Nghiên cứu các giải pháp nâng cao tính bảo mật cho hệ thống mạng LAN

MỤC LỤC DANH MỤC CÁC HÌNH VẼ 3 DANH MỤC CÁC BẢNG BIỂU 4 THÔNG TIN KẾT QUẢ NGHIÊN CỨU 5 MỞ ĐẦU 7 CHƯƠNG 1 : TỔNG QUAN VỀ MẠNG LAN VÀ CÁC VẤN ĐỂ BẢO MẬT 8 1.1 Lịch sử hình thành, quá trình phát triển của mạng máy tính 8 1.2 Lợi ích của mạng máy tính 10 1.3 Phân loại mạng máy tính 12 1.4 So sánh 2 mô hình TCPIP và OSI 14 1.5 Kiến trúc hệ thống mạng LAN 16 1.5.1 Cấu trúc mô hình mạng phân cấp. 16 1.5.2 Một số thiết bị mạng thường gặp 19 1.6 Bảo mật trong mạng LAN 23 1.7 Tình hình an ninh mạng Việt Nam trong năm 2016 24 1.8 Một số phương pháp tấn công mạng thường gặp 26 1.8.1 Tấn công bị động (Passive Attack) 26 1.8.2 Tấn công chủ động (Active Attack) 27 1.8.3 Tấn công SYN 30 1.8.4 Tấn công password 32 1.8.5 Passive Online Attacks 32 1.8.6 Active Online Attacks 32 1.8.7 Offline Attacks 32 1.8.8 Brute Force Attack 33 1.8.9 Tấn công mã độc mã hóa dữ liệu tống tiền (Ransomware) 33 1.8.10 Tấn công dựa trên phần cứng (Hardware) 35 1.8.11 Tấn công thư giả mạo (Spearphishing) 35 1.8.12 Tấn công dịch vụ điện toán đám mây (Cloud services) 36 1.8.13 Tấn công vào yếu tố con người 36 1.8.14 Tấn công vào cơ sở hạ tầng mạng 36 1.9 Giải pháp phòng chống chung 36 CHƯƠNG 2 : GIẢI PHÁP BẢO MẬT CHO MẠNG LAN DEFENSE IN DEPTH 38 2.1 Quản trị rủi ro 39 2.2 Kiểm kê tài sản và mô tả rủi ro có thể có với tài sản. 40 2.3 Bảo vệ lớp vật lý 40 2.4 Xây dựng mạng có cấu trúc 41 2.4.1 Vùng DMZ 43 2.4.2 Vùng mạng Internal 44 2.4.3 Vùng mạng External 45 2.4.4 Mạng Extranet 45 2.4.5 Mạng LAN ảo (VLAN) 45 2.5 Cấu trúc an ninh theo chiều sâu 47 2.5.1 An ninh cho biên 47 2.5.2 Tường lửa 47 2.5.3 Đường ống (Diode) 49 2.5.4 Thiết bị cầm tay 49 2.6 Bảo mật cho máy chủ 50 2.6.1 Quản lý bản vá và lỗ hổng 51 2.6.2 Sử dụng máy ảo 51 2.7 Hệ thống phát hiện và ngăn chặn xâm nhập IDSIP 51 2.8 Yếu tố con người 53 2.8.1 Các chính sách 53 2.8.2 Đào tạo nâng cao nhận thức, năng lực. 53 CHƯƠNG 3 : MÔ PHỎNG GIẢI PHÁP DEFENSE IN DEPTH 54 3.1 Quản trị rủi ro 54 3.2 Kiểm kê tài sản 55 3.3 Bảo vệ lớp vật lý 58 3.4 Xây dựng mạng có cấu trúc 59 3.5 Tường lửa pfSense 59 3.5.1 Giới thiệu về pfSense 59 3.5.2 Hướng dẫn cài đặt pfSense 61

DANH MỤC CÁC BẢNG BIỂU

THÔNG TIN KẾT QUẢ NGHIÊN CỨU

1 Thông tin chung

Tên đề tài: Nghiên cứu các giải pháp nâng cao tính bảo mật cho hệ thống mạngLAN

Giảng viên hướng dẫn: Tiến Sĩ Diêm Công Hoàng

Sinh viên thực hiện: Nguyễn Trọng Thủy

 Nhận diện các phương thức tấn công mạng thường gặp

 Đề xuất các giải pháp nâng cao tính bảo mật cho hệ thống mạng LAN

 Mô hình mô phỏng triển khai các giải pháp bảo mật

3 Nội dung chính

Nội dung chính của đồ án này là quá trình nghiên cứu, tìm hiểu và thực hành để từ

đó đúc kết ra được những yếu tố đảm bảo tính bảo mật cho hệ thống mạng LAN:

 Hiểu rõ hơn khái niệm về hệ thống mạng LAN Tìm hiểu chi tiết các yếu tố trong mạng LAN về cả phần cứng lẫn phần mềm, từ đó có thể áp dụng vào giảiquyết các sự cố hệ thống thực tế

 Nắm bắt được một số phương pháp tấn công hệ thống mạng thường gặp để có được cách thức phòng chống, cách xử lý sự cố và khắc phục sau sự cố một cách nhanh nhất Giảm thiểu tối đa thiệt hại.

 Đề xuất giải pháp bảo mật toàn diện cho hệ thống mạng, cách thức triển khai giải pháp Và cụ thể là giải pháp Bảo mật theo chiều sâu (Defense in Depth)

4 Kết quả chính đạt được

Sau khi hoàn thành đồ án này, em đã nắm vững các bước để khiển khai một hệ thống mạng an toàn, bảo mật trên nhiều lớp, có tính ứng dụng cao Áp dụng đồ án này vào thực tế, em hoàn toàn có thể triển khai được giải pháp bảo mật theo chiều sâu cho hệ thống mạng của doanh nghiệp vừa và nhỏ

MỞ ĐẦU

Điểm qua lại lịch sử loài người, ta sẽ thấy lịch sử loài người đã trải qua ba cuộccách mạng công nghiệp lớn, tác động to lớn làm thay đổi hoàn toàn cuộc sống của conngười Cuộc cách mạng công nghiệp lần thức nhất là vào năm 1784, với sự xuất hiện của

cơ khí hóa gồm các máy móc chạy bằng thủy lực và hơi nước, thay thế cho sức người,sức ngựa Cuộc cách mạng công nghiệp lần thứ hai xuất hiện năm 1870, với sự xuất hiệncủa dây chuyền sản xuất hàng loạt nhờ điện và động cơ điện Đến năm 1969, cách mạngcông nghiệp lần thứ ba ra đời, đánh dấu kỷ nguyên của máy tính và tự động hóa, hay còngọi là cách mạng số hóa Mặc dù ra đời khá muộn, nhưng những thay đổi từ cuộc cáchmạng công nghiệp thứ ba đã thay đổi hoàn toàn cách con người làm việc, sinh hoạt, tìmhiểu và khám phá với thế giới Nhờ sự trợ giúp của công nghệ số hóa, con người có thểlàm được những việc trước nay tưởng chừng không tưởng như: kết nối không biên giớigiữa các quốc gia; tạo ra kho tàng lưu trữ thông tin, kiến thức vô tận; ứng dụng thành tựu

để nâng cao chất lượng cuộc sống; hỗ trợ tích cực khả năng khám phá vũ trụ, du hànhkhông gian…Ở Việt Nam, do phải chịu nhiều khó khăn, thiếu thốn sau các cuộc chiếntranh lớn nên phải chính thức tới năm 1997, cuộc cách mạng này mới bước đầu có mặt tạiViệt Nam bằng việc mạng Internet chính thức được đưa vào sử dụng Dù đi sau trongcuộc cách mạng công nghệ thông tin này, nhưng với bản tính cần cù, chịu khó, sẵn sàngtiếp thu, học hỏi công nghệ mới của người Việt, công nghệ thông tin đã và đang len lỏivào từng lĩnh vực, hoạt động cơ bản của cuộc sống Đảng và nhà nước đã nhận định,công nghệ thông tin sẽ là yếu tố cốt lõi để phát triển đất nước toàn diện, thúc đẩy nền sảnxuất công nghiệp hóa, hiện đại hóa Trước xu thế của thế giới đang dần bước sang cuộccách mạng công nghiệp lần thứ tư, cuộc cách mạng đánh dấu kỷ nguyên vạn vật kết nốiInternet, cuộc cách mạng mà mọi thứ từ điện thoại, tivi, tủ lạnh cho tới xe cộ, nhà của…đều được kết nối tới Internet Việt Nam đã và đang có những biện pháp tích cực để hòanhập kịp với thế giới trong cuộc cách mạng mới này Dù gặp phải nhiều khó khăn, trởngại, nhưng với sự dẫn dắt của Đảng cùng sự ham học hỏi, tiếp thu của nhân dân ViệtNam, em tin chúng ta sẽ làm chủ được cuộc cách mạng công nghệ 4.0 này

Sự phát triển nhanh của công nghệ thông tin đưa chúng ta tới một thách thức mới.

Đó là thách thức bảo mật an toàn thông tin, dữ liệu Có sự hỗ trợ của máy tính, khả năngcủa con người là vô hạn Bên cạnh những người tốt đang cố gắng tận dụng khả năng đó

để cuộc sống con người phát triển thì có những kẻ xấu, lợi dụng công nghệ thông tin đểphục vụ mục đích xấu Chúng tấn công mạng máy tính đôi khi vì sự thể hiện bản hân,hoặc vì mục đích tống tiền, làm giàu sai trái…Vì vậy, hơn lúc nào hết, các yếu tố bảo mật

an ninh mạng ngày càng được coi trọng Trong phạm vi đồ án này, em sẽ chỉ ra nhữngđiểm cốt lõi trong vấn đề bảo mật an ninh mạng Từ đó, đề suất giải pháp an ninh mạngđang được ứng dụng rộng rãi trên thế giới Em hy vọng, những gì em trình bày trong đồ

án phần nào sẽ đưa ra cho thầy cô và các bạn thêm nhiều thông tin bổ ích

Em xin cám ơn thầy cô và các bạn

1 : TỔNG QUAN VỀ MẠNG LAN VÀ

CÁC VẤN ĐỂ BẢO MẬT

Trong chương đầu tiên này, chúng ta sẽ có cái nhìn tổng quan về quá trình hình thành,phát triển và mức độ quan trọng của mạng máy tính trong quá trình phát triển của thếgiới Bên cạnh đó, hiểu được các loại mạng máy tính cơ bản, hiểu được quá trình truyềngói tin giữa các máy tính với nhau qua mạng, nắm được kiến trúc một hệ thống mạngLAN, một số thiết bị mạng cơ bản mà chúng ta thương gặp, các vấn đề liên quan đến bảomật mạng,… Sau đây sẽ là nội dung chính của chương

1 Lịch sử hình thành, quá trình phát triển của mạng máy tính

Như đã đưa ra ở phần mở đầu, xu thế toàn cầu hóa, phẳng hóa thế giới diễn ra mạnh

mẽ đã và đang tác động to lớn vào tất cả các ngành: từ kinh tế, công nghiệp, truyền thôngđến cả nông nghiệp Nghiên cứu, phát triển mạng máy tính đã trở thành mục tiêu quantrọng của bất kì quốc gia phát triển nào Cùng nhìn lại quá trình hình thành và phát triểncủa mạng máy tính để thấy được sự phát triển thần tốc của mạng máy tính và tầm quantrọng của nó

Xuất phát từ nhu cầu trao đổi thông tin, dữ liệu giữa các máy tính với nhau, khá nhiềucác nghiên cứu, dự án được đưa ra để đáp ứng nhu cầu này Cột mốc quan trọng đầu tiêntrong lịch sử của mạng máy tính là năm 1969, khi cơ quan quản lý dự án nghiên cứu pháttriển ARPA thuộc bộ quốc phòng Mỹ liên kết 4 địa điểm đầu tiên vào tháng 7 năm 1969

để tạo ra mạng diện rộng đầu (WAN) đầu tiên trên thế giới, lấy tên là ARPANET

Thời gian tiếp theo chứng kiến sự phát triển nhanh chóng của hệ thống máy tính cácnhân Công nghệ phát triển, máy tính không còn là những cỗ máy khổng lồ, tiêu tốnnhiều năng lượng, nặng nề…mà ngày càng nhỏ gọn hơn Bên cạnh đó, mức giá để sở hữumột chiếc máy tính cá nhân không còn là quá cao Số lượng máy tính, ngày càng lớn, đòihỏi mạng máy tính cần phát triển nhanh để đáp ứng được nhu cầu

Năm 1972, Ray Tomlinson phát minh ra E-mail để gửi thông điệp trên mạng Từ đóđến nay, dịch vụ này trở thành dịch vụ được sử dụng nhiều nhất, quan trọng nhất với hầuhết người sử dụng máy tính

Năm 1974, lần đầu tiên thuật ngữ “Internet” xuất hiện.

Tới năm 1986, mạng NSFnet chính thức được thiết lập, kết nối 5 trung tâm máy tínhlớn, tạo ra thời kì bùng nổ kết nối đầu tiên, chủ yếu là giữa các trường đại học Hai mạngNSF và ARPANET song song tồn tại theo cùng 1 giao thức, có kết nối với nhau

Năm 1990, ARPNET dừng hoạt động nhưng các mạng do ARPANET và NSF tạo ravẫn được sử dụng vào mục đích dân dụng, làm tiền thân cho mạng internet ngày nay.Nhiều tổ chức, cá nhân bắt đầu tổ chức kinh doanh trên mạng

Sự bùng nổ lần thứ 2 của Internet vào năm 1991, khi Tim Berners Lee ở trung tâmnghiên cứu nguyên tử Châu Âu (CERN) phát minh ra World Wide Web (www) Điều nàytạo ra một cú hích quan trọng, đưa mạng Internet trở nên dễ tiếp cận hơn, dễ sử dụng hơnvới tất cả mọi người

Kể từ đó đến nay, chu kỳ phát triển nhảy vọt của số lượng thiết bị sử dụng mạng máytính ngày càng được rút ngắn lại, được thể hiện rõ qua hình sau

Hình 1-1: Sự phát triển số lượng thiết bị sử dụng mạng qua các năm

- Máy tính cố định (Fixed Computing) từ 1995-2000: bạn phải tới nơi có máy tính để

sử dụng Số lượng thiết bị gấp đôi cứ sau 13 năm, tới năm 2000 đạt 200 triệu thiết bị

- Thiết bị di động (Mobility/BYOD) từ 2000 – 2011: Các thiết bị di động phát triển,bạn dễ dàng mang theo máy tính, điện thoại mọi nơi để truy cập vào mạng Internet

Số lượng thiết bị gấp đôi sau mỗi 1,4 năm, đạt 10 tỷ thiết bị vào năm 2011 (dân số thếgiới năm 2011 là 7 tỷ người, trung bình mỗi người có hơn 1 thiết bị)

- Kỷ nguyên Internet kết nối mọi vật (Internet of Things) từ 2011 đến nay: tốc độ giatăng thiết bị qua mỗi năm là không thể tính nổi (đạt 200 tỷ thiết bị vào năm 2016) Sự

ra đời, phát triển mạnh mẽ của các thiết bị di động khiến chúng ngày càng nhỏ gọn,tiện lợi hơn Tất cả mọi vật đều có thể kết nối với mạng Internet, từ các thiết bị nhỏgọi như smartphone, laptop, tablet,…tới oto, tivi, tủ lạnh hoặc thậm chí là cả căn nhàcủa bạn Sự tiện lợi mang lại cho bạn là vô cùng lớn lao, chỉ một vài thao tác nhỏ: bạn

có thể kiểm tra có ai đột nhập vào nhà mình; bật điện nước, tưới cây…

- Dự đoán kỷ nguyên internet kết nối vạn vật (Internet of Everything) – 2020: các nhànghiên cứu dự báo, đây sẽ là bước phát triển tiếp theo của mạng máy tính Nếu đạtđược tới mức này, tất cả mọi vật trên trái đất sẽ có thế kết nối với nhau

Từ quá trình lịch sử, cho tới sự phát triển nhanh chóng của mạng máy tính, chúng ta

đã thấy được phần nào tầm quan trọng của mạng máy tính đối với cuộc sống Vậy thực

sự, những lợi ích mà mạng máy tính mang lại cho chúng ta là gì?

2 Lợi ích của mạng máy tính

Với mạng máy tính, chúng ta tạo ra một thế giới mà ở đó, không có điều gì là giới hạnvới con người: không có biên giới về quốc gia; không bị cản trở bởi khoảng cách địa lý;không bị giới hạn về điều kiện vật lý…Thông qua mạng máy tính, chúng ta thay đổi cáchthức giao tiếp, trao đổi thông tin với nhau Không cần phải gặp trực tiếp với nhau, bạncũng có thể trao đổi ý tưởng của mình với bất kì ai trên thế giới và bất kì nơi nào trên thếgiới

Hình 1-2: Cả thế giới trong tầm tay với mạng máy tính.

Thử tượng tượng một ngày, không còn mạng Internet, bạn không thể sử dụng các dịch

vụ như Google, YouTube, gọi video call, e-mail, Facebook, iTunes, game online…Cuộcsống của ban sẽ bị xáo trộn tới mức nào? Thật chẳng khác nào trở về thời kì cổ đại đúngkhông! Một số lợi ích của mạng Internet mà chúng ta có thể kể ra như sau:

- Mở ra nhiều cách thức giải trí chưa từng có: ví dụ như đăng tải và chia sẻ những bứcảnh của bạn, video và những trải nghiệm của bản thân bạn với bạn bè trên toàn thếgiới qua mạng xã hội Xem video, xem phim hoặc truyền hình theo ý bạn muốn Haychỉ đơng giản là chơi game online cùng mọi người

- Kiểm tra tài khoản ngân hàng, thanh toán hóa đơn

- Thay đổi cách mà chúng ta học tập: không cần giấy, bút, không cần đến giảng đườnghoặc thầy cô,… chỉ cần 1 chiếc máy tính hoặc điện thoại có Internet, bạn có thể học từbất kì ai trên thế giới bằng các khóa học online trên các trang web Bạn có thể học bàihọc nhiều lần mà không gặp khó khăn gì

- Thay đổi cách thức mà chúng ta làm việc

- Thay đổi cách giao tiếp của chúng ta: thông qua kết nối toàn cầu, bạn có thể kết nốitrực tiếp với bạn bè, người thân hoặc đồng nghiệp ở khoảng cách rất xa mà không bịhạn chế bất cứ điều gì

3 Phân loại mạng máy tính

Trước hết, mạng máy tính là các kết nối giữa các máy tính với nhau sao cho chúng cóthể chi sẻ được dữ liệu Các mô hình mạng máy tính đều từ nền tảng này mà xây dựng,

mở rộng mô hình hoặc loại mô hình Các cách phân loại chính thường gặp như:

- Phân loại theo khoảng cách địa lý

- Phân loại theo kỹ thuật chuyển mạch

- Phân loại theo môi trường truy nhập

- Phân loại theo kiến trúc mạng

Ngoài ra còn nhiều các phương pháp phân loại mạng máy tính khác, nhưng trongphạm vi đồ án, em xin tập trung nghiên cứu về cách phân loại mạng theo khoảng cách địalý

- Mạng cục bộ (Local Area Networks - LAN): kết nối nhiều máy tính và thiết bị truyềnthông trên một diện tích nhất định, có thể là một văn phòng, 1 tòa nhà hay một trườngđại học,… Đặc điểm chính của mạng LAN là có băng thông lớn, chay được các dụngtrực tuyến được kết nối thông qua mạng như các cuộc hội thảo, chiếu phim… Phạm vikết nối có giới hạn tương đối nhỏ, khoảng cách lớn nhất giữa các máy tính nối trongmạng LAN có thể là vài chục km Chi phí thấp và quản trị mạng LAN đơn giản

Hình 1-3: Mô hình mạng LAN đơn giản

- Mạng đô thị (Metropolitan Area Network – Man): có kết nối giống như mô hình mạngLAN nhưng lớn hơn Mạng WAN kết nối các mạng LAN trên một diện tích rộng nhấtđịnh ( ví dụ: một thành phố, một tỉnh) với nhau thông qua các phương tiện truyền dẫn,cáp… Đối tượng khách hàng chủ yếu sử dụng mô hình này là các tổ chức, doanhnghiệp có nhiều chi nhánh, bộ phận kết nối với nhau và có thể kết nối ra liên tỉnh,quốc tế, các khu công nghiệp, khu thương mại lớn, công viên phần mềm, khu côngnghệ cao, khu đô thị mới, khu cao ốc văn phòng…Đặc điểm của mô hình mạng này làchi phí cao, mức băng thông trung bình (đáp ứng được nhu cầu chạy các ứng dụng,dịch vụ thương mại điện tử, ứng dụng trong hệ thống ngân hàng Quản trị mạng MANkhá phức tạp.

- Mạng diện rộng (Wide Area Networks – WAN): mạng có phạm vi hoạt động lớn, vượtqua biên giới quốc gia và lục địa Thường được sử dụng ở công ty đa quốc gia…cụthể là mạng Internet Mạng WAN là sự kết hợp giữa hai hoặc nhiều hơn hai mạngLAN và MAN thông qua vệ tinh, cáp quang hoặc cáp điện thoại Mạng WAN có thể

kế nối thành mạng riêng của một tổ chức, hay có thể kết nối qua nhiều hạ tầng mạngcông cộng và của các công ty viễn thông Đặc điểm của mô hình mạng này là:

+ Băng thông thấp, kết nối yếu, dễ mất nên phù hợp với các ứng dụng: E-mail, Web…+ Phạm vi hoạt động lớn, không giới hạn

+ Chi phí cho mạng WAN là rất lớn

+ Quản trị mạng WAN phức tạp

Hình 1-4: Mô hình cơ bản của mạng WAN

Mạng Internet chính là một trường hợp đặc biệt của mạng WAN, cung cấp các dịch vụtoàn cầu như Mail, Web,…

Hình 1-5: Mô hình mạng Internet

4 So sánh 2 mô hình TCP/IP và OSI

Nhắc đến cơ chế truyền tin giữa các máy tính với nhau, thì 2 mô hình hay được nhắctới nhiều nhất là mô hình TCP/IP và OSI Cả hai mô hình này đều mô tả cách thức truyềntin từ các chương trình ứng dụng của một hệ thống máy tính này đến các chương trìnhứng dụng của một hệ thống khác thông qua các phương tiện truyền thông vật lý Mô hìnhOSI thường được dùng trong học tập và nghiên cứu nhiều hơn là triển khai thực thế Còn

mô hình TCP/IP được sử dụng ở hầu hết các mạng máy tính trên thế giới

Hình 1-6: So sánh hai mô hình OSI và TCP/IPHai mô hình này có khá nhiều điểm giống nhau.

- Đều có cấu trúc kiểu phân lớp

- Đều có tầng ứng dụng, cho phép triển khai nhiều dịch vụ khác nhau như web, email,voice cal…

- Đều hoạt động được với các kỹ thuật chuyển mạch gói

Bên cạnh đó cũng có những điểm khác nhau:

- TCP/IP gộp lại lớp trình bày và lớp phiên vào trong lớp ứng dụng

- TCP/IP gộp lớp vật lý và liên kết dữ liệu ở mô hình OSI lại thành lớp truy cập mạng

- Mô hình OSI chỉ mang tính nghiên cứu, các mạng thông thường ít khi được xây dựngdựa trên nó Chính vì vậy, OSI là “kim chỉ nam” cho các loại viễn thông và công cụđắc lực nhất để tìm hiểu dữ liệu được gửi và nhận như thế nào

- Các giao thức TCP/IP là các chuẩn cơ sở cho Internet phát triển vì các giao thức chặtchẽ của nó Để đảm bảo tính tương thích là cao nhất giữa các mạng và sự tin cậy củaviệc truyền tin, bộ giao thức TCP/IP được chi thành 2 phần riêng biệt: giao thức IP sửdụng cho việc kết nối mạng và giao thức TCP đảm bảo việc truyền dữ liệu một cáchtin cậy

- Mô hình TCP/IP gọn nhẹ hơn mô hình tham chiếu OSI, đồng thời có những biến đổiphù hợp thực tế hơn Ví dụ: lớp Vận chuyển của mô hình OSI quy định việc truyền dữliệu phải đảm bảo độ tin cậy hoàn toàn Tuy nhiên, một số ứng dụng mới phát triểnsau này như Voice over IP, Video Conference (hội nghị truyền hình),… đòi hỏi tốc độcao và cho phép bỏ qua một số lỗi nhỏ Nếu vẫn áp dụng mô hình OSI vào thì độ trễtrên mạng rất lớn và không đảm bảo chất lượng dịch vụ Trong khi đó, mô hình

TCP/IP, ngoài giao thức chính của lớp Vận chuyển là TCP (Transmission ControlProtocol), còn cung cấp thêm giao thức UDP (User Datagram Protocol) để thích ứngvới các ứng dụng cần tốc độ cao.

- Giao thức quan trọng nhất trong mô hình TCP/IP là TCP và UDP TCP đảm bảo độ tincậy truyền thông bằng cách ép buộc máy nhận phải hồi báo cho máy gửi biết vềnhững segment nào đã nhận được, segment nào bị lỗi,… để máy gửi tiếp tục truyềnsegment mới hay gửi lại segment bị lỗi Các gói tin hồi báo này gọi tắt là ACK Nếuđường truyền bị lỗi quá nặng, các gói tin hồi báo này không đến được máy gửi thì saumột khoảng thời gian quy định trước, segment sẽ được truyền lại, và nếu một segmentđược truyền lại quá nhiều lần, TCP sẽ ngắt kết nối với máy nhận và dừng việc truyềnlại UDP không có cơ chế tin cậy (hồi báo bằng ACK), nên việc kiểm soát độ tin cậyphải do lớp Application đảm trách Tuy nhiên, đối với các ứng dụng yêu cầu tốc độnhanh và chấp nhận tỷ lệ lỗi ở mức nào đó, sử dụng giao thức UDP là rất thích hợp dokhông phải hồi báo ACK nhiều lần Việc linh động sử dụng giao thức TCP hay UDPtrong các ứng dụng mạng phụ thuộc vào nhiều yếu tố như chất lượng đường truyền,

độ quan trọng của thông tin cần truyền,…

5 Kiến trúc hệ thống mạng LAN

1 Cấu trúc mô hình mạng phân cấp.

Trong thực tế, chúng ta thường được thấy các mô hình mạng LAN được thiết kế theo

mô hình phân cấp, bởi việc thiết kế phân cấp cho phép chúng ta thiết kế các đường mạng

mà sử dụng những chức năng chuyên môn kết hợp với một tổ chức có thử bậc. Việc thiết

kế mạng đơn giản là nhiệm vụ đòi hỏi phải xây dựng một mạng mà nó thỏa mãn nhu cầuhiện tại và có thể phát triển tiếp theo nhu cầu ở tương lai Mô hình phân cấp sử dụng cáclớp để đơn giản nhiệm vụ kết nối mạng, mỗi lớp có thể chỉ tập trung vào một chức năng

cụ thể, cho phép chúng ta lựa chọn các tính năng và các hệ thống thích hợp cho mỗi lớp

Mô hình phân cấp áp dụng cho việc thiết kế cả mạng LAN

Những lợi ích mà việc thiết kế mạng phân cấp mang lại:

- Có khả năng mở rộng

- Dễ dàng triển khai

- Khắc phục lỗi

- Quản lý dễ dàng

Mô hình mạng phân cấp chúng ta hiện thường thấy thường bao gồm 3 lớp:

- Lớp mạng trung tâm ( Core Layer): Thiết bị chúng ta thường gặp ở lớp này là cácrouter lõi tốc độ cao Tốc độ vận chuyển dữ liệu rất nhanh, liên kết với các mạng truycập và lớp mạng phân bố khác Lớp này được ví như một trục đường cao tốc liên kếtcác đường nhỏ với nhau Bao gồm các đặc điểm:

+ Vận chuyển dữ liệu nhanh

+ Độ tin cậy cao

+ Chức năng chọn lọc dữ liệu.

+ Xác định Broadcast và Multicast Domain

+ Định tuyến giữa các VLAN với nhau

+ Thuyên chuyển truyền thông (ví dụ: giữa mạng Ethenet và Token Ring)

+ Phân phối định tuyến các Domain

+ Phân chia ranh giới giữa định tuyến động và định tuyến tĩnh

+ Route Summarizations

Hình 1-8: Lớp mạng phân bố

- Lớp mạng truy cập (Access Layer): thiết bị thường gặp ở lớp này là Switch Lớpmạng truy cập được thiết kế cung cấp các cổng kết nối đến từng máy trạm trên cùngmột mạng, giúp người dùng kết nối với các tài nguyên trên mạng hoặc giao tiếp vớilớp mạng phân bố Lớp này sử dụng các chính sách truy cập chống lại những kẻ xâmnhập bất hợp pháp, mang đến các kết nối như: WAN, Frame Relay, Leased Lines Lớptruy cập đặc trưng bởi các phân đoạn mạng LAN Microsegmentation sử dụng thiết bịchuyển mạch LAN cung cấp băng thông cao cho nhóm làm việc bằng cách giảm sốlượng các thiết bị trên các phân đoạn Ethernet Đặc tính của lớp truy cập bao gồm :+ Chuyển mạch lớp 2

+ Hiệu quả cao

+ Bảo mật cổng.

+ Ngăn Broadcast

+ Phân loại mức độ ưu tiên QoS

+ Kiểm soát tốc độ

+ Kiểm tra giao thức chuyển đổi địa chỉ Address Resolution Protocol (ARP)

+ Kiểm soát danh sách truy cập ảo (VACL)

Hình 1-9: Cách thức Bridge hoạt động.

- Repeater: Đối với các mạng có phạm vi rộng, tín hiệu thường bị suy hao trên đườngtruyền Ở xa, tín hiệu thu được từ nguồn là rất yếu, vì vậy ta cấn các thiết bị có khảnăng khuếch đại tín hiệu, để có thể truyền tín hiệu đi xa Repeater là thiết bị ở lớp 1(Physical Layer) trong mô hình OSI Repeater có vai trò khuếch đại tín hiệu vật lý ởđầu vào và cung cấp năng lượng cho tín hiệu ở đầu ra để có thể đến được điểm xa hơntrên mạng, đảm bảo thông tin được đến được thiết bị đích đầy đủ

Hình 1-10: Repeater

- Hub: là một thiết bị khá giống Repeater nhưng có nhiều cổng hơn (Hub có từ 4 đến 24cổng) Với Hub, khi thông tin vào từ một cổng và sẽ được đưa đến tất cả các cổng

khác Có 2 loại Hub là Active Hub và Smart Hub Active Hub là loại Hub được dùngphổ biến, được sử dụng để khuếch đại tín hiệu đến và lặp tín hiệu ra tại những cổngcòn lại, đảm bảo mức tín hiệu cần thiết Smart Hub (Intelligent Hub) có chức năngtương tự như Active Hub, nhưng có tích hợp thêm chip có khả năng tự động dò lỗi(tìm và phát hiện lỗi trên mạng).

Hình 1-11: Smart Hub D-Link 8 cổng

- Switch: Chức năng chính của thiết bị này là liên kết nhiều thiết bị trong một mạng vớinhau Switch lưu trữ thông tin của mạng thông qua các gói tin (packet) nó nhận được

từ các máy trong mạng và sử dụng các thông tin này để xây dựng bảng định tuyến.Trong các giao tiếp dữ liệu, Switch thường có 2 chức năng chính là: chuyển cáckhung dữ liệu từ nguồn đến đích, và xây dựng các bảng Switch Switch hoạt động ởtốc độ cao hơn nhiều so với Repeater và có thể cung cấp nhiều chức năng hơn nhưkhả năng tạo mạng LAN ảo (VLAN)

-Hình 1-12: Switch Cisco 52 cổng

- Router: là thiết bị mạng ở lớp 3 trong mô hình OSI (Network Layer) Router kết nốihai hay nhiều mạng khác dải địa chỉ IP với nhau Router có thể kết nối với các loạimạng khác lại với nhau, từ những Ethernet cục bộ tốc độ cao cho đến đường dây điệnthoại đường dài có tốc độ chậm Tuy nhiên Router chậm hơn Bridge vì nó cần tính

toán nhiều hơn để tìm ra cách dẫn đường cho các gói tin, đặc biệt khi các mạng kếtnối với nhau không cùng tốc độ Một mạng tốc độ cao có thể phát các gói tin nhanhhơn nhiều so với một mạng chậm và có thể gây ra sự nghẽn mạng Do đó, Router cóthể yêu cầu máy tính gửi các gói tin đến chậm hơn Thường các Router đều được sửdụng cùng chung một giao thức Tuy nhiên, hầu như các loại router đang bán trên thịtrường đều có thể xử lý nhiều loại giao thức để đảm bảo tính tương thích cao, tuynhiên giá thành của các thiết bị này là khá cao.

Hình 1-13: Router có thể phát wifi

1.2 Bảo mật trong mạng LAN

Hình 1-14: Bảo mật cho mạng LAN

Mạng máy tính phát triển nhanh chóng đi kèm những hệ lụy như khả năng bị cáchacker tay nghề cao tấn công, đánh cắp thông tin ngày càng nhiều Các lỗ hổng bảo mậtđược các hacker xấu khai thác triệt để và tinh vi hơn, gây thiệt hại nặng nề hơn.

Theo báo cáo an ninh mạng thường niên năm 2017 của Cisco, hơn 1/3 tổ chức từng bị

vi phạm an ninh trong năm 2016 chịu thiệt hại đáng kể do mất khách hàng, cơ hội vàdoanh thu lên đến hơn 20% Báo cáo đã khảo sát gần 3.000 giám đốc bảo mật (chiefsecurity officer – CSO) và lãnh đạo điều hành hoạt động an ninh bảo mật của 13 quốc giatrong Nghiên cứu tiêu chuẩn về các Khả năng An toàn bảo mật (Security CapabilitiesBenchmark Study) Các giám đốc bảo mật cho rằng, hạn chế về ngân sách, khả năngtương thích kém của các hệ thống, và sự thiếu hụt đội ngũ nhân viên được đào tạo bài bản

là những rào cản lớn nhất cho việc nâng cao hệ thống bảo mật

Việt Nam không nằm ngoài phạm vi chịu ảnh hưởng đó Vừa qua đã xảy ra khá nhiều

vụ các trang web của Việt Nam bị tin tặc tấn công, điển hình là Website của sân bay TânSơn Nhất đã bị tin tặc tấn công, chiếm quyền và đánh cắp nhiều thông tin quan trọng.Chính vì vậy, tính bảo mật trong mạng phải được đặt lên hàng đầu

Các yêu cầu bảo mật cơ bản cho một mạng LAN bao gồm:

- Đảm bảo an toàn tài sản thông tin (Information Assets): Bao gồm phần cứng, phầnmềm, dữ liệu yêu cầu cần được bảo vệ Trong đó phần cứng bao gồm máy tính, máy

in, ổ đĩa , thiết bị mạng: Router, Bridge, và Hub Phần mềm bao gồm hệ điều hành,

hệ quản lý cơ sở dữ liệu, các phần mềm ứng dụng và các chương trình liên mạng Dữliệu là các cơ sở dữ liệu của các chương trình ứng dụng, các file về thông tin, cấu hình

đó, thiệt hại là vô cùng to lớn cả về vật chất lẫn thời gian khắc phục

- Phương pháp bảo mật (Security Method): là: các bước, các công cụ, các kỹ thuật được

sử dụng để giúp tránh các mối đe doạ, hiểm họa xảy ra hoặc để giảm thiểu tổn thất,thiệt hại thấp nhất đối với tài sản thông tin

- Luôn xây dựng hệ thống mạng mang tính dự phòng cao ( High Availablity) để đảmbảo mạng vẫn hoạt động tốt trong trường hợp có sự cố Ví dụ: sẽ có 2 Firewall cứngchạy song song với nhau Khi hệ thống hoạt động bình thường thì cả 2 sẽ cùng chạy

để giảm tải cho nhau, còn khi có sự cố ở Firewall bất kì nào thì hệ thống sẽ tự độngchuyển sang hoạt động trên Firewall còn lại vẫn hoạt động tốt

- Kẻ phá hoại có thể là bất kì ai từ bất kì đâu: có thể là một nhân viên trong hệ thốnghoặc một hacker tấn công từ bên ngoài vào các máy tính bảo mật kém,…chính vì vậy,phải luôn sẵn sàng đối phó với mọi tình huống, mọi cuộc tấn công có thể xảy ra

1.3 Tình hình an ninh mạng Việt Nam trong năm 2016

Theo thống kê của Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam, trong năm 2016,

có 134.375 sự cố tấn công mạng của cả 3 loại hình Phishing (lừa đảo), Malware (mã độc)

và Deface (thay đổi giao diện) So với năm 2015, số lượng vụ tấn công mạng năm 2016nhiều gấp hơn 4,2 lần (năm 2015 là 31.585), trong đó, loại hình tấn công Phishing là10.057 sự cố (gấp hơn 1,7 lần so với năm 2015), Malware là 46.664 sự cố (gấp gần 2,8lần năm 2015) và Deface là 77.654 sự cố (gấp hơn 8,7 lần năm 2015)

Lần đầu tiền trong lịch sử, sân bay Nội Bài, Tân Sơn Nhất bị tin tặc tấn công.Chiều 29/7/2016, hàng loạt màn hình hiển thị thông tin chuyến bay cùng hệ thống phátthanh của sân bay Nội Bài, Tân Sơn Nhất bất ngờ bị tấn công Trên các màn hình hiển thịnội dung kích động, xuyên tạc về Biển Đông Hệ thống phát thanh của sân bay cũng phát

đi những thông điệp tương tự Cùng thời điểm, trên website của hãng hàng không quốcgia Việt Nam (vietnamairlines.com) cũng bị thay đổi nội dung, đồng thời đăng tải thôngtin của hơn 400.000 thành viên Golden Lotus Vụ tấn công sau đó được Vietnamairlines

và các cơ quan chức năng trong lĩnh vực ATTT phối hợp xử lý tốt Nhưng đây là vụ tấncông mạng nghiêm trọng vào hệ thống hạ tầng CNTT quan trọng của quốc gia và để lạinhiều hệ lụy xấu

841 máy chủ tại Việt Nam bị hacker rao bán quyền truy cập: Tháng 6/2016 KasperskyLab đã tiến hành điều tra diễn đàn quốc tế xDedic (được điều hành bởi nhóm tội phạmmạng nổi tiếng của Nga) - nơi mà tội phạm mạng có thể mua bán quyền truy cập vào các

máy chủ bị xâm nhập (chỉ với giá 6 USD cho mỗi quyền truy cập) Điều đáng nói là trong

số các máy bị rao bán có 841 máy chủ tại Việt Nam Trong số các máy chủ bị rao bánquyền truy cập, có nhiều máy chủ cấp quyền truy cập đến những trang web thương mại,các dịch vụ và chạy nhiều phần mềm cài đặt dành cho việc gửi email trực tiếp, hoặc hoạtđộng tài chính, kế toán Đáng chú ý, chủ sở hữu của những máy chủ hợp pháp, là các cơquan, tổ chức chính phủ, tập đoàn và trường đại học danh tiếng thường không biết rằng

hệ thống công nghệ thông tin đang bị tổn hại

Hàng loạt các website, diễn đàn lớn trong nước bị tấn công: Các website bị tấn công

có thể kể đến: Vietnamworks.com, svvn.vn, athena.edu.vn và athena.com.vn… Mộttrong những mục tiêu của tin tặc là các website của công ty chuyên về ATTT, trong đó cówebsite của Trung tâm Đào tạo Quản trị mạng và An ninh mạng Athena Tin tặc đã tấncông và thay đổi giao diện trang chủ (deface) của đơn vị này vào ngày 4 và 5/8/2016.Tấn công nhằm vào lĩnh vực tài chính: Điển hình cho các vụ tấn công vào lĩnh vực tàichính là Ngân hàng TMCP Ngoại thương Việt Nam (Vietcombank) Tháng 8/2016, mộtkhách hàng của Vietcombank đã bị mất số tiền 500 triệu đồng qua giao dịch InternetBanking Nguyên nhân được xác định là do khách hàng đã truy cập vào một trang webgiả mạo qua điện thoại di động, khiến thông tin và mật khẩu của khách hàng đã bị đánhcắp, sau đó tin tặc lợi dụng lấy cắp tiền trong tài khoản Trước đó, Ngân hàng BIDV vàHSBC cũng được nhắc đến trong vụ việc liên quan chiếm thông tin tài khoản thẻ tíndụng, sử dụng để quảng cáo cho Fanpage lạ trên Facebook, đặt phòng qua Agoda, muaGame, sử dụng dịch vụ facebook với số tiền lên đến hàng chục triệu đồng…tất cả đã chochúng đã đưa ra một bức tranh về tình hình bất ổn của an ninh mạng năm 2016 Cùng vớiquá trình đẩy mạnh ứng dụng CNTT và hướng tới thế giới kết nối IoT, xu hướng gia tăngtấn công mạng là tất yếu Bởi vậy, dự đoán được các nguy cơ về ATTT để có biện phápphòng ngừa phù hợp là trách nhiệm của chủ sở hữu và quản lý các hệ thống thông tin

1.4 Một số phương pháp tấn công mạng thường gặp

1.4.1 Tấn công bị động (Passive Attack)

Tấn công bị động là kiểu tấn công không tác động trực tiếp vào thiết bị nào trênmạng, không làm cho các thiết bị trên mạng biết được hoạt động của nó, vì thế kiểu tấncông này nguy hiểm ở chỗ nó rất khó phát hiện Tấn công bị động hay là nghe lén có lẽ làmột phương pháp tấn công đơn giản nhất nhưng vẫn rất hiệu quả Tấn công bị động

không để lại một dấu vết nào chứng tỏ đã có sự hiện diện của kẻ tấn công trong mạng vìkhi thực hiện hành vi nghe trộm, kẻ tấn công không gửi bất kỳ gói tin nào mà chỉ lắngnghe mọi dữ liệu lưu thông trên mạng Phương pháp này cho phép kẻ tấn công giữkhoảng cách với mạng, không để lại dấu vết trong khi vẫn lắng nghe và thu nhập đượcnhững thông tin quý giá

Các phương thức thường được sử dụng trong tấn công bị động: nghe trộm(Eavesdropping), phân tích luồng thông tin (Traffic Analysis) Dưới đây là một trongnhiều phương pháp tấn công thường gặp:

1.4.1.1 Phương thức bắt gói tin ( Sniffing)

Hình 1-15: Phương thức tấn công SniffingBắt gói tin là khái niệm cụ thể của khái niệm tổng quát “nghe trộm” (eavesdropping)

sử dụng trong mạng máy tính Bắt gói tin có thể hiểu như là một phương thức lấy trộmthông tin giữa hai thiết bị trao đổi thông tin với nhau Tấn công kiểu bắt gói tin sẽ khó bịphát hiện vì nó không thay đổi nội dung của gói tin mà chỉ thay đổi đường đi của gói.Packet sniffers (kẻ bắt gói tin) sẽ khai thác những thông tin được truyền ở dạng cleartext như: Telnet, FTP, SNMP, POP, HTTP Nhiều ứng dụng có thể bắt được cả mật mã đãđược băm (password hash: mật mã đã được mã hóa bằng nhiều thuật toán như MD4,

MD5, SHA…) truyền trên đoạn mạng không dây giữa client và server lúc client đăng

nhập vào

Mức độ thiệt hại: Vì hầu như mọi thông tin trao đổi giữa người dùng với nhau đều bị

“nghe lén” sẽ dẫn tới sự mất an toàn thông tin nghiêm trọng, từ đó bị lộ những thông tinquan trọng, gây thiệt hại lớn cho các cá nhân, tập thể

Biện pháp phát hiện: thấy lưu lượng đường truyền cao hơn mức thông thường hoặccao đột biến

Biện pháp phòng chống: Sniffing là phương thức tấn công kiểu bị động nên rất khóphát hiện việc nghe trộm của kẻ tấn công Giải pháp được đề ra ở đây là cần nâng cao khảnăng mã hóa thông tin sao cho kẻ tấn công không thể giải mã được, khi đó thông tin mà

kẻ nghe lén thu thập, lấy được sẽ trở nên vô giá trị Ngoài ra, chúng ta có thể trang bị các

hệ thống phát hiện xâm nhập WIDS để giám sát trên từng đoạn mạng, trên toàn mạng

1.4.2 Tấn công chủ động (Active Attack)

Tấn công chủ động là các cuộc tấn công mà người tấn công hoàn toàn công khai, chủđộng trong tổ chức và thực hiện cuộc tấn công với mục đích làm giảm hiệu năng hoặclàm tê liệt hoạt dộng của mạng máy tính hoặc hệ thống Thiệt hại do các cuộc tấn côngnày gây ra là cực kì lớn, ảnh hưởng tới nhiều cá nhân, tổ chức và thậm chí có thể làm têliệt cả các tổ chức lớn, công ty lớn

1.4.2.1 Tấn công từ chối dịch vụ (DoS)

Hình 1-16 Denial of Service Attacks

Là phương pháp tấn công nhằm mục đích làm gián đoạn hệ thống hoặc thậm chí là têliệt hệ thống Mục đích của các cuộc tấn công này không phải là thâm nhập để lấy cắpthông tin từ hệ thống mà là làm cho tê liệt một dịch vụ trong hệ thống hoặc mạng máytính Với phương pháp này, Hacker sẽ sử dụng các công cụ từ nhiều máy Attacker ( máytấn công) để chiếm dụng một lượng lớn tài nguyên như: băng thông, bộ nhớ, bộ vi xử lý,đĩa cứng…trên máy nạn nhân (Victim’s Computer), Làm cho máy chủ không thể nào

phản hồi các yêu cầu từ các khách hàng hợp pháp Hệ thống khi bị tấn công sẽ bị ngừnghoạt động, treo hoặc khởi động lại

Mức độ thiệt hại: Vì toàn hệ thống bị ngừng hoạt động nên các dịch vụ do máy chủcung cấp sẽ không thể hoạt động trong một thời gian Điều này làm cho các công ty hoặc

cá nhân sử dụng máy chủ bị ảnh hưởng nặng nề về uy tín, lòng tin của khách hàng Bêncạnh đó, thời gian để phục hồi sau cuộc tấn công này có thể là vài ngày, vài tuần,…nênthiệt hại gây ra về kinh tế cũng khá lớn

Biện pháp phát hiện: phương thức tấn công này rất khó phát hiện, và thường chỉ pháthiện được khi hệ thống bắt đầu bị thiệt hại

Biện pháp phòng chống: Thường xuyên phải theo dõi lưu lượng đường truyền và cócác giải pháp chống tấn công DoS Luôn có kế hoạch backup và dự phòng cho máy chủ

1.4.2.2 Tấn công từ chối dịch vụ phân tán (DdoS)

Là một hình thức tấn công cao hơn được phát triển từ DoS Với DoS, dù có thể đượckhuếch đại bởi nhiều trung gian, nhưng bản chất DoS vẫn là bắt nguồn từ các máy tinhsđơn lẻ Chính vì vậy, DDoS đã ra đời, khắc phục được nhiều thiếu sót mà DoS chưa đápứng được DDoS là phương pháp tấn công hiện đại có sự kết hợp của nhiều tầng tính toánphân tán Khác biệt đáng chú ý trong phương pháp tấn công này là nó bao bồm hai giaiđoạn khác nhau Giai đoạn một, thủ phạm bố trí các máy tính phân tán trên Internet và càiđặt các phần mềm chuyên dụng trên các máy chủ để hỗ trợ tấn công Giai đoạn thứ hai,máy tính bị xâm nhập (được gọi là Zombie) sẽ cung cấp thông tin qua kẻ trunggian( được gọi là Master) để bắt đầu cuộc tấn công

Với cách thức tấn công này, hàng trăm hoặc có thể hàng ngàn các máy Zombie có thểđược chọn đồng thời tham gia vào cuộc tấn công của Hacker Sự tấn công ồ ạt của mộtlượng lớn thông tin khiến cho hệ thống bị cạn kiệt tài nguyên, tắc nghẽn thông tin, đồngthời, che giấu được thông tin của kẻ tấn công thực sự (do số lượng máy tấn công quálớn)

Hình 1-17: Distributed Denial of Service

Client: phần mềm được Hacker sử dụng để bắt đầu cuộc tấn công Phầm mềm khách

sẽ gửi các chuỗi lệnh đến máy chủ dưới quyền

Daemon: các chương trình đang chạy trên một Zombie sẽ nhận lệnh đến từ Client vàthực thi các lệnh đó Daemon sẽ chịu trách nhiệm chính thực thi cuộc tấn công từ cáclệnh

Các máy chủ tham gia vào cuộc tấn công DDoS bao gồm:

- Master: máy tính chạy các phần mềm khách ( Client)

- Zombie: một máy tính cấp thấp hơn xử lý quá trình Daemon

- Target: Hệ thống máy chủ là mục tiêu của cuộc tấn công

Về cơ bản, cách thức phát hiện và phòng chống DDoS cũng khó khăn tương tự nhưđối với DoS Thiệt hại do các cuộc tấn công này gây ra cũng vô cùng to lớn Cách thứcduy nhất để tự bảo vệ hệ thống là luôn có kế hoạch backup, dự phòng cho hẹ thống máychủ và theo dõi sát lưu lượng truy cập để phát hiện kịp thời lượng truy cập tăng đột biếnvào máy chủ, từ đó có kế hoạch đối phó hợp lý

1.4.3 Tấn công SYN

Phương pháp tấn công SYN là phương pháp tấn công dựa vào điểm yếu của giao thứcTCP/IP Phương pháp này lợi dụng quá trình bắt tay 3 bước (3-way handshake) để làmcho thiết bị đích gửi ACK về cho địa chỉ nguồn và không kết thúc được quá trình bắt tay

Hình 1-18: Quá trình bắt tay 3 bước

Quá trình này được bắt đầu khi một host gửi đi một gói SYN (synchronization) Tronggói SYN này sẽ có địa chỉ IP của nguồn và đích, nó sẽ giúp máy đích gửi gói tinSYN/ACK cho máy nguồn Khi máy nguồn nhận được gói tin này nó sẽ gửi gói tin ACKxác nhận thiết lập kết nối

Trong cuộc tấn công SYN, hacker sẽ gửi những gói tin SYN giả mạo địa chỉ IP nguồn.Khi đó, máy nhận sẽ trả lời cho một địa chỉ IP không tồn tại, không đến được và chờnhận ACK từ máy đó Trong trạng thái chờ đó, yêu cầu thiết lập kết nối được lưu tronghàng đợi hoặc trong bộ nhớ Trong suốt trạng thái chờ, hệ thống bị tấn công sẽ phải dànhhẳn một phần tài nguyên cho đến khi thời gian chờ hết hạn

Hình 1-19: Tấn công SYNVới rất nhiều gói tin SYN gửi đi, hacker sẽ làm thiết bị bị quá tải tài nguyên khi trả lời

và chờ các kết nối giả tạo và nó không còn khả năng trả lời các yêu cầu kết nối thật khác.Biện pháp phòng chống: có thể dùng cách giảm thời gian chờ cho một kết nối và tăngkích thước hàng đợi Tuy nhiên đây chỉ là cách bị động để giải quyết Phương pháp tốtnhất là dùng các hệ thống cảnh báo và phát hiện dấu hiệu của các đợt tấn công này đểchặn từ trước

1.4.4 Tấn công password

Tấn công password là một cách tấn công khá cơ bản và vẫn rất phổ biến hiện nay.Kiểu tấn này khá dễ thực hiện và đôi khi hiệu quả mang lại là khá cao Có 3 kiểu tấn côngpassword chính mà chúng ta thường gặp:

1.4.5 Passive Online Attacks

Một cuộc tấn công trực tuyến thụ động là sử dụng các công cụ sniffing để tìm dấu vết,các mật khẩu trên một mạng Mật khẩu sau khi bị bắt trong quá trình xác thực sẽ được sosánh với một từ điển (dictionary) hoặc danh sách từ (word list) Tài khoản người dùng cómật khẩu thường được băm hoặc mã hõa trước khi gửi lên mạng để ngăn chặn truy cập

trái phép và sử dụng Nếu mật khẩu được bảo vệ bằng cách trên, một số công cụ đặc biết

có thể giúp Hacker phá vỡ được các thuật toán bảo vệ mật khẩu

1.4.6 Active Online Attacks

Các đơn giản nhất để đạt được cấp độ truy cập của một quản trị viên hệ thống làphải đoán từ đơn giản thông qua giả định là các quản trị viên sử dụng một mật khẩu đơngiản, mật khẩu dễ đoán và dễ tấn công Active Online Attack dựa trên các yếu tố conngười tham gia vào việc tạo mật khẩu và cách tấn công này chỉ hữu dụng với những mậtkhẩu yếu cách này được thực hiện bằng cách cố gắng kết nối, suy nghĩ về hệ thống giốngnhư một quản trị viên thực hiện thường hacker sẽ sử dụng các công cụ tự động để tăngtốc độ đoán mật khẩu Các công cụ này nhanh chóng tạo ra các file từ điển, danh sách tậphợp các khả năng có thể có của các chữ cái, số, ký tự đặc biệt

1.4.7 Offline Attacks

Cuộc tấn công Offline được thực hiện tại máy tính cần tấn công Nói cách khác, lúcnày kẻ xấu đã chiếm được hệ thống vật lý Kẻ gian lúc này có thể sao chép các tập tinmật khẩu từ hệ thống lên phương tiện di động Hacker sau khi có file đó, và tiếp tục khaithác lỗ hổng bảo mật bằng những cách chủ yếu sau:

- Dictionary Attack: là các tấn công đơn giản và nhanh nhất trong các loại hình tấncông Nó được sử dụng để xác định một mật khẩu từ thực tế, và mật khẩu có thể đượctìm thấy trong từ điển (dictionary) Thông thường, cuộc tấn công sử dụng một tập tin

từ diển các từ có thể, sau đó sử dụng một thuật toán được sử dụng bởi quá trình xácthực, Các hàm băm mật khẩu của người dùng đăng nhập vào được so sanh với cáchàm băm trong từ điển cách thức tấn công này chỉ thành công nếu mật khẩu có trong

từ điển Chính vì vậy, kiểu tấn công này có hạn chế là không thể được sử dụng với cácmật khẩu mạnh chứ số hoặc ký hiệu khác

- Hybrid Attack là cấp độ tấn công cao hơn của hacker, sau khi nỗ lực tìm kiếm mậtkhẩu bằng phương pháp Dictionary Attack không thành công Cuộc tấn công Hybridbắt đầu với một tập tin từ điển và thay thế các con số và các kí hiệu cho các ký tựtrong mật khẩu Ví dụ: nhiều người thường thêm 1 số nào đó vào cuối mật khẩu của

họ, hoặc thay thế các chữ cái với các chữ số có nét tương đồng với nhau ( như i – 1, 3– e,

g – 9,…) để đáp ứng yêu cầu mật khẩu mạnh của hệ thống Hybrid được thiết kế là đểtìm ra những bất thường đó trong mật khẩu.

1.4.8 Brute Force Attack

Là một cuộc tấn công bằng cách sử dụng thuật toán brute-force, sẽ thử tất cả mọi cáchkết hợp có thể có của chữ hoa, chữ thường, số và các ký hiệu Thường cuộc tấn công nàyrất mất thời gian nhưng hiệu quả đạt được lại rất cao Nếu đủ yêu cầu về tốc độ xử lý vật

lý cùng cấu hình máy đủ mạnh, mật khẩu có thể tìm ra một cách nhanh chóng

Thiệt hại của các cuộc tấn công mật khẩu gây ra và vô cùng to lớn Nếu thành công,nghiễm nhiên, các hacker sẽ chiếm được quyền điều khiển hệ thống Nguy hiểm hơn, cáchacker có thể để lại các backdoor để có thể truy cập vào tùy ý, dù có thay đổi mật khẩu.Các phương pháp tấn công mạng khá cổ điển nhưng vẫn mang lại hiệu quả nhất định.Tiếp theo sau đâu sẽ là các phương pháp tấn công hiện đại hơn, gây nhiều thiệt hại hơnđược sử dụng rộng rãi trong thời gian gần đây

1.4.9 Tấn công mã độc mã hóa dữ liệu tống tiền (Ransomware)

Xuất hiện từ những năm 2005-2006 và thời gian gần đây trở nên đặc biệt nguy hiểmvới biến thể virus CryptoLocker vào cuối 2013 Loại tấn công này sẽ mã hóa các tập tinquan trọng, làm cho dữ liệu không truy cập được đến khi người sử dụng phải trả tiền chotin tặc chuộc lại Điều này còn trờ thảnh một vấn nạn với tất cả các thiết bị điện tử khiloại tấn công này còn có thể xuất hiện trên điện thoại thông minh, máy tính bảng hay cácthiết bị điện tử khác Một loạt các phần mềm tống tiền xuất hiện bao gồm: Locky, DMALocker, Surprise và một biến thể có tên Ranscam - lấy tiền chuộc nhưng lại xóa luôn cả

dữ liệu Báo cáo cũng cho biết, mã độc tống tiền đang hướng sự tập trung nhiều vào cácthiết bị di động, với số lượng người dùng bị tấn công bằng mã độc tống tiền di động tănggần 4 lần, từ 35.413 vụ lên 136.532 vụ Loại mã độc này ngày càng trở nên nguy hiểmhơn từng năm khi tin tặc có thể nhận miễn phí mã nguồn để thay đổi theo mục đích Theo

số liệu của Kaspersky Lab (khảo sát từ tháng 4/2014 đến tháng 3/2016), năm 2016, cứ 40giây lại xuất hiện một cuộc tấn công vào doanh nghiệp, số lượng các cuộc tấn công từ mãđộc tống tiền nhắm vào doanh nghiệp đã tăng lên gấp 3 lần Cụ thể, các cuộc tấn công sửdụng mã độc tống tiền đã tăng từ 131.111 vụ trong giai đoạn 2014 -2015, lên 718.536 vụtrong giai đoạn 2015-2016

Hình 1-20: Dùng Ransomware để tống tiền nạn nhân.

Đặc biệt, trong tháng 5 vừa rồi đã xuất hiện một loại Ransomware cực kì nguy hiểmmang tên WannaCry Chỉ trong vài giờ, loại mã độc tống tiền này đã lây nhiễm cho hơn

45000 máy tính tại 74 quốc gia, bao gồm Mỹ, Nga, Đức, Ý, Philippines và Việt Nam TạiViệt Nam, theo thống kê từ hệ thóng giám sát virus của Bkav cho thấy đã có hơn 1900máy tính bị lây nhiễm mã độc này Trong đó, khoảng 1600 máy tính được ghi nhận tại

243 cơ quan, doanh nghiệp và khoảng 300 máy tính của người sủ dụng cá nhân TheoBkav, 52% lượng máy tính ở Việt Nam (ước tính khoảng 4 triệu máy tính) có có thể bịtấn công bởi mã độc này qua lỗ hổng EternalBlue Với lượng lớn máy tính có lỗ hổngnày, khả năng bị cài phần mềm gián điệp có chủ đích sẽ nguy hiểm hơn rất nhiều Thâmchí là nguy cơ với an ninh quốc gia Ngay lập tức, các chuyên gia an ninh mạng Việt Namcùng toàn thế giới đã kịp thời đưa ra giải pháp để vá lỗ hổng, hạn chế sự nguy hiểm củaloại mã độc này

Hình 1-21: Cửa sổ đòi tiền chuộc của mã độc Wannacry

1.4.10 Tấn công dựa trên phần cứng (Hardware)

Đây không phải là thuật ngữ gì xa lạ mới an ninh hệ thống mạng, tuy nhiên trong năm

2016 lại phát hiện được khá nhiều và phát triển khá mạnh Hình thức chủ yếu của cáccuộc tấn công này bao gồm:

- USB flash: Equation Group vừa phát hiện chương trình mã độc cài trong các USBflash để tiến hành giám sát mục tiêu Các sâu này không thể loại bỏ kể cả khi địnhdạng lại ổ đĩa

- Cài sẵn mã độc trong BIOS của máy tính, cài sẵn mã theo dõi trong các chương trìnhtiện tích riêng của hãng máy tính

- Cài sẵn mã trong các firrmware của thiết bị

- Tích hợp mã độc trên IC (Trojan circuit / Hardware Trojan)

1.4.11 Tấn công thư giả mạo (Spear-phishing)

Cũng là một kiểu tấn công xuất hiện từ lâu, nhưng vẫn khá phát triển và có nguy cơcao đến người dùng Xu hướng này được nâng cấp rõ rệt khi thư giả mạo được gửi từ cácđịa chỉ đã biết rõ khiến những thư gian lận này rất khó để phát hiện Nhân lực thực thiphát tán thư lừa đảo cũng được đào tạo theo từng chiến dịch phát tán, gây khó khăn trongviệc bảo vệ mạng khỏi bị tấn công trong nhiều trường hợp

1.4.12 Tấn công dịch vụ điện toán đám mây (Cloud services)

Trong thời đại phát triển IoT, dịch vụ điện toán đám mây cũng bùng nổ Điện toánđám mây là một dịch vụ mà các chương trình và dữ liệu của bạn sẽ được lưu trữ và xử lýhoàn toàn online, bạn không phải đầu tư cơ sở hạ tầng về công nghệ thông tin tốn kém

mà vẫn có thể sử dụng được những tài nguyên mạng lớn Chính vì vậy, tấn công điệntoán đám mây dần trở thành con mồi béo bở mới cho tin tặc Các loại mã độc đám mâymới ( Cloud malware) được đánh giá sẽ là các thức chủ đạo trong các cuộc tấn công vào

hệ thống điện toán đám mây trong năm 2016 và đầu 2017, gây ảnh hưởng lớn tới khảnăng lưu trữ, xử lý dữ liệu và thâm chí còn gây thiệt hại tới cơ sở hạ tầng công nghệ.Điều này gây ra tâm lý e dè cho người sử dụng, nghi ngờ về tính bảo mật, nguyên vẹn dữliệu đối với dịch vụ có nhiều lợi ích như điện toán đám mây

1.4.13 Tấn công vào yếu tố con người

Chúng ta phải nhìn nhận một cách khách quan rằng, con người mới chính là điểm yếunhất trong hệ thống bảo vệ máy tính Trong thời đại công nghệ hiện đại, không khó đểbiết bạn là ai Tin tặc thường thu thập thông tin về con người từ các tài khoản xã hội, cáctrang web bạn truy cập hoặc thậm chí là theo dõi các cuộc trò chuyện của ban…Khi tổnghợp được thông tin, tin tặc có thể lợi dụng nó để đoán ra điểm yếu của bạn, từ đó lậpđược danh sách mật khẩu mà chúng nghĩ bạn có thể đặt được để thử kiểm tra phá khóa

“hack con người” mới là hình thức hack đạt được hiệu quả cao nhất

1.4.14 Tấn công vào cơ sở hạ tầng mạng

Mặc dù cơ sở hạ tầng mạng luôn được đặt trong tình trạng bảo vệ nghiêm ngặt, nhưngvẫn luôn phải đề phòng các sự cố bị tấn công vào hạ tầng mạng Kẻ xấu có thể tấn công

hệ thống điện gây cháy nổ thiết bị, làm hỏng hệ thống làm mát khiến máy móc bị nóngdẫn tới quá tải, sử dụng các thiết bị điện từ làm hỏng các bo mạch điện của thiết bị…Chính vì vậy, luôn phải nâng cao ý thức bảo vệ và đề phòng các tình huống có thể xảy ravới hệ thống hạ tầng mạng

1.5 Giải pháp phòng chống chung

Trên thực tế, không có một giải pháp toàn diện nào cho việc phòng chống các loạihình tấn công trên mạng Phòng chống các nguy cơ tấn công mạng không phải trách

nhiệm của một cá nhân hay tổ chức, mà là của cộng đồng Các giải pháp cơ bản phòngchống:

- Đào tạo nâng cao nhận thức và kỹ năng khai thác dịch vụ cho người sử dụng

- Phát triển và tối ưu nguồn lực, vật lực và nhân lực chuyên trách an ninh mạng

- Thay đổi quan điểm phòng chống tấn công: phòng chống không chỉ từ bên ngoài màngay cả từ bên trong nội bộ

- Triển khai các hệ thống giám sát bảo vệ toàn mạng nhằm tự động phát hiện và cô lậpcác truy cập/hoạt động trái phép trên mạng nội bộ và mạng diện rộng dùng riêng(nghe lén, phát tán mã độc, …)

- Xây dựng chính sách phòng chống APT (Advanced persistent threat) ngay từ bêntrong mạng nội bộ

CHƯƠNG 2: GIẢI PHÁP BẢO MẬT

CHO MẠNG LAN DEFENSE IN DEPTH

Trong thực tế có khá nhiều phương pháp bảo mật cho mạng LAN, nhưng một phươngpháp có tính an toàn cao, bảo vệ hệ thống một cách toàn diện là Defense in Depth

Defense in Depth (bảo mật theo chiều sâu) là một giải pháp xây dựng một mạng bảomật mà ở đó, các lỗ hổng an ninh trong mạng cơ sở hạ tầng quan trọng được sắp xếp, giảiquyết theo nhiều lớp Khái niệm này xuất phát từ trong quân sự, để chỉ cách thức để ngăncản kẻ thù xâm lược, từ đó hiểu được tiến trình tấn công của kẻ địch và kế hoạch phảncông kẻ địch Tương tự như vậy, mô hình an ninh mạng Defense in Depth được thiết kế

có các biện pháp để phát hiện và bảo vệ để ngăn cản kẻ xâm nhập, bên cạnh đó hỗ trợ đểkhắc phục và hạn chế tối đa thiệt hại do việc xâm nhập gây ra

Phương pháp này tiếp cận một cách toàn diện với mạng để bảo vệ tất cả tài sản mạng,đáp ứng được các yếu tố:

- Chi phí cho việc đảm bảo hoạt động hệ thống ở mức cho phép

- Đáp ứng được an ninh cả cho các kết nối mở rộng từ mạng mà không phải cài đặt lại

- Khả năng truy cập từ xa, cho phép người dùng quản trị hệ thống

- Hỗ trợ khả năng giám sát và bảo vệ các giao thức của mạng

- Dễ dàng nâng cấp, tăng tính tương thích của mạng với các mối đe dọa an ninh mới

- Tăng khả năng nhận thức về phòng thủ mạng

Defense in Depth không phải là một phương pháp riêng rẽ trên phần cứng hay phầnmềm, mà phương pháp này là sự kết hợp của các yếu tố: con người, công nghệ, phươngthức hoạt động và nhận thức về an ninh mạng Phương pháp này cung cấp một bộ công

cụ để giảm thiểu rủi ro trên từng lớp, từng đối tượng của mạng để giải quyết các vấn đềphù hợp với từng lớp, từng đối tượng

“No system is safe”, không có một hệ thống nào là an toàn Rủi ro có thể đến từ bất kìđâu trong các lớp của phương pháp: từ sai lầm của con người, hỏng hóc của máy móc,ảnh hưởng bởi các yếu tố khách quan khác…Defense in Depth cũng không phải là ngoại

lệ Chính vì vậy, chúng ta vẫn luôn phải nâng cấp, cải thiện hệ thống để có thể đối phó

được với những mối đe dọa an ninh mới càng ngày càng nguy hiểm hơn Dưới đây là cácbiện pháp phòng thủ theo chiều sâu trên từng lớp của Defense in Depth:

2.1 Quản trị rủi ro

Các doanh nghiệp, cá nhân hoạt động trên mạng máy tính cần phải hiểu rõ mức độquan trọng của an ninh mạng, để rồi từ đó đưa ra mức độ chấp nhận rủi ro kinh doanhtổng thế Bời, hệ thống mạng dù có an toàn đến đâu những vẫn có thể có những kẽ hở cóthể bị tin tặc lợi dụng tấn công Cụ thể, các cá nhân, tổ chức có trách nhiệm quản lý vàduy trì hệ thống cần kiểm soát và có các phương pháp đánh giá, xác định rủi ro của hệthống an ninh mạng, hiểu rõ cách thức bảo vệ mạng để từ đó có kiến thức chuẩn bị đốiphó với từng loại rủi ro Khi đã có phương án quản trị rủi ro cụ thể, bị tấn công chúng ta

có thể khắc phục hệ thống mạng nhanh chóng hơn, giữ cho hệ thống không bị gián đọan

Hệ thống mạng luôn rất dễ bị tấn công từ các kết nối tới mạng Để kiểm soát hệ thốngtốt, giảm thiểu khả năng các tài sản quan trong bị tấn công thì trước hết phải xác địnhđược các thành phần mà ảnh hưởng quan trọng, trực tiếp tới hoạt động của công ty Sau

đó, phân tích rủi ro an toàn của hệ thống mạng để xác định mối đe dọa hiện tại, các lỗhổng, rủi ro với hệ thống hay các mối nguy cơ tiềm tàng Nên áp dụng kiểm soát ở mứcbảo nhật cao nhất có thể trong khi vẫn giữ cho các chức năng hệ thống mạng không bịgián đoạn Bên cạnh đó, liên tục theo dõi và điều chỉnh kiếm soát hệ thống để đảm bảo hệthống luôn có khả năng chống lại các mối đe dọa nguy hiểm Cụ thể làm được những yêucầu sau:

- Xác định mối đe dọa với hệ thống

- Nghiên cứu kiến trúc hệ thống mạng

- Xác định các công nghệ sử dụng trong mạng

- Xác định các ứng dụng phần mềm trong mạng

- Nghiên cứu các rủi ro về con người trong tổ chức

- Xác định các tài sản quan trọng trong quá trình hoạt động của hệ thống

- Dự đoán khả năng các mối đe doạn có thể có hoặc dự đoán các phương pháp xâmnhập có thế để có cách thức dự phòng

2.2 Kiểm kê tài sản và mô tả rủi ro có thể có với tài sản.

Tài sản của hệ thống có thể là các thiết bị mạng, dữ liệu,phần mềm tường lửa, máytính…Chung quy lại, là cơ sở hạ tầng mạng Hệ thống mạng luôn đòi hỏi hoạt động liêntục, không bị gián đoạn bởi bất kì sự cố nào, chính vì vậy luôn phải có các tài sản dựphòng cho hệ thống Cần có lập một danh sách các đặc điểm dưới đây:

- Phân loại tình nghiêm trọng của tài sản: cần xác định được mức độ quan trọng của tàisản Trả lời được các câu hỏi như: thông tin được tạo ra là gì? Mức độ bảo mật cầnthiết cho thông tin ở mức nào?

- Xác định rủi ro bảo mật: Có thể là các mối đe dọa cố ý từ bên trong Các thiết kế,chính sách trong hệ thống không hợp lý; không sử dụng đúng công nghệ giữa các thiết

bị Hoặc là các mối đe dọa từ ngoài hệ thống như Virut, Hacker, Mã độc,…

- Xem xét, cân nhắc mức độ tác động để có ưu tiên xử lý nếu gặp nhiều sự cố một lúc:trong thực tế không tránh khỏi sự cố diện rộng trên hệ thống Lúc ấy, người quản trịphải xác định được đâu là phần cần ưu tiên khắc phục trước để hệ thống hoạt động;đâu là phần có thể khắc phục sau mà không ảnh hưởng hệ thống; cân nhắc xử lýnhững lỗi lớn có thể gây ra hiệu ứng lỗi dây chuyền cho hệ thống,…

- Hoạt động kiểm tra giám sát an ninh cho hệ thống phải luôn được thực hiện liên tục:

có kế hoạch định kỳ cho việc chỉnh sửa, thay thế, cài đặt lại những module đã cũtrong hệ thống; triển khai các tính năng tốt hơn

2.3 Bảo vệ lớp vật lý

Các biện pháp bảo vệ lớp vật lý làm giảm nguy cơ thiệt hại đối với thiết bị, dữ liệu docác tai nạn chủ quan hoặc khách quan Tài sản cần được bảo vệ bao gồm các tài sản như:các phần mềm và thiết bị phòng máy, địa điểm đặt thiết bị mạng, các dữ liệu độc quyềnmạng của tổ chức,…Kiểm soát an ninh cho lớp vật lý phải đáp ứng các yêu cầu về môitrường, an toàn, quy định pháp luật An ninh được chia thành nhiều lớp bảo vật các đốitượng cụ thể riêng rẽ, từng phần như sau:

- Chỉ cấp quyền vào truy cập vào hệ thống, các dữ liệu quan trọng cho những người cóthẩm quyền Có cơ chế giám sát truy cập khi vào phòng máy chủ; có thẻ nhận dạng vàđược cấp phép quyền vào những phòng máy chủ cụ thể nào; có bảo vệ giám sát khi cókhách quan trọng cần vào phòng; Cơ chế báo động khi thiết bị bị lấy đi

- Có khóa an toàn, bảo vệ hoặc camera giám sát tại từng hạng mục hệ thống, cơ sở hệtầng, thiết bị quan trọng

- Cấm và có các biện pháp ngăn chặn việc rò rỉ tài nguyên, thông tin quan trọng của hệthống hoặc thông số phần cứng của hệ thống với người không có thẩm quyền

- Không cho phép các thiết bị khác được hoạt động trái phép tên hệ thống như USB,thiết bị lưu trữ bộ nhớ, các điểm truy cập qua wifi hoặc bluetooth

- Cân nhắc vị trí, môi trường đặt thiết bị của hệ thống, ví dụ như máy chủ cần đặt ở nơi

ít bụi, kín kẽ; nhiệt độ phải được điều chỉnh cố định và theo dõi liên tục vì các máyhoạt động liên tục rất rễ gây ra hiện tượng nóng dẫn tới giảm hiệu suất; Có hệ thốngphòng cháy, chữa cháy đạt chuẩn

- Luôn đảm bảo nguồn điện liên tục cho hệ thống: Không được phép chỉ dựa vào mộtnguồn điện duy nhất là điện lưới quốc gia mà phải luôn có từ 2 đến 3 phương án dựphòng cho nguồn điện, gọi là các UPS (uninterruptible power supply) Phương ánđiện dự phòng có thể là điện 3 pha, máy phát điện hoặc ắc quy tích điện…

- Phòng máy chủ bị hạn chế vào ra do vấn đề bảo mật, nên nếu có sự cố vật lý như:cháy, nổ, chập điện,…rất khó phát hiện kịp thời Do đó, cần theo dõi, giám sát phòngmáy liên tục để phát hiện ra các sự cố vật lý để khắc phục kịp thời

- Các máy tính điều khiển, máy xách tay, máy trạm phải được tổ chức quản lý, bảo mậtchặt chẽ Có thể cấp riêng cho nhân viên máy để chỉ sử dụng trong hệ thống; khôngcho phép nhân viên sử dụng máy tính cá nhân trong mạng lưới, để đề phòng lây lanphần mềm gián điệp từ máy bên ngoài vào hệ thống

- Có sơ đồ thiết kế đấu nối vật lý, đánh số thứ tự cho các kết nối cáp trong mạng.Không sử dụng các loại cáp không vỏ; sử dụng chung chuẩn đầu nối giắc cắm RJ – 45cho hệ thống (bảo vệ chống khỏi hơi nước, bụi và va chạm); cáp quang và cáp đồngtrục được ưu tiên cho mạng điều khiển vì chúng không bị hảnh hưởng nhiều bởi môitrường truyền dẫn như điện từ, sóng radio, vốn gặp nhiều trong môi trường

2.4 Xây dựng mạng có cấu trúc

Việc xây dựng mạng có cấu trúc, được chia ra thành các phần riêng rẽ sẽ giúp ngườiquản trị đơn giản hóa việc quản lý hệ thống chồng chéo giữa các môi trường Sự táchbạch trong kết nối này giúp giải quyết các lỗ hổng phát sinh trong hệ thống, có thể kể ra ởđây:

- Kết nối không an toàn giữa mạng nội bộ với mạng bên ngoài