BỘ GIÁO DỤC VÀ ĐÀO TẠO ĐẠI HỌC CÔNG NGHỆ TP.HCM AN TOÀN MẠNG Biên Soạn: ThS Văn Thiên Hoàng www.hutech.edu.vn AN TOÀN MẠNG Ấn 2015 MỤC LỤC I MỤC LỤC MỤC LỤC I HƢỚNG DẪN V BÀI 1: TỔNG QUAN VỀ AN TOÀN MẠNG 1.1 GIỚI THIỆU 1.1.1 Khái niệm an toàn mạng 1.1.2 Tính bí mật 1.1.3 Tính toàn vẹn 1.1.4 Tính khả dụng 1.2 CÁC MÔ HÌNH BẢO MẬT 1.2.1 Mô hình CIA (Confidentiality-Integrity-Availability) 1.2.2 Mô hình PARKERIAN HEXAD 1.2.3 Mô hình nguy STRIDE 1.3 CHIẾN LƢỢC AN NINH MẠNG AAA 1.3.1 Điều khiển truy cập 1.3.2 Xác thực 1.3.3 Kiểm tra 10 1.4 CÁC NGUY CƠ MẤT AN NINH MẠNG 10 1.4.1 Phân loại 11 1.4.2 Thách thức an ninh 11 1.5 TẤN CÔNG MẠNG 12 1.5.1 Các phương thức công 13 1.5.2 Các mục tiêu công 14 1.6 NGUYÊN TẮC XÂY DỰNG MỘT HỆ THỐNG BẢO MẬT 14 1.6.1 Chính sách chế bảo mật 14 1.6.2 Các mục tiêu bảo mật hệ thống 15 TÓM TẮT 17 CÂU HỎI ÔN TẬP 18 BÀI 2: CÁC KỸ THUẬT TẤN CÔNG THĂM DÕ 19 2.1 GIỚI THIỆU 19 2.2 TRUY VẾT-FOOTPRINTING 20 2.2.1 Khái niệm 20 2.2.2 Thu thập thông tin tên miền 20 2.2.3 Thu thập thông tin Email 23 2.2.4 Thu thập thông tin sử dụng Traceroute 24 2.3 QUÉT-SCANNING 25 2.3.1 Giới thiệu 25 2.3.2 Phân loại 25 2.3.3 Các phương pháp quét 25 II MỤC LỤC 2.4 LIỆT KÊ - ENUMERATION 32 2.4.1 Khái niệm 32 2.4.2 Liệt kê NetBIOS .32 2.4.3 Liệt kê SNMP 33 2.4.4 Liệt kê Unix/Linux 34 2.4.5 Liệt kê LDAP 35 2.4.6 Liệt kê NTP 36 2.4.7 Liệt kê SMTP 36 2.4.8 Liệt kê DNS 36 2.4.9 Các phương pháp phòng chống 36 TÓM TẮT 38 CÂU HỎI ÔN TẬP 38 BÀI 3: TẤN CÔNG HỆ THỐNG 39 3.1 CÁC BƢỚC TẤN CÔNG 39 3.1.1 Mật .39 3.1.2 Tăng Đặc Quyền 42 3.1.3 Thực thi ứng dụng 43 3.1.4 Giấu tập tin 44 3.1.5 Xóa dấu vết 45 3.2 CÁCH PHÒNG CHỐNG 46 3.2.1 Biện pháp đối phó với crack password .46 3.2.2 Đối phó Rootkit 46 3.3 VÍ DỤ TẤN CÔNG HỆ THỐNG 47 TÓM TẮT 50 CÂU HỎI ÔN TẬP 51 BÀI 4: KỸ THUẬT NGHE LÉN VÀ PHÂN TÍCH GÓI TIN 52 4.1 GIỚI THIỆU 52 4.1.1 Nghe hợp pháp 52 4.1.2 Khái niệm công nghe 53 4.1.3 Các mối đe dọa nghe .53 4.1.4 Cơ chế hoạt động chung nghe .54 4.1.5 Các nguy dẫn tới Sniffing 54 4.2 PHÂN LOẠI TẤN CÔNG NGHE LÉN 55 4.2.1 Nghe thụ động 55 4.2.2 Nghe chủ động 55 4.3 CÁC KỸ THUẬT NGHE LÉN CHỦ ĐỘNG 55 4.3.1 Tấn công MAC Address 55 4.3.2 Tấn công DHCP 57 4.3.3 Tấn công giả mạo ARP 59 4.3.4 Đầu độc DNS 62 4.4 CÔNG CỤ PHÂN TÍCH GÓI TIN WIRESHARK 64 MỤC LỤC III TÓM TẮT 68 CÂU HỎI ÔN TẬP 68 BÀI 5: AN NINH HẠ TẦNG MẠNG 69 5.1 GIẢI PHÁP VÀ LỘ TRÌNH XÂY DỰNG BẢO MẬT HẠ TẦNG MẠNG 69 5.2 THIẾT KẾ MÔ HÌNH MẠNG AN TOÀN 71 5.3 CHÍNH SÁCH AN TOÀN MẠNG 72 5.3.1 Quy trình tổng quan xây dựng sách tổng quan 72 5.3.2 Hệ thống ISMS 73 5.3.3 ISO 27000 Series 74 5.4 ROUTER AND SWITCH 77 TÓM TẮT 81 CÂU HỎI ÔN TẬP 81 BÀI 6: FIREWALL 82 6.1 TỔNG QUAN FIREWALL 82 6.1.1 Khái niệm 82 6.1.2 Chức tường lửa 83 6.1.3 Nguyên lý hoạt động 84 6.1.4 Phân loại 84 6.1.5 Thiết kế Firewall mô hình mạng 86 6.2 MỘT SỐ FIREWALL VÀ PROXY PHỐ BIẾN 87 6.2.1 Cấu hình Firewall IPtable 87 6.2.2 Cài đặt cấu hình SQUID làm Proxy Server 89 6.2.3 Hệ thống Asa 94 TÓM TẮT 103 CÂU HỎI ÔN TẬP 103 BÀI 7: HỆ THỐNG PHÁT HIỆN VÀ CHỐNG XÂM NHẬP 104 7.1 HỆ THỐNG PHÁT HIỆN XÂM NHẬP 104 7.1.1 Khái niệm 104 7.1.2 Kiến trúc hệ thống phát xâm nhập 105 7.1.3 Phân loại IDS 106 7.1.4 IDS Snort 108 7.2 HỆ THỐNG NGĂN CHẶN XÂM NHẬP IPS 115 7.2.1 Giới thiệu IPS 115 7.2.2 Kiến trúc hệ thống ngăn chặn xâm nhập 115 7.2.3 Phân loại IPS 119 7.2.4 Kỹ thuật nhận biết ngăn chặn IPS 123 7.2.5 Ví dụ xây dựng hệ thống IPS 125 TÓM TẮT 141 CÂU HỎI ÔN TẬP 141 BÀI 8: MẬT MÃ VÀ CÁC GIAO THỨC BẢO MẬT 142 IV MỤC LỤC 8.1 BẢO MẬT THÔNG TIN VÀ MẬT MÃ 142 8.1.1 Giới thiệu 142 8.1.2 Kiến trúc an toàn hệ thống truyền thông mở OSI 143 8.1.3 Mô hình an toàn mạng tổng quát 145 8.1.4 Lý thuyết mật mã hỗ trợ xây dựng ứng dụng bảo mật thông tin 145 8.2 CÁC GIAO THỨC BẢO MẬT MẠNG 150 8.2.1 Tổng quan Kerberos 150 8.2.2 SSL 153 8.2.3 IPSEC 159 TÓM TẮT 168 CÂU HỎI ÔN TẬP 168 BÀI 9: MẠNG RIÊNG ẢO - VPN 169 9.1 TỔNG QUAN VPN 169 9.1.1 Định nghĩa 169 9.1.2 Các chức 169 9.1.3 Lợi ích VPN 170 9.1.4 Phân loại 171 9.2 CÁC GIAO THỨC CƠ BẢN TRONG VPN 175 9.2.1 Kiến trúc tổng quát bước xử lý VPN 175 9.2.2 Giao Thức PPTP 176 9.2.3 Giao thức PPP 179 9.3 MINH HỌA VPN 186 TÓM TẮT 203 CÂU HỎI ÔN TẬP 203 TÀI LIỆU THAM KHẢO 204 HƢỚNG DẪN V HƢỚNG DẪN MÔ TẢ MÔN HỌC Do ứng dụng mạng Internet ngày phát triển mở rộng, nên an toàn thông tin mạng trở thành nhu cầu bắt buộc cho hệ thống ứng dụng Vì vậy, An toàn mạng môn học thiếu sinh viên ngành mạng Mục đích môn học cung cấp cho sinh viên kiến thức vấn đề an ninh mạng giải pháp tổng thể việc triển khai mạng an toàn NỘI DUNG MÔN HỌC Bài 1: Bài học cung cấp kiến thức tổng quan an ninh mạng khái niệm an ninh mạng, mô hình an ninh, lược bảo mật hệ thống AAA, nguy công mạng nguyên tắc xây dựng hệ thống bảo mật Môi trường mạng có nhiều nguy ảnh hưởng đến an toàn hệ thống thông tin Các nguy xuất phát từ hành vi công trái phép bên từ thân lỗ hổng bên hệ thống Có nhiều nguy đặt như: Trojans, đánh cắp thông tin, Mạng ma Flux Botnet, Thất thoát giữ liệu, vi phạm an ninh, Các mối đe dọa an ninh nội bộ, Tổ chức tội phạm mạng, Lừa đảo, Gián điệp mạng, Zero-Day, Vishing, Mối đe dọa từ web 2.0, … Do vậy, an ninh mạng máy tính tổng thể giải pháp mặt tổ chức kỹ thuật nhằm ngăn cản nguy tổn hại đến mạng Một hệ thống bảo mật hệ thống mà thông tin xử lý phải đảm bảo ba đặc trưng sau (mô hình CIA): (1) Tính bí mật hệ thống; (2) Tính toàn vẹn thông tin; (3) Tính khả dụng thông tin Chiến lược bảo mật hệ thống AAA chiến lược tảng để thực thi sách bảo mật hệ thống theo mô hình CIA Các mục tiêu việc thực an ninh mạng cần phải đạt là: (1) Xác định cần bảo vệ; (2) Xác định bảo vệ trước gì; (3) Xác định nguy cơ; (4) Thực biện pháp để bảo vệ; (5) Kiểm tra lại tiến trình cách liên tiếp thực cải tiến với lần tìm điểm yếu Bài 2: Bài học cung cấp khái niệm footprinting, scanning, enumeration, công cụ phần mềm hỗ trợ thực giải pháp phòng tránh Kỹ thuật VI HƢỚNG DẪN footprinting cho phép điều tra thông tin nạn nhân công nghệ Internet sử dụng, hệ điều hành, phần cứng, hoạt động địa IP, địa e-mail số điện thoại, tập đoàn sách thủ tục Kỹ thuật scanning thu thập tên máy, địa ip, cấu hình máy tính, hệ điều hành, dịch vụ chạy, port mở Kỹ thuật enumeration trình trích xuất tên người dùng, tên máy, tài nguyên mạng, chia sẻ, cá dịch vụ từ hệ thống Kỹ thuật tiến hành môi trường mạng nội Bài 3: Bài học cung cấp kiến thức tổng quan bước công mạng Hacker Các bước công mạng gồm có: (1) Thu thập thông tin để giành quyền truy cập; (2) Tạo user có đặt quyền hệ thống nâng quyền hạn user thu thập được; (3) Tạo trì backdoor để truy cập; (4) Che dấu tập tin độc hại (5) Xóa dấu vết Để thu thập thông tin thi Hacker ta sử dụng kỹ thuật học (footprinting, scanning, enumeration) Khi có thông tin đối tượng Hacker công mật để giành quyền truy cập hệ thống Tăng đặc quyền (Escalating Privileges) thêm nhiều quyền cho tài khoản người dùng Hacker có tài khoản đặc quyền truy cập cấp quản trị viên để cài đặt chương trình Một Hacker truy cập tài khoản với quyền quản trị, Hacker thực thi ứng dụng hệ thống đích Mục đích việc thực thi ứng dụng cài đặt cửa sau hệ thống, cài đặt keylogger để thu thập thông tin bí mật, chép tập tin, … Hacker cần che dấu tập tin hệ thống nhằm ngăn chặn bị phát Bài 4: Bài giảng cung cấp kiến thức cho sinh viên khái niệm, mối đe dọa, chế hoạt động chung công nghe Nghe tiến trình cho phép giám sát gọi hội thoại internet thành phần thứ ba Hacker để thiết bị lắng nghe mạng mang thông tin hai thiết bị điện thoại hai thiết bị đầu cuối internet Các kỹ thuật nghe gồm có hai loại: nghe thụ động nghe chủ động Nghe thụ động thực nghe thông qua Hub Nghe chủ động thực Switch Các kỹ thuật nghe chủ động: công MAC, Tấn công DHCP, Tấn công đầu độc ARP, Tấn công đầu độc DNS Các giải pháp ngăn chặn nghe kích hoạt bảo mật port (ví dụ DHCP Snooping) HƢỚNG DẪN VII Bài 5: Bài học cung cấp kiến thức việc xây dựng hệ thống mạng bảo mật gồm có: (1) Các giải pháp lộ trình xây dựng bảo mật hạ tầng mạng, (2) thiết kế mô hình mạng an toàn, (3) sách an toàn mạng (4) bảo mật cho thiết bị router, switch Để xây dựng hệ thống mạng đảm bảo tính an toàn cần phải có lộ trình xây dựng hợp lý yêu cầu chi phí, để từ lựa chọn giải pháp phù hợp Giải pháp phù hợp phải cân yếu tố: yêu cầu, giá thành giải pháp, tính năng, hiệu hệ thống Giải pháp an ninh hạ tầng mạng bao gồm mảng: (1) lý thuyết Security, (2) kỹ công, (3) kỹ cấu hình phòng thủ, (4) lập sách an toàn thông tin Xây dựng sách an toàn mạng bước hoàn thiện môi trường làm việc hoạt động theo chuẩn bảo mật Hiện nước ta có nhiều đơn vị xây dựng sách bảo mật theo chuẩn ISO 27001, sử dụng mô hình ISMS Để kiểm soát liệu, Routers sử dụng ACL Switch thi thực chia Lan ảo Bài 6: Bài học trình bày khái niệm tường lửa, chức năng, nguyên lý họa động, cách triển khai tường lừa mô hình mạng loại tường lửa mạng Firewall kỹ thuật tích hợp vào hệ thống mạng để chống truy cập trái phép, nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhâp không mong muốn vào hệ thống Chức Firewall kiểm soát luồng thông tin từ Intranet Internet Thiết kế firewall phù hợp với hệ thống mạng quan trọng, trình bày số mô hình triển khai firewall: (1) firewall làm chức Packet Filter, (2) firewall áp dụng cho vùng DMZ (3) mô hình mạng tích hợp Bài học trình bày cách sử dụng số tường lửa phổ biển việc triển khai hệ thống mạng an toàn IPtable, ASA proxy Server SQUID Bài 7: Bài học trình bày khái niệm hệ thống phát xâm nhập, kiến trúc hoạt động, phân loại IDS Để minh họa hệ thống phát xâm nhập phần mềm IDS snort, cách cài đặt, thiết lập rule cảnh báo, giám sát hoạt động Hệ thống phát xâm nhập gồm có thành phần như: thành phần phân tích gói tin, thành phần phát công, thành phần phản ứng Hệ thống phát chặn xâm nhập nhận biết công ngăn chăn thông qua kỹ thuật nhận biết qua dấu hiệu, nhận biết qua bất thường lưu lượng, nhập biết qua sách thiết VIII HƢỚNG DẪN lập, nhân biết qua phân tích giao thức Bài giảng trình bày hệ thống IPS Cisco hoạt động lớp mạng để minh họa tính hoạt động hệ thống phát xâm nhập Bài 8: Bài giảng cung cấp cho sinh viên kiến thức vấn đề bảo mật thông tin: thách thức, kiến trúc an toàn thông tin OSI, thuật toán mật mã cho phép cài đặt dịch vụ mô hình OSI Kiến trúc an toàn OSI gồm có dịch vụ bảo mật: Xác thực bên tham gia, Điều khiển truy cập, Bảo mật liệu, kiểm tra tính toàn vẹn, chống chối bỏ Các thuật toán mã hóa cần thiết để cài đặt dịch vụ là: DES, 3DES, AES, RSA, DiffieHellman, Hàm băm MD5, SHA, Mã xác thực MAC Giao thức quản lý khóa bảo mật liệu mạng Domain: Kerberos Giao thức bảo mật liệu đầu cuối SSL Giao thức bảo mật gói liệu IP: IPSEC Bài 9: Bài học trình bày tổng quan mạng VPN bao gồm: định nghĩa, chức năng, lợi ích VPN Mạng VPN có loại bản: mạng truy cập từ xa, mạng VPN nội mạng VPN mở rộng Hai giao thức giao thức tạo kết nối mạng PPTP giao thức liên kết liệu cấp cao PPP Giao thức PPP dùng để vận chuyển liệu với mạng nội Giao thức PPP hổ trợ giao thức kiểm soát liên kết Link Control Protocol (LCP), giao thức kiểm soát mạng Network Control Protocol (NCP), giao thức chứng thực Challenge Handshake Authentication Protocol (CHAP), Passwork Authentication Protocol (PAP), Extensible Authentication Protocol (EAP) Ngoài ra, PPP hổ trợ giao thức mã hóa Encryption Control Protocol (ECP), Data Encryption Standard (DES), Advancde Encryption Standard (AES); Kiểm soát băng thông: Bandwidth Allocation Control Protocol (BACP); Kiểm soát nén: Compression Control Protocol; Có đủ khả phát lỗi (CheckSum), nhiên không sữa lỗi; giám sát chất lượng liên kết: Link Quality Report (LQR) Link Quality Monitoring(LQM) KIẾN THỨC TIỀN ĐỀ Môn học an toàn mạng đòi hỏi sinh viên cần có thức hạ tầng mạng dịch vụ mạng 190 BÀI 9: MẠNG RIÊNG ẢO - VPN trợ khung bất đồng bộ), Bearer Capabilities: Analog access supported ( Hỗ trợ truy cập tương tự) Sau nhận gói tín Server tiến hành Reply lại gói tin thông qua giao thức PPTP Hình 9.21: Gói tin Start-Control-Connection-Replay VPN Server hồi âm Phía VPN Server trả kết Result code: Successful channel establishment chấp nhận thiết lập kênh Thông tin Framing capalities: Synchronous Framing Supported ( Hỗ trợ khung đồng bộ), Berer capabilities: Either access supported ( Hỗ trợ truy cập song công) Phía VPN Client tiếp tục gởi gói tin Out-Call-Request Hình 9.22: Gói tin Outgoing-Call-Request từ Client BÀI 9: MẠNG RIÊNG ẢO - VPN 191 Thông tin gói tin chứa Call ID: 404, giúp cho trình thiết lập kết nối đảm bảo xác Phía VPN Server nhận gói tinh yêu cầu từ VPN Client Reply lại VPN Client gói tin thông báo thành lập kết nối yêu cầu từ VPN Client Hình 9.23: Gói tin Outgoing-Call-Reply từ VPN Server Gói tin chứa Call ID 35463, Peer Call ID 404 với kết trả cho VPN Client Result Code: Connected Tiếp tục sau VPN Client VPN Server tiến hành gửi gói Set-Link-Info sử dụng Call ID để thiết lập, kiểm tra đường truyền Hình 9.24: Gói tin thiết lập, kiểm tra liên kết Sau trình Client tiến hành đóng gói gói tin Configuration Request giao thức PPP LCP để mở đầu cho việc thành lập liên kết với cấu hình cụ thể 192 BÀI 9: MẠNG RIÊNG ẢO - VPN Hình 9.25: Gói tin Configuration Request từ Client Gói tin cho thấy VPN Client yêu cầu cấu hình Protocol field compression, Address/Control field compression Sau nhận thông điệp từ VPN Client, VPN Server xử lý gói tin gửi lại thông điệp Configuration Request cho VPN Client nhờ vào Call ID Thể để bắt đầu cho việc kết nối cần trao đổi hợp chế chứng thực thuật toán mã hóa Hình 9.26: Gói tin Configuration Request từ VPN Server BÀI 9: MẠNG RIÊNG ẢO - VPN 193 Trong gói tin trên, thông điệp gói tin cho thấy cờ Ack bật, thể việcVPN Server nhận yêu cầu gói tin từ VPN Client, đồng thời gói tin chứa thông điệp VPN Server việc thực thêm yêu cầu cấu hình mở giao thức chứng thực Authentication protocol: Challenge Handshake Authentication Protocol Sau nhận gói tin yêu cầu thành lập kết nối cụ thể với việc bổ sung thêm Authention protocol, phía VPN Client thông qua Call ID gởi cho VPN Server gói tin Configuration ACK thể việc bắt tay thành công chuẩn bị cho trình thiết lập kết nối với chế chứng thực CHAP, thuật toán MS-CHAP-V2 Hình 9.27: Gói tin Configuration ACK từ Client Hình 9.28: Gói tin cài đặt thông tin đƣờng truyền Set-link-Info 194 BÀI 9: MẠNG RIÊNG ẢO - VPN Tại VPN Server sau nhận hồi âm từ phía VPN Client gửi gói tin Challenge chứa Server Name, chuỗi Challenge ngẫu nhiên Session Indentifier cho VPN Client Hình 9.29: Gói tin Challenge từ VPN Server Sau có thông số cần thiết VPN Client tạo gói hồi âm Response Chứa chuỗi băm mới, Chuỗi Challenge, Chuỗi Peer Challenge, Session Identifier tên User Remote gởi tới Server Hình 9.30: Gói tin Response VPN Client BÀI 9: MẠNG RIÊNG ẢO - VPN 195 Từ thông tin có từ Client, Server tiến hành tạo mãng băm thực so sánh với mãng băm nhận từ Client Nếu kếu Server gởi gói tin Success chứa thông điệp chứng thực thành công đến Client Hình 9.31: Gói tin Chứng Thực thành công gửi từ VPN Server Nếu kết chứng thực không thành công Server gửi gói tin Failer chứa thông điệp thông báo chứng thực thất bại Hình 9.32: Gói tin Chứng Thực thất bại gửi từ VPN Server Sau trình chứng thực thành công VPN Server tiến hành cấp phát IP cho VPN Client IP liên lạc VPN Client VPN Server phạm vi Range mà ta định 196 BÀI 9: MẠNG RIÊNG ẢO - VPN nghĩa trình cài đặt VPN Server Trước tiên VPN Client nhận địa IP ảo VPN Server Hình 9.33: Địa IP ảo VPN Server VPN Client gửi yêu cầu cấu hình IP giao thức PPP IPCP Hình 9.34: Gói tin yêu cầu IP ảo từ VPN Client gửi cho VPN Server VPN Server thông qua PPP IPCP gửi gói tin với thông số IP VPN Client BÀI 9: MẠNG RIÊNG ẢO - VPN 197 Hình 9.35: Thông số IP Client nhận đƣợc từ Server Đồng thời Server thông báo IP ảo cho Client Sau trình kết nối VPN thành công Bây truyền liệu Client Server Hình 9.36: Gói tin đóng gói trao đổi liệu từ Server Hình 9.37: Gói tin đóng gói trao đổi liệu từ Client 198 BÀI 9: MẠNG RIÊNG ẢO - VPN Hai bên tiến hành trao đổi liệu qua lại ,đến không trao đổi hay hoàn tất yêu cầu ngắt Hình 9.38: Yêu cầu đóng kết nối từ Client Gói tin cho thấy Client yêu cầu đóng kết nối Termination Request,sử dụng LCP PPP Sau nhận gói tin yêu cầu đóng kết nối Server phản hồi cho Client gói tin Termination ACK Hình 9.39: Gói tin trả lời Server gửi đến Client Sau đến trình yêu cầu hủy Tunnel BÀI 9: MẠNG RIÊNG ẢO - VPN 199 Hình 9.40: Gói tin yêu cầu hủy Tunnel từ Client Khi nhận gói tin yêu cầu hủy Tunnel từ Client Server phản hồi cho Client gói Call-Disconect-Notify Hình 9.41: Gói tin trả lời từ Server Lúc ban đầu ta có trình yêu cầu điều khiển kết nối lại có trình hủy kết nối điểu khiển Hình 9.42: Gói tin hủy kết nối điều khiển từ Client Khi nhận gói tin hủy kết nối điều khiển gửi từ Client Server gửi lại cho Client gói tin 200 BÀI 9: MẠNG RIÊNG ẢO - VPN Hình 9.43: Gói chấp nhận hủy bỏ từ Server Sau trình kết nối điều khiển Client Server không Lúc bắt đầu khởi tạo PPTP ta có trình dùng giao thức TCP để tiến hành yêu cầu tạo kết nối VPN, không nhu cầu sử dụng ta thấy giao thức TCP lại sử dụng để hai bên yêu cầu kết thúc dịch vụ Hình 9.44: Gói tin đóng kết nối từ Server gửi cho Client BÀI 9: MẠNG RIÊNG ẢO - VPN 201 Gói tin cho ta thấy cờ FIN cờ ACK bật ,với thông điệp Connection finish Sau nhận gói FIN/ACK từ Server Client gữi phản hồi cho Server gói tin sau: Hình 9.45: Gói tin trả lời từ Client Quá trình hủy kết nối phải diển chiều ,nên phía Client gửi cho Server gói FIN/ACK Hình 9.46: Gói tin yêu cầu hủy kết nối từ Client Gói tin ta thấy cờ FIN cờ ACK bật ,cũng với thông điệp Connection Finish Khi nhận yêu cầu Server phản hồi cho Client gói ACK 202 BÀI 9: MẠNG RIÊNG ẢO - VPN Hình 9.47: Gói tin phản hồi từ Server Khi gói tin gửi kết nối VPN PPTP ngắt hoàn toàn BÀI 9: MẠNG RIÊNG ẢO - VPN 203 TÓM TẮT Bài học trình bày tổng quan mạng VPN bao gồm: định nghĩa, chức năng, lợi ích VPN Mạng VPN có loại bản: mạng truy cập từ xa, mạng VPN nội mạng VPN mở rộng Hai giao thức giao thức tạo kết nối mạng PPTP giao thức liên kết liệu cấp cao PPP Giao thức PPP dùng để vận chuyển liệu với mạng nội Giao thức PPP hổ trợ giao thức kiểm soát liên kết Link Control Protocol (LCP), giao thức kiểm soát mạng Network Control Protocol (NCP), giao thức chứng thực Challenge Handshake Authentication Protocol (CHAP), Passwork Authentication Protocol (PAP), Extensible Authentication Protocol (EAP) Ngoài ra, PPP hổ trợ giao thức mã hóa Encryption Control Protocol (ECP), Data Encryption Standard (DES), Advancde Encryption Standard (AES); Kiểm soát băng thông: Bandwidth Allocation Control Protocol (BACP); Kiểm soát nén: Compression Control Protocol; Có đủ khả phát lỗi (CheckSum), nhiên không sữa lỗi; giám sát chất lượng liên kết: Link Quality Report (LQR) Link Quality Monitoring(LQM) CÂU HỎI ÔN TẬP Câu 1: VPN gì? Tại cần sử dụng VPN? Câu 2: Trình bày chức mạng VPN? Câu 3: Trình bày kiến trúc bước xử lý tổng quát VPN? Câu 4: Trình bày kiến trúc bước lý chi tiết PPTP? Câu 5: Trình bày kiến trúc bước xử lý tiết PPP? Câu 6: Triển khai mạng VPN, bắt gói tin, phân tích hiểu kiến trúc bước xử lý VPN? 204 TÀI LIỆU THAM KHẢO TÀI LIỆU THAM KHẢO Giáo trình Bảo mật thông tin (TS Trần Văn Dũng) Sách: Bảo mật thông tin – mô hình ứng dụng (Nguyễn Xuân Dũng) Douglas Stinson, Cryptography: Theory and Practic, CRC Press, CRC Press LLC The CISSP All-in-One Exam guide, 6th Edition, SHON HARRIS Tài liệu hacker mũ trắng CEHv7 Tài liệu CCIE security Stephen Northcutt, Network Intrusion Detection: An Analyst‘s Handbook, SANS Jon Erickson, Hacking: The Art of Exploitation, 2nd Edition J Michael Stewart, Network Security, Firewalls, and VPNs 10 William Stallings, Network Security Esentials: Applications and Standards 11 Comptia Security+, Deluxe study guide, Sybex, Wiley Publising, Inc ... thức vấn đề an ninh mạng giải pháp tổng thể việc triển khai mạng an toàn NỘI DUNG MÔN HỌC Bài 1: Bài học cung cấp kiến thức tổng quan an ninh mạng khái niệm an ninh mạng, mô hình an ninh, lược... QUAN VỀ AN TOÀN MẠNG Bài giảng cung cấp kiến thức tổng quan an ninh mạng máy tính, tập trung vào nội dung sau: - Giới thiệu an toàn mạng máy tính - Chiến lược bảo mật hệ thống AAA - Các nguy an. . .AN TOÀN MẠNG Ấn 2015 MỤC LỤC I MỤC LỤC MỤC LỤC I HƢỚNG DẪN V BÀI 1: TỔNG QUAN VỀ AN TOÀN MẠNG 1.1 GIỚI THIỆU 1.1.1 Khái niệm an toàn mạng