Nghiên cứu số giải pháp bảo đảm an ninh mạng, thử nghiệm áp dụng cho trung tâm tích hợp liệu tỉnh tuyên quang Biên tập bởi: Đinh Việt Hải Nghiên cứu số giải pháp bảo đảm an ninh mạng, thử nghiệm áp dụng cho trung tâm tích hợp liệu tỉnh tuyên quang Biên tập bởi: Đinh Việt Hải Phiên trực tuyến: http://voer.edu.vn/c/5ad3fdec MỤC LỤC Tổng quan an tồn hệ thống thơng tin Một số giải pháp nhằm đảm bảo an toàn an ninh mạng bảo mật liệu Tham gia đóng góp 1/17 Tổng quan an tồn hệ thống thơng tin Nguy đe doạ an ninh, an tồn thơng tin Nguy an tồn thơng tin nhiều nguyên nhân, đối tượng công đa dạng… Thiệt hại từ vụ công mạng lớn, đặc biệt thông tin thuộc lĩnh vực kinh tế, an ninh, quốc phịng… Do đó, việc xây dựng hàng rào kỹ thuật để ngăn chặn truy cập trái phép trở thành nhu cầu cấp bách hoạt động truyền thông Theo số liệu thống kê trạng bảo mật công bố Symantec, Việt Nam đứng thứ 11 toàn cầu hoạt động đe dọa công mạng Những xu hướng đe dọa bảo mật ngày gia tăng bật mà tổ chức Việt Nam cần quan tâm là: cơng có chủ đích cao cấp, mối đe dọa thiết bị di động, vụ công độc hại cắp liệu Thực tế, nguy an ninh anh toàn mạng máy tính cịn phát sinh từ bên Nguy an ninh từ bên xảy thường lớn nhiều, nguyên nhân người sử dụng có quyền truy nhập hệ thống nắm điểm yếu hệ thống hay vơ tình tạo hội cho đối tượng khác xâm nhập hệ thống Tóm lại, phát triển khơng ngừng lĩnh vực công nghệ thông tin tạo điều kiện thuận lợi cho mặt đời sống xã hội, bên cạnh mặt thuận lợi, có nhiều nguy an tồn, bảo mật thơng tin liệu Hệ thống máy tính ln bị đe dọa nguy an tồn Một cơng việc để bảo vệ hệ thống giúp hệ thống tránh khỏi nguy Có loại mối đe dọa an tồn: Chặn bắt (Interception): thành phần khơng phép truy cập đến dịch vụ hay liệu, “nghe trộm” thông tin truyền Đứt đoạn (Interruption): mối đe dọa mà làm cho dịch vụ hay liệu bị mát, bị hỏng, dùng nữa… Thay đổi (Modification): tượng thay đổi liệu hay can thiệp vào dịch vụ làm cho chúng khơng cịn giữ đặc tính ban đầu Giả mạo(Fabrication): tượng thêm vào liệu ban đầu liệu hay hoạt động đặc biệt mà nhận biết để ăn cắp liệu hệ thống 2/17 Những vấn đề đảm bảo an ninh an tồn mạng Yếu tố phải nói đến liệu, thông tin lưu trữ hệ thống máy tính cần bảo vệ yêu cầu tính bảo mật, tính tồn vẹn hay tính kịp thời Thông thường yêu cầu bảo mật coi yêu cầu quan trọng thông tin lưu trữ mạng Tuy nhiên, thông tin khơng bí mật, u cầu tính tồn vẹn quan trọng Không cá nhân, tổ chức lãng phí tài nguyên vật chất thời gian để lưu trữ thông tin mà tính đắn thơng tin Yếu tố thứ hai tài nguyên hệ thống, sau kẻ công làm chủ hệ thống chúng sử dụng máy để chạy chương trình dị tìm mật để công vào hệ thống mạng Yếu tố thứ ba danh tiếng liệu bị đánh cắp việc nghi ngờ tổ chức điều khơng tránh khỏi, ảnh hưởng đến danh tiếng tổ chức nhiều Sau số phương thức bảo đảm an tồn, bảo mật thơng tin, liệu: Mật mã (Cryptography): việc thực chuyển đổi liệu theo quy tắc thành dạng mà kẻ công không nhận biết Xác thực (Authentication): thao tác để nhận dạng người dùng, nhận dạng client hay server… Ủy quyền (Authorization): việc phân định quyền hạn cho thành phần đăng nhập thành công vào hệ thống Quyền hạn quyền sử dụng dịch vụ, truy cập liệu… Kiểm toán (Auditing): phương pháp để xác định client truy cập đến liệu cách An toàn hệ thống an tồn liệu Đối tượng cơng mạng Là đối tượng sử dụng kỹ thuật mạng để dị tìm lỗ hổng bảo mật hệ thống để thực xâm nhập chiếm đoạt thông tin bất hợp pháp Các đối tượng công mạng: Hacker: Xâm nhập vào mạng trái phép cách sử dụng công cụ phá mật khai thác điểm yếu hệ thống 3/17 Masquerader: Giả mạo thông tin, địa IP, tên miền, định danh người dùng… Eavesdropping: Là đối tượng nghe trộm thông tin mạng để lấy cắp thông tin Các lỗ hổng bảo mật phương thức công mạng Là điểm yếu hệ thống mà dựa vào đối tượng cơng xâm nhập trái phép vào hệ thống Các loại lỗ hổng bảo mật: • Lỗ hổng loại C: Cho phép thực hình thức công theo kiểu DoS (Denial of Services – Từ chối dịch vụ) làm ảnh hưởng tới chất lượng dịch vụ, ngưng trệ, gián đoạn hệ thống, không phá hỏng liễu đoạt quyền truy cập hệ thống • Lỗ hổng loại B: Lỗ hổng cho phép người sử dụng có thêm quyền hệ thống mà khơng cần kiểm tra tính hợp lệ dẫn đến lộ, lọt thơng tin • Lỗ hổng loại A: Cho phép người ngồi hệ thống truy cập bất hợp pháp vào hệ thống, phá hủy tồn hệ thống Các hình thức cơng mạng phổ biến: • Tấn cơng trực tiếp: Sử dụng máy tính để cơng máy tính khác với mục đích dị tìm mật mã, tên tài khoản tương ứng, … Kẻ cơng sử dụng số chương trình giải mã để giải mã file chứa password hệ thống máy tính nạn nhân Do đó, mật ngắn đơn giản thường dễ bị phát • Kỹ thuật đánh lừa (Social Engineering): Đây thủ thuật nhiều hacker sử dụng cho công thâm nhập vào hệ thống mạng máy tính tính đơn giản mà hiệu Kỹ thuật thường sử dụng để lấy cắp mật khẩu, thông tin, công vào phá hủy hệ thống Ví dụ, kỹ thuật đánh lừa Fake Email Login • Kỹ thuật cơng vào vùng ẩn: Những phần bị dấu website thường chứa thông tin phiên làm việc client Các phiên làm việc thường ghi lại máy khách không tổ chức sở liệu máy chủ Vì vậy, người cơng sử dụng chiêu thức View Source trình duyệt để đọc phần đầu từ tìm sơ hở trang Web mà họ muốn cơng Từ đó, cơng vào hệ thống máy chủ • Tấn cơng vào lỗ hổng bảo mật: Hiện, lỗ hổng bảo mật phát nhiều hệ điều hành, web server hay phần mềm khác, Các hãng sản xuất cập nhật vá lỗ hổng đưa phiên sau vá lại lỗ hổng phiên trước Do đó, 4/17 • • • • • • người sử dụng phải cập nhật thơng tin nâng cấp phiên cũ mà sử dụng để tránh hacker lợi dụng điều cơng vào hệ thống Khai thác tình trạng tràn đệm: Tràn đệm tình trạng xảy liệu gửi nhiều so với khả xử lý hệ thống hay CPU Nếu hacker khai thác tình trạng tràn đệm họ làm cho hệ thống bị tê liệt làm cho hệ thống khả kiểm sốt Nghe trộm: Các hệ thống trao đổi thơng tin qua mạng không bảo mật tốt lợi dụng điều này, hacker truy cập vào data paths để nghe trộm đọc trộm luồng liệu truyền qua Hacker nghe trộm truyền đạt thông tin, liệu chuyển đến sniffing snooping Nó thu thập thông tin quan trọng hệ thống packet chứa password username Kỹ thuật giả mạo địa chỉ: Thơng thường, mạng máy tính nối với Internet bảo vệ tường lửa (fire wall) Tường lửa hiểu cổng mà người vào nhà hay phải qua bị “điểm mặt” Tường lửa hạn chế nhiều khả cơng từ bên ngồi gia tăng tin tưởng lẫn việc sử dụng tài nguyên chia sẻ mạng nội Sự giả mạo địa nghĩa người bên giả mạo địa máy tính máy tính hệ thống cần công Họ tự đặt địa IP máy tính trùng với địa IP máy tính mạng bị cơng Nếu làm điều này, hacker lấy liệu, phá hủy thông tin hay phá hoại hệ thống Kỹ thuật chèn mã lệnh:Một kỹ thuật công sử dụng cho số kỹ thuật công khác chèn mã lệnh vào trang web từ máy khách người công Kỹ thuật chèn mã lệnh cho phép người công đưa mã lệnh thực thi vào phiên làm việc web người dùng khác Khi mã lệnh chạy, cho phép người cơng thực nhiều hành vi giám sát phiên làm việc trang web tồn quyền điều khiển máy tính nạn nhân Kỹ thuật cơng thành công hay thất bại tùy thuộc vào khả linh hoạt người công Tấn công vào hệ thống có cấu hình khơng an tồn:Cấu hình khơng an tồn lỗ hổng bảo mật hệ thống Các lỗ hổng tạo ứng dụng có thiết lập khơng an tồn người quản trị hệ thống định cấu hình khơng an tồn Chẳng hạn cấu hình máy chủ web cho phép có quyền duyệt qua hệ thống thư mục Việc thiết lập làm lộ thông tin nhạy cảm mã nguồn, mật hay thông tin khách hàng Tấn công dùng Cookies:Cookie phần tử liệu nhỏ có cấu trúc chia sẻ website trình duyệt người dùng Cookies lưu trữ file liệu nhỏ dạng text (size 4KB) Chúng site tạo để lưu trữ, truy tìm, nhận biết thông tin người dùng ghé thăm site vùng mà họ qua site Những thơng tin bao gồm tên, định danh người dùng, mật khẩu, sở thích, thói quen, 5/17 • Can thiệp vào tham số URL: Đây cách công đưa tham số trực tiếp vào URL Việc cơng dùng câu lệnh SQL để khai thác sở liệu máy chủ bị lỗi Điển hình cho kỹ thuật công công lỗi “SQL INJECTION” Kiểu công gọn nhẹ hiệu người công cần công cụ công trình duyệt web backdoor • Vơ hiệu hóa dịch vụ: Kiểu cơng thơng thường làm tê liệt số dịch vụ, gọi DOS (Denial of Service - Tấn công từ chối dịch vụ) Các công lợi dụng số lỗi phần mềm hay lỗ hổng bảo mật hệ thống, hacker lệnh cho máy tính chúng gửi yêu cầu đến máy chủ ứng dụng, thường server mạng Các yêu cầu gởi đến liên tục làm cho hệ thống nghẽn mạch số dịch vụ không đáp ứng cho khách hàng thật • Một số kiểu công khác ◦ Lỗ hổng không cần login: Nếu ứng dụng không thiết kế chặt chẽ, không ràng buộc trình tự bước duyệt ứng dụng lỗ hổng bảo mật mà hacker lợi dụng để truy cập thẳng đến trang thông tin bên mà không cần phải qua bước đăng nhập ◦ Thay đổi liệu: Sau người công lấy liệu hệ thống đó, họ thay đổi liệu mà không quan tâm đến người gửi người nhận ◦ Password-base Attact: Thơng thường, hệ thống cấu hình có username password mặc định Sau cấu hình hệ thống, số admin không đổi lại thiết lập mặc định Đây lỗ hổng giúp người cơng thâm nhập vào hệ thống đường hợp pháp Khi đăng nhập vào, hacker tạo thêm user, cài backboor cho lần viếng thăm sau ◦ Identity Spoofing: Các hệ thống mạng sử dụng IP address để nhận biết tồn Vì địa IP quan tâm hàng đầu kẻ công Khi họ công vào hệ thống nào, họ biết địa IP hệ thống mạng Thơng thường, kẻ công giả mạo IP address để xâm nhập vào hệ thống cấu hình lại hệ thống, sửa đổi thơng tin, … Chính sách bảo mật Chính sách bảo mật tập hợp quy tắc áp dụng cho người tham gia quản trị mạng, có sử dụng tài nguyên dịch vụ mạng 6/17 Một số giải pháp nhằm đảm bảo an toàn an ninh mạng bảo mật liệu 2.1 Thực trạng an ninh an toàn mạng Trong hệ thống mạng, vấn đề an tồn bảo mật thơng tin đóng vai trị quan trọng An tồn thiết bị, an tồn liệu, tính bí mật, tin cậy (Condifidentislity), tính xác thực (Authentication), tính tồn vẹn (Integrity), khơng thể phủ nhận (Non repudiation), khả điều khiển truy nhập (Access Control), tính khả dụng, sẵn sàng (Availability) 2.2 Nghiên cứu số giải pháp đảm bảo an ninh mạng 2.2.1 Cơng nghệ tường lửa (FireWall) • Firewall mềm Đặc điểm: Là Firewall dạng phần mềm cài đặt Server Hình 2.2: Minh họa Firewall mềm Tính linh hoạt cao: Có thể thêm, bớt quy tắc, chức • Firewall cứng Đặc điểm: Là firewall tích hợp vào thiết bị phần cứng Hình 2.3: Minh họa Firewall cứng 2.2.2 Công nghệ phát ngăn chặn xâm nhập mạng IDS/IPS Hệ thống phát xâm nhập (Intrusion Detect System - IDS) Hệ thống phát xâm nhập cung cấp thêm cho việc bảo vệ thông tin mạng mức độ cao IDS cung cấp thông tin công vào hệ thống mạng Tuy nhiên IDS không tự động cấm ngăn chặn công 7/17 Hệ thống ngăn chặn xâm nhập (Intrusion Prevent System-IPS) Giải pháp ngăn ngừa xâm nhập nhằm mục đích bảo vệ tài nguyên, liệu mạng Chúng làm giảm bớt mối đe dọa công việc loại bỏ lưu lượng mạng bất hợp pháp, cho phép hoạt động hợp pháp tiếp tục IPS ngăn chặn công dạng sau: - Ứng dụng không mong muốn công kiểu “Trojan horse” nhằm vào mạng ứng dụng cá nhân, qua việc sử dụng nguyên tắc xác định danh sách kiểm sốt truy nhập - Các cơng từ chối dịch vụ “lụt” gói tin SYN ICMP việc dùng thuật toán dựa sở “ngưỡng” - Sự lạm dụng ứng dụng giao thức qua việc sử dụng qui tắc giao thức ứng dụng chữ kí - Những cơng tải hay lạm dụng ứng dụng việc sử dụng giới hạn tài nguyên dựa sở ngưỡng • Modul phân tích gói: Nhiệm vụ phân tích cấu trúc thơng tin gói tin Card giao tiếp mạng (NIC) máy giám sát đặt chế độ khơng phân loại, gói tin qua chúng chép chuyển lên lớp • Modul phát công: Modul quan trọng hệ thống, có khả phát cơng Có phương pháp phát cơng xâm nhập: - Dị tìm lạm dụng (Missuse Detection): Phương pháp phân tích hoạt động hệ thống, tìm kiếm dựa dấu hiệu cơng, tức kiện giống mẫu công biết Ưu điểm: phát công nhanh xác, khơng đưa cảnh báo sai làm giảm khả hoạt động mạng, giúp người quản trị xác định lỗ hổng bảo mật hệ thống Nhược điểm: Khơng phát cơng khơng có mẫu, cơng Do hệ thống phải ln cập nhật mẫu công Modul phản ứng: 8/17 Khi có dấu hiệu cơng xâm nhập modul phát cơng gửi tín hiệu thơng báo đến modul phản ứng Khi đó, modul phản ứng kích hoạt Firewall thực chức ngăn chặn công Tại đưa cảnh báo tới người quản trị dừng lại hệ thống gọi hệ thống phòng thủ bị động Một số kĩ thuật ngăn chặn: - Chấm dứt phiên làm việc (Terminate Session): Hệ thống IPS gửi gói tin reset thiết lập lại giao tiếp tới Client Server Kết giao tiếp bắt đầu lại cơng bị ngừng lại Nhược điểm: thời gian gửi gói tin reset chậm so với công; phương pháp không hiệu với giao thức hoạt động UDP DNS; gói reset phải có trường Sequence number server chấp nhận: Cảnh báo tức (Realtime Alerting), Tạo ghi log (Log packet) Ba modul hoạt động tạo nên IPS hoàn chỉnh IPS xem thành công chúng hội tụ yếu tố thực nhanh, xác, đưa thơng báo hợp lý, phân tích tồn thơng lượng, ngăn chặn thành cơng có sách quản lí mềm Những hạn chế IDS /IPS So với Firewall, IDS/ IPS thể nhiều tính ưu việt Nó khơng có khả phát cơng, mà cịn chống lại công cách hữu hiệu Tuy hệ thống hạn chế sau: Các sản phẩm IPS nhận biết trạng thái tầng ứng dụng (chỉ nhận biết dịng thơng tin tầng mạng) Do công tầng ứng dụng không bị phát ngăn chặn Hệ thống ngăn chặn xâm nhập (Intrusion Prevent System-IPS) Giải pháp ngăn ngừa xâm nhập nhằm mục đích bảo vệ tài nguyên, liệu mạng Chúng làm giảm bớt mối đe dọa công việc loại bỏ lưu lượng mạng bất hợp pháp, cho phép hoạt động hợp pháp tiếp tục IPS ngăn chặn công dạng sau: - Ứng dụng không mong muốn công kiểu “Trojan horse” nhằm vào mạng ứng dụng cá nhân, qua việc sử dụng nguyên tắc xác định danh sách kiểm soát truy nhập 9/17 - Các công từ chối dịch vụ “lụt” gói tin SYN ICMP việc dùng thuật toán dựa sở “ngưỡng” - Sự lạm dụng ứng dụng giao thức qua việc sử dụng qui tắc giao thức ứng dụng chữ kí - Những cơng q tải hay lạm dụng ứng dụng việc sử dụng giới hạn tài nguyên dựa sở ngưỡng • Modul phân tích gói: Nhiệm vụ phân tích cấu trúc thơng tin gói tin Card giao tiếp mạng (NIC) máy giám sát đặt chế độ không phân loại, gói tin qua chúng chép chuyển lên lớp • Modul phát cơng: Modul quan trọng hệ thống, có khả phát cơng Có phương pháp phát cơng xâm nhập: - Dị tìm lạm dụng (Missuse Detection): Phương pháp phân tích hoạt động hệ thống, tìm kiếm dựa dấu hiệu công, tức kiện giống mẫu công biết Ưu điểm: phát cơng nhanh xác, khơng đưa cảnh báo sai làm giảm khả hoạt động mạng, giúp người quản trị xác định lỗ hổng bảo mật hệ thống Nhược điểm: Không phát công mẫu, cơng Do hệ thống phải cập nhật mẫu công Modul phản ứng: Khi có dấu hiệu cơng xâm nhập modul phát cơng gửi tín hiệu thơng báo đến modul phản ứng Khi đó, modul phản ứng kích hoạt Firewall thực chức ngăn chặn công Tại đưa cảnh báo tới người quản trị dừng lại hệ thống gọi hệ thống phòng thủ bị động Một số kĩ thuật ngăn chặn: - Chấm dứt phiên làm việc (Terminate Session): Hệ thống IPS gửi gói tin reset thiết lập lại giao tiếp tới Client Server Kết giao tiếp bắt đầu lại công bị ngừng lại 10/17 Nhược điểm: thời gian gửi gói tin reset chậm so với công; phương pháp không hiệu với giao thức hoạt động UDP DNS; gói reset phải có trường Sequence number server chấp nhận: Cảnh báo tức (Realtime Alerting), Tạo ghi log (Log packet) Ba modul hoạt động tạo nên IPS hoàn chỉnh IPS xem thành công chúng hội tụ yếu tố thực nhanh, xác, đưa thơng báo hợp lý, phân tích tồn thơng lượng, ngăn chặn thành cơng có sách quản lí mềm Những hạn chế IDS /IPS So với Firewall, IDS/ IPS thể nhiều tính ưu việt Nó khơng có khả phát cơng, mà cịn chống lại công cách hữu hiệu Tuy hệ thống hạn chế sau: Các sản phẩm IPS nhận biết trạng thái tầng ứng dụng (chỉ nhận biết dịng thơng tin tầng mạng) Do công tầng ứng dụng không bị phát ngăn chặn Những hạn chế IDS /IPS So với Firewall, IDS/ IPS thể nhiều tính ưu việt Nó khơng có khả phát cơng, mà cịn chống lại cơng cách hữu hiệu Tuy hệ thống hạn chế sau: Các sản phẩm IPS nhận biết trạng thái tầng ứng dụng (chỉ nhận biết dịng thơng tin tầng mạng) Do công tầng ứng dụng không bị phát ngăn chặn 2.2.3 Công nghệ mạng LAN ảo (VLAN) VLAN mạng LAN ảo Về mặt kỹ thuật, VLAN miền quảng bá tạo switch Bình thường router đóng vai tạo miền quảng bá VLAN kỹ thuật kết hợp chuyển mạch lớp định tuyến lớp để giới hạn miền đụng độ miền quảng bá VLAN sử dụng để bảo mật nhóm VLAN theo chức nhóm • Khái niệm VLAN VLAN nhóm thiết bị mạng khơng giới hạn theo vị trí vật lý theo LAN switch mà chúng tham gia kết nối vào 11/17 VLAN segment mạng theo logic dựa chức năng, đội nhóm, ứng dụng tổ chức khơng phụ thuộc vào vị trí vật lý hay kết nối vật lý mạng Tất trạm server sử dụng nhóm làm việc đặt VLAN vị trí hay kết nối vật lý chúng Hình 2.5: Phân đoạn mạng theo kiểu VLAN Miền quảng bá với VLAN router Một VLAN miềm quảng bá tạo nên hay nhiều switch Hình cho thấy tạo miền quảng bá riêng biệt swich Định tuyến lớp cho phép router chuyển gói miền quản bá với Hoạt động VLAN Mỗi cổng switch gán cho VLAN khác Các cổng nằm VLAN chia sẻ gói quảng bá với Các cổng không nằm VLAN khơng chia sẻ gói quảng bá với Nhờ mạng LAN hoạt động hiệu Ưu điểm, Ứng dụng VLAN • Ưu điểm VLAN Lợi ích VLAN cho phép người quản trị mạng tổ chức mạng theo logic không theo vật lý Nhờ cơng việc sau thực dễ dàng hơn: Có tính linh động cao: di chuyển máy trạm LAN dễ dàng Thêm máy trạm vào LAN dễ dàng: Trên switch nhiều cổng, cấu hình VLAN khác cho cổng, dẽ dàng kết nối thêm máy tính với VLAN Tiết kiệm băng thơng mạng: VLAN chia nhỏ LAN thành đoạn (là vùng quản bá) Khi gói tin buảng bả, truyền LAN nhất, không truyền VLAN khác nên giảm lưu lượng quảng bá, tiết kiệm băng thơng đường truyền • Ứng dụng VLAN Sử dụng VLAN để tạo LAN khác nhiều máy tính văn phịng Sử dụng VLAN để tạo mạng liệu ảo (Virtual Data Network - VAN) 12/17 Các loại VLAN Có loại thành viên VLAN để xác định kiểm soát việc xử lý gói liệu: VLAN dựa cổng (port based VLAN), VLAN theo địa MAC (MAC address based VLAN), VLAN theo giao thức (protocol based VLAN) Bảo mật tối đa VLAN, gói liệu khơng “rị rỉ” sang miền khác, dễ dàng kiểm sốt qua mạng Cấu hình VLAN • Cấu hình VLAN Chúng ta xây dựng VLAN cho mạng từ đầu cuối, đến đầu cuối theo giới hạn địa lý Hình 2.6: VLAN từ đầu cuối – đến – đầu cuối Một VLAN từ đầu cuối – đến đầu cuối có đặc điểm sau: Người dùng phân nhóm VLAN hồn tồn khơng phụ thuộc vào vị trí vật lý, phụ thuộc vào chức cơng việc nhóm Mọi users VLAN có chung tỉ lệ giao thơng là: 80% giao thơng bên 20% giao thơng bên ngồi VLAN Khi người dùng đầu cuối di chuyển hệ thống mạng khơng thay đổi VLAN người dùng Mỗi VLAN có yêu cầu bảo mật riêng cho thành viên VLAN • Cấu hình VLAN theo vật lý Xu hướng sử dụng phân bố tài nguyên mạng khác nên VLAN thường tạo theo giới hạn địa lý Phạm vi địa lý lớn tồ nhà nhỏ với switch Trong cấu trúc này, tỉ lệ lưu lượng 20% giao thông nội VLAN 80% giao thông rao ngồi mạng VLAN Điểm có ý nghĩa lưu lượng phải qua thiết bị lớp đến 80% nguồn tài nguyên Kiểu thiết kế cho phép việc truy cập nguồn tài nguyên thống 13/17 • Cấu hình VLAN cố định VLAN cố định VLAN cấu hình theo port swich phần mềm quản lý cấu hình trực tiếp switch Các port gán vào VLAN giữ ngun cấu hình VLAN thay đổi lệnh • VLAN Trunking Protocol (VTP) VTP giao thức hoạt động lớp mơ hình OSI VTP giúp cho việc cấu hình VLAN ln hoạt động đồng thêm, xố, sửa thông tin VLAN hệ thống mạng Trong khuôn khổ mô trường chuyển mạch VLAN Một đường Trunk đường kết nối point-to-point để hỗ trợ VLAN switch liên kết với Một đường cấu hình Trunk gộp nhiều đường liên kết ảo đường liên kết vật lý để chuyển tín hiệu từ VLAN switch với dựa đường cáp vật lý 2.2.4 Nghiên cứu mạng riêng ảo(VPN) 2.2.3.1 Giới thiệu VPN - Mạng VPN an toàn bảo vệ lưu thông mạng cung cấp riêng tư, chứng thực toàn vẹn liệu thơng qua giải thuật mã hố Site to site: Áp dụng cho tổ chức có nhiều văn phòng chi nhánh, văn phòng cần trao đổi liệu với Remote-Access: Hay gọi Virtual Private Dial-up Network (VPDN), dạng kết nối Remote-Access VPN áp dụng cho quan mà nhân viên có nhu cầu kết nối tới mạng riêng (private network) từ địa điểm từ xa Intranet/ Internal VPN: Trong số tổ chức, trình truyền liệu số phận cần bảo đảm tính riêng tư, không cho phép phận khác truy cập Hệ thống Intranet VPN đáp ứng tình 2.2.3.2 Các giai đoạn kết nối VPN Để cung cấp kết nối máy tính, gói thơng tin bao bọc header có chứa thông tin định tuyến, cho phép liệu gửi từ máy truyền qua mơi trường mạng chia sẻ đến máy nhận, truyền đường ống riêng gọi tunnel Mã hoá kênh thơng tin VPN 14/17 Khi truyền gói tin, cần phải áp dụng chế mã hóa chứng thực để bảo mật SSL (Secure Socket Layer),- IPSec (IP Security Tunnel Mode, PPTP (Point to Point Tunneling Protocol), L2TP (Layer Tunneling Protocol) 2.2.3.5 Bảo đảm an tồn thơng tin Xác thực, xác nhận quản lý tài khoản (AAA - Authentication, Authorization, Accounting): AAA sử dụng để tăng tính bảo mật truy nhập từ xa VPN Mã hoá liệu (Enencryption): Đây trình mật mã liệu truyền khỏi máy tính theo quy tắc định máy tính đầu xa giải mã Hình 2.12: Hệ thống mã hố máy tính - Mã hố sử dụng khố riêng (Symmetric-key encryption): Nhược điểm phương pháp khóa truyền mơi trường mạng nên tính bảo mật khơng cao Ưu điểm tốc độ mã hóa giải mã nhanh - Mã hố sử dụng khố cơng khai(Public-key encryption): Hệ Public-key encryption sử dụng tổ hợp khoá riêng khoá cơng cộng để thực mã hố, giải mã Các tiêu chuẩn mã hóa liệu: Đưa NIST (National Institute of Standard and Technology, US) DES thuật tốn khối với kích thước khối 64 bit kích thước chìa 56 bit 2.2.3.6 Nghiên cứu IPSec (IP Security Tunnel Mode) - Mật mã hóa giao thức IP IPsec đề xuất khung mật mã hố xác thực ứng dụng cho IPv4 (32bit) IPv6 (128 bit) Các giao thức an ninh IPSec: Trong trình chứng thực hay mã hóa liệu, IPSEC sử dụng hai giao thức bảo mật sau: AH (Authentication Header) ESP (Encapsulating Security Payload) 15/17 Tham gia đóng góp Tài liệu: Nghiên cứu số giải pháp bảo đảm an ninh mạng, thử nghiệm áp dụng cho trung tâm tích hợp liệu tỉnh tuyên quang Biên tập bởi: Đinh Việt Hải URL: http://voer.edu.vn/c/5ad3fdec Giấy phép: http://creativecommons.org/licenses/by/3.0/ Module: Tổng quan an tồn hệ thống thơng tin Các tác giả: URL: http://voer.edu.vn/m/b728064d/1 Giấy phép: http://creativecommons.org/licenses/by/3.0/ Module: Một số giải pháp nhằm đảm bảo an toàn an ninh mạng bảo mật liệu Các tác giả: URL: http://voer.edu.vn/m/7fd336a8/1 Giấy phép: http://creativecommons.org/licenses/by/3.0/ 16/17 Chương trình Thư viện Học liệu Mở Việt Nam Chương trình Thư viện Học liệu Mở Việt Nam (Vietnam Open Educational Resources – VOER) hỗ trợ Quỹ Việt Nam Mục tiêu chương trình xây dựng kho Tài nguyên giáo dục Mở miễn phí người Việt cho người Việt, có nội dung phong phú Các nội dung đểu tuân thủ Giấy phép Creative Commons Attribution (CC-by) 4.0 nội dung sử dụng, tái sử dụng truy nhập miễn phí trước hết trong mơi trường giảng dạy, học tập nghiên cứu sau cho toàn xã hội Với hỗ trợ Quỹ Việt Nam, Thư viện Học liệu Mở Việt Nam (VOER) trở thành cổng thơng tin cho sinh viên giảng viên Việt Nam Mỗi ngày có hàng chục nghìn lượt truy cập VOER (www.voer.edu.vn) để nghiên cứu, học tập tải tài liệu giảng dạy Với hàng chục nghìn module kiến thức từ hàng nghìn tác giả khác đóng góp, Thư Viện Học liệu Mở Việt Nam kho tàng tài liệu khổng lồ, nội dung phong phú phục vụ cho tất nhu cầu học tập, nghiên cứu độc giả Nguồn tài liệu mở phong phú có VOER có chia sẻ tự nguyện tác giả nước Quá trình chia sẻ tài liệu VOER trở lên dễ dàng đếm 1, 2, nhờ vào sức mạnh tảng Hanoi Spring Hanoi Spring tảng công nghệ tiên tiến thiết kế cho phép công chúng dễ dàng chia sẻ tài liệu giảng dạy, học tập chủ động phát triển chương trình giảng dạy dựa khái niệm học liệu mở (OCW) tài nguyên giáo dục mở (OER) Khái niệm chia sẻ tri thức có tính cách mạng khởi xướng phát triển tiên phong Đại học MIT Đại học Rice Hoa Kỳ vòng thập kỷ qua Kể từ đó, phong trào Tài nguyên Giáo dục Mở phát triển nhanh chóng, UNESCO hỗ trợ chấp nhận chương trình thức nhiều nước giới 17/17 .. .Nghiên cứu số giải pháp bảo đảm an ninh mạng, thử nghiệm áp dụng cho trung tâm tích hợp liệu tỉnh tuyên quang Biên tập bởi: Đinh Việt Hải Phiên trực... sách bảo mật Chính sách bảo mật tập hợp quy tắc áp dụng cho người tham gia quản trị mạng, có sử dụng tài nguyên dịch vụ mạng 6/17 Một số giải pháp nhằm đảm bảo an toàn an ninh mạng bảo mật liệu. .. LỤC Tổng quan an tồn hệ thống thơng tin Một số giải pháp nhằm đảm bảo an toàn an ninh mạng bảo mật liệu Tham gia đóng góp 1/17 Tổng quan an tồn hệ thống thơng tin Nguy đe doạ an ninh, an tồn thơng