TRƯỜNG ĐẠI HỌC SAO ĐỎ KHOA CÔNG NGHỆ THÔNG TIN B OC OHỌCPHẦN AN TOÀN VÀ AN NINH MẠNG H tên sinh viên: Diệp Tuấn Anh L%p: DK10-CNTT H c phần: An to,n v, an ninh m/ng Gi1ng viên hư%ng d4n: Nguy6n Ph7c Hâu9 H1i Dương, năm 2022 LỜI NÓI ĐẦU An ninh mạng lĩnh vực mà giới công nghệ thông tin quan tâm Khi Internet đời phát triển, nhu cầu trao đổi thông tin trở nên cần thiết Mục đích việc kết nối mạng để người sử dụng chung tài nguyên mạng từ vị trí địa lý khác Vì mà tài nguyên dễ dàng bị phân tán, hiển nhiên điều dễ bị xâm phạm, gây liệu thơng tin có giá trị Kết nối rộng dễ bị cơng, quy luật tất yếu Từ đó, vấn đề bảo vệ thông tin đồng thời xuất an ninh mạng đời Bảo mật an ninh mạng đặt lên hàng đầu với cơng ty có hệ thống mạng dù lớn hay nhỏ Hiện nay, hacker ngoài nước ln tìm cách cơng xâm nhập hệ thống để lấy thông tin nội Những thông tin nhạy cảm thường ảnh hưởng tới sống cơng ty Chính vậy, nhà quản trị mạng ln cố gắng bảo vệ hệ thống tốt hồn thiện lỗ hổng hệ thống Với yêu cầu cấp thiết vậy, em chọn đề tài “Nghiên cứu tìm hiểu an tồn an ninh mạng” làm đồ án mơn An tồn an ninh mạng Do kiến thức kinh nghiệm thân cịn hạn chế nên việc thực khơng thể tránh khỏi thiếu sót Rất mong đóng góp ý kiến q thầy mơn tồn thể bạn để đề tài hoàn thiện Cuối cùng, em xin chân thành cảm ơn thầy Nguyễn Phúc Hậu – Giảng viên học phần An toàn An ninh mạng hướng dẫn em, giúp đỡ em hoàn thành đề tài Hải Dương, Ngày …… tháng …… năm 2022 SINH VIÊN THỰC HIỆN Diệp Tuấn Anh PHẦN MF ĐẦU 1.1 TỔNG QUAN VỀ AN NINH MẠNG 1.1.1 Giới thiệu an ninh mạng 1.1.1.1 An ninh mạng ? An ninh mạng lĩnh vực mà giới công nghệ thông tin quan tâm Một internet đời phát triển, nhu cầu trao đổi thơng tin trở nên cần thiết Mục đích việc kết nối mạng làm cho người sử dụng chung tài nguyên mạng từ vị trí địa lý khác Chính mà tài nguyên dễ dàng bị phân tán, hiển nhiên điều dễ bị xâm phạm, gây mát liệu thơng tin có giá trị Kết nối rộng dễ bị cơng, quy luật tất yếu Từ đó, vấn đề bảo vệ thông tin đồng thời xuất an ninh mạng đời Ví dụ: User A gởi tập tin cho User B phạm vi nước Việt Nam khác xa so với việc User A gởi tập tin cho User C Mỹ Ở trường hợp đầu liệu mát với phạm vi nhỏ nước trường hợp sau việc mát liệu với phạm vi rộng giới Một lỗ hổng mạng mối nguy hiểm tiềm tàng Từ lổ hổng bảo mật nhỏ hệ thống, biết khai thác lợi dụng kỹ thuật hack điêu luyện trở thành mối tai họa Theo thống kê tổ chức IC số tội phạm internet ngày gia tăng nhanh chóng vịng năm từ năm 2001 đến năm 2009 số lượng tội phạm tăng gần gấp 20 lần dự đoán tương lai số tăng lên nhiều Hình 1.1: Thống kê tội phạm internet tổ chức IC3 Như vậy, số lượng tội phạm tăng dẫn đến tình trạng cơng tăng đến chóng mặt Điều dễ hiểu, thực thể ln tồn hai mặt đối lập Sự phát triển mạnh mẽ công nghệ thông tin kỹ thuật miếng mồi béo bở Hacker bùng phát mạnh mẽ Tóm lại, internet nơi khơng an tồn Mà khơng internet loại mạng khác, mạng LAN, đến hệ thống máy tính bị xâm phạm Thậm chí, mạng điện thoại, mạng di động khơng nằm ngồi Vì nói rằng, phạm vi bảo mật lớn, nói khơng cịn gói gọn máy tính quan mà tồn cầu 1.1.1.2 Kẻ công ? Kẻ công người ta thường gọi Hacker Là kẻ công vào hệ thống mạng với nhiều mục đích khác Trước Hacker chia làm loại chia thành loại: Hacker mũ đen Đây tên trộm hiệu, với Hacker có kinh nghiệm đặc biệt nguy hiểm hệ thống mạng Mục tiêu chúng đột nhập vào hệ thống mạng đối tượng để lấy cấp thông tin, nhằm mục đích bất Hacker mũ đen tội phạm thật cần trừng trị pháp luật Hacker mũ trắng Họ nhà bảo mật bảo vệ hệ thống Họ xâm nhập vào hệ thống, mục đích tìm kẽ hở, lổ hổng chết người sau tìm cách vá lại chúng Tất nhiên, hacker mũ trắng có khả xâm nhập trở thành hacker mũ đen Hacker mũ xám Loại kết hợp hai loại Thông thường họ người cịn trẻ, muốn thể Trong thời điểm, họ đột nhập vào hệ thống để phá phách Nhưng thời điểm khác họ gửi đến nhà quản trị thông tin lổ hổng bảo mật đề xuất cách vá lỗi Ranh giới phân biệt Hacker mong manh Một kẻ công Hacker mũ trắng thời điểm thời điểm khác họ lại tên trộm chuyên nghiệp 1.1.1.3 Lổ hổng bảo mật ? Các lỗ hổng bảo mật hệ thống điểm yếu tạo ngưng trệ dịch vụ, thêm quyền người sử dụng cho phép truy nhập không hợp pháp vào hệ thống Các lỗ hổng xuất hạ tầng mạng nằm dịch vụ cung cập Sendmail, Web, Ftp, Ngoài lỗ hổng cịn tồn hệ điều hành như: Windows XP, 7, Linux, ứng dụng mà người sử dụng thường xuyên sử dụng như: Office, trình duyệt, Theo quốc phịng Mỹ, lỗ hổng bảo mật hệ thống chia sau: Lỗ hổng loại A Các lỗ hổng cho phép người sử dụng ngồi truy nhập vào hệ thống bất hợp pháp Lỗ hổng nguy hiểm, phá hủy tồn hệ thống Lỗ hổng loại B Các lỗ hổng cho phép người sử dụng thêm quyền hệ thống mà khơng cần thực kiểm tra tính hợp lệ Mức độ nguy hiểm trung bình Những lỗ hổng thường có ứng dụng hệ thống, dẫn đến lộ thơng tin liệu Lỗ hổng loại C Các lỗ hổng loại cho phép thực phương thức công theo DoS Mức độ nguy hiểm thấp, ảnh hưởng tới chất lượng dịch vụ, làm ngưng trệ, gián đoạn hệ thống, không làm phá hỏng liệu quyền truy nhập bất hợp pháp 1.1.2 Đánh giá vấn đề an toàn, bảo mật hệ thống mạng Để đảm bảo an ninh cho hệ thống mạng, cần phải xây dựng số tiêu chuẩn đánh giá mức độ an ninh, an toàn cho hệ thống mạng Một số tiêu chuẩn thừa nhận thước đo mức độ an ninh hệ thống mạng 1.1.2.1 Phương diện lý Có thiết bị dự phịng nóng cho tình hỏng đột ngột Có khả thay nóng phần tồn phần (hot-plug, hot-swap) Bảo mật an ninh nơi lưu trữ máy chủ Khả cập nhật, nâng cấp, bổ xung phần cứng phần mềm u cầu nguồn điện, có dự phịng tình điện đột ngột Các yêu cầu phù hợp với môi trường xung quanh: độ ẩm, nhiệt độ, chống sét, phòng chống cháy nổ,… 1.1.2.2 Phương diện logic Tính bí mật (Confidentiality) Là giới hạn đối tượng quyền truy xuất đến thông tin Đối tượng truy xuất thơng tin người, máy tính phần mềm Tùy theo tính chất thơng tin mà mức độ bí mật chúng khác Ví dụ: User A gởi email cho User B email có User A User B biết nội dung mail, User khác khơng thể biết Giả sử có User thứ biết nội dung mail lúc tính bí mật email khơng cịn Tính xác thực (Authentication) Liên quan tới việc đảm bảo trao đổi thông tin đáng tin cậy người gởi người nhận Trong trường hợp tương tác xảy ra, ví dụ kết nối đầu cuối đến máy chủ, có hai vấn đề sau: thứ thời điểm khởi tạo kết nối, dịch vụ đảm bảo hai thực thể đáng tin Mỗi chúng thực thể xác nhận Thứ hai, dịch vụ cần phải đảm bảo kết nối không bị gây nhiễu thực thể thứ ba giả mạo hai thực thể hợp pháp để truyền tin nhận tin khơng cho phép Tính tồn vẹn (Integrity) Tính toàn vẹn đảm bảo tồn nguyên vẹn thông tin, loại trừ thay đổi thông tin có chủ đích hư hỏng, mát thơng tin cố thiết bị phần mềm Ví dụ: User A gởi email cho User B, User A gởi nội dung User B chắn nhận y nội dung có nghĩa User A gởi User B nhận y khơng có thay đổi Tính khơng thể phủ nhận (Non repudiation) Tính khơng thể phủ nhận bảo đảm người gửi người nhận chối bỏ tin truyền Vì vậy, tin gửi đi, bên nhận chứng minh tin thật gửi từ người gửi hợp pháp Hoàn toàn tương tự, tin nhận, bên gửi chứng minh tin thật nhận người nhận hợp lệ Ví dụ: User A gởi email cho User B User A từ chối A không gởi mail cho B Tính sẵn sàng (Availability) Một hệ thống đảm bảo tính sẵn sàng có nghĩa truy nhập liệu lúc mong muốn vòng khoảng thời gian cho phép Các công khác tạo mát thiếu sẵn sàng dịch vụ Tính khả dụng dịch vụ thể khả ngăn chặn khôi phục tổn thất hệ thống cơng gây Ví dụ: Server web hoạt động hàng ngày để phục vụ cho web client nghĩa nào, đâu Server web sẵn sàng để phục vụ cho web client Khả điều khiển truy nhập (Access Control) Trong hệ thống mạng coi bảo mật, an tồn người quản trị viên phải điều khiển truy cập vào hệ thống mạng, cho phép hay ngăn chặn truy cập hệ thống Ví dụ: Trong cơng ty có phịng ban, để bảo mật thơng tin nội cơng ty, người quản trị viên ngăn chặn số phịng ban gởi thơng tin ngồi từ vào PHẦN HỆ ĐIỀU HÀNH VÀ HỆ ĐIỀU HÀNH MÃ NGUỒN MF 2.1 Hệ Điều Hành Là Gì Hệ điều hành với tên tiếng anh Operating System (OS) phần mềm vận hành thiết bị điện tử với mục đích điều hành quản lý phần cứng phần mềm thiết bị Nhờ có hệ điều hành mà người giao tiếp đưa hiệu lệnh cho máy tính Thơng qua hệ điều hành ứng dụng tận dụng common libraries mà không cần quan tâm tới thông số phần cứng cụ thể Hệ điều hành có cấu tạo phức tạp số quan trọng phải kể đến thành phần Kernel, User Interface Application Programming Interfaces + Đảm nhiệm vai trò điều khiển phần cứng máy tính Kernel Nó đảm bảo thao tác gồm: đọc - ghi liệu, xử lý lệnh, xác định liệu nhận gửi + Các thiết bị khác, đồng thời diễn giải liệu nhận từ mạng + User Interface giao diện hiển thị để người dùng sử dụng giao tiếp với máy tính nhằm đảm bảo thao tác xác + Application Programming Interfaces nơi để lập trình ứng dụng phát triển sử dụng Modular Code 2.2 Chức hệ điều hành Liên kết máy tính người dùng người dùng với nhờ khả tối ưu hoạt động máy tính đặc biệt việc nhập liệu thao tác tương tác với máy tính Giao diện hiển thị giúp người dùng dễ dàng việc tương tác với máy tính phần mềm tích hợp hệ điều hành Hệ điều hành hỗ trợ quản lý tài nguyên hệ thống máy tính cách hợp lý, ẩn phần mềm, tài nguyên phần cứng từ người sử dụng Phát lỗi báo cho người dùng xảy xung đột hệ thống người dùng Tăng cường chia sẻ tài nguyên máy tính với tăng khả trải nghiệm cho người dùng 2.3 Các hệ điều hành Hệ điều hành phổ biến sử dụng đa số thiết bị máy tính windows song song có nhiều nhà sản xuất sử dụng hệ điều hành riêng công ty tự làm Windows : Như nói trên, hệ điều hành sử dụng rộng rãi nhờ vào ưu điểm sử dụng đơn giản, cấu hình u cầu khơng cần cao, vận hành mượt mà Cũng nhờ sử dụng phổ biến đa số thiết bị nên việc tương tác, chia sẻ liệu thiết bị với vô dễ dàng đáp ứng nhu cầu đại đa số người dùng Apple OS: Một hệ điều hành Apple làm để sử dụng sản phẩm Ưu điểm phải nhắc đến mượt mà tuyệt đối, không xảy tượng giật lag hay đứng máy trình sử dụng Tuy nhiên hệ điều hành sử dụng sản phẩm nhà Apple nên việc chia sẻ liệu tương tác hạn chế Linux: Linux với khả làm khai thác tối đa phần cứng, chí có phần nhỉnh Windows Tính linh hoạt cao vận hành hầu hết sever máy tính 2.4 Ưu nhược điểm hệ điều hành mã nguồn mở 2.4.1 Ưu nhược điểm hệ điều hành mã nguồn mở Ưu điểm Tiết kiệm chi phí Như nói trên, phần mềm mã nguồn mở phần mềm hồn tồn miễn phí Bạn sử dụng cho mục đích thương mại mà khơng phải trả tiền quyền Người dùng không bị nhà cung cấp kiểm soát sử dụng phần mềm mã nguồn mở Vì bạn tránh trường hợp số chức năng, số tập tin bị ẩn phần mềm mã nguồn mở độc quyền khác Khi lập trình viên sử dụng phần mềm mã nguồn mở, họ tránh rủi ro mua phải phần mềm có quyền khơng nhà cung cấp hỗ trợ sau hết thời hạn sử dụng Có số lý để giải thích điều Tuy nhiên, người dùng sử dụng phần mềm khơng nhận hỗ trợ lý chủ quan hay khách quan Ngoài ra, người dùng phải trả thêm tiền để tiếp tục sử dụng Độ b1o mật cao Như đề cập trên, khơng có lỗ hổng bảo mật mã nguồn mở Chỉ cần tưởng tượng phần mềm mã nguồn mở từ lâu phát triển cộng đồng lập trình viên, bao gồm nhiều lập trình viên tài khắp giới Sau đó, họ liên tục kiểm tra, sửa đổi, thêm bớt tính Trước người dùng thêm tính vào phần mềm mã nguồn mở, đặt yếu tố an toàn kiểm tra chúng trước Nếu khơng, tính làm cho phần mềm an toàn Hệ thống mã nguồn ho/t động linh ho/t 3.3 Các kiến trúc fìrewall Kiến trúc Dual-Home Host Phải có hai card mạng giao tiếp với hai mạng khác đóng vai trò router mềm; Kiến trúc đơn giản, Dual-Home Host giữa, bên kết nối với internet bên kết nối với mạng LAN b) Kiến trúc Screen Host Có cấu trúc ngược lại với Dual-Home Host, cung cấp dịch vụ từ host mạng nội bộ, dùng router độc lập với mạng bên ngoài, chế bảo mật kiến trúc phương pháp Packet Filtering c) Kiến trúc Screen Subnet (Hình 3-5) Kiến trúc dựa tảng kiến trúc Screen Host cách thêm vào phần an toàn nhằm cô lập mạng nội khỏi mạng bên ngồi, tách Bastion Host khỏi host thơng thường khác Kiểu Screen Subnet đơn giản gồm hai Screen Router: Router ngoài: Nằm mạng ngoại vi mạng có chức bảo vệ cho mạng ngoại vi Router trong: Nằm mạng ngoại vi mạng nội bộ, nằm bảo vệ mạng nội trước với bên ngồi mạng ngoại vi a) Hình 3-5: Mơ hình Screened-subnetflrewall 3.3.1 Chính sách xây dựng firewall a) b) c) d) e) Một số giải pháp nguyên tắc xây dựng firewall Quyền hạn tối thiểu (Least Privilege) Nguyên tắc có nghĩa đối tượng bên hệ thống nên có quyền hạn định Bảo vệ theo chiều sâu (Defense in Depth) Lắp đặt nhiều chế an tồn để hỗ trợ lẫn Vì firewall xây dựng theo chế có nhiều lớp bảo vệ hợp lý Nút thắt (Choke Point) Một nút thắt bắt buộc kẻ đột nhập phải qua ngõ hẹp mà người quản trị kiểm soát Điểm xung yếu (Weakest Link) Cần phải tìm điểm yếu hệ thống để có phương án bảo vệ, tránh đối tượng công lợi dụng để truy cập trái phép Hỏng an toàn (Fail-Safe Stance) 19