An ninh mạng máy tính

Ðể làm giảm nhiệm vụ truyền thông của máy tính trung tâm và số lượng các liên kết giữa máy tính trung tâm với các thiết bị đầu cuối, IBM và các công ty máy tính khác đã sản xuất một số c

tế chậm phát triển Vì lý do đó, việc lưu giữ, trao đổi và quản lý tốt nguồn tài nguyên thông tin để sử dụng đúng mục đích, không bị thất thoát đã là mục tiêu hướng tới của không chỉ một ngành, một quốc gia mà của toàn thế giới

NỘI DUNG PHẦN 1: TỔNG QUAN VỀ MẠNG MÁY TÍNH

CHƯƠNG 1: MẠNG MÁY TÍNH

1.1 Lịch sử phát triển mạng máy tính

Vào giữa những năm 50 khi những thế hệ máy tính đầu tiên được đưa vào hoạt động thực tế với những bóng đèn điện tử thì chúng có kích thước rất cồng kềnh và tốn nhiều năng lượng Hồi đó việc nhập dữ liệu vào các máy tính được thông qua các tấm bìa mà người viết chương trình đã đục lỗ sẵn Mỗi tấm bìa tương đương với một dòng lệnh mà mỗi một cột của nó có chứa tất cả các ký tự cần thiết mà người viết chương trình phải đục lỗ vào ký tự mình lựa chọn Các tấm bìa được đưa vào một

"thiết bị" gọi là thiết bị đọc bìa mà qua đó các thông tin được đưa vào máy tính (hay còn gọi là trung tâm xử lý) và sau khi tính toán kết quả sẽ được đưa ra máy in Như vậy các thiết bị đọc bìa và máy in được thể hiện như các thiết bị vào ra (I/O) đối với

máy tính Sau một thời gian các thế hệ máy mới được đưa vào hoạt động trong đó một máy tính trung tâm có thể được nối với nhiều thiết bị vào ra (I/O) mà qua đó nó

có thể thực hiện liên tục hết chương trình này đến chương trình khác

Cùng với sự phát triển của những ứng dụng trên máy tính các phương pháp nâng cao khả năng giao tiếp với máy tính trung tâm cũng đã được đầu tư nghiên cứu rất nhiều Vào giữa những năm 60 một số nhà chế tạo máy tính đã nghiên cứu thành công những thiết bị truy cập từ xa tới máy tính của họ Một trong những phương pháp thâm nhập từ xa được thực hiện bằng việc cài đặt một thiết bị đầu cuối ở một vị trí cách xa trung tâm tính toán, thiết bị đầu cuối này được liên kết với trung tâm bằng việc sử dụng đường dây điện thoại và với hai thiết bị xử lý tín hiệu (thường gọi là Modem) gắn ở hai đầu và tín hiệu được truyền Những dạng đầu tiên của thiết bị đầu cuối bao gồm máy đọc bìa, máy in, thiết bị xử lý tín hiệu, các thiết bị cảm nhận Việc liên kết từ xa đó có thể thực hiên thông qua những vùng khác nhau và đó là những dạng đầu tiên của hệ thống mạng Trong lúc đưa ra giới thiệu những thiết bị đầu cuối

từ xa, các nhà khoa học đã triển khai một loạt những thiết bị điều khiển, những thiết

bị đầu cuối đặc biệt cho phép người sử dụng nâng cao được khả năng tương tác với máy tính Một trong những sản phẩm quan trọng đó là hệ thống thiết bị đầu cuối

3270 của IBM Hệ thống đó bao gồm các màn hình, các hệ thống điều khiển, các thiết bị truyền thông được liên kết với các trung tâm tính toán Hệ thống 3270 được giới thiệu vào năm 1971 và được sử dụng dùng để mở rộng khả năng tính toán của trung tâm máy tính tới các vùng xa Ðể làm giảm nhiệm vụ truyền thông của máy tính trung tâm và số lượng các liên kết giữa máy tính trung tâm với các thiết bị đầu cuối, IBM và các công ty máy tính khác đã sản xuất một số các thiết bị sau:

Vào năm 1974 công ty IBM đã giới thiệu một loạt các thiết bị đầu cuối được chế tạo cho lĩnh vực ngân hàng và thương mại, thông qua các dây cáp mạng các thiết bị đầu cuối có thể truy cập cùng một lúc vào một máy tính dùng chung Với việc liên kết các máy tính nằm ở trong một khu vực nhỏ như một tòa nhà hay là một khu nhà thì tiền chi phí cho các thiết bị và phần mềm là thấp Từ đó việc nghiên cứu khả năng

sử dụng chung môi trường truyền thông và các tài nguyên của các máy tính nhanh chóng được đầu tư

Vào năm 1977, công ty Datapoint Corporation đã bắt đầu bán hệ điều hành mạng

của mình là "Attached Resource Computer Network" (hay gọi tắt là Arcnet) ra thị trường Mạng Arcnet cho phép liên kết các máy tính và các trạm đầu cuối lại bằng dây cáp mạng, qua đó đã trở thành là hệ điều hành mạng cục bộ đầu tiên

Từ đó đến nay đã có rất nhiều công ty đưa ra các sản phẩm của mình, đặc biệt khi các máy tính cá nhân được sử dụng một cánh rộng rãi Khi số lượng máy vi tính trong một văn phòng hay cơ quan được tăng lên nhanh chóng thì việc kết nối chúng trở nên vô cùng cần thiết và sẽ mang lại nhiều hiệu quả cho người sử dụng

Ngày nay với một lượng lớn về thông tin, nhu cầu xử lý thông tin ngày càng cao Mạng máy tính hiện nay trở nên quá quen thuộc đối với chúng ta, trong mọi lĩnh vực như khoa học, quân sự, quốc phòng, thương mại, dịch vụ, giáo dục Hiện nay ở nhiều nơi mạng đã trở thành một nhu cầu không thể thiếu được Người ta thấy được việc kết nối các máy tính thành mạng cho chúng ta những khả năng mới to lớn như:

Sử dụng chung tài nguyên: Những tài nguyên của mạng (như thiết bị, chương trình, dữ liệu) khi được trở thành các tài nguyên chung thì mọi thành viên của mạng đều có thể tiếp cận được mà không quan tâm tới những tài nguyên đó ở đâu Tăng độ tin cậy của hệ thống: Người ta có thể dễ dàng bảo trì máy móc và lưu trữ (backup) các dữ liệu chung và khi có trục trặc trong hệ thống thì chúng có thể được khôi phục nhanh chóng

- Sự phát triển của Internet:

Tiền thân của mạng Internet ngày nay là mạng ARPANET Cơ quan quản lý dự án nghiên cứu phát triển ARPA thuộc bộ quốc phòng Mỹ liên kết 4 địa điểm đầu tiên vào tháng 7 năm 1969 bao gồm: Viện nghiên cứu Stanford, Đại học California, Los Angeles, Đại học Utah và Đại học California, Santa Barbara Đó chính là mạng liên khu vực (Wide Area Network - WAN) đầu tiên được xây dựng

Thuật ngữ “Internet” xuất hiện lần đầu vào khoảng năm 1974 Lúc đó mạng vẫn được gọi là ARPANET Năm 1983, giao thức TCP/IP chính thức được coi như một chuẩn đối với ngành quân sự Mỹ và tất cả các máy tính nối với ARPANET phải sử dụng chuẩn mới này Năm 1984, ARPANET được chia ra thành hai phần: phần thứ nhất vẫn được gọi là ARPANET, dành cho việc nghiên cứu và phát triển; phần thứ hai được gọi là MILNET, là mạng dùng cho các mục đích quân sự

Giao thức TCP/IP ngày càng thể hiện rõ các điểm mạnh của nó, quan trọng nhất là khả năng liên kết các mạng khác với nhau một cách dễ dàng Chính điều này cùng với các chính sách mở cửa đã cho phép các mạng dùng cho nghiên cứu và thương mại kết nối được với ARPANET, thúc đẩy việc tạo ra một siêu mạng (SuperNetwork) Năm 1980, ARPANET được đánh giá là mạng trụ cột của Internet Mốc lịch sử quan trọng của Internet được xác lập vào giữa thập niên 1980 khi tổ chức khoa học quốc gia Mỹ NSF thành lập mạng liên kết các trung tâm máy tính lớn với nhau gọi là NSFNET Nhiều doanh nghiệp đã chuyển từ ARPANET sang NSFNET và do đó sau gần 20 năm hoạt động, ARPANET không còn hiệu quả đã ngừng hoạt động vào khoảng năm 1990

Sự hình thành mạng xương sống của NSFNET và những mạng vùng khác đã tạo

ra một môi trường thuận lợi cho sự phát triển của Internet Tới năm 1995, NSFNET thu lại thành một mạng nghiên cứu còn Internet thì vẫn tiếp tục phát triển

Với khả năng kết nối mở như vậy, Internet đã trở thành một mạng lớn nhất trên thế giới, mạng của các mạng, xuất hiện trong mọi lĩnh vực thương mại, chính trị, quân sự, nghiên cứu, giáo dục, văn hoá, xã hội… Cũng từ đó, các dịch vụ trên Internet không ngừng phát triển tạo ra cho nhân loại một thời kỳ mới: kỷ nguyên thương mại điện tử trên Internet

1.2 Nhu cầu và mục đích của việc kết nối các máy tính thành mạng:

Việc nối máy tính thành mạng từ lâu đã trở thành một nhu cầu khách quan bởi vì:

- Có rất nhiều công việc về bản chất là phân tán hoặc về thông tin, hoặc về xử lý hoặc cả hai đòi hỏi có sự kết họp truyền thông với xử lý hoặc sử dụng phương tiện từ

xa

- Chia sẻ các tài nguyên trên mạng cho nhiều người sử dụng tại một thời điểm (ổ cứng, máy in, ổ CD ROM )

- Nhu cầu liên lạc, trao đổi thông tin nhờ phương tiện máy tính

- Các ứng dụng phần mềm đòi hòi tại một thời điểm cần có nhiều người sử dụng, truy cập vào cùng một cơ sở dữ liệu

Chính vì vậy, việc kết nối các máy tính thành mạng nhằm mục đích:

- Chia sẻ tài nguyên:

- Chia sẻ dữ liệu: về nguyên tắc, bất kỳ người sử dụng nào trên mạng đều có

quyền truy nhập, khai thác và sử dụng những tài nguyên chung của mạng (thường được tập trung trên một Máy phục vụ - Server) mà không phụ thuộc vào vị trí địa lý của người sử dụng đó

- Chia sẻ phần cứng: Tài nguyên chung của mạng cũng bao gồm các máy móc, thiết bị như: Máy in (Printer), Máy quét (Scanner), Ố đĩa mềm (Floppy), Ố đĩa CD (CD Rom), được nối vào mạng Thông qua mạng máy tính, người sử dụng có thể

sử dụng những tài nguyên phần cứng này ngay cả khi máy tính của họ không có những phần cứng đó

- Duy trì và bảo vệ dữ liệu: Một mạng máy tính có thể cho phép các dữ liệu được

tự động lưu trữ dự phòng tới một trung tâm nào đó trong mạng Công việc này là hết sức khó khăn và tốn nhiều thời gian nếu phải làm trên từng máy độc lập Hơn nữa, mạng máy tính còn cung cấp một môi trường bảo mật an toàn cho mạng qua việc cung cấp cơ chế Bảo mật (Security) bàng Mật khẩu (Password) đối với từng người sử dụng, hạn chế được việc sao chép, mất mát thông tin ngoài ý muốn

Nâng cao độ tin cậy của hệ thống nhờ khả năng thay thế cho nhau khi xảy ra sự

cố kỹ thuật đối với một máy tính nào đó trong mạng

- Khai thác có hiệu quả các cơ sở dữ liệu tập trung và phân tán, nâng cao khả năng tích họp và trao đổi các loại dữ liệu giữa các máy tính trên mạng

1.3 Đặc trưng kỹ thuật của mạng máy tính

Một mạng máy tính có các đặc trưng kỹ thuật cơ bản là: đường truyền, kỹ thuật chuyển mạch, kiến trúc mạng và hệ điều hành mạng

1.3.1 Đường truyền

Là thành tố quan trọng của một mạng máy tính, là phương tiện dùng để truyền các tín hiệu điện tử giữa các máy tính Các tín hiệu điệu tử đó chính là các thông tin, dữ liệu được biểu thị dưới dạng các xung nhị phân (ON - OFF), mọi tín hiệu truyền giữa các máy tính với nhau đều thuộc sóng điện từ, tuỳ theo tần số mà ta có thể dùng các đường truyền vật lý khác nhau để truyền tín hiệu

- Các tần so radio có thể truyền bằng cáp điện (giây xoắn đôi hoặc đồng trục) hoặc bằng phương tiện quảng bá (radio broadcasting)

- Sóng cực ngắn (viba) thường được dùng để truyền giữa các trạm mặt đất và các

vệ tinh Chúng cũng được dùng để truyền các tín hiệu quảng bá từ một trạm phát đến

nhiều trạm thu Mạng điện thoại “tổ ong” (cellular phone Network) là một ví dụ cho cách dùng này

- Tia hồng ngoại là lý tưởng đối với nhiều loại truyền thông mạng Nó có thể được truyền giữa hai điểm hoặc quảng bá từ một điểm đến nhiều máy thu Tia hồng ngoại

và các tần số cao hơn của anh sáng có thể được truyền qua cáp sợi quang

- Các đặc trưng cơ bản của đường truyền là giải thông (bandwidth), độ suy hao và

- Độ suy hao của một đường truyền là độ đo sự yếu đi của tín hiệu trên đường truyền đó, nó cũng; phụ thuộc vào độ dài cáp Còn độ nhiễu điện từ EMI (Electromagnetic Interference) gây ra bởi tiếng ồn từ bên ngoài làm ảnh hưởng đến tín hiệu trên đường truyền

Thông thuờng người ta hay phân loại đường truyền theo hai loại:

• Đường truyền hữu tuyến: các máy tính được nối với nhau bằng các dây cáp mạng Đường truyền hữu tuyến gồm có:

- Cáp đồng trục (Coaxial cable)

- Cáp xoắn đôi (Twisted pair cable) gồm 2 loại có bọc kim (stp - shielded twisted pair) và không bọc kim (utp - unghielded twisted pair)

- Cáp sợi quang (Fiber optic cable)

• Đường truyền vô tuyến: các máy tính truyền tín hiệu với nhau thông qua các sóng vô tuyến với các thiết bị điều chế/giải điều chế ở các đầu mút Đường truyền vô tuyến gồm có: Radio, Sóng cực ngắn (Viba), Tia hồng ngoại (Infrared)

1.3.2 Kỹ thuật chuyển mạch

Là kỹ thuật chuyển tín hiệu giữa các nút trong mạng, các nút mạng có chức năng hướng thông tin tới đích nào đó trong mạng, hiện tại có các kỹ thuật chuyển mạch như sau:

- Kỹ thuật chuyển mạch kênh: Khi có hai thực thể cần truyền thông với nhau thì giữa chúng sẽ thiết lập một kênh cố định và duy trì kết nối đó cho tới khi hai bên ngắt liên lạc Các dữ liệu chỉ truyền đi theo con đường cố định đó

- Kỹ thuật chuvển mạch thông báo: Thông báo là một đơn vị dữ liệu của người

sử dụng có khuôn dạng được quy định trước Mỗi thông báo có chứa các thông tin điều khiển trong đó chỉ rõ đích cần truyền tới của thông báo Căn cứ vào thông tin điều khiển này mà mỗi nút trung gian có thể chuyển thông báo tới nút kế tiếp trên con đường dẫn tới đích của thông báo

- Kỹ thuật chuyển mạch gói: ở đây mỗi thông báo được chia ra thành nhiều gói nhỏ hơn được gọi là các gói tin (Packet) có khuôn dạng qui định trước Mỗi gói tin cũng chứa các thông tin điều khiển, trong đó có địa chỉ nguồn (người gửi) và địa chỉ đích (người nhận) của gói tin Các gói tin của cùng một thông báo có thể được gửi đi qua mạng tới đích theo nhiều con đường khác nhau

1.3.3 Kiến trúc mạng

Kiến trúc mạng (Network Architecture) thể hiện cách nối giữa các máy tính trong mạng và tập hợp các quy tắc, quy ước nào đó mà tất cả các thực thể tham gia truyền thông trên mạng phải tuân theo để đảm bảo cho mạng hoạt động tốt Cách nối các máy tính với nhau được gọi là hình trạng mạng (Network Topology); còn tập hợp các qui tắc, qui ước truyền thông thì được gọi là giao thức của mạng (Network Protocol)

- Theo kiểu điểm - đa điểm: Tất cả các nút phân chia chung một đường truyền vật

lý Dữ liệu gửi đi từ một nút nào đó sẽ có thể được tiếp nhận bởi tất cả các nút còn lại Bởi vậy cần chỉ ra địa chỉ đích của dữ liệu để mỗi nút căn cứ vào đó kiểm tra

xem dữ liệu có phải gửi cho mình hay không Mạng trục tuyến tính (Bus), mạng hình vòng (Ring), mạng Satellite (Vệ tinh) hay Radio là những mạng có cấu trúc điểm -

đa điểm phổ biến

Những hình trạng mạng cơ bản này sẽ được giới thiệu rõ hơn trong mục phân loại mạng máy tính theo hình trạng mạng

1.3.3.2 Giao thức mạng

Việc trao đổi thông tin dù là đơn giản nhất, cũng phải tuân theo những; quy tắc nhất định Đơn giản như khi hai người nói chuyện với nhau muốn cho cuộc nói chuyện có kết quả thì ít nhất cả hai cũng phải ngầm hiểu và tuân thủ quy ước: khi một người nói thì người kia phải nghe và ngược lại Việc truyền thông trên mạng cũng vậy, cần có các quy tắc, quy ước truyền thông về nhiều mặt: khuôn dạng cú pháp của dữ liệu, các thủ tục gửi, nhận dữ liệu, kiểm soát hiệu quả và chất lượng truyền tin Tập hợp những quy tắc quy ước truyền thông đó được gọi là giao thức của mạng (Network Protocol)

Có rất nhiều giao thức mạng, các mạng có thể sử dụng các giao thức khác nhau tùy sự lựa chọn của người thiết kế Tuy vậy, các giao thức thường gặp nhất là : TCP/IP, NETBIOS, IPX/SPX

1.3.3.3 Hệ điều hành mạng

Hệ điều hành mạng là một phần mềm hệ thống có các chức năng sau:

- Quản lý tài nguyên của hệ thống, các tài nguyên này gồm:

Tài nguyên thông tin (về phương diện lưu trữ) hay nói một cách đơn giản là quản lý tệp Các công việc về lưu trữ tệp, tìm kiếm, xoá, copy, nhóm, đặt các thuộc tính đều thuộc nhóm công việc này

Tài nguyên thiết bị Điều phối việc sử dụng CPU, các ngoại vi để tối ưu hoá việc

sử dụng

- Quản lý người dùng và các công việc trên hệ thống

Hệ điều hành đảm bảo giao tiếp giữa người sử dụng, chương trình ứng dụng với thiết

bị của hệ thống

- Cung cấp các tiện ích cho việc khai thác hệ thống thuận lợi (Ví Dụ FORMAT đĩa, sao chép tệp và thư mục, in ấn chung ) Các hệ điều hành mạng thông dụng nhất hiện nay là: WindowsNT, Windows9X, Windows 2000, Unix, Novell

1.4 Phân loại mạng máy tính

Có nhiều cách phân loại mạng khác nhau tùy thuộc vào yếu tố chính được chọn làm chỉ tiêu phân loại như:

- Khoảng cách địa lý của mạng

- Kỹ thuật chuyển mạch áp dụng trong mạng

Mặt khác, nhu cầu về các dịch vụ dữ liệu phát triển mạnh mẽ, Internet ngày càng phổ biến rộng rãi, xu thế tích hợp IP/ATM/MPLS cho mạng đường trục cùng với sự phát triển của nền viễn thông thế giới đòi hỏi phải có một mạng mới có băng tần rộng, hiệu suất cao, hỗ trợ nhiều dịch vụ, đơn giản về cấu trúc và quản lý, dễ dàng phát triển dịch vụ và nhanh chóng cung cấp đến khách hàng Có 2 sự lựa chọn: một

là xây dựng một cơ sở hạ tầng hoàn toàn mới, hai là xây dựng một mạng có khả năng cung cấp các dịch vụ IP bằng cách nâng cấp trên cơ sở hạ tầng mạng PSTN có sẵn Việc xây dựng một cơ sở hạ tầng mới là chuyện khó làm được trong thời gian ngắn,

và sẽ tốn khá nhiều chi phí Cho nên mạng thế hệ mới NGN (Next Generation Network) đã được hình thành và phát triển

Hiện nay có 6 doanh nghiệp được phép cung cấp các dịch vụ viễn thông là VNPT, Viettel, EVN, SPT, viễn thông Hàng Hải Trong đó ngoại trừ công ty viễn thông Hàng Hải, các công ty khác đều đang cung cấp dịch vụ gọi VoIP đường dài trong nước và quốc tế Chương này sẽ giới thiệu tình hỉnh triển khai NGN của VNPT

1.5.2 Giải pháp SURPASS của SIEMENS

Hiện nay NGN của VNPT đang được triển khai dựa trên giải phải SURPASS của Siemeng Đây là mạng có hạ tầng thông tin duy nhất dựa trên công nghệ chuyển mạch gói được VNPT lựa chọn để thay thế cho mạng chuyển mạch kênh truyền thống Với ưu thế cấu trúc phân lớp theo chức năng và sử dụng rộng rãi các giao diện API để kiến tạo dịch vụ mà không phụ thuộc nhiều vào các nhà cung cấp thiết bị và khai thác mạng, công nghệ NGN đã đáp ứng được yêu cầu kinh doanh trong tình hình mới là dịch vụ đa dạng, giá thành thấp, đầu tư hiệu quả và tạo được nguồn doanh thu mới Đây là mạng sử dụng công nghệ chuyển mạch gói với đặc tính linh hoạt, ứng dụng những tiến bộ của công nghệ thông tin và công nghệ truyền dẫn quang băng thông rộng nên tích hợp được dịch vụ thoại và dịch vụ truyền số liệu Cấu trúc mạng Surpass được thể hiện ở hình dưới, giải pháp này gồm 4 vấn đề:

Tên thiết bị Hình thể hiện Chức năng

hiQ4000 – nền tảng dịch vụ mở hiQ30 – Server danh bạ

hiQ20 – bộ giữ cổng, Server định tuyến và đăng

kí H.323, hiQ10 – Radius Server, AAA Server

kế hiG1000 –cổng phương tiện cho các đường trung

SURPASS hiT

hiT7550 – MTS hiT7540 – OCU hiT7070 – SC/DC hiT7050 – FP1/FP2 hiT7030 - CPE

1.5.3 Mạng chuyển mạch thế hệ mới:

Cấu trúc chuyển mạch của SURPASS dựa trên mô hình do MSF đưa ra Đối với VoIP đang triển khai thì vấn đề cần quan tâm nhất trong chuyển mạch thế hệ mới là trung kế ảo (VT)

Trung kế ảo là khái niệm để chỉ đường trung kế được thiết lập một cách logic trong softswitch để quản lý đường trung kế tương ứng đối với cổng phương tiện Trung kế

ảo cho phép tích hợp các dạng dữ liệu khác nhau trên cùng một mạng và cung cấp khả năng mở rộng mạng một cách linh hoạt

Sử dụng trung kế ảo cho phép tính tóan các thông số mạng: số kết nối tối đa, đặc tính của từng thuê bao, băng thông cung cấp cho từng dịch vụ, báo hiệu, khả năng xử lý

và QoS tối ưu theo yêu cầu Giải pháp SURPASS của Siemeng sử dụng báo hiệu SS7

1.5.4 Mạng truy nhập thế hệ mới:

Truy nhập thế hệ mới được đưa ra trong SURPASS gồm có các thành phần:

SURPASS Evoling Voice Access: kết nối các loại giao diện của thuê bao hiện tại tới mạng lõi NGN, hỗ trọ các dịch vụ chuyển mạch một cách đầy đủ thông qua các giao diện mở (các giao diệnnày có thể giao tiếp với mạng hiện tại hay mạng IP) Giải pháp này cho phép việc tiến lên mạng thế hệ mới nhanh chóng tại mọi thời điểm Truy nhập băng rộng: cho phép sử dụng truy nhập băng rộng (DSL)

Truy nhập đa dịch vụ: cho phép tất cả các dịch vụ băng hẹp cũng như băng rộng trên cùng một platform SIEMENS cũng đưa ra giải pháp cho quá trình quá độ Các mạng PSTN, ATM/IP cùng tồn tại và mạng ATM/IP chưa xử lý ứng dụng thoại Các sản phẩm tương ứng cho giải pháp này là hiA (hiA7100, hiA7300)

- Mạng truyền tải thế hệ mới:

Truyền tải thế hệ sau sử dụng công nghệ truyền dẫn quang (SDH, DWDM) và truyền dẫn vi ba

1.5.5 Mạng quản lý thế hệ mới:

Mạng NGN (Next Generation Network) giúp tối ưu cấu hình và hoạt động, bảo mật cho các thành phần tạo thành NGN trong SURPASS Nguyên lý của giải pháp này là dựa trên quản lý phần tử, quản lý miền và các ứng dụng

Phần quản lý mạng hỗ trợ chức năng OAM (quản lý, vận hành, bảo dưỡng) phát hiện xử lý lỗi, định dạng cấu hình, tính cước và quản lý hoạt động cũng như sự bảo mật mạng Hệ quản lý mạng viễn thông TNMS quản lý từ các phần tử đến các miền hoạt động sử dụng công nghệ quang Các miền hoạt động có thể là PDH, SDH, DWDM

1.5.6 Mạng NGN của VNPT:

Như đã giới thiệu ở trên NGN của VNPT hiện nay đang áp dụng giải pháp SURPASS của SIEMENS

Cấu trúc mạng thế hệ sau NGN của VNPT phải đảm bảo các yêu cầu sau đây:

- Cung cấp các dịch vụ thoại và truyền số liệu bao gồm: thoại, fax, di động, ATM, IP, IP-VPN, FR, X25, xDSL, IN v v trên cơ sở hạ tầng thông tin thống nhất

- Mạng có cấu trúc đơn giản, giảm tối thiểu cấp chuyển mạch nhằm nâng cao chất lượng dịch vụ và hạ thấp giá thành dịch vụ

- Cấu trúc phải có tính mở, có độ linh hoạt và tính sẵn sàng cung cấp dịch vụ cao

- Cấu trúc mạng phải đảm bảo tính an toàn mạng lưới nhằm duy trì chất lượng dịch vụ

- Bảo toàn vốn đầu tư của VNPT với mạng hiện tại

- Cấu trúc mạng được tổ chức không phụ thuộc vào địa giới hành chính

- Hệ thống quản lý mạng, quản lý dịch vụ có tính tập trung cao, bảo đảm việc cung cấp dịch vụ đến tận các thuê bao thuộc các vùng hành chính khác nhau

1.5.7 Lớp truy nhập:

Gồm toàn bộ các node truy nhập hữu tuyến và vô tuyến, các node truy nhập của các vùng lưu lượng chỉ được kết nối đến node chuyển mạch đường trục của vùng đó, không được kết nối đến node đường trục của vùng khác

Được triển khai gồm một Media Gateway kết nối với mạng PSTN phục vụ cho dịch vụ VoIP và bộ BRAS kết nối trực tiếp với thiết bị DSLAM-HUB với khả năng chuyển mạch 10Gb/s, sử dụng công nghệ xDSL, có thể hỗ trợ các kết nối ADSL,

SHDSL Với hạ tầng mạng xDSL này, VNPT đã cung cấp các dịch vụ truy nhập Internet băng rộng MegaVNN tại nhiều tỉnh/thành phố trên cả nước Các thiết bị:

MG, BRAS, DSLAM

1.5.8 Lớp truyền tải:

Gồm các node chuyển mạch ATM+IP và các hệ thống truyền dẫn thực hiện chức năng chuyển mạch, định tuyến các cuộc gọi giữa các thuê bao của lớp truy nhập dưới

sự điều khiển của thiết bị điều khiển cuộc gọi thuộc lớp điều khiển

Được tổ chức thành 2 cấp: cấp đường trục quốc gia và cấp vùng

Ba nút trục quốc gia đặt tại Hà Nội, TPHCM và Đà Nẵng và 24 nút vùng đặt tại các tỉnh/thành phố trọng điểm khác với băng thông các tuyến trục là STM-16 (2,5Gbps)

và vùng là STM-1 (155Mbps) dựa trên truyền dẫn SDH

Hình 2: Mô hình NGN của VNPT

Ba Router lõi M160 Juniper (hiện nay đang được thay thế bằng M320) đặt tại Hà Nội, HCM, Đà Nẵng có khả năng chuyển mạch là 160Gbps, và 24 Edge Router ERX1410 Juniper (hiện đang dần được thay thế bằng ERX1440) đặt tại các nút vùng thuộc 24 tỉnh, thành phố trọng điểm

Hệ thống Softswitch bao gồm các chức năng về điều khiển hệ thống mạng, cung cấp các giao diện mở API để dễ dàng cho việc phát triển các ứng dụng dịch vụ, hỗ trợ nhiều loại giao thức điều khiển khác nhau như MGCP, H.323, Megaco/H.248, SIP… Hệ thống các serve ứng dụng (tùy theo từng loại hình dịch vụ Server ứng dụng

có thể đặt tập trung hoặc phân tán) Bên cạnh đó hệ thống quản lý mạng tập trung và

hệ thống tính cước tập trung góp phần quan trọng trong quản lý, vận hành và điều hành mạng

Hình 3: Mô hình kết nối tại các tỉnh

1.5.10 Lớp dịch vụ/ ứng dụng:

Được tổ chức thành một cấp duy nhất cho toàn mạng nhằm đảm bảo cung cấp dịch vụ đến tận nhà thuê bao một cách thống nhất và đồng bộ VNPT cung cấp nhiều dịch vụ trên nền NGN: dịch vụ thẻ trả trước 1719, dịch vụ 1800, 1900, hội nghị truyền hình

Hình 4: Mô hình kết nối mạng trục VNPT

- Phân vùng lưu lượng:

Cấu trúc mạng thế hệ sau được xây dựng dựa trên phân bố thuê bao theo vùng địa

lý, không tổ chức theo địa bàn hành chính mà được phân theo vùng lưu lượng Trong một vùng có nhiều khu vực, trong khu vưc có thể gồm 1 hoặc nhiều tỉnh thành Số lượng các tỉnh thành trong một khu vực tuỳ theo số lượng thuê bao của tỉnh thành đó Căn cứ vào phân bố thuê bao, mạng NGN của VNPT được phân thành 5 vùng lưu lượng như sau:

+ Vùng1: phía Bắc trừ Hà Nội, Hà Tây, Bắc Ninh, Bắc Giang, Hưng Yên

+ Vùng 2: Hà Nội, Hà Tây, Bắc Ninh, Bắc Giang và Hưng Yên

+ Vùng 3: các tỉnh miền Trung và Tây Nguyên

+ Vùng 4: TPHCM

+ Vùng 5: Các tỉnh phía Nam, trừ TPHCM

1.6 HỆ THỐNG CHUYỂN MẠCH MỀM HiE9200

1.6.1 Hiện trạng mạng và tình hình triển khai mạng NGN của VNPT

Sau gần 3 năm định hướng và lựa chọn, đến tháng 12/2003, VNPT (Công ty Viễn thông Liên tỉnh VTN) đã lắp đặt xong giai đoạn 1 mạng NGN, sử dụng giải pháp SURPASS của Siemens, đã đi vào vận hành thành công Đây là mạng có hạ tầng thông tin duy nhất dựa trên công nghệ chuyển mạch gói được VNPT lựa chọn để thay thế cho mạng chuyển mạch kênh truyền thống Với ưu thế cấu trúc phân lớp theo chức năng và sử dụng rộng rãi các giao diện ở API để kiến tạo dịch vụ mà không phụ thuộc nhiều vào các nhà cung cáp thiết bị và khai thác mạng, công nghệ NGN đã đáp ứng được yêu cầu kinh doanh trong tình hình mới là dịch vụ đa dạng, giá thành thấp, đầu tư hiệu quả và tạo được nguồn doanh thu mới Đây là mạng sử dụng công nghệ chuyển gói với đặc tính linh hoạt, ứng dụng những tiến bộ của công nghệ thông tin và công nghệ truyền dẫn quang băng thông rộng nên tích hợp được dịch vụ thoại và dịch vụ truyền số liệu

Để nâng cao hơn nữa năng lực của mạng lưới, VNPT quyết định đầu tư xây dựng tiếp pha 2, và đến ngày 15/08/2004 đã hoàn thành và đưa vào sử dụng

Mạng có 4 lớp là: lớp truy nhập, lớp truyền tải, lớp điều khiển và lớp ứng dụng

- Lớp truy nhập: được triển khai gồm một Media Gateway kết nối với mạng PSTN phục vụ cho dịch vụ VoIP và bộ BRAS kết nối trực tiếp với thiết bị DSLAM-HUB với khả năng chuyển mạch 10Gb/s, sử dụng công nghệ xDSL, có thể hỗ trợ các kết nối ADSL, SHDSL Với hạ tầng mạng xDSL này, VNPT đã cung cấp các dịch vụ truy nhập Internet băng rộng Mega VNN tại nhiều tỉnh/thành phố trên cả nước

- Lớp truyền tải: gồm 3 nút trục quốc gia đặt tại Hà Nội, TP Hồ Chí Minh và Đà Nẵng và 11 nút vùng đặt tại các tỉnh/thành phố trọng điểm khác với băng thông các tuyến trục và vùng là (STM-1) 155Mb/s dựa trên truyền dẫn SDH Hiện tại băng thông tuyến trục đã nâng cấp lên STM-16 (2.5 Gb/s) dựa trên Ring 20Gb/s/WDM mới triển khai Ba Router lõi M160 Juniper đặt tại Hà Nội, HCM, Đà Nẵng có khả năng chuyển mạch là 160Gb/s

- Lớp điều khiển: gồm hai Softswitch HiQ9200 đặt ở Hà Nội và Hồ Chí Minh Hệ thống Softswitch bao gồm các chức năng về điều khiển hệ thống mạng, cung cấp các giao diện mở để dễ dàng cho việc phát triển các ứng dụng dịch vụ, hỗ trợ nhiều loại

giao thức điều khiển khác nhau như MGCP, H.323, Megaco/H.248, SIP, Hệ thống các Server ứng dụng (tuỳ theo từng loại hình dịch vụ Server ứng dụng có thể đặt tập trung hoặc phân tán) Bên cạnh đó hệ thống quản lý mạng tập trung và hệ thống tính cước tập trung góp phần quan trọng trong quản lý, vận hành và điều hành mạng

- Lớp dịch vụ/ứng dụng: VNPT cung cấp một loạt các dịch vụ như: dịch vụ thẻ trả trớc 1719, dịch vụ 1800, 1900, và nhiều dịch vụ gia tăng khác

1.6.2 Một số khó khăn của VNPT khi phát triển mạng NGN

Khó khăn trước tiên mà một nhà cung cấp dịch vụ truyền thống như VNPT gặp phải trong quá trình triển khai mạng NGN là việc mạng của họ chỉ tập trung cung cấp dịch vụ thuê kênh riêng hay thoại Vì vậy, việc tích hợp những bộ phận của mạng lưới này trong mạng NGN gặp nhiều khó khăn Ngoài ra, những nhà khai thác mới khi xây dựng NGN ngay từ đầu có thể tiết kiệm được chi phí, đồng thời có thể đến đích trước VNPT Bên cạnh đó, mạng NGN sẽ làm thay đổi cách thức tổ chức con người và mô hình kinh doanh Điều này bắt buộc VNPT phải chuyển đổi mô hình kinh doanh để phù hợp với tính năng của mạng NGN

1.6.3 Hướng phát triển mở rộng mạng NGN của VNPT

HANOI VOICE CENTER

NetM Boot/remote

HANOI VOICE CENTER

NetM Boot/remote NetM

ERX

ERX ERX

ở lớp ứng dụng và đặc biệt là mở rộng hạ tầng xDSL cho tất cả các tỉnh còn lại với phạm vi vươn tới mọi huyện thị

- Thực hiện thử nghiệm và thay thế các tổng đài lớp 5 bởi các Gateway của NGN

- Cung cấp nhiều dịch vụ hơn như IP Centrex, hội nghị Web

- Ngoài ra, trong chiến lược hình thành tập đoàn với các Tổng công ty vùng, VNPT sẽ triển khai các mạng NGN nội hạt tại các đô thị lớn như Hà Nội và TP Hồ Chí Minh Mạng NGN nội hạt không chỉ kết nối liên mạng với NGN toàn quốc mà còn khai thác chung hạ tầng IP/MPLS với mạng Metro Internet cũng sẽ được xây dựng đồng thời

1.7 Giới thiệu mạng SURPASS và họ SURPASS HiQ của Siemens

Trong lĩnh vực chuyển mạch, Siemeng là hãng đã nổi tiếng trên thị trường với dòng sản phẩm tổng đài chuyển mạch kênh truyền thống EWSD dung lượng lớn, nhiều tính năng Gần đây, trong lĩnh vực mạng, Siemens đã đưa ra một sản phẩm mới đó là giải pháp SURPASS cho mạng thế hệ sau NGN.Giải pháp này với những đặc điểm ưu việt đã được chọn làm giải pháp để xây dựng mạng NGN của nhiều quốc gia trên thế giới trong đó có Việt Nam Giải pháp mạng SURPASS dựa trên cấu trúc phân tán, xóa đi khoảng cách giữa mạng PSTN và mạng IP Hệ thống mạng SURPASS đưa ra vẫn dựa trên kiến trúc phát triển của hệ thống chuyển mạch EWSD

- Hệ thống SURPASS hướng tới các mục tiêu sau:

Tách biệt điều khiển cuộc gọi/dịch vụ với môi trường truyền thông tin cho phép các nhà khai thác trong lĩnh vực viễn thông giữ được các khoản đầu tư phát triển dịch vụ của họ và đồng thời tận dụng những công nghệ mới nhất trong lĩnh vực truyền dẫn và chuyển mạch

- Hướng tới mạng truy nhập đa dịch vụ, nhiều loại hình truy nhập dịch vụ

Tận dụng các đầu tư có sẵn trên hệ thống chuyển mạch kênh truyền thống TDM , lĩnh vực mà Siemens đã có nhiều năm kinh nghiệm phát triển các ứng dụng, dịch vụ thoại và các tính năng thông minh của tổng đài EWSD, bằng việc đưa ra các giải pháp nâng cấp thuận lợi sang môi trường mạng đa dịch vụ chuyển mạch gói

1.7.1 Mạng SURPASS của Siemens

Mạng SURPASS có thể được chia thành 4 lớp cơ bản như hình 3.1 bao gồm:

- SURPASS NG Management: Lớp quản lý mạng

- SURPASS NG Switching: Lớp điều khiển chuyển mạch

- SURPASS NG Optics: Lớp truyền dẫn (IP Core Backbone)

- SURPASS NG Access: Lớp truy nhập

Media Gateway

Access Gateway Metro

Optics

IP/Optical Backbone

Residential Customers

Triple Play Voice, Video, Data

Multi-Service Access

Hình 6: Mô hình SURPASS của Siemeng

1.7.2 Họ sản phẩm SURPASS hiQ

- Giới thiệu tổng quan về các họ sản phẩm SURPASS

+ SURPASS HiQ: Là hệ thống máy chủ tập trung phục vụ cho lớp điều khiển mạng với chức năng như một hệ thống cổng để điều khiển các tính năng thoại, kết hợp với khả năng báo hiệu để kết nối các mạng khác nhau Trên hệ thống này có khối chuyển đổi báo hiệu số 7 của mạng PSTN/ISDN sang giao thức MGCP Tùy theo chức năng, dung lượng, SURPASS HiQ được chia thành các loại HiQ 10, HiQ

20, HiQ 4000, HiQ 8000, HiQ 9200…

+ SURPASS HiG: Đóng vai trò là các MediaGateway, được điều khiển theo chuẩn của giao thức MGCP Thiết bị hiG được thiết kế nhỏ gọn, kinh tế, độ tin cậy cao SURPASS HiG bao gồm:

HiG 1000: Sử dụng HiG 1000 V3T cho VoIP và HiG 1000 V2P cho các ứng dụng đa phương tiện

HiG 1200: Sử dụng cho ứng dụng VoIP

HiG 1600: Sử dụng cho ứng dụng VoIP

+ SURPASS hiS: đóng vai trò là cổng báo hiệu đa giao thức

+ SURPASS hiR: là các máy chủ chứa tài nguyên quản lý mạng.Tiêu biểu trong họ SURPASS hiR là hiR 200 có chức năng cung cấp các bản tin thông báo

PHẦN 2: VẤN ĐỀ AN NINH MẠNG CHƯƠNG 1: KHÁI QUÁT VỀ AN NINH MẠNG

1.1 Các nguy cơ đe doạ hệ thống và mạng máy tính

1.1.1 Mô tả các nguy cơ

Một hệ thống thông tin mạng Internet đang hoạt động, bỗng đến một ngày nào

đó nó bị tê liệt toàn bộ bởi một kẻ phá hoại cố tình nào đó; hoặc là phát hiện thấy các

dữ liệu quan trọng bị sai lệch một cách cố ý, thậm chí bị mất mát Hoặc một ngày nào đó bạn nhận thấy công việc kinh doanh của mình bị thất bại thảm hại bởi vì thông tin trong hệ thống của bạn bị kẻ khác xâm nhập, phá huỷ dữ liệu

Xử lý, phân tích, tổng họp và bảo mật thông tin là hai mặt của một vấn đề không thể tách rời nhau Ngay từ khi máy tính ra đời, cùng với nó là sự phát triển ngày càng lớn mạnh và đa dạng của các hệ thống xử lý thông tin người ta đã nghĩ ngay đến các giải pháp đảm bảo an toàn cho hệ thống thông tin của mình

Có bao nhiêu nguy cơ xảy ra đối với một mạng máy tính? Câu trả lời chính xác

đó là ở mọi thời điểm, mọi vị trí trong hệ thống đều có khả năng xuất hiện

Chúng ta phải kiểm soát các vấn đề an toàn mạng theo các mức khác nhau đó là:

- Mức mạng: Ngăn chặn kẻ xâm nhập bất hợp pháp vào hệ thống mạng

- Mức Server: Kiểm soát quyền truy cập, các cơ chế bảo mật, quá trình nhận dạng người dùng, phân quyền truy cập, cho phép các tác vụ

- Mức CSDL: Kiểm soát ai? được quyền như thế nào ? với mỗi cơ sở dữ liệu

- Mức trường: thông tin: Trong mỗi cơ sở dữ liệu kiểm soát được mỗi trường

dừ liệu chứa thông tin khác nhau sẽ cho phép các đối tượng khác nhau có quyền truy cập khác nhau

- Mức mật mã: Mã hoá toàn bộ file dữ liệu theo một phương pháp nào đó và chỉ cho phép người có “ chìa khoá” mới có thể sử dụng được file dữ liệu

Theo quan điểm hệ thống, một công ty được thiết lập từ ba hệ thống sau:

- Hệ thống thông tin quản lý

- Hệ thống trợ giúp quyết định

- Hệ thống các thông tin tác nghiệp

Trong đó hệ thống thông tin quản lý đóng vai trò trung gian giữa hệ thống trợ giúp

quyết định và hệ thống thông tin tác nghiệp với chức năng chủ yếu là thu thập,

xử lý và truyền tin

Hình 7 Sơ đồ tổng quan một hệ thống thông tin

Qua sơ đồ tổng quan một hệ thống tin học (hình 8), ta có thể thấy các vị trí có nguy cơ về an toàn dữ liệu Các phương pháp tấn công vào hệ thống thông tin ngày càng trở nên tinh vi, lợi dụng những điểm yếu cơ bản của môi trường tính toán phân tán, một số các phương pháp tấn công thường gặp:

- Các thủ thuật quan hệ: Hacker mạo nhận là người trong cơ quan, người phụ trách mạng hoặc nhân viên an ninh để hỏi mật khẩu của người sử dụng Với những mạng có người sử dụng từ xa thì hacker lấy lý do quên mật khẩu hoặc bị hỏng đĩa cứng để yêu cầu cấp lại mật khẩu

- Bẻ mật khẩu: Hacker tìm cách lấy file mật khẩu và sau đó tấn công bằng từ điên, dựa trên các thuật toán mã hoá mà các hệ điêu hành sử dụng Những mật khẩu yêu rất dễ bị phát hiện bằng cách này

Virus và các chương trình tấn công từ bên trong Hacker có thể sử dụng chúng để thực hiện những việc như: bắt các ký tự gõ vào từ bàn phím để tìm mật khấu, chép trộm file mật khẩu, thay đổi quyền của người sử dụng

Các công cụ tấn công giả mạo địa chỉ (IP spoofing): hacker có thể dùng những công cụ này để làm hệ thống tưởng lầm máy tính của hacker là một máy trong mạng nội bộ, hoặc để xoá dấu vết tránh bị phát hiện

Hình 8 : Sơ đồ tổng quan một hệ thống tin học

- Phong toả dịch vụ (DoS - Denial of Service): kiểu tấn công này nhằm làm gián đoạn hoạt động của mạng, Ví Dụ gây lỗi của chương trình ứng dụng để làm treo máy, tạo những thông điệp giả trên mạng để chiếm đường truyền hoặc làm cạn công suất xử lý của máy chủ

1.1.2 Các mức bảo vệ an toàn mạng

Vì không thể có một giải pháp an toàn tuyệt đối nên người ta phải sử dụng đồng thời nhiều mức bảo vệ khác nhau tạo thành nhiều lớp “rào chắn” đối với các hoạt động xâm phạm

Việc bảo vệ thông tin trên mạng chủ yếu là bảo vệ thông tin lưu trữ trên các máy tính, đặc biệt là trong các Server của mạng Vì thế mọi cố gắng tập trung vào việc xây dựng các mức “rào chắn” từ ngoài vào trong cho các hệ thống kết nối vào mạng

1.2 Phân tích các mức an toàn mạng

Hình 9: Các mức an toàn mạng

1.2.1 Quyền truy nhập (Access Rights)

Đây là lớp bảo vệ sâu nhất, nhằm kiểm soát các tài nguyên (thông tin) của mạng

và quyền hạn (có thể thực hiện các thao tác gì) trên tài nguyên đó Dĩ nhiên là kiểm soát được cấu trúc dữ liệu càng chi tiết càng tốt Hiện tại việc kiểm soát thường ở mức tệp tin (file), và việc xác lập các quyền thường do người quản trị mang quyết định Quyền hạn trên tập tin là những thao tác mà người sử dụng có thể thực hiện được trên tệp tin đó: chỉ đọc, được phép thay đổi Tuy nhiên, kiểm soát dược cấu trúc dữ liệu càng chi tiết thì mức độ an toàn càng cao

1.2.2 Đăng nhập/Mật khẩu (Login/Password)

Lớp bảo vệ này thực ra cũng là kiểm soát quyền truy nhập nhưng không phải truy nhập ở mức thông tin mà ở mức hệ thống (tức là truy nhập vào mạng) Đây là phương pháp bảo vệ phổ biến nhất vì nó đơn giản ít phí tổn và rất có hiệu quả Mỗi người sử dụng (kể cả người quản trị mạng) muốn được vào mạng để sử dụng các tài nguyên của mạng đều phải có tên đăng ký và mật khẩu Người quản trị mạng có trách nhiệm quản lý, kiểm soát mọi hoạt động của mạng và xác định quyền truy nhập người sử dụng khác tuỳ theo thời gian và không gian Nghĩa là một người sử dụng trên mạng chỉ có thể được phép truy nhập vào mạng ở một thời gi an và một vị trí nhất định

Mật khẩu có thể có các dạng như: mật khẩu cho từng nhóm người sử dụng; mật

khẩu cho từng cá nhân sử dụng riêng biệt, mật khẩu được thay đổi mỗi lần truy cập

hệ thống, Một nhà quản trị khi tạo mật khẩu trên hệ thống và cho từng người sử dụng phải tuân thủ những; nơuyên tắc sau để đảm bảo an toàn cho người sử dụng cùng như cho cả hệ thống Mật khẩu không được là tên riêng hoặc sắp xếp theo dạng viết tên hay sự hoán vị của tên

Mật khẩu không thể giống như một từ, một ngữ mà phải là một tập họp các kí tự tùy ý và không được ít hơn 6 kí tự

Mật khẩu không được toàn là kí tự hay số mà phải kết hợp cả kí tự và số

Lớp bảo vệ này đạt hiệu quả rất cao, tránh được các truy nhập trái phép nếu môi người sử dụng đều giữ được bí mật về tên Đăng nhập và Mật khẩu của mình Nhưng trên thực tế, do nhiều lý do không đảm bảo được bí mật của mật khẩu, do vậy làm giảm hiệu quả của nó rất nhiều

1.2.3 Mã hóa dữ liệu (Data Encryption)

Để bảo mật thông tin truyền trên mạng, người ta sử dụng các phương pháp mã hoá (Encryption) Dữ liệu được biến đổi từ dạng nhận thức được sang dạng không nhận thức được theo một thuật toán nào đó (tạo mật mã) và sẽ được biến đổi ngược lại (giải mã) ở trạm nhận Đây là lóp bảo vệ thông tin rất quan trọng và được sử dụng rộng rãi trong môi trường mạng

1.2.4. Bảo vệ vật lý (Physical Protection)

Đây là lớp bảo vệ rất quan trọng, nhằm ngăn cản các truy nhập vật lý bất hợp pháp vào hệ thống Thường dùng các biện pháp truyền thống như ngăn cấm tuyệt đối người không phận sự vào phòng đặt máy mạng, dùng ổ khoá máy tính, hoặc cài đặt

cơ chế báo động khi có truy nhập vào hệ thống

1.3 Tường lửa (Firewall)

2.1.1 Khái niệm:

Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng; để ngăn chặn, hạn chế hỏa hoạn Trong công nghệ thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhâp không mong muốn vào hệ thống Firewall được miêu tả như là hệ phòng thủ bao quanh với các “chốt” để kiểm soát tất cả các luồng lưu thông nhập xuất Có thể theo dõi và khóa truy cập tại các chốt này

Hình 10: Mô hình Firewall

Các mạng riêng nối với Internet thường bị đe dọa bởi những kẻ tấn công Để bảo

vệ dữ liệu bên trong người ta thường dùng firewall Firewall có cách nào đó để cho phép người dùng hợp đi qua và chặn lại những người dùng không hợp lệ

Firewall có thể là thiết bị phần cứng hoặc chương trình phần mềm chạy trên host bào đảm hoặc kết hợp cả hai Trong mọi trường hợp, nó phải có ít nhất hai giao tiếp mạng, một cho mạng mà nó bảo vệ, một cho mạng bên ngoài

Firewall có thể là gateway hoặc điếm nối liền giữa hai mạng, thường là một mạng riêng và một mạng công cộng như là Internet Các firewall đầu tiên là các router đơn giản

1.3.2 Chức năng của Firewall

Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và Internet Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet)

và mạng Internet

- Cho phép hoặc cấm những dịch vụ truy cập ra ngoài, cho phép hoặc cấm những dịch vụ từ ngoài truy cập vào trong

- Theo dõi luồng dữ liệu mạng giữa Internet và Intranet

- Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập

- Kiểm soát người sử dụng và việc truy cập của người sử dụng Kiểm soát nội dung thông tin lưu chuyển trên mạng

1.3.3 Nguyên lý hoạt động của Firewall

Firewall hoạt động chặt chẽ với giao thức TCP/IP, vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính

xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNG, SMNP, NFS ) thành các gói dữ liệu (data packets) rồi gán cho các packet này những địa chỉ có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng

Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số các luật lệ của lọc packet hay không Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi packet (header), dùng để cho phép truyền các packet đó ở trên mạng Bao gồm:

- Địa chỉ IP nơi xuất phát (Source)

- Địa chỉ IP nơi nhận ( Destination)

- Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel )

- Cổng TCP/ƯDP nơi xuất phát* cổng TCP/ƯDP nơi nhận

- Dạng thông báo ICMP

- Giao diện packet đến

- Giao diện packet đi

Nếu packet thỏa các luật lệ đã được thiết lập trước của Firewall thì packet đó dược chuyển qua, nếu không thỏa thì sẽ bị loại bỏ Việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định được phép mới vào được hệ thống mạng cục bộ Cũng nên lưu ý là do việc kiểm tra dựa trên header của các packet nên bộ lọc không kiểm soát được nội dụng thông tin của gói tin Các packet chuyến qua vẫn có thể mang theo những hành động với ý đồ ăn cáp thông tin hay phá hoại của kẻ xấu Trong các phần sau chúng ta sẽ cùng tìm hiểu các kỹ thuật tường lửa

1.3.4 Phân Loại Firewall:

Firewall được chia làm hai loai

1.3.4.1 Firewall Cứng :

Là những loại firewall được tích họp trên Router, các tổ chức lớn thì có thể sử dụng Router Cisco còn đối với mạng LAN trong gia đình thì sử dụng Router ADSL Đặc điểm của firewall cứng:

- Không linh hoạt như firewall mềm Không thể thêm chức năng thêm quy tắc như firewall mềm

- Firewall cứng hoạt động ở tầng thấp hơn firewall mềm Tầng Network và tầng Trangport

- Firewall cứng không thể kiểm tra được nội dung của gói tin

- Firewall cứng phổ biến nhất NAT (Network Address Tranglate)

1.3.4.2.Firewall Mềm:

Là nhưng firewall được cài đặt trên Server Đặc điểm của firewall mềm :

- Tính linh hoạt cao có thể thêm bớt các quy tắc, các chức năng

- Firewall mềm hoạt động ở tầng cao hơn firewall cứng Tầng ứng dụng (Application)

- Firewall mềm có thể kiểm tra được nội dung gói tin thông qua các từ khóa

- Các kiểu firewall mềm : Kerio winroute, Zone Alarm, Norton Firewall

- Firewall trong mô hình mạng OSI và TCP/IP

Firewall hoạt động ở các lớp khác nhau sử dụng các chuẩn khác nhau để hạn chế lưu lượng Lớp thấp nhất mà firewall hoạt động là lớp 3 Trong mô hình OSI đây là lớp mạng Trong mô hình TCP/IP đây là lớp IP (Internet Protocol) Lớp này có liên quan tới việc định tuyến các gói tới đích của chúng Ở lớp này, một firewall có thể xác định rằng một sói từ một nguồn đáng tin cậy, nhưng không xác định gói chứa những gì ở lớp trangport, firewall biết một ít thông tin về gói và có thể cho

phép hoặc từ chối truy cập dựa vào các tiêu chuẩn Ở lóp ứng dụng, firewall biết nhiêu về những gì đang diễn ra và có sự lựa chọn trong việc gán quyền truy cập

- IP spoofing (sự giả mạo IP)

Nhiều firewall nghiên cứu các địa chỉ IP nguồn của các gói để xác nhận nếu chúng hợp lý Một firewall có thể cho phép luồng lưu thông nếu nó đến từ một host đáng tin cậy Một cracker giả mạo địa chỉ IP nguồn của các gói gửi tới firewall Nếu firewall nghĩ rằng các gói đến từ một host tin cậy, nó có thể cho chúng đi qua trừ khi một vài chuẩn khác Tất nhiên cracker muốn tìm hiểu về luật của firewall để khai thác vào điểm yếu này

Một biện pháp hiệu quả chống lại sự giả mạo IP là việc sử dụng giao thức mạng riêng ảo (Virtual Private Network - VPN) như là IPSec Biện pháp này đòi hỏi việc

mà hóa dữ liệu trong các gói cũng như địa chỉ nguồn Phần mềm hoặc phần sụn VPN giải mã gói và địa chỉ nguồn để tiến hành một cuộc kiểm tra (checksum) Nếu cả dữ liệu lẫn địa chỉ nguồn đã bị giả mạo thì gói sẽ bị hủy

Đây là các vấn đề mà firewall cần giải quyết Mặc dù firewall có thể làm giảm nguy cơ tấn công trên Internet mà không cần sự xác thực và mã hóa, nhưng vẫn còn hai vấn đề lớn ở đây: tính toàn vẹn và sự riêng tư của thông tin đang truyền giữa hai host và sự giới hạn trong việc đặt ra các loại kết nối giữa các mạng khác nhau IPSec giúp giải quyết các vấn đề này

Có vài khả năng đặc biệt khi chúng ta xem xét sự kết hợp giữa các firewall với các host cho phép IPSec Cụ thể là, VPN, việc lọc gói tốt hơn (lọc những gói mà có tiêu đề xác thực IPSec), và các firewall lớp ứng dụng sẽ cung cấp sự xác minh host tốt hơn bằng cách sử dụng tiêu đề xác thực IPSec thay cho “just trusting” địa chỉ IP hiện tại

1.3.4.3.Các kiểu khác nhau của Firewall

Firewall được thiết kế theo hai tiếp cận:

- Strip search (khám xét tận đáy): Khi người dùng muốn đăng nhập vào hệ thống đều phải qua strip search

- Proxy service (dịch vụ ủy thác): Trong trường hợp gắt gao hơn, người quản trị không muốn cho hệ thống tiếp xúc trực tiếp với người dùng, khi đó người quản trị giả lập một hệ thống tương tự như cũ để tiếp xúc trực tiếp với khách hàng Hệ thống giả lập này chuyển tin qua lại giữa hai bên và làm dịch vụ ủy thác Proxy service hoạt động như là người đại diện cho những người dùng cần truy cập hệ thống ở phía bên kia firewall

Firewall lọc gói (packet-filtering) dùng phương pháp strip search Các gói dữ liệu trước hết được kiểm tra, sau đó được trả lại hoặc cho phép đi vào theo một số điều kiện nhất định Còn một phương pháp thứ ba gọi là giám sát trạng thái (stateful ingpection) Phương pháp này nhớ các đặc trưng của bất cứ người nào rời khỏi hệ thống và chỉ cho phép quay trở lại theo những đặc trưng này

1.4.Giới thiệu về Packet Filtering

Firewall có thể được hiện thực ở những lớp khác nhau của Protocol stack Hai dạng thông dụng được hiện thực là ở lóp ứng dụng bởi “Forwarding application Firewall” và ở lóp mạng bởi “Filtering Router” Một cách tồng quát là Firewall có thể hiện thực ở bất kỳ lóp nào của Protocol stack cũng như bất kỳ bộ Protocol nào Nhưng do Firewall thường được dùng để bảo vệ hệ thống mạng máy tính được nối vào Internet, mà cách thức giao tiếp trên Internet là TCP/IP nên trong phần này sẽ trình bày dạng Firewall ở lớp IP

Hình 11: Sơ đồ làm việc của Packet Filtering

Hệ thống Packet Filtering (Packet Filtering System) là một hệ thống sử dụng cách lọc (filter) các Packet vào/ra khỏi mạng để bảo vệ hệ thống mạng

Để truyền thông tin từ mạng này sang mạng khác, thông tin cần truyền đi phải được chia nhỏ thành những gói, và những gói này được gửi đi riêng biệt Bằng việc chia nhỏ thông tin thành từng gói mà nhiều máy có thể dùng chung một kênh truyền thông Trong hệ thống mạng IP, những gói thông tin này được gọi là Packet Tất cả

dữ liệu truyền trên mạng IP đều ở dạng Packet

Trong việc kết nối nhiều mạng máy tính lại với nhau, thiết bị cơ bản được dùng là Router Router có thể là phần cứng đặc biệt chuyên biệt làm Router hoặc nó có thể là một phần mềm chạy trên những máy UNIX hoặc PC (MS-DOS, Windows, ) Những Packet đi qua một liên mạng (mạng của nhiều mạng), thường xuất phát từ máy gửi đến Router này, Router này sẽ gửi Packet đến Router khác đến khi nào Packet đến máy đích cuối cùng

1.4.1 Những chức năng của một Packet Filtering Router

Packet Filtering (hay việc lọc và giám sát các Packet vào và ra khỏi mạng) cho phép (hoặc không cho phép) chúng ta điều khiển trao đổi dữ liệu giữa một mạng cần được bảo vệ với Internet chủ yếu dựa trên các thông tin sau:

- Địa chỉ nơi xuất phát của dữ liệu

- Địa chỉ nơi dữ liệu sẽ đến

- Nghi thức ở cấp ứng dụng được sử dụng để truyền dữ liệu

Hầu hết các Packet filtering Router thực hiện việc lọc các Packet không dựa trên nội dung của dữ liệu Packet Filtering Router thường sẽ có những khả năng có dạng như sau:

- Không cho phép bất cứ người nào dùng Telnet (một nghi thức cấp ứng dụng application Protocol) để login từ bên ngoài vào hệ thống mạng cần bảo vệ

- Cho phép bất cứ ai có thể gửi e-mail dùng SMTP (một nghi thức ở cấp ứng dụng) cho các user trong mạng cần bảo vệ hoặc ngược lại

- Máy có địa chỉ X có thể gửi tin tức cho chúng ta dùng một nghi thức nào đó, nhưng những máy khác không có được đặc quyền này

Nhờ Packet Filtering Router chúng ta có thể bảo vệ được việc tấn công hệ thống mạng ở dạng; đánh lừa địa chỉ (address - spoofing attacks)

1.4.2 Nguyên tắc hoạt động của hệ thống Packet Filtering

Như đã được giới thiệu ở phần trên, Packet filter là một bộ lọc gói, cung cấp khả năng lọc các IP Packet ở mức gửi Packet (Packet routing level) với kết quả là quyết định là cho qua (pass) hay từ chối (drop) đối với mỗi Packet Ket quả của việc xử lý

ở mức thấp này là tốc độ xử lý cao nhưng ít an toàn hơn application-level gateway

Filtering Router giữ chức năng của một Router và thêm chức năng filter Nhiệm vụ của Packet Filtering Router sẽ gửi (route) và nhận cho vào (receive) các Packet có chọn lựa giữa internal host và external host Packet Filtering có thể thực hiện ở nhiều

cấp hoặc kết hợp giữa các cấp này

1.4.3 Lọc các Packet dựa trên địa chỉ (address)

Dạng đơn giản nhất mà một Filtering Router có thể thực hiện là việc lọc các Packet dựa tên địa chỉ Lọc các Packet theo dạng này cho phép chúng ta điều khiển

dữ liệu dựa trên địa chỉ máy gửi và địa chỉ máy nhận Packet mà không quan tâm đến nghi thức nào đang được sử dụng Khả năng lọc gói theo dạng này có thể được dùng

để cho phép một số máy nào đó ở bên ngoài có thể trao đổi dữ liệu với một số máy nào đó ở trong mạng cần bảo vệ, hoặc cũng có thể bảo vệ được những dạng đánh lừa thông tin trong Packet (những Packet xuất phát từ Internet (bên ngoài) mà có địa chỉ máy gửi lại là địa chỉ máy ở trong mạng mạng bảo vệ

Hình 12: Sơ đồ luân chuyển dữ liệu điển hình của hệ thống Packet Filtering

- Những rủi ro của việc lọc dựa trên địa chỉ máy gửi:

Thông tin ở mỗi Packet header có chứa địa chỉ nguồn của máy gửi Packet (không nên tin tưởng hoàn toàn vào thông tin này do việc địa chỉ máy gửi có thể bị giả mạo) Trừ khi chúng ta sử dụng những kỹ thuật chứng thực như (cryptographic authentication) giữa hai máy trao đổi dữ liệu cho nhau, chúng ta thực sự không thể biết chấc chắn rằng máy mà chúng ta đang trao đổi dữ liệu với nó thực sự chính nó hay một máy khác giả danh máy này (giống như lấy địa chỉ của một người khác để gửi thư đi)

Dạng tấn công giả danh cơ bản nhất là sự giả mạo địa chỉ máy gửi (source address), người tấn công sẽ gửi dữ liệu cho chúng ta mà sử dụng địa chỉ máy gửi không phải là địa chỉ máy của họ, thường họ sẽ đoán một số địa chỉ mà hệ thống của chúng ta tin tưởng, sau đó họ sẽ sử dụng địa chỉ này như là địa chỉ máy gửi với hy vọng rằng chúng ta sẽ cho những Packet họ đã gửi đi vào mạng của chúng ta, và cũng không mong chờ những Packet kết quả trả lời từ những máy trong hệ thống mạng của chúng ta

Trong thực tế, những Packet trả lời từ hệ thống của chúng ta sẽ gửi đến những máy (những máy này người tấn công vào hệ thống của chúng ta đã sử dụng địa chỉ của họ), mà những Packet sẽ không gửi đến máy của người tấn công Tuy nhiên, nếu người tấn công có thể đoán được những đáp ứng từ hệ thống của chúng ta thì họ không cần phải nhận được những Packet này Một Ví Dụ cho thấy điều này là người tấn công có thể gửi cho hệ thông của chúng ta một lệnh nào đó, mà kết quả là hệ thống của chúng ta gửi cho người tấn công password file của hệ thống chúng ta Bằng cách này thì người tấn công không cần nhận được trực tiếp những Packet trả lời từ hệ thống chúng ta

- Người tấn công có thể có nhiều cách để thực hiện được điều này:

+ Thực hiện việc tấn công trong khi máy bị giả danh đã tắt

+ Làm cho máv bị giả danh treo khi thực hiện tấn công

+ Gây lũ (flooding) dữ liệu ở máy giả danh khi thực hiện tấn công

+ Làm sai lệch thông tin về đường đi giữa máy gửi và máy nhận thực sự + Tấn công vào những dịch vụ chỉ cần gửi một Packet là có thể gây tác động

mà vấn đề reset không bị ảnh hưởng

+ Dạng tấn công thứ hai là “man in the middle” kiểu tấn công này người tấn công cần có khả năng thực hiện đầy đủ một quá trình trao đổi dữ liệu trong khi anh ta giả danh địa chỉ của máy khác

1.4.4 Lọc các packet dựa trên số cổng (port)

Nguyên tắc này cũng giống như lọc gói dựa trên địa chỉ máy gửi, chỉ khác là Packet filter sẽ lọc số cổng máy gửi (port nguồn) thay vì địa chỉ của nó

- Những rủi ro của việc lọc dựa trên số port của máy gửi:

Cũng giống như trường họp lọc theo địa chỉ nguồn (source address), việc lọc các Packet dựa theo thông tin so port nguồn (source port) cũng có những rủi ro tương tự Đối với các dịch vụ có cầu nối (connection - oriented) như TCP, trước khi hai network application trao đổi dữ liệu với nhau chúng phải thiết lập kết nối (connection), khi chúng đã trao đổi dữ liệu xong chúng sẽ đóng kết nối Quá trình từ lúc thiết lập kết nối cho đến khi đóng kết nối gọi là một session, đối với những dịch

vụ dạng này việc lọc các Packet có thể sử dụng thông tin thiết lập kết nối ở trong TCP flags field

1.5 Hệ thống Proxy

Proxy cung cấp cho người sử dụng truy xuất Internet với những host đơn Những Proxy Server phục vụ những nghi thức đặc biệt hoặc một tập những nghi thức thực thi trên dual-homed host hoặc Bastion Host Những chương trình Client của người sử dụng sẽ qua trung gian Proxy Server thay thế Server thật sự mà người sử dụng cần giao tiếp

1.5.1.Tác dụng và chức năng của Proxy

Để đáp ứng được những nhu cầu của người sử dụng khi cần truy xuất đến những ứng dụng được cung cấp bởi Internet nhưng vẫn đảm bảo được an toàn cho hệ thống cục bộ, trong hầu hết những phương pháp được đưa ra để giải quyết điều này là cung cấp một host đơn truy xuất đến Internet cho tất cả người sử dụng

- Gateway lớp ứng dụng:

Hình 13: Kết nối sử dụng Application-Level Gateway

Proxy Application chính là chương trình trên application-level gateway Firewall hành động trên hình thức chuyển đổi những yêu cầu người sử dụng thông qua Firewall, tiến trình này được thực hiện trình tự như sau:

- Thành lập một kết nối đến Proxy application trên Firewall

- Proxy Application thu nhập thông tin về việc kết nối và yêu cầu của người

1.5.2 Sự cần thiết của Proxy

Proxy cho phép người sử dụng truy xuất những dịch vụ trên Internet theo nghĩa trực tiếp Với dual-homed host thì cần phải login vào host trước khi sử dụng bất kỳ dịch vụ nào trên Internet Điều này thường không tiện lợi, và một số người trở nên thất vọng khi họ có cảm giác phải thông qua Firewall, với Proxy, nó giải quyết được

vấn đề này Proxy cho phép người sử dụng truy xuất những dịch vụ Internet từ hệ thống cá nhân của họ, vì vậy nó không cho phép những Packet đi trực tiếp giữa hệ thống người sử dụng và Internet Đường đi là gián tiếp thông qua dual-homed host hoặc thông qua sự kết họp giữa Bastion Host và screening Router

1.5.3 Những nhược điểm của Proxy

- Mặc dù những phần mềm Proxy có hiệu quả rộng rãi cho những dịch vụ lâu đời

và đơn giản như FTP và Telnet, nhưng những phần mềm mới và ít được sử dụng rộng rãi thì hiếm khi tìm thấy Thường để đưa dịch vụ mới vào hệ thống khi chưa có Proxy cho nó thì nên đặt bên ngoài Firewall, bởi vì nếu đặt bên trong hệ thống thì đó chính là yếu điểm

- Đôi khi cần mỗi Proxy Server khác nhau cho mỗi nghi thức, bởi vì Proxy Server phải hiểu nghi thức đó để xác định những gì được phép và không được phép

Để thực hiện nhiệm vụ như là Client đến Server thật và Server thật đến Proxy Client, sự kết hợp, cài đặt và cấu hình tất cả những Server khác nhau đó có thể rất khó khăn

- Những dịch vụ Proxy thường sửa đổi chương trình Client procedure hoặc cả hai

- Proxying dựa vào khả năng chèn vào Proxy Server giữa Client và Server thật mà yêu cầu những tác động tương đối thẳn thắn đối với cả hai

1.5.4 Sự kết nối thông qua Proxy (Proxying)

Những chi tiết trong việc Proxying thực hiện như thế nào khác nhau từ dịch vụ này đến dịch vụ khác, khi cài đặt (set up) Proxying, có một vài dịch vụ được thực hiện dễ dàng hoặc tự động, nhưng vài dịch vụ có sự chuyển đổi rất khó khăn Tuy nhiên, trong hầu hết những dịch vụ, ngoài yêu cầu những phần mềm Proxy Server tương ứng, trên Client cũng phải cần những yêu cầu như sau: Custom Client software: phần mềm loại này phải biết như thế nào để liên kết với Proxy Server thay Server thật khi người sử dụng yêu cầu và yêu cầu Proxy Server những gì Server thật kết nối đến Nhưng phần mềm custom Client thường có hiệu quả chỉ một vài platform

Ví Dụ: Package gateway từ Sun là một Proxy package cho FTP và Telnet, nhưng

nó chỉ được sử dụng trên hệ thống Sun bởi vì nó cung cấp recompiled Sun binaries

Hình 14: Kết nối giữa người dùng với Server qua Proxy

Mặc dù nếu phần mềm có hiệu quả cho platform tương ứng, nó cũng có thể không phải điều mà người sử dụng mong muốn

1.5.5 Dạng kết nối trực tiếp

Phương pháp đầu tiên được sử dụng trong kỹ thuật Proxy là cho người sử dụng kết nối trực tiếp đến Firewall Proxy, sử dụng địa chỉ của Firewall và số cổng của Proxy, sau đó Proxy hỏi người sử dụng cho địa chỉ của host hướng đến, đó là một phương pháp brute force sử dụng bởi Firewall một cách dễ dàng, và đó cũng là một vài nguyên nhân tại sao nó là phương pháp ít thích hợp

Trước tiên, yêu cầu người sử dụng biết địa chỉ của Firewall, kế tiếp nó yêu cầu người

sử dụng nhập vào hai địa chỉ cho mỗi sự kết nối: Địa chỉ của Firewall và địa chỉ của đích hướng đến Cuối cùng nó ngăn cản những ứng dụng hoặc những nguyên bản trên máy tính của người sử dụng điều đó tạo ra sự kết nối cho người sử dụng, bởi vì chúng sẽ không biết như thế nào điều khiển những yêu cầu đặc biệt cho sự truyền thông với Proxy

1.5.5.1 Dạng thay đổi Client

Phương pháp kế tiếp sử dụng Proxy setup phải thêm vào những ứng dụng tại máy tính của người sử dụng Người sử dụng thực thi những ứng dụng đặc biệt đó với việc

tạo ra sự kết nối thông qua Firewall Người sử dụng với ứng dụng đó hành động chỉ như những ứng dụng không sửa đổi Người sử dụng cho địa chỉ của host đích hướng tới Những ứng dụng thêm vào biết được địa chỉ Firewall từ tệp cấu hình cục bộ, thiết lập sự kết nối đến ứng dụng Proxy trên Firewall, và truyền cho nó địa chỉ cung cấp bởi người sử dụng

1.5.5.2 Proxy vô hình

Một số phương pháp phát triển gần đây cho phép truy xuất đến Proxy, trong vài hệ thống Firewall được biết như Proxy vô hình, trong mô hình này, không cần phải có những ứng dụng thêm vào với ngưòi sử dụng và không phải kết nối trực tiếp đến Firewall hoặc biết rằng Firewall có tồn tại Sử dụng sự điều khiển đường đi cơ bản, tất cả sự kết nối đến mạng bên ngoài được định tuyến thông qua Firewall

CHƯƠNG 2 THIẾT KẾ CHÍNH SÁCH

AN NINH MẠNG MÁY TÍNH

2.1 Chính sách an ninh mạng

Kế hoạch an toàn thông tin phải tính đến các nguy cơ từ bên ngoài và từ trong nội

bộ, đồng thời phải kết họp cả các biện pháp kỹ thuật và các biện pháp quản lý, các bước cần tiến hành như sau:

- Xác định các yêu cầu và chính sách an toàn thông tin: Bước đầu tiên trong kế hoạch an toàn thông tin là xác định các yêu cầu truy nhập và tập hợp những dịch vụ cung cấp cho người sử dụng trong và ngoài cơ quan, trên cơ sở đó có được các chính sách tương ứng

- Thiết kế an toàn vòng ngoài: Việc thiết kế dựa trên các chính sách an toàn được xác định trước Kết quả của bước này là kiến trúc mạng cùng với các thành phần phần cứng và phần mềm sẽ sử dụng Trong đó cần đặc biệt chú ý hệ thống truy cập từ xa và cơ chế xác thực người dùng

- Biện pháp an toàn cho các máy chủ và máy trạm: Các biện pháp an toàn vòng ngoài, dù đầy đủ đến đâu, cũng có thể không đủ để chống lại sự tấn công, đặc biệt là

sự tấn công từ bên trong, cần phải kiểm tra các máy chủ và máy trạm để phát hiện những sơ hở về bảo mật Đối với Filewall và các máy chủ ở ngoài cần kiểm tra những dạng tấn công từ chối dịch vụ (denial of service)

- Kiểm tra thường kỳ: cần có kế hoạch kiểm tra định kỳ toàn bộ hệ thống an toàn thông tin, ngoài ra cần kiểm tra lại mỗi khi có sự thay đổi về cấu hình

2.1.1 Kế hoạch an ninh mạng

Có một chính sách an ninh mạng đúng đắn và hiệu quả để có thể bảo vệ các thông tin, các tài nguyên của một công ty, tổ chức nói riêng hay của một bộ, ngành, của một quốc gia nói chung là vấn đề hết sức quan trọng Nếu như các tài nguyên và thông tin mà công ty đó có trên mạng là đáng được bảo vệ thì một chính sách an ninh mạng là đáng được thực hiện Hầu hết các cơ quan đều có các thông tin nhạy cảm và các bí mật cạnh tranh trên mạng máy tính của họ, chúng cũng cần được bảo vệ khỏi

sự phá hoại theo cùng một cách như bảo vệ các tài sản giá trị khác của công ty đó