Tìm hiểu một số vấn đề an toàn thông tin trong mạng máy tính

Và vấn đề an toàn cho mạng máy tính cũng phải được đặt lên hàng đầu khi thiết kế, lắp đặt và đưa vào sử dụng một hệ thống mạng máy tính dù là đơn giản nhất.. Với những nội dung như đã gi

MỤC LỤC

MỤC LỤC i

THUẬT NGỮ VIẾT TẮT iv

DANH MỤC CÁC BẢNG, SƠ ĐỒ, HÌNH vi

LỜI NÓI ĐẦU 1

CHƯƠNG 1: TỔNG QUAN VỀ MẠNG MÁY TÍNH 3

1.1.Giới thiệu chung 3

1.1.1 Khái niệm mạng máy tính 4

1.1.2 Lợi ích của mạng máy tính 5

1.2 Các loại mạng máy tính 5

1.2.1 Phương thức kết nối 5

1.2.2 Phân loại mạng máy tính theo vùng địa lý 6

1.2.3 Phân loại mạng máy tính theo tôpô 8

1.2.4 Phân loại mạng theo chức năng 10

1.2.5 Mạng Internet 10

1.2.6 Phân biệt mạng LAN-WAN 10

1.3 Một số bộ giao thức kết nối mạng 11

1.3.1 TCP/IP 11

1.3.2 NetBEUI 11

1.3.3 IPX/SPX 11

1.3.4 DECnet 11

1.4 Công nghệ kết nối cơ bản mạng WAN 12

1.4.1 Mạng chuyển mạch (Circuit - switched - Network) 12

1.4.2 Mạng chuyển mạch gói (Packet - switched - Network) 15

1.4.3 Kết nối WAN dùng VPN 16

1.5 Kiến trúc phân tầng - mô hình ISO 17

1.5.1 Kiến trúc phân tầng 17

1.5.2 Mô hình OSI 18

CHƯƠNG 2 : MỘT SỐ KỸ THUẬT VỀ AN TOÀN THÔNG TIN CHO MẠNG MÁY TÍNH 21

2.1 Nội dung của an toàn và bảo mật thông tin 21

2.1.1 Các kiểu tấn công mạng 22

2.1.2 Các chiến lượt an toàn hệ thống 23

2.2 Hệ thống tường lửa (Firewall) 24

2.2.1 Chức năng 24

2.2.2 Cấu trúc 25

2.2.3 Phân loại 25

2.2.4 Các thành phần của Firewall và cơ chế hoạt động 27

2.2.5 Các loại Firewall 31

2.2.6 Những hạn chế của Firewall 34

2.3 Hệ thống phát hiện xâm nhập (IDS) 34

2.3.1 Chức năng và vai trò của IDS 34

2.3.2 Các thành phần của hệ thống IDS 36

2.3.3 Phân loại IDS 37

2.3.4 Cơ chế hoạt động của IDS 39

2.3.5 Ứng dụng 39

2.4 Hệ thống ngăn chặn xâm nhập (IPS) 40

2.4.1 Chức năng của IPS 40

2.4.2 Các thành phần IPS 41

2.4.3 Phân loại IPS 43

2.4.4 Cơ chế hoạt động 45

2.4.5 So sánh giữa IPS và IDS 48

2.5 Giải pháp bảo mật mạng VPN dựa trên IPSec 49

2.5.1 Đóng gói thông tin IPSec 50

2.5.2 Giao thức tiêu đề xác thực AH 51

2.5.3 Giao thức đóng gói tải tin an toàn ESP 53

2.6 Giải pháp bảo mật thông tin mã hóa dữ liệu 56

2.6.1 Khái niệm mã hóa dữ liệu 56

2.6.2 Thuật toán MD5 57

2.6.3 Thuật toán RSA 58

2.6.4 Thuật toán DES 59

2.6.5 Ứng dụng chữ ký điện tử 64

2.6.6 Kết luận 67

CHƯƠNG 3 :GIẢI PHÁP AN TOÀN THÔNG TIN CHO MẠNG WAN 68

3.1 Phân tích yêu cầu 68

3.1.1 Mục tiêu của hệ thống 68

3.1.2 Các yêu cầu của hệ thống 68

3.2 Các giải pháp về hệ thống kiểm soát truy nhập 70

3.2.1 Sử dụng Firewall 70

3.2.2 Sử dụng IDS và IPS 71

3.3 Các phương án kết nối 71

3.3.1 Dùng cáp đồng trực tiếp nối Leased line 71

3.3.2 Kênh thuê bao kết nối riêng đi Internet tới một IXP hoặc ISP gần nhất 71

3.3.3 Dùng kết nối mạng riêng ảo VPN 72

3.3.4 Dùng kết nối ADSL 72

3.4 Sử dụng các sản phẩm kết nối 78

3.4.1 Sử dụng Router 78

3.4.2 Sử dụng phần mềm quản trị mạng 79

3.4.3 Sử dụng WIC và Module cho Router tại các điểm kết nối 79

KẾT LUẬN 81

TÀI LIỆU THAM KHẢO 82

THUẬT NGỮ VIẾT TẮT

AH Authentication Header Xác thực tiêu đề

CBIR Committed burst information rate Tốc độ cam kết khi bùng nổ thông

tinCIR Committed information rate Tốc độ cam kết

DE bit Discard Eligibility bit Bit có khả năng loại bỏ

HDLC High Level Data Link Control

ESP Encapsulating Security Payload Đóng gói bảo mật tải trọng

FECN Forward Explicit Congestion

Notification

Thông báo tắc nghẽn rõ ràng chuyển tiếp

FRAD Frame Relay Access Device Thiết bị truy nhập Frame RelayFRND Frame Relay Network Device Thiết bị mạng Frame Relay

FTP File Transfer Protocol Giao thức truyền File

HIPS Host Intrusion Prevention Systems Hệ thống ngăn ngừa xâm nhập HostIDS Instrusion Detection System Hệ thống phát hiện xâm nhập

IPS Instrusion Prevension System Hệ thống ngăn chặn xâm nhậpIPSEC Internet Protocol Security Bảo mật giao thức Internet

ISDN Integated Services Digital Network Mạng số tích hợp đa dịch vụISP Internet service provider Nhà cung cấp dịch vụ

LMI Local Manegment Interface Giao diện quản lý nội hạt

NAT Network Address Translation Dịch địa chỉ mạng

NCP Network Control Protocols Giao thức điều khiển mạng

NIPS Network-based IPS Hệ thống ngăn chặn từ bên ngoài

vào nội mạngNOC Network Operations Center Trung tâm hoạt động mạng

OSI Open Systems Interconnection Mô hình kết nối mở

PSTN Publizc Switched Telephone

Network

Mạng chuyển mạch điện thoại công cộng

PPP Point-to-point Protocol Giao thức điểm điểm

SMTP Simple Mail Transfer Protocol Giao thức gửi Mail đơn giảnUDP User Datagram Protocol Giao thức lưu đồ

TCP Transmission Control Protocol Giao thức điều khiển truyền

VPN Virtual Private Network Mạng riêng ảo

DANH MỤC CÁC BẢNG BIỂU, HÌNH VẼ Bảng biểu:

Bảng 1.1: Chức năng các tầng trong mô hình OSI 20

Bảng 3.1 So sánh đánh giá các phương thức kết nối WAN hiện có tại Việt Nam 77 Hình vẽ: Hình 1.1 Mô hình mạng cơ bản 5

Hình 1.3 Mô hình mạng diện rộng (WAN) 8

Hình 1.4 Các topo mạng cơ bản 9

Hình 1.5 Dạng topo đầy đủ 9

Hình 1.6 Các topo mạng cơ bản 9

Hình 1.7 Mô hình kết nối WAN dùng mạng chuyển mạch 12

Hình 1.8 Mô hình kết nối WAN dùng mạng điện thoại công cộng 13

Hình 1.9 Mô hình kết nối WAN dùng mạng ISDN 14

Hình 1.10 Mô hình kết nối WAN dùng chuyển mạch gói 15

Hình 1.11 Mô hình WAN dùng VPN nối POP với NOC 16

Hình 1.12 Minh họa kiến trúc phân tầng tổng quát 18

Hình 1.13 Mô hình OSI 7 tầng 19

Hình 2.1 Sơ đồ chức năng hệ thống của Firewall 25

Hình 2.2 Sơ đồ làm việc của Packet Filtering 28

Hình 2.3 Kết nối giữa người dùng (Client) với Server qua Proxy 29

Hình 2.4 Kết nối qua cổng vòng (Circuit–Level Gateway) 31

Hình 2.5 Packet-filtering router 32

Hình 2.6 Screened host firewall (Single- Homed Bastion Host) 32

Hình 2.7 Screened-Subnet Firewall 33

Hình 2.8 Các thành phần của hệ thống IDS 36

Hình 2.9 Network IDS 37

Hình 2.10 Host base IDS 38

Hình 2.11 IPS 41

Hình 2.12 Xử lý gói tin IP ở chế độ truyền tải 50

Hình 2.13 Xử lý gói tin IP ở chế độ đường hầm 51

Hình 2.14 Thiết bị mạng thực hiện IPSec trong chế độ đường hầm 51

Hình 2.15 Cấu trúc tiêu đề AH cho gói tin IPSec 52

Hình 2.16 Khuôn dạng gói tin Ipv4 trước và sau khi xử lý AH 53

Hình 2.17 Cơ chế đóng gói ESP 53

Hình 2.18 Khuôn dạng gói tin ESP 54

Hình 2.19 Khuôn dạng gói tin IPv4 trước và sau khi xử lý ESP 55

Hình 2.20 Quy trình mã hóa dữ liệu 56

Hình 2.21 Minh họa hàm băm 57

Hình 2.22 Sơ đồ biểu diễn thuật toán mã hóa RSA 58

Hình 2.24 Một vòng lặp DES 62

Hình 2.25 Sơ đồ mô tả quá trình ký và gửi các tệp văn bản 65

Hình 2.26 Sơ đồ mô tả quá trình nhận các tệp văn bản 66

LỜI NÓI ĐẦU

Máy tính và mạng máy tính có vai trò hết sức quan trọng trong cuộc sống ngày nay Ngày nay trong bất kỳ lĩnh vực nào cũng cần đến máy tính, máy tính rất hữu ích với chúng ta Chính nhờ có máy tính và sự phát triển của nó đã làm cho khoa học kỹ thuật phát triển vượt bậc, kinh tế phát triển nhanh chóng và thần kỳ Cùng với sự ra đời và phát triển của máy tính và mạng máy tính là vấn đề bảo mật thông tin, ngăn chặn sự xâm phạm và đánh cắp thông tin trong máy tính và thông tin cá nhân trên mạng máy tính khi mà ngày càng có nhiều hacker xâm nhập và phá huỷ dữ liệu quan trọng làm thiệt hại đến kinh tế của công ty nhà nước .

Cũng chính vì vậy, nếu không có mạng máy tính, hoặc mạng máy tính không thể hoạt động như ý muốn thì hậu quả sẽ rất nghiêm trọng Và vấn đề an toàn cho mạng máy tính cũng phải được đặt lên hàng đầu khi thiết kế, lắp đặt và đưa vào sử dụng một hệ thống mạng máy tính dù là đơn giản nhất Bên cạnh đó, thông tin giữ một vai trò hết sức quan trọng bởi vì nếu thiếu thông tin, con người sẽ trở nên lạc hậu dẫn tới những hậu quả nghiêm trọng, nền kinh tế chậm phát triển Vì lý do đó, việc lưu trữ, trao đổi và quản lý tốt nguồn tài nguyên thông tin để sử dụng đúng mục đích, không bị thất thoát đã là mục tiêu hướng tới của không chỉ một ngành, một quốc gia mà của toàn thế giới.

Nhận thức được đều đó em đã lựa chọn đề tài đồ án tốt nghiệp của mình là

« Tìm hiểu một số vấn đề an toàn thông tin trong mạng máy tính" Đó cũng chính

là đề tài mà em muốn nghiên cứu và trình bày trong đồ án tốt nghiệp này Việc tìm hiểu và nghiên cứu các vấn đề an toàn thông tin trong mạng máy tính đòi hỏi phải

có kiến thức sâu rộng cả lý thuyết lẫn thực tế Vì vậy, đồ án không tránh khỏi những thiếu sót nhất định Rất mong nhận được sự bổ sung, đóng góp của các thầy cô và các bạn.

Đồ án gồm ba chương với nội dung như sau:

Chương I: Tổng quan về mạng máy tính

Nội dung chương I là tìm hiểu chung về mạng máy tính, nêu lên những lợi ích

và chi phí khi kết nối đồng thời đi sâu vào một số công nghệ kết nối cơ bản cho mạng máy tính và giao thức kết nối trong mạng.

Chương II: Một số kỹ thuật về an toàn thông tin cho mạng máy tính

Nội dung chương II là đưa ra các hình thức tấn công mạng phổ biến hiện nay

và các giải pháp mạng như tường lửa(Firewall), hệ thống phát hiện và ngăn chặn xâm nhập để bảo vệ thông tin cho mạng Đồng thời cũng đưa ra giải pháp an toàn thông tin cho kết nối VPN đó là IPSec.

Chương III: Giải pháp an toàn thông tin cho mạng WAN

Nội dung của chương III là từ những vấn đề tìm hiểu để đảm bảo an toàn thông tin cho mạng máy tính diện rộng ở chương II Đưa ra phương hướng xây dựng hệ thống bảo mật cho hệ thống mạng WAN.

Với những nội dung như đã giới thiệu trên đây, quyển đồ án đóng góp một phần nhỏ trong lĩnh vực nghiên cứu và phát triển các giải pháp an toàn thông tin cho mạng máy tính nói chung và mạng máy tính của khu vực, tổ chức nói riêng.

Để hoàn thành đồ án này, em xin gửi lời cảm ơn chân thành đến thầy TS Đặng

Hải Đăng và các thầy cô giáo trong khoa Điện tử - Viễn Thông đã tạo mọi điều kiện

giúp đỡ, chỉ bảo và hướng dẫn em trong suốt thời gian thực hiện làm đồ án.

Hà Nội, tháng 6 - 2013

Sinh viên thực hiện Trần Huy Hoàng

CHƯƠNG 1: TỔNG QUAN VỀ MẠNG MÁY TÍNH

1.1.Giới thiệu chung

Có thể nói sự ra đời của mạng máy tính là một bước tiến nhảy vọt trong cáchoạt động của xã hội loài người, song song với sự phát triển đó thì nhu cầu trao đổithông tin ngày càng trở nên cần thiết Sự ra đời và hoàn thiện mạng máy tính đã mởrộng tầm hoạt động của con người không chỉ một lĩnh vực, một quốc gia mà lanrộng ra trong phạm vi toàn cầu

Vào giữa những năm 1950, những hệ thống máy tính đầu tiên ra đời sử dụngcác bóng đèn điện tử nên kích thước rất cồng kềnh và tiêu tốn nhiều năng lượng Việcnhập dữ liệu vào máy tính được thực hiện thông qua các bìa đục lỗ và kết quả đượcđưa ra máy in, điều này làm mất nhiều thời gian và bất tiện cho người sử dụng

Đến giữa những năm 1960, cùng với sự phát triển của các ứng dụng trên máytính và nhu cầu trao đổi thông tin với nhau, một số nhà sản xuất máy tính đã nghiêncứu chế tạo thành công các thiết bị truy cập từ xa tới các máy tính của họ, và đâychính là những dạng sơ khai của hệ thống mạng máy tính

Đến đầu những năm 1970, hệ thống thiết bị đầu cuối 3270 của IBM ra đời chophép mở rộng khả năng tính toán của các trung tâm máy tính đến các vùng ở xa.Đến giữa những năm 1970, IBM đã giới thiệu một loạt các thiết bị đầu cuối đượcthiết kế chế tạo cho lĩnh vực ngân hàng, thương mại Thông qua dây cáp mạng cácthiết bị đầu cuối có thể truy cập cùng một lúc đến một máy tính dùng chung

Đến năm 1977, công ty Datapoint Corporation đã tung ra thị trường hệ điềuhành mạng của mình là “ Attache Resource Computer Network” (Arcnet) cho phépliên kết các máy tính và các thiết bị đầu cuối lại bằng dây cáp mạng, đó chính là hệđiều hành đầu tiên và sử dụng trong công tác văn phòng một cách tiện lợi

Với việc tăng nhanh các máy tính mini và các máy tính cá nhân làm tăng yêucầu truyền số liệu giữa các máy tính, giữa các terminal, và giữa các terminal vớimáy tính là một trong những động lực thúc đẩy sự ra đời và phát triển ngày càngmạnh mẽ các mạng máy tính Quá trình hình thành mạng máy tính có thể tóm tắtqua 4 giai đoạn sau:

• Giai đoạn các terminal nối trực tiếp với máy tính:

Đây là giai đoạn đầu tiên của mạng máy tính, để tận dụng công suất của máy tínhngười ta ghép nối các terminal vào một máy tính được gọi là các máy tính trung tâm.

• Giai đoạn các bộ tiền xử lý (Prontal)

Ở giai đoạn 1 máy tính trung tâm quản lý truyền tin tới các terminal, ở giaiđoạn 2 máy tính trung tâm quản lý truyền tin tới các bộ tập trung qua các bộ ghépnối điều khiển đường truyền Ta có thể thay thế bộ ghép nối đường truyền bằng cácmáy tính nini gọi là prontal, đó chính là bộ tiền xử lý

• Giai đoạn mạng máy tính:

Vào những năm 1970 người ta bắt đầu xây dựng mạng truyền thông trong đócác thành phần chính của nó là các nút mạng gọi là bộ chuyển mạch dùng để hướngthông tin tới đích

Các mạng được nối với nhau bằng đường truyền còn các máy tính xử lý thôngtin của người dùng hoặc các trạm cuối được nối trực tiếp vào các nút mạng để khicần thì trao đổi thông tin qua mạng Các nút mạng thương là máy tính nên đồng thờiđóng vai trò của người sử dụng

Chức năng của nút mạng:

+ Quản lý truyền tin, quản lý mạng

Như vậy các máy tính ghép nối với nhau hình thành mạng máy tính, ở đây tathấy mạng truyền thông cũng ghép nối các máy tính với nhau nên khái niệm mạngmaý tính và mạng truyền thông có thể không phân biệt

Việc hình thành mạng máy tính nhằm đạt các mục đích sau:

 Tận dụng và làm tăng giá trị của tài nguyên

 Chinh phục khoảng cách

 Tăng chất lượng và hiệu quả khai thác và xử lý thông tin

 Tăng độ tin cậy của hệ thống nhờ khả năng thay thế khi xảy ra sự cốđối với một máy tính nào đó

Như vậy: Mạng máy tính là tập hợp các máy tính được ghép với nhau bởi cácđường truyền vật lý theo một kiến trúc nào đó

1.1.1 Khái niệm mạng máy tính

Nói một cách cơ bản, mạng máy tính là hai hay nhiều máy tính được kết nối vớinhau theo một cách nào đó sao cho chúng có thể trao đổi thông tin qua lại với nhau

Hình 1.1 Mô hình mạng cơ bản

Mạng máy tính là một nhóm các máy tính và thiết bị ngoại vi kết nối với nhauthông qua các phương tiện truyền dẫn như cáp xoắn, cáp quang, sóng điện từ,tiahồng ngoại… để chia sẻ dữ liệu cho nhau Dữ liệu truyền từ máy này sang máykhác đều là các bit nhị phân 0 và 1, sau khi biến đổi thành điện thế hoặc sóng điện

từ, sẽ được truyền qua môi trường truyền dẫn

1.1.2 Lợi ích của mạng máy tính

Mạng máy tính ra đời xuất phát từ nhu cầu muốn chia sẻ và dùng chung dữliệu Không có hệ thống mạng thì dữ liệu trên các máy tính độc lập muốn chia sẻvới nhau phải thông qua việc in ấn hay sao chép qua đĩa mềm, CD ROM,… điềunày gây rất nhiều bất tiện cho người dùng

Sử dụng chung các công cụ tiện ích:

 Chia sẻ kho dữ liệu dùng chung

 Tăng độ tin cậy của hệ thống

 Trao đổi thông điệp, hình ảnh

 Dùng chung các thiết bị ngoại vi (máy in, máy vẽ, Fax, modem …)

 Giảm thiểu chi phí và thời gian đi lại

 Sử dụng Internet…

− Với phương thức "điểm - nhiều điểm", tất cả các trạm phân chia chung một đườngtruyền vật lý Dữ liệu được gửi đi từ một máy tính sẽ có thể được tiếp nhận bởi tất

cả các máy tính còn lại, bởi vậy cần chỉ ra điạ chỉ đích của dữ liệu để mỗi máy tínhcăn cứ vào đó kiểm tra xem dữ liệu có phải dành cho mình không nếu đúng thì nhậncòn nếu không thì bỏ qua

1.2.2 Phân loại mạng máy tính theo vùng địa lý

Mạng LAN là một nhóm máy tính và các thiết bị truyền thông mạng đượcnối kết với nhau trong một khu vực nhỏ như một toà nhà cao ốc, khuôn viên trườngđại học, khu giải trí

Các mạng LAN thường có đặc điểm sau:

− Băng thông lớn, có khả năng chạy các ứng dụng trực tuyến như xem phim,hội thảo qua mạng

− Kích thước mạng bị giới hạn bởi các thiết bị

− Chi phí các thiết bị mạng LAN tương đối rẻ

− Quản trị đơn giản

Hình 1.2 Mô hình mạng cục bộ (LAN)

Mạng MAN gần giống như mạng LAN nhưng giới hạn của nó là một thànhphố hay một quốc gia Mạng MAN nối kết các mạng LAN lại với nhau thông quacác phương tiện truyền dẫn khác nhau (cáp quang, cáp đồng, sóng ) và các phươngthức truyền thông khác nhau

Đặc điểm của mạng MAN:

− Băng thông mức trung bình, đủ để phục vụ các ứng dụng cấp thành phố hayquốc gia như chính phủ điện tử, thương mại điện tử, các ứng dụng của cácngân hàng

− Do MAN nối kết nhiều LAN với nhau nên độ phức tạp cũng tăng đồng thờicông tác quản trị sẽ khó khăn hơn

− Chi phí các thiết bị mạng MAN tương đối đắt tiền

Mạng WAN bao phủ vùng địa lý rộng lớn có thể là một quốc gia, một lục địahay toàn cầu Mạng WAN thường là mạng của các công ty đa quốc gia hay toàn cầu,điển hình là mạng Internet Do phạm vi rộng lớn của mạng WAN nên thông thườngmạng WAN là tập hợp các mạng LAN, MAN nối lại với nhau bằng các phương tiệnnhư: vệ tinh (satellites), sóng viba (microwave), cáp quang, cáp điện thoại

Đặc điểm của mạng WAN:

− Băng thông thấp, dễ mất kết nối, thường chỉ phù hợp với các ứng dụngoffline như e-mail, web, ftp

− Phạm vi hoạt động rộng lớn không giới hạn

− Do kết nối của nhiều LAN, MAN lại với nhau nên mạng rất phức tạp và cótính toàn cầu nên thường là có tổ chức quốc tế đứng ra quản trị

− Chi phí cho các thiết bị và các công nghệ mạng WAN rất đắt tiền

Hình 1.3 Mô hình mạng diện rộng (WAN)

1.2.3 Phân loại mạng máy tính theo tôpô

− Mạng dạng hình sao (Star topology): Ở dạng hình sao, tất cả các trạm được nốivào một thiết bị trung tâm có nhiệm vụ nhận tín hiệu từ các trạm và chuyển tín hiệuđến trạm đích với phương thức kết nối là phương thức "điểm - điểm"

− Mạng hình tuyến (Bus Topology): Trong dạng hình tuyến, các máy tính đều đượcnối vào một đường dây truyền chính (bus) Đường truyền chính này được giới hạnhai đầu bởi một loại đầu nối đặc biệt gọi là terminator (dùng để nhận biết là đầucuối để kết thúc đường truyền tại đây) Mỗi trạm được nối vào bus qua một đầu nốichữ T (T_connector) hoặc một bộ thu phát (transceiver)

− Mạng dạng vòng (Ring Topology): Các máy tính được liên kết với nhau thànhmột vòng tròn theo phương thức "điểm - điểm", qua đó mỗi một trạm có thể nhận

và truyền dữ liệu theo vòng một chiều và dữ liệu được truyền theo từng gói một

− Mạng dạng kết hợp: trong thực tế tuỳ theo yêu cầu và mục đích cụ thể ta có thểthiết kế mạng kết hợp các dạng sao, vòng, tuyến để tận dụng các điểm mạnh củamỗi dạng

Hình 1.4 Các topo mạng cơ bản

Hình 1.5 Dạng topo đầy đủ

Trần Huy Hoàng – HHCKT7A 9

Hình 1.6 Các topo mạng cơ bản

1.2.4 Phân loại mạng theo chức năng

− Mạng Client-Server: một hay một số máy tính được thiết lập để cung cấp các dịch

vụ như file server, mail server, Web server, Printer server, … Các máy tính đượcthiết lập để cung cấp các dịch vụ được gọi là Server, còn các máy tính truy cập và

sử dụng dịch vụ thì được gọi là Client

− Mạng ngang hàng (Peer-to-Peer): các máy tính trong mạng có thể hoạt động vừanhư một Client vừa như một Server

− Mạng kết hợp: Các mạng máy tính thường được thiết lập theo cả hai chức năngClient-Server và Peer-to-Peer

1.2.5 Mạng Internet

Mạng Internet là trường hợp đặc biệt của mạng WAN, nó cung cấp các dịch

vụ toàn cầu như mail, web, chat, ftp và phục vụ miễn phí cho mọi người Internet làmột tập hợp của các máy tính được nối với nhau và chủ yếu là qua đường điện thoạitrên toàn thế giới với mục đích trao đổi và chia sẻ thông tin

Trước đây mạng Internet được sử dụng chủ yếu ở các tổ chức chính phủ vàtrong các trường học Ngày nay mạng Internet đã được sử dụng bởi hàng tỷ ngườibao gồm cả cá nhân các doanh nghiệp lớn, nhỏ, các trường học và tất nhiên là NhàNước và các tổ chức Chính Phủ Phần chủ yếu nhất của mạng Internet là WorldWide Web

Mạng Internet là của chung điều đó có nghĩa là không ai thực sự sở hữu nóvới tư cách cá nhân Mỗi phần nhỏ của mạng được quản lý bởi các tổ chức khácnhau nhưng không ai không một thực thể nào cũng như không một trung tâm máy

tính nào nắm quyền điều khiển mạng Mỗi phần của mạng được liên kết với nhautheo một cách thức nhằm tạo nên một mạng toàn cầu.

1.2.6 Phân biệt mạng LAN-WAN

− Địa phương hoạt động:

 Mạng LAN sử dụng trong một khu vực địa lý nhỏ

 Mạng WAN cho phép kết nối các máy tính ở các khu vực địa lý khác nhau,trên một phạm vi rộng

− Tốc độ kết nối và tỉ lệ lỗi bit:

 Mạng LAN có tốc độ kết nối và độ tin cậy cao

 Mạng WAN có tốc độ kết nối không thể quá cao để đảm bảo tỉ lệ lỗibit có thể chấp nhận được

− Phương thức truyền thông:

 Mạng LAN chủ yếu sử dụng công nghệ Ethernet, Token Ring, ATM

 Mạng WAN sử dụng nhiều công nghệ như Chuyển mạch vòng(Circuit Switching Network), chuyển mạch gói (Packet SwitchingNetwork), ATM (Cell relay), chuyển mạch khung (Frame Relay), …

− Bất lợi chính của bộ giao thức này là không hỗ trợ định tuyến và sử dụng giới hạn

ở mạng dựa vào Microsoft

1.3.3 IPX/SPX

− Đây là bộ giao thức sử dụng trong mạng Novell

− Ưu thế: nhỏ, nhanh và hiệu quả trên các mạng cục bộ đồng thời hỗ trợ khả năngđịnh tuyến

1.3.4 DECnet

− Đây là bộ giao thức độc quyền của hãng Digital Equipment Corporation

− DECnet định nghĩa mô hình truyền thông qua mạng LAN, mạng MAN và WAN

Hỗ trợ khả năng định tuyến

1.4 Công nghệ kết nối cơ bản mạng WAN

1.4.1 Mạng chuyển mạch (Circuit - switched - Network)

Hình 1.7 Mô hình kết nối WAN dùng mạng chuyển mạch

Mạng chuyển mạch thực hiện việc liên kết giữa hai điểm nút qua một đườngnối tạm thời hay giành riêng giữa điểm nút này và điểm nút kia Đường nối nàyđược thiết lập trong mạng thể hiện dưới dạng cuộc gọi thông qua các thiết bị chuyểnmạch Một ví dụ của mạng chuyển mạch là hoạt động của mạng điện thoại, các thuêbao khi biết số của nhau có thể gọi cho nhau và có một đường nối vật lý tạm thờiđược thiết lập giữa hai thuê bao Với mô hình này mọi nút mạng có thể kết nối vớibất kỳ một nút khác Thông qua những đường nối và các thiết bị chuyên dùng người

ta có thể tạo ra một liên kết tạm thời từ nơi gửi tới nơi nhận, kết nối này duy trìtrong suốt phiên làm việc và được giải phóng ngay sau khi phiên làm việc kết thúc

Để thực hiện một phiên làm việc cần có các thủ tục đầy đủ cho việc thiết lập liên kếttrong đó có việc thông báo cho mạng biết địa chỉ của nút gửi và nút nhận

Hiện nay có 2 loại mạng chuyển mạch là chuyển mạch tương tự (analog) vàchuyển mạch số (digital)

Kết nối dùng PSTN

 Thiết bị: Dùng modem tương tự loại truyền không đồng bộ, hay truyền đồng

bộ, để kết nối thiết bị mạng vào mạng điện thoại công cộng

 Phương thức kết nối: Dùng kết nối PPP từ máy trạm hay từ thiết bị định tuyếnqua modem, qua mạng điện thoại công cộng

Hình 1.8 Mô hình kết nối WAN dùng mạng điện thoại công cộng

Kết nối dùng mạng ISDN

Dịch vụ số ISDN - Intergrated Services Digital Network: ISDN là một loạimạng viễn thông số tích hợp đa dịch vụ cho phép sử dụng cùng một lúc nhiều dịch

vụ trên cùng một đường dây điện thoại thông thường Với cơ sở điện thoại cố định

hạ tầng hiện có, ISDN là giải pháp cho phép truyền dẫn thoại, dữ liệu và hình ảnhtốc độ cao Người dùng cùng một lúc có thể truy cập WAN và gọi điện thoại, fax

mà chỉ cần một đường dây điện thoại duy nhất, thay vì 3 đường nếu dùng theo kiểuthông thường Kết nối ISDN có tốc độ và chất lượng cao hơn hẳn dịch vụ kết nốitheo kiểu quay số qua mạng điện thoại thường (PSTN) Tốc độ truy cập mạng WAN

có thể lên đến 128 Kbps nếu sử dụng đường ISDN 2 kênh (2B+D) và tương đương2.048 Mbps nếu sử dụng ISDN 30 kênh (30B+D)

 Các thiết bị dùng cho kết nối ISDN

ISDN Adapter: Kết nối với máy tính thông qua các giao tiếp PCI, RS-232,USB, PCMCIA và cho phép máy tính kết nối với mạng WAN thông qua mạng đa

dịch vụ tích hợp ISDN với tốc độ 128Kbps ổn định đa dịch vụ và 93 cao hơn hẳn sovới các kết nối tương tự truyền thống mà tốc độ tối đa lý thuyết là 56Kbps

ISDN Router: Thiết bị này cho phép kết nối LAN vào WAN cho một số lượngkhông giới hạn người dùng Thông qua giao tiếp ISDN BRI, thiết bị này còn có thểđóng vai trò như một bộ chuyển đổi địa chỉ mạng (Network Address Translation)hoặc một máy chủ truy nhập từ xa Khả năng thiết lập kết nối LAN-to-LAN quadịch vụ ISDN cho phép nối mạng giữa Văn phòng chính và Chi nhánh hết sức thuậntiện Cổng kết nối Ethernet tốc độ 10/100Mbps cho phép kết nối dễ dàng với mạngLAN Các tính năng quay số theo yêu cầu (Dial-on-Demand) và Dải thông theo yêucầu (Bandwidth-on-Demand) tự động tối ưu hoá các kết nối theo yêu cầu của ngườidùng trên mạng

 Các đặc tính của ISDN

ISDN được chia làm hai loại kênh khác nhau:

 Kênh dữ liệu (Data Channel), tên kỹ thuật là B channel, hoạt động ở tốc độ

64 Kbps

 Kênh kiểm soát (Control Channel), tên kỹ thuật là D Channel, hoạt động ở

16 Kbps (Basic rate) và 64 Kbps (Primary rate)

Dữ liệu của người dùng sẽ được truyền trên các B channel, và dữ liệu tín hiệu(signaling data) được truyền qua D channel Bất kể một kết nối ISDN có bao nhiêu

B channel, nó chỉ có duy nhất một D channel Đường ISDN truyền thống có hai tốc

độ cơ bản là residential basic rate và commercial primary rate Một vài công ty điệnthoại không có đường truyền và thiết bị đầu cuối thích hợp cho dịch vụ tốc độ cơbản nên họ cung cấp một tốc độ cơ bản cố định, có giá trị trong khoảng từ 64 Kbpsđến 56 Kbps Những biến thể này hoạt động như một B channel riêng biệt

Basic rate ISDN hoạt động với hai B channel 64 Kbps và một D channel 16Kbps qua đường điện thoại thông thường, cung cấp băng thông dữ liệu là 128 Kbps.Tốc độ cơ bản được cung cấp phổ biến ở hầu hết các vùng ở Mỹ và châu Ấu, vớigiá gần bằng với điện thoại thường ở một số vùng (ở Đức, đường ISDN hoạt độngvới tốc độ cơ bản, với hai B channel 64 Kbps và một D channel 16 Kbps)

Primary rate hoạt động với hai mươi ba B channel 64 Kbps và một D channel

64 Kbps qua một đường T1, cung cấp băng thông 1472 Kbps

Hình 1.9 Mô hình kết nối WAN dùng mạng ISDN

1.4.2 Mạng chuyển mạch gói (Packet - switched - Network)

Trong mạng chuyển mạch gói thì một thông báo có thể được chia ra nhiều góinhỏ hơn (packet), độ dài khoảng 256 bytes, có khuôn dạng tuỳ theo chuẩn quy định.Các gói tin có chứa thông tin điều khiển địa chỉ nguồn, địa chỉ đích cho gói tin, số thứ

tự gói tin, thông tin kiểm tra lỗi Do vậy các gói tin của cùng một thông báo có thểđược gửi đi theo nhiều đường khác nhau, tới đích tại các thời điểm khác nhau, nơi nhận

sẽ căn cứ vào thông tin trong các gói tin và sắp xếp lại chúng theo đúng thứ tự

Hình 1.10 Mô hình kết nối WAN dùng chuyển mạch gói

 Ưu điểm

+ Mạng chuyển mạch gói có hiệu suất và hiệu quả cao hơn mạng chuyển mạchthông báo vì kích thước các gói tin nhỏ hơn nên các nút mạng có thể xử lý toàn bộgói tin mà không cần phải lưu trữ trong đĩa

+ Mỗi đường truyền chiếm thời gian rất ngắn, vì chúng có thể dùng bất cứđường có thể được để tới đích

 Giới thiệu tổng quan về VPN

VPN (Virtual Private Network) là một mạng riêng được xây dựng trên nềntảng hạ tầng mạng công cộng (như là mạng Internet) Mạng IP riêng (VPN) là mộtdịch vụ mạng có thể dùng cho các ứng dụng khác nhau, cho phép việc trao đổithông tin một cách an toàn với nhiều lựa chọn kết nối Dịch vụ này cho phép các tổchức xây dựng hệ thống mạng WAN riêng có quy mô lớn tại Việt Nam

Giải pháp VPN cho phép người sử dụng làm việc tại nhà hoặc đang đi côngtác ở xa có thể thực hiện một kết nối tới trụ sở chính của mình, bằng việc sử dụng

hạ tầng mạng thông qua việc tạo lập một kết nối nội hạt tới một ISP Khi đó, mộtkết nối VPN sẽ được thiết lập giữa người dùng với mạng trung tâm của họ

Kết nối VPN cũng cho phép các tổ chức kết nối liên mạng giữa các NOC của

họ đặt tại các địa điểm khác nhau thông qua các kết nối trực tiếp (Leased line) từcác địa điểm đó tới một ISP Điều đó giúp giảm chi phí gọi đường dài qua dial-up

và chi phí thuê đường Leased line cho khoảng cách xa Dữ liệu chuyển đi được đảmbảo an toàn vì các gói dữ liệu truyền thông trên mạng đã được mã hoá

 Một số giải pháp kỹ thuật hay dùng trong kết nối VPN

Hình 1.11 Mô hình WAN dùng VPN nối POP với NOC

 Dùng VPN truy nhập về POP hay NOC

 Một vài nhận xét khi sử dụng VPN trong kết nối WAN

Hạn chế khi VPN dùng công nghệ IPSec là làm giảm hiệu năng của mạng vìtrước khi gửi gói tin đi Đầu tiên, gói tin được mã hóa, sau đó đóng gói vào các gói

IP, hoạt động này tiêu tốn thời gian và gây trễ cho gói tin Tiếp theo gói tin mớiđược đưa vào trong mạng của nhà cung cấp dịch vụ Các VPN gateway phải tươngthích khi chúng kết nối với nhau

Đường hầm VPN được tạo ra trong không gian mạng không đồng nhất do đórất khó đảm bảo chất lượng dịch vụ

1.5 Kiến trúc phân tầng - mô hình ISO

1.5.1 Kiến trúc phân tầng

Để giảm độ phức tạp trong thiết kế và cài đặt mạng, các mạng máy tính được

tổ chức thiết kế theo kiểu phân tầng (layering) Trong hệ thống thành phần củamạng được tổ chức thành một cấu trúc đa tầng, mỗi tầng được xây dựng trên tầngtrước đó, mỗi tầng sẽ cung cấp một số dịch vụ cho tầng cao hơn Số lượng các tầngcũng như chức năng của mỗi tầng là tuỳ thuộc vào nhà thiết kế Ví dụ cấu trúc phântầng của mạng SNA của IBM, mạng DECnet của Digital, mạng ARPANET Là có

sự khác nhau

Tổ chức tiêu chuẩn quốc tế ISO quy định các quy tắc phân tầng như sau:

- Không định nghĩa quá nhiều tầng, số lượng tầng, vai trò và chức năng của các tầng

trong mỗi hệ thống của mạng là như nhau, không quá phức tạp khi xác định và ghépnối các tầng Chức năng các tầng độc lập với nhau và có tính mở.

- Trong mỗi hệ thống, cần xác định rõ mối quan hệ giữa các tầng kề nhau, mối quan

hệ này gọi là giao diện tầng (Interface) Mối quan hệ này quy định những thao tác

và dịch vụ cơ bản mà tầng kề dưới cung cấp cho tầng kề trên và số các tương tácqua lại giữa hai tầng kề nhau là nhỏ nhất

- Xác định mối quan hệ giữa các đồng tầng để thống nhất về các phương thức hoạt

động trong quá trình truyền thông, mối quan hệ đó là tập các quy tắc và các thoảthuận trong hội thoại giữa các hệ thống, gọi là giao thức tầng

- Dữ liệu không được truyền trực tiếp từ tầng thứ i của hệ thống phát sang tầng thứ i

của hệ thống nhận (trừ tầng thấp nhất- tầng vật lý) mà được chuyển từ tầng caoxuống tầng thấp nhất bên hệ thống phát và qua đường truyền vật lý, dữ liệu là chuỗibit không cấu trúc được truyền sang tầng thấp nhất của hệ thống nhận và từ đó dữliệu được chuyển ngược lên các tầng trên Giữa các đồng tầng xác định liên kếtlogic, giữa các tầng vật lý có liên kết vật lý

Hình 1.12 Minh họa kiến trúc phân tầng tổng quát

OSI tổ chức các giao thức truyền thông thành 7 tầng, mỗi một tầng giải quyết mộtphần hẹp của tiến trình truyền thông, chia tiến trình truyền thông thành nhiều tầng

và trong mỗi tầng có thể có nhiều giao thức khác nhau thực hiện các nhu cầu truyềnthông cụ thể.

OSI sử dụng phương pháp phân tích các hệ thống mở theo kiến trúc phân tầng

và đã công bố mô hình OSI cho việc kết nối các hệ thống mở gồm 7 tầng

Hình 1.13 Mô hình OSI 7 tầng

Các nguyên lý được áp dụng cho 7 tầng như sau:

(1) Một lớp cần thiết phải tạo ở mức độ khác nhau của khái niệm trừu tượng

(2) Mỗi lớp phải thực hiện một chức năng xác định rõ ràng

(3) chức năng của mỗi lớp phải được chọn theo quan điểm hướng tới các giaothức chuẩn quốc tế đã được định nghĩa

(4) Ranh giới giữa các lớp phải được chọn để tối thiểu luồng thông tin đi qua cácgiao diện

(5) Số các lớp phải đủ lớn để phân biệt các chức năng cần thiết nhưng không đưa vàocùng một lớp quá nhiều chức năng, và phải đủ nhỏ để kiến trúc không rắc rối

Chức năng các tầng trong mô hình OSI

1 Vật lý Đảm bảo các yêu cầu truyền/nhận các chuỗi bít qua các phương

Giao tiếp người và môi trường mạng

Bảng 1.1: Chức năng các tầng trong mô hình OSI

 Các giao thức chuẩn của mô hình OSI

+ Chúng cài đặt cùng một tập các chức năng truyền thông

+ Các chức năng đó được tổ chức thành một tầng Các tầng đồng mức phải cungcấp các chức năng như nhau ( Phương thức cung cấp không nhất thiết giống nhau ).+ Các tầng đồng mức phải sử dụng cùng một giao thức

Để đảm bảo những điều trên cần phải có các chuẩn Các chuẩn phải xác địnhcác chức năng và dịch vụ được cung cấp bởi một tầng Các chuẩn cũng phải xácđịnh các giao thức giữa các tầng đồng mức Mô hình OSI 7 tầng chính là cơ sở đểxây dựng các chuẩn đó

CHƯƠNG 2 : MỘT SỐ KỸ THUẬT VỀ AN TOÀN

THÔNG TIN CHO MẠNG MÁY TÍNH

2.1 Nội dung của an toàn và bảo mật thông tin

An toàn thông tin nghĩa là thông tin được bảo vệ, các hệ thống và những dịch

vụ có khả năng chống lại những tai họa, lỗi và sự tác động không mong đợi, cácthay đổi tác động đến độ an toàn của hệ thống là nhỏ nhất

Khi nhu cầu trao đổi thông tin dữ liệu ngày càng lớn và đa dạng, các tiến bộ vềđiện tử - viễn thông và công nghệ thông tin không ngừng được phát triển ứng dụng

để nâng cao chất lượng và lưu lượng truyền tin thì các quan niệm ý tưởng và biệnpháp bảo vệ thông tin dữ liệu cũng được đổi mới Bảo vệ an toàn thông tin dữ liệu

là một chủ đề rộng, có liên quan đến nhiều lĩnh vực và trong thực tế có thể có rấtnhiều phương pháp được thực hiện để bảo vệ an toàn thông tin dữ liệu Các phươngpháp bảo vệ an toàn thông tin dữ liệu có thể được quy tụ vào ba nhóm sau:

 Bảo vệ an toàn thông tin bằng các biện pháp hành chính

 Bảo vệ an toàn thông tin bằng các biện pháp kỹ thuật (phần cứng)

 Bảo vệ an toàn thông tin bằng các biện pháp thuật toán (phần mềm)

Ba nhóm trên có thể được ứng dụng riêng rẽ hoặc phối kết hợp Môi trườngkhó bảo vệ an toàn thông tin nhất và cũng là môi trường đối phương dễ xân nhậpnhất đó là môi trường mạng và truyền tin Biện pháp hiệu quả nhất và kinh tế nhấthiện nay trên mạng truyền tin và mạng máy tính là biện pháp thuật toán

An toàn thông tin bao gồm các nội dung sau:

 Tính bí mật: tính kín đáo riêng tư của thông tin

 Tính xác thực của thông tin, bao gồm xác thực đối tác( bài toán nhận danh),xác thực thông tin trao đổi

 Tính trách nhiệm: đảm bảo người gửi thông tin không thể thoái thác tráchnhiệm về thông tin mà mình đã gửi

Để đảm bảo an toàn thông tin dữ liệu trên đường truyền tin và trên mạng máytính có hiệu quả thì điều trước tiên là phải lường trước hoặc dự đoán trước các khảnăng không an toàn, khả năng xâm phạm, các sự cố rủi ro có thể xảy ra đối vớithông tin dữ liệu được lưu trữ và trao đổi trên đường truyền tin cũng như trên mạng

Xác định càng chính xác các nguy cơ nói trên thì càng quyết định được tốt các giảipháp để giảm thiểu các thiệt hại.

Có hai loại hành vi xâm phạm thông tin dữ liệu đó là: vi phạm chủ động và vi phạm thụ động

- Vi phạm thụ động chỉ nhằm mục đích cuối cùng là nắm bắt được thông tin (đánh cắp thông tin) Việc làm đó có khi không biết được nội dung cụ thể nhưng có thể dò ra được người gửi, người nhận nhờ thông tin điều khiển giao thức chứa trong phần đầu các gói tin Kẻ xâm nhập có thể kiểm tra được số lượng, độ dài và tần số trao đổi Vì vậy vi pham thụ động không làm sai lệch

hoặc hủy hoại nội dung thông tin dữ liệu được trao đổi Vi phạm thụ độngthường khó phát hiện nhưng có thể có những biện pháp ngăn chặn hiệu quả

- Vi phạm chủ động là dạng vi phạm có thể làm thay đổi nội dung, xóa bỏ, làm trễ, sắp xếp lại thứ tự hoặc làm lặp lại gói tin tại thời điểm đó hoặc sau đó một thời gian Vi phạm chủ động có thể thêm vào một số thông tin ngoại lai

để làm sai lệch nội dung thông tin trao đổi Vi phạm chủ động dễ phát hiện nhưng để ngăn chặn hiệu quả thì khó khăn hơn nhiều…

2.1.1 Các kiểu tấn công mạng

 Tấn công trực tiếp

Những cuộc tấn công trực tiếp thường được sử dụng trong giai đoạn đầu đểchiếm được quyền truy nhập bên trong, phương pháp sử dụng các lỗi của chươngtrình ứng dụng và bản thân hệ điều hành đã được sử dụng từ những vụ tấn công đầutiên và vẫn được tiếp tục để chiếm quyền truy nhập Trong một số trường hợpphương pháp này cho phép kẻ tấn công có được quyền của người quản trị hệ thống

(root hay administrator)

 Thăm dò (reconnaissance)

Đó chính là hình thức hacker gửi vài thông tin truy vấn về địa chỉ IP hoặcdomain name bằng hình thức này hacker có thể lấy được thông tin về địa chỉ IP vàdomain name từ đó thực hiện các biện pháp tấn công khác…

 Packet sniffer

Packet sniffer là phần mềm sử dụng NIC card ở chế độ “promisscuous” để bắt tất cảcác gói tin trong cùng miền xung đột Nó có thể khai thác thông tin dưới dạng clear Text

 Đánh lừa (IP spoofing)

Kỹ thuật này được sử dụng khi hacker giả mạo địa chỉ IP tin cậy trong mạngnhằm thực hiện việc chèn thông tin bất hợp pháp vào trong phiên làm việc hoặcthay đổi bản tin định tuyến để thu nhận các gói tin cần thiết

 Tấn công từ chối dịch vụ (Denial of services)

Kiểu tấn công này nhằm tắc nghẽn mạng bằng cách hacker gửi các gói tin vớitốc độ cao và liên tục tới hệ thống bảo mật nhằm làm tê liệt hệ thống chiếm hếtbăng thông sử dụng

 Tấn công trực tiếp password

Đó là kiểu tấn công trực tiếp vào username và password của người sử dụngnhằm ăn cắp tài khoản sử dụng vào mục đích tấn công Hacker dùng phần mềm đểtấn công (vị dụ như Dictionary attacks)

 Thám thính(agent)

Hacker sử dụng các các phần mềm vius, trojan thường dùng để tấn công vàomáy trạm làm bước đệm để tấn công vào máy chủ và hệ thống Kẻ tấn công có thểnhận được các thông tin hữu ích từ máy nạn nhân thông qua các dịch vụ mạng

 Tấn công vào yếu tố con người

Hacker có thể tấn công vào các lỗ hổng do lỗi nhà quản trị hệ thống hoặc liên lạcvới nhà quản trị hệ thống giả mạo là người sử dụng thay đổi username và password

2.1.2 Các chiến lượt an toàn hệ thống

 Giới hạn quyền hạn tối thiểu (Last Privilege)

Đây là chiến lược cơ bản nhất theo nguyên tắc này bất kỳ một đối tượng nàocùng chỉ có những quyền hạn nhất định đối với tài nguyên mạng, khi thâm nhập vàomạng đối tượng đó chỉ được sử dụng một số tài nguyên nhất định

 Bảo vệ theo chiều sâu (Defence In Depth)

Nguyên tắc này nhắc nhở chúng ta : Không nên dựa vào một chế độ an toànnào dù cho chúng rất mạnh, mà nên tạo nhiều cơ chế an toàn để tương hỗ lẫn nhau

 Nút thắt (Choke Point)

Tạo ra một “cửa khẩu” hẹp, và chỉ cho phép thông tin đi vào hệ thống củamình bằng con đường duy nhất chính là “cửa khẩu” này => phải tổ chức một cơcấu kiểm soát và điều khiển thông tin đi qua cửa này

 Điểm nối yếu nhất (Weakest Link)

Chiến lược này dựa trên nguyên tắc: “ Một dây xích chỉ chắc tại mắt duy nhất, một bức tường chỉ cứng tại điểm yếu nhất”

Kẻ phá hoại thường tìm những chỗ yếu nhất của hệ thống để tấn công, do đó tacần phải gia cố các yếu điểm của hệ thống Thông thường chúng ta chỉ quan tâm đến kẻ tấn công trên mạng hơn là kẻ tiếp cận hệ thống, do đó an toàn vật lý được coi

là yếu điểm nhất trong hệ thống của chúng ta

 Tính toàn cục

Các hệ thống an toàn đòi hỏi phải có tính toàn cục của các hệ thống cục bộ Nếu

có một kẻ nào đó có thể bẻ gãy một cơ chế an toàn thì chúng có thể thành công bằngcách tấn công hệ thống tự do của ai đó và sau đó tấn công hệ thống từ nội bộ bên trong

 Tính đa dạng bảo vệ

Cần phải sử dụng nhiều biện pháp bảo vệ khác nhau cho hệ thống khác nhau,

nếu không có kẻ tấn công vào được một hệ thống thì chúng cũng dễ dàng tấn côngvào các hệ thống khác

2.2 Hệ thống tường lửa (Firewall)

Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truycập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhậpkhông hợp lệ từ mạng ngoài vào mạng trong

Internet Firewall là một tập hợp thiết bị (bao gồm phần cứng và phần mềm)giữa mạng của một tổ chức, một công ty, hay một quốc gia (Intranet) và Internet.Firewall thường được dùng theo phương thức ngăn chặn

2.2.1 Chức năng

 Firewall quyết định những dịch vụ nào từ bên trong đuợc phép truy cập từbên ngoài, những nguời nào từ bên ngoài đuợc phép truy cập đến các dịch vụbên trong, và cả những dịch vụ nào bên ngoài đuợc phép truy cập bởi nhữngnguời bên trong

 Để Firewall làm việc hiệu quả, tất cả trao đổi thông tin từ trong ra ngoài và nguợc lại đều phải thực hiện thông qua Firewall

 Chỉ có những trao đổi nào đuợc phép bởi chế độ an ninhcủa hệ thống mạng nội bộ mới được quyền luu thông qua Firewall.

Hình 2.1 Sơ đồ chức năng hệ thống của Firewall

Firewall có thể bao gồm phần cứng hoặc phần mềm nhưng thường là cả hai

Về mặt phần cứng thì Firewall có chức năng gần giống một router, nó cho phéphiển thị các địa chỉ IP đang kết nối qua nó Điều này cho phép bạn xác định đượccác địa chỉ nào được phép và các địa chỉ IP nào không được phép kết nối

Tất cả các Firewall đều có chung một thuộc tính là cho phép phân biệt đối xửhay khả năng từ chối truy nhập dựa trên các địa chỉ nguồn

2.2.3 Phân loại

Có nhiều loại Firewall, mỗi loại có những ưu và nhược điểm riêng Tuy nhiên

để thuận tiện cho việc nghiên cứu người ta chia hệ thống làm 2 loại chính :

- Packet filtering : là hệ thống Firewall cho phép chuyển thông tin giữa hệthống trong và ngoài mạng có kiểm soát

- Application – proxy Firewall : là hệ thống Firewall thực hiện các kết nốithay cho các kết nối trực tiếp từ máy khách yêu cầu

Packet filtering

Kiểu Firewall chung nhất là kiểu dựa trên mức mạng của mô hình OSI.Firewall mức mạng thường hoạt động theo nguyên tắc router hay còn được gọi là

router Mô hình này hoạt động theo nguyên tắc lọc gói tin (packet filering).

Ở kiểu hoạt động này các gói tin đều được kiểm tra địa chỉ nguồn nơi chúng xuấtphát Sau khi địa chỉ IP nguồn được xác định thì nó được kiểm tra với các luật đã đượcđặt ra trên router Ví dụ người quản trị Firewall quyết định rằng không cho phép bất kỳmột gói tin nào xuất phát từ mạng microsoft.com được kết nối với mạng trong thì cácgói tin xuất phát từ mạng này sẽ không bao giờ đến được mạng trong

Các Firewall hoạt động ở lớp mạng (tương tự như một router) thường cho phéptốc độ xử lý nhanh bởi nó chỉ kiểm tra địa chỉ IP nguồn mà không có một lệnh thực

sự nào trên router, nó không cần một khoảng thời gian nào để xác định xem là địachỉ sai hay bị cấm Nhưng điều này bị trả giá bởi tính tin cậy của nó Kiểu Firewallnày sử dụng địa chỉ IP nguồn làm chỉ thị, điều này tạo ra một lỗ hổng là nếu một góitin mang địa chỉ nguồn là địa chỉ giả thì như vậy nó sẽ có được một số mức truynhập vào mạng trong của bạn

Tuy nhiên có nhiều biện pháp kỹ thuật có thể được áp dụng cho việc lọc góitin nhằm khắc phục yếu điểm này Ví dụ như đối với các công nghệ packet filteringphức tạp thì không chỉ có trường địa chỉ IP được kiểm tra bởi router mà còn có cáctrường khác nữa được kiểm tra với các luật được tạo ra trên Firewall, các thông tinkhác này có thể là thời gian truy nhập, giao thức sử dụng, port…

Application – proxy firewall

Kiểu Firewalll này hoạt động dựa trên phần mềm Khi một kết nối từ một ngườidùng nào đó đến mạng sử dụng Firewall kiểu này thì kết nối đó sẽ bị chặn lại, sau đóFirewall sẽ kiểm tra các trường có liên quan của gói tin yêu cầu kết nối Nếu việckiểm tra thành công, có nghĩa là các trường thông tin đáp ứng được các luật đã đượcđặt ra trên Firewall thì Firewall sẽ tạo một cái cầu kết nối giữa hai node với nhau

 Ưu điểm của kiểu Firewall loại này là không có chức năng chuyển tiếp cácgói tin IP, hơn nữa ta có thể điều khiển một cách chi tiết hơn các kết nốithông qua Firewall Đồng thời nó còn đưa ra nhiều công cụ cho phép ghi lạicác quá trình kết nối Tất nhiên điều này phải trả giá bởi tốc độ xử lý, bởi vìtất cả các kết nối cũng như các gói tin chuyển qua Firewall đều được kiểm

tra kỹ lưỡng với các luật trên Firewall và rồi nếu được chấp nhận sẽ đượcchuyển tiếp tới node đích.

Sự chuyển tiếp các gói tin IP xảy ra khi một máy chủ nhận được một yêu cầu từmạng ngoài rồi chuyển chúng vào mạng trong Điều này tạo ra một lỗ hổng cho các

kẻ phá hoại (hacker) xâm nhập từ mạng ngoài vào mạng trong

 Nhược điểm của kiểu Firewall hoạt động dựa trên ứng dụng là phải tạo chomỗi dịch vụ trên mạng một trình ứng dụng ủy quyền (proxy) trên Firewall, ví

dụ như phải tạo một trình FTP Proxy dịch vụ FTP, tạo trình http proxy chodịch vụ http… Như vậy ta có thể thấy rằng trong kiểu giao thức client –server như dịch vụ telnet làm ví dụ thì cần phải thực hiện hai bước để cho haimáy ngoài mạng và trong mạng có thể kết nối được với nhau Khi sử dụngFirewall kiểu này các máy client (máy yêu cầu dịch vụ) có thể bị thay đổi Ví

dụ như đối với dịch vụ telnet thì các máy client có thể thực hiện theo haiphương thức: một là bạn telnet vào Firewall trước sau đó mới thực hiện việctelnet vào máy ở mạng khác, cách thứ hai là bạn có thể telnet thẳng tới đíchtùy theo các luật trên Firewall là hoàn toàn trong suốt, nó đóng vai trò nhưmột cầu nối tới đích

2.2.4 Các thành phần của Firewall và cơ chế hoạt động

Một Firewall chuẩn bao gồm một hay nhiều các thành phần sau đây:

 Bộ lọc gói (Packet–Filter)

 Cổng ứng dụng (Application–level Gateway hay Proxy Server)

 Cổng mạch (Circuite level Gateway)

 Bộ lọc gói (Packet Filter)

Nguyên lý hoạt động:

Firewall hoạt động chặt chẽ với giao thức TCI/IP và làm việc theo thuật toánchia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn làcác dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS ) thành cácgói dữ liệu (data paket) rồi gán cho các paket này những địa chỉ để có thể nhậndạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiềuđến các Packet và những con số địa chỉ của chúng

Hình 2.2 Sơ đồ làm việc của Packet Filtering

Bộ lọc gói cho phép hay từ chối mỗi packet mà nó nhận được Nó kiểm tratoàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong sốcác luật lệ của lọc gói hay không Các luật lệ lọc gói này là dựa trên các thông tin ởđầu mỗi packet (packet header ), dùng để cho phép truyền các packet đó ở trênmạng Đó là:

- Địa chỉ IP nơi xuất phát ( IP Source address)

- Địa chỉ IP nơi nhận (IP Destination address)

- Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)

- Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)

- Cổng TCP/UDP nơi nhận (TCP/UDP destination port)

- Dạng thông báo ICMP (ICMP message type)

- Giao diện Packet đến (Incomming interface of Packet)

- Giao diện Packet đi (Outcomming interface of Packet)

Nếu luật lệ lọc gói được thoả mãn thì packet được chuyển qua Firewall Nếukhông, packet sẽ bị bỏ đi Nhờ vậy mà Firewall có thể ngăn cản được các kết nốivào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào hệthống mạng nội bộ từ những địa chỉ không cho phép Hơn nữa, việc kiểm soát cáccổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vàocác loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP )được phép mới chạy được trên hệ thống mạng cục bộ

Ưu điểm

 Đa số các hệ thống Firewall đều sử dụng bộ lọc gói Một trong những ưu điểmcủa phương pháp dùng bộ lọc gói là chi phí thấp vì cơ chế lọc gói đã được baogồm trong mỗi phần mềm router

 Ngoài ra, bộ lọc gói là trong suốt đối với người sử dụng và các ứng dụng, vìvậy nó không yêu cầu sự huấn luyện đặc biệt nào cả.

Hạn chế

 Việc định nghĩa các chế độ lọc gói là một việc khá phức tạp; nó đòi hỏi ngườiquản trị mạng cần có hiểu biết chi tiết về các dịch vụ Internet, các dạng packetheader, và các giá trị cụ thể mà họ có thể nhận trên mỗi trường Khi đòi hỏi vể

sự lọc càng lớn, các luật lệ về lọc càng trở nên dài và phức tạp, rất khó để quản

lý và điều khiển

 Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc gói không kiểmsoát được nội dung thông tin của packet Các packet chuyển qua vẫn có thể mangtheo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu

Client

Kết nối cảm giác Kết nối thật sự

Hình 2.3 Kết nối giữa người dùng (Client) với Server qua Proxy

Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát cácloại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng Cơ chế hoạtđộng của nó dựa trên cách thức gọi là proxy service (dịch vụ đại diện) Proxyservice là các bộ code đặc biệt cài đặt trên cổng ra (gateway) cho từng ứng dụng.Nếu người quản trị mạng không cài đặt proxy code cho một ứng dụng nào đó, dịch

vụ tương ứng sẽ không được cung cấp và do đó không thể chuyển thông tin quaFirewall Ngoài ra, proxy code có thể được định cấu hình để hỗ trợ chỉ một số đặcđiểm trong ứng dụng mà người quản trị mạng cho là chấp nhận được trong khi từchối những đặc điểm khác

Một cổng ứng dụng thường được coi như là một pháo đài (bastion host), bởi vì

nó được thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài Những biện phápđảm bảo an ninh của một bastion host là:

 Bastion host luôn chạy các version an toàn (secure version) của các phần mềm

hệ thống (operating system) Các version an toàn này được thiết kế chuyên chomục đích chống lại sự tấn công vào hệ điều hành (operating system), cũng như

là đảm bảo sự tích hợp Firewall

 Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trênbastion host, đơn giản chỉ vì nếu một dịch vụ không được cài đặt, nó không thể bịtấn công Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet,DNS, FTP, SMTP và xác thực user là được cài đặt trên bastion host

 Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như userpassword hay smart card

Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một số các máy chủnhất định Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉđúng với một số máy chủ trên toàn hệ thống

Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giaothông qua nó, mỗi sự kết nối, khoảng thời gian kết nối Nhật ký này rất có ích trongviệc tìm theo dấu vết hay ngăn chặn kẻ phá hoại

Mỗi proxy đều độc lập với các proxy khác trên bastion host Điều này cho phépđơn giản quá trình cài đặt một proxy mới, hay tháo gỡ một proxy đang có vấn đề

Ưu điểm

 Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trênmạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủnào có thể truy nhập được bởi các dịch vụ

 Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nàocho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng cónghĩa là các dịch vụ ấy bị khoá

 Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có nhật ký ghichép lại thông tin về truy nhập hệ thống

 Luật lệ filltering (lọc) cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn

Hình 2.4 Kết nối qua cổng vòng (Circuit–Level Gateway)

Cổng vòng là một chức năng đặc biệt có thể thực hiện đươc bởi một cổng ứngdụng Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thựchiện bất kỳ một hành động xử lý hay lọc gói nào

Hình 2.4 minh hoạ một hành động sử dụng nối telnet qua cổng vòng Cổngvòng đơn giản chuyển tiếp kết nối telnet qua Firewall mà không thực hiện một sựkiểm tra, lọc hay điều khiển các thủ tục telnet nào Cổng vòng làm việc như một sợidây, sao chép các byte giữa kết nối bên trong (inside connection) và các kết nối bênngoài (outside connection) Tuy nhiên, vì sự kết nối này xuất hiện từ hệ thốngFirewall, nó che dấu thông tin về mạng nội bộ

Cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà các nhàquản trị mạng thật sự tin tưởng những người dùng bên trong Ưu điểm lớn nhất làmột bastion host có thể được cấu hình như là một hỗn hợp cung cấp cổng ứng dụngcho những kết nối đến, và cổng vòng cho các kết nối đi Điều này làm cho hệ thốngbức tường lửa dễ dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếptruy nhập tới các dịch vụ Internet, trong khi vẫn cung cấp chức năng bức tường lửa

để bảo vệ mạng nội bộ từ những sự tấn công bên ngoài

2.2.5 Các loại Firewall

 Packet-Filtering Router (Bộ trung chuyển có lọc gói)

Hệ thống Internet firewall phổ biến nhất chỉ bao gồm một packet-filtering router đặt giữa mạng nội bộ và Internet (Hình2.5)

Một packet-filtering router có hai chức năng: chuyển tiếp truyền thông giữa haimạng và sử dụng các quy luật về lọc gói để cho phép hay từ chối truyền thông Cănbản, các quy luật lọc đựơc định nghĩa sao cho các host trên mạng nội bộ được quyềntruy nhập trực tiếp tới Internet, trong khi các host trên Internet chỉ có một số giới hạncác truy nhập vào các máy tính trên mạng nội bộ Tư tưởng của mô cấu trúc Firewallnày là tất cả những gì không được chỉ ra rõ ràng cho phép thì có nghĩa là bị từ chối.

Hình 2.5 Packet-filtering router

 Screened Host Firewall

Hệ thống này bao gồm một packet-filtering router và một bastion host (hình2.9) Hệ thống này cung cấp độ bảo mật cao hơn hệ thống trên, vì nó thực hiện cả bảomật ở tầng network( packet-filtering ) và ở tầng ứng dụng (application level) Đồngthời, kẻ tấn công phải phá vỡ cả hai tầng bảo mật để tấn công vào mạng nội bộ

Hình 2.6 Screened host firewall (Single- Homed Bastion Host)

 Demilitarized Zone (DMZ - khu vực phi quân sự) hay Screened-subnet Firewall

Hệ thống này bao gồm hai packet-filtering router và một bastion host (hình2.7) Hệ thống firewall này có độ an toàn cao nhất vì nó cung cấp cả mức bảo mật :network và application trong khi định nghĩa một mạng phi quân sự‛ Mạng DMZđóng vai trò nh- một mạng nhỏ, cô lập đặt giữa Internet và mạng nội bộ Cơ bản,một DMZ được cấu hình sao cho các hệ thống trên Internet và mạng nội bộ chỉ cóthể truy nhập được một số giới hạn các hệ thống trên mạng DMZ, và sự truyền trựctiếp qua mạng DMZ là không thể được

Với những thông tin đến, router ngoài chống lại những sự tấn công chuẩn giả mạo địa chỉ IP), và điều khiển truy nhập tới DMZ Nó cho phép hệ thống bênngoài truy nhập chỉ bastion host, và có thể cả information server Router trong cungcấp sự bảo vệ thứ hai bằng cách điều khiển DMZ truy nhập mạng nội bộ chỉ vớinhững truyền thông bắt đầu từ bastion host

(nh-Với những thông tin đi, router trong điều khiển mạng nội bộ truy nhập tớiDMZ Nó chỉ cho phép các hệ thống bên trong truy nhập bastion host và có thể cảinformation server Quy luật filtering trên router ngoài yêu cầu sử dung dich vụproxy bằng cách chỉ cho phép thông tin ra bắt nguồn từ bastion host

Hình 2.7 Screened-Subnet Firewall