Dẫn tới công ty sẽ bị kiểm soát, gây ra thiệt hại rất lớn.Đa phần hệ thống mạng LAN của các doanh nghiệp đều xây dựng theo môhình mạng hình Sao, dữ liệu ít được phân quyền quy cập, hệ th
Trang 1LỜI CAM ĐOAN
Tôi cam đoan đề tài: “Nghiên cứu giải pháp bảo mật mạng LAN và ứng dụng tại trường Đại học Đại Nam” là công trình nghiên cứu của riêng tôi dưới sự
hướng dẫn của TS Vũ Văn Thỏa.
Các kết quả, phân tích, kết luận trong luận văn thạc sỹ này (ngoài phần đượctrích dẫn) đều là kết quả làm việc của tác giả, các số liệu nêu trong luận văn là trungthực và chưa từng được công bố trong bất kỳ công trình nào khác
Nếu sai tôi xin hoàn toàn chịu trách nhiệm
Hà Nội, ngày 02 tháng 11 năm 2017
Tác giả
Phùng Thị Hải Yến
Trang 2LỜI CẢM ƠN
Lời đầu tiên cho em xin gửi lời cảm ơn chân thành đến các thầy, cô giáothuộc Khoa CNTT, Khoa QT&ĐT sau đại học thuộc Học viện Công nghệ Bưuchính viễn thông đã tận tình giảng dạy, truyền đạt các nội dung kiến thức, kinhnghiệm quý báu trong suốt quá trình em theo học tại Học viện Với những bài họcquý giá, sự kèm cặp, chỉ bảo và truyền thụ tâm huyết của các thầy, cô đã giúp cánhân em hoàn thiện hơn nữa hệ thống kiến thức chuyên ngành, phục vụ tốt hơn yêucầu công tác của đơn vị đồng thời nâng cao hơn vốn tri thức của bản thân
Đặc biệt, em xin gửi lời cảm ơn trân thành tới thầy hướng dẫn khoa học TS.
Vũ Văn Thỏa, Khoa QT&ĐT sau đại học thuộc Học viện Công nghệ Bưu chính
viễn thông đã tâm huyết, tận tình chỉ bảo, hướng dẫn, cung cấp tài liệu và các nộidung kiến thức quý báu, đồng thời có sự định hướng đúng đắn giúp em hoàn thànhđược luận văn này
Em cũng xin được bày tỏ sự cảm ơn sâu sắc tới gia đình, đồng nghiệp đã tạođiều kiện, dành sự ủng hộ đối với bản thân em để có nhiều thời gian cho khóa học,đạt được những kết quả khả quan trong quá trình học tập Đồng thời xin chân thànhcảm ơn tập thể lớp Cao học Hệ thống thông tin – Đợt 1 năm 2016 đã đồng hành,khích lệ và chia sẻ trong suốt quá trình học tập
Trong quá trình thực hiện luận văn, mặc dù bản thân đã cố gắng, chủ độngtrong việc sưu tầm tài liệu, củng cố kiến thức… tuy nhiên chắc chắn luận văn vẫncòn nhiều thiếu sót Em rất mong nhận được sự chỉ dạy, đóng góp tận tình của cácthầy, cô để luận văn của em được hoàn thiện hơn nữa và có tính ứng dụng cao hơntrong thực tiễn
Xin trân trọng cảm ơn!
Hà Nội, ngày 01 tháng 11 năm 2017
Học viên Phùng Thị Hải Yến
Trang 3MỤC LỤC
LỜI CAM ĐOAN 1
LỜI CẢM ƠN 2
MỤC LỤC 3
DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT 7
DANH MỤC CÁC HÌNH 8
MỞ ĐẦU 9
1 Lý do chọn đề tài 9
2 Tổng quan vấn đề nghiên cứu 10
3 Mục tiêu nghiên cứu của đề tài 11
4 Đối tượng và phạm vi nghiên cứu của đề tài 11
5 Phương pháp nghiên cứu của đề tài 11
6 Bố cục luận văn 12
Chương 1 TỔNG QUAN VỀ MẠNG LAN VÀ CÁC YÊU CẦU BẢO MẬT 13
1.1 Tổng quan về công nghệ mạng LAN và các vấn đề liên quan 13
1.1.1 Giới thiệu chung 13
1.1.2 Các mô hình mạng LAN 16
1.2 Các mối đe dọa bảo mật và phương thức tấn công mạng LAN 19
1.2.1 Các mối đe dọa bảo mật mạng LAN 19
Trang 41.2.2 Các phương thức tấn công mạng LAN 20
1.3 Các yêu cầu bảo mật chung cho mạng LAN 21
1.3.1 Yêu cầu bảo mật về mạng 21
1.3.2 Yêu cầu về bảo mật dữ liệu 24
1.3.3 Yêu cầu về bảo mật người dùng 24
1.4 Tình hình triển khai mạng LAN tại Việt Nam và các vấn đề liên quan đến bảo mật mạng LAN trong thực tế 25
1.4.1 Tình hình triển khai mạng LAN tại Việt Nam 25
1.4.2 Vấn đề liên quan đến bảo mật mạng LAN trong thực tế 25
1.5 Kết luận chương 1 27
Chương II: NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MẠNG LAN 28
2.1 Giải pháp sử dụng hệ thống tường lửa 28
2.1.2 Tường lửa Fortinet 29
2.1.3 Tách hệ thống, tối ưu hóa tường lửa 30
2.2 Giải pháp sử dụng hệ thống phát hiện và ngăn chặn xâm nhập mạng IDS/IPS 32
2.2.1 Hệ thống phát hiện xâm nhập IDS 32
2.2.2 Hệ thống phòng chống xâm nhập (IPS) 34
2.3 Giải pháp sử dụng công nghệ VLAN 38
2.3.1 Các miền quảng bá của mạng LAN ảo 38
Trang 52.3.2 Phân loại VLAN 40
2.4 Giải pháp áp dụng công nghệ mạng riêng ảo (VPN) 41
2.4.1 Các đặc tính của VPN 42
2.4.2 Các loại VPN 42
2.4.3 Các giao thức trong VPN 43
2.4.4 Các cách triển khai VPN trên thực tế 45
2.5 Giải pháp phân quyền truy cập dữ liệu 46
2.6 Các giải pháp phụ trợ quan trọng khác 47
2.6.1 Phần mềm phòng chống Virus 47
2.6.2 Giải pháp DLP (Data Loss Prevention) 47
2.6.3 Xây dựng chính sách an ninh cho hệ thống 50
2.7 Kết luận chương 2 53
Chương III: ỨNG DỤNG TẠI TRƯỜNG ĐẠI HỌC ĐẠI NAM 53
3.1 Khảo sát mạng nội bộ Đại Học Đại Nam (sau khi đã xin phép nhà trường và được sự đồng ý từ ban giám hiệu) 53
3.1.1 Mô hình kiến trúc, các chức năng và trang thiết bị mạng hiện có của mạng LAN trường Đại học Đại Nam 53
3.1.2 Yêu cầu sử dụng 55
3.1.3 Hiện trạng các vấn đề liên quan đến bảo mật trong quá trình vận hành, khai thác mạng nội bộ tại trường đại học Đại Nam 55
Trang 63.2 Đề xuất các giải pháp bảo mật cho mạng nội bộ tại trường đại học Đại
Nam 56
3.2.1 Giải pháp mạng 56
3.2.2 Giải pháp an toàn bảo mật dữ liệu 57
3.2.3 Giải pháp về người sử dụng 58
3.3 Thử nghiệm và đánh giá một số giải pháp bảo mật đề xuất 58
3.3.1 Nội dung thử nghiệm 58
3.3.2 Kết quả thử nghiệm và đánh giá 60
3.4 Kết luận chương 3 60
KẾT LUẬN 61
TÀI LIỆU THAM KHẢO 62
PHỤ LỤC 63
Trang 7DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT
người dùng
IDS Intrucsion Detection System Hệ thống phát hiện xâm
nhập
IPS Intrusion Prevention Systems Hệ thống phòng chống
xâm nhập
SSL Secure Sockets Layer Giao thức an ninh thông
tin
TCP Transmission Control Protocol
Giao thức điều khiển truyền thông tin trên Internet
USB Universal Serial Bus Thiết bị lưu trữ ngoài
VPN Virtual Private Network Hệ thống mạng riêng ảo
Trang 8DANH MỤC CÁC HÌNH
Hình 1.1: Mô hình mạng LAN [8] 13
Hình 1.2: Các đặc trưng của Fast Ethernet, kiểu truyền và khoảng cách [11] 15
Hình 1.3: Các đặc trưng của Giga-Ethernet, kiểu truyền và khoảng cách [11] 15
Hình 1.4: Mô hình mạng Peer to Peer [11] 17
Hình 1.5: Mô hình Client – Server [11] 18
Hình 2.1: Firewall bảo mật mạng LAN [13] 28
Hình 2.3: Sơ đồ hoạt động của IPS [7] 34
Hình 2.4: Miền quảng bá khi chưa chia VLAN [9] 39
Hình 2.5: Miền quảng bá khi đã chia VLAN [9] 39
Hình 2.6: Mô hình hệ thống VPN [13] 41
Hình 2.7: Các đặc tính của hệ thống VPN [13] 42
Hình 2.8: Các giao thức trong VPN [13] 43
Hình 2.9: Vị trí hoạt động của IPSec 45
Hình 2.10: Sơ đồ triển khai Check Point DLP [13] 49
Hình 3.1: Mô hình hoạt động của hệ thống mạng hiện tại trường Đại học Đại Nam 54
Hình 3.2: Hệ thống trường Đại học Đại Nam dự kiến sau khi áp dụng các giải pháp bảo mật mạng 57
Trang 9MỞ ĐẦU
1 Lý do chọn đề tài
Vấn đề an ninh mạng đang ngày càng trở nên nóng bỏng với hàng loạt vụ tấncông nhằm vào mạng nội bộ có kết nối Internet của các cơ quan nhà nước và doanhnghiệp Những thông tin, dữ liệu quan trọng bị thất thoát dẫn đến những tổn thấtkhông thể tính được bằng tiền, nếu không muốn nói gây nguy hại đến “chủ quyềnsố” của đất nước…
Ngày nay, các biện pháp an toàn thông tin cho máy tính cá nhân cũng nhưcác mạng nội bộ đã được nghiên cứu và triển khai Tuy nhiên, vẫn thường xuyên cócác mạng bị tấn công, có các tổ chức bị đánh cắp thông tin,…gây nên những hậuquả vô cùng nghiêm trọng Những vụ tấn công này nhằm vào tất cả các máy tính cómặt trên Internet, các máy tính của các công ty lớn như AT&T, IBM, các trường đạihọc và các cơ quan nhà nước, các tổ chức quân sự, nhà băng,… Một số vụ tấn côngvới quy mô khổng lồ (có tới 100.000 máy tính bị tấn công) Hơn nữa những con sốnày chỉ là phần nổi của tảng băng chìm Một phần rất lớn các vụ tấn công khôngđược thông báo vì nhiều lý do, trong đó có thể kể đến nỗi lo mất uy tín hoặc chỉ đơngiản những người quản trị mạng không hề hay biết những vụ tấn công nhằm vào hệthống của họ Không chỉ các vụ tấn công tăng lên nhanh chóng mà các phương pháptấn công cũng liên tục được hoàn thiện Tại Việt Nam, các hệ thống mạng vàWebsite bị tấn công theo chiều hướng gia tăng: năm 2014 có hơn 1 nghìn Website
bị tấn công, năm 2015 hơn 2000 website bị tấn công và phát tán thư rác, năm 2016website Vietnam Airlines bị hack lộ hơn 400.000 dữ liệu khách hàng Đặc biệt, theothống kê của Microsoft, trong 5 nước đứng đầu toàn cầu về nguy cơ nhiễm mã độc
có 2 nước thuộc khu vực Đông Nam Á là Việt Nam và Indonesia Đây là hai nước
có tỷ lệ nhiễm mã độc hơn 45% vào quý II/2016, gấp đôi so với mức trung bìnhcùng kỳ (21%) của thế giới
Vì vậy, việc kết nối mạng nội bộ của cơ quan tổ chức mình vào mạngInternet mà không có các biện pháp đảm bảo an ninh thì cũng được xem là tự sát
Từ nhu cầu phát triển, đòi hỏi các cơ quan, tổ chức phải kết nối vào mạng Internet
Trang 10song vẫn phải đảm bảo an toàn thông tin trong quá trình kết nối Bởi vậy, học viên
đã quyết định chọn đề tài: “NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MẠNG LAN
VÀ ỨNG DỤNG TẠI TRƯỜNG ĐẠI HỌC ĐẠI NAM”
2 Tổng quan vấn đề nghiên cứu
LAN (viết tắt từ tên tiếng Anh Local Area Network - mạng cục bộ) là một hệthống mạng dùng để kết nối các máy tính trong một phạm vi nhỏ (nhà ở, phòng làmviệc, trường học, trong công ty…) Các máy tính trong mạng LAN có thể chia sẻ tàinguyên với nhau, mà điển hình là chia sẻ tập tin, máy chủ Web, máy chủ Mail, máy
in, máy quét và một số thiết bị khác
Một mạng LAN tối thiểu cần có máy chủ (server), các thiết bị ghép nối(Repeater, Hub, Switch, Bridge), máy tính con (client), card mạng (NetworkInterface Card – NIC) và dây cáp (cable) để kết nối các máy tính lại với nhau Mộthình thức khác nữa của mạng LAN, mới xuất hiện trong những năm gần đây làWLAN (Wireless LAN) – mạng LAN không dây
Tốc độ mạng LAN ngày nay có thể lên đến 10 Mbps, 54Mbps, 100 Mbps, 1Gbps, 10Gbps hay lên tới cả 100 Gbps
Để xây dựng một hệ thống mạng LAN người ta dựa vào một số mô hìnhmạng như: Star là mạng hình sao, Bus là mạng trục tuyến tính (Bus), Token Ring làmạng được bố trí theo dạng xoay vòng khép kín Mesh là mạng được sử dụng trongcác mạng có độ quan trọng cao mà không thể ngừng hoạt động
Để xây dựng được một hệ thống tường lửa bảo vệ cho mạng LAN chúng ta
có nhiều giải pháp như sử dụng Firewall cứng của Cisco như ASA, Juniper nhưRSX, Checkpoint, Fortigate hoặc dùng tường lửa của Microsoft như ISA, TMG…nhưng chi phí rất đắt tiền Chỉ những doanh nghiệp lớn mới có đủ kinh phí để trangtrải Đa phần các doanh nghiệp còn lại đều không sử dụng Firewall hoặc chỉ sửdụng phần mềm diệt Virus trên máy tính
Các phần mềm diệt Virus thông thường có bản quyền thì phí cũng không hề
rẻ nhưng không phát hiện được các cuộc tấn công mạng trên quy mô diện rộng củacông ty Ngoài ra khi xảy ra bị tấn công cũng không có biện pháp bảo vệ nhanh
Trang 11chóng cho hệ thống Dẫn tới công ty sẽ bị kiểm soát, gây ra thiệt hại rất lớn.
Đa phần hệ thống mạng LAN của các doanh nghiệp đều xây dựng theo môhình mạng hình Sao, dữ liệu ít được phân quyền quy cập, hệ thống máy chủ khôngtách riêng với hệ thống máy người dùng Khi xảy ra bị tấn công các Hacker sẽ dễdàng kiểm soát máy chủ và dữ liệu thông qua máy người dùng thông thường Khitruy cập từ ngoài Internet vào trong hệ thống toàn dùng phần mềm tự do nhưTeamview, rất ít dùng hệ thống mạng riêng ảo (VPN) để truy cập
Rất nhiều doanh nghiệp không có hệ thống phát hiện và ngăn chặn xâm nhậpmạng IDS/IPS, khi xảy ra sự cố bị tấn công sẽ không có cảnh báo kịp thời, khôngtheo dõi được trạng thái hoạt động một cách sớm nhất để đưa ra giải pháp bảo vệ
Tóm lại, vấn đề an ninh an toàn mạng máy tính là một vấn đề lớn, nó yêu cầucần phải có một giải pháp tổng thể, không chỉ phần mềm, phần cứng máy tính mà
nó đòi hỏi cả vấn đề chính sách về con người Và vấn đề này cần phải được thựchiện một cách thường xuyên liên tục, không bao giờ triệt để được vì nó luôn nảysinh theo thời gian Tuy nhiên, bằng các giải pháp tổng thể hợp lý, đặc biệt là giảiquyết tốt vấn đề chính sách về con người ta có thể tạo ra cho mình sự an toàn chắcchắn hơn
3 Mục tiêu nghiên cứu của đề tài
Mục tiêu nghiên cứu của luận văn là khảo sát các yêu cầu và giải pháp bảomật cho mạng LAN và đề xuất giải pháp bảo mật cho mạng nội bộ tại trường ĐạiHọc Đại Nam có khả năng triển khai áp dụng trong thực tế
4 Đối tượng và phạm vi nghiên cứu của đề tài
Đối tượng nghiên cứu của luận văn là mạng LAN và các vấn đề liên quanđến bảo mật mạng LAN
Phạm vi nghiên cứu của luận văn là các giải pháp bảo mật mạng LAN và ứngdụng cho mạng nội bộ tại trường đại học Đại Nam
5 Phương pháp nghiên cứu của đề tài
- Về mặt lý thuyết: Thu thập, khảo sát, phân tích các tài liệu và thông tin cóliên quan đến bảo mật mạng LAN
Trang 12- Về mặt thực nghiệm: Khảo sát thực tế tại Trường Đại học Đại Nam và đềxuất các giải pháp bảo mật nội bộ của trường phù hợp.
6 Bố cục luận văn
Luận văn được trình bày trong 3 chương:
Chương 1: TỔNG QUAN VỀ MẠNG LAN VÀ CÁC YÊU CẦU BẢO MẬT
Nội dung chương 1 của luận văn sẽ khảo sát tổng quan về mạng LAN và cáccác yêu cầu bảo mật đối với mạng LAN
Chương 2: NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MẠNG LAN
Chương 2 của luận văn sẽ tập trung nghiên cứu các giải pháp đảm bảo antoàn và bảo mật cho mạng LAN
Chương 3: ĐỀ XUẤT CÁC GIẢI PHÁP BẢO MẬT CHO MẠNG NỘI
BỘ TẠI TRƯỜNG ĐẠI HỌC ĐẠI NAM.
Chương này sẽ nghiên cứu về hệ thống mạng nội bộ của trường Đại Học ĐạiNam và đề xuất ứng dụng các giải pháp bảo mật hệ thống mạng LAN đã nghiên cứutrong chương 2 cho hệ thống mạng nội bộ của trường Đại học Đại Nam
Trang 13Chương 1 TỔNG QUAN VỀ MẠNG LAN VÀ CÁC YÊU CẦU
BẢO MẬT
Chương 1 của luận văn sẽ khảo sát tổng quan các khía cạnh của công nghệ mạng LAN và các vấn đề liên quan Trên cơ sở nghiên cứu các nguy cơ đe dọa bảo mật và phương thức tấn công mạng LAN, luận văn sẽ đề xuất các yêu cầu bảo mật đối với mạng LAN Luận văn cũng đề cập đến các vấn đề bảo mật mạng LAN trong thực tế.
1.1 Tổng quan về công nghệ mạng LAN và các vấn đề liên quan
1.1.1 Giới thiệu chung
Mạng LAN là viết tắt của Local Area Network, dịch nghĩa là mạng máy tínhnội bộ, cho phép các máy tính trong cùng một đơn vị như doanh nghiệp, trường học,
tổ chức hành chính có thể kết nối với nhau để cùng nhau làm việc và chia sẻ dữ liệudựa trên nền Internet Mạng LAN hữu ích vì nó cho phép những người sử dụngdùng chung tài nguyên quan trọng như máy in, ổ CDROM, các phần mềm ứng dụng
và thông tin cần thiết khác
Hính 1.1 mô tả mô hình một mạng LAN điển hình
Hình 1.1: Mô hình mạng LAN [8]
Trang 14Một mạng LAN tối thiểu cần phải có máy chủ (Server), các thiết bị ghép nối( Switch, Router,…), máy trạm (Client), card mạng và dây cáp (hoặc Wifi) để kếtnối các máy tính lại với nhau Thông thường, mạng LAN đều có một vài điểm truynhập vào mạng Internet Do có sự giao tiếp với bên ngoài nên công tác bảo vệ anninh mạng đóng một vai trò quan trọng.
Các công nghệ trong mạng Lan bao gồm: công nghệ Ethernet, Fast-Ethernet,Giga-Ethernet
- Công nghệ Ethernet: Là một họ lớn và đa dạng gồm các công nghệ mạngdựa khung dữ liệu dành cho mạng LAN Ethernet định nghĩa một loạt các chuẩn nốidây và phát tín hiệu cho tầng vật lý - đó là 2 phương tiện để truy nhập mạng tạiphần MAC của tầng liên kết dữ liệu, và một định dạng chung cho địa chỉ Hiện nayEthernet đã được chuẩn hóa thành IEEE 802.3 Ethernet hỗ trợ băng thông đến10Mbps Cấu trúc mạng hình sao, hình thức nối cáp xoắn của Ethernet đã trở thànhcông nghệ LAN được sử dụng rộng rãi từ thập kỷ 1990 đến nay Gần đây, Wi-Fi,dạng LAN không dây đã được chuẩn hóa bởi IEEE 802.11, được sử dụng bên cạnhhoặc thay thế cho Ethernet trong nhiều cấu hình mạng
- Công nghệ Fast-Ethernet: Thay vì phải đầu tư vào 1 công nghệ hoàn toànmới để tăng băng thông, nền công nghiệp networking đã cho ra 1 loại Ethernet tốc
độ cao dựa trên nền của Ethernet có sẵn trước đó Fast Ethernet hoạt động với tốc
độ đến 100 Mbps và được định vào chuẩn 802.3 của IEEE Cách mắc Ethernet, hoạtđộng CSMA/CD, cũng như hoạt động của các giao thức lớp cao hơn được giữnguyên với Fast Ethernet Kết quả của mạng lưới là có cùng Layer của đường netlink MAC nhập với 1 Layer vật lý mới (OSI Layer 1) Mạng Campus có thể dùngFast Ethernet để truy cập link và phân phối layer của switch nếu không xuất hiệncác link tốc độ cao khác Các link này có thể hỗ trợ lưu lượng tập trung từ nhiềuđoạn Ethernet trong lớp truy cập Fast Ethernet thường được dùng để kết nối trạmlàm việc của người dùng cuối đến switch truy cập lớp và cung cấp khả năng kết nốinâng cao đến các server enterprise Cáp cho Fast Ethernet có thể bao gồm cả UTP(cáp xoắn đôi không bọc) hay cáp sợi
Trang 15Hình 1.2: Các đặc trưng của Fast Ethernet, kiểu truyền và khoảng cách [11]
- Công nghệ Giga-Ethernet: Ta có thể mở rộng Fast-Ethernet về mặt độ lớnvới Gigabit Ethernet (hỗ trợ 1000 Mbps hay 1 Gbps) sử dụng cùng định dạng frameIEEE 802.3 Ethernet trước đó Khả năng mở rộng này cho phép các nhà thiết kế vàquản lý network nâng tầm về kiến thức và công nghệ sẵn có để cài đặt, di chuyển,quản lý, và bảo hành mạng Gigabit Ethernet Tuy nhiên, lớp vật lý đã được biến đổilại để tăng tốc độ truyền tải dữ liệu 2 công nghệ đã được nhập chung để có cả ưuđiểm của cả 2: chuẩn IEEE 802.3 Ethernet và chuẩn ANSI X3T11 FibreChannel(Cáp quang chuẩn X3T11 của Tổ chức Tiêu chuẩn Quốc gia Mỹ) IEEE 802.3 gồm
cơ sở định dạng frame, CSMA/CD, song công, và các đặc trưng khác của Ethernet.Cáp sợi quang cung cấp nền tảng ASIC tốc độ cao, vật liệu quang, và cơ cấu mãhóa/giải mã cùng tuần tự hóa Chúng cho ra giao thức cuối cùng được định nghĩa làIEEE 802.3z Gigabit Ethernet Gigabit Ethernet hỗ trợ 1 vài loại cáp, được quy là1000BASE-X Bảng sau liệt kê các loại cáp cũng như đặc tính của chúng
Hình 1.3: Các đặc trưng của Giga-Ethernet, kiểu truyền và khoảng cách [11]
Trang 16Với mạng campus, ta có thể dùng Gigabit Ethernet để kết nối các thiết bịriêng lẻ vào switch hay kết nối các switch với nhau.
1.1.2 Các mô hình mạng LAN
LAN có nhiều mô hình mạng, có thể kể đến 4 loại: Star, Bus, Token Ring,Mesh
- Star: là mô hình mạng hình sao Tất cả các trạm được kết nối tới một thiết
bị trung tâm (Switch, Router, Hub,…) có nhiệm vụ nhận thông tin từ các máy trạm
và chuyển đến máy đích Vai trò của thiết bị trung tâm là thiết lập các liên kết Point
to Point
Ưu điểm: Thiết lập mạng đơn giản, dễ cấu hình lại mạng (thêm, bớt máy
trạm), dễ kiểm soát và khắc phục sự cố, tận dụng tối đa đường truyền vật lý
Nhược điểm : Độ dài đường truyền kết nối một trạm với thiết bị trung tâm bị
hạn chế
- Bus: là mô hình mạng theo trục tuyến tính Máy chủ cũng như tất cả các
máy tính khác, các nút đều được nối vào 1 đường trục cáp chính, sử dụng ít dây cápnhất, hoạt động theo liên kết Point to Multipoint hay Broadcast
Ưu điểm: Dễ thiết kế, chi phí thấp.
Khuyết điểm: Tính ổn định kém, chỉ một nút mạng hỏng là toàn bộ mạng bị
ngừng hoạt động
- Token Ring: là mô hình mạng được bố trí theo dạng xoay vòng khép kín.
Mạng hình vòng sử dụng thẻ bài, tín hiệu truyền kèm thẻ bài và chạy trên vòng theo
1 chiều duy nhất Mỗi trạm của mạng sẽ kiểm tra thẻ bài, nếu đúng thì nó xử lý cònkhông đúng sẽ chuyển tiếp đến trạm kế tiếp trên vòng Như vậy tín hiệu được lưuchuyển trên vòng theo một chuỗi liên tiếp các liên kết Point to Point giữa các điểm
Ưu điểm: có thể nới rộng, tổng đường dây cần thiết ít hơn so với Bus và Star Nhược điểm: Nếu bị ngắt ở một nút nào đó thì toàn bộ hệ thống cũng bị
ngừng
- Mesh: là mô hình mạng nhện, được sử dụng trong các mạng có độ quan
trọng cao mà không thể ngừng hoạt động Chẳng hạn trong các nhà máy điện
Trang 17nguyên tử hoặc các mạng của an ninh, quốc phòng Mỗi máy tính được nối với toàn
bộ các máy còn lại
Ưu điểm: Đảm bảo hệ thống luôn hoạt động, không bị ngắt dù xảy ra sự cố
tại 1 điểm nào đó
Nhược điểm: Phức tạp, chi phí cao do tốn rất nhiều dây.
Ngoài ra còn một số mô hình mạng khác phân theo chức năng thành phần:
- Peer to Peer: Mạng ngang hàng (P2P) (Hình 1.4) là mạng mà trong đó hai
hay nhiều máy tính chia sẻ tập tin và truy cập các thiết bị như máy in mà không cầnđến máy chủ hay phần mềm máy chủ Mạng ngang hàng thường được tổ chức thànhcác nhóm làm việc workgroup Mô hình này không có quá trình đăng nhập tậptrung, nếu đã đăng nhập vào mạng ta có thể sử dụng tất cả tài nguyên trên mạng.Truy cập vào các tài nguyên phụ thuộc vào người đã chia sẻ các tài nguyên đó, dovậy ta có thể phải biết mật khẩu để có thể truy nhập được tới các tài nguyên đượcchia sẻ Mạng P2P được tạo ra bởi hai hay nhiều máy tính được kết nối với nhau vàchia sẻ tài nguyên mà không phải thông qua một máy chủ dành riêng Mạng P2P cóthể là kết nối tại chỗ – hai máy tính nối với nhau qua cổng USB để truyền tập tin.P2P cũng có thể là cơ sở hạ tầng thường trực kết nối 5-6 máy tính với nhau trongmột văn phòng nhỏ bằng cáp đồng Hay nó cũng có thể là một mạng có quy mô lớnhơn nhiều, dùng các giao thức và ứng dụng đặc biệt để thiết lập những mối quan hệtrực tiếp giữa người dùng trên internet
Hình 1.4: Mô hình mạng Peer to Peer [11]
Trang 18- Client - Server: Mô hình Client - Server cho mạng LAN mô tả trong hình
1.5 dưới đây
Hình 1.5: Mô hình Client – Server [11]
Các máy trạm được nối với các máy chủ, nhận quyền truy nhập mạng và tàinguyên mạng từ các máy chủ Đối với Windows NT các máy được tổ chức thànhcác miền (domain) An ninh trên các domain được quản lý bởi một số máy chủ đặcbiệt gọi là domain controller Trên domain có một master domain controller đượcgọi là PDC (Primary Domain Controller) và một BDC (Backup DomainController) để đề phòng trường hợp PDC gặp sự cố Mô hình phần mềmClient/Server là mô hình giải pháp phần mềm cho việc khắc phục tình trạng quá tảitrên mạng và vượt qua những ngăn cách về sự khác nhau trong cấu trúc vật lý cũngnhư hệ điều hành của các hệ thống máy tính khác nhau trên mạng Mỗi phần mềmxây dựng theo mô hình Client/Server sẽ được chia làm hai phần: phần hoạt độngtrên máy phục vụ gọi là phần phía Server và phần hoạt động trên trạm làm việc gọi
là phần phía Client Với mô hình này các trạm làm việc cũng được gọi là các Client(hay máy Client) còn các máy phục vụ gọi là các Server Nhiệm vụ của mỗi phầnđược quy định như sau:
+ Phần phía Server quản lý các giao tiếp môi trường bên ngoài tại Server vàvới các Client, tiếp nhận các yêu cầu dưới dạng các xâu ký tự (query string), phântích các query string, xử lý dữ liệu và gửi kết quả trả lời về phía các Client
Trang 19+ Phần phía Client tổ chức giao tiếp với người dùng, với môi trường bênngoài tại trạm làm việc và với phía Server, tiếp nhận yêu cầu của người dùng, thànhlập các query string gửi về phía Server, tiếp nhận kết quả và tổ chức trình diễnchúng.
1.2 Các mối đe dọa bảo mật và phương thức tấn công mạng LAN
Trong quá trình vận hành và khai thác mạng LAN, trong môi trường Internet
có rất nhiều nguy cơ đe dọa bảo mật mạng Dưới đây, luận văn liệt kê một số mối
đe dọa điển hình đối với bảo mật mạng LAN
1.2.1 Các mối đe dọa bảo mật mạng LAN
Mối đe dọa không có cấu trúc (Untructured threat) thường là những hành vi
xâm nhập mạng trái phép một cách đơn lẻ, không có tổ chức Công cụ hack vàscript có rất nhiều trên Internet Vì thế bất cứ ai tò mò có thể tải chúng về và sửdụng thử trên mạng nội bộ Cũng có những người thích thú với việc xâm nhập vàomáy tính và các hành động vượt khỏi tầm bảo vệ Hầu hết tấn công không có cấutrúc đều được gây ra bởi Script Kiddies (những kẻ tấn công chỉ sử dụng các công cụđược cung cấp, không có hoặc có ít khả năng lập trình) hay những người có trình độvừa phải Hầu hết các cuộc tấn công đó vì sở thích cá nhân, nhưng cũng có nhiềucuộc tấn công có ý đồ xấu Những trường hợp đó sẽ có ảnh hưởng xấu đến hệ thống
và hình ảnh của các chủ thể sở hữu mạng LAN Đôi khi, chỉ cần chạy một đoạn mãđộc là có thể phá hủy chức năng của mạng LAN
Mối đe dọa có cấu trúc (Structured threat) là các hành động xâm nhập mạng
trái phép cố ý, có động cơ và kỹ thuật cao Những kẻ tấn công này hoạt động độclập hoặc theo nhóm Họ có kỹ năng phát triển và sử dụng các kỹ thuật hack phứctạp nhằm xâm nhập vào mục tiêu Động cơ của các cuộc tấn công này thì có rấtnhiều Một số yếu tố thường thấy có thể vì tiền, hoạt động chính trị, tức giận haybáo thù Các tổ chức tội phạm, các đối thủ cạnh tranh hay các tổ chức sắc tộc có thểthuê các chuyên gia để thực hiện các cuộc tấn công dạng structured threat Các cuộctấn công này thường có mục đích từ trước, như để lấy được mã nguồn của đối thủcạnh tranh
Trang 20Cho dù động cơ là gì, thì các cuộc tấn công như vậy có thể gây hậu quảnghiêm trọng cho mạng LAN Một cuộc tấn công structured thành công có thể gâynên sự phá hủy cho toàn hệ thống mạng LAN.
Mối đe dọa từ bên ngoài (External threat) là các cuộc tấn công được tạo ra
khi không có một quyền nào trong hệ thống Người dùng trên toàn thế giới thôngqua Internet đều có thể thực hiện các cuộc tấn công như vậy vào mạng LAN
Mối đe dọa từ bên ngoài là mối đe dọa mà các chủ sở hữu mạng LANthường phải bỏ nhiều tiền và thời gian để ngăn ngừa
Mối đe dọa từ bên trong (Internal threat) được sử dụng để mô tả một kiểu
tấn công được thực hiện từ một người hoặc một tổ chức có một vài quyền truy cậpmạng LAN Các cách tấn công từ bên trong được thực hiện từ một khu vực được tincậy trong mạng Mối đe dọa này có thể khó phòng chống hơn vì các nhân viên cóthể truy cập mạng và dữ liệu bí mật của công ty Mối đe dọa ở bên trong thườngđược thực hiện bởi các nhân viên bất bình, muốn “quay mặt” lại với công ty Đôikhi các cuộc tấn công dạng có cấu trúc vào hệ thống được thực hiện với sự giúp đỡcủa người bên trong hệ thống
1.2.2 Các phương thức tấn công mạng LAN
Phương thức ăn cắp thống tin bằng Packet Sniffers
Đây là một chương trình ứng dụng bắt giữ được tất cả các các gói lưu chuyểntrên mạng (trên một collision domain) Sniffer thường được dùng chotroubleshooting network hoặc để phân tích traffic Tuy nhiên, do một số ứng dụnggởi dữ liệu qua mạng dưới dạng clear text (telnet, FTP, SMTP, POP3, ) nên sniffercũng là một công cụ cho hacker để bắt các thông tin nhạy cảm như là username,password, và từ đó có thể truy xuất vào các thành phần khác của mạng
Phương thức tấn công mật khẩu Password Attack
Các hacker tấn công password bằng một số phương pháp như: brute-forceattack, chương trình Trojan Horse, IP spoofing và packet sniffer Mặc dù dùngpacket sniffer và IP spoofing có thể lấy được user account và password, nhưnghacker lại thường sử dụng brute-force để lấy user account hơn
Trang 21Tấn công brute-force được thực hiện bằng cách dùng một chương trình chạytrên mạng, cố gắng login vào các phần share trên server bằng phương pháp “thử vàsai” passwork
Phương thức tấn công bằng Mail Relay
Đây là phương pháp phổ biến hiện nay Email server nếu cấu hình khôngchuẩn hoặc Username/ password của user sử dụng mail bị lộ Hacker có thể lợidụng email server để gửi mail gây ngập mạng , phá hoại hệ thống email khác Ngoài
ra với hình thức gắn thêm các đoạn script trong mail hacker có thể gây ra các cuộctấn công Spam cùng lúc với khả năng tấn công gián tiếp đến các máy chủ Databasenội bộ hoặc các cuộc tấn công DoS vào một mục tiêu nào đó
Phương thức tấn công lớp ứng dụng
Tấn công lớp ứng dụng được thực hiện bằng nhiều cách khác nhau Mộttrong những cách thông dụng nhất là tấn công vào các điểm yếu của phần mềm nhưsendmail, HTTP, hay FTP Nguyên nhân chủ yếu của các tấn công lớp ứng dụngnày là chúng sử dụng những port cho qua bởi firewall Ví dụ các hacker tấn côngWeb server bằng cách sử dụng TCP port 80, mail server bằng TCP port 25
Phương thức tấn công Virus và Trojan Horse
Các nguy hiểm chính cho các workstation và end user là các tấn công virus
và ngựa thành Trojan (Trojan horse) Virus là một phần mềm có hại, được đính kèmvào một chương trình thực thi khác để thực hiện một chức năng phá hại nào đó.Trojan horse thì hoạt động khác hơn Một ví dụ về Trojan horse là một phần mềmứng dụng để chạy một game đơn giản ở máy workstation Trong khi người dùngđang mãi mê chơi game, Trojan horse sẽ gởi một bản copy đến tất cả các user trongaddress book Khi user khác nhận và chơi trò chơi, thì nó lại tiếp tục làm như vậy,gởi đến tất cả các địa chỉ mail có trong address book của user đó
1.3 Các yêu cầu bảo mật chung cho mạng LAN
1.3.1 Yêu cầu bảo mật về mạng
Như mô tả tại hình 1.1, trong vận hành và khai thác mạng LAN sẽ phát sinhcác nguy cơ an ninh mạng ngày càng lớn Không chỉ các kẻ tấn công khám phá ra
Trang 22nhiều lỗ hổng bảo mật mà các công cụ và các kỹ thuật cần thiết để xâm nhập vàomột mạng cũng càng trở nên đơn giản hơn Có sẵn những công cụ được tải về trênInternet cho phép những người không có nhiều kiến thức về mạng cũng có thể thựchiện các cuộc tấn công Ngoài ra, việc thiết kế, cài đặt sử dụng các tài nguyên mạngkhông đúng cách cũng góp phần tại ra các lỗ hổng trên mạng cho phép những người
có ý đồ xấu có thể xâm nhập vào hệ thống, thực hiện các thao tác phá hoại
Cùng với sự phát triển của thời gian, các công cụ cho phép tấn công vàomạng ngày càng trở nên phức tạp, khó lường còn yêu cầu về kiến thức để thực hiệnmột hành vi tấn công vào mạng ngày càng thấp Một người có thể không có nhiềukiến thức về mạng cũng có thể thực hiện một cuộc tấn công thông qua một công cụđược tải về từ trên mạng Internet
Bảo mật và an ninh mạng đã trở thành vấn đề ưu tiên hàng đầu trong thiết kếquản lý và vận hành mạng nhằm đảm bảo các các yêu cầu sau:
Yêu cầu về tính sẵn sàng của mạng: Mạng phải đảm bảo luôn sẵn sàng cungcấp các dịch vụ cho người dùng mọi lúc, mọi nơi
Yêu cầu về tính bền vững của mạng: Trong môi trường đầy những nguy cơmất an toàn mạng do người dùng giao tiếp với nhiều mạng công cộng và các
hệ thống khác nhau, mạng phải chống được các cuộc tấn công mạng nhưDoS, DDoS, …
Yêu cầu về độ tin cậy mạng: Trong quá trình hoạt động, mạng phải đảm bảocác truy cập của người dùng là hợp pháp, tránh các rủi ro làm ảnh hưởng đến
an toàn mạng
Để đáp ứng các yêu cầu trên, thông thường chu trình bảo mật mạng gồm bốn
giai đoạn: Bảo mật an ninh mạng (Secure); giám sát (Monitor); kiểm tra các lỗ hổng trên mạng (Test); cải tiến (Improve) Xuyên suốt bốn giai đoạn này là quá trình áp dụng các chính sách an ninh (Security Policy).
Chính sách an ninh được xem là các luật lệ chính thức được áp dụng trongmạng qua đó bất kỳ ai khi truy nhập vào mạng đó cũng phải tuân theo Hay nói cáchkhác, chính sách bảo mật là một văn bản tổng kết các cách thức mà một tổ chức,một doanh nghiệp, một cá nhân sẽ sử dụng nhằm bảo vệ tài nguyên mạng của mình
Bốn giai đoạn của chu trình bảo mật mạng được mô tả như sau:
Trang 23 Giai đoạn bảo vệ an ninh mạng: là một phần trong các hoạt động quản trị
mạng của doanh nghiệp Giai đoạn này là quá trình thiết lập các giải pháp anninh mạng nhằm ngăn chặn, phòng ngừa các hành động tấn công, các truynhập trái phép Có thể đó chỉ là một hoạt động đơn giản như cấu hình bộ
định tuyến (router) không chấp nhận các dịch vụ, các truy nhập từ các địa chỉ
không được chứng thực hay phức tạp hơn là cấu hình các bức tường lửa
(Firewall), các hệ thống chứng thực (authentication), mã hóa (encryption)…
Các thao tác cài đặt, cấu hình này sẽ tuân theo các chính sách an ninh màdoanh nghiệp lập ra Các phương pháp sau thường được sử dụng nhằm thiếtlập bảo vệ an ninh mạng:
- Chứng thực: Là quá trình công nhận các cá nhân được quyền sử dụng từngloại hình dịch vụ của mạng qua các dấu hiệu nhận dạng của cá nhân
- Mã hóa: Là phương pháp nhằm đảm bảo truyền dữ liệu an toàn, tin cậy,toàn vẹn, chính xác qua mạng Dữ liệu trước khi gửi đi được mã hóa theo một thuậttoán nào đó và chỉ có bên nhận mới có thể giải mã được
- Xây dựng tường lửa: Tường lửa là một tập hợp các chương trình liên kếtvới nhau, được đặt tại các cửa ngõ vào/ra của mạng với chức năng bảo vệ các tàinguyên của mạng trước các truy nhập từ bên ngoài
- Thực hiện “vá lỗi” (vulnerability patching): là quá trình thực hiện xác minh
và khắc phục các lỗ hổng của mạng thông qua việc bổ sung các “bản vá”, là cácphần mềm có tính năng che lấp lỗ hổng của mạng
Giai đoạn giám sát mạng: Sau khi đã thiết lập nên một hệ thống bảo vệ an
ninh mạng, điều cần thiết phải giám sát, theo dõi hoạt động của hệ thống bảo
vệ an ninh mạng trước các truy nhập từ bên ngoài vào mạng, nhằm bảo đảmmạng vẫn còn được bảo vệ an toàn Đây là quá trình phát hiện các vi phạmđối với chính sách bảo mật, phát hiện xâm nhập và kiểm soát hệ thống, xácnhận các thao tác thực hiện bảo vệ an ninh mạng trong giai đoạn 1
Giai đoạn kiểm tra an ninh mạng: Sự phát triển của công nghệ kéo theo
những thay đổi không ngừng về cách thức tấn công xâm nhập mạng Giaiđoạn này tìm kiếm những bất hợp lý trong việc xây dựng chính sách và hệthống bảo vệ mạng trước đó, tìm ra các điểm yếu mới của mạng mà các giai
Trang 24đoạn trước không nhận ra thông qua các hành động tấn công thử vào cácđiểm bảo mật của mạng
Giai đoạn cải tiến: Các giai đoạn giám sát và kiểm tra cung cấp các thông
tin cần thiết để tiến hành nâng cấp, cải tiến mức độ bảo vệ an ninh mạng Cácnhà quản trị mạng sử dụng các thông tin này cải tiến các giải pháp bảo vệ,điều chỉnh các chính sách an ninh, bổ sung các điểm yếu trên mạng nhằm đốiphó với các nguy cơ mới
Sau khi đã đưa ra những cải tiến, chu trình lại tiếp tục với giai đoạn bảo vệ
an ninh mạng với sự bổ sung mới Chu trình được tiến hành liên tục nhằm đảm bảorằng mạng được bảo vệ một cách an toàn nhất
1.3.2 Yêu cầu về bảo mật dữ liệu
Trong mạng LAN, người dùng thường xuyên truy cập các cơ sở dữ liệu đểlàm việc nên dễ xảy ra các nguy cơ mất an toàn dữ liệu Vì vậy, vấn đề bảo mật dữliệu phải đảm bảo các yêu cầu sau:
Yêu cầu về tính sẵn sàng của dữ liệu: Các dữ liệu dùng chung phải luôntrong trạng thái đáp ứng mọi yêu cầu của người dùng mọi lúc, mọi nơi
Yêu cầu về tính toàn vẹn dữ liệu: Các dữ liệu không bị chỉnh sửa, thay đổimột cách bất hợp pháp
Yêu cầu về bí mật dữ liệu: Các dữ liệu là tài sản quan trọng của đơn vị và cánhân phải được đảm bảo bí mật, không bị phát tán bất hợp pháp
1.3.3 Yêu cầu về bảo mật người dùng
Người dùng hợp pháp của mạng LAN là người sử dụng các dịch vụ nhưngđồng thời cũng là một tác nhân gây ra các rủi ro mạng
Vì vậy, vấn đề bảo mật người dùng phải đảm bảo các yêu cầu sau:
Yêu cầu về tính hợp pháp: Người dùng hợp pháp phải được đảm bảo truycập mạng một cách thuận lợi, đáp ứng mọi yêu cầu hợp pháp của người dùngmọi lúc, mọi nơi
Yêu cầu về tính riêng tư: Các thông tin cá nhân, lịch sử truy cập mạng là cácthông tin riêng tư của người dùng phải được đảm bảo bí mật, không bị đánhcắp hoặc phát tán bất hợp pháp
Trang 25Các yêu cầu bảo mật mạng LAN về mạng, về dữ liệu và người dùng đều cótầm quan trọng và phải được xem xét thấu đáo trong quá trình xây dựng, thiết kế,vận hành và khai thác mạng nội bộ.
1.4 Tình hình triển khai mạng LAN tại Việt Nam và các vấn đề liên quan đến bảo mật mạng LAN trong thực tế.
1.4.1 Tình hình triển khai mạng LAN tại Việt Nam
Ngày nay ở Việt Nam, các tổ chức, doanh nghiệp đều sử dụng, triển khaimạng LAN bên trong hệ thống của họ Hệ thống mạng nội bộ giúp gia tăng khảnăng trao đổi dữ liệu giữa các nhân viên, các ban ngành với nhau, làm gia tăng khảnăng làm việc và hoạt động một cách hiệu quả Tuy nhiên, với nhu cầu trao đổithông tin, bắt buộc các cơ quan, tổ chức phải kết nối tới mạng Internet Khi thựchiện kết nối mạng nội bộ của cơ quan, doanh nghiệp, tổ chức với mạng toàn cầu, antoàn và bảo mật thông tin là một vấn đề cấp bách được đặt ra Internet có những kỹthuật cho phép mọi người truy cập, khai thác và chia sẻ thông tin với nhau Nhưng
nó cũng là nguy cơ chính dẫn đến thông tin dễ bị hư hỏng hay bị phá hủy hoàn toàn
Sở dĩ có lí do đó là vì việc truyền thông tin qua mạng Internet hiện nay chủ yếu sửdụng giao thức TCP/IP TCP/IP cho phép các thông tin từ máy tính này tới máy tínhkhác phải đi qua một loạt các máy tính trung gian hoặc các mạng riêng biệt trướckhi nó tới được đích Chính vì vậy, giao thức TCP/IP đã tạo cơ hội cho bên thứ ba
có thể thực hiện các hành động gây mất an toàn thông tin trong khi thực hiện việctruyền thông tin trên mạng Thực tế, số vụ tấn công từ bên ngoài vào các cơ quan, tổchức, trường học, đang ngày một tăng lên với quy mô khổng lồ Nếu chúng takhông có đưa ra các giải pháp khắc phục, hậu quả và tổn thất sẽ vô cùng nặng nề
1.4.2 Vấn đề liên quan đến bảo mật mạng LAN trong thực tế
Trong năm 2017 tính tới thời điểm hiện tại, Việt Nam đã hứng chịu rất nhiềucác vụ tấn công mạng nội bộ và để lại rất nhiều hậu quả nặng nề Chỉ riêng quý 1năm 2017, Việt Nam đã có gần 7700 sự cố tấn công mạng nội bộ tại Việt Nam Đếngiữa tháng 9 số lượng các sự cố tấn công mạng nội bộ đã lên đến gần 10000 (số liệucủa trung tâm ứng cứu khẩn cấp máy tính Việt Nam – VNCERT) Chi tiết thì theo
Trang 26số liệu cho biết có 1762 sự cố website lừa đảo, 4595 sự cố phát tán mã độc và 3607
sự cố tấn công thay đổi giao diện
Nổi bật nhất trong năm 2017 có lẽ là cuộc tấn công của mã độc có tênWannacry vào hồi tháng 5/2017 Khi tấn công Wannacry sẽ mã hóa các dữ liệu bêntrong mạng nội bộ và người dùng hay các công ty, tổ chức cần phải trả một khoảnphí mới có thể lấy lại được dữ liệu của họ Cuộc tấn công quy mô lớn này đã ảnhhưởng đến 74 quốc gia trong đó có Việt Nam Chỉ vài giờ lây lan Việt Nam đã cóđến hơn 200 Doanh nghiệp bị nhiễm loại mã độc này Theo Kaspersky thì Việt Nam
là một trong 20 nước có thiệt hại nặng nề nhất do cuộc tấn công Wannacry gây ra
Ngoài ra còn nhiều vụ tấn công nổi bật khác như cuộc tấn công của cáchacker U15 vào mạng nội bộ, ở đây là website các cảng hàng không ở Việt Nam(Sân bay Tân Sơn Nhất, Đà Nẵng, Phú Quốc, Rạch Giá, Tuy Hòa) làm thay đổi giaodiện các trang web, tấn công này khiến nhiều người nghi ngờ đây là “sự cố VietnamAirlines” lần thứ 2 Hay vụ Hacker đã tấn công vào hệ thống mạng nội bộ của Uber,đánh cắp dữ liệu cá nhân của 57 triệu khách hàng và lái xe của các nước mà Uberđang đặt trụ sở và hoạt động, trong đó có Việt Nam
Các thông tin và số liệu trên cho thấy một thực trạng đáng buồn về bảo mật
hệ thống tại Việt Nam hiện nay Các hệ thống mạng khả năng bảo mật còn thấp,chưa có firewall, các phiên bản hệ điều hành đang sử dụng còn cũ, không updatedẫn đến tình trạng có rất nhiều lỗ hổng bảo mật, dễ dàng bị tấn công và đánh cắpthông tin, để lại rất nhiều tổn thất Theo báo cáo chỉ số an toàn thông tin trung bìnhcủa tất cả các nhóm doanh nghiệp, tổ chức ở Việt Nam chỉ đạt 54.2% là mức trungbình Trong đó nhóm các doanh nghiệp, tổ chức thuộc lĩnh vực tài chính ngân hàngđạt chỉ số 59.9% và nhóm các doanh nghiệp khác là 31.1% Nhìn chung các doanhnghiệp, tổ chức ở Việt Nam đang lơ là, thiếu cảnh giác trong việc bảo mật hệ thống
an ninh mạng và điều này sẽ là khe hở để tội phạm mạng lợi dụng để tấn công
Các dạng tấn công hiện nay rất đa dạng Có thể liệt kê một số như: mã độctống tiền, tấn công các lỗ hổng hệ thống website, tấn công đánh cắp dữ liệu,… Sovới các năm trước thì tội phạm mạng tấn công ngày càng thông minh và tinh vi hơn,
Trang 27có sự chuẩn bị với thời gian dài , mức độ nguy hiểm không chỉ đánh cắp thông tin
mà còn mang tính phá hủy dữ liệu, lừa đảo, tống tiền người dùng Hiện nay, an toànthông tin trên thế giới cũng như ngay tại Việt Nam có những diễn biến phức tạp, các
vụ tấn công mạng không chỉ đe dọa trực tiếp đến hoạt động và tài sản của cá nhân,doanh nghiệp mà còn ảnh hưởng đến cả hệ thống hạ tầng mạng của cả một quốc gia
Từ tình hình trên, việc đảm bảo an toàn thông tin cũng như xây dựng hệthống có tính bảo mật cao cho mạng LAN tại Việt Nam và trên toàn thế giới đangngày càng trở nên cấp thiết hơn bao giờ hết
1.5 Kết luận chương 1
Trong chương 1, luận văn đã nghiên cứu tổng quan về công nghệ mạng LAN
và các nguy cơ đe dọa bảo mật mạng LAN Từ đó, luận văn đã đề xuất các yêu cầubảo mật cho mạng LAN, cũng như các vấn đề liên quan đến bảo mật mạng LANtrong thực tế
Trên cơ sở các nội dung đã trình bày trong chương 1, các giải pháp bảo mậtmạng LAN đáp ứng các yêu cầu đề ra sẽ được nghiên cứu trong chương 2 của luậnvăn
Trang 28Chương II: NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MẠNG
LAN
Trong chương 2 luận văn nghiên cứu các giải pháp bảo mật mạng LAN nhằm đáp ứng các yêu cầu về bảo mật mạng, bảo mật dữ liệu và bảo mật người dùng
2.1 Giải pháp sử dụng hệ thống tường lửa
2.1.1 Giới thiệu chung
Một trong các giải pháp bảo mật mạng LAN nhằm tránh các cuộc tấn công từbên ngoài hay ngăn chặn truy cập các trang web từ bên trong là sử dụng tường lửa(Firewall) Hình 2.1 dưới đây mô tả một mạng LAN có sử dụng tường lửa
Hình 2.1: Firewall bảo mật mạng LAN [13]
Tường lửa (firewall) là rào chắn mà một số cá nhân, tổ chức, doanh nghiệp,
cơ quan nhà nước lập ra nhằm ngăn chặn các truy cập thông tin không mong muốn
từ ngoài vào hệ thống mạng nội bộ cũng như ngăn chặn các thông tin bảo mật nằmtrong mạng nội bộ xuất ra ngoài Internet mà không được cho phép
Firewall là một công cụ hoạt động ở ranh giới giữa bên trong là mạng LANvới hệ thống Internet bên ngoài Firewall cung cấp cơ chế phòng thủ từ vành đai
Nó hạn chế việc truyền thông của hệ thống với những kẻ xâm nhập tiềm tàng vàlàm giảm rủi ro cho hệ thống Đây là một công cụ không thể thiếu trong một giảipháp bảo mật tổng thể
Nhiệm vụ cơ bản của tường lửa là kiểm soát truyền thông dữ liệu giữa haivùng có độ tin cậy khác nhau Các vùng tin cậy (zone of trust) điển hình bao gồm:
Trang 29mạng Internet (vùng không đáng tin cậy) và mạng LAN (một vùng có độ tin cậycao) Mục đích cuối cùng là cung cấp kết nối có kiểm soát giữa các vùng với độ tincậy khác nhau thông qua việc áp dụng một chính sách an ninh và mô hình kết nốidựa trên nguyên tắc quyền tối thiểu (principle of least privilege).
Tường lửa là một thiết bị phần cứng và/hoặc một phần mềm Cấu hình đúngđắn cho các tường lửa đòi hỏi kỹ năng của người quản trị hệ thống Việc này yêucầu hiểu biết đáng kể về các giao thức mạng và về an ninh máy tính Những lỗi nhỏ
có thể biến tường lửa thành một công cụ an ninh vô dụng
Có hai loại tường lửa thông dụng là tường lửa bảo vệ để bảo vệ an ninh chomáy tính cá nhân hay mạng cục bộ, tránh sự xâm nhập, tấn công từ bên ngoài vàtường lửa ngăn chặn thường do các nhà cung cấp dịch vụ Internet thiết lập và cónhiệm vụ ngăn chặn không cho máy tính truy cập một số trang web hay máy chủnhất định, thường dùng với mục đích kiểm duyệt Internet
Trên thị trường có rất nhiều loại Firewall nhưng hiện nay Firewall cứngFortinet đang được các doanh nghiệp tin dùng vì có khả năng bảo mật mạnh cũngnhư dễ dàng sử dụng Dưới đây, luận văn sẽ khảo sát chi tiết về hệ thống Firewallcứng Fortinet
2.1.2 Tường lửa Fortinet
Sản phẩm FortiGate của Fortinet là thiết bị tường lửa Unified ThreadManagement - hợp nhất các cơ chế ngăn chặn và phòng ngừa các nguy cơ và hiểmhọa của mạng các tổ chức, công ty, bao gồm các chức năng:
- Bảo mật kết nối:
+ Stateful Firewall: Ngăn chặn các truy cập trái phép, phân vùng truy cập + IPsec & SSL VPN: Cung cấp các kết nối bảo mật đến những tài nguyênđặc biệt
- Tích hợp bảo mật cho ứng dụng và nội dung số:
+ Intrusion Prevention: Ngăn chặn việc khai thác các lỗ hổng bảo mật; thấuhiểu các giao thức, kiểm soát tốt hơn các ứng dụng
Trang 30+ Antivirus/Antispyware: Ngăn các nội dung độc hại lan truyền trong mạng.
- Bảo mật ứng dụng:
+ Web Filtering: Ngăn cấm truy xuất đến những địa chỉ đáng ngờ, lừa đảo,spam hoặc chứa nội dung độc hại hoặc chứa các nội dung vi phạm chính sách bảomật của tổ chức
+ Antispam: lọc và loại bỏ các thư rác
+ Kiểm soát ứng dụng: ngăn hoặc giới hạn truyền thông của một số ứngdụng phổ biến (IM, P2P…), có khả năng nhận diện 1800 ứng dụng; kiểm soát lưulượng ứng dụng
Đặc điểm nổi bật của Firewall cứng Fortinet vượt lên trên các Firewall mềm(các firewall cài đặt theo dạng ứng dụng trên server) là tính ổn định, khả năng xử lýcao, được chuyên biệt hóa, không giới hạn số lượng người dùng và băng thông lớn
Do đó nó cũng có giá thành khá cao tùy theo cấu hình
2.1.3 Tách hệ thống, tối ưu hóa tường lửa
Tuy nhiên, để có thể nâng cao khả năng của firewall, ở các doanh nghiệp haytrường học, nên phân hệ thống mạng ra thành 3 khu vực, gồm:
- Internal: Gồm các máy client bên trong nội bộ
- Perimeter: Gồm các máy chủ của nội bộ như máy chủ web, mail, database,
- External: Mạng bên ngoài nội bộ
Tại sao lại phải phân ra thành 3 khu vực này Đó là bởi vì nếu xếp chung cácmáy chủ và client cùng một khu vực, khi xảy ra sự cố tấn công từ bên ngoài hayphát tán virus từ bên trong, sự cố sẽ lây sang các máy chủ và làm hỏng cả hệ thốngmạng
Firewall Fortinet sẽ đặt nó ở trung tâm, như một cầu nối điều khiển các luồngthông tin cho phép truy cập hay không truy cập
- Ở Internal, ta sẽ mở firewall cho phép máy bên trong truy cập ra bên ngoàiExternal và Perimeter để lấy thông tin
- Ở Perimeter, ta sẽ mở cho phép truy cập ra bên ngoài External
Trang 31Sau khi cấu hình như trên, có thể giúp hệ thống tránh việc bị tấn công vàoserver, hay tránh lây nhiễm virus từ các máy client sang server.
Giả dụ, khi trong client gửi một gói tin ra bên ngoài mạng, Firewall Fortinet
sẽ mở cổng cho gói tin đó ra ngoài Sau khi đến server bên ngoài và họ gửi lại mộtgói tin, firewall sẽ mở cổng để cho gói tin đó đến được máy client vừa mới gửi rangoài Đó là để cho bên trong kết nối ra ngoài mạng bình thường Nhưng khi xảy ratấn công, họ sẽ chỉ có thể tấn công vào trong client, nhưng không thể tấn công vàoserver do ta không có kết nối nào cho phép các gói tin bên ngoài External được truycập vào trong Perimeter Việc lây lan virus thông qua các gói tin bên trong mạngnội bộ cũng vậy, do ở khu vực riêng biệt nên sự lây lan sẽ bị giảm thiểu hoặc có thểtránh được nếu phát hiện và xử lý đúng phương pháp
Tuy nhiên, giải pháp Firewall cũng có những điểm yếu sau:
• Firewall không quản lý các hoạt động của người dùng khi đã vào được hệthống, và không thể chống lại sự đe dọa từ trong hệ thống
• Firewall cần phải đảm bảo một mức độ truy cập nào đó tới hệ thống, việcnày có thể cho phép việc thăm dò điểm yếu
• Chính sách của Firewall có thể chậm trễ so với sự thay đổi của môi trường,điều này cũng có thể tạo nên cơ hội cho việc xâm nhập và tấn công
• Hacker có thể sử dụng phương thức tác động đến yếu tố con người để đượctruy nhập một cách tin cậy và loại bỏ được cơ chế firewall
• Firewall không ngăn được việc sử dụng các tài khoản không được xác thựchoặc không an toàn gia nhập hoặc rời khỏi hệ thống
Vì vậy, cần phải nghiên cứu bổ sung các giải pháp khác nhằm đảm bảo yêucầu bảo mật cho mạng LAN
Trang 322.2 Giải pháp sử dụng hệ thống phát hiện và ngăn chặn xâm nhập mạng IDS/IPS.
2.2.1 Hệ thống phát hiện xâm nhập IDS
IDS là hệ thống phát hiện các dấu hiệu của tấn công xâm nhập, đồng thời cóthể khởi tạo các hành động trên thiết bị khác để ngăn chặn tấn công Khác với tườnglửa, IDS không thực hiện các thao tác ngăn chặn truy xuất mà chỉ theo dõi các hoạtđộng trên mạng để tìm ra các dấu hiệu của tấn công và cảnh báo cho người quản trịmạng Một điểm khác biệt khác đó là mặc dù cả hai đều liên quan đến bảo mậtmạng, nhưng tường lửa theo dõi sự xâm nhập từ bên ngoài và ngăn chặn chúng xảy
ra, nó giới hạn truy nhập giữa các mạng để ngăn chặn sự xâm nhập nhưng khôngphát hiện được cuộc tấn công từ bên trong mạng Bên cạnh đó IDS sẽ đánh giá sựxâm nhập đáng ngờ khi nó đã diễn ra đồng thời phát ra cảnh báo, nó theo dõi đượccác cuộc tấn công có nguồn gốc từ bên trong một hệ thống
Chức năng ban đầu của IDS chỉ là phát hiện các dấu hiện xâm nhập, do đóIDS chỉ có thể tạo ra các cảnh báo tấn công khi tấn công đang diễn ra hoặc thậm chísau khi tấn công đã hoàn tất Càng về sau, nhiều kỹ thuật mới được tích hợp vàoIDS, giúp nó có khả năng dự đoán được tấn công (Prediction) và thậm chí phản ứnglại các tấn công đang diễn ra (Active response)
Các thành phần của IDS
Các thành phần của hệ thống IDS được mô tả trong hình 2.2
Hình 2.2 Các thành phần của hệ thống IDS [7]
Trang 33Hai thành phần quan trọng nhất cấu tạo nên hệ thống IDS là sensor (bộ cảmnhận) có chức năng chặn bắt và phân tích lưu lượng trên mạng và các nguồn thôngtin khác để phát hiện dấu hiệu xâm nhập (signature); signature database là cơ sở dữliệu chứa dấu hiệu của các tấn công đã được phát hiện và phân tích Cơ chế làm việccủa signature database giống như virus database trong các phần mềm antivirus Dovậy, việc duy trì một hệ thống IDS hiệu quả phải bao gồm việc cập nhật thườngxuyên cơ sở dữ liệu này.
Phân loại IDS:
Dựa trên phạm vi giám sát, IDS được chia thành 2 loại:
- Network-based IDS (NIDS): Là những IDS giám sát trên toàn bộ mạng.
Nguồn thông tin chủ yếu của NIDS là các gói dữ liệu đang lưu thông trên mạng.NIDS thường được lắp đặt tại ngõ vào của mạng, có thể đứng trước hoặc sau tườnglửa
- Host-based IDS (HIDS): Là những IDS giám sát hoạt động của từng máy
tính riêng biệt Do vậy, nguồn thông tin chủ yếu của HIDS ngoài lưu lượng dữ liệuđến và đi từ máy chủ còn có hệ thống dữ liệu nhật ký hệ thống (system log) và kiểmtra hệ thống (system audit)
Dựa trên kỹ thuật thực hiện, IDS cũng được chia thành 2 loại:
- Signature-based IDS: Signature-based IDS phát hiện xâm nhập dựa trên
dấu hiệu của hành vi xâm nhập, thông qua phân tích lưu lượng mạng và nhật ký hệthống Kỹ thuật này đòi hỏi phải duy trì một cơ sở dữ liệu về các dấu hiệu xâm nhập(signature database), và cơ sở dữ liệu này phải được cập nhật thường xuyên mỗi khi
có một hình thức hoặc kỹ thuật xâm nhập mới
- Anomaly-based IDS: phát hiện xâm nhập bằng cách so sánh (mang tính
thống kê) các hành vi hiện tại với hoạt động bình thường của hệ thống để phát hiệncác bất thường (anomaly) có thể là dấu hiệu của xâm nhập Ví dụ, trong điều kiệnbình thường, lưu lượng trên một giao tiếp mạng của server là vào khoảng 25% băngthông cực đại của giao tiếp Nếu tại một thời điểm nào đó, lưu lượng này đột ngộttăng lên đến 50% hoặc hơn nữa, thì có thể giả định rằng server đang bị tấn công
Trang 34DoS Để hoạt động chính xác, các IDS loại này phải thực hiện một quá trình “học”,tức là giám sát hoạt động của hệ thống trong điều kiện bình thường để ghi nhận cácthông số hoạt động, đây là cơ sở để phát hiện các bất thường về sau.
Snort:
Một trong những phần mềm IDS phổ biến hiện nay là Snort Đây là một sảnphẩm NIDS mã nguồn mở với hệ thống signature database (được gọi là ruledatabase) được cập nhật thường xuyên bởi nhiều thành viên trong cộng đồngInternet Trong thực tế, IDS là một kỹ thuật mới so với firewall, tuy nhiên, cho đếnthời điểm này, với sự phát triển khá mạnh mẽ của kỹ thuật tấn công thì IDS vẫnchưa thật sự chứng tỏ được tính hiệu quả của nó trong việc đảm bảo an toàn cho các
hệ thống Xu hướng hiện nay là chuyển dịch dần sang các hệ thống IPS có khả năngphát hiện và ngăn chặn một cách hiệu quả các cuộc tấn công mạng, đồng thời giảmthiểu thời gian chết và các chi phí ảnh hưởng đến hiệu quả hoạt động của mạng
2.2.2 Hệ thống phòng chống xâm nhập (IPS)
Hệ thống phòng chống xâm nhập (IPS) là một kỹ thuật, kết hợp các ưu điểmcủa kỹ thuật tường lửa với hệ thống phát hiện xâm nhập IDS, có khả nǎng phát hiệncác cuộc tấn công và tự động ngǎn chặn các cuộc tấn công nhằm vào điểm yếu của
hệ thống Sơ đồ hoạt động của hệ thống IPS mô tả trong hình 2.3
Hình 2.3: Sơ đồ hoạt động của IPS [7]
Trang 35Ý tưởng của công nghệ IPS là mọi cuộc tấn công chống lại bất cứ thành phầnnào của môi trường được bảo vệ sẽ bị làm chệch hướng bằng các giải pháp ngănngừa xâm nhập Với “quyền tối thượng”, các hệ thống phòng chống xâm nhập cóthể “nắm” lấy bất cứ lưu lượng nào của các gói tin mạng và đưa ra quyết định cóchủ ý – liệu đây có phải là một cuộc tấn công hay một sự sử dụng hợp pháp – sau đóthực hiện hành động thích hợp để hoàn thành tác vụ một cách trọn vẹn Kết quả cuốicùng là một nhu cầu có hạn định cho các giải pháp phát hiện hay giám sát xâm nhậpmột khi tất cả những gì liên quan đến mối đe doạ đều bị ngăn chặn.
Các kiểu triển khai IPS:
Có hai kiểu chính khi triển khai IPS là out-of-band IPS và in-line IPS:
- Out-of-band IPS (OOB IPS): Với hệ thống này luồng dữ liệu vào hệ
thống mạng sẽ cùng đi qua đồng thời firewall và IPS Hệ thống IPS có thể kiểm soátluồng dữ liệu vào, phân tích và phát hiện các dấu hiệu của sự xâm nhập Với vị trínày, OOB IPS có thể quản lý firewall, chỉ dẫn nó chặn lại các hành động nghi ngờ
- In-line IPS: Vị trí IPS nằm trước firewall, luồng dữ liệu phải đi qua chúng
trước khi tới firewall Điểm khác chính so với OOB IPS là có thêm chứcnăng traffic-blocking Điều đó làm cho IPS có thể ngăn chặn lưu lượng nguy hiểmnhanh hơn so với OOB IPS Tuy nhiên vị trí này sẽ làm cho tốc độ luồng thông tinqua ra vào mạng chậm hơn
Chức năng chính và các Modul trong IPS
IPS có hai chức nǎng chính là phát hiện các cuộc tấn công và chống lại cáccuộc tấn công đó Phần lớn hệ thống IPS được đặt ở vành đai mạng, đủ khả nǎngbảo vệ tất cả các thiết bị trong mạng Một hệ thống IPS được xem là thành công nếuchúng hội tụ được các yếu tố: thực hiện nhanh, chính xác, đưa ra các thông báo hợp
lý, phân tích được toàn bộ thông lượng, cảm biến tối đa, ngǎn chặn thành công vàchính sách quản lý mềm dẻo Hệ thống IPS gồm 3 modul chính: modul phân tíchluồng dữ liệu, modul phát hiện tấn công, modul phản ứng
- Module phân tích luồng dữ liệu: Modul này có nhiệm vụ lấy tất các gói
tin đi đến mạng để phân tích Thông thường các gói tin có địa chỉ không phải của
Trang 36một card mạng thì sẽ bị card mạng đó hủy bỏ nhưng card mạng của IPS được đặt ởchế độ thu nhận tất cả Tất cả các gói tin qua chúng đều được sao chụp, xử lý, phântích đến từng trường thông tin Bộ phân tích đọc thông tin từng trường trong gói tin,xác định chúng thuộc kiểu gói tin nào, dịch vụ gì Các thông tin này được chuyểnđến modul phát hiện tấn công.
- Modul phát hiện tấn công: Đây là modul quan trọng nhất trong hệ thống
có nhiệm vụ phát hiện các cuộc tấn công Có hai phương pháp để phát hiện các cuộctấn công: Misuse Detection (dò sự lạm dụng) và Anomaly Detection (dò sự khôngbình thường)
+ Phương pháp dò sự lạm dụng: phương pháp này phân tích các hoạt độngcủa hệ thống, tìm kiếm các sự kiện giống với các mẫu tấn công đã biết trước Cácmẫu tấn công biết trước này gọi là các dấu hiệu tấn công Do vậy phương pháp nàycòn được gọi là phương pháp dò dấu hiệu Kiểu phát hiện tấn công này có ưu điểm
là phát hiện các cuộc tấn công nhanh và chính xác, không đưa ra các cảnh báo sailàm giảm khả năng hoạt động của mạng và giúp các người quản trị xác định các lỗhổng bảo mật trong hệ thống của mình Tuy nhiên phương pháp này có nhược điểm
là không phát hiện được các cuộc tấn công không có trong cơ sở dữ liệu, các kiểutấn công mới, do vậy hệ thống luôn phải cập nhật các mẫu tấn công mới
+ Phương pháp dò sự không bình thường: đây là kỹ thuật dò thông minh,nhận dạng ra các hành động không bình thường của mạng Quan niệm của phươngpháp này về các cuộc tấn công là khác so với các hoạt động thông thường Ban đầu,chúng lưu trữ các mô tả sơ lược về các hoạt động bình thường của hệ thống Cáccuộc tấn công sẽ có những hành động khác so với bình thường và phương pháp dònày có thể nhận dạng
- Modul phản ứng: Khi có dấu hiệu của sự tấn công hoặc thâm nhập, modul
phát hiện tấn công sẽ gửi tín hiệu báo hiệu có sự tấn công hoặc thâm nhập đếnmodul phản ứng Lúc đó modul phản ứng sẽ kích hoạt tường lửa thực hiện chứcnǎng ngǎn chặn cuộc tấn công hay cảnh báo tới người quản trị Tại modul này, nếuchỉ đưa ra các cảnh báo tới các người quản trị và dừng lại ở đó thì hệ thống này
Trang 37được gọi là hệ thống phòng thủ bị động Modul phản ứng này tùy theo hệ thống mà
có các chức nǎng và phương pháp ngǎn chặn khác nhau
Một số kỹ thuật giúp phát hiện sự không bình thường
- Phát hiện mức ngưỡng (Threshold Detection): Kỹ thuật này nhấn mạnh
việc đo đếm các hoạt động bình thường trên mạng Các mức ngưỡng về các hoạtđộng bình thường được đặt ra Nếu có sự bất thường nào đó như đǎng nhập với sốlần quá quy định, số lượng các tiến trình hoạt động trên CPU, số lượng một loại góitin được gửi vượt quá mức thì hệ thống có dấu hiệu bị tấn công
- Phát hiện nhờ quá trình tự học (Self-learning Detection): Kỹ thuật này
bao gồm hai bước Khi bắt đầu thiết lập, hệ thống phát hiện tấn công sẽ chạy ở chế
độ tự học và tạo ra một hồ sơ về cách cư xử của mạng với các hoạt động bìnhthường Sau thời gian khởi tạo, hệ thống sẽ chạy ở chế độ làm việc, tiến hành theodõi, phát hiện các hoạt động bất thường của mạng bằng cách so sánh với hồ sơ đãthiết lập Chế độ tự học có thể chạy song song với chế độ làm việc để cập nhật hồ sơcủa mình nhưng nếu dò ra có tín hiệu tấn công thì chế độ tự học phải dừng lại chotới khi cuộc tấn công kết thúc
- Phát hiện sự không bình thường của các giao thức (Anomaly protocol
detection): Kỹ thuật này cǎn cứ vào hoạt động của các giao thức, các dịch vụ của hệthống để tìm ra các gói tin không hợp lệ, các hoạt động bất thường vốn là dấu hiệucủa sự xâm nhập, tấn công Kỹ thuật này rất hiệu quả trong việc ngǎn chặn các hìnhthức quét mạng, quét cổng để thu thập thông tin của các tin tặc
Một số kỹ thuật ngǎn chặn
- Kết thúc tiến trình (Terminate session): Cơ chế của kỹ thuật này là hệ
thống IPS gửi các gói tin nhằm phá huỷ tiến trình bị nghi ngờ Tuy nhiên phươngpháp này có một số nhược điểm Thời gian gửi gói tin can thiệp chậm hơn so vớithời điểm tin tặc bắt đầu tấn công, dẫn đến tình trạng tấn công xong rồi mới bắt đầucan thiệp Phương pháp này không hiệu quả với các giao thức hoạt động trên UDPnhư DNS, ngoài ra các gói tin can thiệp phải có trường thứ tự đúng như các gói tin
Trang 38trong phiên làm việc của tiến trình tấn công Nếu tiến trình tấn công xảy ra nhanhthì rất khó thực hiện được phương pháp này.
- Huỷ bỏ tấn công (Drop attack): Kỹ thuật này dùng tường lửa để hủy bỏ gói
tin hoặc chặn đường một gói tin đơn, một phiên làm việc hoặc một luồng thông tintấn công Kiểu phản ứng này là an toàn nhất nhưng lại có nhược điểm là dễ nhầmvới các gói tin hợp lệ
- Thay đổi các chính sách của tường lửa (Modify firewall polices): Kỹ
thuật này cho phép người quản trị cấu hình lại chính sách bảo mật khi cuộc tấn côngxảy ra Sự cấu hình lại là tạm thời thay đổi các chính sách điều khiển truy nhập bởingười dùng đặc biệt trong khi cảnh báo tới người quản trị
- Cảnh báo thời gian thực: Gửi các cảnh báo thời gian thực đến người quản
trị để họ nắm được chi tiết các cuộc tấn công, các đặc điểm và thông tin về chúng
- Ghi lại vào tệp tin: Các dữ liệu của các gói tin sẽ được lưu trữ trong hệ
thống các tệp tin log Mục đích để các người quản trị có thể theo dõi các luồngthông tin và là nguồn thông tin giúp cho modul phát hiện tấn công hoạt động
2.3 Giải pháp sử dụng công nghệ VLAN
VLAN là cụm từ viết tắt của virtual local area network (virtual LAN) haycòn được gọi là mạng LAN ảo VLAN là một kỹ thuật cho phép tạo lập các mạngLAN độc lập một cách logic trên cùng một kiến trúc hạ tầng vật lý Việc tạo lậpnhiều mạng LAN ảo trong cùng một mạng cục bộ (giữa các khoa trong một trườnghọc, giữa các cục trong một công ty, ) giúp giảm thiểu bão broadcast cũng như tạothuận lợi cho việc quản lý một mạng cục bộ rộng lớn VLAN tương đương nhưmạng con (subnet)
2.3.1 Các miền quảng bá của mạng LAN ảo
Về mặt kỹ thuật, một VLAN là một miền quảng bá được tạo nên bởi một haynhiều Switch Bình thường thì router đóng vai trò tạo ra miền quảng bá Đối vớiVLAN, switch có thể tạo ra miền quảng bá Trong hình 2.4, ba miền quảng bá riêngbiệt trên 3 Switch, định tuyến mạng cho phép Router chuyển gói giữa các miềnquảng bá với nhau
Trang 39Hình 2.4: Miền quảng bá khi chưa chia VLAN [9]
Còn ở hình 2.5, ta thấy 3 VLAN tức là 3 miền quảng bá khác nhau được tạo
ra trên một Switch và trên một Router Router sử dụng định tuyến mạng để chuyểnlưu lượng giữa 3 VLAN Switch trong hình này sẽ truyền frame lên cổng giao tiếpcủa Router khi:
- Gói dữ liệu là gói quảng bá
- Gói dữ liệu có địa chỉ MAC đích là một trong các địa chỉ MAC của Router
Hình 2.5: Miền quảng bá khi đã chia VLAN [9]
Trang 40Nếu máy trạm 1 trong Engineering VLAN muốn gửi dữ liệu cho máy trạm 2trong Marketing VLAN, vì hai máy này nằm trong 2 miền quảng bá khác nhau,thuộc hai mạng khác nhau, nên địa chỉ MAC đích trong gói dữ liệu sẽ là địa chỉMAC của default gateway của máy trạm 1 Vì vậy địa chỉ MAC đích của gói dữliệu sẽ là địa chỉ MAC của cổng Fa0/0 trên Router Gói dữ liệu được chuyển đếnRouter bằng định tuyến IP, Router sẽ chuyển gói đúng đến Marketing VLAN Nếumáy trạm 1 trong Engineering VLAN muốn gửi gói dữ liệu cho máy trạm 2 trongcùng VLAN này thì địa chỉ MAC đích của gói dữ liệu sẽ chính là địa chỉ MAC củamáy trạm 2.
Tóm lại, Switch sẽ xử lý chuyển mạch gói dữ liệu khi có chia VLAN nhưsau:
Đối với mỗi VLAN, Switch có một bảng chuyển mạch riêng tương ứng NếuSwitch nhận được gói dữ liệu từ một port nằm trong một VLAN nào đó, thì Switch
sẽ tìm địa chỉ MAC đích trong bảng chuyển mạch của VLAN đó mà thôi Đồng thờiSwitch sẽ lọc địa chỉ MAC nguồn trong gói dữ liệu và ghi vào bảng chuyển mạchcủa VLAN đó nếu địa chỉ này chưa được biết Sau đó Switch quyết định chuyển gói
dữ liệu Switch nhận frame vào từ VLAN nào thì Switch chỉ lọc địa chỉ nguồn củaframe và tìm địa chỉ đích cho frame trong một bảng chuyển mạch tương ứng vớiVLAN đó
2.3.2 Phân loại VLAN
VLAN chia thành 5 loại:
- Data VLAN: là VLAN phổ biến nhất, được dùng cho các kết nối của người
dùng
- Default VLAN: là VLAN mặc định tất cả các Switch đều có và khởi tạo tất
cả các cổng của Switch đều nằm trong VLAN này VLAN mặc định của SwitchCisco là VLAN 1 và chúng ta không thể thay đổi tên hay xóa VLAN này
- Native VLAN: là VLAN duy nhất trên Switch mà Frame xuất phát từ nó
khi đi qua đường truyền chung cho các VLAN (đường Trunk) không phải đóng góithêm trường VLAN ID Mặc định Native VLAN trên mỗi Switch cisco là VLAN1