Bảo vệ dữ liệu trong mạng máy tính bằng kỹ thuật firewall

Việc các máy tính được nối với nhau nhằm làm cho tài nguyên cógiá trị cao nên khả dụng đối với bất kỳ người sử dụng nào trên mạng vàtăng độ tin cậy của hệ thống nhờ khả năng thay thế khi

CHƯƠNG I

CƠ SỞ LÝ THUYẾT1.1 MẠNG MÁY TÍNH

1.1.1 Lịch sử mạng máy tính

Từ đầu những năm 70, các máy tính đã được nối với nhau trực tiếp

để tạo thành một mạng nhằm phân tán tải của hệ thống và tăng độ tincậy Cũng trong những năm này, bắt đầu xuất hiện khái niệm mạngtruyền thông (communication network), trong đó các thành phần chínhcủa nó là các nút mạng, được gọi là các bộ chuyển mạch (Switchingunit) dùng để hướng thông tin tới đích của nó Vì thế thường người takhông phân biệt khái niệm mạng máy tính và mạng truyền thông

Hình 1 - 1: Một mạng truyền thông

Việc các máy tính được nối với nhau nhằm làm cho tài nguyên cógiá trị cao nên khả dụng đối với bất kỳ người sử dụng nào trên mạng vàtăng độ tin cậy của hệ thống nhờ khả năng thay thế khi xảy ra sự cố đốivới một máy tính nào đó (rất quan trọng đối với các ứng dụng thời gianthực)

1.1.2 Cơ sở của mạng máy tính.

Mạng máy tính là một tập hợp các máy tính được nối với nhau bởi

cần hiểu trong định nghĩa trên, đó là đường truyền lý và kiến trúc củamột mạng máy tính.

1.1.2.1 Đường truyền

Đường truyền lý dùng để chuyển các tín hiệu điện giữa các máytính Các tín hiệu đó (đều thuộc một dạng sóng điện từ nào đó, trải từcác tần số vô tuyến tới sóng cực ngắn và tia hồng ngoại) biểu diễn cácgiá trị dữ liệu dưới dạng xung nhị phân Tuỳ theo tần số của sóng điện

từ, có thể dùng các đường truyền khác nhau để truyền các tín hiệu.Thông thường người ta hay phân loại đường truyền theo hai loại:+ Đường truyền hữu tuyến: Các thiết bị trong mạng được nối vớinhau bằng dây cáp mạng

+ Đường truyền vô tuyến: Các thiết bị mạng truyền tín hiệu với nhauthông qua sóng vô tuyến với các thiết bị điều chế và giải điều chế

1.1.2.2 Kiến trúc mạng

Kiến trúc mạng (network architecture) thể hiện cách nối các máytính với nhau và tập hợp các qui tắc, qui ước mà tất cả các thực thểtham gia truyền thông trên mạng phải tuân theo Cách nối các máy tínhđược gọi là topo của mạng, còn tập hợp các qui tắc, qui ước truyềnthông được gọi là giao thức

Topo mạng:

Có 2 kiểu nối mạng chủ yếu là: điểm - điểm (point - to - point) vàquảng bá ( broadcast, hay còn gọi là điểm - đa điểm: point - to -multIPoint)

Theo kiểu điểm - điểm, các đường truyền nối từng cặp nút với nhau

và mỗi nút đều có trách nhiệm lưu trữ tạm thời sau đó chuyển tiếp dữliệu đi cho tới đích Hình 1 3 là một số dạng topo của mạng điểm - điểm

Hình 1-3: Một số topo mạng kiểu quảng báTrong topo dạng bus và ring cần có một cơ chế "trọng tài" để giảiquyết xung đột khi nhiều nút muốn truyền tin cùng một lúc Việc cấpphát đường truyền có thể là tĩnh hoặc động Cấp phát " tĩnh" thườngdùng cơ chế quay vòng (round robin) để phân chia đường truyền theocác khoảng thời gian định trước Cấp phát "động" là cấp phát theo yêucầu để hạn chế thời gian "chết" vô ích của đường truyền.

đó được gọi là giao thức (protocol) của mạng

Kiến trúc phân tầng:

Hầu hết các mạng máy tính đều được phân tích, thiết kế theo quanđiểm phân tầng (layering) Mỗi hệ thống thành phần của mạng đượcxem như là một cấu trúc đa tầng, mỗi tầng được xây trên tầng trước nó

Số lượng các tầng cũng như tên và chức năng của mỗi tầng phụ thuộcvào người thiết kế Trong hầu hết các mạng, mục đích của mỗi tầng làcung cấp một số dịch vụ nhất định cho tầng cao hơn Hình dưới 5 minh

hoạ một kiến trúc phân tầng tổng quát, với giả thiết A và B là hai hệthống (máy tính) thành phần của mạng được nối với nhau.

Hình 1 - 4: Kiến trúc phân tầng tổng quát

Líp øng dông (application)

Líp thÓ hiÖn (presentation)

Líp phiªn (session) Líp chuyÓn vËn (transport) Líp m¹ng (network) Líp liªn kÕt d÷ liÖu (data link) Líp vËt lý (physical link)

Nguyên tắc của kiến trúc mạng phần tầng là: mỗi hệ thống trong

Hub Hub

là như nhau) Sau khi đã xác định số lượng tầng và chức năng mỗi tầngthì công việc quan trọng tiếp theo là định nghĩa giao diện giữa 2 tầng kềnhau và giao thức giữa 2 tầng đồng mức ở 2 hệ thống nối kết với nhau.Trong thực tế, dữ liệu không được truyền trực tiếp từ tầng thứ i của hệthống này sang tầng thứ i của hệ thống khác (trừ tầng thấp nhất trựctiếp sử dụng đường truyền vật lý để truyền các xâu bit (0,1) từ hệ thốngnày sang hệ thống khác) Ở đây quy ước dữ liệu ở bên hệ thống gửiđược truyền sang hệ thống nhận bằng đường truyền vật lý và cứ thế đingược lên các tầng trên Giữa hai hệ thống kết nối với nhau chỉ có ởtầng thấp nhất mới có liên kết vật lý, còn các tầng cao hơn chỉ là liên kếtlogic (hay liên kết ảo) được đưa vào để hình thức hoá các hoạt độngcủa mạng, thuận tiền cho việc thiết kế và cài đặt các phần mềm

1.1.3 Phân loại mạng

Căn cứ vào khoảng cách địa lý: Căn cứ vào tiêu chí này người taphân loại mạng máy tính thành các loại sau:

Mạng cục bộ (LAN - Local Area Network): là mạng được cài đặt

trong phạm vi tương đối nhỏ với các máy tính nút mạng chỉ trong vòngvài km

Mạng diện rộng (WAN - Wide Area Network): là mạng được cài đặt

trong phạm vi một đô thị hoặc một trung tâm kinh tế - xã hội có bán rấtrộng Mạng diện rộng bao giờ cũng là sự kết nối của các mạng LAN, nó

có các đặc điểm sau:

+ Tốc độ truyền dữ liệu không cao

+ Phạm vi địa lý không giới hạn

+ Thường triển khai dựa vào các công ty truyền thông, bưu điện vàdùng các hệ thống truyền thông này để tạo dựng đường truyền

Mạng toàn cầu (GAN): phạm vi mạng trải rộng khắp các châu lục

của Trái đất (khái niệm mạng INTERNET sẽ được đề cập kỹ hơn ởphần sau)

Mạng chuyển mạch: căn cứ vào kỹ thuật chuyển mạch người ta

chia thành các loại sau:

Mạng chuyển mạch kênh (Circuit switched networks):

Trong trường hợp này, khi 2 thực thể cần trao đổi thông tin với nhauthì giữa chúng sẽ được thiết lập một "kênh" (circuit) cố định và được duytrì cho đến khi một trong hai bên ngắt liên lạc Các dữ liệu chỉ đượctruyền theo con đường cố định đó

Mạng chuyển mạch thông báo (message):

Thông báo (message) là một đơn vị thông tin của người sử dụng cókhuôn dạng được quy định trước Mỗi thông báo đều có chứa vùngthông tin điều khiển trong đó chỉ định rõ đích của thông báo Căn cứ vàothông tin này mà mỗi nút trung gian có thể chuyển thông báo tới nút kếtiếp theo đường dẫn tới đích của nó Như vậy, mỗi nút cần phải lưu giữthông tin tạm thời để "đọc" thông tin điều khiển trên thông báo để rồisau đó chuyển tiếp thông báo đi Tuỳ thuộc vào điều kiện của mạng, cácthông báo khác nhau có thể được gửi đi trên các con đường khác nhau

Mạng chuyển mạch gói (packet - switched networks):

Trong trường hợp này, mỗi thông báo được chia thành nhiều phầnnhỏ hơn là các gói tin (packet) có khuôn dạng qui định trước Mỗi gói tincũng chứa các thông tin điều khiển, trong đó có địa chỉ nguồn (ngườigửi) và đích (người nhận) của gói tin Các gói tin thuộc về thông báo nào

đó có thể được gửi qua mạng để tới đích bằng nhiều con đường khácnhau

Các phương pháp chuyển mạch thông báo và chuyển mạch gói làgần giống nhau Điểm khác biệt là các gói thông tin được giới hạn kíchthước tối đa sao cho các nút mạng có thể xử lý toàn bộ gói tin trong bộnhớ mà không phải lưu giữ tạm thời trên đĩa Bởi thế nên mạng chuyểnmạch gói truyền các gói tin qua mạng nhanh hơn và hiệu quả hơn so vớimạng chuyển mạch thông báo

nhau dựa trên những qui tắc, quy ước nhất định, điều này giúp cho việctrao đỏi thông tin trên mạng thông suốt, trung thực.

1.1.4.1 Giao thức truyền trên mạng

Giao thức điều khiển truyền TCP:

TCP là một giao thức kiểu "có liên kết" (connection - oriented),nghĩa là cần phải thiết lập liên kết logic giữa một cặp thực thể TCP trướckhi chúng trao đổi với nhau Đơn vị dữ liệu sử dụng trong TCP được gọi

là segment (đoạn dữ liệu)

Hình 1 - 6: Khuôn dạng của TCP Segment

Các tham số trong khuôn dạng trên có ý nghĩa như sau:

+ Source Port (16 bits): số hiệu cổng của trạm nguồn

+ Destination Port (16 bits): Số hiệu cổng của trạm đích

+ Sequence number (32 bits): số hiệu của byte đầu tiên củasegment trừ khi bit SYN được thiết lập Nếu bit SYN được thiết lập thìSequence Number là số hiệu tuần tự khởi đầu (ISN) và byte dữ liệu đầutiên là ISN+1 Tham số này có vai trò tham số N (S) trong HDLC

+ Ackonowledgment Number (32 bits): số hiệu của segment tiếptheo mà trạm nguồn đang chờ để nhận Ngầm ý báo nhận tốt ( các)

Source port Destination portSequence number

Acknowledgment numberData Resersed U A P R S FOffset R C S S Y I Window

G K H T N NChecksum Urgent pointer

TCP data

segment mà trạm đích đã gửi cho trạm nguồn - tham số này có vai trònhư tham số N (R) trong HDLC.

+ Data offset (4 bits): Số lượng từ - 32 bits (32 bit words) trong TCPHeader ( tham số này chỉ ra vị trí bắt đầu của vùng dữ liệu)

+ Reserved (6bits): dành để dùng trong tương lai

+ Control bits ( các bits điều khiển):

Từ trái sang phải:

URG: vùng con trỏ khẩn (Urgent Pointer) có hiệu lực

ACK: vùng báo nhận (ACK number) có hiệu lực

PSH: chức năng PUSH

RST: khởi động lại (reset) liên kết

SYN: đồng bộ hoá các số hiệu tuần tự (Sequence numbẻ)

FIN: Không còn dữ liệu từ trạm nguồn

+ Window (16 bit): cấp phát credit để kiểm soát luồng dữ liệu ( cơchế cửa sổ) Đây chính là số lượng các byte dữ liệu, bắt đầu từ byteđược chỉ ra trong vùng ACK number, mà trạm nguồn đã sẵn sàng đểnhận

+Checksum (16 bit): mã kiểm soát lỗi ( theo phương pháp CRC) chotoàn bộ sengment (header = data)

+ Urgent Pointer(16 bit): con trỏ tới số hiệu tuần tự của byte đi theosau dữ liệu khẩn, cho phép bên nhận biết được độ dài của dữ liệu khẩn.Vùng này chỉ có hiệu lực khi bit URG được thiết lập

+ Options (độ dài thay đổi): khai báo các options của TCP, trong đó

có độ dài tối đa của vùng TCP data trong một segment

+ Padding (độ dài thay đổi): phần chèn vào header để đảm bảophần header luôn kết thúc ở một mốc 32 bits Phần thêm này gồm toàn

số 0

+ TCP data (độ dài thay đổi): chứa dữ liệu của tầng trên, có độ dàitối đa ngầm định là 536 bytes Giá trị này có thể điều chỉnh bằng cáchkhai báo trong vùng opitions.1 2 3

Userprocess

Hình 1 - 7: Cổng truy nhập dịch vụ TCP

Một cổng liên kết với một địa chỉ IP tạo thành một socket duy nhấttrong liên mạng Dịch vụ TCP được cung cấp như một liên kết logic giữamột cặp socket Một socket có thể tham gia nhiều liên kết với các socket

ở xa khác nhau Trước khi truyền dữ liệu giữa hai trạm cần phải thiết lậpmột liên kết TCP giữa chúng và khi không còn truyền dữ liệu thì liên kết

đó sẽ được giải phóng

Giao thức liên mạng IP:

Mục đích chính của IP là cung cấp khả năng kết nối các mạng conthành liên mạng để truyền dữ liệu Vai trò của IP tương tự vai trò củagiao thức tầng mạng trong mô hình OSI Hình 1 - 8 minh hoạ kiến trúckết nối các mạng con sử dụng TCP và IP, trong đó tất cả các hệ thốngthành viên của liên mạng đòi hỏi phải cài đặt IP ở tầng mạng

TCP TCP

Hình 1 - 8: Kết nối các mạng con thành liên mạng với TCP/IP

DLa: giao thức tầng data Link của Host A

PHYa: giao thức tầng Physical của Host A

DLb: giao thức tầng Data Link của Host B

PHYb: giao thức tầng Physical của Host B

IP là một giao thức kiểu " không liên kết" ( connectionless) có nghĩa

là không cần có giai đoạn thiết lập liên kết trước khi truyền dữ liệu Đơn

vị dữ liệu dùng trong IP được gọi là datagram, có khuôn dạng chỉ ratrong hình 1 - 9

Source Address Destination Address Options + Padding Data (Max: 65.535 bytes)

Header

Bit 0 3 4 15 16 31

Hình 1 - 9: Khuôn dạng của IP datagram

Ý nghĩa của các tham số như sau:

+ VER (4 bits): chỉ vesion hiện hành của IP được cài đặt

+ IHL (4 bits): chỉ độ dài phần đầu ( Internet Header Length) củadatagram, tính theo đơn vị từ (Word = 32 bits) độ dài tối thiể là 5 từ ( 20bytes)

+ Type of service (8 bits): đặc tả các tham số về dịch vụ, có dạng cụthể như sau:

Precedence D T R Reserved

Trong đó:

Precedence (3 bit) : chỉ thị về quyền ưu tiên gửi datagram, cụ thể là:

111 - Network Control ( cao nhất) 011 - Flash

110 - Internetwork Control 010 - Immediate

101 - Critic /ecp 001- Priority

100 - Flas Overide 000 - Routine (thấp nhất)

D (delay) (1 bit): chỉ độ trễ yêu cầu

D = 0 đỗ trễ bình thường

D = 1 đỗ trễ thấp

T ( Throughput) (1 bit): chỉ thông lượng yêu cầu

T = 0 thông lượng bình thường

T = 1 thông lượng cao

R (Reliabiliti) (1 bit): chỉ độ tin cậy yêu cầu

R = 0 độ tin cậy bình thường

R = 1 độ tin cậy cao

+ Total Length ( 16 bít): chỉ động dài toàn bộ datagram, kể cả phầnheader (tính theo đơn vị bytes)

+ Identification (16 bits): cùng các tham số khác (như SourceAddress và Destination Address) tham số này dùng để định danh duynhất cho một datagram trong khoảng thời gian nó vẫn còn trên liênmạng

+ Flags (3 bits): liên quan đến sự phân đoạn (fragment) cácdatagram, cụ thể là:

Bit 0: reserved - chưa sử dụng, luôn lấy giá trị 0

Bit 1 (DF) = 0 (May Fragment)

+ Protocol ( 8 bits): chỉ giao thức tầng trên kế tiếp sẽ nhận vùng dữliệu ở trạm đích ( hiện tại thường là TCP hoặc UDP được cài đặt trênIP)

+ Header Checksum (16 bits): mã kiểm soát lỗi 16 bits theo phươngpháp CRC, chỉ cho vùng header

+ Source Address (32 bits): địa chỉ của trạm nguồn

+ Destination Address ( 32 bits): địa chỉ của trạm đích

+ Options (độ dài thay đổi): khai báo các options do người gửi yêucầu

+ Padding (độ dài thay đổi): vùng đệm, được dùng để đảm bảo cho

0 1 2

+ Data (độ dài thay đổi): vùng dữ liệu, có độ dài là bội số của 8 bits,

và tối đa là 65535 bytes

Sơ đồ địa chỉ hoá để định danh các trạm (host) trong liên mạngđược gọi là địa chi IP 32 bits ( 32 bit IP address) Mỗi địa chỉ IP có độdài 32 bits được tách thành 4 vùng (mỗi vùng 1 byte), có thể được hiểnthị dưới dạng thập phân, bát phân, thập lục phân hoặc nhị phân Cáchviết phổ biến nhất là dùng ký pháp thập phân có dấu chấm (dotteddecimal notation) để tách các vùng Mục đích của địa chỉ IP là để địnhdanh duy nhất cho một host bất kỳ trên mạng Do tổ chức và độ lớn củacác mạng con (subnet) của liên mạng có thể khác nhau, người ta chiacác địa chỉ IP thành 5 lớp, ký hiệu là A,B,C, và E với cấu trúc được chỉ

Netid = Network identifierHostid = Host identifier Hình 1-10: Cấu trúc các lớp địa chỉ IP.

Các bit đầu tiên của byte đầu tiên được dùng để định danh lớp địachỉ (0 - lớp A, 10 lớp - lớp B; 110 - lớp C; 1110 - lớp D và11110 - lớp E)+ Lớp A cho phép định danh tới 126 mạng, với tối đa 16 triệu hosttrên mỗi mạng Lớp này được dùng cho các mạng có số trạm cực lớn.+ Lớp B cho phép định danh tới 16384 mạng, với tối đa 65534 hosttrên mỗi mạng

+ Lớp C cho phép định danh tới 2 triệu mạng, với tối đa 254 hosttrên mỗi mạng Lớp này được dùng cho các mạng có ít trạm

+ Lớp D dùng để gửi IP datagram tới một nhóm host trên một mạng.+ Lớp E dự phòng để dùng trong tương lai

Một địa chỉ có hostid = 0 được dùng để hướng tới mạng định danhbởi vùng netid Ngược lại, một địa chỉ có vùng hostid gồm toàn số 1được dùng để hướng tới tất cả các host nối vào mạng netid, và nếuvùng netid cũng gồm toàn số 1 thì nó hướng đến tất cả các host trongliên mạng

Trong nhiều trường hợp, một mạng có thể được chia thành nhiềumạng con (subnet), lúc đó có thể đưa thêm các subnetid để định danhcác mạng con Vùng subnetid được lấy từ vùng hostid

Cần lưu ý rằng các địa chỉ IP được dùng để định danh các host vàmạng ở tầng mạng của mô hình OSI, và chúng không phải là các địa chỉvật lý ( hay địa chỉ MAC) của các trạm đó trên một mạng cục bộ(Ethernet, Token Ring ) Trên một mạng cục bộ như vậy, hai trạm chỉ

có thể liên lạc với nhau nếu chúng biết địa chỉ vật lý của nhau Như vậyvấn đề đặt ra là phải thực hiện ánh xạ giữa địa chỉ IP (32 bits) và địa chỉvật lý (48 bits) của một trạm Giao thức ARP ( Address ResolutionProtocol) đã được xây dựng để chuyển đổi từ địa chỉ IP sang địa chỉ vật

lý khi cần thiết Ngược lại, giao thức RARP ( Reverse Address

chỉ IP Chú ý rằng cả ARP và RARP đều không phải là bộ phận của IP.

IP sẽ dùng đến chúng khi cần

Một giao thức khác cũng liên quan trực tiếp đến IP, đó là ICMP(Internet Control Message Protocol) Giao thức này thực hiện truyền cácthông báo điều khiển (bá cáo về các tình trạng lỗi trên mạng, ) giữacác gateway hoặc trạm của liên mạng Tình trạng lỗi có thể là: mộtdatagram không thể tới đích của nó, hoặc một router không đủ bộ nhớđệm để lưu và chuyển một datagram, Một thông báo ICMP được tạo

và chuyển cho IP IP sẽ "bọc" (encapsulate) thông báo đó với một IPheader và truyền đến cho router hoặc trạm đích

Giao thức UDP

UDP (User Datagram Protocol) là giao thức "không liên kết" được

sử dụng thay thế cho TCP ở trên IP theo yêu cầu của ứng dụng UDPkhông có các chức năng thiết lập và giải phóng liên kết, tương tự như

IP Nó cũng không cung cấp các cơ chế báo nhận, không sắp xếp tuần

tự các đơn vị dữ liệu ( datagram) đến và có thể dẫn đến tình trạng mấthoặc trùng dữ liệu mà không hề có thông báo cho người gửi UDP cungcấp cơ chế gán và quản lý các số hiệu cổng (port numbers) để địnhdanh duy nhất cho các ứng dụng chạy trên một trạm của mạng Do ítchức năng phức tạp nên UDP hoạt động nhanh hơn so với TCP Nóthường được dùng cho các ứng dụng datagram được mô tả trong hình

1 -15, với các vùng tham số đơn giản hơn nhiều so với TCP segmet

cả hai chiều: chiều dọc (trong mỗi hệ thống trạm của mạng) và the theochiều ngang ( qua mỗi mạng con của liờn mạng) Ở đõy "gúi" cú nghĩa làthờm phần đầu (header) và phần đuụi (trailer) (nếu cú) vào hai đầu củađơn vị dữ liệu Ngược lại, "mở" cú nghĩa là búc tỏch phần đầu và đuụi(nếu cú) sau khi xử lý cỏc thụng tin điều khiển trong đú Hỡnh 1 -16 minhhoạ quan hệ giữa cỏc tầng trong mạng TCP (UCP)/IP cựng với cỏc đơn

vị dữ liệu tương ứng được "gúi" lần lượt

1.1.4.2 Cấu trỳc mạng Internet

Cấu trỳc của mạng Internet cú thể minh hoạ như hỡnh 1-12Modem là thiết bị dựng để chuyển đổi cỏc tớn hiệu bờn trong mỏytớnh thành tớn hiệu mà mạng đũi hỏi

Mạng liên lục địa

Mạng lục địa

Ng ời sử dụng truy cập

Router (bộ định tuyến) là thiết bị tiếp nhận và truyền các gói tin, việctruyền gói tin đi căn cứ vào địa chỉ gói tin và các giải thuật chọn đườngtối ưu cho các gói tin Router có thể được tích hợp chung với máy chủ.

Gateway (Cổng nối ) là thiết bị để chuyển đổi dữ liệu từ dạng nàysang khác sao cho nơi nhận (đích ) có thể hiểu được dữ liệu gửi tới Đường truyền có thể dùng mạng điện thoại công cộng (PSTN) hoặcmạng truyền số liệu (PSDN)

ISP Server là máy chủ của nhà cung cấp dịch vụ truy nhập vàInternet, nơi người dùng đăng ký tài khoản Internet Khi đăng ký tàikhoản Internet thì các ISP sẽ cung cấp cho người dùng các từ khoá đểtruy nhập Internet như sau:

+ Uer name: Mã tên người dùng

+ Password: mật khẩu truy nhập

+ Địa chỉ thư điện tử của người dùng trên Internet

Ngoài ra, còn có thể dùng các thiết bị như SWITCH, HUB (bộ tậptrung); Bridge (cầu nối) dùng để kết nối các mạng LAN với nhau;Repeter (bộ lặp) dùng để khuếch đại tín hiệu vì thường phải truyền ởkhoảng cách xa

Các phần cứng này cùng với các giao thức phần mềm sẽ tạo nên

sự truyền dẫn thông tin một cách thông tin một cách thông suốt trongtoàn mạng

1.1.4.3 Truyền dẫn thông tin trên mạng Internet:

Application Transport Internet Network Access Internet

Network ANetwork B

Network C

Host A1Host C1

Khi người dùng gửi thông tin qua mạng Internet, họ giao thức điềukhiển truyền TCP/IP sẽ chia cắt thông tin đó thành các gói tin IP Máytính của người dùng dùng sẽ gửi các gói tin đó tới nhà cung cấp dịch vụ,tại đó bộ định tuyến sẽ kiểm tra các gói tin để xác định đích đến ủa cácgói tin này Sau đó tính toán đường truyền và gửi các gói tin tới bộ chọnđường và máy chủ gần đích của gói tin Tại đích các gói tin sẽ được xắpxếp ráp nối lại thành thông tin ban đầu Quá trình truyền các gói tin cóthể sẽ được truyền đồng thời qua nhiều nút trung gian và bằng nhiềucon đường khác nhau để tới đích.

1.1.4.4 Địa chỉ, tên miền Internet:

để có thể trao đổI thông tin trên mạng Internet, người dùng sẽ cầnthiết phải hiểu được các địa chỉ (address) của Internet Giao thứcInternet (IP) sử dụng thông tin địa chỉ Internet (IP address) để trao đổIthông tin Mỗi một địa chỉ IP trên mạng Internet thực tế thường là mộtloạt bốn số tách biệt khác nhau bởi các dấu cách đoạn (gọi là dấuchấm), dạng tổng quát là xxx.xxx.xxx.xxx Mỗi một bộ trong bốn bộ chữ

số có thể thừa nhận một giá trị giữa 0 và 2555 Ví dụ máy tính chủ đểnhận gửi thư điện tử của công ty VDC tại Hà Nội có địa chỉ IP là203.162.0.9

Việc định danh các phần tử của liên mạng bằng các con số nhưtrong địa chỉ IP rõ ràng là không làm cho người sử dụng hài lòng bởichúng khó nhớ, dễ nhầm Vì thế người ta xây dựng hệ thống đặt tên( name) cho các phần tử của mạng Internet, cho phép người sử dụngchỉ cần nhớ các tên chứ không cần nhớ các địa chỉ IP nữa

Việc định danh bằng tên cũng có những vấn đề của nó, tên là phảiduy nhất - có nghĩa là không để có từ hai địa chỉ trở lên trùng tên nhau.Ngoài ra cần phải có cách để chuyển đổi tương ứng giữa địa chỉInternet bằng chữ sang địa chỉ bằng con số IP Một điều nữa là đối vớimột mạng lớn và phát triển không ngừng như Internet đòi hỏI phải cómột hệ thống đặt tên thích hợp Hệ thống này được gọi là hệ thống tênmiền (Domain Name System - DNS) Đây là một phương pháp quản lý

các tên bằng cách giao trách nhiệm phân cấp cho mỗi nhóm tên Mỗicấp trong hệ thống được gọi là một miền (domain), các miền được táchnhau bởi một dấu chấm, các miền ở cấp bậc cao hơn duy trì danh sách

và các địa chỉ của các miền ngay dưới chúng Số lượng miền trong mỗitên có thể thay đổi nhưng thường nhiều nhất là 5 miền Vậy DNS sẽ chomỗi máy tính trên mạng một địa chỉ Internet hoặc một tên miền bằng cácchữ cái có thể nhận biết dễ dàng thay cho các chữ số

Một địa chỉ Internet bằng chữ có dạng tổng quát như sau

User ID@domain name, ta thấy nó được tạo bởi hai phần chủ yếuđược tách biệt nhau bằng một ký hiệu @ Phần đầu của địa chỉ nằm bêntrái ký hiệu @ là mã người sử dụng, là người có tài khoản đăng kýInternet và tên đăng nhập (login) của người đó Phần thứ hai của địachỉ nằm bên phải ký hiệu @ là tên máy chủ hoặc tên miền mà máy tínhcủa người dùng có tài khoản Nếu tài khoản thuộc một cơ quan nào đóthì tên máy chủ hoặc tên miền có thể là tên một công ty hay một cơquan, còn không nó có thể là nơi người dùng có tài khoản Internet vớimột nhà cung cấp dịch vụ truy nhập Internet ( Internet quốc gia đượcgán một tên miền riêng gồm 2 chữ cái, đây là chữ viết tắt tên của từngquốc gia theo tiếng Anh ví dụ:

Các cấp thấp hơn là các miền của các tổ chức chuyên biệt:

.com dùng cho kinh doanh thương mại

.edu dùng cho giáo dục và đào tạo

Truyền tệp (FTP)

Dịch vụ truyền tệp trên Internet được đặt tên theo giao thức mà nó

sử dụng là FRP ( File Transfer Protocol ) FTP cho phép chuyển các tệp

từ một trạm này sang một trạm khác, bất kể trạm đó ở đâu và sử dụng

hệ điều hành gì, chỉ cần chúng được nối với Internet và có cài đặt FTP.FTP chỉ xem được tên tệp chứ không xem được nội dung tệp, nếu muốnxem nội dung thì cần phải sao chép về máy của mình

Đăng nhập từ xa ( Telnet)

Telnet cho phép người sử dụng từ trạm làm việc của mình có thểđăng nhập (login) vào một trạm ở xa qua mạng Internet và làm việc với

hệ thống như là một trạm cuối cùng (terminal)_ nối trực tiếp với trạm xa

đó Telnet dùng giao thức chuẩn TCP/IP để đấu nối

Tìm kiếm thông tin dựa trên siêu văn bản

Web - là một dịch thông tin mới và hấp dẫn nhất trên Internet Nódựa trên một kỹ thuật biểu diễn thông tin có tên gọi là siêu văn bản(hypertext), trong đó các từ được chọn trong văn bản có thể được mởrộng bất kỳ lúc nào để cung cấp các dịch vụ thông tin đầy đủ hơn về từ

đó Sự " mở rộng" ở đây có nghĩa là chúng có các liên kết (links) tới cáctài liệu khác ( có thể là văn bản, hình ảnh, âm thành…) có chứa nhữngthông tin bổ sung Giao thức sử dụng cho Web là HTTP (HypertextTransfer Protocol)

Tra cứu thông tin theo thực đơn (Gopher)

Dịch vụ này cho phép tra cứu thông tin theo chủ đề dựa trên hệthống thực đơn (menu) mà không cần biết đến địa chỉ IP tương ứng.Gopher hoạt động theo phương thức thức client/server nghĩa là phải cóhai chương trình: Gopher client và Gopher server

Tìm kiếm thông tin theo chỉ số (WAIS)

Tương tự như Gopher, WAIS (Wide Area Information server ) chophép tìm kiếm và truy cập thông tin trên mạng mà không cần biết chúngđang thực sự nằm ở đầu WAIS cũng hoạt động theo mô hìnhclient/server Tuy nhiên ngoài các chương trình WAIS client và WAIS

server còn có thêm chương trình WAIS indexer thực hiện việc cập nhật

dữ liệu mới , sắp xếp theo chỉ số để tiện tìm kiếm

Mỗi hệ điều hành thông dụng hiện nay đều có các chương trìnhWAIS client tương ứng Ngoài việc hiển thị các tệp văn bản, WAIS còncho phép hiển thị cả các tệp đồ hoạ

Thư điện tử ( Electronic Mail)

Thư điện tử là một văn bản được người dùng soạn thảo bằng phầnmềm rồi gửi qua máy tính sau khi đã ghi rõ địa chỉ nơi nhận Khi gửi thưmáy tính của người gửi chỉ cần phẩI kết nối vào mạng, lúc đó thư điện

tử sẽ được gửi lên mạng Internet thông qua E - Mail server của nhàcung cấp dịch vụ Thư điện tử có thể được lưu giữ ở đó hoặc đưachuyển sang E-Mail server của người nhận và lưu ở đó Khi người nhậnthiết lập liên kết với E-Mail server đó thì thư sẽ chuyển về máy củangười nhận, còn nếu không thư sẽ vẫn được lưu giữ trên server Từ quátrình gửi-nhận thư ta thây khoảng thời gian từ khi gửi đến khi nhận diễn

ra rất nhanh Đây là dịch vụ không đòi hỏI vấn đề thời gian thực Giaothức sử dụng cho hệ thống thư điện tử của Internet là SMTP ( SimpleMail Transfer Potocol)

Điện thoại Internet

Điện thoại Internet là một dịch vụ viễn thông cho phép các ứng dụng

âm thanh, Fax và thông điệp có nội dung âm thanh được truyền tải quamạng Internet Các cuộc gọi điện thoại, Fax, thông điệp âm thanh dướidạng tín hiệu tương tự được chuyển sang dạng số sau đó được nén vàchuyển sang dạng gói dữ liệu IP để chuyển qua mạng Internet đến điểmnhận Tại điểm nhận, quá trình xử lý diễn ra ngược lại để chuyển lạithành tín hiệu tương tự Kỹ thuật truyền thoại này có khả năng đưa cácdịch vụ trên mạng thoại truyền thống sang truyền dẫn qua mạng sửdụng họ giao thức TCP/IP Mạng TCP/IP ở đây là một khái niệm rộngbao gồm tất cả các mạng sử dụng công nghệ TCP/IP trong đó có mạngInternet

Thương mại điện tử (E - Business)

Thương mại điện tử là các hình thức kinh doanh và thanh toán trênmạng Internet Trên Internet người bán hàng cần có một trang Web đểkhách hàng truy nhập vào Khách hàng chỉ cần vào trang Web bán hàngxem, chọn mua những hàng hoá ưng ý Hàng hoá sau khi khách hàng

đã đặt mua qua mạng sẽ được chuyển đến theo yêu cầu Việc thanhtoán đối với nơi bán cũng thông qua mạng Internet , việc này được thựchiện nhờ các thẻ tín dụng điện tử Tuy nhiên đây là môi trường kinhdoanh đầy nguy hiểm nếu không thiết lập được một hệ thống an ninhmạng cần thiết bảo vệ cả người mua và người bán

Những nhân tố không an toàn thường gặp bao gồm 3 loại chính:

- Tác động tự nhiên, những tổn hại vật lý, thiết bị có sự cố

- Bức xạ điện tử, thừa cơ xâm nhập vàp, tiết lộ dấu vết

- Thao tác sai, sơ suất ngoài ý muốn

1.2.1.2 Khống chế an toàn:

Khống chế an toàn là khái niệm để chỉ sự bảo hộ an toàn khi thaotác và tiến hành tiến trình khống chế quản lý đối với tinh tức lưu giữ vàtruyền dẫn trong hệ thống tin tức trên mạng, mà trọng điểm là tiến hànhbảo hộ an toàn sơ bộ đối với tin tức trong thứ tự xử lý tin tức trên mạng.Khống chế an toàn có thể phân làm 3 cấp độ như sau:

- Khống chế an toàn đối với hệ điều hành Bao gồm: tiến hànhchứng thực nhận dạng đối với tính hợp pháp của thuê bao, khống chếđối với việc độc, viêt, lưu giữ tệp Khống chế an toàn loại này chủ yếu làbảo hộ an toàn dữ liệu lưu giữ.

- Khống chế an toàn đối với modul giao diện mạng lưới Tiến hànhkhống chế an toàn tiến trình thông tin mạng lưới đến từ thiết bị kháctrong môi trường mạng lưới Khống chế loại này chủ yếu là bao gồmchứng thực nhận dạng, xác lập và phán đoán quyền hạn của kháchhàng, giám sát nhật ký…

- Khống chế an toàn thiết bị nối mạng Tiến hành giám sát và khốngchế an toàn với tin tức truyền dẫn và trạng thái vận hành của tất cả cácmáy chủ trong toàn bộ mạng nhánh Khống chế loại này chủ yếu là thựchiện thông qua phần mềm quản lý mạng hoặc bố trí đường

1.2.1.3 Phục vụ an toàn:

Phục vụ an toàn là khái niệm chỉ sự tiến hành bảo hộ và nhận biếtbảo mật, tính hoàn chỉnh của tin tức trên mạng và tính chân thực củangoòn tin trong quá trình sử dụng, đáp ứng nhu cầu an toàn của thuêbao, đề phòng và chống trả các loại uy hiếp an toàn và thủ đoạn côngkích Nội dung chủ yếu của phục vụ an toàn bao gồm:

Fire walls

Physical protection

Data encryptionLogin / Password

Hình 1-13: Mô hình các lớp rào chắn bảo vệ thông tin

Lớp Acces Right (Quyền truy nhập): kiểm soát quyền truy nhập cáctài nguyên và quyền hạn sử dụng các tài nguyên đó

Lớp Login Password (Mật khẩu đăng nhập): đăng ký tên và mậtkhẩu Thực chất đây cũng là lớp kiểm soát quyền truy nhập nhưng ởmức hệ thống (tức là có khả năng truy cập vào mạng hay không) Đây làlớp bảo vệ rất có hiệu quả, đơn giản và chi phí thấp

Lớp Data Encryption (Mã hoá dữ liệu): dữ liệu được biến đổI từdạng nhận thức được sang dạng không thể nhận thức được theo mộtthuật toán nào đó và sẽ được giải mã lại tại máy trạm

Lớp Physical Protection (Bảo vệ vật lý): nhằm ngăn chặn các truynhập vật lý vào hệ thống như kết nối bất hợp pháp, chặn thu…

Lớp Firewall (Bức tường lửa): dùng để bảo vệ mạng máy tính từ xa.Hiện nay, lớp bảo vệ này có hầu hết trong các kết nối với Internet

Bẫy ở đây được hiểu là cửa vào bí mật của một mudul chương trìnhchưa được ghi vào hồ sơ Thông thường bẫy được gài vào một đoạnngắn của chương trình khi phát triển chương trình, mục đích là để kiểmtra modul này hoặc để sửa đổI và nâng cấp chương trình trong tương laihoặc để đảm bảo việc sử dụng hợp pháp, tiện lợI cho lập trình viêntrong tương lai sau khi xảy ra sự cố

Khi bẫy bị phát hiện sẽ mạng lại hậu quả nghiêm trọng Ví dụ bẫy cóthể thiết lập một đờng thông tin bí mật ở trong chương trình, thậm chí cóthể cấy virut chương trình vào đó Hơn nữa bẫy có thể làm cho mạngthông tin vốn cách biệt lẫn nhau, nay lại hình thành một quan hệ bí mậtnào đó, từ đó có thể khai thác mạng lưới một cách bất hợp pháp nhằmlấy trộm, sửa đổI, nguy tạo và phá hoại, thậm chí còn có thể gây tê liệttrên diện rộng hệ thống tin tức trong mạng

Một số loại bẫy thường gặp là tạc đạn logic, khống chế tắt mạch từ

xa, sửa chữa từ xa, thông tin liên lạc (kết nối) không hợp lệ, chươngtrình lạm dụng…

1.3.1.2 Mất an toàn hệ điều hành:

Chức năng chủ yếu của hệ diều hành bao gồm: khống chế và điềutiết tiến trình, xử lý tin tức, puản lý bộ lưu trữ, quản lý tệp, quản lý đầuvào và đầu ra, quản lý thời gian, … Chức năng an toàn chủ yếu của nóbao gồm: bảo vệ bộ lưu trữ (hạn định khu lưu trữ và định vị lại địa chỉ,bảo vệ tin tức lưu trữ), bảo vệ tệp (bảo vệ tệp thuê bao và hệ thống,phòng ngừa sự khai thác của thuê bao không được uỷ quyền), khốngchế khai thác, nhận dạng thuê bao (nhận dạng phân biệt quyền hạn vàđối tượng yêu cầu khai thác)

Những sơ hở chủ yếu của hệ điều hành gồm:

- Khai thác phi pháp đầu vào/đầu ra

- Hỗn loại khống chế khai thác

- Trung tian không hoàn toàn: bộ phận trung gian (broker) hoàn toànphải kiểm tra mỗi lần xin khai thác nhưng một số hệ điều hành nào đó lại

bỏ đi sự bảo hộ an toàn đó Ví dụ như chỉ kiểm tra khai thác lần thứ nhấthoặc thực thi không toàn diện cơ chế bảo hộ.

- Cửa bẫy hệ điều hành

1.3.1.3 Sơ hở an toàn của cơ sở dữ liệu:

Cơ sở dữ liệu là hệ thống được dùng quản lý số lượng dữ liệu lớnđược tách ra từ hệ điều hành Toàn bộ số liệu của cơ sở dữ liệu đềuđược nghi vào thiết bị lưu giữ, và do hệ thống quản lý cơ sở dữ liệu(DBMS) thống nhất quản lý DBMS là một chương trình ứng dụng vậnhành trên cơ sở hệ điều hành, là một phần mềm ứng dụng nhiều thuêbao sử dụng Vì thế DBMS nhất thiết phải có cơ chế chứng thực nhậndạng thuê bao độc lập nhằm tạo ra cách thức bảo vệ hai lớp Một sốtrường hợp cần thiết có thể hạn chế thêm cả thời gian, thậm chí địađiểm sử dụng cơ sở dữ liệu, đồng thời yêu cầu thuê bao chỉ được tiếnhành thao tác đối với hệ thống cơ sở dữ liệu vào thời gian chỉ định trêntrạm đầu cuối

1.3.1.4 Sơ hở của giao thức TCP/IP:

hiện nay giao thức TCP/IP hoàn toàn thống trị trên mạngin TCP/IPvào thời kỳ đầu thiết kế còn chưa xem xét đến vấn đề an toàn, thêm vào

đó là hệ điều hành và chương trình ứng dụng ngày càng phức tạp,người viết ra không đủ khả năng pháp hiện được tất cả các sơ hở về antoàn, nên hệ thống máy tính được đấu trên mạng có khả năng bị tấncông và lấy cắp từ bên ngoài TCP/IP bộc lộ những sơ hở như:

- Cơ chế nhận dạng yếu kém, rất dễ bị nghe trộm và theo dõi, dễ bịlừa

- Máy chủ phục vụ mạng LAN yếu kém, lắp đặt và khống chếp phứctạp

- Tính không bảo mật của địa chỉ IP

1.3.1.5 Sơ hở của phần mềm mạng lưới và phục vụ mạng:

Những sơ hở thuộc loại này thường gặp là:

- Sự sơ hở của Finger: Finger chỉ cần một địa chỉ IP là có thể cung

địa điểm đăng ký… Đây là một công cụ lợI hại đối với hacker để tấncông máy chủ vì biết được tên thuê bao thì việc xập nhập đã thành côngmột nửa.

- FTP nặc danh: FTP là một lại phục vụ truyền dẫn tệp tương đốinguy hiểm vì nó căn bản không tiền hành thẩm tra không chế đăng ký,bất kỳ người nào cũng có thể thông qua mệnh lệnh này đẻ lấy đi tệp cóquyền hạn đọc ở trên bộ phcụ vụ

- Đăng ký từ xa: với mạng lơn, việc đăng ký từ xa mang lại rất nhiềuthuận tiện cho thuê bao nhưng đồng thời tiềm ẩn sự uy hếp về an toànkhông lường trước được Khi người ta vận hành ra lệnh như rlogin,reprexec… do phải vượt qua một số mật khẩu truyền dẫn của mạng lưới, nhưng TCP/IP lại không bảo mật đối với tin tức được truyền, nênhacker chỉ cần tiến hành chương trình kiểu "bộ ngửi mùi" trên lộ trình

mà gói IP của máy chủ là mục tiêu công kích, thì có thể lấy được mậtkhẩu của mục tiêu Điều đó dẫn đến sự uy hếp rất lớn đối với an toànmạng và bảo mật tin tức

- Thư điện tử: đây là dịch vụ được sử dụng nhiều nhất trên mạng, vìthế, thông qua thư điện tử để tấn công một hệ thống là một việc rất dễlàm đối với hacker Những hiểm hoạ từ thư điện tử bao gồm: mất tintức, lây nhiễm và tuyền bá virus máy tính, spam (là những thư được gửi

đi ồ ạt trên Internet nên có thể làm tắc nghẽn đờng truyền, gián đoạnthông tin, tràn bộ lưu giữ của các thuê bao nhận thư)

1.3.1.6 Sự sơ hở của bố trí mật khẩu:

Mật khẩu (pasword) là một giải pháp an toàn và thường dùng nhấttrong hệ thống tin tức trên mạng Nếu thuê bao dùng mật khẩu thích hợpthì tính an toàn của hệ thống được tăng lên rất nhiều Trên thực tế thfingười lại, các thuê bao tưhờng bố trí không cẩn thận và điều này manglại nguy hiểm rất lớn

1.3.2 Lỗ hổng phần cứng:

1.3.2.1 Sự mất an toàn do không chủ động về kỹ thuật và công nghệ:

Các nước chậm phát triển, do không có khả năng tự sản xuất cáclinh kiện máy tính và thiết bị mạng nên hoàn toàn phải nhập khẩu Đó làmột nguy cơ rất lớn vì các sản phẩm có thể bị cài các tạc đạn logic, cửabẫy,… khi cần chúng có thể phát huy sức phá hoại mà ta không lườnghết được.

Thực tế đã phát hiện được một số tên người dùng và mật mã mặcđịnh trên thiết bị mạng của 3Com, Bay, Cisco … Bảng 1 -1 là tập hợptên người dùng và mật mã mặc định của một số thiết bị mạng và khithiết lập chúng, nhất thiết phải thay đổi

Ngoài các tham số mặc định nguy hiểm, các sản phẩm trong quátrình sử dụng sẽ bộc lộ những khiếm khuyết về mặt an toàn mà chỉ cónhà sản xuất mới khả năng can thiệp để khắc phục cho phiên bản sau;đối với những nước phải nhập khẩu lại phải đầu tư về tài chính một lầnnữa để nâng cấp sản phẩm mà họ đã mua nếu không muốn chấp nhậnnhững rủi ro do thiếu an toàn gây ra

1.3.2.2 Khiếm khuyết an toàn của bộ định tuyến:

Bộ định tuyến làm việc ở tầng thứ ba trong mô hình OSI với chứcnăng là đảm bảo cho tất cả các dữ liệu được gửi tới các địa chỉ yêu cầutheo một con đường có hiệu quả nhất

Trong quá trình chọn đường đi, bộ định tuyến có hai cách lựa chọn

là chọn đường trạng thái tĩnh và chọn đường trạng thai động Tươngứng với nó cũng có bảng đường đi tĩnh và bảng đường đi động (trong

đó bảng đường đi động có thể sửa chữa) Nếu bảng đường đi của bộđịnh tuyến bị sửa một các ác ý hoặc bị phá hoại thì có thể mang lại hậuquả cho tất cả hoặc một phần của mạng Một số mạng khu vực sử dụng

kỹ thuật lọc IP, dùng kỹ thuật lọc IP của bộ định tuyến, để tiến hànhkhống chế đối với thuê bao không được uỷ quyền từ bên ngoài đến, tuynhiên kỹ thuật này không đạt được mục đích duy trì bảo hộ an toàn đốivới mạng và chính phương pháp này cũng bị hacker lợI dụng để tấncông bảng đường đi của bộ định tuyến

CHƯƠNG 2

NGHIÊN CỨU CÁC HÌNH THỨC XÂM PHẠM

THÔNG TIN TRÊN MẠNG

2.1 KHÁI NIỆM VỀ XÂM NHẬP THÔNG TIN TRÊN MẠNG

2.1.1 Khai thác các điểm yếu dễ bị xâm nhập

Trên thực tế, người ta đã thống kê được 14 điểm yễu dễ bị xâm nhậpthông qua mạng máy tính Hình 2 - 1 minh hoạ một mô hình mạng tổngquát với các điểm yếu dễ bị xâm nhập, cụ thể:

1 Thiếu điều khiển truy cập bộ định tuyến và lập cấu hình sai ACL sẽcho phép rò rỉ thông tin thông qua ICMP, IP, NetBIOS, dẫn đến truy cậpbất hợp pháp các dịch vụ trên máy phục vụ DMZ

2 Điểm truy cập từ xa không được theo dõi và bảo vệ sẽ là phương tiệntruy cập dễ dàng nhất đối với mạng công ty

3 Rò rỉ thông tin có thể cung cấp thông tin phiên bản hệ điều hành vàchương trình ứng dụng, người dùng, nhóm, DNS cho kẻ tấn công thôngqua chuyển vùng và các dịch vụ đang chạy như SNMP, finger, SMTP,telnet, rusers, sunrpc, NetBIOS

4 Máy chủ chạy các dịch vụ không cần thiết (như FTP, DNS, SMTP)

sẽ tạo ra lối vào

5 Mật mã yếu, dễ đoán, dùng lại ở cấp trạm làm việc có thể dồn máyphục vụ vào chỗ thoả hiệp

6 Tài khoản người dùng hoặc tài khoản thử nghiệm có đặc quyền quámức

& Máy phục vụ Internet bị lập cấu hình sai, đặc biệt là kịch bản CGI trênmáy phục vụ web và FTP nặc danh

8 Bức tường lửa hoặc ACL bị lập cấu hình sai có thể cho phép truy cậptrực tiếp hệ thống trong hoặc một khi đã thoả hiệp xong máy phục vụDMZ.

9 Phần mềm chưa được sửa chữa, lỗi thời, dễ bị tấn công, hoặc để ởcấu hình mặc định

10 Quá nhiều điều khiển truy cập thư mục và tập tin

11 Quá nhiều mối quan hệ uỷ quyền như NT domain Trusts, các tập tinrhosts và hosts.equiv trong UNIX sẽ cho kẻ tấn công truy cập hệ thốngbất hợp pháp

12 Các dịch vụ không chứng thực

13 Thiếu tính năng ghi nhất ký, theo dõi và dò tại mạng và cấp độ máychủ

14 Thiếu chính sách bảo mật, thủ tục và các tiêu chuẩn tối thiểu

Bản chất của các vụ tấn công trên mạng máy tính là phát hiện lỗ hổng

và tận dụng lỗ hổng trên mạng của đối phương nhằm đột nhập sau đóthực hiện ý đồ của mình Bất kỳ một vụ tấn công hoàn chỉnh nào cũngtheo các phương pháp cơ bản sau:

- Thu thấp thông tin đích

- Truy cập lần đầu

- Leo thang đặc quyền

- Che đậy dấu vết

- Đặt cửa sau

Tuỳ theo từng tình huống mà các phương pháp trên có thể phải thựchiện nhiều lần và bằng hiều công cụ kỹ thuật khác nhau mới mang đếnthành công

Việc thu thập thông tin đích (mục tiêu) trước hết được bắt đầu bằng việc

"in dấu chân" hay còn được hiểu là kỹ thuật thu thập thông tin đích Indấu chân sẽ cho phép hacker lập bộ lưu trữ đầy đủ về bảo mật tổ chức.Kết hợp các công cụ và kỹ thuật hacker có thể lấy được dãy tên vùng cụthể, khối mạng, địa chỉ IP của hệ thống nối thẳng với Internet

Bảng 2.1 mô tả các công nghệ và thông tin quan trong mà hacker muốn

B ng 2.1 Các công ngh v thông tin quan tr ngảng 2.1 Các công nghệ và thông tin quan trọng ệ và thông tin quan trọng à thông tin quan trọng ọng

những công cụ kỹ thuật quét ping, quét cổng và công cụ phát hiện tựđộng hoá.

Một trong những bước co bản trong vẽ bản đồ mạng là tự động quétping dãy địa chỉ IP và khối mạng nhằm xác định xem hệ thống còn hoạtđộng hay không Theo truyền thống ping sẽ gửi tới gói dữ liệu ICMPECHO (type 8) đến hệ thống đích với nỗ lực moi ICMP ECHO-REPLY(Type )) cho biết hệ thống đích vẫn còn làm việc Sau khi xác định chắcchắn hệ thống vẫn còn làm việc, hacker tiếp tục quét cổng nhằm nhậndiện:

- Dịch vụ TCP và UDP chạy trên hệ thống đích

- Loại hệ điều hành trên hệ thống đích

- Ứng dụng hoặc phiên bản dịch vụ cụ thể

Sau khi đã hoàn tất việc quét và giả sử việc thăm dò mục tiêu chưamang lại kết quả trực tiếp cho cuộc tấn công, hacker sẽ chuyển sangnhận diện tài khoản người dùng hợp lệ hoặc dùng chung tài nguyênđược bảo vệ kém Có nhiều công cụ hỗ trợ trích tài khoản hợp lệ hoặctên tài nguyên khỏI hệ thống Tiến trình này được gọi là liệt kê

Sau khi có đầy đủ thông tin về mục tiêu, hacker có thể bắt đầu thực hiệncác vụ tấn công:

- Xâm nhập bất hớp pháp Dial -Up và VPN

- Tìm, nhận diện và khai thác thiết bị mạng

- Phát hiện, liệt kê và né tránh bức tường lửa

- Từ chối dịch vụ

C Xâm nhập bất hợp pháp phần mềm bao gồm:

- Điều khiển từ xa không an toàn

- Các kỹ thuật cải tiến khác (bao gồm cả virus và Ngựa Trojan).

2.1.2 Tấn công bằng từ chối dịch vụ DOS (Denial of Service)

Từ chối dịch vụ là trạng thái một hoặc nhiều thuê bao được uỷquyền (thuê bao hợp pháp) không thể khai thác nguồn dữ liệu mạnglưới hoặc khi khai thác khẩn cấp thì bị là chậm trễ việc bị từ chối dịch vụ

có thể là do hư hỏng vật lý của mạng, do việc sử dụng giao thức khôngchính xác và cũng có thể do quá tải gây nên

Đây là hình thức tấn công phổ biến vì:

- Kẻ tấn công dấu được danh tính vì thế gây ra sự nghi ngờ củathuê bao đối với nhà cung cấp dịch vụ và điều hành mạng lưới , đồngthời tránh được các hậu quả nghiêm trọng liên quan đến khía cạnh pháplý

- Hậu quả của từ chối dịch vụ cực kỳ to lớn, về cơ bản kiểu tấncông này sẽ từ chối mọi dịch vụ của thuê bao hợp pháp khi muốn truycập, một khi các thuê bao đã bị phong toả thì mạng coi như chết vìkhông ai có thể vào được

- Trong nhiều trường hợp, tấn công bằng từ chối dịch vụ còn làcách phòng thủ tốt nhất khi đã xác định được danh tính của đối phương.Tuy có nhiều công cụ để phát động tấn công DOS nhưng bằng cáchnhận diện kiểu tấn công, thông thường có 4 kiểu cơ bản là:

này Một số kiểu tấn công nhằm vào những mục tiêu, dịch vụ cụ thể trênmạng và được xếp vào dạng tấn công cụ bộ.

Cần lưu ý rằng kỹ thuật tấn công cụ thể luôn thay đổI theo thời gian

vì vậy sau đây chúng ta chỉ xem xét nguyên tắc cơ bản của một số kiểutấn công DoS

Nhiều lúc thì cơ chế này không có vấn đề gì, nhưng hacker luôn tìmđược chỗ yếu cố hữu để gây ra tình trạng từ chối dịch vụ Đó là đa số

hệ thống phân phối số lượng tài nguyên nhất định khi thiết lập nối kếttiềm tàng hoặc nối kết chưa thiết lập hẳn Tuy hệ thống có thể chấpnhận hàng trăm nối kết đồng thời voà một cổng cụ thể song chỉ lấy mộtchục yêu cầu nối kết là hết sạch tài nguyên phân phối cho thiết lập nốikết Đây chính là cơ chế mà hacker lợI dụng để vô hiệu hoá hệ thống.Khi mở tấn công làm tràn SYN, hacker gửi gói dữ liệu SYN từ A đến

B nhưng giả mạo địa chỉ nguồn của hệ thống không tồn tại B sẽ gửi gói

dữ liệu SYN/ACK đến địa chỉ giả Nếu hệ thống giả tồn tại, thường sẽđáp lại bằng gói dữ liệu RST vì không khởi động nối kết Nhưng hacker

đã chọn hệ thống không đến được, do đó hệ thống B gửi gói SYN/ACK

và không bao giờ nhận lại gói dữ liệu RST từ hệ thống A Nối kết tiềmtàng này hiện ở trong tình trạng SYN-RECV và đặt vào hàng đợI nối kết

Lúc này hệ thống thiết lập nối kết và nối kết tiềm tàng sẽ xuất hiện từhàng đợI sau khi hết hạn thiết lập nối kế Thời gian tính nối kết thay đổItuỳ theo hệ thống, nhưng ngắn nhất là 75 kgiây và dài nhất là 23 phútcho thi hành IP bị cắt đứt Do hàng đợI nối kết thường rất nhỏ, hackerchỉ cần sau 10 giây gửi vài gói dữ liệu STN là ô hiệu hoá hoàn toàn mộtcổng cụ thể Hệ thống bị tấn công không thể xoá được hàng đợI trướckhi nhận yêu cầu SYN mới

2.1.2.2 Tấn công bằng định tuyến và DNS

Tấn công bằng định tuyến:

Tấn cống bằng định tuyến bao hàm thao tác mục nhập trong bảngđịnh tuyến hòng từ chối dịch vụ của hệ thống hoặc mạng hợp pháp Cácgiao thức định tuyến như RIP v1 (Routing Information Protocol) và BGPv4 (Border Gateway Protocol) không có chứng thực hoặc chứng thực rấtyếu Dựa vào đây sẽ hacker sẽ thay đổI tuyến đường hợp lệ bằng cáchgiả mạo địa chỉ IP nguồn hòng gây ra tình trạng từ chối dịch vụ Các nạnnhân sẽ có lưu lượng định tuyến qua mạng của hacker hoặc vào lỗ đen(black hole) - mạng không hiện hữu

Tấn công bằng DNS:

Tấn công bằng từ chối dịch vụ trên máy phục vụ tên (DNS) cũnggây ra hậu quả tấn công dựa trên định tuyến Hầu hết tấn công bằng từchối dịch vụ DNS đều cố làm cho máy phục vụ nạn nhân cache thông tinđịa chỉ giả Khi máy phục vụ DNS tra cứu, hackers có thể đổI hướng vàođịa điểm chúng thích, hoặc trong một số trường hợp sẽ đổI hướng vào

lỗ đen Hình 2 - 3 mô tả về cách thức đầu độc cache DNS

Hình 2-3: Đầu độc cacheDNS

Trong đó

#1: Yêu cầu của máy khách đến địa điểm web của hãng Microsoft

để trình duyệt phân giải tên www.micrososoft.com thành địa chỉ IP

#2: Cache trên máy phục vụ DNS đã bị kẻ tấn công đầu độc nên trả

về địa chỉ IP của www.hacker.com thay vì địa chỉ của Microsoft

#3: hệ thống của hacker giả đóng vai trò là www.microsoft.com.Tấn công bằng định tuyến và DNS vô cùng hiệu quả trong khai tháccác chỗ yếu cố hữu trên những dịch vụ quan trọng vốn là trụ cột củamạng Internet

2.1.2.3 Tấn công bằng từ chối dịch vụ theo dây chuyền

Tấn công bằng tự chối dịch vụ theo dây chuyền DDoS (SistributedDenial of Services) là một kiểu từ chối dịch vụ nhưng lan theo dâychuyền, nghĩa là hacker sắp xếp hàng trăm máy tính từ xa để tấn côngcùng một lúc Sơ đồ tấn công DDoS được trình bày trên hình 2-4

Hình 2 - 4: Sơ đồ tấn công DDoS

Muốn thực hiện một cuộc tấn công dạng DDoS cần có 3 yêu tố:Client, bộ điều khiển (handler) và tác nhân (agent) Client ở đây là một

hệ thống bị kiểm soát trực tiếp bởi hacker Nó dùng những công cụ như

bộ công cụ gốc (root kit) để giành quyền kiểm soát một hệ thống uNIXnào đó, rồi dò tìm những site quản lý kém để có thể lợI dụng như một bộđiều khiển Bộ điều khiển đó đến lượt bị nhiễm và được dùng để truy tìmcác tác nhân (agent), nghĩa là các máy tính mà từ đó xuất phát cuộc tấncông Thông thường agent là các máy trạm là việc UNIX Máy client chỉtrao đổI với handler và dùng mã hoá mức độ cao Hacker thường dùngmáy công cộng để điều hành các công cụ này Sau khi đã tìm được khánhiều agent, bộ điều khiển sẽ phối hợp chúng lại để bắt đầu tấn công.Các agent (còn được gọi là các thây ma - zombie) đều là những máytính được bảo vệ kém và bị nhiễm sự tấn cuông của phần mềm sử dụngnhững câu lệnh chuẩn Chúng nhận chỉ thị (thường được hẹn giờ sẵn)chỉ từ một handler