BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - NGUYỄN XUÂN HUY XÂY DỰNG HỆ THỐNG GIÁM SÁT TÀI NGUYÊN VÀ CHÍNH SÁCH AN NINH MẠNG TRÊN MÔI TRƯỜNG LINUX LUẬN VĂN THẠC SĨ KHOA HỌC Chuyên ngành : Điện tử viễn thông NGƯỜI HƯỚNG DẪN KHOA HỌC : LÊ BÁ DŨNG Hà Nội – 2007 MỤC LỤC DANH MỤC HÌNH VẼ DANH MỤC CÁC BẢNG .6 BẢNG CHỮ TIẾNG ANH VIẾT TẮT LỜI MỞ ĐẦU… .8 CHƯƠNG TỔNG QUAN VỀ AN NINH MẠNG IP 11 1.1 An ninh-an toàn mạng ? 11 1.2 Đánh giá đe dọa, điểm yếu hệ thống kiểu công 12 1.2.1 Những kẻ công mạng ai? 12 1.2.2 Lỗ hổng an ninh 14 1.2.3 Tin tặc công mạng nào? 16 1.3 Một số công cụ an ninh – an toàn mạng IP 18 1.3.1 Thực an ninh – an toàn từ cổng truy nhập dùng tường lửa 18 1.3.2 Hệ phát đột nhập mạng gì? 18 1.3.3 Giám sát thực an ninh – an toàn từ bên dùng IPS .19 1.3.4 Mã mật thông tin 20 1.3.5 Mô hình bảo vệ mạng bốn lớp 21 1.4 Một số tiêu chuẩn đánh giá an ninh – an toàn mạng IP .22 1.4.1 An ninh – an toàn mạng Hoa Kỳ 23 1.4.2 An ninh – an toàn mạng Nhật Bản .24 1.4.3 An ninh – an toàn mạng Hàn Quốc 25 1.4.4 An ninh – an toàn mạng Australia 27 1.4.5 Sự phối hợp khu vực 27 1.4.6 Sự phối hợp toàn cầu 28 1.4.7 Hướng cần xem xét 29 CHƯƠNG ĐÁNH GIÁ AN NINH – AN TOÀN MẠNG IP 31 2.1 Giới thiệu 31 2.2 Xây dựng phương pháp đánh giá an ninh mạng 32 2.2.1 Quy trình đánh giá độ an ninh – an toàn mạng 32 2.2.2 Tiêu chuẩn đánh giá 32 2.2.3 Phương pháp đánh giá .33 2.2.4 Phương pháp đánh giá từ xuống .34 2.2.5 Phương pháp đánh giá từ lên 37 2.2.6 Đánh giá tổng quan 37 2.2.7 Xây dựng kế hoạch kiểm tra 38 2.2.8 Xây dựng công cụ phục vụ kiểm tra 38 2.2.9 Định hướng sử dụng công cụ quản lý đánh giá 38 2.2.10 Phân tích 39 2.2.11 Làm thành tài liệu 39 2.3 Mô hình dùng để đánh giá an ninh mạng 39 2.4 Một số giải pháp dùng cho doanh nghiệp vừa nhỏ 40 CHƯƠNG GIẢI PHÁP AN TOÀN – AN NINH MẠNG IP .42 3.1 Thực an ninh mạng với tường lửa 42 3.1.1 Khái niệm 42 3.1.2 Chức 43 3.1.3 Cấu trúc 43 3.1.4 Các thành phần Firewall chế hoạt động 43 3.1.5 Những hạn chế Firewall 48 3.1.6 Các ví dụ Firewall .49 3.2 Hệ thống phát đột nhập – IDS 52 3.2.1 Một số khái niệm .52 3.2.2 Phân loại IDS .53 3.2.3 Mô hình chức hệ IDS 54 3.2.4 Network based IDS – NIDS 55 3.2.5 Host based IDS – HIDS 58 3.3 Hệ thống quản lý giám sát tài nguyên mạng 59 3.3.1 Vai trò hệ thống quản trị mạng 59 3.3.2 Các nguyên tắc việc quản lý mạng 59 3.3.3 Mô hình Manager/ Agent 60 3.3.4 SNMP - Simple Network Management Protocol 61 3.4 Mã hóa thông tin 67 3.4.1 Bảo vệ thông tin mật mã 67 3.4.2 Cơ sở hạ tầng khóa công khai - PKI 76 3.4.3 Mạng riêng ảo – VPN 79 CHƯƠNG MỘT SỐ CÔNG CỤ AN NINH MẠNG MÃ NGUỒN MỞ 86 4.1 Giới thiệu 86 4.2 Công cụ xây dựng sách an ninh cho tường lửa .87 4.2.1 Netfilter Iptables 87 4.2.2 Fwbuilder 93 4.3 Công cụ quản lý giám sát hệ thống 95 4.3.1 Cacti 95 4.3.2 Nagios 96 4.3.3 Jffnms - Just for Fun Network Management System 96 4.3.4 Kismet 97 4.4 Công cụ phân tích đánh giá mạng 97 4.4.1 Hệ thống quét lỗ hổng an ninh mạng – Nessus 98 4.4.2 Công cụ quét sách an ninh cho máy chủ Web - Nikto 99 4.4.3 Công cụ quét cổng – Nmap .100 4.5 Hệ thống phát đột nhập mạng - Snort .103 4.5.1 Giới thiệu 103 4.5.2 Các thành phần hệ Snort 104 4.6 Hệ thống mạng riêng ảo với OpenVPN .106 CHƯƠNG TRIỂN KHAI CÁC HỆ THỐNG 108 5.1 Giới thiệu 108 5.2 Thiết kế từ đầu cho xây dựng mạng .109 5.2.1 Thực an ninh an toàn mạng từ bước thiết kế 109 5.2.2 Thực an ninh an toàn mạng từ bước cài đặt mạng 110 5.3 Quy hoạch lại cho hệ thống mạng có 110 5.4 Đề xuất mô hình giải pháp thực an toàn an ninh mạng 111 5.4.1 Thiết kế sơ đồ khối 111 5.4.2 Sơ đồ thiết kế kỹ thuật .113 5.5 Một số kết 115 5.5.1 Kết xây dựng sách cho tường lửa 115 5.5.2 Kết xây dựng hệ giám sát tài nguyên mạng 117 5.5.3 Kết đánh giá an toàn – an ninh mạng 120 KẾT LUẬN…… 124 TÀI LIỆU THAM KHẢO 125 DANH MỤC HÌNH VẼ Hình 1-1Mô hình tường lửa đơn giản 18 Hình 1-2 Vị trí đặt IDS 19 Hình 1-3 Mô hình bảo vệ mạng bốn lớp 21 Hình 1-4 Hệ thống an ninh nhiều tầng .22 Hình 2-1 Minh họa phương pháp đánh giá 33 Hình 2-2 Sơ đồ mạng cho doanh nghiệp cỡ nhỏ .40 Hình 2-3 Sơ đồ mạng cho doanh nghiệp cỡ vừa .41 Hình 3-1 Mô hình tổng quát tường lửa 42 Hình 3-2 Circui-Level gateway 48 Hình 3-3 Packet-filtering router .49 Hình 3-4 Single- Homed Bastion Host 50 Hình 3-5 Dual- Homed Bastion Host 51 Hình 3-6 Minh họa hệ thống NIDS 55 Hình 3-7 Vị trí IDS mạng 57 Hình 3-8 NIDS HIDS 58 Hình 3-9 Mô hình Manager/Agent 60 Hình 3-10 Mô hình quản lý dựa giao thức SNMP .62 Hình 3-11 Kiến trúc hệ thống SNMP 64 Hình 3-12 Gửi messages Manager Agent 65 Hình 3-13 Mã hóa đối xứng .69 Hình 3-14 Mã hóa công khai .70 Hình 3-15 Quá trình trao đổi khóa 71 Hình 3-16 Hai phương pháp tạo chữ ký điện tử 73 Hình 3-17 Mô hình mạng VPN điển hình 80 Hình 3-18 Remote Access VPNs .81 Hình 3-19 Kết nối Internet sử dụng Backbone WAN .82 Hình 3-20 Thiết lập Intranet dựa VPN .82 Hình 3-21 Mô hình mạng Extranet thông thường .84 Hình 3-22 Mô hình Extranet VPN 84 Hình 4-1 Giải pháp OpenVPN cho doanh nghiệp nhỏ 107 Hình 5-1 Thiết kế sơ đồ khối hệ thống 111 Hình 5-2 Kết nối lớp mạng dịch vụ vào mạng lõi 112 Hình 5-3 Kết nối lớp Access vào mạng lõi 113 Hình 5-4 Sơ đồ thiết kế mạng an ninh nhiều tầng 114 Hình 5-5 Bảng quản lý sách Firewall .116 Hình 5-6 Bảng quản lý NAT Firewall 116 Hình 5-7 Cacti – giao diện console 117 Hình 5-8 Cacti – Giám sát lưu lượng mạng 118 Hình 5-9 Cacti – Giám sát trạng thái máy quan trọng 118 Hình 5-10 Weathermap - vẽ đồ mạng .119 Hình 5-11 Smokeping – kiểm tra độ gói đường truyền 119 DANH MỤC CÁC BẢNG Bảng 2-1 Một số tiêu chuẩn đánh giá theo ISO 1779 34 Bảng 3-1 Bảng so sánh DES Triple DES 69 Bảng 4-1 Chức Chain bảng 88 Bảng 4-2 Các tham số chuyển mạch (switching) quan trọng Iptables 92 Bảng 5-1 Kết đánh giá điểm yếu Nessus 121 BẢNG CHỮ TIẾNG ANH VIẾT TẮT STT Chữ viết tắt IDS Tên đủ Instrusion Detection System Giải thích Hệ thống phát đột nhập NIDS HIDS Network based Instrusion Detection Hệ thống phát đột System nhập mạng Host based Instrusion Detection System DNS Domain Name System Hệ thống tên miền DMZ Demilitarized Zone Khu vực bất khả xâm phạm IETF Internet Engineering Task Force Tiểu ban kỹ thuật Internet Ban kiến trúc Internet IP Internet protocol Giao thức Internet ISO International Organization for Tổ chức quốc tế cho Standardization tiêu chuẩn hóa MIB Management Information Base Cơ sở thông tin quản lý 10 NMS Network Management Station Trạm quản lý mạng 11 PDU Protocol Data Unit Đơn vị liệu giao thức 12 SMI Structure of Management Information Cấu trúc thông tin quản lý 13 SNMP Simple Network Management Giao thức quản lý mạng Protocol đơn giản Transmission Control Protocol Giao thức điều khiển 14 TCP truyền dẫn LỜI MỞ ĐẦU Ngày mạng IP hạ tầng công nghệ thông tin cần thiết cho từ cá nhân đến tổ chức doanh nghiệp hoạt động thường ngày vấn đề tin cậy tính sẵn sàng cao hệ thống đặt an ninh mạng IP cần nghiên cứu xây dựng cách hệ thống Trên giới năm 1999, bắt đầu xuất kiểu công từ chối dịch vụ DOS, năm sau, trang web hàng đầu CNN, Yahoo bị công phương pháp DoS, năm 2002 loạt doanh nghiệp bị kiểu công biến thể DDoS Tháng năm 2003, sâu khai thác câu lệnh SQL làm ngưng trệ lưu lượng Internet giới Tháng 8, 2003, Internet lại bị sâu W32/Blaster công… Ở Việt nam kiểu công từ chối dịch vụ, spam, spyware, kiểm soát sở liệu chứa thông tin khách hàng, lấy cắp mã thẻ tín dụng, thông tin liệu cá nhân tiếp tục hoành hành bối cảnh yếu an ninh mạng IP Ngày 01/03/2006 Luật Thương Mại Điện Tử Việt nam có hiệu lực, móng phát triển thương mại điện tử Việt Nam Các hệ thống Thương Mại Điện Tử non trẻ, doanh bắt đầu sử dụng công cụ hạ tầng mạng phải gánh chịu hậu nghiêm trọng không chuẩn bị vấn đề an ninh - an toàn thông tin Một lý quan trọng doanh nghiệp ngày đưa nhiều dịch vụ mạng, ngày phụ thuộc vào hệ thống mạng Khi doanh nghiệp triển khai dịch vụ đương nhiên nguy an ninh ngày tăng Và nhu cầu an ninh hơn, giảm thiểu rủi ro thực tế hữu Vấn đề trở nên thiết tổ chức tài chính, ngân hàng cung cấp dịch vụ qua mạng Internet nhu cầu tất yếu, yêu cầu hội nhập Cùng với giới, xu hướng làm việc di động nhân viên ranh giới hệ thống không rõ ràng trước nữa, nguy đe dọa an ninh tăng Với chủ đề an ninh mạng, có nhiều điều cần thảo luận, đe dọa virus, sâu máy tính, đe dọa loại hình công, cách thức phản ứng, cách thức phòng ngừa hữu hiệu Việt Nam bị công nghiêm trọng công cụ tự động mắc lỗi bảo mật phổ biến Các dịch vụ viễn thông, có điện thoại di động với tảng công nghệ tích hợp với mạng máy tính thiết bị sử dụng hệ điều hành nằm tầm ngắm hacker chịu tác động hình thái công mạng Để ứng phó với tình hình này, thị trường bảo mật Việt Nam phát triển nóng, nhu cầu chuyên gia bảo mật tăng mạnh, hàng loạt công ty nước đổ vào thị trường bảo mật Việt Nam với nhiều sản phẩm loại hình dịch vụ chuyên nghiệp Có thể điểm qua hầu hết tên tuổi lớn giới có mặt Việt Nam: Bitdefender, McAfee, RSA, Checkpoint, Cisco, Symantec, Juniper, Astaro … Song hành với thị trường nhu cầu tiêu chuẩn thẩm định quản lý sản phẩm bảo mật đặt cho cấp quản lý Các hệ thống lớn xung yếu Việt Nam cần nhân lực có trình độ cao lĩnh vực an ninh mạng để vận hành an toàn Internet Trong hoàn cảnh đồng nghiệp công ty NetNam - Viện công nghệ thông tin nhiều năm nghiên cứu tìm hiểu công cụ an ninh-an toàn mạng mã nguồn mở nhằm đưa số mô hình hỗ trợ: − Thiết kế hệ thống mạng an toàn bảo mật − Các công cụ phát hiện, ngăn chặn công hiệu − Các công cụ giám sát hoạt động hệ thống mạng phát bất thường − Các công cụ kiểm tra lỗ hổng hệ thống mạng − Các công cụ mã hóa phổ biến Trong luận văn trình bày số công nghệ an ninh, bảo mật mạng TCP/IP sử dụng đề xuất giải pháp xây dựng hệ thống an chương 2, việc cải tạo, bổ sung hay nâng cấp phải thực theo yêu cầu không gây ảnh hưởng đến trình vận hành, đồng thời phải thỏa mãn yêu cầu trình bày mục chương thiết kế xây dựng mạng Quá trình đánh giá kiểm tra phải thực từ lên, tức đánh giá kiểm tra từ thiết bị mạng, máy trạm, máy chủ dịch vụ, đoạn mạng từ phòng ban, mạng trung tâm, chi nhánh 5.4 Đề xuất mô hình giải pháp thực an toàn an ninh mạng Sau trình bày mô hình mạng cho tổ chức, doanh nghiệp vừa nhỏ Mô hình triển khai thực tế cho nhiều tổ chức doanh nghiệp Tuy nhiên, tổ chức có sách mục đích riêng việc xây dựng hệ thống mạng, triển khai thực tế phải dựa vào mục tiêu riêng mà có giải pháp cụ thể sách an ninh thiết bị an ninh 5.4.1 Thiết kế sơ đồ khối Hình 5-1 Thiết kế sơ đồ khối hệ thống 111 − Core Network: khối lớp mạng lõi thực chức chuyển mạch gói tin với tốc độ cao khối khác Khối không thực việc đặt sách lọc chặn gói tin, điều làm giảm tốc độ chuyển mạch khối − Service Network: lớp mạng dịch vụ nơi đặt thiết bị máy chủ cung cấp dịch vụ như: Web hosting, E_mail, multimedia, data centre … Lớp mạng kết nối vào lớp mạng lõi thông qua hệ thống Firewall để quản lý sách truy cập Hình sau mô tả hệ việc kết nối từ lớp Service vào lớp mạng lõi: Hình 5-2 Kết nối lớp mạng dịch vụ vào mạng lõi − Access network: Tại lớp mạng truy cập này, sử dụng thiết bị lớp lớp mô hình OSI để phục vụ nhu cầu truy cập dịch vụ hệ thống người dùng, chi nhánh tổ chức khác Hình minh họa việc kết nối từ lớp mạng Access vào lớp mạng lõi: 112 Hình 5-3 Kết nối lớp Access vào mạng lõi − Management Network: Lớp có chức thực quản lý toàn hệ thống mạng như: o Quản lý cấu hình thiết bị o Xây dựng sách truy cập hệ thống o Giám sát hoạt động mạng o Bảo dưỡng, bảo trì hệ thống … − Edge Network: Có nhiệm vụ kết nối tới từ mạng tổ chức đến nhà cung cấp dịch vụ (Internet Service Provider - ISP) 5.4.2 Sơ đồ thiết kế kỹ thuật Hình 5-4 sơ đồ thiết kế hệ thống mạng với sách an ninh nhiều tầng Các thành phần Gateway, Firewall, VPN server, IDS, giám sát mạng thực hệ thống mã nguồn mở đề cập chương 113 Hình 5-4 Sơ đồ thiết kế mạng an ninh nhiều tầng 114 5.5 Một số kết Phần tổng hợp lại số kết hệ thống mà đồng nghiệp NetNam triển khai Công ty NetNam cho số tổ chức, doanh nghiệp khác 5.5.1 Kết xây dựng sách cho tường lửa • Sơ đồ minh họa Đây sơ đồ cho cho mạng quy mô nhỏ • Yêu cầu xây dựng sách − Cho phép ping từ đâu đến đâu − Các máy trạm truy cập tới Internet DMZ với dịch vụ: http, https, smtp, pop3, ftp, domain − Máy Admin truy cập Internet với dịch vụ: http, https, smtp, pop, ftp, domain − Máy Admin truy cập vùng DMZ Firewall với dịch vụ: ssh, vnc, telnet − Từ Internet truy cập vào DMZ với dịch vụ: http, smtp, pop3, domain − NAT Port cho vùng mạng máy trạm − NAT 1:1 thành IP thật cho Web Mail Server Internet − Không NAT gói tin từ vùng DMZ vào vùng máy trạm 115 Hình kết xây dựng sách cho Firewall với yêu cầu Hình 5-5 Bảng quản lý sách Firewall Hình 5-6 Bảng quản lý NAT Firewall 116 5.5.2 Kết xây dựng hệ giám sát tài nguyên mạng Có nhiều công cụ phục vụ việc giám sát tài nguyên mạng trình bày chương Trong phần đưa kết hệ thống Cacti, hệ thống triển khai để giám sát tài nguyên mạng công ty NetNam số tổ chức, doanh nghiệp khác Hệ thống tích hợp thêm số công cụ khác như: vẽ đồ mạng (weathermaps), kiểm tra độ trễ độ gói (smokeping)… Hình minh họa số kết thực Cacti Hình 5-7 Cacti – giao diện console 117 Hình 5-8 Cacti – Giám sát lưu lượng mạng Hình 5-9 Cacti – Giám sát trạng thái máy quan trọng 118 Hình 5-10 Weathermap - vẽ đồ mạng Hình 5-11 Smokeping – kiểm tra độ gói đường truyền 119 5.5.3 Kết đánh giá an toàn – an ninh mạng Việc phân tích đánh giá an toàn - an ninh mạng IP công cụ phục vụ việc đánh giá trình bày chương chương luận văn Dưới kết đánh giá mức độ an toàn an ninh vài server Internet công cụ Nessus Nmap Kết đánh giá Nmap: Hình minh họa kết tiến trình quét cổng dịch vụ máy chủ web: www.toquoc.gov.vn Phân tích kết quả: − Địa IP máy chủ web 210.245.85.42 120 − Các cổng dịch vụ mở server: tcp 80, 135, 139, … − Server có mở dịch vụ chia sẻ file (cổng 445/tcp) − Hệ thống web chạy IIS (Internet Information Services) − Server bật tính “remote desktop” cho phép truy cập vào server từ Internet Kết đánh giá Nessus: Bảng báo cáo kết Nessus sau quét sách máy chủ trước máy chủ đưa lên mạng Internet để cung cấp dịch vụ hosting Bảng báo cáo cho thấy cổng server mở, điểm yếu server để từ tắt cổng không cần thiết mà điểm yếu để công vào server Bảng 5-1 Kết đánh giá điểm yếu Nessus Network Vulnerability Assessment Report Session name: new_server Total records generated: 29 high severity: Medium severity: informational: 28 Service ftp (21/tcp) smtp (25/tcp) domain (53/tcp) http (80/tcp) pop3 (110/tcp) mysql (3306/tcp) ms-sql-s domain (53/tcp) Severity Info Info Info Info Info Info Info Medium Start time: 23.05.2007 16:55:38 Finish time: 23.05.2007 16:58:54 Elapsed: day(s) 00:03:16 Description Port is open Port is open Port is open Port is open Port is open Port is open Port is open Synopsis : The remote name server allows recursive queries to be performed by the host running nessusd Description : It is possible to query the remote name server for third party names 121 If this is your internal nameserver, then forget this warning If you are probing a remote nameserver, then it allows anyone to use it to resolve third parties names (such as www.nessus.org) This allows hackers to cache poisoning attacks against thisnameserver If the host allows these recursive queries via UDP, then the host can be used to 'bounce' Denial of Service attacks against another network or system See also : http://www.cert.org/advisories/CA-1997-22.html Solution : Restrict recursive queries to the hosts that should use this nameserver (such as those of the LAN connected to it) http (80/tcp) domain (53/tcp) Info Info pop3 (110/tcp) general/tcp ftp (21/tcp) Info Info Info smtp (25/tcp) Info http (80/tcp) Info mysql (3306/tcp) Info general/icmp Info A web server is running on this port A DNS server is running on this port If you not use it, di bl it Risk factor : Low A pop3 server is running on this port 125.214.16.68 resolves as user68-16.enet.vn An FTP server is running on this port Here is its banner : 220 Microsoft FTP Service An SMTP server is running on this port Here is its banner : 220 hosting-nn.netnam.vn ESMTP Synopsis : The remote server is running with WebDAV enabled Description : WebDAV is an industry standard extension to the HTTP specification specification Synopsis : A Database server is listening on the remote port Description : The remote host is running MySQL, an open-source Database server is possible to extract the version number of the remote installation by receiving the server greeting Synopsis : It is possible to determine the exact time set on the remote host Description : The remote host answers to an ICMP timestamp request This allows an attacker to know the date which is set on your machine This may help him to defeat all your time based authentication protocols 122 Solution : filter out the ICMP timestamp requests (13), and the outgoing ICMP timestamp replies (14) ftp (21/tcp) Info Synopsis : An FTP server is listening on this port Description : It is possible to obtain the banner of the remote FTP server by connecting to the remote port Risk factor : None Plugin output : The remote FTP banner is : 220 Microsoft FTP Service Synopsis : A POP server is listening on the remote port The remote host is running a POP server Solution : Disable this service if you not use it Risk factor: None Plugin output : Remote POP server banner : +OK POP3 Synopsis : An SMTP server is listening on the remote port Description : The remote host is running a mail (SMTP) server on this port Since SMTP servers are the targets of spammers, it is recommended you disable it if you not use it Solution : Disable this service if you not use it, or filter incoming traffic to this port pop3 (110/tcp) Info smtp (25/tcp) Info ms-sql-s (1433/tcp) Info Synposis : A SQL server is running on the remote host Description : Microsoft SQL server is running on this port You should never let any unauthorized users establish connections to this service http (80/tcp) Info general/tcp Info Server: Microsoft-IIS/6.0 X-Powered-By: ASP.NET Remote operating system : Microsoft Windows 2003 Confidence Level : 75 Method : HTTP The remote host is running Microsoft Windows 2003 Server 123 KẾT LUẬN Ngày mà công nghệ thông tin ngày phát triển, đem lại cho người nhiều thuận lợi sống, với nhu cầu trao đổi thông tin có nhiều công ty không với mục đích trao đổi thông tin mà sử dụng với mục đích kinh doanh, thực giao dịch thương mại điện tử Tuy nhiên, mạng Internet ngày có nhiều kẻ công, virus, gian trá điện tử chuyên xâm nhập trái phép vào mạng nội bộ, chúng dựa vào kẽ hở hệ điều hành, dò tìm lỗ hổng an ninh, bất cẩn của người sử dụng để xâm nhập sâu vào mạng nội quan, tổ chức với nhiều mục đích khác Vấn đề an ninh bảo mật cho mạng TCP/IP vấn đề quan trọng đưa mạng vào hoạt động phục vụ, mà luận văn cố gắng đề cập đến Trong luận văn có đề cập đến công nghệ cách giải vấn đề an ninh an toàn mạng dựa công nghệ công nghệ tường lửa, công nghệ mã hóa, công nghệ giám sát phát xâm nhập, công nghệ đánh giá an toàn an ninh cho hệ thống mạng Như vậy, luận văn đề cập đến giải pháp tổng thể, tùy vào quy mô nhu cầu tổ chức, doanh nghiệp mà có mô hình quy hoạch hệ thống riêng An ninh mạng vấn đề rộng, bao gồm nhiều công nghệ, nhiều công cụ, thiết bị thị trường, có nhiều giải pháp bảo mật hãng đưa Tuy nhiên chưa có giải pháp tuyệt đối đảm bảo an toàn cho tài nguyên mạng Do việc tiếp tục nghiên cứu, tìm hiểu giải pháp tối ưu cho công nghệ mạng nói chung đáp ứng nhu cầu tổ chức nói riêng cần thiết Đó hướng tiếp tục nghiên cứu vấn đề an ninh cho mạng cung cấp dịch vụ 124 TÀI LIỆU THAM KHẢO [1.] Nguyễn Thúc Hải, “Mạng máy tính hệ thống mở”, NXB Giáo dục, 1997 [2.] Nguyễn Quốc Cường “Internetworking với TCP/IP”, NXBGD, 2001 [3.] John E Canavan, “Fundamentals of Network Security”, ARTECH HOUSE, INC 2001 [4.] Matt Bishop, “Introduction to Computer Security”, Prentice Hall PTR, October 26, 2004 [5.] Christopher Alberts, Audrey Dorofee, “Managing Information Security Risks”, Addison Wesley, July 09, 2002 [6.] Rafeeq Ur Rehman, “Intrusion Detection Systems with Snort”, Prentice Hall PTR 2003 [7.] Dr Sidnie M.Feit, “A Guide to Network Management”, McG-Hill, 1995 [8.] William Stalling, "SNMP, SNMPv2 and RMON Practical Network Management", Second Edition, Addison-Wesley Publising Conpany [9.] Marshall T.Rose, "An Introduction to Management of TCP/IP - Internets", Prentice Hall PTR, 1991 [10.] Brian Komar, Ronald Beekelaar, and Joern Wettern, “ Firewalls For Dummies”, Wesley Publising, 2nd Edition 2003 [11.] Seymour Bosworth, “Computer Security Handbook” , John Wiley & Sons [12.] Carlisle Adams, Steve Lloyd, “Understanding PKI”, Addison Wesley, November 06, 2002 [13.] Markus Feilner, “OpenVPN Building and Integrating Virtual Private Networks”, Packt Publishing Ltd, 2006 [14.] Jay Beale, James C.Foster, Jeffrey Posluns and Brian Caswell, “Snort 2.0 Instrusion Detection” 2003 125 ... (availability) tài nguyên phần cứng, phần mềm, liệu dịch vụ hệ thống mạng Vấn đề an ninh - an toàn thể hiên qua mối quan hệ người dùng với hệ thống mạng tài nguyên mạng Các quan hệ xác định, đảm... QUAN VỀ AN NINH MẠNG IP 1.1 An ninh -an toàn mạng ? An ninh -an toàn mạng dùng riêng, hay mạng nội thực chế giám sát đảm bảo không cho làm mà mạng nội không muốn cho làm Vậy thiết kế triển khai mạng. .. để giám sát để hạn chế hoạt động truy nhập, sử dụng tài nguyên mạng đảm bảo yêu cầu an ninh -an toàn mạng Chúng ta gọi chế an ninh -an toàn mạng Tài nguyên mà muốn bảo vệ ? − Là dịch vụ mà mạng