Bảo mật mạng bằng công nghệ firewall

Luận Văn: Bảo mật mạng bằng công nghệ firewall

LỜI NÓI ĐẦU

Với sự bùng nổ ngày càng mạnh mẽ của mạng Internet, các quốc gia các tổ chức, các công ty và tất cả mọi người đang ngày càng xích lại gần nhau hơn Khoảng cách về địa lý ngày càng trở nên mờ dần và khái niệm một thế giới “phẳng” đang trở nên rõ nét Thật khó mà kể hết những lợi ích mà Internet mang lại cho con người và cũng không thể tưởng tượng được một ngày thiếu Internet thì con người sẽ phải xoay sở như thế nào Đó không chỉ là một công cụ trao đổi thông tin nhanh chóng tin cậy mà còn là kho thông tin vô tận, cập nhật, đa dạng và đầy đủ nhất Có thể nói rằng Internet là nguồn tài nguyên vô giá trong kỉ nguyên số hiện nay Chính vì vậy việc khai thác và tận dụng được tài nguyên mạng là mối quan tâm hàng đầu của các doanh nghiệp Công nghệ mạng Lan và mạng Wan phát triển đã thỏa mãn nhu cầu đó.

Tuy nhiên ngoài những lợi ích to lớn mạng Internet cũng ẩn chứa những nguy cơ khôn lường về khả năng đánh cắp, phá hoại những tài sản thông tin của tổ chức dẫn đến những hậu quả nghiêm trọng Chính vì vậy công việc và trọng trách đặt lên vai của những người làm công nghệ thông tin trên thế giới nói chung và ở Việt Nam nói riêng không chỉ là nghiên cứu xây dựng và phát triển nhanh chóng mạng máy tính trong nước để mọi người có thể khai thác tiềm năng hết sức phong phú trên Internet mà đồng thời cũng phải nghiên cứu thực hiện tốt các biện pháp ngăn chặn, phòng chống, phát hiện và phục hồi được các hành vi tấn công phá hoại trái phép trên mạng, nhằm đảm bảo được tối đa sự phát triển cho các tổ chức kinh doanh…

Với mục đích đó trong thời gian thực tập tôi đã tự tìm hiểu các khái niệm cơ bản về bảo mật cùng với những kiến thức về mạng máy tính đã học được tại học viện mạng của Cisco, tôi mong muốn xây dựng được một hệ thống bảo mật sử dụng công nghệ firewall có nhiều tính ứng dụng trong thực tiễn.

Đồ án tốt nghiệp này sẽ giới thiệu các kiến thức chung về bảo mật mạng máy tính, các công nghệ thường được sử dụng để bảo mật trên nền bộ giao thức TCP/IP, giao

thức chính trên Intenet và cụ thể đi sâu vào công nghệ Firewall một công nghệ bảo mật phổ biến nhất hiện nay.

Phần cuối của đồ án tôi sẽ đưa ra phương pháp xây dựng một mô hình bảo mật bằng Firewall cho hệ thống mạng doanh nghiệp.

Tôi xin chân thành cảm ơn sự chỉ bảo hướng dẫn tận tình của Thầy Đinh Hữu Thanh - giảng viên khoa Điện tử viễn thông Đại Học Bách Khoa Hà Nội , CCNP Trần Thanh Long giảng viên CCNA – Giám đốc học viện mạng Cisco - ĐH Công nghệ - ĐH Quốc gia Hà Nội , Giám đốc - giảng viên học viện ITLAB Nguyễn Anh Thao , Mr Christian Tusborg – IT manager Skills Group đã giúp tôi thực hiện đồ án này.

Vì thời gian hạn hẹp, vấn đề cần tìm hiểu quá rộng, lượng thông tin và tài liệu cần đọc rất lớn, kiến thức hạn chế nên chắc chắn rằng bản đồ án này sẽ không tránh khỏi những thiếu sót, tôi rất mong nhận được sự chỉ bảo góp ý thắng thắn từ phía hội đồng và các bạn.

Trân trọng cảm ơn

TÓM TẮT ĐỒ ÁN

Bảo mật là một phạm trù rộng và phức tạp, trong lĩnh vực công nghệ thông tin nó là tổng hòa nhiều công nghệ khác nhau nhằm mang lại sự an toàn cho hệ thống thông tin của một tổ chức nào đó.

Ngày nay bất kì một hệ thống thông tin nào cũng phải tuân theo các tiêu chuẩn mang tính chất quốc tế, đó là quy định bắt buộc khi phạm vi truyền thông có tính chất toàn cầu chứ không chỉ bó hẹp trong phạm vi của chính tổ chức đó hay phạm vi khu vực Vì vậy để bảo đảm an toàn thông tin trong quá trình truyền thông thì các phương pháp bảo mật cũng cần tương thích với các chuẩn mang tính chất quốc tế đó.

Phần I của đồ án này sẽ đưa ra một cái nhìn toàn diện về mô hình truyền thông trên mạng Internet và những hình dung chung nhất về các công nghệ bảo mật trong một bức tranh tổng thể Trong các công nghệ bảo mật cơ bản và hiệu quả nhất hiện nay tôi sẽ

đi sâu phân tích và đánh giá phương pháp bảo mật bằng công nghệ “bức tường lửa”,

Phần II của đồ án sẽ tập trung giải quyết vấn đề này Trên cơ sở lý luận đã nghiên cứu việc có thể đưa ra được phương án áp dụng thành công công nghệ đã lựa chọn là điều rất cần thiết Với mong muốn đồ án là một sản phẩm mang tính thực tiễn cao tôi sẽ trình bày các phương pháp triển khai công nghệ bức tường lửa trong hệ thống thông tin của tổ chức, kèm theo đó là những minh họa có tính chất trực quan

Với những nội dung trên hy vọng mang lại cho người đọc một cái nhìn toàn cảnh về bức tranh bảo mật nói chung và công nghệ bức tưởng lửa nói riêng Theo nhịp độ phát triển mau lẹ của công nghệ các biện pháp tấn công ngày càng tinh vi hơn, chính vì vậy các công nghệ cũng cần không ngừng được cải tiến không ngừng để đảm bảo cho một nền thông tin an toàn và bền vững.

The first Part of my thesis will provide an overview of information transportation process in the Internet and a genaral picture of information security technologies I will do a thorough research on firewall technology, one of the most popular and effective security methods in the second part of my thesis.

It’s essential that research results be successfully applicable in real-life selected technologies Bearing this in mind, I will clarify applications of firewall technology into information systems in enterprises in addition to visual illustrations All of these are presented in third part.

Hopefully, readers will have general understanding of security technologies in general and firewall technology in particular As technological progresses take place nearly every minute, hacking activities have become increasingly damaging and seemingly uncontrollable Hence, security technologies must be steadily improved for the sake of a well-sustained information system.

MÔ HÌNH OSI VÀ BỘ GIAO THỨC TCP/IP .

1.1 GIỚI THIỆU CHUNG .

1.2 MÔ HÌNH OSI .

1.3 KIẾN TRÚC TCP/IP .

1.4 MỘT SỐ GIAO THỨC CƠ BẢN TRONG BỘ GIAO THỨC TCP/IP

1.4.1 Giao thức IP (Internet Protocol) .

1.4.2 Giao thức UDP ( User Datagram Protocol ) .

1.4.3 Giao thức TCP ( Transmission Control Protocol ) .

1.5 QUÁ TRÌNH ĐÓNG MỞ GÓI DỮ LIỆU KHI TRUYỀN TIN QUA CÁC LỚP 30

Chương 2 32

KHÁI NIỆM BẢO MẬT 32

2.1 KHÁI NIỆM BẢO MẬT 32

2.2 MỤC TIÊU CỦA BẢO MẬT THÔNG TIN .

3.1.2 Bảo mật sử dụng bức tường lửa 47

3.1.3 Bảo mật sử dụng lọc gói dữ liệu 49

3.1.4 Bảo mật sử dụng các phương pháp mã hóa 50

3.1.5 Bảo mật sử dụng xác thực, cấp quyền truy nhập và thống kê 53

3.2 CÁC CHÍNH SÁCH CHUNG CHO CON NGƯỜI 54

Phần II 56

CÔNG NGHỆ FIREWALL VÀ ỨNG DỤNG 56

Chương I 56

CÁC KHÁI NIỆM CƠ BẢN VỀ FIREWALL 56

1.1 LỊCH SỬ RA ĐỜI VÀ PHÁT TRIỂN CỦA CÔNG NGHỆ FIREWALL 56

1.2 ĐỊNH NGHĨA FIREWALL 58

1.3 PHÂN LOẠI FIREWALL 59

1.3.1 Firewall phần mềm 59

1.3.2 Firewall phần cứng 59

1.4 CHỨC NĂNG CỦA FIREWALL 59

1.4.1 Điều khiển truy nhập (Access Control) 59

1.4.1.1 Vị trí xảy ra quá trình lọc gói 59

1.4.1.2 Hoạt động lọc gói (Packet Filtering) 61

1.4.1.3 Luật lọc ( Filtering Rules) 61

1.4.1.4 Hoạt động của tường lửa người đại diện ứng dụng ( Proxy Application) 62

1.4.2 Quản lý xác thực (User Authentication) 64

1.4.3 Kiểm tra và Cảnh báo (Activity Logging and Alarms) 65

1.4.3.1 Chức năng kiểm tra (Activity logging) 65

1.4.3.2 Chức năng cảnh báo (Alarm) 65

Chương 2 66

CÁC KIẾN TRÚC FIREWALL CƠ BẢN 66

2.1 FIREWALL BỘ LỌC GÓI TIN (PACKET FILTERING FIREWALL) 66

2.2 FIREWALL DỊCH VỤ ỦY THÁC (PROXY SERVER) 67

2.2.1 Gateway mức mạng (Network Level Gateway) 68

2.2.2 Gateway mức ứng dụng (Application level Gateway) 68

2.3 KĨ THUẬT KIỂM TRA TRẠNG THÁI (Stateful packet filtering) 70

2.4 FIREWALL PHÁO ĐÀI PHÒNG NGỰ (BASTION HOST FIREWALL )71

2.4.1 Dạng thứ nhất là máy phòng thủ có hai card mạng 71

2.4.2 Dạng thứ hai là máy phòng thủ có một card mạng 71

Chương 3 7 2NGUYÊN TẮC HOẠT ĐỘNG CỦA CÁC LOẠI FIREWALL 72

3.1 HOẠT ĐỘNG CỦA FIREWALL “MỀM” 72

3.2 HOẠT ĐỘNG CỦA FIREWALL “CỨNG” 75

3.2.1 Cơ chế lọc gói tin : 75

3.2.2 Một số đặc điểm ACL: 75

3.2.3 Phân loại ACL 76

3.2.3.1 Danh sách điều khiển truy nhập cơ bản (Standard IP Access Control Lists) 76

3.2.3.2 Danh sách điều khiển truy nhập mở rộng (Extended IP Access Control Lists) 77

3.2.3.3 So sánh giữa standard ACL và extended ACL 78

3.5 Một số kỹ thuật khác được sử dụng trong Firewall 89

3.5.1 Kỹ thuật thẩm kế an toàn 89

3.5.2 Kỹ thuật lõi an toàn 89

3.5.3 Kỹ thuật cân bằng phụ tải 90

3.6 Sự kết hợp các biện pháp kỹ thuật 90

Chương 4 91

CÁC PHƯƠNG PHÁP TRIỂN KHAI FIREWALL 91

4.1 CHỨC NĂNG PHÂN VÙNG CỦA FIREWALL TRONG THIẾT KẾ AN NINH MẠNG 92

4.1.1 Mạng bên trong(Inside Network) 92

4.1.2 Mạng bên ngoài (Outside Network) 92

4.1.3 Vùng phi quân sự (Demilitarized Zone -DMZ) 92

4.2 CÁC KIẾN TRÚC FIREWALL ĐƠN GIẢN THƯỜNG GẶP 93

4.2.1 Kiến trúc cơ bản 93

4.2.2 Dual-Homed System 94

4.2.3 Kiến trúc Screening Host 95

4.2.4 Kiến trúc Screened Subnet 96

Hình 1.2 Kiến trúc TCP/IP 16

Hình 1.3 Khuôn dạng IP datagram 19

Hình1 4 Phân lớp địa chỉ IP 21

Hình 1.6 Khuôn dạng UDP datagram 23

Hình 1.7 Khuôn dạng TCP datagram 25

26

Hình 1.8 Thiết lập và giải phóng liên kết 26

Hình 1.9 Cơ chế cửa sổ trượt 29

Hình 1.11 Mục tiêu CIA 33

Hình 1.12 Quy trình bảo mật 35

Hình 1.13.Tấn công kẻ trung gian 39

Hình 1.14 Mô hình bảo mật theo lớp 46

Hình 1.15 Bảo mật sử dụng bức tường lửa 47

Hình 1.16 Các loại IPS 49

Hình 1.17 Bảo mật sử dụng lọc gói dữ liệu 50

Hình 1.18 Kết nối từ xa sử dụng VPN 52

Hình 2.1 Firewall làm màn chắn ngăn cách giữa mạng nội bộ và Internet 58

Hình 2.2 Các vị trí có thể kiểm soát gói tin trong tầng giao thức 60

Hình 2.3 Các thông tin được sử dụng trong luật lọc của gói tin IP 61

Hình 2.4 Hoạt dộng của người đại diện ứng dụng 62

Hình 2.5 Tưởng lửa lọc gói tin 67

Hình 2.6 Tường lửa dịch vụ ủy thác 67

Hình 2.7 Giao tiếp trên mạng thông qua proxy server 69

Hình 2.8 Pháo đài phòng ngự 71

Hình 2.9 Sơ đồ hoạt động của ISA Server 74

Hình 2.10 Hoạt động của Standard ACL 76

Hình 2.11 Di chuyển của gói tin giữa các vùng có độ an toàn khác nhau 79

Hình 2.12 Chức năng phân vùng của firewall 81

Hình 2.13 Quá trình phiên dich địa chỉ 82

Hình 2.14 Cấu hình NAT trên nhiều cổng 83

Hình 2.15 Phiên dịch địa chỉ từ mạng trong ra mạng ngoài 84

Hình 2.16 Quá trình tạo một kết nối TCP từ bên trong ra bên ngoài 87

Hình 2.17 Kiến trúc 3 vùng cơ bản trong thiết kế an ninh mạng 91

4.2.1.Kiến trúc cơ bản 93

Trong kiến trúc firewall cơ bản, firewall có vai trò điều khiển lưu lượng từ trong mạng nội bộ (Inside Network) đi ra các mạng phía ngoài (Outside Network) và ngược lại 93Trong kiến trúc này firewall sử dụng cấu hình mặc định của nó là 3 cổng: một cổng nối với mạng phía trong có độ an toàn cao nhất, một cổng nối với vùng

đệm DMZ có độ anh toàn thấp hơn và cổng thứ 3 có độ an toàn thấp nhất được nối với mạng ngoài Và như đã nói ở trên thì mặc định tất cả lưu lượng đi từ cổng có độ an toàn cao hơn ra cổng có độ an toàn thấp hơn trên firewall đều được phép nhưng khi đi từ cổng có độ an toàn thấp đến cổng có độ an toàn cao thì đều bị cấm Đôi khi có những ngoại lệ (Exception) là do chủ ý của người

quản trị 93

Trong kiến trúc trên các router ngăn cách giữa mạng trong với firewall và mạng ngoài với firewall không chỉ giữ vai trò định tuyến và là cửa ngõ đi ra khỏi mạng mà còn giữ vai trò là bộ lọc gói (Packet filtering) không có trạng thái hoặc có trạng thái Các server trong vùng đệm DMZ không chỉ là các server cung cấp các ứng dụng giao tiếp với người trên Internet mà còn giữ vai trò là proxy server 93

Hình 2.18 Kiến trúc firewall cơ bản 94

Đây là cấu hình cơ bản nhất của một mạng thông thường khi giao tiếp với Internet, ở đây firewall có cấu hình mặc định là 3 cổng Khi quy mô và số mạng trong vùng nội bộ tăng lên có nhu cầu bảo mật khác nhau thì ta sử dụng số cổng nhiều hơn với cấu hình độ bảo mật trên các cổng khác nhau Không chỉ có thế firewall còn được sử dụng với các công nghệ bảo mật khác nhằm mang lại hiểu quả an toàn cao nhất Sau đây ta xét kiến trúc an ninh mở rộng sử dụng firewall kết hợp với một công nghệ bảo mật khác 94

4.2.2 Dual – Homed System 94

Hệ thống là một máy tính có ít nhất 2 card mạng được chỉ ra trong hình 2.19 Trường hợp này thì việc định tuyến giữa các side tương ứng với các side của card mạng được ngắt do vậy việc kiểm soát lưu lượng mạng hoàn toàn có thể được một các thủ công Giả sử rằng hệ thống đang chạy WEB server Nếu định tuyến bị ẩn thì các gói tin không thể được trao đổi giữa các mạng khác nhau được Ví dụ ,nếu một vài bộ phận trong một tổ chức cần chia sẻ cùng 1 web server nhưng bạn không muốn tạo một bảng định tuyến giữa các bộ phận thì bạn có thể sử dụng cấu hình hệ thống này Tuy nhiên ,các hacker có thể tấn công vào sơ hở này (nếu trường hợp các ứng dụng và bản vá lỗi chưa được cài đặt ) 94

Hình 2.19 Hệ thống Dual – Homed có 2 card mạng 95

4.2.3 Kiến trúc Screen Host 95

Trường hợp này thì Router chỉ cho phép người dung Internet kết nối tới một hệ thống đã được định nghĩa trước trong pháo đài phòng ngự Cổng getway sẽ đóng vai trò kiểm soát toàn bộ gói tin vào ra 95

Hình 2.20 Kiến trúc Screening Host 95 Router lọc tin sẽ làm việc rất nhiều trong cấu trúc này ,không chỉ làm việc với các gói tin để hướng chúng vào các hệ thống bên trong mạng mà nó còn cho phép hay không cho phép mạng nội bộ mở kết nối với Internet Bạn có thể cài

đặt cấu hình này dựa trên yêu cầu bảo mật của hệ thống của bạn Chapman và Zwicky đã lưu ý rằng cấu trúc này có thể bị hỏng vì nó cho phép các gói tin từ Internet vào mạng nội bộ ,không giống với Dual – Homed sẽ khóa tất cả gói tin từ mạng ngoài vào nội bộ 954.2.4 Kiến trúc Screeded Subnet 96 Trường hợp này tương tự với Screening Host ,ngoại trừ một lớp phụ của bảo mật được thêm vào giữa vùng ưu tiên và vùng nội bộ 96 96hình 2.21 Kiến trúc Screened Subnet 96 Lý do cho cấu trúc này là để bảo vệ mạng nội bộ trong trường hợp pháo đài phòng ngự không thể chống lại được tấn công từ hacker 96

DANH SÁCH CÁC TỪ VIẾT TẮT

Từ viết tắtTừ đầy đủChú thích

NAT Network Address Translation Phiên dịch địa chỉ mạngOSI Open Systems Interconnection Mô hình liên kết các hệ

thống mởCSU/DSU Chanel Service Unit/ Digital Service

Đơn vị dịch vụ kênh và đơn vị dịch vụ số

MAN Metropolitan Area Network Mạng đô thị

IEEE Institue of Electrical and Electronic

IBM International Business Machines Tập đoàn IBM

NIC Network Interface Card Card giao tiếp mạng

Từ viết tắtTừ đầy đủChú thích

ISO International Organization for

CSDL Cơ sở dữ liệu

FTP Fire Transfer Protocol Giao thức truyền fileSMTP Simple Mail Transfer Protocol Giao thức truyền email

HTTP Hypertext Transfer Protocol Giao thức truyền tải nội dung trên mạng

TCP Transmission Control Protocol Giao thức điều khiển đường truyền

IPX Internetwork Packet Exchange Giao thức mạng

ACL Access Control List Danh sách điều khiển truy cập

IETF Internet Engineering Task Force Tổ chức chuẩn IETF

LỜI MỞ ĐẦU

Với mục đích thu thập các kiến thức cơ bản về bảo mật mạng Internet trên nền bộ giao thức TCP/IP và đi sâu nghiên cứu thiết kế hệ công nghệ bảo mật firewall, bản đồ án này được tôi chia thành 3 phần với những nội dung như sau:

PHẦN I: KHÁI NIỆM CHUNG VỀ BẢO MẬT.

Phần này trình bày các khái niệm về mô hình truyền thông OSI và bộ giao thức TCP/IP, khái niệm bảo mật và giới thiệu các công nghệ bảo mật trên nền bộ giao thức đó Các nội dung được trình theo các chương sau:

Chương 1: Mô hình OSI và bộ giao thức TCP/IP

Trình bày mô hình truyền thông tin trên mạng Internet theo các lớp và đi sâu tìm hiểu 3 giao thức cơ bản IP, UDP, TCP.

Chương 2: Khái niệm bảo mật

Trình bày khái niệm bảo mật là gì, mục tiêu trọng tâm của bảo mật, các phương pháp tấn công thường gặp.

Chương 3: Các công nghệ bảo mật

Tìm hiểu các công nghệ bảo mật thường được sử dụng và các biện pháp kết hợp để bảo mật hệ thống.

PHẦN II: BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA

Phần này trình bày bảo mật sử dụng công nghệ Bức tường lửa, với các nội dung chi tiết liên quan đến công nghệ này Nội dung đó nằm trong các chương sau:

Chương 4: Bức tường lửa

Giới thiệu công nghệ firewall, các loại firewall, đặc điểm và ứng dụng của từng loại.

Chương 5: Ứng dụng Bức tường lửa trong các doanh nghiệp

Một số ứng dụng của bức tường lửa trong bảo mật thông tin cho các doanh

KẾT LUẬN

PHẦN I: KHÁI NIỆM CHUNG VỀ BẢO MẬT

Chương 1

MÔ HÌNH OSI VÀ BỘ GIAO THỨC TCP/IP

Truyền thông tin trên mạng là một quá trình phức tạp đòi nhiều công nghệ hỗ trợ và phải trải qua nhiều giai đoạn khác nhau Công nghệ càng hiện đại cho phép thông tin được truyền đi càng nhanh chóng với độ tin cậy cao Tuy nhiên để có thể khai thác và quản lý mạng trên một phạm vi rộng lớn thì cần phải có sự tương thích và đồng bộ về công nghệ trong quá trình truyền tin Xuất phát từ các nhu cầu đó mô hình OSI và bộ giao thức TCP/IP ra đời để làm quy chuẩn cho việc xây dựng các hệ thống mạng hiện nay.

Trong chương này tôi giới thiệu mô hình OSI và bộ giao thức TCP/IP để đưa ra cái nhìn tổng quan về quá trình truyền tin trên các mạng truyền thông nói chung và mạng Internet nói riêng Và đó cũng là nền tảng để phân tích, xây dựng và triển khai các kế hoạch bảo mật phục vụ cho mục tiêu an ninh mạng.

1.1 GIỚI THIỆU CHUNG

Bộ giao thức điều khiển truyền dẫn / giao thức Internet (TCP/IP) là một trong những giao thức mạng được sử dụng rộng rãi nhất ngày nay Ra đời và phát triển từ những năm 1970 bởi APRA (Advance Research Projects Agency), TCP/IP cho phép các

hệ thống không đồng nhất có thể giao tiếp được với nhau Ngày nay TCP/IP được áp dụng rộng rãi trong cả mạng cục bộ cũng như các mạng diện rộng và trên toàn Internet.

Trước khi xem xét giao thức TCP/IP chúng ta tìm hiểu 1 cách khái quát nhất mô hình tham chiếu cho việc liên kết các hệ thống mở (Reference Model for Open System Interconnection) OSI.

1.2 MÔ HÌNH OSI

Như đã nói ở trên việc tồn tại nhiều kiến trúc mạng khác nhau và không tương thích với nhau gây ra trở ngại cho việc trao đổi thông tin giữa các mạng này Để tạo khả năng hội tụ cho các sản phẩm mạng, tổ chức tiêu chuẩn hóa quốc tế đã xây dựng một mô hình tiêu chuẩn cho các mạng gọi là mô hình tham chiếu cho việc liên kết các hệ thống mở (Reference Model for Open System Interconnection) hay gọn hơn mô hình tham chiếu OSI (OSI Reference Model).

Mô hình OSI gồm 7 tầng thực hiện các chức năng sau:

Tầng vật lý (Physical Layer): Là tầng thấp nhất, thực hiện việc bốc xếp các chuỗi bit

theo chỉ thị của tầng kết nối dữ liệu.

Tầng kết nối dữ liệu (Datalink Layer): Cung cấp phương tiện để truyền thông tin

qua giao diện vật lý Có 2 chức năng cơ bản là điều khiển các liên kết logic và điều khiển truy nhập đường truyền.

Tầng mạng (Network Layer): Thực hiện chức năng đình tuyến để tìm đường đi tối

ưu trên mạng ngoài ra còn chức năng chuyển mạch.

Tầng vận chuyển (Transport Layer): Vận chuyển dữ liệu giữa bên gửi và bên nhận,

có cơ chế điều khiển luồng, phát hiện và sửa sai đảm bảo độ tin cậy.

Tầng phiên (Session Layer): Thiết lập duy trì đồng bộ hóa các phiên truyền thông.Tầng trình diễn (Presentation Layer): Chuyển đổi cú pháp dữ liệu để đáp ứng yêu

cầu truyền dữ liệu của các ứng dụng qua môi trường truyền OSI.

Tầng ứng dụng (Application Layer): Đóng vai trò là giao diện giữa môi trường OSI

và người sử dụng, thu thập các yêu cầu của người sử dụng, xử lí và trao cho tầng dưới đồng thời nhận kết quả xử lí của tầng dưới trao cho người dùng.

Hình 1.1 Mô hình tham chiếu OSI

1.3 KIẾN TRÚC TCP/IP

Thông thường các giao thức được phát triển trong các tầng mà mỗi tầng lại có chức năng riêng trong việc xử lý thông tin Bộ giao thức TCP/IP là tổ hợp của nhiều giao thức ở các tầng khác nhau nhưng thông thường mô hình phân lớp trong các hệ thống TCP/IP được xem là mô hình giản lược của mô hình OSI gồm 4 lớp như sau:

Hình 1.2 Kiến trúc TCP/IP

1.Tầng liên kết (Network Interface Layer) (được gọi là tầng liên kết dữ liệu hay

còn gọi là tầng giao tiếp mạng): là tầng dưới cùng của mô hình TCP/IP bao gồm thiết bị giao tiếp mạng và chương trình cung cấp các thông tin cần thiết để nó có thể hoạt động, truy nhập đường truyền vật lý qua thiết bị giao tiếp mạng đó.

2 Tầng Internet (Internet Layer): thực hiện việc chọn đường và chuyển tiếp

các dữ liệu trên mạng Trong bộ giao thức TCP/IP tầng mạng có một số giao thức hỗ trợ cho việc vận chuyển các gói dữ liệu như IP (Internet Protocol),

ICMP (Internet Control Message Protocol) và IGMP ( Internet Group Management Protocol).

3 Tầng giao vận (Transport Layer): bao gồm các dịch vụ phân phát dòng dữ

liệu giữa 2 đầu cuối, phục vụ tầng ứng dụng ở bên trên Trong bộ giao thức TCP/IP tầng giao vận có 2 giao thức là TCP (Transmission Control Protocol) và UDP (User Datagram Protocol)

- TCP là giao thức cung cấp dịch vụ vận chuyển dữ liệu theo kiểu hướng liên kết (Connection Oriented) và tin cậy với việc phân chia dữ liệu thành các segment, thiết lập các kết nối logic, phúc đáp, thiết lập thời lượng kiểm tra lỗi …

- UDP cung cấp các dịch vụ vận chuyển dữ liệu (mỗi đơn vị dữ liệu gọi là một datagram) không hướng liên kết và thiếu tin cậy

Bất kỳ yêu cầu tin cậy nào trong việc chuyển phát dữ liệu đều phải được thêm bởi tầng ứng dụng

4 Tầng ứng dụng (Application Layer) là tầng trên cùng của mô hình TCP/IP

bao gồm các tiến trình và các ứng dụng cung cấp cho người sử dụng để truy cập mạng Có rất nhiều ứng dụng cung cấp cho người sử dụng trong tầng này mà phổ biến là:

Telnet sử dụng trong việc truy cập mạng từ xa.FTP (File Transfer Protocol) dịch vụ truyền tệp

SMTP (Simple Mail Transfer Protocol ) dịch vụ thư tín điện tử WWW (World Wide Web).

Mô hình OSI ra đời trước đó là mô hình tham chiếu cho việc học tập và nghiên cứu không có tính ứng dụng cao trong thực tiễn Mô hình TCP/IP là kế thừa của mô hình OSI và có tính ứng dụng cao cho việc quy chuẩn để xây dựng các hệ thống mạng hiện nay Tuy nhiên hai mô hình trên không loại trừ lẫn nhau mà tồn tại song song đồng thời vì mục đích sử dụng của chúng tương hỗ cho nhau nhằm tiêu chuẩn hóa việc xây dựng và phát triển hệ thống mạng truyền thông trên phạm vi toàn thế giới.

1.4 MỘT SỐ GIAO THỨC CƠ BẢN TRONG BỘ GIAO THỨC TCP/IP1.4.1 Giao thức IP (Internet Protocol)

Mục đích của giao thức liên mạng IP là cung cấp khả năng kết nối các mạng con thành liên kết mạng để truyền dữ liệu IP là giao thức cung cấp dịch vụ phân phát datagram theo kiểu không liên kết và không tin cậy nghĩa là không cần có giai đoạn thiết lập liên kết trước khi truyền dữ liệu, không đảm bảo rằng IP datagram sẽ tới đích và không duy trì bất kì thông tin nào về datagram đã gửi đi

Khuôn dạng đơn vị dữ liệu dùng trong IP được thể hiện như trong hình 1.3

Ý nghĩa tham số các trường trong IP header:

• Version (4bit) chỉ version hiện tại của IP được cài đặt.

• Header length(4 bit) chỉ độ dài phần mào đầu của datagram Bao gồm cả phần

lựa chọn Option tính theo đơn vị 32 bits, tối thiểu là 5 từ (32 byte) khi không có Option

Hình 1.3 Khuôn dạng IP datagram

• TOS (Type of service 8 bits) chỉ loại dịch vụ Các loại dịch vụ gồm có:

o Độ trễ nhỏ nhấto Thông lượng lớn nhấto Độ tin cậy cao nhất o Chi phí thấp nhất

• Total length (16 bits) chỉ độ dài toàn bộ khung IP datagram tính theo bytes Dựa

vào trường này và trường header length ta tính được vị trí bắt đầu của dữ liệu trong IP datagram.

• Identification (16 bits) là trường định danh, cùng các tham số khác như Source

address và Destination address để định danh duy nhất cho mỗi datagram được gửi tới 1 host Thông thường phần Identification được tăng thêm 1 khi datagram được gửi đi.

• Flags ( 3 bits )các cờ được sử dụng khi phân đoạn các datagram

=1 (More Fragment)

• Fragment offset (13 bits) chỉ vị trí của đoạn Fragment trong datagram tính theo

đơn vị 64 bits.

• TTL (8 bits) thiết lập thời gian tồn tại của datagram để tránh tình trạng datagram

đi lang thang trên mạng TTL thường có giá trị 32 hoặc 64 tùy theo hệ điều hành và được giảm đi 1 khi dữ liệu đi qua mỗi router Khi trường này bằng 0 datagram sẽ bị hủy bỏ và sẽ thông báo lại cho trạm gửi.

• Protocol (8 bits) chỉ giao thức tầng trên kế tiếp sẽ nhận vùng dữ liệu ở trạm đích

thường là TCP hay UDP.

• Header checksum (16 bits) để kiểm soát lỗi cho vùng IP header.

• Source address (32 bits) địa chỉ IP trạm nguồn.

• Destination Address (32 bits) địa chỉ IP trạm đích.

• Options (độ dài thay đổi) khai báo các tùy chọn do người sử dụng yêu cầu,

thường là:

Địa chỉ IP (IP address)

Là số hiệu mã hóa để định danh một trạm trên mạng Internet được gọi là địa chỉ IP Mỗi địa chỉ IP có độ dài 32 bits được tách thành 4 vùng (mỗi vùng gồm 1 byte) thường được biểu diễn dưới dạng thập phân có dấu chấm (Dotted-decimal notation), người ta chia địa chỉ IP thành 5 lớp ký hiệu A,B,C,D,E với cấu trúc như

Hình1 4 Phân lớp địa chỉ IP

Lớp Khoảng địa chỉ A

0.0.0.0 đến 127.255.255.255128.0.0.0 đến 191.255.255.255192.0.0.0 đến 223.255.255.255224.0.0.0 đến 239.255.255.255

Định tuyến (IP routing)

Bên cạnh việc cung cấp địa chỉ để chuyển phát các gói tin, định tuyến là một chức năng quan trọng của giao thức IP.

Ta thấy rằng lớp IP nhận datagram từ lớp dưới chuyển lên và có trách nhiệm định tuyến cho các gói tin đó Tại lớp IP mỗi thiết bị định tuyến có một bảng định tuyến chứa đường đi tốt nhất đến một mạng nào đó Các thiết bị định tuyến đó là Router hoặc Switch Layer 3 Khi một gói tin được chuyển đến Router hoặc Switch địa chỉ IP sẽ được đọc và xác định địa chỉ mạng đích, đường đi tới các mạng này sẽ được tìm trong bảng định tuyến và nếu tìm thấy thì gói tin sẽ được gửi đến router kế tiếp trên đường truyền xác định Trong trường hợp đường đi không được tìm thấy thì gói tin sẽ bị đẩy ra default gateway Khi 1 gói tin đi lang thang trên mạng quá lâu vượt quá giá trị TTL mà vẫn chưa tìm được đường đến đích thì gói tin đó sẽ bị hủy bỏ và sẽ có 1 thông báo lỗi gửi về cho máy gửi nhờ giao thức ICMP Cơ chế định tuyến có thể được thực hiện nhờ nhiều giao thức định tuyến khác nhau như RIP, IGMP,EIGRP, OSPF, IS-IS… tùy vào quy mô mạng và độ tin cậy yêu cầu ta có thể lựa chọn giao thức định tuyến thích hợp.

1.4.2 Giao thức UDP ( User Datagram Protocol )

UDP là giao thức không liên kết (connectionless oriented), cung cấp dịch vụ giao vận không tin cậy (unrealiable) được sử dụng thay thế cho TCP trong tầng giao vận Khác với TCP, UDP không có chức năng thiết lập và giải phóng liên kết, không có cơ chế báo nhận (ACK), không sắp xếp tuần tự các đơn vị dữ liệu (datagram) đến và có thể

dẫn đến tình trạng mất hoặc trùng dữ liệu mà không hề có cơ chế thông báo lỗi cho người gửi Khuôn dạng của UDP datagram được mô tả như sau:

Hình 1.6 Khuôn dạng UDP datagram

Số hiệu cổng nguồn (16 bits) số hiệu cổng nơi gửi datagram.

Số hiệu cổng đích (16 bits) số hiệu cổng nơi datagram được chuyển tới

Độ dài UDP (16 bits) độ dài tổng cộng kể cả phần header của gói tin UDP datagram.UDP Checksum (16 bits) dùng để kiểm soát lỗi, nếu phát hiện lỗi thì datagram sẽ bị

loại bỏ mà không có một thông báo nào trả lại cho trạm gửi

UDP có cơ chế gán và quản lý các số hiệu cổng (port number) để định danh duy nhất cho các ứng dụng chạy trên một máy của mạng Do có ít chức năng phức tạp nên UDP có xu thế hoạt động nhanh hơn so với TCP Nó thường dùng cho các ứng dụng không cần đòi hỏi độ tin cậy cao trong giao vận.

1.4.3 Giao thức TCP ( Transmission Control Protocol )

TCP và UDP là 2 giao thức ở tầng giao vận và cùng sử dụng giao thức IP trong tầng mạng Nhưng không giống như UDP, TCP cung cấp dịch vụ liên kết tin cậy (realiable) và có liên kết (connetion oriented) Có nghĩa là 2 ứng dụng sử dụng TCP phải thiết lập liên kết với nhau trước khi trao đổi dữ liệu Sự tin cậy trong dịch vụ được cung cấp bởi TCP thể hiện như sau :

• Dữ liệu từ tầng ứng dụng được gửi đến được TCP chia thành các segment có kích thước phù hợp nhất để truyền đi.

16 bits số hiệu cổng nguồn 16 bits số hiệu cổng đích16 bits độ dài UDP16 bits UDP checksum

Dữ liệu (nếu có)

8 byte

• Khi TCP gửi đi 1 segment, nó duy trì một thời lượng để chờ phúc đáp từ máy nhận Nếu trong khoảng thời gian đó phúc đáp không được gửi đến thì segment đó được truyền lại.

• Khi TCP trên trạm nhận nhận dữ liệu từ trạm gửi nó sẽ gửi tới trạm gửi một phúc đáp, tuy nhiên phúc đáp này không được gửi lại ngay mà thường trễ một khoảng thời gian.

• TCP duy trì giá trị tổng kiểm tra (checksum) trong phần header của dữ liệu để nhận ra bất kì sự thay đổi nào trong quá trình truyền dẫn Nếu 1 segment bị lỗi thì TCP ở phía trạm nhận sẽ bị loại bỏ và không phúc đáp lại để trạm gửi truyền lại segment bị lỗi đó.

• Giống như IP datagram, TCP segment có thể tới đích một cách không tuần tự Do vậy TCP ở trạm nhận sẽ sắp xếp lại dữ liệu và sau đó gửi lên tầng trên đảm bảo tính đúng đắn của dữ liệu Khi IP datagram bị trùng lặp TCP tại trạm nhận sẽ loại bỏ dữ liệu trùng lặp đó.

• TCP cũng cung cấp khả năng điều khiển luồng, phần đầu của liên kết TCP có vùng đệm (buffer) giới hạn do đó TCP tại trạm nhận chỉ cho phép trạm gửi truyền một lượng dữ liệu nhất định (nhỏ hơn không gian bufer còn lại) Điều này tránh xảy ra trường hợp host có tốc độ cao chiếm toàn bộ buffer của host có tốc độ chậm hơn.

Khuôn dạng của TCP được mô tả trong hình 1.7 :

16 bits source port number 16 bits destination port number32 bits sequence number

32 bits acknowledgement number4 bits

header length

6 bits Reserved

N 16 bits windows size

16 bits TCP checksum 16 bits urgent pointerOptions ( Nếu có )

Data (Nếu có)

Hình 1.7 Khuôn dạng TCP datagram

Source Port (16 bits ) là số hiệu cổng của trạm nguồn.Destination Port (16 bits ) là số hiệu cổng của trạm đích.

Sequence Number (32 bits) là số hiệu byte đầu tiên của segment trừ khi bit SYN

được thiết lập Nếu bit SYN được thiết lập thì sequence number là số hiệu tuần tự khởi đầu ISN (Initial Sequence Number ) và byte dữ liệu đầu tiên là ISN + 1 Thông thường trường này là TCP thực hiện việc quản lý từng byte truyền đi trên một kết nối TCP.

Acknowledgment Number (32 bits) Số hiệu của segment tiếp theo mà trạm nguồn

đang chờ nhận và ngầm định báo nhận tốt các segment mà trạm đích đã gửi cho trạm nguồn.

Header Length (4 bits) Số lượng từ (32bit) trong TCP header, chỉ ra vị trí bắt đầu

của từng vùng dữ liệu vì trường Option có độ dài thay đổi header length có giá trị từ 20 đến 60 bytes.

Reserved (6 bits) Dành để dùng trong tương lai.Control bits : các bit dùng để điều khiển

o URG : xác định vùng con trỏ khẩn có hiệu lực.o ACK : vùng báo nhận ACK number có hiệu lực.o PSH : chức năng PUSH.

o RST : khởi động lại liên kết.

o SYN : đồng bộ hóa các số hiệu tuần tự (Sequence number).o FIN : không còn dữ liệu từ trạm nguồn

Window size (16 bits) : cấp phát thẻ để kiểm soát luồng dữ liệu (cơ chế cửa sổ trượt)

đây chính là số lượng các byte dữ liệu bắt đầu từ byte được chỉ ra trong vùng ACK number mà trạm nguồn sẵn sàng nhận

Checksum (16 bits) Mã kiểm soát lỗi cho toàn bộ segment cả phần header và dữ liệu.Urgent Pointer (16 bits) Con trỏ trỏ tới số hiệu tuần tự của byte cuối cùng trong dòng

dữ liệu khẩn cho phép bên nhận biết được độ dài dữ liệu khẩn Vùng này chỉ có hiệu lực khi bit đầu URG được thiết lập.

Option (độ dài thay đổi) Khai báo các tùy chọn của TCP trong đó thông thường là

kích thước cực đại của 1 segment MSS (Maximum Segment Size).

TCP data (độ dài thay đổi ) Chứa dữ liệu của tầng ứng dụng có độ dài ngầm định là

563 byte Giá trị này có thể điều chỉnh được bằng cách khai báo trong vùng Option.

Hình 1.8 Thiết lập và giải phóng liên kết

Khi 1 trạm muốn gửi dữ liệu tới cho 1 trạm khác thì một liên kết được thiết lập giữa 2 trạm để trao đổi dữ liệu Quá trình thiết lập 1 liên kết dùng 3 segment được gọi

là bắt tay 3 bước (Three way handshake) diễn ra như sau:

1. Trạm yêu cầu thường gọi là Client gửi đi 1 SYN segment để xác định số hiệu cổng của Server mà nó muốn kết nối và thông báo số hiệu tuần tự khởi đầu (ISN) của Client.

2 Server trả lời bằng cách gửi đi SYN segment và ISN của nó tới client

đồng thời server cũng xác nhận ISN của Client bằng cách đặt giá trị ACK sequence bằng ISN của Client +1.

3 Client cũng phải phúc đáp SYN segment từ server gửi tới bằng cách báo

nhận và gửi lại ISN của server +1 Kể từ lúc này quá trình truyền dữ liệu bắt đầu.

ackSYNSYNsegment 1

4. Khi đã gửi hết dữ liệu Client gửi tới Server 1 segment với bit FIN được thiết lập ( FIN segment).

5 TCP ở server sẽ thông báo cho tầng ứng dụng là đã truyền hết dữ liệu và

liên kết được giải phóng TCP ở Server gửi phúc đáp báo nhận FIN segment mà Client chuyển tới với Sequence number nhận được +1.

6 Server tiếp tục gửi tới Client FIN segment báo hiệu đóng liên kết ở Server.7 Client gửi phúc đáp tới Server với sequence number nhận được +1 báo

hiệu kết thúc liên kết.

Trên một kết nối TCP dữ liệu được truyền theo 2 chiều độc lập với nhau, do đó mỗi hướng liên kết được thiết lập và giải phóng một cách độc lập Có 4 segment tạo ra để giải phóng liên kết như mô tả trong hình trên

Khởi động lại liên kết

Nếu một segment tới đích nhưng không đúng trong việc tham chiếu liên kết (gồm địa chỉ IP và số hiệu cổng của trạm đích) thì TCP sẽ thiết lập bit RTS trong TCP header để gửi một segment yêu cầu thiết lập lại liên kết Thông thường yêu cầu thiết lập lại liên kết được sinh ra khi yêu cầu kết nối tới cổng không tồn tại hoặc không được sử dụng Đối với UDP, TCP port unreachable được sinh ra để thông báo cho người sử dụng còn đối với TCP, yêu cầu thiết lập lại liên kết được sử dụng thay vào đó Ngoài ra trạm gửi có thể hủy bỏ liên kết sau khi đã xếp dữ liệu vào hàng đợi bằng cách gửi RTS segment Hủy bỏ liên kết cung cấp cho tầng ứng dụng hai đặc điểm sau :

• Bất kì dữ liệu nào ở trong hàng đợi đều bị hủy bỏ và tín hiệu khởi động lại RTS được gửi đi ngay lập tức.

• Trạm nhận RTS có thể cho phép hủy bỏ liên kết thay vì giải phóng liên kết như bình thường và thông báo cho tầng ứng dụng là liên kết đã bị hủy bỏ.

Cơ chế cửa sổ trượt (sliding window)

Như ta đã biết dữ liệu được trạm gửi truyền đi sau đó phải dừng lại để chờ trạm nhận phúc đáp rằng đã nhận được khối dữ liệu đó trước khi nhận khối dữ liệu tiếp theo Nhưng TCP sử dụng phương thức điều khiển luồng sử dụng cửa sổ trượt tức là cho phép trạm gửi có thể truyền nhiều gói dữ liệu trước khi dừng lại để chờ phúc đáp Điều này

làm tăng tốc độ truyền dữ liệu đặc biệt là với khối lượng dữ liệu lớn Với cơ chế cửa sổ trượt trạm nhận không phải phúc đáp mỗi gói dữ liệu nhận được mà thay vào đó phúc đáp chung cho trạm gửi rằng đã nhận được tất cả các gói dữ liệu từ gói đầu tiên đến gói thứ sequence number -1 Cơ chế cửa sổ trượt có quy trình như sau:

Hình 1.9 Cơ chế cửa sổ trượt

Như trên hình trên ta thấy offer window là cửa sổ thông báo bởi trạm nhận có kích thước là 6 byte ( từ byte thứ 4 tới byte thứ 9 ) điều đó có nghĩa rằng trạm nhận đã phúc đáp nhận tốt các byte từ 1 tới 3 và thông báo cho trạm gửi kích thước cửa sổ là 6 Trạm gửi sẽ tính kích thước cửa sổ sử dụng hay cửa sổ lượng dữ liệu mà nó có thể gửi đi Trong quá trình truyền dữ liệu, cửa sổ trượt về phía phải khi trạm nhận gửi phúc đáp.

TCP cung cấp một chế độ khẩn cho phép trạm gửi thông báo cho trạm nhận rằng có một vài gói dữ liệu ưu tiên được truyền trong dòng dữ liệu thông thường Trạm nhận sẽ xác nhận bởi bit URG được thiết lập trong phần TCP Header Con trỏ Urgent pointer sẽ trỏ tới số hiệu tuần tự của byte cuối cùng trong dữ liệu khẩn Tầng ứng dụng được thông báo để xử lí dữ liệu trong chế độ khẩn cho tới khi nhận được segment có sequence number lớn hơn sequence number được chỉ ra bởi urgent pointer telnet và Rlogin sử dụng chế độ khẩn giữa server và client để tránh tình trạng ngắt đường truyền bởi cơ chế điều khiển luồng của TCP (thông báo window bằng 0) khi đó của sổ sẽ được mở cho phép bên nhận vẫn có thể đọc dữ liệu Nếu trạm gửi thiết lập nhiều lần chế độ khẩn trong

khi trạm nhận chưa xử lý dữ liệu của chế độ khẩn đầu tiên thì urgent pointer sẽ viết đè lên các giá trị trước đó Điều này có nghĩa là trạm nhận chỉ quy định một urgent pointer và nội dung dữ liệu khẩn gửi đi bởi trạm nguồn sẽ viết đè lên nội dung trước đó.

1.5 QUÁ TRÌNH ĐÓNG MỞ GÓI DỮ LIỆU KHI TRUYỀN TIN QUA CÁC LỚP

Hình 1.10 Quá trình đóng /mở gói dữ liệu

Khi truyền dữ liệu quá trình tiến hành từ tầng trên xuống tầng dưới, qua mỗi tầng dữ liệu được thêm vào một thông tin điều khiển được gọi là phần header Khi nhận dữ liệu thì quá trình này xảy ra ngược lại, dữ liệu được chuyển từ tầng dưới lên, quá mỗi tầng phần header tương ứng được bóc ra và khi lên đến tầng trên cùng thì dữ liệu không còn phần header nữa Khi ứng dụng sử dụng giao thức TCP để truyền tin trên mạng lược đồ dữ liệu tại mỗi tầng tương ứng như hình 1.10.

user data

user data

Appl header

application data

TCP header

application data

TCP headerIP

application data

TCP headerIP

headerEthernet

Ethernet driver

Ethernet

TCP segment

IP datagram

Ethernet frame46 to 1500 bytes

Trong tầng ứng dụng dữ liệu là các luồng được gọi là stream.

Trong tầng giao vận đơn vị dữ liệu mà TCP gửi xuống IP được gọi là TCP segment.Trong tầng mạng dữ liệu mà IP gửi tới giao tiếp mạng được gọi là IP packet

Trong tầng liên kết dữ liệu được truyền đi gọi là frame.

Chương 2

KHÁI NIỆM BẢO MẬT

Thông tin dữ liệu đối với các tổ chức, doanh nghiệp ngày càng là tài nguyên quan trọng, đôi khi tầm quan trọng mang tính sống còn đối với toàn bộ tổ chức, doanh

nghiệp, điển hình nhất là các tổ chức hoạt động trong các lĩnh vực tài chính, ngân hàng, bảo hiểm, các tổ chức an ninh ( như quân đội, quốc phòng …) Một khi các thông tin tối mật bị lọt ra thì nguy hiểm xảy ra không chỉ đối với riêng tổ chức đó mà là cả 1 ngành hay rộng hơn nữa là toàn bộ nền an ninh quốc gia cũng bị đe dọa Chính vì thế mà từ lâu bảo mật đã rất được chú trọng Trong giai đoạn hiện nay cùng với sự phát triển thần kì của khoa học kĩ thuật, các biện pháp đánh cắp thông tin ngày càng tinh vi chuyên nghiệp thì việc bảo mật lại càng khó khăn hơn và đòi hỏi phải đầu tư nhiều hơn, chúng ta cần phải nhận thức được đúng đắn vai trò sống còn của bảo mật đối với tổ chức của ta từ đó có sự đầu tư thích đáng cho bảo mật thông tin hệ thống Vậy bảo mật là gì?

2.1 KHÁI NIỆM BẢO MẬT

Bảo mật thông tin là một khái niệm rộng, nó bao gồm tất cả mọi hoạt động có tổ chức nhằm ngăn chặn, phát hiện và đối phó với sự tấn công vào hệ thống thông tin của các tổ chức doanh nghiệp với mục đích đánh cắp và phá hoại thông tin gây thiệt hại lớn cho các tổ chức, doanh nghiệp đó Các hành vi phá hoại có thể là chỉnh sửa, xuyên tạc, xóa bỏ hay chỉ đơn giản là làm cho thông tin mất khả năng phục vụ khi cần thiết

Khả năng bảo mật là một yếu tố hết sức quan trọng đối với một hệ thống mạng, đặc biệt là trong môi trường doanh nghiệp thông tin là tài sản có giá trị hàng đầu Cùng với sự gia tăng các hiểm họa tấn công từ cả bên trong và bên ngoài hệ thống mạng, các nhu cầu về việc xây dụng một hệ thống an ninh bảo mật với các công nghệ tiên tiến cũng gia tăng không ngừng Một hệ thống an ninh bảo mật phải đảm bảo được việc bảo vệ các dữ liệu kinh doanh và các thông tin khác.

2.2 MỤC TIÊU CỦA BẢO MẬT THÔNG TIN

Một hệ thống thông tin an toàn phải đảm bảo được 3 yêu cầu sau:

• Tính bảo mật (confidentially): Đảm bảo chỉ có những cá nhân được cấp quyền

mới được phép truy cập vào hệ thống Đây là yêu cầu quan trọng của bảo mật thông tin bởi vì đối với các tổ chức doanh nghiệp thì thông tin là tài sản có giá trị

hàng đầu, việc các cá nhân không được cấp quyền truy nhập trái phép vào hệ thống sẽ làm cho thông tin bị thất thoát đồng nghĩa với việc tài sản của công ty bị xâm hại, có thể dẫn đến phá sản

Để đảm bảo được tính bảo mật thì việc cấp quyền truy nhập phải được tiến hành hết sức cẩn thận, chỉ cho phép những cá nhân có nhu cầu chính đáng mới được phép truy nhập, hạn chế tối thiểu số người được phép truy nhập, xác minh chính xác đối tượng được phép truy nhập bằng các công cụ xác thực tiên tiến tin cậy…

• Tính toàn vẹn (integrity): Đảm bảo rằng thông tin luôn ở trạng thái đúng, chính

xác, người sử dụng luôn được làm việc với các thông tin tin cậy chân thực Chỉ các cá nhân được cấp quyền mới được phép chỉnh sửa thông tin Kẻ tấn công không chỉ có ý định đánh cắp thông tin mà còn mong muốn làm cho thông tin bị mất giá trị sử dụng bằng cách tạo ra các thông tin sai lệch gây thiệt hại cho công ty.

Để đảm bảo tính toàn vẹn thì không có cách nào khác là ngăn chặn mọi sự truy nhập trái phép vào hệ thống, thêm vào đó là xây dựng các hệ thống sao lưu dự phòng đề phòng trường hợp hệ thống bị đánh sập.

Hình 1.11 Mục tiêu CIA

• Tính sẵn sàng (availabillity): đảm bảo cho thông tin luôn ở trạng thái sẵn sàng

phục vụ, bất cứ lúc nào người sử dụng hợp pháp có nhu cầu đều có thể truy nhập được vào hệ thống Có thể nói rằng đây yêu cầu quan trọng nhất, vì thông tin chỉ hữu ích khi người sử dụng cần là có thể dùng được, nếu 2 yêu cầu trên được đảm

Data Integrity

Data Availability

Data Confidentiality

bảo nhưng yêu cầu cuối cùng không được đảm bảo thì thông tin cũng trở nên mất giá trị.

Thông tin mất tính sẵn sàng khi hệ thống là nạn nhân của tấn công từ chối dịch vụ (denial of service- DoS), đây là một kĩ thuật tấn công đơn giản khai thác các điểm yếu của các giao thức truyền tin trong chồng giao thức ICP/IP nhằm làm quá tải khả năng phục vụ của hệ thống dẫn đến hậu quả là hệ thống bị treo

Để đối phó với kiểu tấn công này cần phải có các công cụ ngăn chặn, phát hiện và lọc các gói tin….

Mục tiêu của bảo mật thông tin là đảm bảo được 3 yêu cầu trên, trong kĩ thuật

bảo mật gọi là mục tiêu CIA Để đạt được mục tiêu CIA không chỉ đơn giản là thực hiện

một vài biện pháp phòng chống, triển khai một vài thiết bị hay phần mềm cho hệ thống

mà bảo mật là một Chu trình liên tục theo thời gian.2.3 BẢO MẬT LÀ MỘT QUY TRÌNH

Sở dĩ bảo mật phải được tổ chức và thực hiện theo chu trình là để đảm bảo tính chặt chẽ và hiệu quả Hơn thế nữa chu trình đó còn có tính kế thừa và phát triển vì các kĩ thuật tấn công phá hoại ngày càng tinh vi hiện đại, một hệ thống bảo mật được cho là tối ưu trong thời điểm hiện tại vẫn có thể nảy sinh các vấn đề trong tương lai vì kẻ tấn công luôn tìm cách để khai thác các lỗ hổng trong hệ thống bảo mật đó bằng các biện pháp tinh vi hơn Để phòng ngừa và đối phó được thì những người xây dựng các chiến lược bảo mật cũng phải luôn luôn vạch ra các chiến lược mới và sử dụng công nghệ tiên tiến hơn.

Hình 1.12 Quy trình bảo mật

Như hình vẽ ta thấy chu trình bảo mật quy định 4 quá trình rất rõ ràng để phát triển một hệ thống an ninh nói chung Các quá trình đều được xây dựng và phát triển dựa nên một nguyên tắc chung đó là chính sách bảo mật của doanh nghiệp (Corporate Security Policy) Tùy từng tổ chức, doanh nghiệp mà các chính sách được ban hành khác nhau, nhưng nói chung đó là các quy tắc bảo mật hoàn chỉnh được ban hành cho toàn bộ nhân sự trong tổ chức nhằm đạt được mục tiêu CIA tối ưu

Đảm bảo an ninh (Secure): sau khi nghiên cứu toàn bộ chính sách bảo mật

của doanh nghiệp, công việc tiếp theo là phải thực hiện các hành động bảo mật cụ thể bằng các biện pháp thích hợp Chi tiết các biện pháp và các công nghệ bảo mật tôi sẽ trình bày trong chương sau.

Giám sát (Monitoring): trong khi các biện pháp bảo mật được tiến hành cần

có sự giám sát chặt chẽ để đánh giá được chất lượng hoạt động đồng thời có thể tìm các biện pháp thay thế, cải tiến nếu chưa đáp ứng được yêu cầu an ninh đặt ra.

Kiểm thử (Test): đây là giai đoạn kiểm tra hệ thống bao gồm toàn bộ hệ thống

thông tin dữ liệu, kiểm tra các kĩ thuật và quy trình sử dụng để đánh giá độ tin cậy, cũng như mức độ tổn thất, để từ đó có chiến lược thay thế phù hợp Việc kiểm thử cần được diễn ra định kì đều đặn.

Nâng cấp (Improve): đó là các kế hoạch nâng cấp cải tạo các công nghệ bảo

mật mới để đáp ứng được nhu cầu thay đổi, thay thế các kế hoạch bảo mật mới, việc này cần tiến hành nhanh chóng kịp thời cho toàn bộ hệ thống thông tin của doanh

nghiệp.Các bước trên không những được tiến hành lần lượt chặt chẽ mà còn phải tiến hành song song đồng thời bởi tấn công có thể diễn ra trong 1 thời gian đáng kể trước khi ta có thể nhận biết được chúng Và điều quan trọng nhất là các quá trình đều phải xuất phát từ chính sách chung, và cũng từ các quy trình thực hiện mà xây dựng hoàn thiện chính sách bảo mật cho tổ chức.

2.4 NHẬN BIẾT CÁC NGUY CƠ MẤT AN NINH DỮ LIỆU.

Các nguy cơ xảy ra có thể là do nguyên nhân khách quan hoặc do chủ quan của con người Các nguyên nhân do khách quan mang lại được gọi là các thảm họa

(Disaster) là các sự cố xảy ra đột ngột không lường trước, có thể là các thiên tai như động đất, núi lửa, sóng thần… hoặc cũng có thể là do con người gây nên như là hỏa hoạn, mất điện hay sụp đổ hệ thống Các thảm họa đến ngẫu nhiên và không thể ngăn cản được vì vậy phải tiến hành công tác dự báo và phải có các chiến lược phục hồi sau thảm họa Còn các nguyên nhân chủ quan chính là các hành vi tấn công Tấn công là các hành vi nhằm phá hoại mục tiêu CIA Tấn công thường xảy ra hơn và cũng khó đối phó hơn vì hình thức thay đổi liên tục, để đối phó được thì cần phải hiểu được các kĩ thuật được sử dụng để tấn công ở mục này tôi sẽ trình bày chi tiết về các kĩ thuật tấn công thường gặp.

Phân loại tấn công

Các loại tấn công được phân làm 3 loại chính:

• Social Engineering Attacks : kẻ tấn công lợi dụng sự bất cẩn hay sự cả tin của

những người trong công ty để lấy được thông tin xác nhận quyền truy nhập của user và có thể truy nhập hê thống vào bằng thông tin đó.

•Software Attacks: loại này nhằm vào các ứng dụng ( applications), hệ điều hành ( OS) và các giao thức ( protocols) Mục đích là để phá hủy hay vô hiệu hóa các ứng dụng, hệ điều hành hay các giao thức đang chạy trên các máy tính, để đạt được quyền truy nhập vào hệ thống và khai thác thông tin Loại tấn công này có dùng độc lập hoặc kết hợp với 1 số loại khác.

•Hardware Attacks: nhằm vào ổ cứng, bo mạch chủ, CPU, cáp mạng …mục đích là để phá hủy phần cứng vô hiệu hóa phần mềm, là cơ sở cho tấn công từ chối dịch vụ (DoS).

Các kĩ thuật tấn công thường gặp

Các kĩ thuật tấn nguy hiểm và thường gặp nhất là tấn công nhằm vào phần mềm

(Software Attacks) cụ thể như sau:

1 Tấn công quét cổng (Port Scanning Attacks)

- Kẻ tấn công theo dõi máy tính và các thiết bị kết nối đi ra Internet và tìm xem cổng TCP hay UDP nào đang trao đổi thông tin và dịch vụ nào đang hoạt động.

- Ta có thể giám sát được các máy ở bên ngoài bị quét cổng ở trên hệ thống của mình - Tấn công này là bước đầu tiên để xác định điểm yếu của hệ thống

- Một số công cụ để thực hiện: Supper Scan, Nmap, Strobe

2 Tấn công nghe trộm (Eavesdropping Attacks) còn được gọi là đánh hơi (sniffing)

- Kẻ tấn công cố gắng truy nhập vào các cuộc trao đổi thông tin có tính chất riêng tư bằng các thiết bị chuyên dụng để ăn cắp thông tin về nội dung cuộc trao đổi hay ăn cắp username & password

- Có thể thực hiện bằng các đường dây liên lạc thông thường hay các tuyến thông tin không dây.

- Các công cụ thực hiện là: Dsniff, Ethereal, Ettercap

3 Tấn công giả mạo địa chỉ IP (IP Spoofing Attacks):

Kẻ tấn công tạo ra các gói tin IP với điạ chỉ IP là giả mạo và sử dụng các gói tin đó

nhằm đạt được quyền truy nhập vào các hệ thống ở xa Kĩ thuật này dựa trên cơ sở:

 Các ứng dụng và dịch vụ được xác thực dự trên địa chỉ IP nguồn  Các thiết bị chạy Sun RPC, X Windows

 Các dịch vụ đã được bảo mật sử dụng giao thức TCP Network File System (NFS), UNIX Rlogin command

4 Tấn công chiếm đoạt quyền điều khiển (Hijacking Attacks):

Kẻ tấn công dành lấy quyền điều khiển các phiên TCP (sau thủ tục xác thực khi bắt đầu mỗi phiên) để đạt được quyền truy nhập vào dữ liệu hay tài nguyên của mạng với danh nghĩa là người sử dụng hợp lệ.

5 Tấn công truyền lại (Replay Attacks)

- Kẻ tấn công bắt giữ các gói tin trên mạng sau đó lưu và truyền lại để đạt được quyền truy nhập vào 1 host hay 1 mạng nào đó.

- Phương pháp tấn công này sẽ thành công nếu các kẻ tấn công bắt giữ được các gói tin mang Username & Password hay các thông tin xác thực khác.

- Replay Attack khác với Eavesdropping vì tấn công nghe lỏm chỉ lắng nghe nội dung thông tin chứ không lưu lại các gói tin để truyền lại.

6 Tấn công kẻ trung gian (Man-in-Middle Attacks)

- Kẻ tấn công chen ngang vào giữa 2 bên đang trao đổi thông tin để truy nhập được vào cuộc trao đổi đó

- Kẻ tấn công giả dạng là bên gửi và bên nhận thông tin khi trao đổi giữa Client & Server

(1)chặn các gói tin từ Client

(2) gửi các thông báo trả lời giả mạo cho client(3) gửi các gói

tin giả mạo cho Server

(4)trả lời cho kẻ tấn công

(5) giả dạng làm client trả lời cho server

Hình 1.13.Tấn công kẻ trung gian

Máy tính trung gian mạo danh là máy chủ khi giao tiếp với máy trạm và mạo danh là máy trạm khi giao tiếp với máy chủ Điều này cho phép cho máy trung gian ghi lại hết được nội dung trao đổi giũa máy trạm và máy chủ.

7 Tấn công từ chối dịch vụ (Denial of Services):

được chia làm hai loại là DoS và DDoS

DoS attacks: kẻ tấn công cố tình làm sập các hệ thống cung cấp các dịch vụ mạng

bằng cách:

- Làm nghẽn các đường link của hệ thống bằng dồn vào đó nhiều data hơn hẳn khả năng truyền tải có thể

- Gửi dữ liệu để khai thác các lỗ hổng trong 1 ứng dụng

- Chi phối các tài nguyên của 1 hệ thống đến mức mà nó phải shuts down

DDoS Attacks: Kẻ tấn công dành được quyền điều khiển hay thao túng được nhiều

máy tính trên các mạng khác nhau nằm phân tán để thực hiện 1 tấn công DoS

8 Tấn công sử dụng mã nguồn độc (Malicious Code Attacks):

Kẻ tấn công đưa các đoạn mã nguồn độc vào hệ thống của người sử dụng để phá hỏng hay vô hiệu hóa hệ điều hành hay các ứng dụng Một số loại mã nguồn độc:

- Virus: Là 1 đoạn mã nguồn có khả năng lây lan từ máy này sang máy khác bằng cách gắn vào các file, khi truyền các file có gắn thêm các đoạn mã độc này giữa các máy làm cho virus lây lan ,tính năng của nó là lây lan và phá hủy

- Worm (Sâu): cũng là 1 đoạn mã nguồn có khả năng lây lan từ máy này sang máy khác nhưng tự nó sao chép và lây lan chứ không cần vật kí sinh là các file như virus Sâu có thể phá hủy và xóa các file trên ổ cứng.

- Trojan: Là 1loại mã nguồn độc nhưng nó lại có khả năng giả vờ như vô hại bằng cách cải trang thành các file như bình thường để chống lại sự để ý của các phần mềm diệt virus Khi hoạt động nó cũng có thể phá hủy các file trên ổ cứng.

- Logic Bomb: Là 1 đoạn mã nguồn độc nằm chờ trên máy tính cho đến khi nó bị kích hoạt bằng 1 sự kiện đặc biệt và nó có thể phá hủy hoặc xóa dữ liệu trên máy tính.

9 Tấn công chống lại cấu hình bảo mật mặc định (Attacks Against Default Security Configuration) thường là như sau:

- Kẻ tấn công truy nhập vào máy tính để phá hủy hoạt động của máy tính bằng cách khai thác các lỗ hổng trong công tác bảo mật của hệ điều hành.

- Dựa trên các điểm yếu trong các cấu hình mặc định của hệ điều hành.

10 Tấn công khai thác phần mềm (Software Exploitation Attacks):

Kẻ tấn công truy nhập vào hệ thống hay các dữ liệu nhạy cảm bằng cách khai thác các điểm yếu hay tính năng của ứng dụng.

11 Tấn công ăn cắp password(Password Attacks):

Kẻ tấn công cố gắng đoán biết password hay tìm cách phá file mật khẩu được mã hóa.

12 Backdoor Attacks:

Kẻ tấn công truy nhập vào hệ thống bằng cách sử dụng 1 chương trình phần mềm nhỏ hỗ trợ hay bằng cách tạo ra 1 user giả (không tồn tại)

13 Tấn công tiếp quản (Takeover Attack):

Kẻ tấn công truy nhập được vào hệ thống ở xa và dành được quyền kiểm soát hệ thống đó bằng cách sử dụng các phương pháp tấn công ở trên.

Nhận dạng tấn công xảy ra trên các lớp của mô hình TCP/IPa Nhận dạng tấn công ở lớp giao diện mạng

Ở lớp giao diện mạng, các gói tin được truyền trên các dây dẫn được gọi là các khung (frames), trong 1 gói tin gồm có 3 trường: phần mào đầu (the header), phần tải trọng (payload) , và phần kiểm tra lỗi (FCS), vì lớp giao diện mạng được dùng để trao đổi thông tin trên trong mạng nội bộ nên tấn công ở lớp này cũng xảy ra trong mạng nội bộ (local network) Sau đây là 1 số phương pháp sử dụng để xâm hại đến mục tiêu CIA.

• Giả mạo địa chỉ MAC (MAC Address spoofing)