Nghiên cứu hệ thống bảo mật của mạng cục bộ lan 1

KHẢO SÁT THỰC TRẠNG AN NINH MẠNG “LAN” HIỆN NAY

Nguồn gốc của sự tấn công an ninh mạng

Ngày nay cùng với sự phát triển mạnh mẽ của công nghệ thông tin, các mô hình mạng cũng có xu hướng ngày càng được nâng cấp để có thể phát triển song hành cùng với những tiến bộ không ngừng của những công nghệ mới Nhưng sự phát triển này cũng mang theo nó rất nhiều phiền toái, bởi cùng với sự phát triển về công nghệ bảo mật thì những kẻ phá hoại trên mạng cũng không ngừng nâng cao tay nghề phá hoại của mình, và kĩ thuật mà chúng sử dụng ngày càng tinh vi, xảo quyệt hơn.

Tuy nhiên, không phải bất cứ khi nào muốn những kẻ xấu cũng có thể thực hiện được mục đích của mình Chúng cần phải có thời gian, những sơ hở, yếu kém của chính những hệ thống bảo vệ an ninh mạng Và để thực hiện được điều đó, chúng cũng phải có trí tuệ thông minh cộng với cả một chuỗi dài kinh nghiệm Còn để xây dựng được các biện pháp đảm bảo an ninh, đòi hỏi ở người xây dựng cũng không kém về trí tuệ và kinh nghiệm thực tiễn Như thế, cả hai mặt tích cực và tiêu cực ấy đều được thực hiện bởi bàn tay khối óc của con người, không có máy móc nào có thể thay thế được Vậy, vấn đề an ninh an toàn mạng máy tính hoàn toàn mang tính con người.

Sự phát triển của tấn công an ninh mạng

Ban đầu, những trò phá hoại chỉ mang tính chất là trò chơi của những người có trí tuệ không nhằm mục đích vụ lợi, xấu xa Tuy nhiên, khi mạng máy tính trở nên phổ dụng, có sự kết nối của nhiều tổ chức, công ty, cá nhân với nhiều thông tin bí mật, thì những trò phá hoại ấy lại không ngừng gia tăng Sự phá hoại ấy đã gây ra nhiều hậu quả nghiêm trọng, nó đã trở thành một loại tội phạm Theo số liệu thống kê của CERT khoảng 400 vào năm 1991, 1400 năm 1993 và 2241 năm 1994 Những vụ tấn công này nhằm vào tất cả các máy tính có mặt trên Internet, từ các máy tính của các công ty lớn như AT & T, IBM, các trường đại học, các cơ quan nhà nước, các nhà băng Những con số đưa ra này, trên thực tế chỉ là phần nổi của tảng băng Một phần lớn các vụ tấn công không được thông báo vì nhiều lý do khác nhau, như sự mất uy tín, hoặc chỉ đơn giản là họ không hề biết mình bị tấn công.

Thực tế, đe doạ an ninh không chỉ ở bên ngoài tổ chức, mà bên trong tổ chức vấn đề cũng hết sức nghiêm trọng Đe doạ bên trong tổ chức xẩy ra lớn hơn bên ngoài, nguyên nhân chính là do các nhân viên có quyền truy nhập hệ thống gây ra Vì họ có quyền truy nhập hệ thống nên họ có thể tìm được các điểm yếu của hệ thống, hoặc vô tình họ cũng có thể phá hủy hay tạo cơ hội cho những kẻ khác xâm nhập hệ thống Và nguy hiểm hơn, một khi họ là kẻ bất mãn hay phản bội thì hậu quả không thể lường trước được.

Tóm lại, vấn đề an ninh an toàn mạng máy tính hoàn toàn là vấn đề con người và không ngừng gia tăng, nó có thể bị đe doạ từ bên ngoài hoặc bên trong tổ chức Vấn đề này đã trở thành mối lo ngại lớn cho bất kì chủ thể nào tham gia vào mạng máy tính toàn cầu Và như vậy, để đảm bảo việc trao đổi thông tin an toàn và an ninh cho mạng máy tính, buộc các tổ chức đó phải triển khai các biện pháp bảo vệ đảm bảo an ninh, mà trước hết là cho chính mình.

2.Một số lỗ hổng mạng hiện nay

Có nhiều tổ chức đã tiến hành phân loại các dạng lỗ hổng đặc biệt. Theo bộ quốc phòng Mỹ các loại lỗ hổng được phân làm ba loại như sau:

Lỗ hổng loại C : Cho phép thực hiện các hình thức tấn công theo DoS (Denial of Services- Từ chối dịch vụ) Mức độ nguy hiểm thấp chỉ ảnh hưởng tới chất lượng dịch vụ, làm ngưng trệ gián đoạn hệ thống, không làm phá hỏng dữ liệu hoặc đạt được quyền truy cập bất hợp pháp.

DoS là hình thức tấn công sử dụng các giao thức ở tầng Internet trong bộ giao thức TCP/IP để làm hệ thống ngưng trệ dẫn đến tình trạng từ chối người sử dụng hợp pháp truy nhập hay sử dụng hệ thống.

Các dịch vụ có lỗ hổng cho phép các cuộc tấn công DoS có thể được nâng cấp hoặc sửa chữa bằng các phiên bản mới hơn của các nhà cung cấp dịch vụ Hiện nay chưa có một biện pháp hữu hiệu nào để khắc phục tình trạng tấn công kiểu này vì bản thân thiết kế ở tầng Internet (IP) nói riêng và bộ giao thức TCP/IP nói chung đã ẩn chứa những nguy cơ tiềm tang của các lỗ hổng loại này.

Lỗ hổng loại B : Cho phép người sử dụng có thêm các quyền trên hệ thống mà không cần kiểm tra tính hợp lệ dẫn đến mất mát thông tin yêu cầu cần bảo mật Lỗ hổng này thường có trong các ứng dụng trên hệ thống Có mức độ nguy hiểm trung bình.

Lỗ hổng loại B này có mức độ nguy hiểm hơn lỗ hổng loại C Cho phép người sử dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập không hợp pháp.Những lỗ hổng loại này thường xuất hiện trong các dịch vụ trên hệ thống Người sử dụng local được hiểu là người đã có quyền truy nhập vào hệ thống với một số quyền hạn nhất định.

Một dạng khác của lỗ hổng loại B xảy ra với các chương trình viết bằng mã nguồn C Những chương trình viết bằng mã nguồn C thường sử dụng một vùng đệm, một vùng trong bộ nhớ sử dụng để lưu trữ dữ liệu trước khi xử lý Người lập trình thường sử dụng vùng đệm trong bộ nhớ trước khi gán một khoảng không gian bộ nhớ cho từng khối dữ liệu Ví dụ khi viết chương trình nhập trường tên người sử dụng quy định trường này dài 20 ký tự bằng khai báo:

Char first_name [20]; Khai báo này cho phép người sử dụng nhập tối đa 20 ký tự Khi nhập dữ liệu ban đầu dữ liệu được lưu ở vùng đệm Khi người sử dụng nhập nhiều hơn 20 ký tự sẽ tràn vùng đệm Những ký tự nhập thừa sẽ nằm ngoài vùng đệm khiến ta không thể kiểm soát được. Nhưng đối với những kẻ tấn công chúng có thể lợi dụng những lỗ hổng này để nhập vào những ký tự đặc biệt để thực thi một số lệnh đặc biệt trên hệ thống Thông thường những lỗ hổng này được lợi dụng bởi những người sử dụng trên hệ thống để đạt được quyền root không hợp lệ Để hạn chế được các lỗ hổng loại B phải kiêm soát chặt chẽ cấu hình hệ thống và các

Lỗ hổng loại A: Cho phép người ngoài hệ thống có thể truy cập bất hợp pháp vào hệ thống Có thể làm phá huỷ toàn bộ hệ thống Loại lỗ hổng này có mức độ rất nguy hiểm đe dọa tính toàn vẹn và bảo mật của hệ thống Các lỗ hổng này thường xuất hiện ở những hệ thống quản trị yếu kém hoặc không kiểm soát được cấu hình mạng.

Ví dụ với các web server chạy trên hệ điều hành Novell các server này có một scripst là convert.bas chạy scripst này cho phép đọc toàn bộ nội dung các file trên hệ thống.

Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có trên phần mềm sử dụng, người quản trị nếu không hiểu sâu về dịch vụ và phần mềm sử dụng có thể bỏ qua điểm yếu này Vì vậy thường xuyên phải kiểm tra các thông báo của các nhóm tin về bảo mật trên mạng để phát hiện những lỗ hổng loại này Một loạt các chương trình phiên bản cũ thường sử dụng có những lỗ hổng loại A như: FTP, Gopher, Telnet, Sendmail, ARP, finger

3.Tìm hiểu một số phương thức tấn công mạng hiện nay

Scanner

Scanner là một trương trình tự động rà soát và phát hiện những điểm yếu về bảo mật trên một trạm làm việc cục bộ hoặc một trạm ở xa Một kẻ phá hoại sử dụng chương trình Scanner có thể phát hiện ra những lỗ hổng về bảo mật trên một Server dù ở xa.

Cơ chế hoạt động là rà soát và phát hiện những cổng TCP/UDP được sủ dụng trên hệ thống cần tấn công và các dịch vụ sử dụng trên hệ thống đó Scanner ghi lại những đáp ứng trên hệ thống từ xa tương ứng với dịch vụ mà nó phát hiện ra Từ đó nó có thể tìm ra điêm yếu của hệ thống.

Những yếu tố để một Scanner hoạt động như sau:

Yêu cầu thiết bị và hệ thống:

 Môi trường có hỗ trợ TCP/IP

 Hệ thống phải kết nối vào mạng Internet.

Các chương trình Scanner có vai trò quan trọng trong một hệ thống bảo mật, vì chúng có khả năng phát hiện ra những điểm yếu kém trên một hệ thống mạng.

Password Cracker

Là một chương trình có khả năng giải mã một mật khẩu đã được mã hoá hoặc có thể vô hiệu hoá chức năng bảo vệ mật khẩu của một hệ thống.

Một số chương trình phá khoá có nguyên tắc hoạt động khác nhau. Một số chương trình tạo ra danh sách các từ giới hạn, áp dụng một số thuật toán mã hoá từ kết quả so sánh với Password đã mã hoá cần bẻ khoá để tạo ra một danh sách khác theo một logic của chương trình.

Khi thấy phù hợp với mật khẩu đã mã hoá, kẻ phá hoại đã có được mật khẩu dưới dạng text Mật khẩu text thông thường sẽ được ghi vào một file.

Biện pháp khắc phục đối với cách thức phá hoại này là cần xây dựng một chính sách bảo vệ mật khẩu đúng đắn.

Sniffer

Sniffer là các công cụ (phần cứng hoặc phần mềm)”bắt ”các thông tin lưu chuyển trên mạng và lấy các thông tin có giá trị trao đổi trên mạng.

Sniffer có thể “bắt” được các thông tin trao đổi giữa nhiều trạm làm việc với nhau Thực hiện bắt các gói tin từ tầng IP trở xuống Giao thức ở tầng IP được định nghĩa công khai, và cấu trúc các trường header rõ ràng, nên việc giải mã các gói tin này không khó khăn.

Mục đích của các chương trình sniffer đó là thiết lập chế độ promiscuous (mode dùng chung) trên các card mạng ethernet - nơi các gói tin trao đổi trong mạng - từ đó "bắt" được thông tin.

Các thiết bị sniffer có thể bắt được toàn bộ thông tin trao đổi trên mạng là dựa vào nguyên tắc broadcast (quảng bá) các gọi tin trong mạng Ethernet.

Tuy nhiên việc thiết lập một hệ thống sniffer không phải đơn giản vì cần phải xâm nhập được vào hệ thống mạng đó và cài đặt các phần mềm sniffer.

Việc phát hiện hệ thống bị sniffer không phải đơn giản, vì sniffer hoạt động ở tầng rất thấp, và không ảnh hưởng tới các ứng dụng cũng như các dịch vụ hệ thống đó cung cấp.

Tuy nhiên việc xây dựng các biện pháp hạn chế sniffer cũng không quá khó khăn nếu ta tuân thủ các nguyên tắc về bảo mật như:

 Không cho người lạ truy nhập vào các thiết bị trên hệ thống

 Quản lý cấu hình hệ thống chặt chẽ

TÌM HIỂU VỀ CÁC GIAO THỨC MẠNG

Tìm hiểu về một số giao thức dùng trong mạng máy tính

Giao thức IP

Một giao thức truyền thông được phát triển theo đơn đặt hàng của BộQuốc Phòng Mỹ để kết nối các hệ thống mạng khác nhau Được phát minh bởi Vinton Cerf (được xem là "ông tổ" của mạng Internet) và Bob Kahn.Đây chính là giao thức chủ chốt của các mạng Unix và các mạng sử dụng hệ điều hành Windows của MicroSoft Ngày nay nó trở nên giao thức tiêu chuẩn toàn cầu dùng để kết nối rất nhiều hệ thống khác nhau, nhiều thiết bị khác nhau và hỗ trợ truyền tải nhiều loại thông tin khác nhau (dữ liệu, hình ảnh, âm thanh, phim ) đó chính là giao thức chính của mạng Internet.

Hiện nay các máy tính của hầu hết các mạng có thể sử dụng giao thức TCP/IP để liên kết với nhau thông qua nhiều hệ thống mạng với kỹ thuật khác nhau Giao thức TCP/IP thực chất là một họ giao thức cho phép các hệ thống mạng cùng làm việc với nhau thông qua việc cung cấp phương tiện truyền thông liên mạng a Tổng quát

Nhiệm vụ chính của giao thức IP là cung cấp khả năng kết nối các mạng con thành liên kết mạng để truyền dữ liệu, vai trò của IP là vai trò của giao thức tầng mạng trong mô hình OSI Giao thức IP là một giao thức kiểu không liên kết (connectionlees) có nghĩa là không cần có giai đoạn thiết lập liên kết trước khi truyền dữ liệu

Sơ đồ địa chỉ hóa để định danh các trạm (host) trong liên mạng được gọi là địa chỉ IP 32 bits (32 bit IP address) Mỗi giao diện trong

1 máy có hỗ trợ giao thức IP đều phải được gán 1 địa chỉ IP (một máy tính có thể gắn với nhiều mạng do vậy có thể có nhiều địa chỉ IP) Địa chỉ IP gồm 2 phần: địa chỉ mạng (netid) và địa chỉ máy (hostid) Mỗi địa chỉ IP có độ dài 32 bits được tách thành 4 vùng (mỗi vùng 1 byte), có thể biểu thị dưới dạng thập phân, bát phân, thập lục phân hay nhị phân Cách viết phổ biến nhất là dùng ký pháp thập phân có dấu chấm (dotted decimal notation) để tách các vùng. Mục đích của địa chỉ IP là để định danh duy nhất cho một máy tính bất kỳ trên liên mạng

Do tổ chức và độ lớn của các mạng con (subnet) của liên mạng có thể khác nhau, người ta chia các địa chỉ IP thành 5 lớp, ký hiệu là

A, B, C, D và E Trong lớp A, B, C chứa địa chỉ có thể gán được.Lớp D dành riêng cho lớp kỹ thuật multicasting Lớp E được dành

Netid trong địa chỉ mạng dùng để nhận dạng từng mạng riêng biệt Các mạng liên kết phải có địa chỉ mạng (netid) riêng cho mỗi mạng Ở đây các bit đầu tiên của byte đầu tiên được dùng để định danh lớp địa chỉ (0 - lớp A, 10 - lớp B, 110 - lớp C, 1110 - lớp D và

11110 - lớp E) Ở đây ta xét cấu trúc của các lớp địa chỉ có thể gán được là lớp

Cấu trúc của các địa chỉ IP như sau:

Mạng lớp A: địa chỉ mạng (netid) là 1 Byte và địa chỉ host (hostid) là 3 byte

Mạng lớp B: địa chỉ mạng (netid) là 2 Byte và địa chỉ host (hostid) là 2 byte.

Mạng lớp C: địa chỉ mạng (netid) là 3 Byte và địa chỉ host (hostid) là 1 byte.

Lớp A cho phép định danh tới 126 mạng, với tối đa 16 triệu host trên mỗi mạng Lớp này được dùng cho các mạng có số trạm cực lớn. Lớp B cho phép định danh tới 16384 mạng, với tối đa 65534 host trên mỗi mạng.

Lớp C cho phép định danh tới 2 triệu mạng, với tối đa 254 host trên mỗi mạng Lớp này được dùng cho các mạng có ít trạm.

Hình 1.0.1 Cấu trúc các lớp địa chỉ IP Một số địa chỉ có tính chất đặc biệt: Một địa chỉ có hostid = 0 được dùng để hướng tới mạng định danh bởi vùng netid Ngược lại, một địa chỉ có vùng hostid gồm toàn số 1 được dùng để hướng tới tất cả các host nối vào mạng netid, và nếu vùng netid cũng gồm toàn số

1 thì nó hướng tới tất cả các host trong liên mạng

Hình 1.0.2 Ví dụ cấu trúc các lớp địa chỉ IP Cần lưu ý rằng các địa chỉ IP được dùng để định danh các host và mạng ở tầng mạng của mô hình OSI, và chúng không phải là các địa chỉ vật lý (hay địa chỉ MAC) của các trạm trên đó một mạng cục bộ (Ethernet, Token Ring.).

Trong nhiều trường hợp, một mạng có thể được chia thành nhiều mạng con (subnet), lúc đó có thể đưa thêm các vùng subnetid để định danh các mạng con Vùng subnetid được lấy từ vùng hostid, cụ thể đối với lớp A, B, C như ví dụ sau:

Hình 1.0.3 Ví dụ địa chỉ khi bổ sung vùng subnetip Đơn vị dữ liệu dùng trong IP được gọi là gói tin (datagram), có khuôn dạng b Các giao thức trong mạng IP Để mạng với giao thức IP hoạt động được tốt người ta cần một số giao thức bổ sung, các giao thức này đều không phải là bộ phận của giao thức IP và giao thức IP sẽ dùng đến chúng khi cần.

Giao thức ARP (Address Resolution Protocol): Ở đây cần lưu ý rằng các địa chỉ IP được dùng để định danh các host và mạng ở tầng mạng của mô hình OSI, và chúng không phải là các địa chỉ vật lý (hay địa chỉ MAC) của các trạm trên đó một mạng cục bộ (Ethernet, Token Ring.) Trên một mạng cục bộ hai trạm chỉ có thể liên lạc với nhau nếu chúng biết địa chỉ vật lý của nhau Như vậy vấn đề đặt ra là phải tìm được ánh xạ giữa địa chỉ IP (32 bits) và địa chỉ vật lý của một trạm Giao thức ARP đã được xây dựng để tìm địa chỉ vật lý từ địa chỉ IP khi cần thiết

Giao thức RARP (Reverse Address Resolution Protocol): Là giao thức ngược với giao thức ARP Giao thức RARP được dùng để tìm địa chỉ IP từ địa chỉ vật lý

Giao thức ICMP (Internet Control Message Protocol): Giao thức này thực hiện truyền các thông báo điều khiển (báo cáo về các tình trạng các lỗi trên mạng.) giữa các gateway hoặc một nút của liên mạng Tình trạng lỗi có thể là: một gói tin IP không thể tới đích của nó, hoặc một router không đủ bộ nhớ đệm để lưu và chuyển một gói tin IP, Một thông báo ICMP được tạo và chuyển cho IP IP sẽ "bọc" (encapsulate) thông báo đó với một IP header và truyền đến cho router hoặc trạm đích. c Các bước hoạt động của giao thức IP

Khi giao thức IP được khởi động nó trở thành một thực thể tồn tại trong máy tính và bắt đầu thực hiện những chức năng của mình, lúc đó thực thể IP là cấu thành của tầng mạng, nhận yêu cầu từ các tầng trên nó và gửi yêu cầu xuống các tầng dưới nó. Đối với thực thể IP ở máy nguồn, khi nhận được một yêu cầu gửi từ tầng trên, nó thực hiện các bước sau đây:

Tạo một IP datagram dựa trên tham số nhận được

Tính checksum và ghép vào header của gói tin.

Ra quyết định chọn đường: hoặc là trạm đích nằm trên cùng mạng hoặc một gateway sẽ được chọn cho chặng tiếp theo.

Chuyển gói tin xuống tầng dưới để truyền qua mạng. Đối với router, khi nhận được một gói tin đi qua, nó thực hiện các động tác sau:

1) Tính chesksum, nếu sai thì loại bỏ gói tin.

2) Giảm giá trị tham số Time - to Live nếu thời gian đã hết thì loại bỏ gói tin.

3) Ra quyết định chọn đường.

4) Phân đoạn gói tin, nếu cần.

5) Kiến tạo lại IP header, bao gồm giá trị mới của các vùng Time - to -Live, Fragmentation và Checksum.

6) Chuyển datagram xuống tầng dưới để chuyển qua mạng.

Cuối cùng khi một datagram nhận bởi một thực thể IP ở trạm đích, nó sẽ thực hiện bởi các công việc sau:

1) Tính checksum Nếu sai thì loại bỏ gói tin.

2) Tập hợp các đoạn của gói tin (nếu có phân đoạn)

3) Chuyển dữ liệu và các tham số điều khiển lên tầng trên.

Giao thức điều khiển truyền dữ liệu TCP

TCP là một giao thức "có liên kết" (connection - oriented), nghĩa là cần phải thiết lập liên kết giữa hai thực thể TCP trước khi chúng trao đổi dữ liệu với nhau Một tiến trình ứng dụng trong một máy tính truy nhập vào các dịch vụ của giao thức TCP thông qua một cổng (port) của TCP Số hiệu cổng TCP được thể hiện bởi 2 bytes.

Hình 1.0.5 Cổng truy nhập dịch vụ TCP

Một cổng TCP kết hợp với địa chỉ IP tạo thành một đầu nối TCP/IP (socket) duy nhất trong liên mạng Dịch vụ TCP được cung cấp nhờ một liên kết logic giữa một cặp đầu nối TCP/IP Một đầu nối TCP/IP có thể tham gia nhiều liên kết với các đầu nối TCP/IP ở xa khác nhau Trước khi truyền dữ liệu giữa 2 trạm cần phải thiết lập một liên kết TCP giữa chúng và khi không còn nhu cầu truyền dữ liệu thì liên kết đó sẽ được giải phóng

Các thực thể của tầng trên sử dụng giao thức TCP thông qua các hàm gọi (function calls) trong đó có các hàm yêu cầu để yêu cầu, để trả lời.Trong mỗi hàm còn có các tham số dành cho việc trao đổi dữ liệu.

Các bước thực hiện để thiết lập một liên kết TCP/IP

Thiết lập một liên kết mới có thể được mở theo một trong 2 phương thức: chủ động (active) hoặc bị động (passive)

Phương thức bị động, người sử dụng yêu cầu TCP chờ đợi một yêu cầu liên kết gửi đến từ xa thông qua một đầu nối TCP/IP (tại chỗ). Người sử dụng dùng hàm passive Open có khai báo cổng TCP và các thông số khác (mức ưu tiên, mức an toàn)

Với phương thức chủ động, người sử dụng yêu cầu TCP mở một liên kết với một một đầu nối TCP/IP ở xa Liên kết sẽ được xác lập nếu có một hàm Passive Open tương ứng đã được thực hiện tại đầu nối TCP/IP ở xa đó

Bảng liệt kê một vài cổng TCP phổ biến.

Số hiệu cổng Mô tả

Khi người sử dụng gửi đi một yêu cầu mở liên kết sẽ được nhận hai thông số trả lời từ TCP.

Thông số Open ID được TCP trả lời ngay lập tức để gán cho một liên kết cục bộ (local connection name) cho liên kết được yêu cầu Thông số này về sau được dùng để tham chiếu tới liên kết đó (Trong trường hợp nếu TCP không thể thiết lập được liên kết yêu cầu thì nó phải

Khi TCP thiết lập được liên kết yêu cầu nó gửi tham số OpenSucsess được dùng để thông báo liên kết đã được thiết lập thành công Thông báo này dược chuyển đến trong cả hai trường hợp bị động và chủ động Sau khi một liên kết được mở, việc truyền dữ liệu trên liên kết có thể được thực hiện.

Các bước thực hiện khi truyền và nhận dữ liệu

Sau khi xác lập được liên kết người sữ dụng gửi và nhận dữ liệu. Việc gửi và nhận dữ liệu thông qua các hàm Send và receive.

Hàm Send: Dữ liệu được gửi xuống TCP theo các khối (block) Khi nhận được một khối dữ liệu, TCP sẽ lưu trữ trong bộ đệm (buffer). Nếu cờ PUSH được dựng thì toàn bộ dữ liệu trong bộ đệm được gửi, kể cả khối dữ liệu mới đến sẽ được gửi đi Ngược lại cờ PUSH không được dựng thì dữ liệu được giữ lại trong bộ đệm và sẽ gửi đi khi có cơ hội thích hợp (chẳng hạn chờ thêm dữ liệu nữa để gữi đi với hiệu quả hơn).

Hàm reveive: Ở trạm đích dữ liệu sẽ được TCP lưu trong bộ đệm gắn với mỗi liên kết Nếu dữ liệu được đánh dấu với một cờ PUSH thì toàn bộ dữ liệu trong bộ đệm (kể cả các dữ liệu được lưu từ trước) sẽ được chuyển lên cho người sữ dụng Còn nếu dữ liệu đến không được đánh dấu với cờ PUSH thì TCP chờ tới khi thích hợp mới chuyển dữ liệu với mục tiêu tăng hiệu quả hệ thống

Nói chung việc nhận và giao dữ liệu cho người sử dụng đích của TCP phụ thuộc vào việc cài đặt cụ thể Trường hợp cần chuyển gấp dữ liệu cho người sử dụng thì có thể dùng cờ URGENT và đánh dấu dữ liệu bằng bit URG để báo cho người sử dụng cần phải sử lý khẩn cấp dữ liệu đó.

Các bước thực hiện khi đóng một liên kết TCP/IP

Việc đóng một liên kết khi không cần thiết được thực hiên theo một trong hai cách: dùng hàm Close hoặc dùng hàm Abort

Hàm Close: yêu cầu đóng liên kết một cách bình thường Có nghĩa là việc truyền dữ liệu trên liên kết đó đã hoàn tất Khi nhận được một hàm Close TCP sẽ truyền đi tất cả dữ liệu còn trong bộ đệm thông báo rằng nó đóng liên kết Lưu ý rằng khi một người sử dụng đã gửi đi một hàm Close thì nó vẫn phải tiếp tục nhận dữ liệu đến trên liên kết đó cho đến khi TCP đã báo cho phía bên kia biết về việc đóng liên kết và chuyển giao hết tất cả dữ liệu cho người sử dụng của mình.

Hàm Abort: Người sử dụng có thể đóng một liên kết bất và sẽ không chấp nhận dữ liệu qua liên kết đó nữa Do vậy dữ liệu có thể bị mất đi khi đang được truyền đi TCP báo cho TCP ở xa biết rằng liên kết đã được hủy bỏ và TCP ở xa sẽ thông báo cho người sử dụng cũa mình

Một số hàm khác của TCP

Hàm Status: cho phép người sử dụng yêu cầu cho biết trạng thái của một liên kết cụ thể, khi đó TCP cung cấp thông tin cho người sử dụng

Hàm Error: thông báo cho người sử dụng TCP về các yêu cầu dịch vụ bất hợp lệ liên quan đến một liên kết có tên cho trước hoặc về các lỗi liên quan đến môi trường. Đơn vị dữ liệu sử dụng trong TCP được gọi là segment (đoạn dữ liệu), có các tham số với ý nghĩa như sau:

Giao thức UDP (User Datagram Protocol)

UDP (User Datagram Protocol) là giao thức theo phương thức không liên kết được sử dụng thay thế cho TCP ở trên IP theo yêu cầu của từng ứng dụng Khác với TCP, UDP không có các chức năng thiết lập và kết thúc liên kết Tương tự như IP, nó cũng không cung cấp cơ chế báo nhận (acknowledgment), không sắp xếp tuần tự các gói tin (datagram) đến và có thể dẫn đến tình trạng mất hoặc trùng dữ liệu mà không có cơ chế thông báo lỗi cho người gửi Qua đó ta thấy UDP cung cấp các dịch vụ vận chuyển không tin cậy như trong TCP. Khuôn dạng UDP datagram được mô tả với các vùng tham số đơn giản hơn nhiều so với TCP segment.

Hình 1.0.7 Dạng thức của gói tin UDPUDP cũng cung cấp cơ chế gán và quản lý các số hiệu cổng (port number) để định danh duy nhất cho các ứng dụng chạy trên một trạm của mạng Do ít chức năng phức tạp nên UDP thường có xu thế hoạt động nhanh hơn so với TCP Nó thường được dùng cho các ứng không đòi hỏi độ tin cậy cao trong giao vận.

Hình 1.0.8 Mô hình quan hệ họ giao thức TCP/IP

Khái quát về Netware

Netware là hệ điều hành được sử dụng rộng rãi trong các hệ thống mạng cục bộ.Được tạo ra và giới thiệu bởi tập đoàn Novell từ đầu những năm 80 Sự thành công của Netware có được bởi tính mềm dẻo của nó Netware chạy được với nhiều chuỗi giaio thức truyền thông, công nghệ kết nối và trên các nền máy tính khác nhau Netware cũng hỗ trợ kết nối với các HDH phổ biến: DOS, Macintosh, OS/2, WinNT, Unix và VMS.

Những giao thức chính của Netware

a, Multiple Link Interface Driver (Trình điều khiển giao tiếp đa kết nối)

Là tên được Novell đặt cho trình điều khiển cạc giao tiếp mạng Đặc biệt, mỗi MLID là một phần của phần mềm tuân thủ với kiến trúc giao tiếp mở của Novell ( ODI- Open Data-link Interface) Một giao thức MLID không trực tiếp liên kết với một chuỗi giao thức cụ thể nào, do vậy, nó có thể kết nối được với nhiều chuỗi khác nhau. b, Link support layer (Lớp hỗ trợ liên kết)

Là phần giao tiếp giữa giao thức MLID và các chuỗi giao thức lớp trên Giao thức LSL chuyển đổi từng trường nhận biết giao thức của gói tin và truyền gói tin sang cho chuỗi giao thức phù hợp. c, Internetwork Packet Exchange (Giao thức trao đổi gói tin liên mạng)

Là một giao thức lớp phi kết nối có nguồn gốc từ giao thức dữ liệu liên mạng (Internetwork Datagram Protocol) Là một giao thức lớp mạng, IPX xác định và định và định tuyến các gói tin từ vị trí này sang vị trí khác trong một liên mạng IPX Trong quá trình này IPX thực thi việc cấp địa chỉ logic và các chức năng định tuyến liên mạng Nó dựa trên các địa chỉ thiết bị vật lý của phần cứng (được gọi là socket) và chỉ ra đích đến cuối cùng của gói tin Bên cạnh đó, IPX còn việc lựa chọn định tuyến dựa trên các thông tin mạng do giao thức RIP cung cấp. d, Router Information Protocol (Giao thức thông tin bộ định tuyến) Đây là giao thức có nguồn gốc từ giao thức XNS (Xerox Network Services) RIP là một giao thức tìm kiếm định tuyến dạng vector khoảng cách, sử dụng một số bước nhảy (hop count) của mạng để xác định chi phí đường truyền Mặc dù RIP được thực thi như một dịch vụ (thực tế nó có địa chỉ dịch vụ riêng gọi là socket) nhưng nó lại trực tiếp dựa trên giao thức IPX và thực thi các chức năng lớp mạng. e, Netware Link Services Protocol (Giao thức liệt kê các dịch vụ Netware)

Là giao thức tìm kiếm định tuyến dựa trên trạng thái đường truyền tương tự như một định tuyến, và được phát triển bởi tổ chức ISO, và được gọi là IS- IS (Intermediate System-to-intermediate system) Do được thừa kế các tính năng của tình trạng liên kết, NLSP hỗ trợ tốt khả năng chịu lỗi của cấu trúc mạng hình lưới và cấu trúc mạng tổng hợp.

Ngoài ra còn có một số giao thức khác cũng thuộc bộ giao thức Netware như SPX, NCP, SAP …

2.3.Bộ giao thức Apple Talk

Tìm hiểu về Apple talk

Vào đầu những năm 1980, khi công ty máy tính Apple chuẩn bị giới thiệu máy tính Macintosh, các kỹ sư Apple đã thấy rằng mạng sẽ trở nên rất cần thiết Họ muốn rằng mạng MAC cũng là một bước tiến mơí trong cuộc cách mạng về giao diện thân thiện người dùng do Apple khởi xướng Với ý định như vậy, Apple xây dựng một giao thức mạng cho họ máy Macintosh, và tích hợp giao thức trên vào máy tính để bàn Cấu trúc mạng mới do Apple xây dựng được gọi là Apple Talk.

Mặc dù Apple Talk là giao thức mạng độc quyền của Apple, nhưng Apple cũng đã ấn hành nhiều tài liệu về Apple Talk trong cố gắng khuyến khích các nhà sản xuất phần mềm khác phát triển trên Apple Talk Ngày nay đã có nhiều sản phẩm thương mại trên nền Apple Talk như của Novell, Microsoft.

Ban đầu AppleTalk chỉ cài đặt trên hệ thống cáp riêng của hãng là LocalTalk và có phạm vi ứng dụng rất hạn chế Phiên bản đầu của Apple Talk được thiết kế cho nhóm người dùng cục bộ hay được gọi là Apple Talk phase 1 Sau khi tung ra thị trường 5 năm, số người dùng đã vượt quá 1,5 triệu người cài đặt, Apple nhận thấy những nhóm người dùng lớn đã vượt quá giới hạn của Apple Talk phase 1, nên họ đã nâng cấp giao thức Giao thức đã được cải tiến được biết dưới cái tên Apple Talk phase 2, cải tiến khả năng tìm đường của Apple Talk và cho phép Apple Talk chạy trên những mạng lớn hơn.

Hãng Apple thiết kế Apple Talk độc lập với tầng liên kết dữ liệu Apple hỗ trợ nhiều loại cài đặt của tầng liên kết dữ liệu, bao gồm Ethernet, Token Ring, Fiber Distributed Data Interface (FDDI), và Local Talk Trên Apple Talk, Apple xem Ethernet như ethertalk, Token Ring như tokentalk, và FDDI như fdditalk

Hình 2.0.2 Cấu trúc của hệ điều hành Appletalk

Các giao thức chính của mạng AppleTalk

LLAP (Local Talk Link Access) là giao thức do Apple phát triền để hoạt động với cáp riêng của hãng (cũng được gọi là LocalTalk) dưạ trên cáp xoắn đôi bọc kim (STP), thích hợp với các mạng nhỏ, hiệu năng thấp Tốc độ tối đa là 230,4 Kb/s và khoảng cách các đọan cáp có độ dài giới hạn là 300m, số lượng trạm tối đa là 32.

ELAP (Ethertalk Link Access) và TLAP (tokentalk Link Access) là các giao thức cho phép sử dụng các mạng vật lý tương ứng là Ethernet và

AARP (AppleTalk Addresss Resolution Protocol) là các giao thức cho phép ánh xạ giữa các địa chỉ vật lý của Ethernet và Token Ring, là giao diện giữa các tầng cao của AppleTalk với các tầng vật lý của Ethernet và Token Ring.

DDP (Datagram Delivery Protocol) là giao thức tầng Mạng cung cấp dịch vụ theo phương thức không liên kết giữa 2 sockets (để chỉ 1 địa chỉ dịch vụ; một tổ hợp của địa chỉ thiết bị, địa chỉ mạng và socket sẽ định danh 1 cách duy nhất cho môãi tiến trình) DDP thực hiện chức năng chọn đường (routing) dựa trên các bảng chọn đường cho RTMP bảo trì.

RTMP (Routing Table Maintenance protocol) cung cấp cho DDP thông tin chọn đường trên phương pháp vector khoảng cách tương tự như RIP

(Routing Information Protocol) dùng trong Netware IPX/SPX.

NBP (Naming Binding Protocol): cho phép định danh các thiết bị bởi các tên lôgic (ngoài điạ chỉ của chúng) Các tên này ẩn dấu điạ chỉ tầng thấp đối với người sử dụng và đối với các tầng cao hơn.

ATP (AppleTalk Transaction Protocol) là giao thức thức tầng vận chuyển hoạt động với phương thức không liên kết Dich vụ vận chuyển này được cung cấp thông qua một hệ thống các thông báo nhận và truyền lại Độ tin cậy cũa ATP dưạ trên các thao tác (transaction) (một thao tác bao gồm một cặp các thao tác hỏi-đáp).

ASP (AppleTalk Section Protocol) là giao thức tầng giao dịch của

AppleTalk, cho phép thiết lập, duy trì và hủy bỏ các phiên liên lạc giữa người yêu cầu dịch vụ và người cung cấp dịch vụ.

ADSP (AppleTalk Data Stream Protocol) là một giao thức phủ cả tầng vận chuyển và tầng giao dịch, có thể thay cho nhóm giao thức dùng với ATP.

ZIP (Zone Information Protocol) là giao thức có chức năng tổ chức các thiết bị thành các vùng (zone) để làm giảm độ phức tạp của 1 mạng bằng cách giới hạn sự tương tác của người sử dụng vào đúng các thiết bị mà anh ta cần.

PAP (Printer Access protocol) cũng là 1 giao thức của tầng giao dịch tương tự như ASP Nó không chỉ cung cấp các dịch vụ in như tên gọi mà còn yểm trợ các kiểu liên kết giữa người yêu cầu và người cung cấp dịch vụ.

AFP (AppleTalk Filling Protocol) là giao thức cung cấp dịch vụ File và đảm nhận việc chuyển đổi cú pháp dữ liệu, bảo vệ an toàn dữ liệu (tương tự tầng trình bày trong mô hình OSI).

Giới thiệu về mô hình SNA

Tháng 9/1973, Hãng IBM giới thiệu một kiến trúc mạng máy tính SNA (System Network Architecture) Đến năm 1977 đã có 300 trạm SNA được cài đặt Cuối năm 1978, số lượng đã tăng lên đến 1250, rồi cứ theo đà đó cho đến nayđã có 20.000 trạm SNA đang được hoạt động Qua con số này chúng ta có thể hình dung được mức độ quan trọng và tầm ảnh hưởng của SNA trên toàn thế giới

Cần lưu ý rằng SNA không là một chuẩn quốc tế chính thức như OSI nhưng do vai trò to lớn của hãng IBM trên thị trường CNTT nên SNA trở thành một loại chuẩn thực tế và khá phổ biến SNA là một đặc tả gồm rất nhiều tài liệu mô tả kiến trúc của mạng xử lý dữ liệu phân tán Nó định nghĩa các quy tắc và các giao thức cho sự tương tác giữa các thành phần (máy tính, trạm cuối, phần mềm) trong mạng.

Các giao thức chính của mạng SNA

Giao thức token-ring được sử dụng như mô hình IEEE 802.5. b, SDLC (Synchronous Data Link Control) Điều khiển liên kết dữ liệu đồng bộ SDLC là giao thức điều khiển liên kết dữ liệu được IBM định nghĩa Kỹ thuật này được phát triển vào thập niên 70 dùng để truyền thông trên nối kết mạng diện rộng đối với hệ thống máy chủ IBM trong môi trường SNA (Systems Network Architecture) SDLC hoạt động đồng bộ theo hướng bit so với giao thức theo hướng byte như BISYNC (Binary Synchronous Communications). Trong SDLC, một trạm chính sẽ điều khiển hoạt động của các trạm phụ khác Nếu trạm phụ có dữ liệu, nó sẽ truyền dữ liệu khi trạm chính cho phép Trạm chính có nhiệm vụ thiết lập và duy trì các kết nối Có nhiều phương pháp kết nối như điểm-tới-điểm, điểm đến nhiều điểm, và nối kết vòng Trong cấu hình vòng, thông tin được truyền từ trạm nầy sang trạm kế tiếp SDLC sử dụng định dạng frame trong đó thông tin được gán bởi các cờ nhằm phân biệt giữa các frame Một trường địa chỉ dùng để chứa địa chỉ của máy trạm đích, trường điều khiển sẽ xác định loại frame, và FCS (frame check sequence: kiểm tra thứ tự frame) sẽ chứa giá trị kiểm tra lỗi.

Mô hình SDLC tiêu biểu bao gồm 3270 thiết bị đầu cuối từ xa nối kết với nhóm điều khiển (ví dụ như mô hình IBM 3x74) Và nhóm điều khiển nối kết với hệ thống máy chủ thông qua đường thuê bao Các công ty như Cisco Systems đã cải tiến phương pháp kết nối này. c, CICS (Customer Information Control System)

Hệ thống quản lý thông tin khách hàng CICS là một họ các sản phẩm phần mềm client/server xử lý giao dịch cho phép một tổ chức khai thác các ứng dụng và dữ liệu trên những môi trường phần mềm và phần cứng khác nhau Nó là một môi trường mở cho việc xây dựng các hệ thống thông tin máy IBM và hệ thống khác, tuơng tác thông qua LAN và WAN, phục vụ hàng ngàn người sử dụng và có thể quản lý từ một trạm điều khiển CICS thường được dùng trên các mạng trực tuyến lớn và cung cấp sự tương thích với các nền như AIX của IBM, MVS, OS/2, OS/400 và VSE, cũng như các môi trường không phải IBM như Windows NT, HP, Digital và Sun Từ mục liên quan IBM (International Business Machines); Transaction Processing.

2.5.Giao thức SLIP và PPP

Giao thức truy nhập từ xa (SLIP)

SLIP (Serial Line Internet Protocol) là giao thức đầu tiên hổ trợ IP qua kết nối điện thoại đơn giản, không hổ trợ đa giao thức trên cùng một đừơng truyền SLIP không phải là một giao thức chuẩn tuyệt đối.

Giao thức PPP (Point-to-Point Protocol)

PPP được xây dựng dựa trên nền tảng giao thức điều khiển truyền dữ liệu lớp cao (High-Level Data link Control (HDLC)) nó định ra các chuẩn cho việc truyền dữ liệu các giao diện DTE và DCE của mạng WAN như V.35, T1, E1, HSSI, EIA-232-D, EIA-449 PPP được ra đời như một sự thay thế giao thức Serial Line Internet Protocol (SLIP), một dạng đơn giản của TCP/IP. b, Các thành phần chính của PPP

PPP cung cấp cơ chế chuyển tải dữ liệu của nhiều giao thức trên một đường truyền, cơ chế sửa lỗi nén header, nén dữ liệu và multilink PPP có hai thành phần:

 Link Control Protocol (LCP): thiết lập, điều chỉnh cấu hình, và hủy bỏ một liên kết Hơn thế nữa LCP còn có cơ chế Link Quality

Monitoring (LQM) có thể được cấu hình kết hợp với một trong hai cơ chế chứng thực Password Authentication Protocol (PAP) hay Challenge

 Network Control Protocol (NCP): NCP làm nhiệm vụ thiết lập, điều chỉnh cấu hình và hủy bỏ việc truyền dữ liệu của các giao thức của lớp network như: IP, IPX, AppleTalk and DECnet

Cả LCP và NCP đều họat động ở lớp 2 Hiện đã có mở rộng của PPP phục vụ cho việc truyền dữ liệu sử dụng nhiều links một lúc, đó là

Multilink PPP (MPPP) trong đó sủ dụng Multilink Protocol (MLP) để liên kết các lớp LCP và NCP c, Định dạng khung dữ liệu

Chi tiết về định dạng khung của PPP như sau:

Có 5 pha trong quá trình thiết lập kết nối PPP:

 Dead: kết nối chưa họat động

 Establish: khởi tạo LCP và sau khi đã nhận được bản tin

Configure ACK liên kết sẽ chuyển sang pha sau: authentication

 Authenticate: có thể lựa chọn một trong hai cơ chế PAP hay CHAP

 Network: trong pha này, cơ chế truyền dữ liệu cho các giao thức lớp Network được hỗ trợ sẽ được thiết lập và việc truyền dữ liệu sẽ bắt đầu

Có thể sử dụng cơ chế Piggyback routing để lưu lại các thông tin định tuyến và chỉ truyền khi kết nối đã thông suốt

Trong gói LCP (được chứa trong trường Information của gói tin PPP), trường Code sẽ định ra các gói tin Configure Request (1), Configure Ack (2), Configure Nak (3) nghĩa là không chấp nhận và Configure Reject (4).

Mỗi giao thức lớp 3 đều có NCP code xác định cho nó, và giá trị mã này được đặt trong trường protocol của gói tin NCP, một số giá trị ví

Trong pha LCP, khi một kết nối PPP được yêu cầu bởi client và PAP được chọn dùng, access server sẽ ra lệnh cho client sử dụng PAP Client sau đó sẽ phải gửi bộ username và password của mình, các thông tin này đều được truyền dưới dạng clear text mà không được mã hóa gì cả và được đóng gói trong các gói dữ liệu của PPP Server sau đó sẽ quyết định chấp nhận hay từ chối việc thiết lập kết nối.Đây là cơ chế PAP một chiều giữa một client và một server Nếu hai router nói chuyện với nhau thì Two-way PAP (PAP hai chiều) sẽ được sử dụng trong đó mỗi router sẽ gửi username và password, như vậy mỗi router sẽ chứng thực lẫn nhau

CHAP được sử dụng phổ biến hơn PAP, do nó có khả năng mã hóa mật khẩu cũng như dữ liệu

Hai đầu kết nối chia sẻ bộ mã mật secret CHAP giống nhau và mỗi đầu được gán một local name riêng

Giả sử một user A quay số truy cập vào access server B Access server sẽ gửi qua đường truyền một gói tin khởi tạo chứng thực Type 1 gọi là gói tin Challenge Gói tin Challenge này chứa một số được sinh ngẫu nhiên, một số ID sequence number để xác định challenge và tên chứng thực của challenager

Bên gọi sẽ lấy ra chuỗi authentication name, và tìm trong dữ liệu của mình chuỗi mã mật CHAP ứng với user name nhận được

Caller sẽ nhập mã mật của CHAP, số ID sequence number và một giá trị số được sinh ngẫu nhiên vào thuật toán băm

Giá trị kết quả sau khi tính toán hàm băm được gửi trả lại cho Challenger (Access server) trong một gói CHAP Response (Type 2) chứa chuỗi băm, tên chứng thực của caller và cuối cùng là ID (Sequence Number) được lấy từ gói Challenge Khi nhận được gói Response Type 2, Challenger sẽ sử dụng

ID để tìm gói Challenge nguyên thủy username của caller (A) được sử dụng để tìm kiếm mã mật CHAP từ một local database, hay một RADIUS server hoặc một TACACS+ server

ID, giá trị Challande gốc được sinh ngẫn nhiên và giá trị CHAP ngẫu nhiên ban đầu và mã mật của được đưa vào xử lỷ bởi hàm băm MD5

Chuỗi băm kết quả sau khi tính toán sau đó được so sánh với giá trị nhận được trong gói Response

Nếu 2 chuỗi là giống nhau thì quá trình chứng thực CHAP đã thành công và các gói Type 3 được gửi đến caller chứa ID Điều này có nghĩa là kết nối đã được chứng thực hợp lệ

Nếu chứng thực CHAP thất bại, một gói tin Type 4 sẽ được gửi đến caller trong đó chứa original ID, xác nhận quá trình chứng thực là không thành công

Việc băm (Hashing) hoàn toàn khác với việc mã hóa thông tin bởi vì thông tin sẽ không thể được khôi phục lại sau khi thực hiện hàm băm

Trong các router của Nortel Networks Code C223 xác định họat động của CHAP.

PHƯƠNG PHÁP BẢO MẬT MẠNG “LAN”

Mạng LAN là gì ?

LAN là viết tắt của Local Area Network là mạng cục bộ dùng để kết nối các máy tính với nhau trong 1 khu vực.

Kết nối được thực hiện thông qua môi trường truyền thông tốc độ cao như dây cáp.

Các LAN cũng có thể kết nối với nhau thành WAN.

LAN thường bao gồm một máy chủ (server , host) còn gọi là máy phúc vụ

Máy chủ thường là máy có bộ xử lý (CPU) tốc độ cao, bộ nhớ (RAM) và đĩa cứng (HD) lớn.

Ưu điểm của mạng LAN

Khi các máy kết nối thành LAN thì :

- Các máy có thể dùng chung một ứng dụng nào đó

- Có thể trao đổi thông tin với nhau dễ dàng

- Có thể dùng chung các thiết bị ngoại vi như máy in , ổ CD

- Có thể truền tin tới tất cả các máy dễ dàng

Cách thức hoạt động của mạng LAN

Việc kết nối các máy tính với một dây cáp được dùng như một phương tiện truyền tin chung cho tất cả các máy tính Công việc kết nối vật lý vào mạng được thực hiện bằng cách cắm một card giao tiếp mạng NIC (Network Interface Card) vào trong máy tính và nối nó với cáp mạng Sau khi kết nối vật lý đã hoàn tất, quản lý việc truyền tin giữa các trạm trên mạng tuỳ thuộc vào phần mềm mạng

Khi một máy muốn gửi một thông điệp cho máy khác thì nó sẽ dùng một phần mềm trong máy nào đó đặt thông điệp vào một gói tin (packet) bao gồm dữ liệu thông điệp được bao bọc giữa tín hiệu đầu và tín hiệu cuối.

Và dùng phần mềm mạng để gửi gói tin đó đến máy đích

NIC sẽ chuyển gói tín hiệu vào mạng LAN, gói tín hiệu được truyền đi như một dòng các bit dữ liệu.

NIC ở mỗi trạm sẽ kiểm tra địa chỉ đích trong tín hiệu đầu của gói để xác định đúng địa chỉ đến, khi gói tín hiệu đi tới máy có địa chỉ cần đến, đích ở máy đó sẽ sao gói tín hiệu rồi lấy dữ liệu ra khỏi gói tin và đưa vào máy tính.

Các kiểu mạng LAN

a, Mạng dạng hình sao (Star topology)

Mạng dạng hình sao bao gồm một trung tâm và các nút thông tin Các nút thông tin là các trạm đầu cuối, các máy tính và các thiết bị khác của mạng Trung tâm của mạng điều phối mọi hoạt động trong mạng với các chức năng cơ bản là:

-Xác định cặp địa chỉ gửi và nhận được phép chiếm tuyến thông tin và liên lạc với nhau

- Cho phép theo dõi và sử lý sai trong quá trình trao đổi thông tin

- Thông báo các trạng thái của mạng

Các ưu điểm của mạng hình sao:

- Hoạt động theo nguyên lý nối song song nên nếu có một thiết bị nào đó ở một nút thông tin bị hỏng thì mạng vẫn hoạt động bình thường

- Cấu trúc mạng đơn giản và các thuật toán điều khiển ổn định

- Mạng có thể mở rộng hoặc thu hẹp tuỳ theo yêu cầu của người sử dụng

Nhược điểm của mạng hình sao:

- Khả năng mở rộng mạng hoàn toàn phụ thuộc vào khả năng của trung tâm Khi trung tâm có sự cố thì toàn mạng ngừng hoạt động

- Mạng yêu cầu nối độc lập riêng rẽ từng thiết bị ở các nút thông tin đến trung tâm Khoảng cách từ máy đến trung tâm rất hạn chế (100 m) b, Mạng hình tuyến (Bus Topology)

Trong mạng hình tuyến thì máy chủ và các máy khác hoặc các nút đều được nối về với nhau trên một trục đường dây cáp chính để chuyển tải tín hiệu

Tất cả các nút đều sử dụng chung đường dây cáp chính này Phía hai đầu dây cáp được bịt bởi một thiết bị gọi là terminator Các tín hiệu và gói dữ liệu (packet) khi di chuyển lên hoặc xuống trong dây cáp đều mang theo điạ chỉ của nơi đến Loại hình mạng này dùng dây cáp ít nhất, dễ lắp đặt

Tuy vậy cũng có những bất lợi đó là sẽ có sự ùn tắc khi di chuyển dữ liệu với lưu lượng lớn và khi có sự hỏng hóc ở đoạn nào đó thì rất khó phát hiện, một sự ngừng trên đường dây để sửa chữa sẽ ngừng toàn bộ hệ thống. c, Mạng dạng vòng (Ring Topology)

Mạng dạng này, bố trí theo dạng xoay vòng, đường dây cáp được thiết kế làm thành một vòng khép kín, tín hiệu chạy quanh theo một chiều

Các nút truyền tín hiệu cho nhau mỗi thời điểm chỉ được một nút mà thôi Dữ liệu truyền đi phải có kèm theo địa chỉ cụ thể của mỗi máy tiếp nhận Mạng dạng vòng có thuận lợi là có thể nới rộng ra xa, tổng đường dây cần thiết ít hơn so với hai kiểu trên Nhược điểm là đường dây phải khép kín, nếu bị ngắt ở một nơi nào đó thì toàn bộ hệ thống cũng bị ngừng d, Mạng dạng kết hợp

* Kết hợp hình sao và tuyến (star/Bus Topology)

Cấu hình mạng dạng này có bộ phận tách tín hiệu (spitter) giữ vai trò thiết bị trung tâm, hệ thống dây cáp mạng có thể chọn hoặc Ring Topology hoặc Linear Bus Topology Ưu điểm của cấu hình này là mạng có thể gồm nhiều nhóm làm việc ở cách xa nhau, ARCNET là mạng dạng kết hợp Star/Bus Topology Cấu hình dạng này đưa lại sự uyển chuyển trong việc bố trí đường dây tương thích dễ dàng đối với bất cứ toà nhà nào

* Kết hợp hình sao và vòng (Star/Ring Topology):

Cấu hình dạng kết hợp Star/Ring Topology, có một Token được chuyển vòng quanh một cái HUB trung tâm Mỗi trạm làm việc (workstation) được nối với HUB - là cầu nối giữa các trạm làm việc và để tăng khoảng cách cần thiết

Một số giao thức dùng trong mạng LAN

Giao thức là một tập các tiêu chuẩn để trao đổi thông tin giữa hai hệ thống máy tính hoặc hai thiết bị máy tính với nhau

* Các giao thức được sử dụng nhiều trong LAN a, Giao thức tranh chấp (Contention Protocol) CSMA/CD

CSMA là viết tắt từ tiếng Anh: Carrier Sense Multiple Access, còn CD là viết tắt từ: Conllision Detect

Sử dụng giao thức này các trạm hoàn toàn có quyền truyền dữ liệu trên mạng với số lượng nhiều hay ít và một cách ngẫu nhiên hoặc bất kỳ khi nào có nhu cầu truyền dữ liệu ở mỗi máy

Mối máy sẽ kiểm tra tuyến và chỉ khi nào tuyến không bận mới bắt đầu truyền các gói dữ liệu

Với phương pháp CSMA, thỉnh thoảng sẽ có hơn một máy đồng thời truyền dữ liệu và tạo ra sự xung đột (collision) làm cho dữ liệu thu được ở các máy bị sai lệch Ðể tránh sự tranh chấp này mỗi máy đều phải phát hiện được sự xung đột dữ liệu máy phát phải kiểm tra Bus trong khi gửi dữ liệu để xác nhận rằng tín hiệu trên Bus thật sự đúng, như vậy mới có thể phát hiện được bất kỳ xung đột nào có thể xẩy ra Khi phát hiện có một sự xung đột, lập tức máy phát sẽ gửi đi một mẫu làm nhiễu (Jamming) đã định trước để báo cho tất cả các trạm là có sự xung đột xẩy ra và chúng sẽ bỏ qua gói dữ liệu này Sau đó trạm phát sẽ trì hoãn một khoảng thời gian ngẫu nhiên trước khi phát lại dữ liệu Ưu điểm của CSMA/CD là đơn giản, mềm dẻo, hiệu quả truyền thông tin cao khi lưu lượng thông tin của mạng thấp và có tính đột biến Việc thêm vào hay dịch chuyển các trạm trên tuyến không ảnh hưởng đến các thủ tục của giao thức Ðiểm bất lợi của CSMA/CD là hiệu suất của tuyến giảm xuống nhanh chóng khi phải tải quá nhiều thông tin b, Giao thức truyền token (Token passing protocol) Ðây là giao thức thông dụng sau CSMA/CD được dùng trong các LAN có cấu trúc vòng (Ring)

Trong phương pháp này, khối điều khiển mạng hoặc token được truyền lần lượt từ máy này đến máy khác Token là một khối dữ liệu đặc biệt Khi một máy đang chiếm token thì nó có thể phát đi một gói dữ liệu Khi đã phát hết gói dữ liệu cho phép hoặc không còn gì để phát nữa thì máy đó lại gửi token sang trạm kế tiếp Trong token có chứa một địa chỉ đích và được luân chuyển tới các máy theo một trật tự đã định trước Ðối với cấu hình mạng dạng xoay vòng thì trật tự của sự truyền token tương đương với trật tự vật lý của các máy xung quanh vòng

Giao thức truyền token có trật tự hơn nhưng cũng phức tạp hơn CSMA/CD, có ưu điểm là vẫn hoạt động tốt khi lưu lượng truyền thông lớn Giao thức truyền token tuân thủ đúng sự phân chia của môi trường mạng, hoạt động dựa vào sự xoay vòng tới các máy

Việc truyền token sẽ không thực hiện được nếu việc xoay vòng bị đứt đoạn.Giao thức phải chứa các thủ tục kiểm tra token để cho phép khôi phục lại token bị mất hoặc thay thế trạng thái của token và cung cấp các phương tiện để sửa đổi logic.

Chuẩn của mạng LAN

Một mạng hoàn chỉnh hoạt động với mọi chức năng của mình phải đảm bảo có 7 mức cấu trúc từ thấp đến cao

( Mọi người có thể tìm hiểu mô hình này ở bài của mình đã viết : Mô hình TCP/IP)Chuẩn IEEE :

- Chuẩn 802.3 xác định phương pháp thâm nhập mạng tức thời có khả năng phát hiện lỗi chồng chéo thông tin CSMA/CD Phương pháp CSMA/CD được đưa ra từ năm 1993 nhằm mục đích nâng cao hiệu quả mạng Theo chuẩn này các mức được ghép nối với nhau thông qua các bộ ghép nối

- Chuẩn 802.4 thực chất là phương pháp thâm nhập mạng theo kiểu phát tín hiệu thăm dò token qua các trạm và đường truyền bus

- Chuẩn 802.5 dùng cho mạng dạng xoay vòng và trên cơ sở dùng tín hiệu thăm dò token Mỗi trạm khi nhận được tín hiệu thăm dò token thì tiếp nhận token và bắt đầu quá trình truyền thông tin dưới dạng các frame Các frame có cấu trúc tương tự như của chuẩn 802.4 Phương pháp xâm nhập mạng này quy định nhiều mức ưu tiên khác nhau cho toàn mạng và cho mỗi trạm, việc quy định này vừa cho người thiết kế vừa do người sử dụng tự quy định.

Một số phương pháp bảo mật mạng LAN

Tường lửa (firewall) là hệ thống gồm cả phần cứng và phần mềm làm nhiệm vụ ngăn chặn các truy nhập "không mong muốn" từ trong ra bên ngoài hoặc từ bên ngoài vào trong Tường lửa thường được đặt ở cổng giao tiếp giữa hai hệ thống mạng, ví dụ giữa mạng trong nước và mạng quốc tế, giữa mạng nội bộ của doanh nghiệp và mạng Internet công cộng v.v để lọc thông tin theo các nguyên tắc được định trước.

Các công ty lớn, các trung tâm nghiên cứu quan trọng cần tường lửa để loại bỏ các cuộc tấn công của tin tặc từ bên ngoài vào, hoặc để ngăn nhân viên của mình không gửi thông tin mật ra ngoài, hoặc đơn giản hơn là không cho nhân viên sử dụng dịch vụ chat hay xem Youtube trong giờ làm việc

- Mỗi phân vùng mạng kết nối với ít nhất một giao diện của Firewall và được gọi là một vùng (hay zone) Một Firewall thông thường có 03 zone mặc định là: o Zone Trust kết nối với vùng mạng bên trong (còn gọi là zone Inside). o Zone DMZ thường được kết nối với máy chủ. o Zone UnTrust kết nối với vùng mạng ngoài (còn gọi là zone

Hình 2.0.4 Các zone mặc định của firewall

- Tùy theo nhu cầu sử dụng và số giao diện, số zone mà Firewall hỗ trợ, chúng ta có thể định nghĩa thêm một số zone mới, và định nghĩa các chính sách truy nhập giữa các zone tùy theo như cầu sử dụng.

- Ngày nay, do nhu cầu sử dụng nhiều tính năng đồng thời trong cùng một thiết bị như tính năng Firewall, tính năng định tuyến, các tính năng phát hiện và ngăn chặn thâm nhập trái phép… người ta đã phát triển các sản phẩm tích hợp đồng thời các tính năng trên và cho ra đời dòng sản phẩm UTM (Unified Threat Management) UTM mang khá nhiều tính năng trong cùng một sản phẩm, như: Định tuyến, phòng chống virus (anti-virus, anti- spam), chặn lọc web (web filtering), kiểm tra và cảnh báo các tác nhân gây hại cho hệ thống (Prevention), bảo mật hệ thống với IPS và IDS…

- Trong mạng LAN chuẩn tại đơn vị, sử dụng thiết bị Firewall làm trung tâm của mạng, thực hiện các chức năng phân tách, kiểm soát truy nhập, ngăn chặn các truy nhập trái phép…Đồng thời nó cũng thực hiện chức năng định tuyến giữa các vùng mạng, NAT địa chỉ IP, cấp phát địa chỉ IP thông qua giao thức DHCP… Ở đây chúng ta đề cập đến 3 công nghệ firewall, đó là:

Packet filtering firewall làm việc ở tầng network của mô hình OSI

Nó được thiết kế để điều chỉnh nhanh chóng quá trình cho phép hoặc huỷ bỏ các gói tin đi qua

Application layer gateway được thiết kế hoạt động ở tầng Application Nó được thiết kế để phân tích từng gói tin đi qua đồng thời xác định xem kiểu dữ liệu của gói tin đó có truyền có hợp lệ hay không hay đó là ứng dụng đặc biệt làm hại quá trình truyền tin

Stateful inspection firewall dùng để kiểm tra từng gói tin và xác minh xem đó có phải là những gói tin được trông đợi trong phiên truyền thông tin hiện tại hay không Đây là kiểu firewall dùng trong tầng network, nhưng nó cũng có thể hoạt động tại các tầng transport, session, presentation và application.

Packet filtering firewall

Packet filtering firewall được cấu hình để cho phép hay ngăn cấm quá trình truy cập của các port hay địa chỉ IP cụ thể nào đó Có hai cách giải quyết khi thiết lập hoạt động của Packet filtering firewall, đó là “allow by default” và “deny by default” “Allow by default” cho phép tất cả các traffic đi qua loại trừ những traffic đặc biệt đã bị ngăn cấm “Deny by defaul” ngăn chặn tất cả các traffic đi qua trừ những traffic rõ ràng đã được cho phép Trên thực tế, deny by default được sử dụng rộng rãi bởi vì chúng ta chỉ cần cho những traffic cần thiết đi qua, những port lạ cần được ngăn

Hình 2.0.5 Sơ đồ làm việc của Packet Filttering

Packet filtering firewall có những mặt lợi nhưng cũng có nhiều mặt hạn chế Cái lợi đầu tiên của nó là tốc độ xử lý Khi các gói tin đi qua, chỉ có phần header là được kiểm tra và các quy tắc kiểm tra cũng rất đơn giản nên tốc độ xử lý là rất cao Ngoài ra, Packet filtering firewall cũng rất dễ dàng sử dụng Việc thiết lập cấu hình cho nó là tương đối dễ dàng và việc đóng hay mở các port cũng được thực hiện một cách nhanh chóng Một ưu điểm của Packet filtering firewall là nó có tính trong suốt đối với các thiết bị mạng

Các gói tin có thể đi qua nó mà không phải gửi hay nhận thêm bất kì một phần thông tin nào cả Ngày nay hầu hết các router đều có chức năng như là một Packet filtering firewall Việc này có thể thực hiện nhờ cấu hình ACLs trên các cổng của router.

Packet filtering firewall chỉ kiểm tra phần header chứ không kiểm tra nội dung của gói tin Đây chính là ngòi nổ cho sự phá hoại từ bên trong, khi mà các gói tin có header hợp pháp đã được firewall cho đi qua một cách dễ dàng.

Application layer gateways

Đây còn được gọi là Apllication filtering Nó có nhiều tính năng nổi trội hơn so với Packet filtering firewall Application layer Gateways kiểm tra toàn bộ gói tin và việc lọc bỏ gói tin được dựa trên các quy luật đặc trưng, rành mạch hơn.

Hình 2.0.6 Application Layer Gateway Ở đây, router kết nối ra Internet (hay còn gọi là exterior router-router ngoại vi) sẽ đưa tất cả các traffic nhận vào đến application gateway Các router bên trong (interior router) sẽ chỉ nhận các gói tin được chuyển tủ application gateway Như vậy là application gateway có khả năng kiểm soát việc phân phối của các dịch vụ mạng đi ra hay đi vào hệ thống mạng. Khi đó chỉ những user nào được cho phép mới có thể kết nối ra Internet hoặc là chỉ những ứng dụng nào được phép mới có thể thiết lập kết nối với host bên trong.

Application layer Gateways sử dụng các quy tắc phức tạp hơn Packet filtering để xác định tính hợp lệ của các gói tin muốn đi qua nó, do đó tăng tính an toàn cho hệ thống Tuy nhiên chính điều này lại tạo ra sự hạn chế các quy luật phức tạp để kiểm tra toàn bộ gói tin nhằm xác định tính xác thực của gói tin, do đó tốc độ xử lý là thấp hơn nhiều so với Packet filtering.

Stateful inspection

Đây là công nghệ kết hợp giữa 2 công nghệ nói trên Nó tìm cách khắc phục những nhược điểm còn lại của Packet filtering và Application layer Gateways Stateful inspection cung cấp sư nhận biết ở lớp ứng dụng cho firewall nhưng lại không phải tháo rời gói tin Như vậy Stateful inspection hoạt động nhanh hơn Application layer Gateways và có khả năng bảo mật cao hơn Packet filtering.

Một số mô hình mạng được triển khai bằng firewall

Hình 2.0.7 Mô hình triển khai Firewall

Thông thường các firewall được đặt tại vị trí đường biên, giữa mạng bên trong và thế giới bên ngoài Tại vị trí này, firewall có thể kiểm soát các traffic(lưu lượng dữ liệu) từ bên trong đi ra cũng như từ bên ngoài đi vào.

Hình 2.0.8 Mô hình triền khai kết hợp Firewall nhiều tầng Để tăng độ an toàn cho hệ thống, chúng ta có thể tăng tính chất bảo vệ của firewall bằng cách sử dụng mô hình firewall nhiều tầng để chúng bổ xung và phối kết hợp với nhau Bằng cách này chúng ta vừa tăng tính bảo mật cho mạng vừa hạn chế được các yếu điểm của firewall Thông qua việc cấu hình firewall phù hợp với từng dạng firewall sử dụng và tính chất các dịch vụ mà firewall đó bảo vệ mà ta có một hệ thống có chất lương tốt hơn. Những phần quan trọng và mang tính chất quyết định thì nên đặt ở phía trong của hệ thống vì khi đó muốn truy cập vào các phần này phải đi qua nhiều lớp firewall, như thế độ an toàn sẽ tăng lên.

Switch là thiết bị hoạt động trên tầng 2 của mô hình OSI (Datalink layer), đây là một thiết bị được dùng rộng rãi trên hầu hết các mô hình hệ thống mạng Mỗi cổng của switch là một vùng xung đột (collision domain) nên sẽ tránh được đụng dộ khi mỗi cổng gửi thông tin đi Ở switch băng thông cũng không bị chia sẻ như ở Hub Tất cả các cổng của switch nằm trong 1 vùng quảng bá (broadcast domain), tức là khi có 1 gói tin mang địa chỉ broadcast tầng 3 đến switch thì tất cả các máy tính nối vào các cổng của switch đều phải xử lý gói tin đó Các gói tin gửi giữa các máy tính trong cùng mạng LAN sẽ được switch định tuyến dựa trên địa chỉ MAC (MediaAccess Control) Trên mỗi switch có một bảng địa chỉ MAC được gọi là bảng CAM (Content Addressable Memory), dựa vào bảng này mà switch chuyển các gói tin đến đúng cổng đích Mỗi card mạng có một địa chỉMAC duy nhất đo đó mỗi PC sẽ chỉ tương ứng với 1 địa chỉ MAC duy nhất trong bảng CAM.

Mật khẩu truy nhập và cổng bảo vệ

Khi các cổng của switch không có biện pháp bảo vệ, bất kì người nào với 1 máy tính xách tay đều có thể kết nối vào mạng và có thể sử dụng tài nguyên của mạng Một trong những cách ngăn chặn việc này đó là thiết lập Static MAC Address Tức là gắn cho mỗi cổng của switch tương ứng với 1 địa chỉ MAC xác định Khi đó chỉ có duy nhất máy tính có địa chỉ MAC như thế mới sử dụng được cổng này Ta có thể cấu hình static MAC address theo các câu lệnh sau:

Switch(config)#mac-address-table static 0010.7a60.1982 interface fa0/5 vlan VLAN1

Sau câu lệnh này địa chỉ MAC 0010.7a60.1982 sẽ được gắn vào cổng số 5 của switch.

Việc đặt static MAC address đôi khi gây ra lỗi do địa chỉ MAC không chính xác và mất công xác định địa chỉ MAC của từng máy tính. Vấn đề này sẽ được giải quyết bằng việc cấu hình port sercurity trên switch Địa chỉ MAC đầu tiên mà switch học được từ cổng được cấu hình sẽ được lấy Ngoài ra chúng ta có thể cấu hình được số địa chỉ MAC tối đa sẽ được gắn cho 1 cổng.

Switch(config-if)#port sercurity

Switch(config-if)#port sercurity max-mac-count 10

Switch(config-if)#port sercurity action shutdown|trap Ở đây đã cấu hình port sercurity cho cổng số 5 của switch Số 10 có ý nghĩa là có tối đa 10 địa chỉ MAC được gán cho port này Trong dòng lệnh cuối cùng, nếu sau action là trap thì khi có xâm nhập bất hợp pháp vào port sercurity thì switch sẽ báo cho người quản trị biết, còn nếu là shutdown thì port này sẽ tự động treo không hoạt động nữa.

Khi có thay đổi trong mạng như là việc thêm, thay đổi hoặc bỏ các máy tính đi thì cần cấu hình lại và bỏ cấu hình cũ đi.

Việc đặt các password truy cập cũng phần nào chống lại được sự truy cập bất hợp pháp để điều khiển switch Chúng ta có thể đặt password cho cổng consol, cho các phiên telnet…

Switch(config-line)#password neu

Switch(config-line)#line vty 0 4

Switch(config-line)#password neu

Các câu lệnh trên đã đặt password cho cổng consol và các phiên telnet là neu Muốn sử dụng thì cần phải nhập đúng password này.

Mạng riêng ảo (VLAN)

Các phương pháp vừa trình bày chỉ đảm bảo an toàn dữ liệu cho thông tin đi qua switch một cách rất đơn giản Để nâng cao tính bảo mật khi dùng switch ta có thể cấu hình VLAN (Virtual LAN) trên switch Thực chất đây là việc chia mạng LAN thành các mạng LAN nhỏ hơn trên cùng 1 switch. Điều này rất hữu ích cho công việc bảo mật nhất là đối với các doanh nghiệp có nhiều phòng ban hoạt động độc lập Đối với mỗi phòng ban khác nhau ta sẽ lập thành các VLAN khác nhau Việc chia nhỏ mạng LAN thành các VLAN sẽ làm tăng băng thông (do các vùng broadcast được chia nhỏ) do đó làm tăng tốc độ truyền dữ liệu.

Khi đã cấu hình VLAN cho mạng LAN thì nếu như một VLAN bị tấn công nó sẽ không gây ảnh hưởng tới VLAN khác vì mỗi VLAN là một vùng broadcast domain riêng biệt.

Hình 2.0.9 Sơ đồ kết nối mạng VLAN Tiện lợi của việc kết nối mạng cục bộ có rất nhiều như chia sẻ tài nguyên, dùng chung máy in ,chung kết nối Internet , tối ưu hóa hiệu quả công việc kinh doanh, tiết kiệm thời gian, tiết kiệm chi phí xử lý dữ liệu, phân cấp quản lý và mật thông tin nhưng thực tế ít doanh nghiệp ý thức được ưu thế này.

Tìm kiếm những lý do để thuyết phục sử dụng VLAN, bạn có thể dẫn chứng về khả năng bảo mật của các hệ điều hành mạng Ở cấp mạng ngang hàng (peer-to-peer nerwork), bạn có khả năng bảo mật bằng cách tạo các mật khẩu (password) cho mỗi tài nguyên chia sẻ cho các người dùng khác trên mạng (share-level security) Ở các mạng máy tính Khách - Chủ (client-server network), việc bảo mật an toàn hơn nhờ cơ chế bảo mật của máy chủ với các hệ điều hành mạng cao cấp hơn (như Microsoft Windows

NT Server và Novell Netware server)

Do khả năng bảo mật dựa vào "tên & mật khẩu truy cập" (login name & password), mỗi người truy cập vào mạng đều phải cung cấp tên & mật khẩu Tên và mật khẩu này đã được người quản trị mạng tạo sẵn (sau khi được tạo, mỗi người dùng trong mạng có thể đổi mật khẩu cá nhân theo ý riêng của mình) và ứng với mỗi tên khác nhau sẽ có những quyền truy cập khác nhau.

Tuy nhiên, tất cả các phương pháp bảo mật trên có thể dễ dàng bị vô hiệu hoặc lộ mật khẩu Trong trường hợp đó, VLAN có thể được sử dụng. Với VLAN, mọi người sử dụng trong công ty sử dụng chung một LAN Switch nhưng một số cổng được "config" (thiết lập chế độ) hoạt động hoàn toàn độc lập với nhau

Ví dụ: người dùng ở các cổng (port) 1,3,5,7,9 trong switch thuộc phòng Kế toán thì các máy tính có thể "tìm thấy nhau", các người dùng ở phòng kỹ thuật cũng có thể "tìm thấy nhau" ở các cổng 2,4,6,8,10 Không thể có chuyện một nhân viên kế toán được kết nối vào cổng số 3 lại có khả năng truy cập vào máy tính của phòng kỹ thuật ở cổng số 6 được.

Hình 2.1.0 Ví dụ mô hình mạng VLAN thực tế

Ví dụ minh họa: công ty A có 3 phòng là: Phòng Kỹ Thuật, Phòng Kinh Doanh & Phòng Kế Toán Công ty muốn tạo lập một mạng máy tính gồm 3 phân mạng (LAN segment) là 3 mạng LAN ảo, do tính chất bảo mật của dữ liệu kinh doanh - kế toán nên 3 phân mạng này sẽ hoạt động độc lập với nhau.

Việc phân chia máy tính ở các phòng ban khác nhau thành 3 mạng con khác nhau như vậy có 2 tác dụng chính:

Thứ nhất là bảo mật thông tin: các máy tính ở phân mạng này sẽ không "thọc mạch" vào dữ liệu nằm trong các máy tính thuộc phân mạng khác được Kỹ thuật tạo mạng ảo này sẽ làm "bó tay" ngay cả những người

"tò mò" và "cao thủ" nhất Tại sao "cao thủ" lại phải bó tay ? Đó là do việc phân chia các mạng ảo (virtual LAN) được thực hiện bởi phần cứng + phần dẻo (firmware là các chương trình "phần mềm" do các nhà sản xuất thiết bị phát triển nhằm điều khiển trực tiếp các thiết bị phần cứng do họ sản xuất

Một số ví dụ đơn giản về firmware là BIOS trong máy tính, các chương trình điều khiển hoạt động của các điện thoại di động nói chung: Firmware không hoạt động "ở mức quá thấp" nên không thể gọi là "phần mềm", nó cũng "không đủ cứng" để gọi là "phần cứng") do nhà sản xuất phần cứng của mạng như Hub/Switch cung cấp Việc can thiệp và thay đổi dữ liệu của các "phần dẻo" (firmware) này thì hầu như không thể

Thứ hai là tăng cường hiệu quả của mạng về tốc độ: mặc dù trong ví dụ sau tôi sử dụng một Switch Repotec 24-port nhưng do phân làm 3 mạng con (sub group / LAN segment) nên mỗi mạng chỉ có từ 5- 6 máy con Mà số lượng trạm làm việc (máy con) trong mạng càng ít thì tốc độ truyền của mạng càng cao

• Mạng LAN con của phòng KẾ TOÁN gồm 5 máy tính con (nối vào cổng số: 1,3,5,7,23) và một máy server (nối vào cổng số 24) Đây là một mạng LAN ảo (VLAN) trong mạng chung của công ty

• Mạng LAN con của phòng KINH DOANH gồm 6 máy tính con (nối vào cổng số: 2, 4, 6, 8, 9, 10) Đây cũng là một mạng LAN ảo

(VLAN) trong mạng chung của công ty

• Mạng LAN con của phòng KỸ THUẬT gồm 3 máy tính con (nối vào cổng số: 13, 14, 15) Đây cũng là một mạng LAN ảo (VLAN) trong mạng chung của công ty

Router là thiết bị hoạt động trên tầng 3 của mô hình OSI Nhiệm vụ chủ yếu của router là định tuyến các gói tin và điều khiển sự liên kết giữa các VLAN Mỗi cổng của router là 1 vùng broadcast domain, do đó router sẽ chia nhỏ các vùng broadcast domain Ngoài ra tính năng quan trọng nhất của router là nó có khả năng chọn con đường tối ưu để cho gói tin đi tới đích.

Router được dùng trong rất nhiều loại hình mạng như ISDN, Frame Relay… Đây là một thiết bị có độ mềm dẻo cao, như router của Cisco có thể được dùng như một firewall thực thụ, điều này rất thuận tiện cho người sử dụng.

ACLs

Một trong những phương pháp bảo vệ được áp dụng phổ biến trên router đó là ACLs(Access Control Lists) ACLs có thể cho phép hay ngăn chặn một hoặc một số địa chỉ IP đi qua router Đây là các câu lệnh để định nghĩa một ACLs:

Router(config)#access-list 1 permit 5.6.0.0 0.0.255.255

Router(config)#access-list 1 deny 7.8.0.0 0.0.255.255 Ở trạng thái mặc định bao giờ dòng cuối của một ACLs cũng là deny any Sau khi tạo ra ACLs cần phải gán vào một cổng nào đó của router:

Sau câu lệnh này tất cả các địa chỉ trong dải 5.6.0.0/16 đều được đi vào cổng fa0/0, đồng thời tất cả các địa chỉ trong dải 7.8.0.0/16 đều không được đi vào cổng fa0/0 của router.

Ngoài ra cũng có thể cấu hình ACLs để chấp nhận hay từ chối việc sử dụng một dịch vụ của một địa chỉ mạng nào đó (extended ACLs)

Router(config)#access-list 101 permit tcp 172.16.4.0 0.0.0.255 any eq telnet

Router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255

Router(config)#access-list 101 permit ip any any Ở dòng đầu tiên ACLs cho phép mạng 172.16.4.0 thực hiện telnet đến bất cứ mạng nào khác Dòng thứ 2 và thứ 3 từ chối dịch vụ FTP từ mạng 172.16.4.0 đến mạng 172.16.3.0 Dòng cuối cùng la` cho phép tất cả các dịch vụ ip khác.

ACLs này sẽ được gắn vào một cổng nào đó của router:

Router(config-if)#ip access-group 101 out

Tương tự như vậy ta có thể cho phép một dịch vụ nào đó được phép đi ra hay đi vào một mạng nào đó, bằng cách này ta có thể ngăn chặn được những truy cập không mong muốn vào mạng. Ở đây ACLs không sử dụng subnet mask mà sử dụng wildcard mask. Một cách đơn giản, chúng ta có thể hiểu wildcard ngược lại với subnet Ví dụ subnet mask là 255.255.0.0 thì wildcard mask tương ứng với nó sẽ là 0.0.255.255.

ACLs được cấu hình trên router làm cho nó có chức năng như là một firewall Thông thường các router ở vị trí trung gian giữa mạng bên trong và mạng bên ngoài sẽ được cấu hình, nó sẽ cách ly toàn bộ hệ thống mạng bên trong tránh bị tấn công Ngoài ra cũng có thể cấu hình ACLs trên các router trung gian kết nối hai phần của hệ thống mạng để kiểm soát lưu lượng qua lại giữa hai phần này.

Thông qua cách cấu hình router ta có thể ngăn chặn được sự tấn công của phương pháp DoS hoặc DDoS bằng cách cấm không cho router sử dụng chức năng gửi broadcast của mình bằng lệnh no ip directed broadcastRouting Ngoài những cách trên để đảm bảo việc định tuyến gói tin an toàn và chính xác đối với router ta có thể sử dụng các giao thức định tuyến động như RIP, IGRP, EIGRP, OSPF Đây là các giao thức đảm bảo việc định tuyến các gói tin một cách nhanh nhất lại đảm bảo tính xác thực của thông tin gửi và nhận.

Mật khẩu truy nhập

Router có 2 mode để truy cập vào nó, đó là user mode và privileged mode Mode user là mode đầu tiên khi kết nối với router Truy cập vào mode user chỉ có thể kiểm tra các kết nối và xem thông tin dưới dạng các bảng thống kê chứ không có quyền thay đổi cấu hình thiết bị, vì thế sự xâm nhập trái phép ở mức này không mấy nguy hiểm Trong mức privileged có thể thay đổi cấu hình, thậm chí còn có thể xoá bỏ cấu hình, đặt lại password mới Đê đảm bảo an toàn, chúng ta có thể đặt password cho các mức này bằng các lệnh sau:

+Lệnh đặt password cho mức privileged, ở đây password sẽ là bachkhoa

Router(config)#enable password neu

Password này sẽ có dạng clear text Để mã hoá password chúng ta dùng lệnh

Router(config)#enable secret neu

+Lệnh đặt password cho cổng consol và telnet

Router(config-line)#password neu

Router(config-line)#line vty 0 15

Router(config-line)#password neu

Router(config-line)#login Để đảm bảo tính an toàn cho thiết bị cũng như hệ thống, nên loại bỏ tất cả các dịch vụ mà ta không sử dụng, hay những dịch vụ sẽ tạo lỗ hổng cho những kẻ tấn công lợi dụng xâm nhập vào thiết bị Trên router có một số dịch vụ luôn mặc định được sử dụng Trên router Cisco luôn chạy giao thức CDP (Cisco Discovery Protocol) Giao thức này cho phép người sử dụng có thể quan sát được thông số thiết bị đang sử dụng, trạng thái hoạt động, quan hệ với các thiết bị khác để đưa ra phương pháp quản lý thích hợp Đây là giao thức giúp đỡ rất nhiều cho việc cấu hình cũng như sửa chữa lỗi xảy ra trên router, do đó nếu kẻ tấn công vào được thiết bị thì đây cũng là một công cụ rất hữu ích đối với chúng Để ngừng hoạt động của CDP ta gõ lệnh no cdp trên mỗi cổng router mà ta không cho phép hoạt động.

2.4.Thiết bị phát hiện xâm nhập hệ thống

Thiết bị phát hiện xâm nhập hệ thống là một dạng thiết bị công nghệ cao được cấu hình để giám sát các điểm truy cập mạng, những hành động phá hoại và các đợt xâm nhập bất hợp pháp Firewall và một số thiết bị bảo vệ mạng khác không đủ những tính năng thông minh để có thể dự đoán được những mối nguy hiểm, nhận dạng những dấu hiệu tấn công, đọc và hiểu các thông báo của các thiết bị khác Những hạn chế của các thiết bị này được giải quyết bằng thiết bị phát hiện xâm nhập hệ thống (Instrusion Direction System).

Ngày nay IDS đã trở thành một thiết bị quan trọng trong việc triển khai bảo vệ hệ thống bởi những tính năng vượt trội của nó so với các thiết bị khác IDS có thể hiểu được nội dung các thông báo (log files) được gửi đi từ các thiết bị trên mạng khác như router, switch, firewall, server để từ đó đưa ra phương hướng giải quyết nhắm đảm bảo an toàn thông tin cho mạng Hơn thế nữa, IDS còn có một cơ sở dữ liệu lưu trữ thông tin về các dạng tấn công, vì thế nó có khả năng so sánh, đối chiếu tình hình traffic hiện tại của mạng để phát hiện ra những dấu hiệu xấu đối với mạng có thể xảy ra do đó có thể hạn chế đến mức tối đa sự ảnh hưởng của nó tới mạng đó.

Ngoài những tính năng như giám sát và phát hiện, IDS còn có khả năng làm lệch hướng các đợt tấn công mà nó phát hiện, thậm chí còn có khả năng ngăn chặn các đợt tấn công đó.

Cũng giống như firewall, IDS có thể hoạt động dưới dạng phần mềm hay là sự kết hợp giữa phần cứng và phần mềm.

Có 3 loại IDS hoạt động chủ yếu:

Network-based IDSs

Đây là thiết bị giám sát backbone của mạng, có khả năng giám sát toàn bộ mạng Khả năng của nó là có thể giám sát mạng trên một diện rộng,tại những vị trí quan trọng của mạng, hay là trước các thiết bị chủ chốt của mạng Nó hoạt động một cách thụ động và đảm bảo sao cho không có sự cản trở traffic xảy ra trên mạng.

Hình 2.1.1 Vị trí hoạt động của NIDSs

NIDSs cũng có một số hạn chế Nó không giám sát được các chuyển mạch tốc độ cao một cách có hiệu quả Ngoài ra nó không phân tích được các gói tin đã bị mã hoá và gửi thông báo tường thuật tình trạng mạng đến người quản trị.

Host-base IDSs

Host-based IDSs hoạt động trên các host nhằm bảo vệ, giám sát hoạt động của những file hệ thống nhằm phát hiện ra dấu hiệu của sự tấn công

Vì đặc điểm hoạt động nên HIDSs có khả năng giám sát, phát hiện tình trạng mạng ở mức chi tiết hơn rất nhiều so với NIDSs Nó có thể xác định được những quá trình hay hoạt động của những người sử dụng mạng có dấu hiệu gây nguy hiểm cho mạng.

Ngoài ra HIDSs còn có khả năng tập trung các thông báo tình trạng của mạng được gửi từ các thiết bị khác để tạo cho mình một cơ sở dữ liệu riêng để có thể cấu hình hay quản lý trên từng host một HIDSs có khả năng phát hiện những tấn công mà NIDSs không phát hiện được và có độ chính xác khá cao Ngoài ra, nó cũng hoạt động được đối với các gói tin bị mã hoá và hoạt động khá tốt trong các nơi sử dụng chuyển mạch tốc độ cao.

Application-base IDSs

Đây là dạng IDS chỉ có chức năng quản lý giám sát các ứng dụng đặc biệt Nó thường hoạt động để dự trữ ứng ứng dụng quan trọng như cơ sở dữ liệu về việc quản lý hệ thống mạng hay nội dung của công tác quản lý hệ thống, đặc biệt là các hệ thống tính cước.

AIDSs có thể nhận dạng được các dạng dữ liệu đã bị mã hoá trên đường truyền, sử dụng trên các server làm chức năng mã hoá và giải mã.

Nhìn chung để phát huy một cách tốt nhất những tính năng ưu việt của IDS trong công tác bảo vệ dữ liệu trên các hệ thống mạng nên kết hợp cả ba kiểu trên

Việc kết hợp này mang rất nhiều ý nghĩa trong công tác triển khai bảo đảm an toàn cho hệ thống Bởi mỗi dạng IDS có những điểm mạnh và điểm yếu riêng của mình và chính sự kết hợp triển khai các IDS với nhau sẽ làm chúng phát huy những tính năng nổi bật và khắc phục cho nhau những điểm yếu còn tồn tại Chính vì những yếu tố đó mà khi xây dựng một hệ thống ta luôn phải quan tâm đến việc sẽ sử dụng thiết bị gì cho mục đích gì để đảm bảo độ an toàn cao nhất Tuỳ từng loại IDS khác nhau mà ta có thể phối kết hợp với các loại thiết bị khác nhau (firewall, server…).

LẬP TRÌNH MÔ PHỎNG HỆ THỐNG BẢO MẬT MẠNG CỤC BỘ “LAN”

Lớp 1

Khi thiết kế một mạng máy tính, việc sử dụng cáp loại nào cũng là một phần rất quan trọng Ngày nay hầu hết các mạng LAN đều sử dụng công nghệ Fast Ethernet với tốc độ 100 Mbps Việc thiết kế bao gồm cả việc đưa ra loại cáp được dùng trong từng thành phần của mạng (có thể dùng cáp đồng, cáp quang hoặc cáp xoắn đôi).

Tuỳ thuộc vào khoảng cách giữa các thiết bị và yêu cầu về tốc độ mà quyết định việc dùng loại cáp nào cho hợp lý Thực tế việc sử dủng cápUTP cat5 là phổ biến nhất hiện nay Đối với mạng đường trục (backbone)

Lớp 2

Thiết bị chủ yếu sử dụng trong tầng 2 là LAN switch Kích thước của các vùng xung đột (collision domain) được quyết định bởi các thiết bị tầng 2 Mỗi cổng của một thiết bị tầng 2 sẽ là một vùng xung đột Như vậy các thiết bị tầng 2 sẽ chia nhỏ các vùng xung đột.

Trên 1 switch có thể có các cổng với các tốc độ khác nhau Các cổng nối với các máy trạm có tốc độ là 10mbps, trong khi đó cổng nối với router có lưu lượng lớn hơn nên có tốc độ là 100mbps (hoặc là 100Mbps và 1000Mbps).

Do mỗi cổng của thiết bị tầng 2 là một vùng xung đột nên các máy dùng chung 1 cổng sẽ bị chia sẻ băng thông Do đó tuỳ vào yêu cầu tốc độ mà quyết định có bao nhiêu máy dùng chung 1 cổng của switch.

Lớp 3

Các thiết bị tầng 3 (như là router) sẽ chia nhỏ các vùng quảng bá (broadcast domain) hay là chia nhỏ các mạng LAN Các mạng nhỏ sẽ giao tiếp với nhau thông qua địa chỉ tầng 3 (như là địa chỉ IP)

Việc định tuyến giữa các mạng trong tầng 3 được dựa vào địa chỉ tầng 3, phổ biến nhất là địa chỉ IP và subnet.

Ta đã biết router chuyển các gói tin dựa vào địa chỉ của đích, nó không cho các gói tin quảng bá của mạng LAN đi qua Như vậy mỗi cổng của router là một vùng quảng bá và nó cũng chính là nơi ngăn chặn các thông tin quảng bá của một mạng LAN đi ra ngoài.

Dựa trên mô hình trên ta thiết kế một mạng LAN như sau:

Hình 3.0.2 Mô hình mạng LAN

2 Mô phỏng hệ thống mạng LAN chưa bảo mật

Em thiết kế mô hình mạng LAN nhỏ dùng để demo trong trường hợp chưa bảo mật Khi đó mạng có các thành phần là : a.1 PC thật _ hệ điểu hành Win XP b.1 PC ảo _ Win XP(thiết kế trong VMware) c.1 router ảo (thiết kế trong GNS3) kết nối với internet qua switch Vmnet8

Hình 3.0.3 Mô hình mạng LAN nhỏ

Em tạo máy ảo trong Vmware như sau :

2.1 Tạo máy ảo trong Vmware

Vào File  New  Virtual Machine

Hình 3.0.4 Tạo máy ảo trong VMware

Em tiến hành cài đặt máy ảo sơ bộ trước, sau đó mới cài hệ điều hành Win

Hình 3.0.5 Tạo máy ảo sơ bộ

Chọn hệ điều hành muốn cài đặt cho máy :

Hình 3.0.6 Chọn hệ điều hành cho máy ảo

Sau đó đặt tên cho máy ảo (PC2)

Hình 3.0.7 Đặt tên cho máy ảo

Ta click Finish để kết thúc cài đặt:

Hình 3.0.8 Kết thúc cài đặt cho máy ảoNhư vậy máy ảo đã được mới cài đặt có các thành phần giống như máy thật.

Hình 3.0.9 Kết quả cài đặt máy ảo

Sau đó em tiến hành cài đặt hệ điều hành Win XP cho máy ảo. Kết quả là:

Hình 3.1.0 Cài đặt hệ điều hành cho máy ảo

Máy ảo PC2 này có đầy đủ tính năng gần như máy thật. Ở đây em dùng kết nối mạng Vmnet8 cho PC2:

Hình 3.1.1 Cài đặt card mạng cho máy ảo

Tiến hành kiểm tra kết nối giữa PC ảo và PC thật bằng lệnh ping :

Hình 3.1.2 Kiểm tra kết nối giữa máy thật và máy ảoNhư vậy máy ảo đã ping được đến máy thật có IP là :192.168.1.35

2.2 Tạo router ảo trong GNS3

Em tiến hành tạo router ảo trong GNS3 như sau :

Sau đó tiến hành cài đặt card mạng cho cloudy: Vào Control Panel Add hardware

Hình 3.1.4 Cài đặt card mạng cho router

Chọn thành phần muốn cài đặt là Network Adapters

Hình 3.1.5 Cài đặt Add card network Adapter cho máy

Chọn Micosoft Loopback Adapter click Next

Hình 3.1.6 Cài đặt MS loopback Adapter

Sau đó vào GNS3 và thêm card cho cloudy như sau

Hình 3.1.7 Tiến hành Add card loopback cho router

Thêm vào cloudy card MS loopback mà ta vừa add xong.

Hình 3.1.8 Kết thúc cài đặt card cho cloudy

Nhấn OK để kết thúc.

2.3 Mô phỏng tấn công Sniff vào mạng LAN

Một trong những tấn công mạng thường thấy nhất được sử dụng để chống lại những cá nhân và các tổ chức lớn chính là các tấn công MITM (Man in the Middle) Có thể hiểu nôm na về kiểu tấn công này thì nó như một kẻ nghe trộm(sniffer) MITM hoạt động bằng cách thiết lập các kết nối đến máy tính nạn nhân và relay các message giữa chúng Trong trường hợp bị tấn công, nạn nhân cứ tin tưởng là họ đang truyền thông một cách trực tiếp với nạn nhân kia, trong khi đó sự thực thì các luồng truyền thông lại bị thông qua host của kẻ tấn công Và kết quả là các host này không chỉ có thể thông dịch dữ liệu nhạy cảm mà nó còn có thể gửi xen vào cũng như thay đổi luồng dữ liệu để kiểm soát sâu hơn những nạn nhân của nó.

A Giả mạo ARP Cache (ARP Cache Poisoning)

Trong phần đầu tiên của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn về việc giả mạo ARP cache Đây là một hình thức tấn công MITM hiện đại có xuất sứ lâu đời nhất (đôi khi còn được biết đến với cái tên ARP Poison Routing), tấn công này cho phép kẻ tấn công (nằm trên cùng một subnet với các nạn nhân của nó) có thể nghe trộm tất cả các lưu lượng mạng giữa các máy tính nạn nhân Chúng tôi đã chọn đây là tấn công đầu tiên cần giới thiệu vì nó là một trong những hình thức tấn công đơn giản nhất nhưng lại là một hình thức hiệu quả nhất khi được thực hiện bởi kẻ tấn công.

B Truyền thông ARP thông thường

Giao thức ARP được thiết kế để phục vụ cho nhu cầu thông dịch các địa chỉ giữa các lớp thứ hai và thứ ba trong mô hình OSI Lớp thứ hai (lớp data-link) sử dụng địa chỉ MAC để các thiết bị phần cứng có thể truyền thông với nhau một cách trực tiếp Lớp thứ ba (lớp mạng), sử dụng địa chỉ

IP để tạo các mạng có khả năng mở rộng trên toàn cầu Lớp data-link xử lý trực tiếp với các thiết bị được kết nối với nhau, còn lớp mạng xử lý các thiết bị được kết nối trực tiếp và không trực tiếp Mỗi lớp có cơ chế phân định địa chỉ riêng, và chúng phải làm việc với nhau để tạo nên một mạng truyền thông Với lý do đó, ARP được tạo với RFC 826, “một giao thức phân định địa chỉ Ethernet - Ethernet Address Resolution Protocol”.

Hình : Quá trình truyền thông ARP

Thực chất trong vấn đề hoạt động của ARP được tập trung vào hai gói, một gói ARP request và một gói ARP reply Mục đích của request và reply là tìm ra địa chỉ MAC phần cứng có liên quan tới địa chỉ IP đã cho để lưu lượng có thể đến được đích của nó trong mạng Gói request được gửi đến các thiết bị trong đoạn mạng, trong khi gửi nó nói rằng (đây chỉ là nhân cách hóa để giải thích theo hướng dễ hiểu nhất) “Hey, địa chỉ IP của tôi là gửi một vài thứ đến một người có địa chỉ XX.XX.XX.XX, nhưng tôi không biết địa chỉ phần cứng này nằm ở đâu trong đoạn mạng của mình Nếu ai đó có địa chỉ IP này, xin hãy đáp trả lại kèm với địa chỉ MAC của mình!” Đáp trả sẽ được gửi đi trong gói ARP reply và cung cấp câu trả lời, “Hey thiết bị phát Tôi là người mà bạn đang tìm kiếm với địa chỉ IP là

XX.XX.XX.XX Địa chỉ MAC của tôi là XX:XX:XX:XX:XX:XX.” Khi quá trình này hoàn tất, thiết bị phát sẽ cập nhật bảng ARP cache của nó và hai thiết bị này có thể truyền thông với nhau.

Việc giả mạo bảng ARP chính là lợi dụng bản tính không an toàn của giao thức ARP Không giống như các giao thức khác, chẳng hạn như DNS (có thể được cấu hình để chỉ chấp nhận các nâng cấp động khá an toàn), các thiết bị sử dụng giao thức phân giải địa chỉ (ARP) sẽ chấp nhận nâng cấp bất cứ lúc nào Điều này có nghĩa rằng bất cứ thiết bị nào có thể gửi góiARP reply đến một máy tính khác và máy tính này sẽ cập nhật vào bảngARP cache của nó ngay giá trị mới này Việc gửi một gói ARP reply khi không có request nào được tạo ra được gọi là việc gửi ARP “vu vơ” Khi các ARP reply vu vơ này đến được các máy tính đã gửi request, máy tính request này sẽ nghĩ rằng đó chính là đối tượng mình đang tìm kiếm để truyền thông, tuy nhiên thực chất họ lại đang truyền thông với một kẻ tấn công.

Hình : Chặn truyền thông bằng các giả mạo ARP Cache

D Mô phỏng quá trình tấn công sniff bằng công cụ Cain & Abel

Hãy để chúng tôi đưa ra một kịch bản và xem xét nó từ góc độ lý thuyết đến thực tế Có một vài công cụ có thể thực hiện các bước cần thiết để giả mạo ARP cache của các máy tính nạn nhân Chúng tôi sẽ sử dụng công cụ bảo mật khá phổ biến mang tên Cain & Abel của Oxid.it Cain một công cụ rất hữu dụng cần có trong kho vũ khí của bạn Việc cài đặt công cụ này khá đơn giản.

Trước khi bắt đầu, bạn cần lựa chọn một số thông tin bổ sung Cụ thể như giao diện mạng muốn sử dụng cho tấn công, hai địa chỉ IP của máy tính nạn nhân.

Khi lần đầu mở Cain & Abel, bạn sẽ thấy một loạt các tab ở phía trên cửa sổ Với mục đích của bài, chúng tôi sẽ làm việc trong tab Sniffer Khi kích vào tab này, bạn sẽ thấy một bảng trống Để điền vào bảng này bạn cần kích hoạt bộ sniffer đi kèm của chương trình và quét các máy tính trong mạng của bạn.

Hình : Tab Sniffer của Cain & Abel

Kích vào biểu tượng thứ hai trên thanh công cụ, giống như một card mạng Thời gian đầu thực hiện, bạn sẽ bị yêu cầu chọn giao diện mà mình muốn sniff (đánh hơi) Giao diện cần phải được kết nối với mạng mà bạn sẽ thực hiện giả mạo ARP cache của mình trên đó Khi đã chọn xong giao diện, kích OK để kích hoạt bộ sniffer đi kèm của Cain & Abel Tại đây, biểu tượng thanh công cụ giống như card mạng sẽ bị nhấn xuống Nếu không, bạn hãy thực hiện điều đó Để xây dựng một danh sách các máy tính hiện có trong mạng của bạn, hãy kích biểu tượng giống như ký hiệu (+) trên thanh công cụ chính và kích OK.

Quét các thiết bị trong mạng

Những khung lưới trống rỗng lúc này sẽ được điền đầy bởi một danh sách tất cả các thiết bị trong mạng của bạn, cùng với đó là địa chỉ MAC, IP cũng như các thông tin nhận dạng của chúng Đây là danh sách bạn sẽ làm việc khi thiết lập giả mạo ARP cache. Ở phía dưới cửa sổ chương trình, bạn sẽ thấy một loạt các tab đưa bạn đến các cửa sổ khác bên dưới tiêu đề Sniffer Lúc này bạn đã xây dựng được danh sách các thiết bị của mình, nhiệm vụ tiếp theo của bạn là làm việc với

Thiết kế mô hình mạng LAN mô phỏng qua phần mềm Packet Tracer

Em cấu hình cho router0 như sau :

Router(config)#int f0/0 /* cấu hình cho interface fastethernet0/0 */

Router(config-if)#ip add 192.168.1.1 255.255.255.0

Router(config-if)#no shut

Router(config)#int se1/0 /* cấu hình cho interface serial1/0 */ Router(config-if)#ip add 172.16.1.1 255.255.255.0

Router#copy running-config startup-config /*lưu cấu hình router0*/ Với router1 tiến hành cấu hình tương tự :

Router(config)#int f0/0 /* cấu hình cho interface fastethernet0/0 */

Router(config-if)#ip add 192.168.2.1 255.255.255.0

Router(config)#int se1/0 /* cấu hình cho interface serial1/0 */ Router(config-if)#ip add 172.16.1.2 255.255.255.0

Router#copy running-config startup-config /*lưu cấu hình router1*/

B Cấu hình địa chỉ IP cho các PC trong mạng LAN

Sau đó em tiếp tục đặt địa chỉ IP cho các PC theo lớp mạng tương ứng.

Ví dụ với PC0 : IP address là : 192.168.1.2

Với các PC2,PC3 ta cũng cấu hình tương tự.

Phần 2 Cấu hình statics cho các router trong mạng LAN

Ta tiến hành cấu hình statics cho router theo cấu trúc :

Router0(config) ip route “destinationvnetwork” “subnetmask” “gateway” Với cấu trúc trên ta có câu lệnh cấu hình cho router0 là :

Ta kiểm tra lại kết quả bằng lệnh :

Router0(config)show ip route

Và kết quả nhận được là :

Ta tiến hành ping giữa router và PC để thấy được kết quả cụ thể hơn :

Thực hiện ping thành công giữa router0 và PC2 (thuộc nhánh mạng của router1) có địa chỉ IP là 192.168.2.2.

Với router1 ta cũng cấu hình tương tự Kết quả cấu hình :

Cấu hình statics cho các router trong mạng LAN

Để đảm bảo sự an toàn thông tin trên mạng cần phải thực hiện nhiều lớp bảo vệ khác nhau, mỗi lớp có những mặt hạn chế và cũng có những ưu điểm riêng Tuỳ vào yêu cầu cụ thể của công việc mà ta cần lựa chọn những biện pháp sao cho thích hợp để đáp ứng được nhu cầu đảm bảo an toàn thông tin cho hệ thống.

Hiện nay để triển khai một hệ thống mạng an toàn có rất nhiều phương pháp có thể áp dụng, trong đó việc sử dụng các thiết bị mạng cũng là một phương pháp rất quan trọng Những thiết bị được sử dụng là rất nhiều nhưng để phát huy hết những khả năng của chúng thì người quản trị cần phải có những hiểu biết tương đối sâu về những thiết bị đó.

Trên thực tế hiện nay, tất cả các công ty hay tổ chức đều cần xây dựng một hệ thống mạng cho riêng mình, mỗi hệ thống mạng đều có những yêu cầu về an ninh mạng tuỳ theo mức độ quan trọng của thông tin Việc thực hiện đề tài đã phần nào đáp ứng được các yêu cầu đó Đề tài hoàn toàn có thể đem áp dụng để xây dựng một hệ thống mạng thực tế Có thể quy mô mạng lớn hơn và có những yêu cầu an ninh cao hơn, khi đó sẽ kết hợp nhiều biện pháp khác để đảm bảo an toàn cho mạng Đề tài có nhiều điểm tích cực nhưng cũng còn những hạn chế, các vấn đề được nêu ra mới chỉ dừng lại ở mức cơ bản, chưa thực sự đi sâu vào một vấn đề nào Vì thời gian thực hiện đề tài không dài, thiết bị dùng để thực hiện là có hạn, việc thực hiện cấu hình trên các thiết bị không được nhiều do đó còn nhiều hạn chế để thực hiện được nhiều biện pháp đảm bảo an ninh mạng trên các thiết bị Nếu có điều kiện về thiết bị cũng như thời gian thì đề tài chắc chắn sẽ mang tính thực tế nhiều hơn, giúp cho người đọc dễ dàng hiểu được một hệ thống mạng thực sự bao gồm những gì và chúng hoạt động thế nào.

Thông qua quá trình thực hiện đề tài này em cũng đã may mắn được tiếp xúc với các thiết bị của một hệ thống mạng máy tính, biết được chúng hoạt động thế nào, điều đó giúp em mở mang thêm rất nhiều kiến thức.

Định dạng
Số trang	115
Dung lượng	4,52 MB