TIỂU LUẬN môn học MẠNG máy TÍNH đề tài AN NINH MẠNG máy TÍNH và GIAO THỨC IPSEC

sinh trong hệ thống được lưu giữ để phân tích nguyên nhân, kịp thời dùng các biện pháp tương ứng.c Tính bảo mật Confidentialy: Tính bảo mật là đặc tính tin tức không bị tiết lộ cho các t

TIỂU LUẬN MÔN HỌC MẠNG MÁY TÍNH

I TỔNG QUAN VỀ AN NINH MẠNG 3

1 An toàn mạng là gì? 3

2 Các đặc trưng kỹ thuật của an toàn mạng 4

3 Các lỗ hổng và điểm yếu của mạng 5

4 Các hình thức tấn công mạng phổ biến hiện nay và cách phòng tránh 6

4.1 Tấn công bằng phần mềm độc hại (Malware) 6

4.2 Tấn công giả mạo (Phishing) 7

4.3 Tấn công từ chối dịch vụ (Dos và Ddos) 9

4.4 Tấn công trung gian (Man-in-the-middle attack) 11

4.5 Khai thác lỗ hổng Zero-day 12

II Giới thiệu chung về giao thức IPSec 13

1 Khái niệm: IPSec là gì? 13

2 Sơ lược về lịch sử của IPSec 13

III Cấu trúc thông điệp của giao thức IPSec và phân tích ý nghĩa các trường tin 13

1 Định dạng tiêu đề (AH) 13

2 Đóng gói tải trọng bảo mật (ESP) 15

3 Trao đổi khóa Internet (IKE) 16

IV Phương thức hoạt động của giao thức IPSec 16

1 Transport Mode (chế độ vận chuyển) 16

2 Tunnel mode (chế độ đường hầm) 17

V Kết luận 18

1 An ninh mạng máy tính 18

2 Giao thức IPSec 18

CÁC TỪ VIẾT TẮT 19

TÀI LIỆU THAM KHẢO 20

I TỔNG QUAN VỀ AN NINH MẠNG

1 An toàn mạng là gì?

Mục tiêu của việc kết nối mạng là để nhiều người sử dụng, từ những vị trí địa

lý khác nhau có thể sử dụng chung tài nguyên, trao đổi thông tin với nhau Do đặc điểm nhiều người sử dụng lại phân tán về mặt vật lý nên việc bảo vệ các tài nguyên thông tin trên mạng, tránh sự mất mát, xâm phạm là cần thiết và cấp bách An toàn mạng có thể hiểu là cách bảo vệ, đảm bảo an toàn cho tất cả các thành phần mạng bao gồm dữ liệu, thiết bị, cơ sở hạ tầng mạng và đảm bảo mọi tài nguyên mạng được

sử dụng tương ứng với một chính sách hoạt động được ấn định và với chỉ những người có thẩm quyền tương ứng.

Một thách thức đối với an toàn mạng là xác định chính xác cấp độ an toàn cần thiết cho việc điều khiển hệ thống và các thành phần mạng Đánh giá các nguy cơ, các

lỗ hổng khiến mạng có thể bị xâm phạm thông qua cách tiếp cận có cấu trúc Xác định những nguy cơ ăn cắp, phá hoại máy tính, thiết bị, nguy cơ virus, bọ gián điệp , nguy

cơ xoá, phá hoại CSDL, ăn cắp mật khẩu, nguy cơ đối với sự hoạt động của hệ thống như nghẽn mạng, nhiễu điện tử Khi đánh giá được hết những nguy cơ ảnh hưởng

tới an ninh mạng thì mới có thể có được những biện pháp tốt nhất để đảm bảo an ninh mạng.

Sử dụng hiệu quả các công cụ bảo mật (ví dụ như Firewall ) và những biện pháp, chính sách cụ thể chặt chẽ.

Về bản chất có thể phân loại các vi phạm thành hai loại vi phạm thụ động và vi phạm chủ động Thụ động và chủ động được hiểu theo nghĩa có can thiệp vào nội dung và luồng thông tin có bị tráo đổi hay không Vi phạm thụ động chỉ nhằm mục đích nắm bắt được thông tin Vi phạm chủ động là thực hiện sự biến đổi, xoá bỏ hoặc thêm thông tin ngoại lai để làm sai lệch thông tin gốc nhằm mục đích phá hoại Các hành động vi phạm thụ động thường khó có thể phát hiện nhưng có thể ngăn chặn hiệu quả Trái lại vi phạm chủ động rất dễ phát hiện nhưng lại khó ngăn chặn.

2 Các đặc trưng kỹ thuật của an toàn mạng

a) Xác thực (Authentification): Kiểm tra tính xác thực của một thực thể giao tiếp

trên mạng Một thực thể có thể là một người sử dụng, một chương trình máy tính, hoặc một thiết bị phần cứng Các hoạt động kiểm tra tính xác thực được đánh giá là quan trọng nhất trong các hoạt động của một phương thức bảo mật Một hệ thống thông thường phải thực hiện kiểm tra tính xác thực của một thực thể trước khi thực thể đó thực hiện kết nối với hệ thống Cơ chế kiểm tra tính xác thực của các phương thức bảo mật dựa vào 3 mô hình chính sau:

 Đối tượng cần kiểm tra cần phải cung cấp những thông tin trước, ví dụ như Password, hoặc mã số thông số cá nhân PIN (Personal Information Number)

 Kiểm tra dựa vào mô hình những thông tin đã có, đối tượng kiểm tra cần phải thể hiện những thông tin mà chúng sở hữu, ví dụ như Private Key, hoặc số thẻ tín dụng

 Kiểm tra dựa vào mô hình những thông tin xác định tính duy nhất, đối tượng kiểm tra cần phải có những thông tin để định danh tính duy nhất của mình ví

dụ như thông qua giọng nói, dấu vân tay, chữ ký

Có thể phân loại bảo mật trên VPN theo các cách sau: mật khẩu truyền thống hay mật khẩu một lần; xác thực thông qua các giao thức (PAP, CHAP, RADIUS…) hay phần cứng (các loại thẻ card: smart card, token card, PC card), nhận diện sinh trắc học (dấu vân tay, giọng nói, quét võng mạc ).

b) Tính khả dụng (Availability): Tính khả dụng là đặc tính mà thông tin trên mạng

được các thực thể hợp pháp tiếp cận và sử dụng theo yêu cầu, khi cần thiết bất cứ khi nào, trong hoàn cảnh nào Tính khả dụng nói chung dùng tỷ lệ giữa thời gian hệ thống được sử dụng bình thường với thời gian quá trình hoạt động để đánh giá Tính khả dụng cần đáp ứng những yêu cầu sau: Nhận biết và phân biệt thực thể, khống chế tiếp cận (bao gồm cả việc khống chế tự tiếp cận và khống chế tiếp cận cưỡng bức), khống chế lưu lượng (chống tắc nghẽn ), khống chế chọn đường (cho phép chọn đường nhánh, mạch nối ổn định, tin cậy), giám sát tung tích (tất cả các sự kiện phát

sinh trong hệ thống được lưu giữ để phân tích nguyên nhân, kịp thời dùng các biện pháp tương ứng).

c) Tính bảo mật (Confidentialy): Tính bảo mật là đặc tính tin tức không bị tiết lộ

cho các thực thể hay quá trình không được uỷ quyền biết hoặc không để cho các đối tượng đó lợi dụng Thông tin chỉ cho phép thực thể được uỷ quyền sử dụng Kỹ thuật bảo mật thường là phòng ngừa dò la thu thập (làm cho đối thủ không thể dò la thu thập được thông tin), phòng ngừa bức xạ (phòng ngừa những tin tức bị bức xạ ra ngoài bằng nhiều đường khác nhau, tăng cường bảo mật thông tin (dưới sự khống chế của khoá mật mã), bảo mật vật lý (sử dụng các phương pháp vật lý để đảm bảo tin tức không bị tiết lộ).

d) Tính toàn vẹn (Integrity): Là đặc tính khi thông tin trên mạng chưa được uỷ

quyền thì không thể tiến hành biến đổi được, tức là thông tin trên mạng khi đang lưu giữ hoặc trong quá trình truyền dẫn đảm bảo không bị xoá bỏ, sửa đổi, giả mạo, làm rối loạn trật tự, phát lại, xen vào một cách ngẫu nhiên hoặc cố ý và những sự phá hoại khác Những nhân tố chủ yếu ảnh hưởng tới sự toàn vẹn thông tin trên mạng gồm: sự

cố thiết bị, sai mã, bị tác động của con người, virus máy tính…

Một số phương pháp bảo đảm tính toàn vẹn thông tin trên mạng: - Giao thức

an toàn có thể kiểm tra thông tin bị sao chép, sửa đổi hay sao chép Nừu phát hiện thì thông tin đó sẽ bị vô hiệu hoá - Phương pháp phát hiện sai và sửa sai Phương pháp sửa sai mã hoá đơn giản nhất và thường dùng là phép kiểm tra chẵn - lẻ - Biện pháp kiểm tra mật mã ngăn ngừa hành vi xuyên tạc và cản trở truyền tin - Chữ ký điện tử: bảo đảm tính xác thực của thông tin - Yêu cầu cơ quan quản lý hoặc trung gian chứng minh tính chân thực của thông tin.

e) Tính khống chế (Accountlability): Là đặc tính về năng lực khống chế truyền bá

và nội dung vốn có của tin tức trên mạng.

f) Tính không thể chối cãi (Nonreputation): Trong quá trình giao lưu tin tức trên

mạng, xác nhận tính chân thực đồng nhất của những thực thể tham gia, tức là tất cả các thực thể tham gia không thể chối bỏ hoặc phủ nhận những thao tác và cam kết đã được thực hiện.

3 Các lỗ hổng và điểm yếu của mạng

a) Các lỗ hổng bảo mật hệ thống là các điểm yếu có thể tạo ra sự ngưng trệ của

dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy nhập không hợp pháp vào hệ thống Các lỗ hổng tồn tại trong các dịch vụ như Sendmail, Web,Ftp và trong hệ điều hành mạng như trong Windows NT, Windows 95, UNIX; hoặc trong các ứng dụng Các loại lỗ hổng bảo mật trên một hệ thống được chia như sau:

Lỗ hổng loại C: cho phép thực hiện các phương thức tấn công theo kiểu từ

chối dịch vụ DoS (Dinal of Services) Mức nguy hiểm thấp, chỉ ảnh hưởng chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống, không phá hỏng dữ liệu hoặc chiếm quyền truy nhập.

Lổ hổng loại B: cho phép người sử dụng có thêm các quyền trên hệ thống mà

không cần thực hiện kiểm tra tính hợp lệ Mức độ nguy hiểm trung bình, những lỗ

hổng này thường có trong các ứng dụng trên hệ thống, có thể dẫn đến hoặc lộ thông tin yêu cầu bảo mật.

Lỗ hổng loại A: Các lỗ hổng này cho phép người sử dụng ở ngoài cho thể truy

nhập vào hệ thống bất hợp pháp Lỗ hổng rất nguy hiểm, có thể làm phá hủy toàn bộ

hệ thống.

b) Các phương thức tấn công mạng: Kẻ phá hoại có thể lợi dụng những lỗ hổng

trên để tạo ra những lỗ hổng khác tạo thành một chuỗi những lỗ hổng mới Để xâm nhập vào hệ thống, kẻ phá hoại sẽ tìm ra các lỗ hổng trên hệ thống, hoặc từ các chính sách bảo mật, hoặc sử dụng các công cụ dò xét (như SATAN, ISS) để đạt được quyền truy nhập Sau khi xâm nhập, kẻ phá hoại có thể tiếp tục tìm hiểu các dịch vụ trên hệ thống, nắm bắt được các điểm yếu và thực hiện các hành động phá hoại tinh vi hơn.

4 Các hình thức tấn công mạng phổ biến hiện nay và cách phòng tránh.

4.1 Tấn công bằng phần mềm độc hại (Malware).

4.1.1 Tấn công Malware là gì?

Tấn công Malware là một trong những hình thức tấn công qua mạng phổ biến

nhất hiện nay Malware bao gồm:

 Spyware (phần mềm gián điệp)

 Ransomware (mã độc tống tiền)

 Virus

 Worm (phần mềm độc hại lây lan với tốc độ nhanh)

Thông thường, Hacker sẽ tiến hành tấn công người dùng thông qua các lỗ hổng bảo mật Hoặc lừa người dùng Click vào một đường Link hoặc Email (Phishing) để cài phần mềm độc hại tự động vào máy tính Một khi được cài đặt thành công, Malware sẽ gây ra những hậu quả nghiêm trọng:

 Chặn các truy cập vào hệ thống mạng và dữ liệu quan trọng (Ransomware).

 Cài đặt thêm phần mềm độc hại khác vào máy tính người dùng.

 Đánh cắp dữ liệu (Spyware).

 Phá hoại phần cứng, phần mềm, làm hệ thống bị tê liệt, không thể hoạt động.

4.1.2 Cách phòng chống Malware.

 Sao lưu dữ liệu thường xuyên: Việc này sẽ giúp bạn không phải lo

lắng khi dữ liệu bị phá hủy.

 Thường xuyên cập nhật phần mềm: Các bản cập nhật của phần mềm

(trình duyệt, hệ điều hành, phần mềm diệt Virus,…) sẽ vá lỗi bảo mật còn tồn tại trên phiên bản cũ, đảm bảo an toàn thông tin cho người dùng.

 Cẩn thận với các Link hoặc File lạ: Đây là phương thức lừa đảo khá

phổ biến của Hacker Chúng sẽ gửi Email hoặc nhắn tin qua Facebook, đính kèm Link Download và nói rằng đó là File quan trọng hoặc chứa nội dung hấp dẫn Khi tải về, các File này thường nằm ở

dạng docx, xlxs, pptx hay pdf, nhưng thực chất là File exe (chương trình có thể chạy được) Ngay lúc người dùng Click mở File, mã độc sẽ lập tức bắt đầu hoạt động.

4.2 Tấn công giả mạo (Phishing).

Phishing (tấn công giả mạo) là hình thức tấn công mạng bằng giả mạo

thành một đơn vị uy tín để chiếm lòng tin và yêu cầu người dùng cung cấp thông tin cá nhân cho chúng.

Thông thường, Hacker sẽ giả mạo là ngân hàng, ví điện tử, trang giao dịch trực tuyến hoặc các công ty thẻ tín dụng để lừa người dùng chia sẻ các thông tin cá nhân như: tài khoản & mật khẩu đăng nhập, mật khẩu giao dịch, thẻ tín dụng và các thông tin quan trọng khác.

Phương thức tấn công này thường được thực hiện thông qua việc gửi Email

và tin nhắn Người dùng khi mở Email và Click vào đường Link giả mạo sẽ được yêu cầu đăng nhập Nếu “cắn câu”, tin tặc sẽ có được thông tin cá nhân của người dùng ngay tức khắc.

Phương thức Phishing được phát hiện lần đầu tiên vào năm 1987 Thuật ngữ

là sự kết hợp của 2 từ: Fishing For Information (câu thông tin) và Phreaking (trò lừa đảo sử dụng điện thoại của người khác không trả phí) Do sự tương đồng trong việc “câu cá” và “câu thông tin người dùng”, nên thuật ngữ Phishing ra đời.

Giả mạo Email

Đây là hình thức Phishing khá căn bản Tin tặc sẽ gửi Email đến người dùng dưới danh nghĩa của một đơn vị/tổ chức uy tín nhằm dẫn dụ người dùng truy cập đến Website giả mạo

Những Email giả mạo thường rất tinh vi và rất giống với Email chính chủ, khiến người dùng nhầm lẫn và trở thành nạn nhân của cuộc tấn công Dưới đây là một số cách mà tin tặc thường ngụy trang:

 Địa chỉ người gửi (VD: Địa chỉ đúng là sales.congtyA@gmail.com thì

sẽ được giả mạo thành sale.congtyA@gmail.com)

 Thiết kế các cửa sổ Pop-up giống hệt bản gốc (cả màu sắc, Font chữ,

…)

 Sử dụng kỹ thuật giả mạo đường dẫn để lừa người dùng (VD: đường

dẫn là congtyB.com nhưng khi nhấn vào thì điều hướng đến contyB.com)

 Sử dụng hình ảnh thương hiệu của các tổ chức lớn để tăng độ tin cậy.

Giả mạo Website

Giả mạo Website trong tấn công Phishing là làm giả một trang chứ không phải toàn bộ Website Trang được làm giả thường là trang đăng nhập để cướp thông tin của người dùng.

Website giả thường có những đặc điểm sau:

 Thiết kế giống đến 99% so với Website gốc.

 Đường dẫn chỉ khác 1 ký tự duy nhất

(VD: facebook.com và fakebook.com, microsoft.com và mircosoft.c

om,…)

 Luôn có những thông điệp khuyến khích người dùng cung cấp thông tin

4.3 Tấn công từ chối dịch vụ (Dos và Ddos).

DoS (Denial of Service) là “đánh sập tạm thời” một hệ thống, máy chủ hoặc

mạng nội bộ Để thực hiện được điều này, các Hacker thường tạo ra một lượng Traffic/Request khổng lồ ở cùng một thời điểm, khiến cho hệ thống bị quá tải Theo đó, người dùng sẽ không thể truy cập vào dịch vụ trong khoảng thời gian mà cuộc tấn công DoS diễn ra.

Một hình thức biến thể của DoS là DDoS (Distributed Denial of Service): Tin

tặc sử dụng một mạng lưới các máy tính (Botnet) để tấn công người dùng.vấn

đề ở đây là chính các máy tính thuộc mạng lưới Botnet sẽ không biết bản thân đang bị lợi dụng trở thành công cụ tấn công.

Tấn công gây nghẽn mạng (UDP Flood và Ping Flood)

 Mục tiêu: Gây quá tải hệ thống mạng bằng lượng truy cập lớn đến từ nhiều nguồn để chặn các truy cập thực của người dùng.

 Phương thức: Gây nghẽn đối tượng bằng các gói UDP và ICMP.

Tấn công SYN flood (TCP)

 Mục tiêu: Gây cạn tài nguyên máy chủ, ngăn chặn việc nhận các yêu cầu kết nối mới.

 Phương thức: Lợi dụng quá trình “bắt tay” 3 chặng TCP, gửi đi yêu cầu SYN đến máy chủ và được phản hồi bằng một gói SYN-ACK Nhưng không gửi lại gói ACK, điều này khiến cho tài nguyên máy chủ bị sử dụng hết vào việc đợi gói ACK gửi về.

Tấn công khuếch đại DNS

 Mục tiêu: Làm quá tải hệ thống bằng phản hồi từ các bộ giải mã DNS.

 Phương thức: Mạo danh địa chỉ IP của máy bị tấn công để gửi yêu cầu nhiều

bộ giải mã DNS Các bộ giải mã hồi đáp về IP của máy có kích thước gói dữ liệu

có thể lớn hơn kích thước của yêu cầu tới 50 lần.

4.3.3 Cách phòng chống tấn công Ddos.

 Theo dõi lưu lượng truy cập của bạn: Với cách này, bạn có thể phát hiện được các vụ tấn công DDoS nhỏ mà tin tặc vẫn thường dùng để Test năng lực của mạng lưới trước khi tấn công thật sự.

 Nếu bạn có thể xác định được địa chỉ của các máy tính thực hiện tấn công: có thể tạo một ACL (danh sách quản lý truy cập) trong tường lửa

để thực hiện chặn các IP này.

4.4 Tấn công trung gian (Man-in-the-middle attack).

Tấn công trung gian (MitM), còn gọi là tấn công nghe lén, xảy ra khi kẻ tấn

công xâm nhập vào một giao dịch/sự giao tiếp giữa 2 đối tượng Một khi đã chen vào thành công, chúng có thể đánh cắp dữ liệu trong giao dịch đó.

4.4.1 Các hình thức tấn công trung gian.

 Sniffing: Sniffing hoặc Packet Sniffing là kỹ thuật được sử dụng để nắm

bắt các gói dữ liệu vào và ra của hệ thống Packet Sniffing cũng tương

tự với việc nghe trộm trong điện thoại Sniffing được xem là hợp pháp nếu được sử dụng đúng cách Doanh nghiệp có thể thực hiện để tăng cường bảo mật.

 Packet Injection: Kẻ tấn công sẽ đưa các gói dữ liệu độc hại vào với

dữ liệu thông thường Bằng cách này, người dùng thậm chí không nhận thấy tệp/phần mềm độc hại bởi chúng đến như một phần của luồng truyền thông hợp pháp Những tập tin này rất phổ biến trong các cuộc tấn công trung gian cũng như các cuộc tấn công từ chối dịch vụ.

 Gỡ rối phiên: Bạn đã từng gặp thông báo “Phiên hoạt động đã hết hạn”

chưa? Nếu đã từng thực hiện thanh toán trực tuyến hoặc điền vào biểu mẫu, hẳn bạn sẽ biết thuật ngữ này Khoản thời gian từ lúc bạn đăng nhập vào tài khoản ngân hàng của bạn đến khi đăng xuất khỏi tài khoản

đó được gọi là một phiên Các phiên này là mục tiêu của tin tặc Bởi chúng có khả năng chứa thông tin kín đáo Trong hầu hết các trường hợp, một Hacker thiết lập sự hiện diện của mình trong phiên Và cuối cùng nắm quyền kiểm soát nó Các cuộc tấn công này có thể được thực thi theo nhiều cách khác nhau.

 Loại bỏ SSL: SSL Stripping hoặc SSL Downgrade Attack là một loài

hiếm khi nói đến các cuộc tấn công MiTM, nhưng cũng là một trong những nguy hiểm nhất Chứng chỉ SSL/TLS giữ liên lạc của chúng tôi

an toàn trực tuyến thông qua mã hóa Trong các cuộc tấn công SSL, kẻ tấn công loại bỏ kết nối SSL/TLS và chuyển giao thức từ HTTPS an toàn sang HTTP không an toàn.

4.4.2 Cách phòng chống tấn công trung gian.

 Đảm bảo các Website bạn truy cập đã cài SSL.

 Không mua hàng hoặc gửi dữ liệu nhạy cảm khi dùng mạng công cộng.

 Không nhấp vào Link hoặc Email độc hại.