Tab Gateways ( Ta thấy gateway bị down) Hình 4.53 Chọn Status > Gateways > Tab Gateways Groups 178 Bài tập Câu hỏi trắc nghiệm Câu Nguyên lý hoạt động firewall gì? a Chặn gói tin b Cho phép gói tin c Cho phép địa MAC d Chặn địa MAC Câu Phát biểu sai sai Firewall a Chớng loop b Lọc gói tin c Lọc IP d Chặn dịch vụ Câu Firewall nằm lớp mơ hình OSI a b c d Câu IP tables firewall gì? a Firewall cứng b Firewall mềm c Firewall phi chuẩn d Khơng phải firewall Câu Trong máy tính cá nhân thường tích hợp firewall nào? a Firewall cứng b Firewall mềm 179 c Firewall phi chuẩn d Firewall dẻo Câu ISA firewall gì? a Firewall cứng b Firewall mềm c Firewall phi chuẩn d Không phải firewall Câu ASA firewall gì? a Firewall cứng b Firewall mềm c Firewall phi chuẩn d Không phải firewall Câu Mục đích tường lửa mạng máy tính – a Ngăn máy tính q nóng b Ngăn không cho kết nối mạng không mong muốn c Cho phép máy tính chia sẻ kết nới Internet d Cho phép tải hình video từ máy ảnh sang máy tính Câu Sự khác biệt giữa VPN tưởng lửa gì? a Tường lửa người dùng cấu hình, khơng thể cấu hình VPN b Tưởng lửa chăn tin nhắn, VPN mở đường cho thư c Tường lửa loại VPN d Khơng có khác biệt giữa tường lửa VPN tồn Câu 10 Hệ thống không cần firewall? a Mạng người dùng đơn b Mạng hệ thống trường học c Mạng công ty liên quốc gia d Mạng công ty liên quốc tế 180 Bài tập thực hành Câu Cung cấp định nghĩa đơn giản cho hệ thống tường lửa, hệ thống phát xâm nhập (IDS / IPS), honeypot DMZ ? Thực vẽ cho thấy thành phần, vị trí hợp lý thành phần Câu Cung cấp bảng lọc bảng kết nối cho tường lửa với yêu cầu sau: a.Cho phép tất người dùng nội để thiết lập phiên Telnet với máy chủ bên b.Cho phép người dùng bên truy cập trang web công ty 150.16.0.12 c Block tất lưu lượng truy cập bên bên Mạng nội 150.16/16 Giả sử bảng kết nới có nhớ đệm kết nới tất từ Cho biết địa IP PORT phù hợp Action SourceAddress Dest Address Protocol Source Port Dest Port Flag bit Check Connection Câu Cho Mơ Hình a) Tất máy có giao thức ARP trừ client A b) DNS C có DNS cache 181 c) Client A tham gia vào mạng caches rỗng (DNS,ARP,DHCP ) d) Hãy trình bày bảng bên miêu tả trình truy xuất website http://example.net/index.html máy client A Câu Cho mô hình thực yêu cầu sau: Dùng ACL a) Cấm máy tính thuộc mạng 172.16.10.0/24 truy cập tới mạng 172.16.20.0/24 b) Cấm mạng 172.16.30.0/24 truy cập tới web c) Cho phép PC 172.16.20.2/24 telnet tới 192.168.1.0/24 182 Tài liệu tham khảo [1] Tô Nguyễn Nhật Quang, An Tồn Mạng Máy Tính, Đại học Cơng Nghệ Thơng Tin, 2013 [2] Nguyễn Đăng Quang, Huỳnh Nguyên Chính, An Ninh Mạng, Đại học Sư Phạm Kỹ Thuật, Khoa Công Nghệ Thông Tin, 2014 [3] Nguyễn Công Huy, Phạm Hữu Tài, An Tồn Hệ Thớng Và An Ninh Mạng, Đại học Cần Thơ, 2012 [4] Giáo trình CCNA Security, Cisco NetAcad, 2015 [5] Giáo trình CCNA Security, VnPro, 2011 [6] Ethical Hacking - HaKTuts , 2014 [7] Network Security and Management - Wikipedia , 2014 [8] OpenSSH - Wikibooks , 2013 [9] A Guide to Claims-Based Identity and Access Control by Dominick Baier, at al - Microsoft Press , 2010 [10] Network Security A Beginner's Guide, Third Edition 3rd Edition by Eric Maiwald 2001 183 ... CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG - Giới thiệu tổng quan phần đề an ninh mạng bao gồm khái niệm, kiến thức bản, nguyên nhân hậu cơng mạng - 1. 1 Trình bày khái niệm an tồn bảo mật mạng Trình. .. kiểu thu hút 11 1 Hình 4 .1 Mơ hình mạng sử dụng firewall 12 9 Hình 4.2 Mơ hình mạng sử dụng firewall 13 0 Hình 4.3 Mơ hình mạng sử dụng firewall 13 1 Danh mục bảng Bảng 1: Những module... 1. 1 .1 Lịch sử công 1. 1.2 Các khái niệm liên quan 1. 1.3 Trạng thái dữ liệu 12 1. 2 Nguyên nhân hậu 13 CHƯƠNG : TẤN CÔNG MẠNG VÀ CÁC MỐI NGUY HẠI 16