(NB) Giáo trình An toàn mạng cung cấp cho người học những kiến thức như: Tổng quan về bảo mật và an toàn, mã hóa thông tin, NAT (network address translation), bảo vệ mạng bằng tường lửa, danh sách điều khiển truy cập;...Mời các bạn cùng tham khảo!
UBND TỈNH HẢI PHỊNG TRƯỜNG CĐ CƠNG NGHIỆP HẢI PHỊNG GIÁO TRÌNH Tên mơ đun: AN TỒN MẠNG NGHỀ: QUẢN TRỊ MẠNG Hải Phòng, năm 2020 TUYÊN BỐ BẢN QUYỀN Tài liệu thuộc loại sách giáo trình nên nguồn thơng tin phép dùng ngun trích dùng cho mục đích đào tạo tham khảo Giáo trình lưu hành nội LỜI GIỚI THIỆU Để thực biên soạn giáo trình đào tạo nghề Quản trị mạng trình độ Trung cấp Nghề, giáo trình Mạch điện tử giáo trình mơn học đào tạo chun ngành biên soạn theo nội dung chương trình tạo trường Cao đẳng Nghề Công nghệ Việt – Hàn Bắc Gian Nội dung biên soạn ngắn gọn, dễ hiểu, tích hợp kiến thức kỹ chặt chẽ với nhau, logíc Khi biên soạn, tác giả cố gắng cập nhật kiến thức có liên quan đến nội dung chương trình đào tạo phù hợp với mục tiêu đào tạo, nội dung lý thuyết thực hành biên soạn gắn với nhu cầu thực tế sản xuất đồng thời có tính thực tiển cao Nội dung giáo trình biên soạn với dung lượng thời gian đào tạo Trong trình sử dụng giáo trình, tuỳ theo yêu cầu khoa học công nghệ phát triển điều chỉnh thời gian bổ sung kiên thức cho phù hợp Trong giáo trình, chúng tơi có đề nội dung thực tập để người học cố áp dụng kiến thức phù hợp với kỹ Tuy nhiên, tùy theo điều kiện sở vật chất trang thiết bị, trường có thề sử dụng cho phù hợp Mặc dù cố gắng tổ chức biên soạn để đáp ứng mục tiêu đào tạo không tránh khiếm khuyết Rất mong nhận đóng góp ý kiến thầy, giáo, bạn đọc để nhóm biên soạn hiệu chỉnh hồn thiện Tổ môn Tin học Chương 1: TỔNG QUAN VỀ BẢO MẬT VÀ AN TOÀN MẠNG Các khái niệm chung 1.1 Đối tượng công mạng (Intruder) - Là cá nhân tổ chức sử dụng kiến thức mạng công cụ phá hoại (phần mềm phần cứng) để dị tìm điểm yếu, lỗ hổng bảo mật hệ thống, thực hoạt động xâm nhập chiếm đoạt tài nguyên mạng trái phép Một số đối tượng công mạng là: - Hacker: Là kẻ xâm nhập vào mạng trái phép cách sử dụng công cụ phá mật khai thác điểm yếu thành phần truy nhập hệ thống - Masquerader: Là kẻ giả mạo thông tin mạng Một số hình thức giả mạo như: Giả mạo địa IP, tên miền, định danh người dùng… - Eavesdropping: Là đối tượng nghe trộm thông tin mạng, sử dụng cơng cụ sniffer, sau dùng cơng cụ phân tích debug để lấy thơng tin có giá trị Những đối tượng cơng mạng nhằm nhiều mục đích khác như: ăn cắp thơng tin có giá trị kinh tế, phá hoạt hệ thống mạng có chủ định hành động vơ ý thức, thử nghiệm chương trình khơng kiểm tra cẩn thận… 1.2 Lỗ hổng bảo mật Các lỗ hổng bảo mật điểm yếu hệ thống ẩn chứa dịch vụ mà dựa vào kẻ cơng xâm nhập trái phép để thực hành động phá hoại chiếm đoạt tài nguyên bất hợp pháp Nguyên nhân gây lỗ hổng bảo mật khác nhau: lỗi thân hệ thống, phần mềm cung cấp người quản trị yếu không hiểu sâu sắc dịch vụ cung cấp… Mức độ ảnh hưởng lỗ hổng khác Có lỗ hổng ảnh hưởng tới chất lượng dịch vụ cung cấp, có lỗ hổng ảnh hưởng nghiêm trọng tới toàn hệ thống Nhu cầu bảo vệ thông tin Mục tiêu: - Trình bày nhu cầu cần bảo vệ hệ thống mạng 2.1 Nguyên nhân Tài nguyên mà nói đến liệu Đối với liệu, cần quan tâm yếu tố sau: 2.2 Bảo vệ liệu Những thông tin lưu trữ hệ thống máy tính cần bảo vệ yêu cầu sau: - Bảo mật: Những thơng tin có giá trị kinh tế, qn sự, sách… cần bảo vệ khơng lộ thơng tin bên ngồi - Tính tồn vẹn: Thơng tin không bị mát sửa đổi, đánh tráo - Tính kịp thời: u cầu truy cập thơng tin vào thời điểm cần thiết 2.3 Bảo vệ tài nguyên sử dụng mạng Trên thực tế, công Internet, kẻ công sau làm chủ hệ thống bên trong, sử dụng máy để phục vụ cho mục đích chạy chương trình dị mật người sử dụng, sử dụng liên kết mạng sẵn có để tiếp tục cơng hệ thống khác 2.4 Bảo vệ danh tiếng quan Một phần lớn công không thông báo rộng rãi, nguyên nhân nỗi lo bị uy tín quan, đặc biệt công ty lớn quan quan trọng máy nhà nước Trong trường hợp người quản trị hệ thống biết đến sau hệ thống dùng làm bàn đạp để cơng hệ thống khác, tổn thất uy tín lớn để lại hậu lâu dài Câu hỏi, tập: Câu 1: Trình bày đối tượng cơng hệ thống mạng Câu 2: Đối với liệu, cần quan tâm yếu tố nào? Chương 2: Mà HÓA THÔNG TIN Mục tiêu: - Liệt kê phân biệt kiểu mã hóa liệu - Áp dụng việc mã hóa giải mã với số phương pháp - Mô tả hạ tầng ứng dụng khóa cơng khai - Thực thao tác an tồn với máy tính Cơ mã hóa (Cryptography) Mục tiêu: - Trình bày nhu cầu sử dụng mã hóa - Mơ tả q trình mã hóa giải mã Những điều mã hóa Khi bắt đầu tìm hiểu mã hóa, thường đặt câu hỏi chẳng hạn như: Tại cần phải sử dụng mã hóa? Tại lại có q nhiều thuật tốn mã hóa? 1.1 Tại cần phải sử dụng mã hóa Thuật toán Cryptography đề cập tới ngành khoa học nghiên cứu mã hóa giải mã thơng tin Cụ thể nghiên cứu cách thức chuyển đổi thông tin từ dạng rõ (clear text) sang dạng mờ (cipher text) ngược lại Đây phương pháp hỗ trợ tốt việc chống lại truy cập bất hợp pháp tới liệu truyền mạng, áp dụng mã hóa khiến cho nội dung không tin truyền dạng mờ đọc cố tình muốn lấy thơng tin 1.2 Nhu cầu sử dụng kỹ thuật mã hóa Khơng phải hay ứng dụng phải mã hóa Nhu cầu sử dụng mã hóa xuất bên tham gia trao đổi thông tin muốn bảo vệ tài liệu quan trọng là: tài liệu quân sự, tài chính, kinh doanh đơn giản thơng tin mang tính riêng tư Như biết Internet hình thành phát triển từ yêu cầu từ phủ Mỹ nhằm phục vụ cho mục đích quân Khi tham gia trao đổi thơng tin mơi trường Internet mơi trường khơng an tồn, đầy rủi ro nguy hiểm, khơng có đảm bảo thơng tin mà truyền không bị đọc trộm đường truyền Tại lại có q nhiều thuật tốn mã hóa? Hệ thống mã hóa giải vấn đề thơng qua khóa (key) yếu tố có liên quan tách rời khỏi thuật toán mã hóa thuật tốn cơng khai tính an tồn mã hóa phụ thuộc vào khóa Khóa giá trị chữ số Nói đến mã hóa tức nói đến việc che dấu thơng tin cách sử dụng thuật tốn Che dấu làm thông tin biến mà cách thức chuyển từ dạng tỏ sang dạng mờ Một thuật toán tập hợp câu lệnh mà theo chương trình phải biết làm để xáo trộn hay phục hồi lại liệu Chẳng hạn thuật toán đơn giản mã hóa thơng điệp cần gửi sau: Bước 1: Thay toàn chữ "e" thành số "3" Bước 2: Thay toàn chữ "a" thành số "4" Bước 3: Đảo ngược thông điệp Trên ví dụ đơn giản mơ cách làm việc thuật tốn mã hóa Sau thuật ngữ giúp nắm khái niệm: Sender/Receiver: Người gửi/Người nhận liệu - Plaintext (Cleartext): Thông tin trước mã hoá Đây liệu ban đầu dạng rõ - Ciphertext: Thơng tin, liệu mã hố dạng mờ - Key: Thành phần quan trọng việc mã hoá giải mã - CryptoGraphic Algorithm: Là thuật toán sử dụng việc mã hoá giải mã thông tin - CryptoSystem: Hệ thống mã hoá bao gồm thuật toán mã hoá, khoá, Plaintext, Ciphertext Kí hiệu chung: P thơng tin ban đầu, trước mã hoá E() thuật toán mã hoá D() thuật tốn giải mã C thơng tin mã hố K khố 1.3 Q trình mã hố giải mã sau: - Q trình mã hố mơ tả cơng thức: EK(P)=C - Q trình giải mã mô tả công thức: DK(C)=P Độ an tồn thuật tốn Tại thời điểm, độ an tồn thuật tốn phụ thuộc: - Nếu chi phí hay phí tổn cần thiết để phá vỡ thuật tốn lớn giá trị thơng tin mã hóa thuật tốn thuật tốn tạm thời coi an toàn - Nếu thời gian cần thiết dùng để phá vỡ thuật toán q lâu thuật tốn tạm thời coi an toàn - Nếu lượng liệu cần thiết để phá vỡ thuật toán lơn so với lượng liệu mã hố thuật tốn tạm thời coi an tồn Phân loại thuật tốn mã hố Có nhiều thuật toán mã hoá khác Từ thuật tốn cơng khai để người sử dụng áp dụng chuẩn chung cho việc mã hoá liệu; đến thuật toán mã hoá khơng cơng bố Có thể phân loại thuật toán mã hoá sau: Phân loại theo phương pháp: - Mã hoá cổ điển (Classical cryptography) - Mã hoá đối xứng (Symetric cryptography) - Mã hoá bất đối xứng(Asymetric cryptography) - Hàm băm (Hash function) Phân loại theo số lượng khố: - Mã hố khố bí mật (Private-key Cryptography) - Mã hố khố cơng khai (Public-key Cryptography) 3.1 Mã hoá cổ điển: - Mã hoá thay (Substitution Cipher): Là phương pháp mà kí tự (hay nhóm kí tự) rõ (Plaintext) thay kí tự (hay nhóm kí tự) khác để tạo mờ (Ciphertext) Bên nhận cần đảo ngược trình tự thay Ciphertext để có Plaintext ban đầu Mã hóa thay chọn hốn vị p: Z26Z26 làm khóa Ví dụ: Mã hóa ep(a)=X A B C D E F G H I J K L M d l r y v o h e z x w p t n S o F p L q R r C s V t M u U v E w K x J y D z I Giải mã dp(A)=d A B C D d l r y E v F o G h H e I z J x K w L p M t N O P Q R S b g f j q n Clear Text: "chuvanluong" Cipher Text: "YGUEXBUFSH" T m U u V s W k X a Y c Z i - Mã hoá hoán vị (Transposition Cipher): Mã hóa hốn vị chuyển đổi vị trí thân chữ văn gốc khối m chữ cái: Mã hóa: e (x1,…,xm)=(x (1),…,x (m)) Giải mã: d (y1,…,ym)=(y '(1),…,y '(m)) Trong đó: : Z26 Z26 hoán vị ':= -1 nghịch đảo Hoán vị: x (x) x 6 -1 (x) "shesellsseashellsbytheseashore" shesel | lsseas | hellsb | ythese | ashore EESLSH | SALSES | LSHBLE | HSYEET | HRAEOS "EESLSHSALSESLSHBLEHSYEETHRAEOS" - Mã hóa Caesar Chú ý: hàm mã hóa Ek(x)=(x+k) mod n Hàm giải mã Dk(x)=(x-k) mod n Bảng mã Caesar A B C D E F G N 13 O 14 P 15 Q 16 R 17 S 18 T 19 H I J U 20 V 21 K 10 L 11 M 12 W 22 X 23 Y 24 Z 25 - Mã hóa Affine Mã hóa: Ek(x)=(a*x+b) mod n Giải mã: Dk(x)=a*(y-b) mod n - Mã hóa Vigenere Ek(x)=(x1+k1,x2+k2,…,xm+km)mod n Dk(x)=(y1-k1,y2-k2,…,ym-km) mod n 3.2 Mã hoá đối xứng: Ở phần trên, tìm hiểu mã hố cổ điển, có nói mã hố cổ điển khơng dùng khố Nhưng thực phân tích cách tổng quát, thấy sau: - Mã hố cổ điển có sử dụng khố Bằng chứng phương pháp Ceaser Cipher khố phép dịch ký tự, mà cụ thể phép dịch ký tự Trong phương pháp mã hoá hoán vị khóa nằm số hàng hay số cột mà qui định Khố thay đổi tuỳ theo mục đích mã hố chúng ta, phải nằm phạm vi cho phép - Để dùng mã hố cổ điển bên mã hố bên giải mã phải thống với chế mã hoá giải mã Nếu khơng có cơng việc hai bên khơng thể làm việc với Mã hố đối xứng cịn có số tên gọi khác Secret Key Cryptography (hay Private Key Cryptography), sử dụng khoá cho hai trình mã hố giải mã Q trình thực sau: Trong hệ thống mã hoá đối xứng, trước truyền liệu, bên gửi nhận phải thoả thuận khố dùng chung cho q trình mã hố giải mã Sau đó, bên gửi mã hố rõ (Plaintext) cách sử dụng khố bí mật gửi thơng điệp mã hố cho bên nhận Bên nhận sau nhận thông điệp mã hố sử dụng khố bí mật mà hai bên thoả thuận để giải mã lấy lại rõ (Plaintext) Mã hố đối xứng phân thành 02 loại: - Loại thứ tác động rõ theo nhóm bits Từng nhóm bits gọi với tên khác khối (Block) thuật toán áp dụng gọi Block Cipher Theo đó, khối liệu văn ban đầu thay khối liệu khác có độ dài Đối với thuật tốn ngày kích thước chung Block 64 bits - Loại thứ hai tác động lên rõ theo bit Các thuật toán áp dụng gọi Stream Cipher Theo đó, liệu văn mã hoá bit Các thuật tốn mã hố dịng có tốc độ nhanh thuật tốn mã hố khối thường áp dụng lượng liệu cần mã hoá chưa biết trước Một số thuật toán tiếng mã hoá đối xứng là: DES, Triple DES(3DES), RC4, AES… C = EK3(DK2(EK1(P))) P = DK1(EK2(DK3(C))) 3.3 Mã hoá bất đối xứng: Hay gọi với tên khác mã hố khố cơng khai (Public Key Cryptography), thiết kế cho khố sử dụng q trình mã hố khác biệt với khố sử dụng q trình giải mã Hơn nữa, khố sử dụng q trình giải mã khơng thể tính tốn hay luận từ khố dùng để mã hoá ngược lại, tức hai khoá có quan hệ với mặt tốn học khơng thể suy diễn Thuật tốn gọi mã hố cơng khai khố dùng cho việc mã hố cơng khai cho tất người Một người dùng khoá để mã hoá liệu người mà có khố giải mã tương ứng đọc liệu mà thơi Do thuật tốn có loại khố: Khố để mã hoá gọi Public Key, khoá để giải mã gọi Private Key - Bên gửi u cầu cung cấp tự tìm khố cơng khai bên nhận server chịu trách nhiệm quản lý khố - Sau hai bên thống thuật toán dùng để mã hoá liệu, bên gửi sử dụng khố cơng khai bên nhận với thuật tốn thống để mã hố thơng tin gửi - Khi nhận thông tin mã hố, bên nhận sử dụng khố bí mật để giải mã lấy thông tin ban đầu Một số thuật tốn mã hố cơng khai tiếng: Diffle-Hellman, RSA,… 3.4 Hệ thống mã hoá khoá lai (Hybrid Cryptosystems): Dưới mơ hình hệ thống mã hố lai: Nhìn vào mơ hình hình dung hoạt động hệ thống mã hố sau: - Bên gửi tạo khoá bí mật dùng để mã hố liệu Khố cịn gọi Session Key - Sau đó, Session Key lại mã hố khố cơng khai bên nhận liệu - Tiếp theo liệu mã hoá với Session Key mã hoá gửi tới bên nhận - Lúc bên nhận dùng khố riêng để giải mã Session Key có Session Key ban đầu - Dùng Session Key sau giải mã để giải mã liệu Một số ứng dụng mã hoá Security Một số ứng dụng mã hoá đời sống ngày nói chung lĩnh vực bảo mật nói riêng Đó là: - Securing Email - Authentication System 10 4.3 Internet Firwall 4.3.1 Định nghĩa Firewall kỹ thuật tích hợp vào hệ thống mạng để chống truy cập trái phép nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập vào hệ thống nhằm mục đích phá hoại, gây tổn thất cho tổ chức, doanh nghiệp 4.3.2 Những chức firewall Về firewall có khả thực nhiệm vụ sau đây: - Quản lý điều khiển luồng liệu mạng - Xác thực quyền truy cập - Hoạt động thiết bị trung gian - Bảo vệ tài nguyên - Ghi nhận báo cáo kiện 4.3.3 Phân loại firewall 17 2.2.2 Các công nghệ firewall Dựa vào công nghệ sử dụng firewall người ta chia firewall thành loại sau: - Personal firewalls + Packet filters - Network Address Translations (NAT) firewalls + Circuit-level firewalls + Proxy firewalls + Stateful firewalls + Transparent firewall + Virtual firewalls 4.3.3 Kiến trúc Firewall Kiến trúc Dual – homed Host Ưu điểm Dual-homed host: – Cài đặt dễ dàng, không yêu cầu phần cứng phần mềm đặc biệt – Dual-homed host yêu cầu cấm khả chuyển gói tin, hệ điều hành linux cần cấu hình lại nhân hệ điều hành đủ Nhược điểm Dual-homed host: – Không đáp ứng yêu cầu bảo mật ngày phức tạp, phần mềm tung thị trường – Khơng có khả chống đỡ công nhằm vào thân dual-homed host, dual-homed host bị đột nhập trở thành nơi lý tưởng 18 để công vào mạng nội bộ, người cơng (attacker) thấy tồn lưu lượng mạng Kiến trúc Screened Host Kiến trúc Screened Subnet Host Ưu điểm Screened Subnet Host: – Kẻ công cần phá vỡ ba tầng bảo vệ: Router ngồi, Bastion Host Router – Bởi router quảng bá Bastion host tới internet nên hệ thống mạng nội khơng thể nhìn thấy (invisible) Chỉ có số hệ thống chọn DMZ biết đến Internet qua routing table DNS information exchange (Domain Name Server) – Bởi router quảng bá Bastion host tới mạng nội nên hệ thống bên mạng nội truy cập trực tiếp tới Internet Điều đảm bảo user bên bắt buộc phải truy cập qua Internet qua dịch vụ Proxy – Đối với hệ thống yêu cầu cung cấp dịch vụ nhanh an toàn cho nhiều người sử dụng đồng thời nâng cao khả theo dõi lưu thông người sử dụng hệ thống liệu trao đổi người dùng hệ thống cần bảo vệ kiến trúc phù hợp – Để tăng độ an toàn internal network, kiến trúc Screened Subnet Host sử dụng thêm dạng ngoại vi (perimeter network) để che phần lưu thông bên internal network, tách biệt internal network với internet Ngồi ra, cịn có kiến trúc biến thể khác sử dụng nhiều Bastion host, ghép chung router router ngoài, ghép chung Bastion host router Sử dụng nhiều Bastion Host Kiến trúc ghép chung router router ngoài Kiến trúc ghép chung Bastion host router ngoài 4.3.4 Các thành phần Firewall chế hoạt động Một firewall bao gồm nhiều thành phần sau đây: Packet Filtering – Bộ lọc gói tin Application Gateway – Cổng ứng dụng Circuit Level Gate – Cổng mạch 4.3.4.1 Bộ lọc Paket ( Paket filtering router) Nguyên lý hoạt động Bộ lọc gói tin cho phép hay từ chối packet mà nhận Nó kiểm tra tồn đoạn liệu để định xem đoạn liệu có thỏa mãn số rules 19 hay không Các rules dựa thông tin packet header bao gồm thông tin sau: Địa IP nguồn (IP Source Address). Địa IP đích (IP Destination Address). Protocol (TCP, UDP, ICMP, IP tunnel) TCP/UDP source port TCP/UDP destination port Dạng thông báo ICMP (ICMP message type) Cổng gói tin đến (Incomming interface of packet) Cổng gói tin (Outcomming interface of packet) Packet filtering router Ưu điềm nhược điểm Ưu điểm: – Đa số hệ thống firewall sử dụng lọc gói tin Một ưu điểm phương pháp dùng lọc gói chi phí thấp chế lọc gói có sẵn router – Ngồi ra, lọc gói suốt người sử dụng ứng dụng khơng u cầu người sử dụng phải thao tác Nhược điểm: – Việc định nghĩa chế độ lọc gói việc phức tạp, địi hỏi người quản trị mạng cần có hiểu biết chi tiết dịch vụ internet, dạng packet header Khi yêu cầu lọc gói tin lớn, rules trở nên phức tạp khó quản lý điều khiển – Do làm việc dựa header packet nên lọc không kiểm sốt nội dung thơng tin packet Các packet chuyển qua mang theo hành động với ý đồ ăn cắp thông tin hay phá hoại kẻ xấu 4.3.4.2 Cổng ứng dụng (Application- Level Getway) Nguyên lý hoạt động Ưu điểm nhược điểm 4.3.4.3 Cổng vòng (Circult-level Getway) 20 4.3.5 Những hạn chế Firewall - Firewall bảo vệ chống lại công bỏ qua tường lửa Ví dụ hệ thống bên có khả dial-out kết nối với ISP mạng LAN bên cung cấp modem pool có khả dial-in cho nhân viên di động hay kiểu công dạng social engineering nhắm đếm đối tượng người dùng mạng - Firewall không bảo vệ chống lại đe dọa từ bên nội ví dụ nhân viên cố ý nhân viên vơ tình hợp tác với kẻ cơng bên ngồi - Firewall khơng thể bảo vệ chống lại việc chuyển giao chương trình bị nhiễm virus tâp tin Bởi đa dạng hệ điều hành ứng dụng hỗ trợ từ bên nội Sẽ khơng thực có lẽ khơng thể cho firewall quét tập tin gởi đến, email… nhằm phát virus 4.3.6 Các ví dụ Firewall 4.3.6.1 Packet- Filtering router (Bộ trung chuyển có lọc gói) 4.3.6.2 Screened host firewall 4.3.6.3 Demilitarized Zone (DMZ – khu vực phi quân sự) Thực hành: Bài tập 1: Packet- Filtering router (Bộ trung chuyển có lọc gói) Bài tập 2: Demilitarized Zone (DMZ – khu vực phi quân sự) Kiểm tra số Chương 5: DANH SÁCH ĐIỀU KHIỂN TRUY CẬP 5.1 Định nghĩa danh sách truy cập Danh sách truy cập phát biểu dùng để đặc tả điều kiện mà nhà quản trị muốn thiết đặt, nhờ router xử lý truyền tải mô tả danh sách truy cập theo cách thức khơng bình thường Danh sách truy cập đưa vào điều khiển cho việc xử lý gói tin đặc biệt theo cách thức Có hai loại danh sách truy cập là: Danh sách truy cập chuẩn (standard access list): Danh sách sử dụng cho việc kiểm tra địa gởi gói tin chọn đường Kết cho phép hay từ chối gởi cho giao thức dựa địa mạng/mạng hay địa máy Ví dụ: Các gói tin đến từ giao diện E0 kiểm tra địa giao thức Nếu phép, gói tin chuyển giao diện S0 nhóm danh sách truy cập Nếu gói tin bị từ chối danh sách truy cập, tất gói tin chủng loại bị xóa 21 Danh sách truy cập mở rộng (Extended access list): Danh sách truy cập mở rộng kiểm tra cho địa gởi nhận gói tin Nó kiểm tra cho giao thức cụ thể, số hiệu cổng tham số khác Điều cho phép nhà quản trị mạng mềm dẻo việc mơ tả muốn danh sách truy cập kiểm tra Các gói tin phép từ chối gởi tùy thuộc vào gói tin xuất phát từ đâu đến đâu 5.2 Nguyên tắc hoạt động Danh sách truy cập Danh sách truy cập diễn tả tập hợp qui luật cho phép đưa vào điều khiển gói tin vào giao diện router, gói tin lưu lại tạm thời router gói tin gởi giao diện router Danh sách truy cập khơng có tác dụng gói tin xuất phát từ router xét Khởi đầu tiến trình giống khơng phân biệt có sử dụng danh sách truy cập hay khơng: Khi gói tin vào giao diện, router kiểm tra để xác định xem chuyển gói tin hay khơng Nếu khơng được, gói tin bị xóa Một mục từ bảng chọn đường thể cho đích đến mạng với chiều dài đường đến đích giao diện router hướng đích đến Kế tiếp router kiểm tra để xác định xem giao diện hướng đến đích đến có danh sách truy cập khơng Nếu khơng, gói tin gởi vùng đệm cho ngỏ tương ứng, mà không bị danh sách truy cập chi phối Giả sử giao diện nhận đặt danh sách truy cập mở rộng Nhà quản trị mạng sử dụng biểu thức luận lý, xác để thiết lập danh sách truy cập Trước gói tin đưa đến giao diện ra, phải kiểm tra tập quy tắc định nghĩa danh sách truy cập gán cho giao diện 22 5.3 Tổng quan lệnh Danh sách truy cập Trong thực tế, lệnh danh sách truy cập chuỗi với nhiều ký tự Danh sách truy cập phức tạp để nhập vào hay thông dịch Tuy nhiên đơn giản hóa lệnh cấu hình danh sách truy cập cách đưa chúng hai loại tổng quát sau: Loại 1: Bao gồm lệnh để xử lý vấn đề tổng quát, cú pháp mô tả sau: access-list access-list- number {permit|deny} {test conditions} access-list: từ khóa bắt buộc access-list-number: Lệnh tổng thể dùng để nhận dạng danh sách truy cập, thông thường số Con số biểu thị cho loại danh sách truy cập Thuật ngữ cho phép (permit) hay từ chối (deny) lệnh danh sách truy cập tổng quát biểu thị cách thức mà gói tin khớp với điều kiện kiểm tra xử lý hệ điều hành router Cho phép thơng thường có nghĩa gói tin phép sử dụng hay nhiều giao diện mà bạn mô tả sau test conditions: Thuật ngữ cuối mô tả điều kiện kiểm tra dùng lệnh danh sách truy cập Một bước kiểm tra đơn giản việc kiểm tra địa nguồn Tuy nhiên thông thường điều kiện kiểm tra mở rộng để chứa đựng vài điều kiện kiểm tra khác Sử dụng lệnh danh sách truy cập tổng quát với số nhận dạng để chồng nhiều điều kiện kiểm tra vào chuỗi luận lý danh sách kiểm tra Loại 2: Xử lý danh sách truy cập sử dụng lệnh giao diện Cú pháp sau: {protocol} access-group access-list-number Với: Protocol: giao thức áp dụng danh sách truy cập Access-group: từ khóa Access-list-number: Số hiệu nhận dạng danh sách truy cập định nghĩa trước 23 Tất lệnh danh sách truy cập nhận dạng số tương ứng với nhiều giao diện Bất kỳ gói tin mà chúng vượt qua điều kiện kiểm tra danh sách truy cập gán phép sử dụng giao diện nhóm giao diện phép Chương 6: VIRUS VÀ CÁCH PHÒNG CHỐNG 6.1 Giới thiệu tổng quan virus 6.1.1 Virus máy tính gì? Virus máy tính chương trình hay đoạn mãĐược tạo cách cố ý.Có khả tự nhân Gây tác động không mong muốn làm ảnh hưởng tới công việc 6.1.2 Lịch sử phát triển virus máy tính Năm 1949: John von Neuman (1903-1957) phát triển tảng lý thuyết tự nhân chương trình cho máy tính Vào cuối thập niên 1960 đầu thập niên 1970 xuất máy Univax 1108 chương trình gọi "Pervading Animal" tự nối với phần sau tập tin tự hành Lúc chưa có khái niệm virus Năm 1981: Các virus xuất hệ điều hành máy tính Apple II Fred Cohen Năm 1983: Tại Đại Học miền Nam California, Hoa Kỳ, Fred Cohen lần đầu đưa khái niệm computer virus định nghĩa ngày nay 1986 - Brain virus 1987 - Lehigh virus xuất Trong thời gian có số virus khác xuất hiện, đặc biệt WORM virus (sâu virus) 1988 - Virus lây mạng Ngày tháng 11 năm 1988, Robert Morris đưa virus vào mạng máy tính quan trọng Mỹ, gây thiệt hại lớn Từ trở người ta bắt đầu nhận thức tính nguy hại virus máy tính Robert Morris Morris 1989 - AIDS TrojanXuất Trojan hay gọi "con ngựa thành Troie", chúng virus máy tính, ln với khái niệm virus 1991 - Tequila virus Đây loại virus mà giới chuyên môn gọi virus đa hình, đánh dấu bước ngoặt chiến thiện ác hệ thống máy tính. 24 1992 - Michelangelo virus Tiếp nối đáng sợ "virus đa hình" năm 1991, cơng cụ năm 92 tạo thêm sức mạnh cho loại virus máy tính cách tạo đa hình phức tạp. 1995 - Concept virus Sau gần 10 năm kể từ ngày virus máy tính xuất hiện, loại virus có nguyên lý hoạt động gần thay đổi hoàn toàn so với tiền bối nó. 1996 - Boza virus Khi hãng Microsoft chuyển sang hệ điều hành Windows95 họ cho virus khơng thể cơng phá thành trì họ được, năm 1996 xuất virus lây hệ điều hành Windows95 1999 - Melissa, Bubbleboy virus Đây thật ác mộng với máy tính khắp giới. 2000 - DDoS, Love Letter virus Có thể coi vụ việc virus phá hoại lớn từ trước đến thời điểm đó. 2001 - Winux Windows/Linux Virus, Nimda, Code Red virus Winux Windows/Linux Virus đánh dấu virus lây hệ điều hành Linux không Windows. 2002 - Sự đời hàng loạt loại virus mới 2003 - Các virus khai thác lỗ hổng phần mềm Năm 2003 mở đầu thời kỳ phát triển mạnh mẽ virus khai thác lỗ hổng phần mềm để cài đặt, lây nhiễm lên máy tính từ xa - xu hướng phát triển virus giới 2004 - Cuộc chạy đua Skynet Beagle Đây họ Virus xuất Đức 2005 - Sự xuất virus lây qua dịch vụ chatting 6.1.3 Đặc điểm virus máy tính Khơng thể tồn độc lập mà phải dựa vào ứng dụng đó. Tự nhân ứng dụng chủ kích hoạt. Có thời kỳ nằm chờ (giống ủ bệnh) Trong thời gian không gây hậu quả. Sau thời kỳ “nằm vùng” bắt đầu phát tác. 6.1.4 Hình thức thể virus Các ứng dụng máy bất ngờ từ từ chạy chậm lại. Những biến đổi lý giải dung lượng ứng dụng file có EXE, COM, BAT, SYS, OVL. Những động thái bất thường máy tính, bạn chạy chương trình mà bình thường khơng có vấn đề gì. 25 Một chương trình khơng thể cài xác liệu từ đĩa nguồn 6.2 Cách thức lây lan phân loại virus 6.2.1 Cách thức lây lan virus Virus lây nhiễm theo cách cổ điển:Cách cổ điển lây nhiễm, bành trướng loai virus máy tính thơng qua thiết bị lưu trữ di động: Trước đĩa mềm đĩa CD chứa chương trình thường phương tiện bị lợi dụng nhiều để phát tán Ngày đĩa mềm sử dụng phương thức lây nhiễm chuyển qua ổ USB, đĩa cứng di động thiết bị giải trí kỹ thuật số. Virus lây nhiễm qua thư điện tử: Khi mà thư điện tử (e-mail) sử dụng rộng rãi giới virus chuyển hướng sang lây nhiễm thông qua thư điện tử thay cho cách lây nhiễm truyền thống Virus lây nhiễm vào file đính kèm theo thư điện tử (attached mail) Lây nhiễm mở liên kết thư điện tử Các liên kết thư điện tử dẫn đến trang web cài sẵn virus, cách thường khai thác lỗ hổng trình duyệt hệ điều hành Một cách khác, liên kết dẫn tới việc thực thi đoạn mã, máy tính bị bị lây nhiễm virus. Lây nhiễm mở để xem thư điện tử: Cách vô nguy hiểm chưa cần kích hoạt file mở liên kết, máy tính bị lây nhiễm virus Cách thường khai thác lỗi hệ điều hành. Virus lây nhiễm qua mạng Internet : Virus lây nhiễm truy cập trang web cài đặt virus (theo cách vô tình cố ý): Các trang web có chứa mã hiểm độc gây lây nhiễm virus phần mềm độc hại vào máy tính người sử dụng truy cập vào trang web 6.2.2 Khi virus kích hoạt? Vào số lần máy tính khởi động (ví dụ virus Stoned, kích hoạt vào theo chu kỳ lần khởi động). Vào ngày định năm (virus Michelangelo hoạt động vào ngày 6/3, ngày sinh danh họa Italy). Một ngày định tuần (virus Sunday). Một ngày định tháng (virus Thứ ngày 13, Thứ ngày 14). Tất ngày, trừ ngày cụ thể (virus Israeli hay Suriv03, không hoạt động vào thứ ngày 13) Chỉ xảy ngày (virus Century kích hoạt vào ngày 1/1/2000, viết số lên tất đĩa có kết nối, xố liệu, ứng dụng, thư mục, bảng phân bổ file…). Chỉ hoạt động chu kỳ định sau lây nhiễm (virus Plastique hoạt động tuần). 26 Kích hoạt sau lây nhiễm vào lượng file định (virus MIX/1 kích hoạt sau lây vào file). Kích hoạt sau số lần gõ bàn phím định (virus Devil's Dance kích hoạt sau 2.000 lần người sử dụng gõ phím; đến lần thứ 5.000 phá huỷ liệu đĩa cứng in thơng điệp mang tên nó). Vào khoảng thời gian định ngày (virus Teatime hoạt động từ 15h10 đến 15h13, sau 11 lần người sử dụng gõ phím lại phá liệu). Kết hợp số tất kiểu cộng thêm với khác mà bạn tưởng tượng ra. 6.2.3 Phân loại virus máy tính B-virus: F-virus: Các dạng khác Virus: 6.3 Ngăn chặn xâm nhập virus 6.3.1 Sử dụng phần mềm diệt virus Bảo vệ cách trang bị thêm phần mềm diệt virus có khả nhận biết nhiều loại virus máy tính liên tục cập nhật liệu để phần mềm ln nhận biết virus Trên thị trường có nhiều phần mềm diệt virus Một số hãng tiếng viết phần mềm virus nhiều người sử dụng kể đến là: McAfee, Symantec, Kaspersky 6.3.2 Sử dụng tường lửa Sử dụng tường lửa phần cứng người sử dụng kết nối với mạng Internet thông qua modem có chức Thơng thường chế độ mặc định nhà sản xuất chức "tường lửa" bị tắt, người sử dụng truy cập vào modem phép hiệu lực (bật) Sử dụng tường lửa phần cứng tuyệt đối an toàn chúng thường ngăn chặn kết nối đến trái phép, kết hợp sử dụng tường lửa phần mềm Sử dụng tường lửa phần mềm: Ngay hệ điều hành họ Windows ngày tích hợp sẵn tính tường lửa phần mềm, nhiên thông thường phần mềm hãng thứ ba làm việc tốt tích hợp nhiều cơng cụ so với tường lửa phần mềm sẵn có Windows Ví dụ phần mềm ZoneAlarm Security Suite hãng ZoneLab công cụ bảo vệ hữu hiệu trước virus, phần mềm độc hại, chống spam, tường lửa 6.3.3 Cập nhật sửa lỗi hệ điều hành Hệ điều hành Windows (chiếm đa số) luôn bị phát lỗi bảo mật thơng dụng nó, tin tặc lợi dụng lỗi bảo mật để chiếm quyền 27 điều khiển phát tán virus phần mềm độc hại Người sử dụng cần cập nhật vá lỗi Windows thông qua trang web Microsoft Update (cho việc nâng cấp tất phần mềm hãng Microsoft) Windows Update (chỉ cập nhật riêng cho Windows) Cách tốt đặt chế độ nâng cấp (sửa chữa) tự động (Automatic Updates) Windows Tính hỗ trợ Windows mà Microsoft nhận thấy chúng hợp pháp 6.3.4 Bảo vệ liệu máy tính Sao lưu liệu theo chu kỳ biện pháp đắn để bảo vệ liệu Bạn thường xuyên lưu liệu theo chu kỳ đến nơi an toàn như: thiết bị nhớ mở rộng (ổ USB, ổ cứng di động, ghi đĩa quang ), hình thức thực theo chu kỳ hàng tuần khác tuỳ theo mức độ cập nhật, thay đổi liệu bạn Tạo liệu phục hồi cho tồn hệ thống khơng dừng lại tiện ích sẵn có hệ điều hành (ví dụ System Restore Windows Me, XP ) mà cần đến phần mềm hãng thứ ba, ví dụ bạn tạo lưu hệ thống phần mềm ghost, phần mềm tạo ảnh ổ đĩa phân vùng khác 6.3.5 Vận dụng kinh nghiệm sử dụng máy tính 28 BÀI TẬP THỰC HÀNH Bài tập 1: Em sử dụng phương pháp mã hóa Caesar để mã hóa thơng điệp sau: "SINH VIEN VKTECH" Bằng chữ tiếng Anh (n=26) mã Caesar với k=7 Bài giải: Ta có số hóa chữ cái: A B C D E NO 13 14 P 15 16 QR 17 F G H S 18 TUVWX 19 20 I J 21 22 K 10 L 11 M 12 23 YZ 24 25 Đáp án mờ là: ZPUOCPLUCRALJR Bài tập 2: Cho rõ : TOIYEUVIETNAM Khóa k = Tìm mã sử dụng mã hóa Caesar Đáp án: Vậy mã là: YSMBYZWMIYREQ Bài tập 3: Với mã tìm tập Em thực việc giải mã sử dụng thuật toán (chú ý giải mã ta làm ngược lại (x-k)mod 26) * Mã hóa Affine Chú ý: Mã hóa: Ek(x)=(a*x+b) mod n Giải mã: Dk(x)=a*(y-b) mod n * Mã hóa Vigenere Bài tập 4: Xét bảng chữ tiếng Anh (n=26) giả sử khóa có độ dài khóa K="VKTECH" Bản rõ P = "SINH VIEN VIET HAN BAC GIANG" Em cho biết mã hóa chuỗi trên? Đáp án: Bản mờ là: NSGLXPZXOMGACKGFCJBSTRI Bài tập thực hành số 1: Cho hệ thống mạng hình vẽ 29 Em cài đặt cấu hình NAT cho máy NAT SERVER cho phép máy hệ thống mạng 10.0.0.0 truy cập đwọc Internet cách an toàn? Bài tập thực hành số 2: Em tải cài đặt phần mềm Wireshark sau dùng phần mềm để bắt phân tích gói tin nhận từ trang web 113.160.158.245? Bài tập thực hành số 3: Em tải cài đặt phần mềm NMAP sau dùng phần mềm để bắt phân tích gói tin nhận từ trang web 113.160.158.245? Bài tập thực hành số 4: Cho hệ thống mạng hình bên Em sử dụng Packet tracer thực công việc sau Thiết lập hệ thống mạng hình Cấu hình địa IP cho giao diện Cấu hình định tuyến OSPF hệ thống mạng Cấu hình ACL để thực cơng việc sau a Cấm toàn mạng 192.168.1.0/24 truy cập vào Server 192.168.20.1 b Cấm mạng 192.168.1.0/24 truy cập vào Server 192.168.20.1 web Bài tập thực hành số 5: Cho hệ thống mạng hình bên 30 Em xây dựng hệ thống mạng với yêu cầu sau: Cài đặt ISA làm tường lửa Kiểm soát giao dịch thực mạng nội Internet, ngăn chặn công, thâm nhập trái phép từ Internet 31 ... - Securing Email - Authentication System 10 - Secure E-commerce - Virtual Private Network - Wireless Encryption Giới thiệu Bài viết trình bày vấn đề xem tảng an toàn, bảo mật tổ chức, doanh nghiệp. .. sách giáo trình nên nguồn thơng tin phép dùng nguyên trích dùng cho mục đích đào tạo tham khảo Giáo trình lưu hành nội LỜI GIỚI THIỆU Để thực biên soạn giáo trình đào tạo nghề Quản trị mạng trình. .. 2.4 Bảo vệ danh tiếng quan Một phần lớn công không thông báo rộng rãi, nguyên nhân nỗi lo bị uy tín quan, đặc biệt công ty lớn quan quan trọng máy nhà nước Trong trường hợp người quản trị hệ thống