HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIÊN THONG
Trang 2Đề án tốt nghiệp được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIÊN THONG
Người hướng dẫn khoa học: PGS.TSKH Hoàng Đăng Hải
(Ghi rõ học ham, học vi)
Phản biện Ï: - Q00 0202020 n HH ng nh nh vn ng
Phản biện 2: - 0000022000220 n n2 ng nh hy
viện Công nghệ Bưu chính Viễn thông
Có thé tìm hiểu dé án tốt nghiệp tại:
- Thư viện của Học viện Công nghệ Bưu chính Viễn thông.
Trang 31 Lý do chọn đề tài
Ngày nay, các biện pháp an toàn thông tin cho máy tính cá nhân cũng như các mạng
nội bộ đã được nghiên cứu và triển khai Tuy nhiên, vẫn thường xuyên có các mạng bị tan công, có các tô chức bị đánh cắp thông tin gây nên những hậu quả vô cùng nghiêm trong Một số vụ tan công với quy mô không 16 (có tới 100.000 máy tinh bị tan công) Tại Lào, các
hệ thống mạng và Website bị tấn công theo chiều hướng gia tăng: năm 2020 có hơn 1000 Website bị tan công, năm 2021 hơn 2000 website bị tan công và phát tán thư rác, năm 2022
website Lao Airlines bi hack lộ hơn 40.000 dữ liệu khách hàng (theo thông tin từ [12], [13]).
Mặc dù mạng đã và đang phát triển rất mạnh theo hướng kết nối Internet van vật (oT — Internet of Things), 5G, song mạng cục bộ LAN (Local Area Networks) van sé tiép tuc được duy trì và là mạng cốt lõi trong mọi cơ quan, tô chức, doanh nghiệp Do có sự thay đôi về mặt công nghệ mạng LAN như kết nối 5G, kết nối IoT, nên công nghệ, kỹ thuật tấn
công của tin tặc cũng có thay đồi theo Chính vi vậy, van dé an toàn mạng LAN và các giải pháp bảo mật cho mạng LAN vẫn luôn là một chủ đề nghiên cứu đòi hỏi có thêm những giải
pháp mới, có xem xét thêm những yếu tố thay đổi công nghệ này.
Xuất phat từ nhu cầu thực tế tại mạng Trung tâm Online Exam của Trung tâm Dao tạo và Phát triển phần mềm Lào - Ấn Độ (nơi em đang công tác) Qua thời kỳ Covid vừa
qua, nhiều hoạt động phải trực tuyến thông qua mạng, có thé nhận thấy phát sinh nhiều van dé liên quan đến an toàn và bảo mật mang LAN Do vậy em chọn dé tai này với mong muốn
nghiên cứu các giải pháp tăng cường bảo mật mang LAN và ứng dụng tại Trung tâm Dao
tạo và Phát triển phần mềm Lào - An Độ 2 Tổng quan về van đề nghiên cứu
LAN (Local Area Network) là một hệ thong mang cục bộ dùng để kết nối các máy
tính trong một phạm vi nhỏ (nhà ở, phòng làm việc, trường học, trong công ty ) Các máy
tính trong mạng LAN có thê chia sẻ tài nguyên với nhau, mà điển hình là chia sẻ tập tin,
may chu Web, máy chủ Mail, máy in, máy quét va một số thiết bị khác.
Các giải pháp bảo mật điển hình cho mạng LAN đã có cho tới nay bao gồm: tường
lửa, phần mềm diệt virus, hệ thống phát hiện và ngăn chặn xâm nhập.
Mặt khác, đa phần hệ thống mạng LAN của các doanh nghiệp đều xây dựng theo mô hình mạng hình Sao, đữ liệu ít được phân quyền quy cập, hệ thống máy chủ không tách
riêng với hệ thống máy người dùng.
Như vậy có thé thấy, an toàn mạng nói chung và bảo mật mang LAN nói riêng van
Trang 4luôn là một vấn đề lớn đối với mọi cơ quan, tổ chức Cần phải có một giải pháp tổng thể,
không chỉ phần mềm, phần cứng mà nó đòi hỏi cả vấn đề chính sách về con người.
3 Mục tiêu nghiên cứu
Mục tiêu nghiên cứu của đề án tốt nghiệp này là nghiên cứu các yêu cầu và giải pháp bảo mật cho mạng LAN, đề xuất giải pháp bảo mật cho mạng LAN có khả năng triển khai
áp dụng trong thực tế tại Trung tâm Dao tạo và Phát triển phần mềm Lao-An Độ 4 Đối tượng và phạm vi nghiên cứu
Đối tượng nghiên cứu của đề án tốt nghiệp là mạng LAN và các vấn đề liên quan đến
bảo mật mạng LAN.
Phạm vi nghiên cứu của đề án tốt nghiệp là các giải pháp bảo mật mạng LAN và ứng dụng cho mạng nội bộ tại trung tam dao tạo và phat triển phần mềm Lào - Ấn Độ.
5 Phương pháp nghiên cứu
về mặt lý thuyết: Thu thập, khảo sát, phân tích các tài liệu và thông tin có liên quan
đến bảo mật mạng LAN.
Về mặt thực nghiệm: Khảo sát thực tế tại trung tâm đào tạo và phát triển phần mềm Lào - An Độ va đề xuất các giải pháp bảo mật nội bộ của trường phù hợp.
Trang 5CHUONG 1 TONG QUAN VE MẠNG LAN VA CÁC YÊU CAU BAO MAT
1.1 Téng quan vé céng nghé mang LAN va cac van dé lién quan
1.1.1 Giới thiệu chung
Mang LAN là viét tat cua Local Area Network, dich nghĩa là mang máy tính nội bộ,
cho phép các máy tính trong cùng một đơn vị như doanh nghiệp, trường học, tổ chức hành chính có thé kết nối với nhau dé cùng nhau làm việc và chia sẻ dữ liệu dựa trên nên Internet.
Mạng LAN hữu ích vì nó cho phép những người sử dụng dùng chung tài nguyên quan trọng
như máy in, 6 CDROM, các phần mềm ứng dung và thông tin cần thiết khác Hinh 1.1 mô tả mô hình một mang LAN điền hình [8].
InternetRemote
and Mobile
Bang 1.1: Các đặc trưng của Fast Ethernet, kiểu truyền và khoảng cách [11]
Công nghệ Kiểu đây Số cặp Độ dài cáp100BASE-TX EIA/TIA UTP loại 5 2 100m
100BASE-T2 EIA/TIA UTP loại 3, 4, 5 2 100m
100BASE-T4 EIA/TIA UTP loại 3, 4, 5 4 100m
Cáp sợi đa kiểu (MMF); lõi 62.5 micron, 400m bán song công
1ODBASE-EX boc ngoai 125 micron (62.5/125) : hay 200m song công
Cáp sợi đơn kiều (SMF) l 10km
Trang 6Bảng 1.2: Các đặc trưng của Giga-Ethernet, kiểu truyền và khoảng cách [11]
Loại GE Loại cáp Số cặp | Chiều đài cáp
1000BASE-CX Cáp xoắn đôi (STP) 1 | 25m
'1000BASE-T | Cáp EIA/TIA UTP loại 5 [4 | 100m
1000BASE-SX Cap MMF lõi 62.5 micron; 850 nm laser | I 275m
Cap MMF lõi 50 micron; 850 nm laser l 550 m
I000BASE-LXÍLH | Cap MMF lõi 62.5 micron; 1300 nm laser l 550 m
Cap MMF lõi 50 micron; 1300 nm laser l 550 m
Cap MMF lõi 9 micron; 1300 nm laser l 10 km
1000BASE-ZX Cáp SMF lõi 9 micron; 1550 nm laser l | 70 km
Cap SMF lõi 8 micron; 1550 nm laser I 100 km
Với mang campus, ta có thé dùng Gigabit Ethernet dé kết nối các thiết bị riêng lẻ vào switch hay kết nối các switch với nhau.
1.1.2 Các mô hình mạng LAN
LAN có nhiều mô hình mạng, có thể kê đến 4 loại: Star, Bus, Token Ring, Mesh.
- Star: là mô hình mạng hình sao.
Ưu điểm: Thiết lập mạng đơn giản, dễ cấu hình lại mạng (thêm, bớt máy trạm), dễ
kiểm soát và khắc phục sự cố, tận dụng tối đa đường truyền vật lý.
Nhược điểm: Độ dài đường truyền kết nối một trạm với thiết bị trung tâm bị hạn chế.
- Bus: là mô hình mạng theo trục tuyến tính.
Ưu điểm: Dễ thiết kế, chi phí thấp.
Khuyết điểm: Tính 6n định kém, chỉ một nút mạng hỏng là toàn bộ mạng bị ngừng
hoạt động.
- Token Ring: là mô hình mạng được bố trí theo dạng xoay vòng khép kín Mạng
hình vòng sử dụng thẻ bài, tín hiệu truyền kèm thẻ bài và chạy trên vòng theo 1 chiều duy
Ưu điểm: có thể nới rộng, tổng đường dây cần thiết ít hơn so với Bus và Star
Nhược điểm: Nếu bị ngắt ở một nút nào đó thì toàn bộ hệ thống cũng bị ngừng.
- Mesh: là mô hình mạng nhện, được sử dụng trong các mạng có độ quan trọng cao
Trang 7Hình 1.2: Mô hình mạng Peer to Peer
- Client - Server: Mô hình Client - Server cho mạng LAN mô tả trong hình 1.3 dưới
đây [11]
| ie
Hinh 1.3: M6 hinh Client — Server
1.2 Các mối đe doa bao mật và phương thức tan công mạng LAN
Trong quá trình vận hành và khai thác mạng LAN, trong môi trường Internet có rất
nhiều nguy cơ đe dọa bảo mật mạng Dưới đây liệt kê một số mối de doa điển hình đối với
bảo mật mạng LAN.
1.2.1 Các mỗi de dọa bảo mật mang LAN Mỗi de dọa không có cấu trúc
Mi de dọa có cấu trúc Moi de doa từ bên ngoài Mi de doa từ bên trong
1.2.2 Các phương thức tấn công mạng LAN
Phương thức ăn cắp thông tin bằng bắt gói (Packet Sniffers)
Trang 8Phương thức tan công mật khẩu (Password Attack)
Phương thức tấn công bằng Mail Relay Phương thức tan công lớp ứng dụng
Phương thức tấn công Virus và Trojan Horse 1.3 Các yêu cầu bảo mật chung cho mạng LAN
1.3.1 Yêu cầu bảo mật vé mạng
Bốn giai đoạn của chu trình bảo mật mạng được mô tả như sau:
¢ - Giai đoạn bảo vệ an ninh mạng:
® - Giai đoạn giám sát mạng:
¢ - Giai đoạn kiểm tra an ninh mang: ® Giai đoạn cải tiến:
1.3.2 Yêu cầu về bảo mật dữ liệu
Trong mạng LAN, người dùng thường xuyên truy cập các cơ sở đữ liệu để làm việc nên dé xảy ra các nguy cơ mat an toàn dữ liệu Vì vậy, van đề bảo mật dir liệu phải đảm bảo
các yêu cầu sau:
e Yéu cầu về tính san sàng của dữ liệu: Các dữ liệu dùng chung phải luôn trong trạng thái đáp ứng mọi yêu cầu của người dùng mọi lúc, mọi nơi.
e _ Yêu cầu về tính toàn ven dit liệu: Các dit liệu không bị chỉnh sửa, thay đổi một cách
bất hợp pháp.
e Yêu cầu về bi mật dit liệu: Các dữ liệu là tài sản quan trọng của đơn vị và cá nhân phải được đảm bảo bí mật, không bị phát tán bất hợp pháp.
1.3.3 Yêu cầu về bảo mật người dùng
Người dùng hợp pháp của mạng LAN là người sử dụng các dich vụ nhưng đồng thời cũng là một tác nhân gây ra các rủi ro mạng Vì vậy, vấn đề bảo mật người dùng phải đảm bảo các yêu cầu sau:
e _ Yêu cầu về tính hợp pháp: Người dùng hợp pháp phải được đảm bảo truy cập mạng
một cách thuận lợi, đáp ứng mọi yêu cầu hợp pháp của người dùng mọi lúc, mọi nơi e _ Yêu cầu về tính riêng tư: Các thông tin cá nhân, lịch sử truy cập mạng là các thông
tin riêng tư của người dùng phải được đảm bảo bí mật, không bị đánh cắp hoặc phát
tán bất hợp pháp.
Các yêu cầu bảo mật mạng LAN về mạng, về đữ liệu và người dùng đều có tầm quan trọng và phải được xem xét kỹ trong quá trình xây dựng, thiết kế, vận hành và khai thác
Trang 9mạng nội bộ.
1.4 Tình hình triển khai mạng LAN tại Lào và các vấn đề liên quan đến bảo mật mạng LAN trong thực tế.
1.4.1 Tình hình triển khai mạng LAN tại Lào
Ngày nay ở Lào, các tổ chức, doanh nghiệp đều sử dụng, triển khai mạng LAN bên
trong hệ thống của họ Hệ thống mạng nội bộ giúp gia tăng khả năng trao đổi dữ liệu giữa
các nhân viên, các ban ngành với nhau, làm gia tăng khả năng làm việc và hoạt động một
cách hiệu quả Tuy nhiên, với nhu cầu trao đổi thông tin, bắt buộc các cơ quan, tổ chức phải kết nói tới mạng Internet Khi thực hiện kết nối mạng nội bộ của cơ quan, doanh nghiệp, tô
chức với mạng toản cầu, an toàn và bảo mật thông tin là một van đề cấp bách được đặt ra.
Internet có những kỹ thuật cho phép mọi người truy cập, khai thác và chia sẻ thông tin với
nhau Nhưng nó cũng là nguy cơ chính dẫn đến thông tin dé bị hư hỏng hay bị phá hủy hoàn toan.
Việc truyền thông tin qua mạng Internet hiện nay chủ yếu sử dụng giao thức TCP/IP.
TCP/IP cho phép các thông tin từ máy tính này tới máy tính khác phải đi qua một loạt cácmáy tính trung gian hoặc các mạng riêng biệt trước khi nó tới được đích Chính vì vậy, giao
thức TCP/IP đã tạo cơ hội cho bên thứ ba có thé thực hiện các hành động gây mất an toàn thông tin trong khi thực hiện việc truyền thông tin trên mạng Thực tế, số vụ tấn công từ bên
ngoài vào các cơ quan, tổ chức, trường học, đang ngày một tăng lên với quy mô không 16 Nếu không có các giải pháp khắc phục, hậu quả và tôn thất sẽ vô cùng nặng nề.
1.4.2 Vấn đề liên quan đến bảo mật mạng LAN trong thực tế
Trong năm 2022 tính tới thời điểm hiện tại, Lào đã hứng chịu rất nhiều các vụ tấn công mạng nội bộ và để lại rất nhiều hậu quả nặng nề Chỉ riêng quý 1 năm 2022, đã có gần
100 sự cé tan công mạng nội bộ tại Lào Đến giữa tháng 9 sỐ lượng các sự cô tấn công mạng nội bộ đã lên đến gần 1000 (số liệu của trung tâm ứng cứu khẩn cấp máy tính Lào) Chỉ tiết thì theo số liệu cho biết có 162 sự cố website lừa đảo, 455 sự cô phát tán mã độc và
307 sự có tan công thay đổi giao diện [12, 13] Nồi bật nhất trong năm 2017 là cuộc tan công của mã độc có tên Wannacry Khi tan công Wannacry mã hóa các dữ liệu bên trong mạng nội bộ và người dùng hay các công ty, tô chức cần phải trả một khoản phí mới có thé lây lại được đữ liệu của họ Cuộc tấn công quy mô lớn này đã ảnh hưởng đến 74 quốc gia trong đó có Lào Chỉ vài giờ lây lan, Lào đã có đến hơn 50 doanh nghiệp bị nhiễm loại mã
độc này Theo Kaspersky thì trên 20 nước có thiệt hại nặng nề nhất do cuộc tấn công
Wannacry gây ra.
Trang 101.5 Kết luận chương 1
Trong chương 1, đề án đã nghiên cứu tổng quan về công nghệ mang LAN và các
nguy cơ đe dọa bảo mật mạng LAN Từ đó, đề án đã đưa ra và phân tích các yêu cầu bảo
mật cho mạng LAN, cũng như các vấn đề liên quan đến bảo mật mạng LAN trong thực tế.
Trên co sở các nội dung đã trình bay trong chương 1, các giải pháp bảo mật mang
LAN đáp ứng các yêu cầu đề ra sẽ được nghiên cứu trong chương 2.
Trang 11CHƯƠNG 2: NGHIÊN CỨU CÁC GIẢI PHÁP BẢO MẬT MẠNG LAN
2.1 Khái quát các giải pháp
Các giải pháp nhằm đảm bảo yêu cầu bảo mật mạng LAN Mỗi giải pháp đều có một mục dich riêng và làm tăng kha năng bao mật cho mạng LAN Đề đạt hiệu quả cao nhất,
trong thực tế cần kết hợp tất cả các giải pháp nhằm giúp cho mạng nội bộ có thể hoạt động an toàn, tránh được các cuộc tan công từ bên ngoài hay lây nhiễm bên trong cũng như có thé phát hiện, có các biện pháp xử lý nhanh chóng nhất có thé khi xảy ra sự cố ngoài ý muốn Ngoài ra các giải pháp bảo mật mạng LAN nhằm đáp ứng các yêu cầu về bảo mật mạng,
bảo mật dữ liệu và bảo mật người dùng.
Trong phạm vi bai, 6 nhóm giải pháp bảo mật mạng LAN được tập trung trình bay
gồm: giải pháp tường lửa, giải pháp dùng hệ thống IDS/IPS, giải pháp với VLAN, giải pháp
dùng VPN, giải pháp phân quyền truy nhập dữ liệu và nhóm các giải pháp phụ trợ khác.
2.2 Giải pháp sử dụng hệ thống tường lửa
2.2.1 Giới thiệu chung
Một trong các giải pháp bảo mật mạng LAN nhằm tránh các cuộc tấn công từ bên
ngoài hay ngăn chặn truy cập các trang web từ bên trong là sử dụng tường lửa (Firewall).Hình 2.1 dưới đây mô tả một mạng LAN có sử dụng tường lửa [3].
2.2.2 Tường lứa Fortinet
Sản phẩm FortiGate của Fortinet là thiết bị tường lửa Unified Thread Management
-hợp nhất các cơ chế ngăn chặn và phòng ngừa các nguy cơ và hiểm họa của mạng các tổ chức, công ty, bao gồm các chức năng:
- Bảo mật kết nối:
+ Stateful Firewall: Ngăn chặn các truy cập trái phép, phân vùng truy cập.
+ IPsec & SSL VPN: Kết nối bảo mật đến những tài nguyên đặc biệt.
Trang 12- Tích hợp bảo mật cho ứng dụng và nội dung số:
+ Intrusion Prevention: Ngăn chặn việc khai thác các lỗ hồng bảo mật; thấu hiéu các
giao thức, kiểm soát tốt hơn các ứng dụng.
+ Antivirus/Antispyware: Ngăn các nội dung độc hại lan truyền trong mạng.
- Bảo mật ứng dụng:
+ Web Filtering: Ngăn cấm truy xuất đến những địa chỉ đáng ngờ, lừa đảo, spam hoặc chứa nội dung độc hại hoặc chứa các nội dung vi phạm chính sách bảo mật của tổ
+ Antispam: lọc và loại bỏ các thư rác.
+ Kiểm soát ứng dụng: ngăn hoặc giới hạn truyền thông của một số ứng dụng phổ biến (IM, P2P ), có khả năng nhận diện 1800 ứng dụng: kiểm soát lưu lượng ứng dụng.
Đặc điểm nổi bật của Firewall cứng Fortinet vượt lên trên các Firewall mềm (các firewall cài đặt theo dạng ứng dụng trên server) là tính ồn định, khả năng xử lý cao, được chuyên biệt hóa, không giới hạn số lượng người dùng và băng thông lớn Do đó nó cũng có giá thành khá cao tùy theo cấu hình.
2.2.3 Tach hệ thong, toi wu hóa tường lửa
Dé có thé nâng cao khả năng của firewall ở các doanh nghiệp hay trường học, hệ
thống mạng được chia ra thành 3 khu vực, gồm:
- Internal: Gồm các máy client bên trong nội bộ
- Perimeter: Gồm các máy chủ của nội bộ như máy chủ web, mail, database
- External: Mạng bên ngoài nội bộ
Lý do phải phân ra 3 khu vực là: nếu xếp chung các máy chủ và client cùng một khu vực, khi xảy ra sự cô tan công từ bên ngoài hay phát tán virus từ bên trong, sự cô sẽ lây sang các máy chủ và làm hỏng cả hệ thống mạng Firewall Fortinet được đặt ở trung tâm, như một cau nối điều khiển các luồng thông tin cho phép truy cập hay không truy cập.
Trang 132.3 Giải pháp sử dung hệ thống phát hiện và ngăn chặn xâm nhập mạng IDS/IPS.
2.3.1 Hệ thống phát hiện xâm nhập IDS
Hình 2.2 Các thành phan của hệ thống IDS
Hai thành phần quan trọng nhất cấu tạo nên hệ thống IDS là sensor (bộ cảm nhận) có
chức năng chặn bắt và phân tích lưu lượng trên mạng và các nguồn thông tin khác dé phat
hiện dấu hiệu xâm nhập (signature); signature database là cơ sở dit liệu chứa dấu hiệu của
các tan công đã được phát hiện và phân tích Cơ chế làm việc của signature database giống như virus database trong các phần mềm antivirus Do vậy, việc duy trì một hệ thống IDS hiệu quả phải bao gồm việc cập nhật thường xuyên cơ sở đữ liệu này.
2.3.2 Hệ thống phòng chong xâm nhập (IPS)
Hệ thống phòng chống xâm nhập (IPS) là một hệ thống kết hợp các ưu điểm của kỹ thuật tường lửa với hệ thống phát hiện xâm nhập IDS, có khả năng phát hiện các cuộc tấn
công và tự động ngăn chặn các cuộc tan công nhằm vào điểm yếu của hệ thống Sơ dé hoạt động của hệ thống IPS mô tả trong hình 2.3 [7].
Detection ` ¬ : Normal and intrusive
model(s) — Detection algorithm activities have distinct
evidenceAlerts
Pan v Action/Repo
Decision c => Alertfilter 7 o——~—~—criteria
Hình 2.3: Sơ đồ hoạt động của IPS