- Từ những ưu và nhược điểm đã đưa ra để đi vào nghiên cứu sâu và rộng hơn em thấy đề tài cần phát triển những mặt sau: + Đi vào tìm hiểu các kiến thức nền tảng về wireless LAN để từ đó tìm hiểu các cách thức tấn công trong wireless LAN và đưa ra các giải pháp phòng chống + Tìm hiểu rộng hơn các loại hình tấn công trong mô hình mạng LAN và các giải pháp phòng chống các loại tấn công đó + Tìm hiểu sâu và rộng hơn về các công cụ tấn công trong mạng LAN cũng như xu hướng của các hacker từ bên ngoài tấn công vào mạng nội bộ
Trang 1BÁO CÁO THỰC TẬP AN TOÀN THÔNG TIN
VÀ GIẢI PHÁP ĐẢM BẢO AN TOÀN MẠNG LAN”
Trang 2Mục Lục
LỜI MỞ ĐẦU
LỜI CẢM ƠN
CHƯƠNG 1 TỔNG QUAN VỀ MẠNG CỤC BỘ
1.1 Giới thiệu mạng cục bộ
1.1.1 Khái niệm về mạng cục bộ
1.1.2 Lịch sử phát triển của mạng cục bộ
1.1.3 Những thiết bị cấu thành và các mô hình thực thi
1.2 Công nghệ Ethernet
1.2.1 Khái niệm công nghệ Ethernet
1.2.2 Lịch sử phát triển của công nghệ Ethernet
1.2.3 Các đặc tính chung của Ethernet
1.3 Các kỹ thuật chuyển mạch trong mạng LAN
1.3.1 Khái niệm về chuyển mạch
1.3.2 Lịch sử phát triển của hệ thống chuyển mạch
1.3.3 Các chế độ chuyển mạch trong LAN
CHƯƠNG 2 TẤN CÔNG MẠNG CỤC BỘ VÀ GIẢI PHÁP PHÒNG CHỐNG
2.1 Tổng quan về an ninh mạng
2.1.1 Khái niệm về an ninh mạng
2.1.2 Hacker và ảnh hưởng của việc hack
2.1.3 Các giai đoạn tấn công
2.1.4 Các loại tấn công mạng
2.1.5 Các đối tượng có thể bị tấn công trong LAN và các hình thức tấn công phổ biến
2.2 Một số kiểu tấn công mạng LAN và cách phòng chống
2.2.1 Kiểu tấn công ARP poisoning
2.2.2 Kiểu tấn công MAC flooding
3.1.2 Kiểu tấn công DHCP Spoofing
3.1.3 Kiểu tấn công TCP Injection
3.2 Một số giải pháp đảm bảo an toàn mạng LAN
3.2.1 Tường lửa (Firewall)
3.2.2 Công nghệ phát hiện và ngăn chặn xâm nhập mạng IDS/IPS
3.2.3 Mạng VLAN ảo
3.2.4 Mạng riêng ảo (VPN)
CHƯƠNG 3 THỬ NGHIỆM TẤN CÔNG MẠNG CỤC BỘ
3.1 Giới thiệu hệ điều hành Kali Linux
Trang 33.3 Tiến hành tấn công
3.3.1 Tấn công AR spoofing
3.3.2 Tấn công DHCP spoofing
3.3.3 Tấn công MAC Flooding
3.3.4 Tấn công TCP Injection
3.4 Đánh giá, kết luận
3.4.1 Đánh giá
3.4.2 Kết luận
TÀI LIỆU THAM KHẢO
Trang 4LỜI MỞ ĐẦU
An toàn thông tin( ATTT) là lĩnh vực quản lý rủi ro liên quan đến bảo vệ, duy trì tính toàn vẹn và tính bảo mật của thông tin Nó đảm bảo hệ thống và dữ liệu không bị thấtthoát, thay đổi trái phép hay bị tấn công An toàn thông tin không chỉ là trách nhiệm của
tổ chức mà còn là mối quan tâm quan trọng của cá nhân, đặc biệt trong bối cảnh ngày nay với sự phổ biến của dịch vụ trực tuyến và mối đe dọa ngày càng gia tăng
Trong đó, tấn công mạng LAN ngày càng trở nên phức tạp và đa dạng, đặt ra những thách thức lớn trong việc bảo vệ thông tin và hệ thống kết nối Những nguy cơ nhưtruy cập trái phép ăn cắp thông tin, và tấn công từ chối dịch vụ (DoS) đe dọa tính toàn vẹncủa mạng LAN
Để đối mặt với những mối đe dọa này, việc triển khai biện pháp phòng chống an ninh mạng trở thành mục tiêu hết sức quan trọng Điều này bao gồm các giải pháp về phần cứng và phần mềm chuyên nghiệp, cùng với việc xây dựng chính sách an toàn thôngtin mạnh mẽ
Bằng cách tổ chức các lớp đào tạo và nâng cao nhận thức về an ninh cho nhân viên, chúng ta có thể giảm thiểu nguy cơ tấn công từ bên trong Các biện pháp như mật khẩu mạnh, mã hóa dữ liệu và cập nhật hệ thống đều đóng vai trò quan trọng trong việc ngăn chặn tấn công mạng LAN
Ngoài ra, việc giám sát liên tục, phát hiện sớm các hoạt động bất thường và triển khai các giải pháp ngăn chặn là chìa khóa để bảo vệ mạng LAN Sự hợp tác chặt chẽ giữa các chuyên gia ngành an toàn thông tin và các bộ phận khác trong tổ chức cũng là yếu tố quan trọng để nhanh chóng phản ứng với các mối đe dọa mạng
Bài nghiên cứu này sẽ tìm hiểu chi tiết về các loại tấn công mạng LAN phổ biến vàcung cấp gợi ý về cách triển khai biện pháp phòng chống hiệu quả để bảo vệ mạng LAN khỏi những rủi ro an ninh ngày càng cao
Trang 5LỜI CẢM ƠN
Trong quá trình thực hiện bài nghiên cứu này, chúng em xin bày tỏ lòng biết ơn sâu sắc đến thầy Nguyễn Hoàng Chiến – người đã đóng góp quan trọng và không ngừng
hỗ trợ chúng em từ khi bắt đầu đến khi hoàn thành đề tài này
Bằng sự kiên nhẫn và sự nhiệt huyết của thầy đã giúp chúng em vượt qua những vấn đề còn vướng mắc trong quá trình nghiên cứu Bằng sự am hiểu và kinh nghiệm giàu
có Thầy đã đưa ra những góp ý quý báu và những nguồn tài liệu, giúp chúng em hoàn thiện hơn trong từng khía cạnh của công việc
Chúng em rất trân trọng những lời khuyên sáng tạo và chi tiết của thầy, giúp chúng
em mở rộng hiểu biết về môn học nói chung và đề tài nghiên cứu nói riêng Với sự hỗ trợ của thầy đã tạo nên nguồn động viên lớn lao, giúp chúng em duy trì tinh thần lạc quan và kiên trì trong việc nghiên cứu
Một lần nữa, chúng em xin chân thành cảm ơn sự đóng góp của thầy Nguyễn Hoàng Chiến, người đã luôn giúp đỡ chúng em trong bài nghiên cứu này
Trang 6- Mục đích của mạng cục bộ:
+ Liên lạc với nhau
+ Chia sẻ thông tin
+ Chia sẻ tài nguyên
1.1.2 Lịch sử phát triển của mạng cục bộ
Vào những năm 80, cùng với sự xuất hiện của PC, người sử dụng thấy rằng họ có thể thỏa mãn một phần lớn nhu cầu tính toán của họ mà không cần tới máy tính lớn Việc tính toán và xử lý độc lập ngày càng phát triển vàvai trò xử lý tập trung ngày càng giảm dần
Trong vòng 15 năm qua, LAN đã trở thành một công cụ có ý nghĩa chiến lược trong hoạt động của hầu như mọi tổ chức, nhất là các doanh nghiệp
Sau đó, LAN và các tiêu chuẩn cho phép nối các PC khác nhau để cùng hoạt động vì lợi ích chung đã xuất hiện
- LAN thế hệ thứ nhất:
LAN thế hệ thứ nhất nối các máy để bàn với nhau để chia sẻ tài nguyên Tiếp theo đó, các LAN được nối với nhau để tạo thành liên mạng bằng cách sử dụng Hub, Bridge hoặc Router
Mạng doanh nghiệp với các chi nhánh ở xa nhau được hình thành thông qua việc sử dụng Router với các đường xa có tốc độ 64 Kbps, các đường truyền này có thể là Leased Line (đường thuê riêng) hoặc X.25
Các mạng LAN đều là loại sử dụng chung môi trường truyền, có nghĩa là một đường cáp duy nhất được dùng để truyền dữ liệu giữa các máy tính
- LAN thế hệ thứ hai:
Thế hệ này được đặc trưng bởi công nghệ chuyển mạch và đa dịch
vụ (Multimedia) trước đây được hiểu là các phương tiện truyền dẫn khác
Trang 7nhau như cáp đồng xoắn, cáp đồng trục, cáp quang Gần đây, multimedia mới được hiểu là đa dịch vụ: dữ liệu, thoại và hình ảnh.
Vấn đề khó khăn ngày nay là làm cách nào để nâng cấp mạng thế hệ thứ nhất lên mạng thế hệ thứ hai khi mà các ứng dụng mới và sự phát triển của mạng yêu cầu điều đó
1.1.3 Những thiết bị cấu thành và các mô hình thực thi
1.1.3.1 Những thiết bị cấu thành
- Modem (Bộ điều chế và giải điều chế)
Modem (Modulation/ Demodulation) là thiết bị có chức năng chuyểnđổi tín hiệu số thành tín hiệu tương tự và ngược lại (Digital <- - -> Analog)
để kết nối các máy tính qua đường điện thoại
Hình 1.1 Modem và việc kết nối với các thiết bị khác
- Multiplexor (Bộ phân kênh)
Multiplexor là thiết bị có chức năng tổ hợp một tín hiệu để chúng cóthể được truyền với nhau và sau đó khi nhận lại được tách ra trở lại các tínhiệu gốc (chức năng phục hồi lại các tín hiệu gốc như thế gọi là phân kênh)
Trang 8Hình 1.2 Dồn kênh và phân tín hiệu
- Bộ lặp tín hiệu (Repeater)
Repeater là loại thiết bị phần cứng đơn giản nhất trong các thiết bị liên kết mạng, nó được hoạt động trong tầng vật lý của mô hình OSI Khi Repeater nhận được một tín hiệu từ một phía của mạng thì nó sẽ phát tiếp vào phía kia của mạng
Hình 1.3 Mô hình liên kết mạng sử dụng Repeater
Trang 9- Bộ tập trung (Hub)
Hub là bộ chia (hay cũng được gọi là Bộ tập trung – Concentrator) làmột trong những yếu tố quan trọng nhất của LAN, đây là điểm kết nối dâytrung tâm của mạng, tất cả các trạm trên mạng LAN được kết nối thông quaHub
Hình 1.4 Đầu nối mạng qua Hub
- Bộ chuyển mạch (Switch)
Bộ chuyển mạch là sự tiến hoá của cầu (Bridge), nhưng có nhiều cổng
và dùng các mạch tích hợp nhanh để giảm độ trễ của việc chuyển khung dữliệu Switch giữa bảng địa chỉ MAC của mỗi cổng và thực hiện giao thứcSpanning Tree Switch cũng hoạt động ở tầng Data Link và trong suốt với cácgiao thức ở tầng trên
Hình 1.5 Bộ chuyển mạch (Switch)
- Cầu nối (Bridge)
Bridge là một thiết bị có xử lý dùng để nối hai mạng giống nhau hoặckhác nhau, nó có thể được dùng với các mạng có các giao thức khác nhau
Trang 10Hình 1.6 Cầu (Bridge)
- Bộ định tuyến (Router).
Router là một thiết bị hoạt động trên tầng mạng, nó có thể tìm đượcđường đi tốt nhất cho các gói tin qua nhiều kết nối để đi từ trạm gửi thuộcmạng đầu đến trạm nhận thuộc mạng cuối Router có thể được sử dụng trongviệc nối nhiều mạng với nhau và cho phép các gói tin có thể đi theo nhiềuđường khác nhau để tới đích
Hình 1.7 Router trong việc kết nối mạng
Trang 11Hình 1.8 Kết nối mạng sử dụng Brouter
- Bộ chuyển mạch có định tuyến (Layer 3 Switch).
Switch L3 có thể chạy giao thức định tuyến ở tầng mạng, tầng 3 của
mô hình 7 tầng OSI Switch L3 có thể có các cổng WAN để nối các LAN ởkhoảng cách xa Thực chất nó được bổ sung thêm tính năng của Router
Hình 1.9 Lay 3 Switch
1.1.3.2 Các mô hình thực thi
a Mạng dạng hình sao (Star Topology)
Mạng dạng hình sao bao gồm một bộ kết nối trung tâm và các nút Cácnút này là các trạm đầu cuối, các máy tính và các thiết bị khác của mạng Bộkết nối trung tâm của mạng điều phối mọi hoạt động trong mạng [1]
Mạng dạng hình sao cho phép nối các máy tính vào một bộ tập trung(Hub) bằng cáp, giải pháp này cho phép nối trực tiếp máy tính với Hub không
Trang 12Hình 1.10 Cấu trúc mạng hình sao
Mô hình kết nối hình sao ngày nay đã trở nên hết sức phổ biến Với việc
sử dụng các bộ tập trung hoặc chuyển mạch, cấu trúc hình sao có thể được mởrộng bằng cách tổ chức nhiều mức phân cấp, do vậy dễ dàng trong việc quản lý
và vận hành
- Các ưu điểm của mạng hình sao:
+ Hoạt động theo nguyên lý nối song song nên nếu có một thiết bị nào
đó ở một nút thông tin bị hỏng thì mạng vẫn hoạt động bình thường
+ Cấu trúc mạng đơn giản và các thuật toán điều khiển ổn định
+ Mạng có thể dễ dàng mở rộng hoặc thu hẹp
- Những nhược điểm của mạng dạng hình sao:
+ Khả nǎng mở rộng mạng hoàn toàn phụ thuộc vào khả nǎng của trung tâm
+ Khi trung tâm có sự cố thì toàn mạng ngừng hoạt động
+ Mạng yêu cầu nối độc lập riêng rẽ từng thiết bị ở các nút thông tin đến trung tâm Khoảng cách từ máy đến trung tâm rất hạn chế (100 m)
b Mạng hình tuyến (Bus Topology)
Thực hiện theo cách bố trí hành lang, các máy tính và các thiết bị khác các nút, đều được nối về với nhau trên một trục đường dây cáp chính đểchuyển tải tín hiệu Tất cả các nút đều sử dụng chung đường dây cáp chínhnày Phía hai đầu dây cáp được bịt bởi một thiết bị gọi là Terminator Các tínhiệu và dữ liệu khi truyền đi trên dây cáp đều mang theo điạ chỉ của nơi đến.[1]
Trang 13-Hình 1.11 Cấu trúc mạng hình tuyến.
- Ưu điểm: Loại hình mạng này dùng dây cáp ít nhất, dễ lắp đặt, giáthành rẻ
- Nhược điểm:
+ Sự ùn tắc giao thông khi di chuyển dữ liệu với lưu lượng lớn
+ Khi có sự hỏng hóc ở đoạn nào đó thì rất khó phát hiện, một sựngừng trên đường dây để sửa chữa sẽ ngừng toàn bộ hệ thống Cấu trúc nàyngày nay ít được sử dụng
c Mạng dạng vòng (Ring Topology)
Mạng dạng này, bố trí theo dạng xoay vòng, đường dây cáp được thiết kếlàm thành một vòng khép kín, tín hiệu chạy quanh theo một chiều nào đó Cácnút truyền tín hiệu cho nhau mỗi thời điểm chỉ được một nút mà thôi Dữ liệutruyền đi phải có kèm theo địa chỉ cụ thể của mỗi trạm tiếp nhận [1]
- Ưu điểm:
+ Mạng dạng vòng có thuận lợi là có thể nới rộng ra xa, tổng đườngdây cần thiết ít hơn so với hai kiểu trên
+ Mỗi trạm có thể đạt được tốc độ tối đa khi truy nhập
- Nhược điểm: Đường dây phải khép kín, nếu bị ngắt ở một nơi nào đó thìtoàn bộ hệ thống cũng bị ngừng
Trang 14Hình 1.12 Cấu trúc mạng dạng vòng.
d Mạng dạng kết hợp
- Kết hợp hình sao và tuyến (Star/Bus Topology):
Cấu hình mạng dạng này có bộ phận tách tín hiệu (Spitter) giữ vai tròthiết bị trung tâm, hệ thống dây cáp mạng có thể chọn hoặc Ring Topologyhoặc Linear Bus Topology
Lợi điểm của cấu hình này là mạng có thể gồm nhiều nhóm làm việc ởcách xa nhau, ARCNet là mạng dạng kết hợp Star/Bus Topology Cấu hìnhdạng này đem lại sự uyển chuyển trong việc bố trí đường dây, tương thích dễdàng đối với bất cứ toà nhà nào
- Kết hợp hình sao và vòng (Star/Ring Topology):
Cấu hình dạng kết hợp Star/Ring Topology, có một "thẻ bài" liên lạc(Token) được chuyển vòng quanh một cái Hub trung tâm Mỗi trạm làm việc(Workstation) được nối với Hub - là cầu nối giữa các trạm làm việc và để tǎngkhoảng cách cần thiết
1.2 Công nghệ Ethernet
1.2.1 Khái niệm công nghệ Ethernet
Ethernet là công nghệ khu vực nội bộ được sử dụng để kết nối các thiết bị
ở khoảng cách gần, được vận hành chỉ trong một toà nhà Ở mức tối đa
,người ta có thể sử dụng hàng trăm mét để kết nối các thiết bị Ethernet Nhưng
để kết nối các thiết bị ở khoảng cách địa lý xa thì không thể Ngày nay, nhờnhững tiến bộ về mặt công nghệ, người ta có thể xem xét lại trở ngại về mặtđịa lý này, cho phép mạng lưới Ethernet mở rộng đến hàng chục kilomet
Trang 151.2.2 Lịch sử phát triển của công nghệ Ethernet
- Năm 1972:
+ Thí nghiệm về hệ thống đầu tiên được thực hiện tại Xerox PARC ( Palo Alto Research Center )
+ Hệ thống mạng truyền 2,94Mbps dựa trên Ethernet
- Năm 1979: Xây dựng chuẩn Ethernet II, tốc độ 10Mbps
- Năm1981:
+ Chuẩn IEEE 802.3 được chính thức được sử dụng
+ Digital Equipment, Intel, và Xerox cùng phát triển và đưa ra phiên bản Ethernet Version 2.0, Ethernet II => chuẩn quốc tế
- Năm 1995: Được IEEE chuẩn hóa thành Fast Ethernet
1.2.3 Các đặc tính chung của Ethernet
1.2.3.1 Cấu trúc khung tin Ethernet
Các chuẩn Ethernet đều hoạt động ở tầng Data Link trong mô hình 7 lớp OSI vì thế đơn vị dữ liệu mà các trạm trao đổi với nhau là các khung (Frame).Cấu trúc khung tin Ethernet như sau:
Hình 1.13 Cấu trúc khung tin Ethernet.
- Các trường quan trọng trong phần mào đầu sẽ được mô tả dưới đây:+ Preamble: Trường này đánh dấu sự xuất hiện của khung bit, nó luônmang giá trị 10101010 Từ nhóm bit này, phía nhận có thể tạo ra xung đồng hồ
Trang 16cách tương tự Nếu hai kết quả trùng nhau, khung được xem là nhận đúng,ngược lại khung coi như là lỗi và bị loại bỏ.
1.2.3.2 Cấu trúc địa chỉ Ethernet
Mỗi giao tiếp mạng Ethernet được định danh duy nhất bởi 48 bit địa chỉ(6 Octet) Đây là địa chỉ được ấn định khi sản xuất thiết bị, gọi là địa chỉ MAC( Media Access Control Address ) Địa chỉ MAC được biểu diễn bởi các chữ sốHexa ( hệ cơ số 16 )
Ví dụ: 00:60:97:8F:4F:86 hoặc 00-60-97-8F-4F-86
- Khuôn dạng địa chỉ MAC được chia làm 2 phần:
+ 3 Octet đầu xác định hãng sản xuất, chịu sự quản lý của tổ chứcIEEE
+ 3 Octet sau do nhà sản xuất ấn định Kết hợp ta sẽ có một địa chỉMAC duy nhất cho một giao tiếp mạng Ethernet
Địa chỉ MAC được sử dụng làm địa chỉ nguồn và địa chỉ đích trongkhung Ethernet
1.2.3.3 Các loại khung Ethernet
- Các khung Unicast
Giả sử trạm 1 cần truyền khung tới trạm 2 Khung Ethernet do trạm 1tạo ra có địa chỉ: MAC nguồn: 00-60-08-93-DB-C1, MAC đích : 00-60-08-93-AB-12
Đây là khung Unicast Khung này được truyền tới một trạm xác định.Tất cả các trạm trong phân đoạn mạng trên sẽ đều nhận được khung này,nhưng:
+ Chỉ có trạm 2 thấy địa chỉ MAC đích của khung trùng với địa chỉMAC của giao tiếp mạng của mình nên tiếp tục xử lý các thông tin khác trongkhung
+ Các trạm khác sau khi so sánh địa chỉ sẽ bỏ qua không tiếp tục xử lýkhung nữa
- Các khung Broadcast
Các khung Broadcast có địa chỉ MAC đích là FF-FF-FF-FF-FF-FF (48bit 1) Khi nhận được các khung này, mặc dù không trùng với địa chỉ MACcủa giao tiếp mạng của mình nhưng các trạm đều phải nhận khung và tiếp tục
xử lý Giao thức ARP sử dụng các khung Broadcast này để tìm địa chỉ MACtương ứng với một địa chỉ IP cho trước
Một số giao thức định tuyến cũng sử dụng các khung Broadcast để cácRouter trao đổi bảng định tuyến
- Các khung Multicast
Trang 17Trạm nguồn gửi khung tới một số trạm nhất định chứ không phải là tất
cả Địa chỉ MAC đích của khung là địa chỉ đặc biệt mà chỉ các trạm trong cùngnhóm mới chấp nhận các khung gửi tới địa chỉ này
1.2.3.4 Hoạt động của Ethernet
- Phương thức điều khiển truy nhập CSMA/CD quy định hoạt động của
hệ thống Ethernet Một số khái niệm cơ bản liên quan đến quá trình truyềnkhung Ethernet:
+ Khi tín hiệu đang được truyền trên kênh truyền, kênh truyền lúc nàybận và ta gọi trạng thái này là có sóng mang – Carrier
+ Khi đường truyền rỗi: không có sóng mang – Absence Carrier
+ Nếu hai trạm cùng truyền khung đồng thời thì chúng sẽ phát hiện ra
sự xung đột và phải thực hiện lại quá trình truyền khung
+ Khoảng thời gian để một giao tiếp mạng khôi phục lại sau mỗi lầnnhận khung được gọi là khoảng trống liên khung (InterFrame Gap) – ký hiệuIFG Giá trị của IFG bằng 96 lần thời gian của một bit
Trang 181.3 Các kỹ thuật chuyển mạch trong mạng LAN
1.3.1 Khái niệm về chuyển mạch
Chuyển mạch là một quá trình thực hiện đấu nối và chuyển thông tin chongười sử dụng thông qua hạ tầng mạng viễn thông Nói cách khác, chuyểnmạch trong mạng viễn thông bao gồm chức năng định tuyến cho thông tin vàchức năng chuyển tiếp thông tin
1.3.2 Lịch sử phát triển của hệ thống chuyển mạch
Vào khoảng thập niên 60 của thế kỷ 20, xuất hiện sản phẩm tổng đài điện
tử số là sự kết hợp giữa công nghệ điện tử với kỹ thuật máy tính Trong nhữngnăm 70 hàng loạt các tổng đài thương mại điện tử số ra đời
Khoảng năm 1996 khi mạng Internet trở thành bùng nổ trong thế giớicông nghệ thông tin, nó đã tác động mạnh mẽ đến công nghiệp viễn thông và
xu hướng hội tụ các mạng máy tính, truyền thông, điều khiển Hạ tầng mạngviễn thông đã trở thành tâm điểm quan tâm trong vai trò hạ tầng xã hội Mộtmạng có thể truyền băng rộng với các loại hình dịch vụ thoại và phi thoại, tốc
độ cao và đảm bảo được chất lượng dịch vụ QoS (Quality Of Service) đã trởthành cấp thiết trên nền tảng của một kỹ thuật mới: Kỹ thuật truyền tải khôngđồng bộ ATM (Asynchronous Transfer Mode)
Sự tăng trưởng của các dịch vụ truy nhập đã tạo nên sức ép và đặt ra 3vấn đề chính đối với hệ thống chuyển mạch băng rộng đa dịch vụ: Truy nhậpbăng thông rộng, sự thông minh của thiết bị biên và truyền dẫn tốc độ cao tạimạng lõi
Các hệ thống chuyển mạch phải có độ mềm dẻo lớn nhằm tương thích vàđáp ứng các yêu cầu tăng trưởng lưu lượng từ phía khách hàng Vì vậy, cơ chếđiều khiển các hệ thống chuyển mạch đã được phát triển theo hướng phân lớp
và module hóa nhằm nâng cao hiệu năng chuyển mạch và đảm bảo QoS từ đầucuối tới đầu cuối
1.3.3 Các chế độ chuyển mạch trong LAN
1.3.3.1 Chuyển mạch lưu và chuyển ( Store and Forward Switching )
Các bộ chuyển mạch lưu và chuyển hoạt động như cầu nối
Trước hết, khi có khung tin gửi tới, bộ chuyển mạch sẽ nhận toàn bộkhung tin, kiểm tra tính toàn vẹn dữ liệu của khung tin, sau đó mới chuyển tiếpkhung tin tới cổng cần chuyển Khung tin trước hết phải được lưu lại để kiểmtra tính toàn vẹn do đó sẽ có một độ trễ nhất định từ khi dữ liệu được nhận tớikhi dữ liệu được chuyển đi
Với chế độ chuyển mạch này, các khung tin đảm bảo tính toàn vẹn mớiđược chuyển mạch, các khung tin lỗi sẽ không được chuyển từ phân đoạnmạng này sang phân đoạn mạng khác
Trang 191.3.3.2 Chuyển mạch ngay (Cut-through Switching)
Các bộ chuyển mạch ngay hoạt động nhanh hơn so với các bộ chuyểnmạch lưu và chuyển
Bộ chuyển mạch đọc địa chỉ đích ở phần đầu khung tin rồi chuyển ngaykhung tin tới cổng tương ứng mà không cần kiểm tra tính toàn vẹn Khung tinđược chuyển ngay thậm chí trước khi bộ chuyển mạch nhận đủ dòng bit dữliệu Khung tin đi ra khỏi bộ chuyển mạch trước khi nó được nhận đủ
Các bộ chuyển mạch đời mới có khả năng giám sát các cổng của nó vàquyết định sẽ sử dụng phương pháp nào thích hợp nhất Chúng có thể tự độngchuyển từ phương pháp chuyển ngay sang phương pháp lưu và chuyển nếu sốlỗi trên cổng vượt quá một ngưỡng xác định
Trang 20CHƯƠNG 2 TẤN CÔNG MẠNG CỤC BỘ VÀ GIẢI PHÁP PHÒNG
CHỐNG2.1 Tổng quan về an ninh mạng
2.1.1 Khái niệm về an ninh mạng
Vậy an toàn mạng có nghĩa là bảo vệ hệ thống mạng, máy tính khỏi sựphá hoại phần cứng hay chỉnh sửa dữ liệu (phần mềm) mà không được sự chophép từ những người cố ý hay vô tình An toàn mạng cung cấp giải pháp, chínhsách, bảo vệ máy tính, hệ thống mạng để làm cho những người dùng trái phép,cũng như các phần mềm chứa mã độc xâm nhập bất hợp pháp vào máy tính, hệthống mạng
- Tầm quan trọng của an ninh mạng:
Trong một doanh nghiệp hay một tổ chức nào đó, thì phải có các yếu tốcần được bảo vệ như:
+ Dữ liệu
+Tài nguyên: con người, hệ thống và đường truyền
+ Danh tiếng của công ty
Nếu không đặt vấn đề an toàn thông tin lên hàng đầu thì khi gặp phải
sự cố thì tác hại đến doanh nghiệp không nhỏ:
+ Tốn kém chi phí
+ Tốn kém thời gian
+ Ảnh hưởng đến tài nguyên hệ thống
+ Ảnh hưởng đến danh dự, uy tín của doanh nghiệp
+ Mất cơ hội kinh doanh
2.1.2 Hacker và ảnh hưởng của việc hack
- Hacker họ là ai?
Là một người thông minh với kỹ năng máy tính xuất sắc, có khả năngtạo ra hay khám phá các phần mềm và phần cứng của máy tính Đối với một sốhacker, hack là một sở thích để chứng tỏ họ có thể tấn công rất nhiều máy tính
Trang 21Mục đích của họ có thể là tìm hiểu kiến thức hoặc phá hoại bất hợppháp Một số mục đích xấu của hacker như đánh cắp dữ liệu kinh doanh, thôngtin thẻ tín dụng, sổ bảo hiểm xã hội, mật khẩu, email…
- Các loại hacker:
+ Black Hats: là người có kỹ năng tính toán xuất sắc, sử dụng thành
thạo các công cụ và máy tính, có các hoạt động phá hoại, ví dụ như crackers
+ White Hats: người biết nhiều kỹ năng của hacker, và sử dụng chúng cho mục đích phòng thủ, ví dụ như là chuyên gia phân tích an ninh mạng
+ Gray Hats: là người làm cả 2 việc, tấn công và phòng thủ ở những thời điểm khác nhau
+ Suicide Hackers: người tấn công các cơ sở hạ tầng quan trọng mà không quan tâm đến phải chịu 30 năm tù vì các hành vi của mình
- Ảnh hưởng của việc hack:
Theo công ty nghiên cứu an ninh quốc gia Symantec, các cuộc tấn côngcủa hacker gây thiệt hại cho các doanh nghiệp lớn khoảng 2,2 triệu $ mỗi năm.Hành vi trộm cắp thông tin cá nhân của khách hàng có thể làm giảm danh tiếngcủa doanh nghiệp dẫn tới các vụ kiện Hack có thể làm 1 công ty bị phá sản.Botnet có thể được sử dụng để khởi động các loại Dos và các cuộc tấn côngdựa trên web khác dẫn đến các doanh nghiệp bị giảm doanh thu Kẻ tấn công
có thể ăn cắp bí mật công ty, thông tin tài chính, hợp đồng quan trọng và bánchúng cho các đối thủ cạnh tranh
2.1.3 Các giai đoạn tấn công
Hình 2.1 Các giai đoạn tấn công
- Thăm dò (Reconnaissace)
Thăm dò mục tiêu là một trong những bước qua trọng để biết những
Trang 22thống mục tiêu đang chạy trên hệ điều hành nào, có bao nhiêu dịch vụ
Trang 23đang chạy trên các dịch vụ đó, cổng dịch vụ nào đang đóng và cổng nào đang
- Chiếm quyền điều khiển (Gainning access)
Đến đây hacker đã bắt đầu dần dần xâm nhập được hệ thống và tấncông nó, đã truy cập được nó bằng các lệnh khai thác Các lệnh khai thác luôn
ở bất cứ không gian nào, từ mạng LAN cho tới INTERNET
- Duy trì điều khiển hệ thống (Maitaining access)
Đến đây hacker bắt đầu phá hỏng làm hại,hoặc có thể cài trojan,rootkit, backdoor để lấy thông tin thêm Thường được thấy sử dụng để đánhcắp tài khoản tín dụng, ngân hàng
- Xoá dấu vết (Clearning tracks)
Được đề cập đến hoạt động được thực hiện bằng cách hacker cố tìnhche dấu hành động xâm nhập của mình Hacker phải tìm cách xóa đi dấu vếtmỗi khi đột nhập bằng các phương thức như Steganography, tunneling, andaltering log file
2.1.4 Các loại tấn công mạng
- Tấn công hệ điều hành:
Những kẻ tấn công tìm kiếm các lỗ hổng hệ thống và khai thác chúng
để được truy cập vào một hệ thống mạng Một số lỗi hệ điều hành như
+ Tràn bộ đệm
+ Lỗi trong hệ điều hành
+ Hệ thống chưa được vá hệ điều hành
- Tấn công cấu hình sai:
Các thông tin cấu hình của hệ thống bị chỉnh sửa, cấu hình sai bởingười quản trị hoặc bị nhiễm virus, giúp hacker tận dụng những lỗ hổng này đểkhai thác và xâm nhập vào hệ thống như chỉnh sửa sai DNS, thông tin cấu hìnhip…
Trang 24- Tấn công cấp độ ứng dụng:Phần mềm ứng dụng đi kèm với nhiều chức năng
và cả tính năng, nhưng chưa kiểm tra lỗi kỹ dẫn đến lỗ hổng để hacker khaithác
2.1.5 Các đối tượng có thể bị tấn công trong LAN và các hình thức tấn công phổ biến
Như vậy chúng ta có thể thấy được 1 mạng LAN có thể sẽ bị tấn công từbên trong mạng và bên ngoài mạng ở đây em chỉ xin giới thiệu hình thức tấncông từ bên trong mạng Các đối tượng có thể bị tấn công:
- Máy chủ: Đây là đích của rất nhiều hacker bởi máy chủ là vô cùng
quan trọng trong một mạng
- Thiết bị mạng: Các thiết bị mạng như switch, router hay modem cũng
có thể bị tấn công
- Client: Các máy tính client cũng có thể bị tấn công để lợi dụng cho
hacker thực hiện 1 mục đích nào đó
Mạng LAN có thể bị tấn công bởi các hình thức sau :
- Tấn công từ chối dịch vụ (DOS/DDOS):
+ Tấn công từ chối dịch vụ Dos (Denial Of Service): là kiểu tấncông mà một người làm cho một hệ thống không thể sử dụng, hoặc làm cho hệthống đó chậm đi một cách đáng kể với người dùng bình thường, bằng cáchlàm quá tải tài nguyên của hệ thống
+ Tấn công từ chối dịch vụ phân tán DDOS (Distributed Denial
Of Service): là kiểu tấn công làm hệ thống máy tính hay hệ thống mạng quátải, không thể cung cấp dịch vụ hoặc phải dừng hoạt động, song từ nhiềunguồn tấn công khác nhau, phân tán trên mạng Trong các cuộc tấn côngDDoS, máy chủ dịch vụ sẽ bị “ngập” bởi hàng loạt các lệnh truy cập từ lượngkết nối khổng lồ từ nhiều máy tấn công ở nhiều nơi Khi số lệnh truy cập quálớn, máy chủ sẽ quá tải và không có khả năng xử lý các yêu cầu Hậu quả làngười dùng không thể truy cập vào các dịch vụ trên các trang web bị tấn côngDDoS là DDoS sử dụng một mạng lưới tấn công rộng khắp, gồm nhiều máytấn công nằm rải rác trên mạng
- Man-in-the-Middle (MITM) là hình thức tấn công mà kẻ tấn công(attacker) nằm vùng trên đường kết nối (mạng LAN) với vai trò là máy trunggian trong việc trao đổi thông tin giữa hai máy tính, hai thiết bị, hay giữa mộtmáy tính và server, nhằm nghe trộm, thông dịch dữ liệu nhạy cảm, đánh cắpthông tin hoặc thay đổi luồng dữ liệu trao đổi giữa các nạn nhân
- Sniffer (Nghe lén): Sniffer được hiểu đơn giản như là một chươngtrình cố gắng nghe ngóng các lưu lượng thông tin trên (trong một hệ thốngmạng) Tương tự như là thiết bị cho phép nghe lén trên đường dây điện thoại.Chỉ khác nhau ở môi trường là các chương trình Sniffer thực hiện nghe lén
Trang 25phòng chống
2.1.6 Kiểu tấn công ARP poisoning
- Đối tượng tấn công: Switch
- Kiểu tấn công: Man-in-the-Middle (MITM)
- Thế nào là tấn công ARP poisoning : Là kiểu tấn công mà trong đóhackers nghe giao thông trong mạng rồi sử dụng các gói tin ARP request đượcgửi liên tục nhằm giả địa chỉ MAC để xem liên lạc giữa các máy tính trongmạng
2.1.6.1 Các kiến thức liên quan
- ARP (address resolution protocol) là giao thức xác định địa chỉ nguồncho địa chỉ phần cứng, mỗi NIC đều có 1 địa chỉ phần cứng
- ARP được dùng để xác định xem khi 1 gói tin được gửi ra ngoài đượcgửi đến 1 máy tính có địa chỉ IP là x1.x2.x3.x4 thì địa chỉ MAC của nó là gì.Trong mạng LAN thường địa chỉ IP và địa chỉ MAC sẽ là của cùng 1 máyngoại trừ router
- Giao thức ARP nằmg ở giữa tầng 2 và 3
Hình 2.2 Vị trí của ARP
Trang 26Hình 2.3 Cách thức hoạt động của ARP
- Bước 1:
+ Máy A muốn tìm địa chỉ IP của máy B có địa chỉ IP là x1.x2.x3.x4,máy A gửi 1 gói tin broadcast (gói tin mang địa chỉ IP và MAC của máy A yêucầu tìm địa chỉ MAC của máy có địa chỉ IP là x1.x2.x3.x4) đến switch Vì làbản tin broadcast lên switch sẽ gửi nó đến toàn bộ các máy tính trong mạngngoại trừ máy A Các máy tính trong mạng so sánh địa chỉ IP từ gói tin nónhận được nếu không trùng với IP của mình thì nó sẽ hủy bỏ gói tin này, nếutrùng nó tiến hành tiếp bước 2
- Bước 2:
+ Tại máy B sau khi nhận được bản tin broadcast thấy địa chỉ IP củagói tin trùng với địa chỉ của mình nó trả lời bằng 1 gói tin unicast đến máy A.Bản tin này mang thông tin trả lời chứa địa chỉ MAC của nó Máy A nhận tinnày và lưu địa chỉ MAC của máy B vào ARP cache của mình