BẢO mật MẠNG máy TÍNH và FIREWALL (có code)

BẢO mật MẠNG máy TÍNH và FIREWALL (có code) ................. BẢO mật MẠNG máy TÍNH và FIREWALL (có code) ................. BẢO mật MẠNG máy TÍNH và FIREWALL (có code) ................. BẢO mật MẠNG máy TÍNH và FIREWALL (có code) ................. BẢO mật MẠNG máy TÍNH và FIREWALL (có code) .................

MỤC LỤC

DANH MỤC CÁC HÌNH VẼ

DANH MỤC CÁC TỪ VIẾT TẮT

IDS INSTRUSION DETECTION SYSTEM

IPS INSTRUSION PREVENTION SYSTEM

HTTP HYPERTEXT TRANSFER PROTOCOL

CHƯƠNG 1 TỔNG QUAN ĐỀ TÀI.

1.1 Giới thiệu đề tài

Ngày nay, máy tính và mạng máy tính đóng vai trò không thể thiếu trong cuộc sống,bất kỳ lĩnh vực, ngành nghề, công việc nào thì máy tính và mạng máy tính cũngđóng một vai trò rất quan trọng

Cùng với sự phát triển của mạng máy tính, thì vấn đề bảo mật thông tin, ngăn chặn

sự xâm nhập, đánh cắp dữ liệu máy tính, dữ liệu thông tin cá nhân cũng rất quantrọng Vì lý do đó, việc làm thể nào để bảo vệ người dùng, dữ liệu là nhiệm vụ quantrọng của các nhà quản trị mạng mà bất kỳ cá nhân tổ chức sử dụng mạng đều phảiquan tâm

1.2 Nhiệm vu đề tài

- Tìm hiểu về mạng máy tính, các chuẩn hóa mạng, nguyên lý hoạt động của

mô hình OSI, mô hình TCP/IP

- Các ứng dụng trong mạng internet

- Các giao thức bảo mật, các kiểu tấn công, mức độ bảo mật

- Tìm hiểu về hệ thống phát hiện và ngăn ngừa xâm nhập IDS/IPS

Nắm rõ về nguyên lý hoạt động của một firewall, IDS/IPS, ASDM cisco.

CHƯƠNG 2 TỔNG QUAN VỀ MẠNG MÁY TÍNH.

1.4 Giới thiệu

1.1.1 Khái niệm

Mạng máy tính là sự kết nối của các máy tính lại với nhau thông qua các đườngtruyền vật lý theo một kiến trúc nào đó nhằm thu thập, trao đổi hoặc chia sẽ dữ liệucho nhiều người sử dụng

Các đường truyền vật lý thường là:

- Đường dây điện thoại

- Phầm mềm mạng cho phép thực hiện truy cập và trao đổi thông tin

1.1.2 Mục đích của việc kết nối các máy tính thành mạng

- Chia sẽ tài nguyên dữ liệu: người dùng có quyền truy nhập, khai thác và sửdụng dữ liệu chung của mạng (thường là các server)

- Lưu trữ, bảo vệ dữ liệu: một mạng máy tính có thể cho phép dữ liệu tự độnglưu trữ tới một trung tâm nào đó trong mạng đồng thời cung cấp một tàikhoản và mật khẩu cho từng đối tượng sử dụng , hạn chế việc mất mát thôngtin ngoài ý muốn

1.5 Phân loại

1.1.3 Phân loại theo khoảng cách địa lý và quy mô

Mạng máy tính được phân loại dựa trên khoảng cách địa lý giữ các máy tính trong

mô hình mạng

Người ta phân ra các loại mạng như sau:

HÌNH 2- 1: PHÂN LOẠI MẠNG THEO KHOẢNG CÁCH ĐỊA LÝ[1].

1.1.1.1Mạng toàn cầu (GAN)Mạng được kết nối với quy mô toàn câu Thông thường được thực hiện qua mạngviễn thông và vệ tinh

1.1.1.2Mạng diện rộng (WAN)Làm mạng được kết nối trên phạm vi một quốc gia hay giữa các quốc gia Thôngthường được kết nối thông qua mạng viễn thông Nhiều mạng WAN kết nối vớinhau tạo thành một mạng GAN

Mạng WAN gồm tập hợp các máy thường gọi chung là máy lưu trữ (host), hay cótên là máy chủ, máy đầu cuối (end system) Các máy tính được nối với nhau bởi cácmạng truyền thông con, hay mạng con (subnet) Nhiệm vụ của các mạng con làtruyền tải thông điệp từ máy chủ này sang máy chủ khác

1.1.1.3Mạng đô thị (MAN)Mạng thường được thiết lập trong phạm vi một đô thị, có bán kính tối đa khoảng

100 km Kết nối với nhau thông qua đường truyền băng thông tốc độ cao ( 50 -100Mbps) Ngày nay người ta có thể dùng kỹ thuật cáp quang (Fiber optical) để truyềntín hiệu, vận tốc có thể lên tới 10Gbps

Mạng MAN có thể hỗ trợ chung vận chuyển dữ liệu và đàm thoại, hay cả truyềnhình

1.1.1.4Mạng cục bộ (LAN)Mạng cục bộ là sự kết nối của một nhóm máy tính trong một phạm vi nhất định,thường là văn phòng hoặc một tòa nhà

Mạng cục bộ thường có những đặc trưng sau:

- Ưu điểm: Thiết lập đơn giản, dễ dàng thêm bớt, dễ dàng kiểm soát và khắcphục sự cố, tận dụng tối đa tốc độ đường truyền vật lý

- Nhược điểm: Độ dài đường truyền bị giới hạn

HÌNH 2- 2: MÔ HÌNH MẠNG HÌNH SAO[1].

Trên mạng hình vòng, các tín hiệu được. truyền theo một chiều duy nhất Mỗi trạmđược kết nối với vòng thông qua một bộ chuyển tiếp có nhiệm vụ truyền nhận dữliệu đến trạm kế tiếp trên vòng Như vậy tín hiệu được lưu chuyển trên vòng theomột chuỗi các liên kết điểm – điểm.

Để tăng độ tin cậy ta có thể lắp thêm. vòng dự phòng cho mạng Nếu vòng chínhgặp sự cố thì sử dụng vòng dự phòng

Ưu điểm và nhược điểm của mạng hình vòng cũng giống như mạng hình sao, tuynhiên đòi hỏi giao thức truy nhập phức tạp hơn

HÌNH 2- 3: MÔ HÌNH MẠNG VÒNG[1].

1.1.1.7Mạng dạng BusCác thiết bị chia chung nhau. 1 đường truyền ( đường bus) Đường truyền chínhđược giới hạn 2 đầu bằng 2 đầu nối đặc biệt gọi là Terminator Mỗi trạm được nốivới trục chính qua một đầu mối chữ T ( T- connector) hoặc một thiết bị thu phát(transceive)

- Ưu điểm: Dễ thiết kế, chi phí thấp

- Nhược điểm: Tính ổn định kém, chỉ một nốt mạng hỏng là toàn bộ ngừnghoạt động

1.1.5 Phân loại theo giao thức và hệ điều hành mạng sử dụng.

Người ta phân giao thức mạng thành 2 loại: mạng ICP/IP và mạng NETBIOS.Tuy nhiên cách phân loại trên không phổ biến và chỉ áp dụng trên mạng cục bộ

1.1.1.9Mạng khách/chủ ( client/ server)

HÌNH 2- 7: MÔ HÌNH DẠNG PER TO PER[1].

Mọi máy tính trong hệ thống đều có chức năng như nhau, không có phân cấp bậc.Mỗi máy tính kiêm luôn vài trò máy phục vụ và máy khách hàng Mô hình này yêucầu mạng với quy mô nhỏ, không có tính bảo mật cao Như nhóm làm việc…

1.1.6 Phân loại theo kỹ thuật chuyển mạch

Ví dụ: địa chỉ IP của facebook.com: 31.13.95.36

Hệ thống tên miền được sắp xếp theo cấu trúc phân cấp Mức cao nhất là root (kýhiệu là “.”) Tổ chức quản lý hệ thống tên miền là The Internet Coroperation forAssigned Names and Numbers Tổ chức này quản lý mức cao nhất của hệ thống tênmiền do đó nó có thể cung cấp tên miền cho các cấp thấp hơn.

Dưới cấp root là Top – Level- Domain, bao gồm:

- com : được dùng cho mục đích thương mại

- edu : được dùng cho mục đích giáo dục

- gov : được dùng cho các tổ chức chính phủ

- mil : dùng cho các tổ chức quân sự

- org : dùng cho các tổ chức khác

- et : dùng cho các tổ chức liên quan tới mạng máy tính

- int : dùng cho các tổ chức quốc tế

- tennuoc: ví dụ vn, us, uk

HÌNH 2- 8: SƠ ĐỒ TÊN MIỀN[2].

1.1.1.12 Hoạt động của DNSGiả sử người dùng muốn truy cập vào trang www.24h.com.vn

- Đầu tiên, trình duyệt trên thiết bị người dùng gửi yêu cầu tìm kiếm với địachỉ truy cập 24h.com.vn tới máy chủ quản lý tên miền cục bộ thuộc mạngcủa nó

Máy chủ này kiểm tra cơ sở dữ liệu và ứng với tên miền đó, nó chuyển thànhđịa chỉ IP tương ứng.

- Trong trường hợp máy chủ tên miền không có cơ sỡ dự liệu về tên miền này

nó sẽ hỏi lên các máy chủ ở tên miền cao nhất (root) Máy chủ ở mức root sẽchỉ cho tên miền cục bộ địa chỉ của máy chủ quản lý tên miền có đuôi vn

- Máy chủ có đuôi vn sẽ gửi địa chỉ IP trong cơ sở dữ liệu của mình cho tênmiền cục bộ

- Máy chủ tên miền cục bộ chuyển thông tin tìm được đến người dùng

- Người sử dụng địa chỉ IP này sẽ được kết nối đến sever có địa chỉ trang web24h.com.vn

HÌNH 2- 9: CÁCH HOẠT ĐỘNG CỦA DNS[2].

1.1.8 DHCP

1.1.1.13 Giới thiệuDynamic Host Configuration Protocol. là dịch vu cho phép việc đơn giản hóa việccấp IP Các máy chủ đóng vài trò cung cấp IP tự động cho các máy con, đảm bảocác máy có thể liên lạc với nhau

Việc sử dụng DHCP đảm bảo việc cấu hình địa chỉ IP chính xác và an toàn, tránhtrùng, sai, giảm công sức quản trị.

1.1.1.14 Nguyên lý hoạt độngDHCP hoạt động dựa trên mô hình server/ client Quá trình tương tác được diễn ranhư sau:

HÌNH 2- 10: NGUYÊN LÝ HOẠT ĐỘNG DHCP[2].

- Đầu tiên, khi máy client khởi động, máy sẽ gửi Broadcast gói tin DHCPDISCOVERY, yêu cầu máy server phục vụ gói tin này chứa địa chỉ MACcủa client

- Máy server ghi nhận và kiểm tra nếu còn địa chỉ IP sẽ gửi 1 gói OFFER, kèmsubnet mark, gateway

- Máy client sẽ gửi tiếp 1 gói tin REQUEST đến máy chủ được chọn để yêucầu cấp IP

- Máy chủ được chọn sẽ gửi tin ACK kèm địa chỉ IP và các thông số cần thiết:lease duration…

- Hoàn tất quá trính xin và cấp phát IP

1.1.9 Dịch vụ web

Dịch vụ Web (HTTP) là giao thức cơ bản mà www sử dụng, xác đinh các thôngđiệp được định dạng và truyền tải ra sao

Khi muốn truy cập vào một trang web, người dùng nhập Web URL vào trình duyệtweb, HTTP truyền tải các file từ 1 web server đến trình duyệt của người dùng.HTTP sử dụng giao thực TCP/IP HTTP hoạt động ở port 80

1.1.10 VPN

VPN (Virtual Private Network) là một mạng riêng ảo, dùng để kết nối với nhiềungười dùng từ xa, hay các mạng khác thông qua kết nối thực trên mạng công cộnginternet, dùng để gửi hay nhận dữ liệu trên một đường truyền riêng ảo được thiết lập

để đảm bảo tính an toàn và bảo mật

VPN tạo ra đường ống hay đường hầm (turnel) bảo mật trao đổi riêng giữa bênnhận và bên gửi với cơ chế mã hoá dữ liệu, tương tự như kết nối Point To Point trênmạng riêng Bên gửi mã hoá che giấu dữ liệu, chỉ cung cấp thông tin về đường đi tớiđích nhanh chóng thông qua mạng internet, đó là gói dữ liệu (header)

Nếu có bị lấy đi gói dữ liệu packet trên mạng công cộng bởi hacker cũng không đọcđược nội dung Sự liên kết dữ liệu mã hoá và được đóng gói gọi là kết nối VPN.Đường kết nối VPN gọi là VPN turnel hay là đường hầm , đường ống VPN

HÌNH 2- 11: MÔ HÌNH MỘT VPN [4].

CHƯƠNG 3 CHUẨN HÓA MẠNG MÁY TÍNH, MÔ HÌNH OSI, TCP/IP

1.7 Vấn đề chuẩn hóa mạng máy tính

Sự phát triển sớm của mạng máy tính diễn ra rất hỗn loạn theo nhiều cách khácnhau Đòi hỏi cần phát triển và đề ra những tiêu chuẩn chung

Vì lý do đó, hội đồng tiêu chuẩn quốc tế là ISO đã xây dựng nên mô hình thamchiếu cho việc kết nối các hệ thống mở OSI

Có 2 loại chuẩn hóa mạng máy tính đó là:

- Các chuẩn chính thức do các tổ chức chuẩn quốc gia và quốc tế ban hành

- Các chuẩn thực tiễn do các hãng sản xuất, các tổ chức người sử dụng xâydựng

1.8 Mô hình OSI 7 lớp

1.1.11 Giới thiệu

Vấn đề không tương thích giữa các mạng máy tính khác nhau đã làm trở ngại cho

sự tương tác giữa người dùng sử dụng các mạng khác nhau

Do đó tổ chức tiêu chuẩn hóa quốc tế đã xây dựng mô hình tham chiếu cho việc kếtnối các hệ thống mở OSI (Open Systems Interconnection) Mô hình OSI

do tổ chức ISO đưa ra vào năm 1977 chia các số liệu truyền 2 hostthành 7 lớp

1.1.12 Các lớp và chức năng từng lớp

1.1.1.15 Lớp vật lýĐịnh nghĩa các thủ tục cơ, điện, quang như các loại cáp được sử dụng, các kỹ thuậtđiều chế trên đường truyền,… Nhiệm vụ của lớp vật lý là đảm bảo truyền được cácbit nhị phân qua môi trường vật lý

1.1.1.16 Lớp liên kếtĐịnh nghĩa cách thức đóng gói dữ liệu cho phù hợp với đường truyền Lớp liên kếtquy định cách thức dữ liệu truyền từ các lớp trên truy nhập vào đường truyền vật lýđồng thời thực hiện các tác vụ tương tác ở lớp cao hơn

1.1.1.17 Lớp mạngNhiệm vụ chính của lớp mạng là định tuyến đường đi tối ưu nhất từ điểm này đếnđiểm kia Thiết bị chính của lớp mạng thường là các router Lớp mạng sử dụng địachỉ phục vụ cho các tác vụ định tuyến gọi là địa chỉ logic.

1.1.1.18 Lớp giao vậnTrong khi các lớp trên chịu trách nhiệm để dữ liệu đến đích thì lớp giao vận phảiquản lý hoạt động truyền dữ liệu và thực hiện truyền dữ liệu ( host- to- host hoặcend- to- end) đảm bảo hiệu quả nhất

1.1.1.19 Lớp phiênLiên kết giữa 2 thực thể có nhu cầu trao đổi dữ liệu ( ví dụ giữa người dùng và mộtmáy tính ở xa) gọi là 1 phiên làm việc Lớp phiên chịu trách nhiệm thiết lập, duy trì,giãi phóng các session Cụ thể là xác định các thông số như tốc độ truyền, số bittrong 1 byte, kiểm tra lỗi… đảm bảo đồng bộ số liệu bằng các lệnh kiểm tra lại vàlưu trong bộ nhớ đệm Khi gặp sự cố, có thể thực hiện lại phiên làm việc

1.1.1.20 Lớp trình bàyNhiệm vụ chính của lớp trình bày là thông dịch để hai ứng dụng ở hai host đangtruyền thông có thể hiểu được nhau Ngoài ra lớp trình bày còn chứa các thư việnngười dùng, thư viện tiện ích, ví dụ như các dạng tệp, tệp nén…

1.1.1.21 Lớp ứng dụngCung cấp giao diện tương tác trực tiếp cho người dùng Là phương tiện để ngườidùng truy nhập vào môi trường OSI cũng như khai thác tài nguyên mạng

1.1.13 Quá trình truyền dữ liệu và nguyên tắc hoạt động

- Các lớp dưới cung cấp dịch vụ trực tiếp cho các lớp trên Các lớp trên sẽ gửiyêu cầu xuống lớp dưới và nhận lại kết quả, các lớp trên không cần biết hoạtđộng cụ thể xảy ra ở các lớp dưới

- Các lớp ngang hàng trên 2 host tương tác trực tiếp với nhau Tuy nhiên dữliệu trao đổi giữa hai thực thể ngang hàng này để đến đươc với nhau phảithông qua hoạt động của các lớp dưới của nó

Quá trình truyền dữ liệu trong mô hinh OSI sẽ đi từ các lớp trên xuống cáclớp dưới thông qua đường truyền vật lý tới đầu host kia và truyền ngược lại

từ lớp dưới lên các lớp trên

- Đóng gói và mở gói dữ liệu: Mỗi giao thức truyền dữ liệu của các lớp nàyđều quy định gói tin mà chúng sử dụng để đóng gói dữ liệu cần truyền cácgói này được gọi là các đơn vị thông tin (PDU)

Các PDU gồm 2 phần là header và data Header là phần quản lý thông tin củagói còn data là phần dữ liệu thật sự của gói tin

- Khi các PDU của các giao thức đi từ lớp trên xuống lớp dưới, chúng đượcđóng gói thành các data của lớp dưới và được thêm header của giao thức lớpdưới Cứ đi xuống một lớp, một header mới lại được thêm vào

- Đơn vị dữ liệu của các lớp:

• Các lớp ứng dụng, trình bày, lớp phiên: data

• Lớp vận chuyển: segment

• Lớp mạng: packet

• Lớp dữ liệu: frame

• Lớp vật lý: bit

HÌNH 3- 1: QUÁ TRÌNH TRUYỀN DỮ LIỆU CỦA MÔ HÌNH OSI[1].

- SNMP: là một ứng dụng chạy trên miền UDP, cho phép quản lý và giám sátcác thiết bị từ xa.

- SMTP: giao thức dùng phân phối thư điện tử

- Telnet: cho phép truy cập từ xa để cấu hình thiết bị

và cơ sỡ dữ liệu của hệ thống

Vấn đề bảo mật luôn là vấn đề bức thiết khi xây dựng một hệ thống mạng Khinghiên cứu một hệ thống mạng chúng ta cần kiểm soát vấn đề bảo mật ở các mức

độ sau:

- Mức mạng: ngăn chặn kẻ xâm nhập bất hợp pháp vào hệ thống mạng

- Mức server: ngăn quyền truy nhập, các cơ chế bảo mật, quá trình nhận dạngngười dùng, phân quyền truy cập, cho phép các tác vụ

- Mức cơ sở dữ liệu: kiểm soát ai, kiểm soát thế nào, với mỗi cơ sở dữ liệu

- Mức mật mã: mã hóa toàn bộ file dữ liệu theo một phương thức nào đó vàchỉ cho phép người có quyền hạn mới có thể sử dụng được dữ liệu

Một hệ thống được thiết lập từ 3 hệ thống sau:

- Hệ thống thông tin quản lý

- Hệ thống trợ giúp quyết định

- Hệ thống thông tin tác nghiệp

Trong đó hệ thống quản lý thông tin đóng vai trò trung gian với chức năngthu thập , xử lý, truyền tin

1.1.17 Các yếu tố cần quan tâm

- Còn người: Khi nghiên cứu đến vấn đề bảo mật cần quan tâm xem ai thamgia vào hệ thống mạng, và vai trò của người đó trong hệ thống

- Kiến trúc mạng: Nhu cầu sử dụng, hạ tầng, mức độ bảo mật là những yếu tốrất quan trọng khi thiết kế một hệ thống mạng.

- Phần cứng, phần mềm: tác dụng, mức độ bảo mật, tính tương thích giữa phầncứng và phần mềm là yếu tố rất quan trọng, góp phần lớn trong việc xâydựng nên hệ thống bảo mật an toàn

1.1.18 Các yếu tố cần được bảo vệ

- Dữ liệu: bao gồm tất các dữ liệu người dùng, dữ liệu hệ thống…

- Quyền truy nhập hay quản trị hệ thống: đảm bảo những người không có thẩmquyền truy nhập vào hệ thống với tất cả mục đích

- Bảo vệ tài nguyên sử dụng mạng: đảm bảo hệ thống hoạt động tốt, bảo vệquyền lợi người sử dụng mạng

1.11 Các mức độ bảo mật

HÌNH 4- 1:CÁC MỨC ĐỘ BẢO MẬT[4].

1.1.19 Quyền truy cập

Đây là lớp bảo vệ sâu nhất nhằm kiểm soát tài nguyên mạng, kiểm soát ở mức độfile và quyền hạn của người sử dụng do nhà quản trị quyết định: only read, onlywrite…

1.1.20 Đăng nhập, mật khẩu

Đây là lớp bảo vệ truy nhập thông tin. ở mức độ hệ thống, múc độ này rất phổ biến

vì ít tốn kém và dễ sử dụng Nhà quản trị cung cấp cho mỗi người dụng mộtusename/password, và kiểm soát thông qua tài khoảng đó Mỗi lần muốn truy nhậpngười sử dụng chỉ cần nhập. usename/password hệ thống thấy hợp lệ sẽ cho phépquyền truy cập

1.1.21 Mã hóa dữ liệu

Người ta thực hiện mã hóa dữ liệu ở bên phát theo một cách nào đó, khi nhận được

dữ liệu bên thu sẽ giãi mã chính xác bằng cách sử dụng khóa mã hóa do bên phátcung cấp

1.1.22 Bảo vệ vật lý

Đây là lớp bảo vệ bên ngoài, ví dụ như nghiêm cấm các hành vi đến trạm máy bằngcác biện pháp dùng ổ khóa hay cài đặt báo động khi có xậm nhập đến trạm máy.Một cách khác, có thể quan lý người dùng bằng cách chỉ được phép truy nhập khi

sử dụng mạng local của công ty

1.1.23 Tường lửa ( Firewall)

Sử dụng phần mền hoặc phần cứng ngăn chặn xâm nhập bất hợp pháp trong hệthống mạng, ngoài ra tường lửa có thể lọc các gói tin và cho phép gửi đi hoặc nhậnvào Phương pháp này được dùng nhiều trong mạng liên internet

CHƯƠNG 5 HỆ THỐNG IDS (INSTRUSION DETECTION SYSTEM) VÀ

IPS ( INSTRUSION PREVENTION SYSTEM)1.12 Giới thiệu

1.1.24 Hệ thống phát hiện xâm nhập IDS