Giáo trình An toàn mạng và bảo mật dữ liệu (Nghề: Quản trị mạng máy tính; Trình độ: Trung cấp) - Trường TCN Quang Trung

(NB) Giáo trình An toàn mạng và bảo mật dữ liệu gồm có những nội dung chính sau: Bài 1 - tổng quan về bảo mật và an toàn mạng; bài 2 – an ninh mạng; bài 3 – mật mã và bảo mật dữ liệu; bài 4 – chứng nhận và quản lý khóa; bài 5 – virus và cách phòng chống. Mời các bạn cùng tham khảo.

TỔNG QUAN VỀ BẢO MẬT VÀ AN TOÀN MẠNG

Bảo mật mạng

- Xác định được các thành phần của một hệ thống bảo mật;

- Trình bày được các hình thức tấn công vào hệ thống mạng

1.1 Đối tượng tấn công mạng (Intruder)

Những cá nhân hoặc tổ chức được xem là hacker hoặc tấn công mạng sử dụng kiến thức về mạng và các công cụ phá hoại (phần mềm hoặc phần cứng) để dò tìm lỗ hổng bảo mật trên hệ thống, thực hiện xâm nhập trái phép và chiếm đoạt tài nguyên mạng.

- Một số đối tượng tấn công mạng là:

Hacker là những kẻ xâm nhập trái phép vào mạng máy tính, thường sử dụng các công cụ phá mật khẩu và khai thác lỗ hổng bảo mật ở các thành phần truy nhập trên hệ thống để đột nhập và chiếm quyền kiểm soát.

- Masquerader: Là những kẻ giả mạo thông tin trên mạng Một số hình thức giả mạo như giả mạo địa chỉ IP, tên miền, định danh người dùng

Eavesdropping là hành vi nghe trộm thông tin trên mạng, trong đó các đối tượng xâm nhập sử dụng các công cụ sniffer để theo dõi và ghi lại lưu lượng dữ liệu Sau đó, họ dùng các công cụ phân tích và debug để rút trích và thu thập các thông tin có giá trị, bao gồm dữ liệu nhạy cảm và nội dung được truyền tải trên mạng.

Những đối tượng tấn công mạng có thể nhắm tới nhiều mục tiêu khác nhau, từ ăn cắp các thông tin có giá trị về kinh tế cho doanh nghiệp đến phá hoại hệ thống mạng có chủ đích, hoặc thậm chí chỉ là những hành động vô ý thức, nhằm thử nghiệm các chương trình chưa được kiểm tra kỹ lưỡng.

1.2 Các lỗ hổng bảo mật:

Các lỗ hổng bảo mật là các điểm yếu tồn tại trên hệ thống hoặc trong một dịch vụ, từ đó kẻ tấn công có thể xâm nhập trái phép để thực hiện các hành động phá hoại hoặc chiếm đoạt tài nguyên bất hợp pháp Việc nhận diện và khắc phục các lỗ hổng này là cơ sở của bảo mật thông tin và an ninh mạng, giúp ngăn ngừa xâm nhập trái phép, rò rỉ dữ liệu và thiệt hại tài sản.

Khoa Công nghệ thông tin – TCN Quang Trung Trang 2

Nguyên nhân gây ra lỗ hổng bảo mật rất đa dạng và có thể bắt nguồn từ nhiều yếu tố khác nhau: lỗi của chính hệ thống và cơ sở hạ tầng, lỗ hổng từ phần mềm do nhà cung cấp cung cấp hoặc cập nhật không kịp thời, và sự thiếu hiểu biết sâu về các dịch vụ được triển khai của người quản trị Những yếu tố này có thể xảy ra riêng lẻ hoặc đồng thời, tạo điều kiện để kẻ xấu khai thác Do đó, để tăng cường an toàn, cần kết hợp kiểm tra bảo mật định kỳ, vá lỗ hổng kịp thời và nâng cao trình độ quản trị để hiểu rõ các dịch vụ cung cấp.

Mức độ ảnh hưởng của lỗ hổng bảo mật khác nhau đáng kể Có lỗ hổng chỉ tác động đến chất lượng dịch vụ và trải nghiệm người dùng, trong khi có lỗ hổng nghiêm trọng có thể đe dọa toàn bộ hệ thống, từ hạ tầng kỹ thuật đến dữ liệu và quy trình vận hành Đánh giá rủi ro dựa trên phạm vi ảnh hưởng, mức độ dễ khai thác và tính nhạy cảm của thông tin cho phép xác định ưu tiên khắc phục và các biện pháp giảm thiểu Việc quản lý lỗ hổng hiệu quả giúp tăng cường an toàn thông tin, duy trì chất lượng dịch vụ và bảo vệ hệ thống trước các nguy cơ bảo mật.

1.3 Một số hình thức tấn công mạng

Trong an ninh mạng, lỗ hổng bảo mật là các điểm yếu tồn tại trong các dịch vụ mà hệ thống cung cấp, có thể bị kẻ tấn công lợi dụng để xâm nhập và phá hoại Những lỗ hổng này xuất hiện ở nhiều thành phần dịch vụ, và các kẻ xấu thường khai thác chúng qua các dịch vụ phổ biến như mail, FTP và web để xâm nhập hệ thống và gây thiệt hại.

Hình 1- 1 Các hình thức tấn công mạng

Việc sử dụng các công cụ nhằm phá hoại hệ thống, như cố gắng phá khoá mật khẩu để truy cập trái phép, phát tán virus và cài đặt mã độc vào các chương trình, là hành vi phạm pháp và gây thiệt hại nghiêm trọng cho an ninh mạng Những hoạt động này có thể dẫn đến xâm nhập dữ liệu, làm gián đoạn dịch vụ và làm mất uy tín của tổ chức, vì vậy cần cảnh giác và ngăn ngừa bằng các biện pháp bảo mật hiệu quả Để bảo vệ người dùng và hệ thống, nên tập trung vào tăng cường kiểm soát truy cập, cập nhật phần mềm định kỳ, triển khai diệt virus và giám sát an ninh mạng để ngăn chặn các mối đe dọa từ mã độc và hành vi phá hoại.

- Nhưng kẻ tấn công mạng cũng có thể kết hợp cả 2 hình thức trên với nhau để đạt được mục đích

Ở mức 1 (Level 1), các cuộc tấn công nhắm vào một số dịch vụ mạng như Web và Email có thể dẫn đến nguy cơ lộ thông tin về cấu hình mạng Các hình thức tấn công ở mức này thường bao gồm DoS (tấn công từ chối dịch vụ) và spam mail, có thể làm gián đoạn hoạt động của hệ thống và làm tăng nguy cơ rò rỉ dữ liệu cấu hình cho kẻ xấu.

Mức 2 (Level 2) mô tả kẻ phá hoại lợi dụng tài khoản người dùng hợp pháp để chiếm đoạt tài nguyên hệ thống, dựa trên các phương thức tấn công như bẻ khoá và đánh cắp mật khẩu; từ đó kẻ xấu có thể truy cập trái phép và leo thang quyền Khi đã chiếm được quyền truy nhập, kẻ phá hoại có thể thay đổi quyền truy nhập hệ thống, gây nhiễu, truy cập dữ liệu nhạy cảm và mở rộng phạm vi tác động lên toàn bộ hệ thống.

Khoa Công nghệ thông tin – TCN Quang Trung tập trung vào nhận diện và phòng ngừa lỗ hổng bảo mật, giảm thiểu nguy cơ truy cập trái phép và xâm nhập hệ thống Nội dung giảng dạy nhấn mạnh những lỗ hổng bảo mật có thể dẫn đến việc đọc các thông tin nhạy cảm trong các tập tin liên quan đến truy cập hệ thống, như /etc/passwd, để làm sáng tỏ rủi ro và cách khắc phục Để bảo vệ dữ liệu người dùng và hệ thống, các biện pháp quản trị bảo mật, vá lỗi kịp thời và kiểm tra an ninh định kỳ được áp dụng nhằm ngăn ngừa khai thác lỗ hổng Mục tiêu là tăng cường nhận thức về an toàn thông tin và nâng cao năng lực bảo vệ CNTT, đảm bảo an toàn cho hạ tầng và các tập tin hệ thống quan trọng như /etc/passwd.

Từ mức 3 đến mức 5, kẻ phá hoại không chỉ sử dụng quyền của người dùng thông thường mà còn có thêm các quyền cao hơn đối với hệ thống, cho phép kích hoạt một số dịch vụ và xem xét các thông tin khác trên hệ thống.

- Mức 6: Kẻ tấn công chiếm được quyền root trên hệ thống

2.1 Các mức bảo vệ an toàn mạng

Do không có giải pháp bảo mật tuyệt đối, người ta phải kết hợp nhiều mức bảo vệ để hình thành nhiều lớp rào chắn, tạo thành hệ thống phòng thủ đa tầng chống lại các hoạt động xâm phạm Việc bảo vệ thông tin trên mạng chủ yếu nhằm bảo vệ dữ liệu được lưu trữ trên các máy tính, đặc biệt là trên các máy chủ (server) của mạng Các lớp rào chắn phổ biến hiện nay được áp dụng để bảo vệ thông tin tại các trạm mạng, tăng cường an toàn cho toàn bộ hệ thống mạng.

Hình 1- 2 Các mức độ bảo vệ mạng

Như minh hoạ trong hình trên, các lớp bảo vệ thông tin trên mạng gồm:

- Lớp bảo vệ trong cùng là quyền truy nhập nhằm kiểm soát các tài nguyên

Đây là thông tin về mạng và quyền hạn—những thao tác có thể thực hiện trên tài nguyên đó, giúp xác định quyền truy cập và các hành động được cho phép Hiện nay, việc kiểm soát ở mức này được áp dụng sâu nhất đối với tệp, nhằm tăng cường bảo mật và quản lý quyền truy cập một cách hiệu quả trên hệ thống.

AN NINH MẠNG

Giới thiệu lọc gói IP

- Xác định được các thành phần của một hệ thống bảo mật;

- Trình bày được các hình thức tấn công vào hệ thống mạng

1.1 Đối tượng tấn công mạng (Intruder)

Những cá nhân hoặc tổ chức này dùng kiến thức về mạng và các công cụ phá hoại (phần mềm hoặc phần cứng) để rà soát, dò tìm các lỗ hổng bảo mật và điểm yếu của hệ thống, từ đó thực hiện các hoạt động xâm nhập và chiếm đoạt tài nguyên mạng trái phép.

- Một số đối tượng tấn công mạng là:

Hacker là những người xâm nhập trái phép vào mạng và hệ thống máy tính bằng cách lợi dụng các lỗ hổng bảo mật và điểm yếu của các thành phần truy cập Họ có thể sử dụng công cụ phá mật khẩu hoặc khai thác các lỗ hổng để vượt qua các biện pháp bảo vệ, từ đó tìm cách đánh cắp dữ liệu, làm gián đoạn dịch vụ hoặc truy cập trái phép vào tài nguyên Hiểu rõ đặc điểm của hacker giúp tăng cường an toàn mạng bằng cách vá lỗ hổng, củng cố xác thực, giám sát hoạt động và nâng cao nhận thức người dùng.

- Masquerader: Là những kẻ giả mạo thông tin trên mạng Một số hình thức giả mạo như giả mạo địa chỉ IP, tên miền, định danh người dùng

Eavesdropping, hay nghe trộm thông tin trên mạng, là hành vi của các đối tượng cố ý nghe lén dữ liệu truyền qua mạng bằng các công cụ sniffers, sau đó dùng các công cụ phân tích và gỡ lỗi (debug) để trích xuất những thông tin có giá trị và nhạy cảm Các dữ liệu bị đe dọa có thể bao gồm thông tin đăng nhập, dữ liệu cá nhân và thông tin tài chính, gây hại cho người dùng và tổ chức Để giảm thiểu rủi ro, cần tăng cường mã hóa dữ liệu, kiểm soát quyền truy cập, giám sát lưu lượng mạng và triển khai các biện pháp bảo mật như VPN, IDS/IPS và đào tạo nhận thức về an toàn mạng cho người dùng.

Các đối tượng tấn công mạng có động cơ đa dạng: một số nhằm ăn cắp những thông tin có giá trị về kinh tế, một số nhắm phá hoại hệ thống mạng có mục tiêu định sẵn, và cũng có thể chỉ là những hành động vô ý thức, thử nghiệm các chương trình chưa được kiểm tra kỹ lưỡng Hiểu được những động cơ này giúp nhận diện mối đe dọa và tăng cường các biện pháp bảo mật mạng.

1.2 Các lỗ hổng bảo mật:

Các lỗ hổng bảo mật là những điểm yếu trên hệ thống hoặc trong một dịch vụ mà các kẻ tấn công có thể dựa vào đó để xâm nhập trái phép và thực hiện các hành động phá hoại hoặc chiếm đoạt tài nguyên bất hợp pháp Những điểm yếu này có thể bắt nguồn từ phần mềm, cấu hình sai, thiếu kiểm tra bảo mật hoặc quy trình vá lỗi chưa triệt để Việc nhận diện, đánh giá và vá các lỗ hổng bảo mật giúp giảm thiểu rủi ro, bảo vệ dữ liệu và đảm bảo tính toàn vẹn, sẵn sàng của hệ thống Quản trị an toàn thông tin hiệu quả đòi hỏi ưu tiên vá lỗi dựa trên mức độ ảnh hưởng và khả năng khai thác của từng lỗ hổng.

Nguyên nhân gây ra lỗ hổng bảo mật rất đa dạng và có thể bắt nguồn từ nhiều phía: lỗi từ chính hệ thống hoặc các thành phần phần mềm do nhà cung cấp phát hành, hoặc từ người quản trị kém hiệu quả, không hiểu sâu các dịch vụ mà hệ thống đang cung cấp Việc nhận diện và khắc phục các yếu tố này đòi hỏi đánh giá toàn diện về cơ sở hạ tầng, quy trình quản trị và trình độ nhân sự để bảo đảm an toàn thông tin cho tổ chức và người dùng.

Trong thực tế, mức độ ảnh hưởng của các lỗ hổng bảo mật khác nhau đáng kể Có những lỗ hổng chỉ ảnh hưởng đến chất lượng dịch vụ cung cấp và trải nghiệm người dùng, khiến hiệu suất và độ tin cậy giảm sút Tuy nhiên, một số lỗ hổng nghiêm trọng có thể xâm nhập và làm rối loạn toàn bộ hệ thống, gây mất dữ liệu, gián đoạn dịch vụ và rủi ro an ninh mạng ở quy mô lớn Việc đánh giá và phân loại mức độ ảnh hưởng giúp xác định ưu tiên vá lỗi và tăng cường bảo mật Do đó, nên áp dụng khung quản lý lỗ hổng, theo dõi các lỗ hổng theo mức độ nguy hiểm, và lên kế hoạch vá lỗi một cách có hệ thống để đảm bảo tính liên tục, an toàn và chất lượng của dịch vụ.

1.3 Một số hình thức tấn công mạng

Dựa trên lỗ hổng bảo mật trên mạng, những lỗ hổng này là các điểm yếu trong các dịch vụ mà hệ thống cung cấp Ví dụ, kẻ tấn công có thể lợi dụng các điểm yếu trong các dịch vụ mail, FTP và web để xâm nhập và phá hoại hệ thống Hiểu và nhận diện những lỗ hổng bảo mật giúp tăng cường an ninh mạng, giảm thiểu rủi ro cho dữ liệu và tài sản số của tổ chức, đồng thời bảo vệ người dùng Để bảo mật hiệu quả, cần tiến hành đánh giá lỗ hổng định kỳ, vá lỗi kịp thời, cập nhật phần mềm, cấu hình an toàn và giám sát hoạt động bất thường.

Hình 1- 1 Các hình thức tấn công mạng

- Nhưng kẻ tấn công mạng cũng có thể kết hợp cả 2 hình thức trên với nhau để đạt được mục đích

Mức 1 (Level 1) mô tả các tấn công nhắm vào một số dịch vụ mạng như Web và Email, dẫn tới nguy cơ lộ thông tin về cấu hình mạng Các hình thức tấn công ở cấp độ này có thể là DoS (từ chối dịch vụ) hoặc spam mail, nhằm làm gián đoạn dịch vụ và tăng nguy cơ rò rỉ dữ liệu liên quan đến hệ thống mạng.

- Mức 2 (Level 2): Kẻ phá hoại dùng tài khoảng của người dùng hợp pháp để chiếm đoạt tài nguyên hệ thống; (Dựa vào các phương thức tấn công như bẻ khoá, đánh cắp mật khẩu ); kẻ phá hoại có thể thay đổi quyền truy nhập hệ

Khoa Công nghệ thông tin – TCN Quang Trung Trang 3 thống qua các lỗ hổng bảo mật hoặc đọc các thông tin trong tập tin liên quan đến truy nhập hệ thống như /etc/passwd

Ở mức 3 đến mức 5, kẻ phá hoại không chỉ sử dụng quyền của người dùng thông thường mà còn có thêm các quyền cao hơn đối với hệ thống Những quyền này cho phép kích hoạt một số dịch vụ và xem xét thêm thông tin khác trên hệ thống, cho thấy sự gia tăng rủi ro bảo mật và thách thức trong quản trị quyền truy cập và an ninh hệ thống.

- Mức 6: Kẻ tấn công chiếm được quyền root trên hệ thống

2.1 Các mức bảo vệ an toàn mạng

Vì không có giải pháp an toàn tuyệt đối, người ta thường kết hợp nhiều mức bảo vệ để hình thành nhiều lớp rào chắn chống lại các hoạt động xâm nhập Việc bảo vệ thông tin trên mạng chủ yếu nhằm bảo vệ dữ liệu được lưu trữ trên máy tính, đặc biệt là trên các server của mạng Hình minh họa cho thấy các lớp rào chắn phổ biến hiện nay đang được triển khai để bảo vệ thông tin tại các trạm mạng.

Hình 1- 2 Các mức độ bảo vệ mạng

Như minh hoạ trong hình trên, các lớp bảo vệ thông tin trên mạng gồm:

- Lớp bảo vệ trong cùng là quyền truy nhập nhằm kiểm soát các tài nguyên

Thông tin về mạng và quyền hạn cho phép xác định những thao tác có thể thực hiện trên tài nguyên ấy Trong quản trị hệ thống, việc kiểm soát ở mức độ này giúp làm rõ ai được đọc, ghi, chỉnh sửa hoặc thực hiện các hành động đặc biệt trên tài nguyên Hiện nay mức kiểm soát chi tiết như vậy được áp dụng sâu nhất đối với tệp tin, nhằm tăng cường bảo mật và tối ưu quản trị quyền truy cập cho người dùng và nhóm.

Chính sách IPSec mặc định

3 Tạo quy tắc ngăn chặn

4 Tạo quy tắc cấp phép

5 Cấu hình chế độ khởi động IPSec

6 Cấu hình các phương pháp chứng thực

8 Bảo mật thư điện tử (Email Security) và mã hóa thông điệp

- Trình bày được cách thức bảo mật với lọc gói IP;

- Thiết kế được các luật bảo mật với lọc gói IP cho một hệ thống mạng;

- Mô tả được các hình thức tấn công WLAN

- Trình bày kiến trúc của IPSec

- Xây dựng được các chính sách bảo mật IPSec

- Thiết lập được các chế độ làm việc IPSec

- Tìm hiểu được các giao thức quản lý khóa IPSEC, các ứng dụng hỗ trợ bảo mật IP

- Trình bày được mục đích của SSL, cách làm việc và đặc tính của SSL (tương hỗ giữa Client và Server; cách truyền dữ liệu thông qua SSL)

- Thao tác thành thạo trên các trình duyệt hỗ trợ SSL (cài đặt, khai thác, )

- Sử dụng được các kỹ thuật bảo mật, các công cụ hỗ trợ bảo mật Email / Message

1 Giới thiệu lọc gói IP

- Như chúng ta đã biết các tín hiệu trao đổi giữa hai máy tính là các tín hiệu điện dưới dạng các bít nhị phân 0/1

Việc truyền dữ liệu dưới dạng các bít nhị phân thuần túy khiến chúng ta không thể nhận diện ngay nội dung, loại dữ liệu hoặc ứng dụng mạng đích trên máy nhận gói tin Để dữ liệu được hiểu và xử lý đúng, các lớp giao thức và tiêu đề gói tin phải cung cấp metadata về nội dung và đích đến, giúp máy nhận định danh mục dữ liệu và chuyển tới ứng dụng mạng phù hợp.

Để khắc phục các khó khăn đó người ta đưa ra khái niệm gói tin (data packet) Theo khái niệm này thì thông tin dữ liệu trước khi được gửi đi nó sẽ được chia thành các gói tin nhỏ, mỗi gói mang theo tiêu đề và các thông tin điều khiển như địa chỉ nguồn, địa chỉ đích, số thứ tự gói và kiểm tra lỗi; nhờ đó dữ liệu có thể được truyền qua nhiều đường đi khác nhau và tối ưu hóa băng thông, đồng thời tăng tính tin cậy của quá trình truyền Những gói tin sau khi đến đích sẽ được tái ghép thành thông tin ban đầu, ngay cả khi một số gói bị mất hoặc tới trễ Việc sử dụng gói tin mang lại sự linh hoạt cho mạng máy tính và phù hợp với các chuẩn truyền dẫn hiện đại.

Khoa Công nghệ thông tin – TCN Quang Trung Trang 8 chia dữ liệu thành nhiều phần nhỏ và trước khi gửi các phần này được đóng gói thành một khuôn dạng gọi là gói tin, nhằm đảm bảo quá trình truyền tải được tổ chức và hiệu quả Mỗi gói tin chứa các thông tin cần thiết để định tuyến và xử lý dữ liệu, đặc biệt là phần header (data packet header) chứa thông tin về người gửi, người nhận, cùng các cơ chế kiểm soát lỗi và mã hóa nhằm đảm bảo tính toàn vẹn và an toàn của dữ liệu khi truyền.

TCP/IP là một trong những giao thức phổ biến nhất hiện nay, cung cấp phương thức truyền dữ liệu dưới dạng gói tin Trong giao thức này, dữ liệu được chia thành nhiều gói tin để tối ưu hóa quá trình truyền và quản lý thông tin trên mạng Các loại gói tin phổ biến gồm gói TCP, gói IP và gói UDP, mỗi loại đảm nhận chức năng riêng giúp các hệ thống giao tiếp và chuyển tiếp dữ liệu một cách hiệu quả.

- Đây là loại gói tin được sử dụng trong giao thức IP (internet protocol) ở lớp Internet trong mô hình TCP/IP

- Gói tin này có chức năng là đảm bảo cho việc truyền dữ liệu một cách chính xác từ máy đến máy

- Cấu trúc của gói IP như sau:

Hình 2- 1 - Cấu trúc của gói IP

Trường Version trong tiêu đề IP gồm 4 bit và cho biết phiên bản của giao thức IP đang được sử dụng Phiên bản IP hiện nay rất quan trọng vì có hai phiên bản IP song song đang được triển khai Khi xử lý một IP datagram, nhiều phần mềm và ứng dụng phải xác định đúng phiên bản IP; nếu không nhận diện được phiên bản thì gói tin được coi là lỗi và sẽ bị từ chối để tiếp tục xử lý.

The IP header length field is a 4-bit field that indicates how many 32-bit words are used by the IP header We use this field because the IP header has two structures: a short_IP_header of 20 bytes and a long_IP_header of 24 bytes due to the presence of the options field This design enables network devices to quickly determine the header size for correct parsing and efficient packet processing.

- Type Of Service : có độ dài 1 byte cho biết cách thức sử lý gói tin khi nó được truyền trên mạng

Hình 2- 2 Cấu trúc gói tin

Ba bít đầu tiên cho biết mức độ ưu tiên của gói tin

000 : thấp nhất 111: cao nhất Bit D quy định về độ trễ

1 : yêu cầu độ trễ thấp

0 : bình thường Bit T chỉ thông lương yêu cầu

1 : yêu cầu thông lượng cao

Bít R chỉ độ tin cậy yêu cầu

0 : bình thường Bit M yêu cầu về chi phí

0 : bình thường Bít Z chưa được sử dụng

Total Length là trường cho biết độ dài toàn bộ của một IP datagram, bao gồm cả header, được đo bằng đơn vị byte Giá trị tối thiểu là 20 byte (vì header tối thiểu có kích thước 20 byte) và giá trị tối đa là 65535 byte, do trường Total Length dùng 16 bit nên có thể biểu diễn lên tới 2^16 − 1 Thông số này quyết định kích thước gói tin khi xử lý và chuyển tiếp dữ liệu, góp phần đảm bảo tính nhất quán và hiệu quả của mạng IP, đặc biệt trong các ứng dụng IPv4.

65535 byte Trường này dùng để xác định độ lớn của phần data

Định danh có độ dài 16 bit, được dùng để đánh số các gói tin khi truyền dữ liệu, cho biết thứ tự của từng gói tin và số thứ tự này được cấp bởi đầu phát, đồng thời được giữ nguyên trong suốt quá trình truyền từ nguồn tới đích.

- DF (don’t fragment): bít này cho biết gói tin đó có được phép chia nhỏ trong suốt quá trình truyền hay không

1 : không cho phép chia nhỏ

- MD (more fragment) : cho biết sau nó còn có gói tin nào khác hay không

1 : còn một gói tin đứng sau nó

0 : không còn gói tin nào đứng sau nó bít này chỉ được sử dụng khi

- Fragment offset : có độ dài 13 bít , đơng vị tính của trường này là octect

Một octet bằng 8 byte; trường thông tin này cho biết vị trí của octet đầu tiên của gói bị phân mảnh trong quá trình truyền so với vị trí của octet thứ 0 của gói gốc Trường này chỉ được sử dụng khi DF có giá trị bằng 1.

Time To Live (TTL) có độ dài 1 byte, quy định thời gian sống của một gói tin và đo bằng số nút mạng mà nó có thể đi qua TTL được thiết lập khi gói tin được gửi đi; mỗi lần gói tin đi qua một nút mạng, TTL giảm đi một đơn vị Nếu TTL về 0 trước khi gói tin đến đích, gói tin sẽ bị hủy Mục đích của TTL là ngăn ngừa vòng lặp và tắc nghẽn trên đường truyền bằng cách giới hạn số lượt mà gói tin có thể thực hiện cho đường đi của nó.

- Protocol : có độ dài 1 byte , nó cho biết giao thức được sử dụng ở lớp trên VD : TCP ( 6 ) ; UDP ( 17 ) ……

Header Checksum là trường 16 bit dùng để kiểm tra lỗi của IP header; trường này có thể thay đổi sau mỗi lần qua một nút mạng khi DF = 1 và sử dụng phương pháp kiểm tra lỗi CRC (Cyclic Redundancy Check) Source Address và Destination Address chứa địa chỉ nguồn và địa chỉ đích, mỗi trường có độ dài 32 bit.

Trường tùy chọn có độ rộng từ 3 đến 4 byte và có thể được bật hoặc tắt tùy nhu cầu sử dụng Trường này chứa các thông tin về kiểm tra lỗi và đo lường, giúp đảm bảo tính đúng đắn của dữ liệu và đánh giá hiệu suất hệ thống Việc kích hoạt trường này cho phép thực hiện kiểm tra lỗi chi tiết và đo lường chính xác hơn, trong khi bỏ qua nó có thể giảm độ phức tạp và tiết kiệm tài nguyên Do đó, khi thiết kế và tối ưu hóa cấu hình hệ thống, cần cân nhắc kỹ lưỡng việc có nên sử dụng trường tùy chọn này hay không để đạt hiệu quả tối ưu.

FC (flag copy) : bít này có chức năng là có sao chép trường option khi phân mảnh

Có hai lựa chọn xử lý trường option ở các phân đoạn: 1) sao chép trường option cho tất cả các phân đoạn để đảm bảo tính nhất quán và tối ưu hóa cho SEO; 0) chỉ có phân đoạn đầu tiên có trường option, các phân đoạn còn lại thì không có trường option, giúp giảm tải dữ liệu và tăng hiệu suất xử lý.

Class : có 2 bít nó có các giá trị sau : 00 : dùng cho điều khiển datagram 10 : dùng cho mục đích điều hành bản giá trị của trường type cùa option:

Length : cho biết độ dài của trường option bao gồm cà trường type và length

Option data : dùng để chứa đựng các thông tin liên quan do đến trường type

- Padding : trường này được sử dụng khi trường option có độ dài nhỏ hơn

4 byte , trên thực tế trường này chỉ là bộ đệm lót them vào để cho dầy cấu trúc khung

Data là phần chứa dữ liệu của gói tin trong mạng máy tính, có độ dài không cố định và phụ thuộc vào kích thước thông tin cần truyền cũng như điều kiện của môi trường mạng, bao gồm băng thông và chất lượng liên kết.

Chức năng: Đây là gói tin được dùng trong giao thức UDP Chức năng của UDP là truyền dữ liệu từ ứng dụng trên host nguồn đến ứng dụng trên host đích theo phương thức không kết nối, cho phép truyền dữ liệu nhanh chóng và tiết kiệm tài nguyên, nhưng không đảm bảo sự tới nơi đúng hạn, thứ tự hoặc toàn vẹn dữ liệu.

▪ Source port number: cho biết địa chỉ của ứng dụng nguồn gởi gói UDP đi

Tạo một chính sách IPSec

▪ IPSec là viết tắt của Internet Protocol Security – bảo mật mạng IP, một bộ giao thức tiêu chuẩn được quy định bởi IETF (Internet Engineering Task Force

- Nhóm đặc trách kỹ thuật Internet)

IPSec là công nghệ bảo mật cho kết nối IP giữa hai điểm liên lạc, cung cấp xác thực, tính toàn vẹn và bảo mật cho dữ liệu truyền qua mạng Nó định nghĩa các gói mã hóa và giải mã, cùng với các giao thức cần thiết để trao đổi khóa một cách an toàn và quản lý khóa, nhằm duy trì an toàn cho toàn bộ phiên giao tiếp.

IPSec có thể được sử dụng cho các công việc như:

▪ Mã hóa dữ liệu lớp ứng dụng

▪ Cung cấp bảo mật cho các bộ định tuyến gửi dữ liệu định tuyến qua internet công cộng

▪ Cung cấp xác thực không mã hóa, như xác thực rằng dữ liệu bắt nguồn từ một người gửi đã biết

Để bảo vệ dữ liệu mạng, thiết lập các mạch sử dụng đường hầm IPsec sẽ khiến toàn bộ dữ liệu giao tiếp giữa hai điểm cuối được mã hóa, tương tự như khi thiết lập kết nối VPN (Mạng riêng ảo) Việc mã hóa dữ liệu trên đường truyền giúp tăng cường an ninh cho các trao đổi thông tin giữa các văn phòng, chi nhánh hoặc người dùng từ xa, đồng thời ngăn chặn truy cập trái phép và bảo đảm tính toàn vẹn của dữ liệu khi qua mạng công cộng.

- Các thành phần của IPSec

Encapsulating Security Payload (ESP) offers confidentiality, integrity, authentication, and anti-replay protection for IP traffic by encrypting the payload of each packet In Transport mode, ESP encrypts and authenticates only the payload, while the original IP header remains in clear text; in Tunnel mode, the entire original IP packet is encrypted and authenticated before being wrapped in a new IP header.

Authentication Header (AH) cung cấp tính toàn vẹn và xác thực dữ liệu và có chức năng chống phát lại như ESP, nhưng AH không thực hiện mã hóa dữ liệu Chống phát lại được thực hiện bằng cách đánh số thứ tự các gói tin và dựa vào thứ tự này để ngăn chặn các hành vi giả mạo gói tin của hacker Cần lưu ý rằng anti-replay không bảo vệ tính bí mật của dữ liệu.

Internet Key Exchange (IKE) là một giao thức bảo mật mạng được thiết kế để trao đổi khóa mã hóa và quản lý các tham số bảo mật thông qua cầu nối bảo mật (Security Association - SA) giữa hai thiết bị Cầu nối bảo mật SA thiết lập các thuộc tính bảo mật được chia sẻ giữa hai thực thể mạng nhằm hỗ trợ giao tiếp an toàn và đáng tin cậy trên các kết nối mạng được bảo vệ.

Giao thức quản lý khóa ISAKMP và cầu nối bảo mật Internet tạo nên khung chuẩn cho xác thực và trao đổi khóa giữa các bên ISAKMP hướng dẫn cách thiết lập cầu nối bảo mật (SA) và cách kết nối trực tiếp giữa hai máy chủ đang dùng IPsec, từ đó đảm bảo quá trình xác thực, đàm phán và quản lý khóa diễn ra an toàn khi triển khai VPN hoặc các giải pháp IPsec.

IKE cung cấp khả năng bảo vệ nội dung gói tin và là khung mở để triển khai các thuật toán bảo mật chuẩn như SHA và MD5; IPSec tạo ra mã định danh duy nhất cho mỗi gói tin, giúp thiết bị xác định tính hợp lệ của gói và quyết định xem gói tin có được trao cho người nhận hay không, còn các gói không được phép sẽ bị loại bỏ.

- Cách vận hành của IPSec

Các chế độ hoạt động

Trong chế độ Tunnel của IPSec, toàn bộ gói tin được bảo vệ, bao gồm cả IP header và payload IPSec đóng gói dữ liệu vào một gói tin mới, mã hóa nó và thêm một IP header mới để đảm bảo tính bí mật và toàn vẹn khi di chuyển qua Internet Chế độ này thường được ứng dụng nhiều trong các thiết lập VPN site-to-site, nơi hai mạng riêng kết nối an toàn với nhau.

Chế độ Transport trong VPN giữ nguyên IP header gốc và không được mã hóa, trong khi payload và ESP trailer được mã hóa Điều này cho phép bảo vệ nội dung bên trong gói tin mà vẫn duy trì thông tin định tuyến ở header IP gốc Chế độ Transport thường được sử dụng trong thiết lập VPN client-to-site, giúp kết nối an toàn giữa máy khách và mạng đích mà không làm phức tạp quá trình định tuyến.

- Quy trình vận hành của IPSec

IPSec hoạt động theo 5 bước:

Máy chủ kiểm tra xem gói tin gửi đi có nên được truyền qua IPsec hay không, và nếu có sẽ áp dụng cho chúng một phương thức mã hóa phù hợp Các gói tin đến cũng được máy chủ rà soát để xác nhận xem chúng có được mã hóa đúng cách hay không Quá trình này đảm bảo an toàn cho lưu lượng mạng bằng cách kết hợp IPsec, mã hóa và kiểm tra tính hợp lệ của gói tin.

Trong giai đoạn 1 của IKE, hai máy chủ xác thực với nhau bằng IPsec để thiết lập một kênh bảo mật Kênh này có hai chế độ: Main mode (chế độ chính) cho độ bảo mật cao hơn và Aggressive mode (chế độ linh hoạt) cho phép thiết lập mạch IPsec nhanh hơn Kênh này sau đó được dùng để trao đổi một cách an toàn về cách thức mà mạch IP sẽ mã hóa toàn bộ dữ liệu.

Trong Giai đoạn 2 của IKE (Internet Key Exchange), quá trình được thực hiện qua kênh bảo mật, nơi hai máy chủ thương lượng loại thuật toán mã hóa sẽ được chọn để phiên làm việc và tiến hành trao đổi khóa bí mật nhằm sử dụng với các thuật toán đã thỏa thuận.

Dữ liệu được trao đổi qua một đường hầm IPsec mới được tạo, đảm bảo an toàn cho các gói dữ liệu khi truyền trên mạng Các gói này được mã hóa và giải mã bởi các máy chủ sử dụng IPsec SA (Security Association), đảm bảo tính bí mật, xác thực và toàn vẹn dữ liệu cho kết nối mạng.

Khi quá trình giao tiếp giữa các máy chủ kết thúc hoặc phiên làm việc kết thúc, đường hầm IPsec sẽ được kết thúc bằng cách loại bỏ các khóa bảo mật trên cả hai máy chủ.

Hình 2- 34 Five steps of IPSec

- Phân biệt IPSec và SSL

IPSec và SSL là hai giao thức bảo mật phổ biến được sử dụng cho kết nối VPN, nhưng chúng hoạt động trên các lớp và có cơ chế bảo vệ khác nhau IPSec vận hành ở lớp mạng, thường dùng cho VPN site‑to‑site hoặc remote‑access và bảo vệ toàn bộ lưu lượng IP bằng xác thực và mã hóa ở cả hai đầu, đòi hỏi cấu hình trên thiết bị hoặc client chuyên dụng Ngược lại, SSL (TLS) làm việc ở tầng vận chuyển hoặc ứng dụng, thường được triển khai dưới dạng VPN dựa trên trình duyệt hoặc client nhẹ, dễ thiết lập và quản lý cho người dùng từ xa, nhưng chỉ mã hóa dữ liệu từ các ứng dụng được hỗ trợ Vì vậy, phân biệt IPSec và SSL giúp chọn đúng giải pháp phù hợp với yêu cầu bảo mật, quản trị và hiệu suất của kết nối VPN.

Là một tập hợp các giao thức cung cấp bảo mật cho Giao thức

Là một giao thức an toàn được phát triển để gửi thông tin một cách an toàn qua Internet

Hoạt động trong lớp Internet của mô hình OSI

Hoạt động ở giữa lớp truyền tải và lớp ứng dụng của mô hình OSI Cấu hình IPSec khá phức tạp Cấu hình SSL tương đối đơn giản

Dùng trong bảo mật mạng riêng ảo (VPN) Dùng trong bảo mật giao dịch web

IPSec là một phần của hệ điều hành SSL là thành phần phục vụ user

Tạo quy tắc ngăn chặn

Bức tường lửa (Firewall) là cơ chế bảo vệ mạng máy tính chống lại truy nhập bất hợp pháp từ các mạng khác Theo nghĩa chung, firewall hoạt động dựa trên hai cơ cấu chính để đảm bảo an toàn: một là lọc và giám sát lưu lượng mạng dựa trên các quy tắc bảo mật nhằm ngăn chặn gói tin độc hại hoặc truy cập trái phép, hai là quản lý và kiểm soát quyền truy cập tới các tài nguyên mạng bằng các chính sách xác thực và phân quyền Nhờ đó, firewall đóng vai trò lớp phòng thủ đầu tiên, giúp giảm thiểu rủi ro từ các cuộc tấn công và bảo vệ thông tin, hệ thống và dịch vụ phía sau nó.

▪ Ngăn chặn truy nhập bất hợp pháp

▪ Cho phép truy nhập sau khi đã kiểm tra tính xác thực của thực thể yêu cầu truy nhập

- Trên thực tế, firewall được thể hiện rất khác nhau: bằng phần mềm hoặc phần cứng chuyên dùng, sử dụng một máy tính hoặc một mạng các máy tính

- Theo William Cheswick và Steven Beilovin thì bức tường lửa có thể được xác định như là một tập hợp các cấu kiện đặt giữa hai mạng

- Nhìn chung bức tường lửa có những thuộc tính sau :

- Thông tin giao lưu được theo hai chiều

- Chỉ những thông tin thoả mãn nhu cầu bảo vệ cục bộ mới được đi qua Bản thân bức tường lửa không đòi hỏi quá trình thâm nhập

- Firewall làm được những gì ?

Nhìn chung, firewall đóng vai trò là lớp bảo vệ quan trọng cho hệ thống máy tính, giúp ngăn chặn các cuộc xâm nhập bằng cách hạn chế và chặn các phiên làm việc từ xa (remote login), từ đó tăng cường an toàn dữ liệu và giảm thiểu rủi ro bảo mật.

Ngăn ngừa rủi ro xâm nhập từ Internet bằng cách ngăn thông tin từ bên ngoài vào mạng được bảo vệ, đồng thời cho phép người dùng hợp pháp truy cập Internet bên ngoài một cách an toàn Hệ thống bảo mật mạng kết hợp tường lửa, kiểm soát truy cập và xác thực để duy trì an ninh mà không làm gián đoạn hoạt động của người dùng hợp lệ Việc này giúp bảo vệ dữ liệu nhạy cảm, giảm thiểu nguy cơ từ các nguồn bên ngoài, đồng thời đảm bảo người dùng có thể tiếp cận tài nguyên mạng bên ngoài khi cần thiết.

Firewall là một thành phần quan trọng trong chính sách kiểm soát truy cập, đóng vai trò như cửa khẩu duy nhất kết nối mạng được bảo vệ với bên ngoài Nhờ đó nó có thể ghi nhận mọi cuộc trao đổi thông tin, nguồn và đích, thời gian và các tham số liên quan, phục vụ cho công tác giám sát và phân tích an toàn Firewall có thể đóng vai trò như một công cụ theo dõi các cuộc tấn công từ bên ngoài có ý đồ xấu và dự báo khả năng bị tấn công trước khi sự cố xảy ra, từ đó giúp tăng cường bảo mật mạng và phản ứng nhanh với các mối đe dọa.

- Firewall không làm được những gì ?

Firewall chỉ có thể ngăn chặn các cuộc tấn công khi lưu lượng mạng đi qua nó; nếu cuộc tấn công không đi qua firewall, nó sẽ không thể bị chặn Cụ thể, firewall không thể đối phó với các cuộc tấn công từ các kênh kết nối như dial-up hoặc với sự rò rỉ dữ liệu do sao chép trái phép lên đĩa mềm Để tăng cường bảo mật mạng, cần kết hợp nhiều lớp bảo vệ và quản lý rủi ro, vì an ninh mạng không thể dựa hoàn toàn vào firewall.

Firewall cũng có thể không ngăn chặn được các cuộc tấn công dựa trên dữ liệu (data-driven attacks) Khi có một số chương trình được gửi qua email (bom thư) vượt qua firewall và xâm nhập mạng được bảo vệ, chúng bắt đầu hoạt động và có thể phát tán virus máy tính, gây ảnh hưởng nghiêm trọng đến hệ thống.

- Các thiết kế cơ bản của firewall:

Dual-homed host là hình thức bảo vệ mạng nội bộ đầu tiên trong hệ thống an ninh CNTT Dual-homed host là một máy tính có hai giao tiếp mạng: một kết nối với mạng cục bộ và một kết nối với mạng ngoài (Internet) Với cấu hình hai giao diện riêng biệt, nó đóng vai trò hàng rào đầu tiên để kiểm soát, lọc và định tuyến lưu lượng giữa mạng nội bộ và Internet, áp dụng các chính sách an toàn và ngăn chặn các mối đe dọa từ bên ngoài trước khi chúng có thể tác động tới hạ tầng nội bộ Việc triển khai dual-homed host giúp tăng cường sự bảo mật cho hệ thống bằng cách giảm thiểu nguy cơ xâm nhập và bảo vệ các tài nguyên quan trọng trên mạng cục bộ.

Tạo quy tắc cấp phép

- Điều kiện triển khai là cài đặt thành công Firewall ISA 2006

- Mô tả nội dung: Thiết lập các rules quản lý hệ thống mạng trong truy cập ra môi trường Internet thông qua ISA Server 2006

ISA Server sau khi được cài đặt sẽ tự động ngăn cách giữa Internal Network và External Network, khiến các máy trong Internal Network không thể truy cập Internet và ngược lại Nói cách khác, ISA Server khóa tất cả các cổng giao tiếp ra/vào hệ thống để tăng cường bảo mật cho mạng Trong bài viết này, chúng ta sẽ tìm hiểu cách mở các Port cần thiết để cho phép truy cập Internet, đồng thời nhấn mạnh rằng chỉ mở Port khi thật sự cần thiết nhằm duy trì an toàn và giảm thiểu rủi ro bảo mật cho hệ thống.

▪ Tạo Rule cho nhóm Truongphong toàn quyền ra Internet nhưng cấm không cho thấy chữ (cấm đọc báo), chỉ cho nghe nhạc mà không cho coi film(*.flv ,*.avi)

Quy định cho nhóm nhân viên: chỉ được truy cập Internet trong giờ nghỉ (12h-14h); đồng thời cấm chat Yahoo, cấm download (*.exe, *.rar, *.wmv); và cấm truy cập các trang web http://ngoisao.net/ và http://buonchuyen.com/.

▪ Mở ISA Management tạo một Rule mới với tên “Truong Phong” Rule Action chọn Allow → Tại bước tiếp theo ta chọn các giao thức FTP, HTTP, HTTPS

Hình 2- 36 Cấu hình Rule (Truong Phong)

▪ Chọn lớp mạng nguồn là Internal

▪ Chọn lớp mạng đích là External

At the User selection step, remove the 'All User' group and create a new group named 'Truongphong' Click Add, then select Windows User and Groups, choose Locations, pick Entire Directory, and finally add the user to the Truongphong group.

▪ Cấm không cho thấy chữ (cấm đọc báo), chỉ cho nghe nhạc(Audio), cho coi film (Video) xem hình ảnh (Image)

▪ Vào Properties của Rule → Contens Type ( Qui định loại nội dung có hiệu lực hoặc không có với Rule)

Hình 2- 37 Qui định loại nội dung trên rule

Tạo quy tắc truy cập Internet cho nhóm nhân viên: chỉ được truy cập Internet trong giờ nghỉ từ 12h đến 14h; đồng thời cấm chat trên Yahoo, cấm tải xuống các file có định dạng *.exe, *.rar và *.wmv; và chặn truy cập vào các trang http://ngoisao.net/ và http://buonchuyen.com/ để đảm bảo an toàn và hiệu quả công việc.

▪ Tạo Rule tương tự như nhóm trường phòng

▪ Để giới hạn giờ truy cập ta vào Properties → Schedule → New

▪ Cấm không được vào các trang : http://ngoisao.net/, http://buonchuyen.com/

▪ Chuột phải vào Rule chọn Configure HTTP → Signarure

Hình 2- 38 Cấu hình rule (Nhan Vien)

Cấu hình chế độ khởi động IPSec

- Dùng để mã hóa dữ liệu trên đường truyền

- Một nhóm 3 máy, khởi động chọn Windows server 2003 chưa nâng cấp lên Domain

Hình 2- 39 Mô hình triển khai IPSec

- X là số máy của PC01

- Disable card Cross cả 3 máy

6.3 Cài đặt Network Monitor Tool trên PC01 và PC02

To enable network monitoring, go to Start > Settings > Control Panel > Add/Remove Programs > Add/Remove Windows Components, select Management and Monitoring Tools, check Network Monitor Tools, then click OK and Next Then navigate to Start > Programs > Administrative Tools > Network Monitor; in the Microsoft Network Monitor window, click OK, and in the Select a Network dialog click the + sign beside Local Computer, choose the LAN card, and click OK Finally, in the Network Monitor window select Capture and then Start to begin capturing network traffic.

Lưu ý : để nguyên màn hình Network Monitor

B3: cả 2 máy PC01, PC02 ra cửa sổ Command Line, Ping địa chỉ IP card LAN lẫn nhau

B4: quay lại màn hình Network Monitor → chọn Capture → Stop and View

B5: double click lên dòng có Protocol là ICMP

B6: click vào dấu “+” ở mục ICMP: Echo Reply → chọn mục ICMP: data number of data bytes ramainning = 32

Lưu ý : dữ liệu của lệnh Ping được biểu diễn bằng 32 ký tự bắt đầu là a, b, c… 6.3 Cài đặt Network Monitor Tool trên PC01 và PC02

B1: Start → Settings →Control Panel → Add/Remove Programs → Add/Remove Windows Component → chọn mục Management and Monitoring Tools → Detail

→ đánh dấu chọn vào ô Network Monitor Tools → OK → Next

To monitor network traffic with Microsoft Network Monitor, go to Start > Programs > Administrative Tools > Network Monitor, and click OK In the Select a Network window, click the + icon next to Local Computer, choose your LAN card, and click OK In the Network Monitor window, select Capture and then Start to begin capturing traffic.

B3: cả 2 máy PC01, PC02 ra cửa sổ Command Line, Ping địa chỉ IP card LAN lẫn nhau

B4: quay lại màn hình Network Monitor → chọn Capture → Stop and View B5: double click lên dòng có Protocol là ICMP

B6: click vào dấu “+” ở mục ICMP: Echo Reply → chọn mục ICMP: data number of data bytes ramainning = 32

Lưu ý : dữ liệu của lệnh Ping được biểu diễn bằng 32 ký tự bắt đầu là a, b, c…

6.4 Cấu hình IPSEC trên PC01 và PC02

B1: Start → Run → gõ MMC Trong cửa sổ Console → chọn Menu File → chọn

Add/remove Snap-in → Add → kéo thanh trượt chọn mục IP Security Policy Management → Add → trong cửa sổ Select Computer or Domain, chọn ô Local Computer → Finish → Close → OK

From the Console window, right-click IP Security Policy on Local Computer and select Create IP Security Policy In the Welcome window, click Next, and in the IP Security Policy Name window, type "IPSEC with Preshare Key" in the Name field.

→ Next Trong cửa sổ Request for Secure Communication, bỏ dấu chọn tại mục Activate the default → Next → Finish Trong cửa sổ Test IP Sec Preshare Key

To configure the rule, open Properties and click Add In the Welcome window, click Next In the Tunnel Endpoint window, select "This rule does not specify a tunnel" and click Next In the Network Type window, choose Local Area Network (LAN) and click Next In the IP Filter List window, select "All IP Traffic" and click Next In the Filter Action window, choose "Require" and complete the setup.

Security → Next Trong cửa sổ Authentication Method, chọn mục Use this string to protect the key exchange, trong hộp thoại gõ “123” → Next → Finish

Lưu ý : cả 2 máy đều nhập đúng giá trị “123”

B3: click chuột phải lên IPSEC bang Preshare Key → Assign → lưu Console1 ra màn hình Desktop → đóng các cửa sổ đang có → cập nhật Policy (Gpupdate /force)

B4: Start → Programs → Administrative Tools → Services → click chuột phải lên IPSEC Service → Restart

B1: mở chương trình Network Monitor → chọn Capture → Start

B2: Máy PC02 ping địa chỉ card LAN của PC01

B3: quay lại màn hình Network Monitor → chọn Capture → chọn Stop and View

→ double click lên dòng có Protocol là ESP → chọn mục ESP

Lưu ý : dữ liệu trên đường truyền đã được mã hóa

B4: đóng các cửa sổ đang có Máy PC02 ping địa chỉ Card LAN của máy PC03

Nhận xét: máy PC02 và PC03 không liên lạc được với nhau

6.6 Cấu hình IP Fillter trên PC02

B1: mở Console1 ở màn hình Desktop → click chuột phải trên Test IPSec bang Preshare Key Properties → chọn All IP Traffic → Edit Trong cửa sổ Edit Rule

→ chọn All IP Traffic → Edit Trong cửa sổ IP Fillter List → Edit Trong cửa sổ

IP Fillter Properties → trong cửa sổ Destination address → chọn A specific IP Address → trong ô IP address gõ địa chỉ card LAN của máy PC01 → OK → OK

B2: Restart IPSec Service (làm tương tự như B4 phần 4 Cấu hình IPSec trên máy PC01 và PC02

B3: máy PC02 ping (ping với tham số -t) địa chỉ card LAN của máy PC01 thấy hệ thống thông báo Negotiating IP Security và đường truyền thông

B4: máy PC02 ping địa chỉ IP card LAN của máy PC03 thấy đường truyền vẫn thông.

Cấu hình các phương pháp chứng thực

▪ Cài đặt Enterprise Root CA

▪Cấp Certificate cho user User dung Certificate để signing và encrypt mail

Khi khóa bị hỏng hoặc thất lạc, người dùng không thể đọc được các email đã ký và mã hóa Việc Import key sẽ khôi phục khả năng đọc và mã hóa dữ liệu của người dùng về trạng thái bình thường, cho phép tiếp tục giao tiếp an toàn qua email.

▪ Yêu cầu hệ thống: 1 máy Windows Server 2003 đã nâng cấp Domain

Controller với Domain name là domX.com (với X là số thứ tự máy làm DC)

▪ Tạo các Object trong Active Directory: Logon Administrator

✓ Tạo OU TestCA, trong OU TestCA tạo user U1 (display name: cu Ti, password: 123)

✓ Khai báo E-mail address trong Properties của U1: U1@domX.com

✓ Cho user U1 làm thành viên của Group Print Operators (để U1 có quyền logon locally vào Domain Controller)

▪ Cài đặt và cấu hình Mail Server

✓ Khai báo Domain: trong cửa sổ Mdaemon 6: chọn menu Setup → primary Domain → nhập domain name và Helo domain, ví dụ: domX.com

✓Tạo Mailbox cho user U1: trong cửa sổ Mdaemon 6:chọn menu Accounts → New acount → nhập Full name: cu Ti, Mailbox name: U1, password: 123

▪ Tạo, kiểm tra và cấu hình mail account của U1: logon U1

✓ Tạo mail account cho U1 trong chương trình Outlook Express: nhập Full name: cu Ti, E-mail address: U1@domX.com, password: 123 Lưu ý: dùng

“localhost” hoặc địa chỉ IP để khai báo trong Incoming và Outgoing Server

✓ Kiểm tra hoạt động của Mail account: U1 gởi mail cho chính mình

✓ Cấu hình để lưu bản sao mail của trên Server: trong OE → menu Tools

→ Account → tab Mail → chọn Mailbox của U1 → Properties → tab Advanced

→ đánh dấu chọn mục “Lease a copy…”

▪ Cài đặt Enterprise Root CA

✓ Cài ASP.NET: logon Administrator: Start → settings → Control Panel

→ Add or Remove Programs → Add/remove Windows Component → chọn Details của Application Servers → chọn ASP.NET (hệ thống sẽ tự động chọn thêm Enable network COM+Access và IIS)

✓Cài Enterprise Root CA “domX”: Start → Settings → Control Panel

→ Add or Remove Programs → Add/remove Windows Component →chọn Certificate Services Lưu ý: chọn Enterprise Root CA và Enable Active Server Page

▪Cấp Certificate cho users: User dùng Certificate để Signing, encrypt mail

✓ Logon U1, xin Certificate: mở chương trình IE, nhập địa chỉ: http://localhost/certsrv → Request a certificate → Submit → Install this certificate → YES

✓ Kiểm tra Certificate của U1: Start → Run → MMC → Add/remove Snap-in → Add → chọn Certificates → Add → Close Lưu console trên Desktop với tên “U1_Cert.msc”

✓ Logon U1, gởi mail có signing và encrypt cho chính mình

Open the Windows Certificate Console U1_Cert.msc saved in step 2b, right-click the U1 certificate and choose Export In the Certificate Export Wizard, select "Yes, export private key," then click Next, choose the "Personal Information Exchange" option and enable "Enable strong protection," then click Next Enter the password 123 and confirm it as 123, then click Next Click Browse, create the folder C:\Certkey, and name the exported file cuti.pfx, then click Next Finally, select "Place all certificates in the following store:" and choose "Personal," then click Next and Finish.

▪ Giả lập Key bị thất lạc

✓ Logon Administrator, xóa Profile của U1

✓ Logon U1 xem lại mail đã Signing và encrypt trước đó

✓ Logon U1, tạo lại console U1_cert.msc (xem 2b), dùng console certificate để import key từ file pfx

✓ Xem lại mail đã signing và encrypt trước đó

SSL (Secure sockets layer)

- Nội dung: Xin Certificate cho Web Server để User truy cập bằng HTTPS (HTTP SECURE)

▪ Yêu cầu hệ thống: một máy Domain Controller

▪ Cài trang Web default: Intpub\wwwroot\default.htm

✓Nhập địa chỉ trong IE: http://localhost : trang web thể hiện bình thường

✓Nhập địa chỉ trong IE: https://localhost : trang web không thể hiển thị

▪ Xin Certificate cho Web Server

✓ Mở Properties cùa IIS: Start → Programs →Administrative Tools → Internet Information Services (IIS) Manager → click phải chuột vào Default web site → Properties

✓ Xin Certificate: trong tab Directory Security → chọn Server

Certificate… →Next → chọn Create a new certificate → Next → chọn Send the request inmmediately… → Next → nhập các thông tin theo yêu cầu… → chọn port SSL là 443… → Finish

▪ Truy cập Web default bằng https

✓ Nhập địa chỉ trong IE: https://localhost: hệ thống cảnh báo → chọn Yes → trang web hiển thị bình thường.

Bảo mật thư điện tử (Email Security) và mã hóa thông điệp

▪ Dùng Certificate để mã hóa Email

▪ Một máy Windows Server 2003 (Stand-Alone)

▪ Tạo 2 Local user account là U1 và U2

✓ Tạo 2 Mailbox có username/password là U1/123 và U2/123

▪ Logon U1 → setup Outlook Express → gởi mail cho chính mình

▪ Logon U2 → setup Outlook Express → gởi mail cho chính mình

▪ B1: U1 gởi mail cho U2 (không mã hóa), Admin sửa mail của U2, U2 không phát hiện

✓ Dùng Windows Explorer → C:\Mdaemon\users\donX.com\U2

✓ Sửa file md5xxxxxxxxxxxxxx.msg (thêm dòng chữ hello vào phần body của email)

✓ logon U2, check mail → mail đã bị sửa mà U2 không biết

▪ B2: Cài đặt Stand-alone Root CA

▪ Cài ASP.NET: logon Administrator

✓Start → Control Panel → Add/Remove Programs → Add/Remove Windows Components → Application Server → Detail → ASP.net → OK → Next…

✓ Lưu ý : hoàn tất bước cài đặt ASP.net trước khi sang bước khác

▪ Install Stand-alone root CA

✓click menu Start → Control Panel → Add/Remove Programs → Add/Remove Windows Components → Certificate Services → Stand-alone root

CA → Next → Common Name for this CA: domX → chấp nhận các giá trị mặc định → chọn Yes khi được Hỏi: “ Do you want to Enable Active Server page Now?”

▪ B3: Các User xin Certificate để mã hóa email

✓ Mở IE → dòng Address gõ vào: http://localhost/certsrv → Request a certificate → E-mail Protection Certificate → Name: U1, Email: u1@domX.com → click Submit → chọn Yes

✓ Mở IE → dòng Address gõ vào: http://localhost/certsrv → Request a certificate → E-mail Protection Certificate → Name: U2, Email: u2@domX.com → click Submit → chọn Yes

▪ Administrator cấp Certificate cho U1 và U2

✓ Logon Administrator → Start → Administrative Tools →

Certification Authority → domX → Pending requests → chọn 2 certificate → click phải chuột → All Tasks → Issue

✓ Chọn Issue Certificates → thấy 2 certificate đã cấp cho U1 và U2

✓ Double click vào certificate của U1 → đọc lại các thông tin trong tab Gernaral → đọc các thông tin trong tab Details

✓ Lưu ý: thông tin trên 2 dòng Subject và Public key

✓ Click menu Start → Run → gõ http://localhost/certsrv → View the status of a pending certificate request → E-mail Protection Certificate → Install this certificate

▪ U2 gởi mail cho U1 có Signing

✓ Soạn thư mới → Sign → Send

✓ Mở Windows Explorer → C:\Mdaemon\Users\domX.com\U1

✓ Sửa file md5xxxxxxxxx.msg

✓ Click open mail → U1 vẫn đọc được mail nhưng biết mail đã bị sửa

▪ U1 gởi mail cho U2: có Sign và encrypt

✓ Soạn mail → click Address book → click U2 → click to → OK

✓ Click Sign, click encrypt → Send

✓ Mở Windows Explorer → C:\Mdaemon\Users\domX.com\U1

✓ Sửa file md5xxxxxxxxx.msg

✓ Mở OE → U2 không đọc được mail

MẬT MÃ VÀ BẢO MẬT DỮ LIỆU

CHỨNG NHẬN VÀ QUẢN LÝ KHÓA

VIRUS VÀ CÁCH PHÒNG CHỐNG

Tiêu đề	An toàn mạng và bảo mật dữ liệu
Người hướng dẫn	Ths. Phạm Đắc Hậu – Trưởng Khoa Công Nghệ Thông Tin
Trường học	Trường Trung cấp nghề Quang Trung
Chuyên ngành	Quản trị mạng máy tính
Thể loại	Giáo trình
Năm xuất bản	2021
Thành phố	Tp. Hồ Chí Minh

Định dạng
Số trang	74
Dung lượng	1,99 MB