Luận văn thạc sĩ nghiên cứu xây dựng hệ thống mạng bảo mật tại chi nhánh ngân hàng thương mại cổ phần công thương việt nam

Diễu đỏ đòi hỏi người quản trị mạng phải có những kiến thức tốt về bảo mật để có thể giữ vững an toàn thông tin cho hệ thông Trong khuôn khẻ để tải, đưới sự giúp để của thầy giáo T§ Ph

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRUONG DAL HOC BACH KHOA HA NOL

PHAN THI HANG

NGHIEN CUU XAY DUNG HE THONGD MANG BAO

MAT TAI CHI NHANH NGAN HANG TMCP CONG

THUONG VIET NAM

LUẬN VĂN THẠC RĨ KHOA HỌC

TIẢ NỌI— 2010

LOI CAM DOAN

Em cam đoan đây lá Luận vẫn nghiên cửu của em

Các số liệu, kết quả nêu trong luận văn là trung thực và chưa từng được công bổ

trong bát kỳ I.nận văn nào khác Các sẻ liệu mô phỏng được chủ thích, trích dẫn

tham khảo từ bài báo, lài liệu géc ou thé

'Hạc viên thực hiện

Phan Thị Hẵng

DANH MUC VIET TAT

Mot so thuat ngit viet tat

LAN Local Area Network Mạng cục bộ

OSI ‘Open System Interconnect M6 hình kết nói các hệ thông mở:

‘TCP ‘Transmission Control Protocol | Giao thức truyền dẫn hưởng

UDP ‘User Datagram Protocol Giao thức truyền dẫn không hưởng kết noi

ICMP Internet Control Message Protocol | Giao thức điều khiến các thông bảo lỗi

ARP Address Resolution Protocol Giao thức phân giải địa chỉ

SMTP Simple Mail Transmision | Giao thức truyền thư điện từ đơn gián

Protocol

‘SNMP Simple Network Management | Giao thức quàn lý mạng đơn giản

Protocol

HTTP Hyper Text Transmission Protocol | Giao thức truyền siêu ky tu (Web)

FIP File Transfer Protocol Giao thức truyén file

DoS Denial Of Service ‘Tn céng tir choi dich vu

DDoS Distributed DoS ‘Tan céng tir ch6i dịch vụ phân tán

DES Digital Encrypt Standard Chuẩn mã hoá đổi xứng

RSA Ronald Rivest, Adi Shamir, and | Thuật toán mã hoả công khai

Leonard Adleman

AH Authentication Header Header trong IPv6 nhằm bảo đảm tính chan

thực và toàn vẹn của gỏi tin trong quả trình truyền

ESP Encapsulating Security Payload | Hé te quán, tập hợp các thiết bị định tuyến có

DANH MỤC HÌNH Hình 1.1: Cấu trúc một mạng máy tính đơn giản

Hình 1.2: Cáu trúc phân lớp mô hinh O8I

Hình 1.3: Mô hình TCP/IP va OSI - -

Hinh 1.4: Chẳng giao thức lương ứng của mẻ hình TCPIIT

Hình 1.3: Giao liếp vật lý và logic giữa các lớp

Tình 1.6: Câu trúc đít liệu lại mỗi lằng OSI

Ilinh 1.7: Nguyên tắc phân mảnh gói số liệu IP

Ilinh 1.8: Thiét lập một kết nối TCP/IP

Hình 1.9: Kết thủe một kết nỗi TCP/IP

Hình 1 10: Dịch vụ định tuyển lại (ICMP Redireet)

Hinh 2.1: Mô hình cơ bản của một cuộc tân công DDo8

Hình 3.1: Quá trình mã hoá lưu lượng TP 8ec con nenheeniieieree

Hình 3.2: Cấu trie Authentication Header

Hình 3.3: Khuôn đạng gói ÏP trong các mođe trưyền

Hình 3.4: Câu trúc E8P

Ilinh 3.5: Một gói IP được bảo vệ b‹

Hình 3.6: Một gói IP duge bia vé bai ESP trong Tunnel mode

Hình 3.7: Vị tri cia SSL trong chẳng giao thức TCP/IP

Hình 3.8: Cấu trúc bản ta S8L Handshake Protocal

11inh 3.9: Quá trình bắt tay gitra hai thuc thé giao tiép IP Sec

Hình 3.10: Cầu trúc bản tin 88L Reoord Protoeel

Hình 3.11: Các bước xử lý phân dữ liệu

Hình 3.13: NAT thay thế địa chỉ nguồn và cổng nguồn

Hình 3.13: Hoạt động của Web Proxy

Hình 4.1: Quy trình bâo mật mạng

Hình 4.3: Câu trúc một hệ thống mạng bảo mậi

Tinh 4.3: Câu trắc hệ thêng mạng bảo mậI cho mội chỉ nhánh của NHỢT VN

P trong, Transport mode

DANH MỤC HÌNH Hình 1.1: Cấu trúc một mạng máy tính đơn giản

Hình 1.2: Cáu trúc phân lớp mô hinh O8I

Hình 1.3: Mô hình TCP/IP va OSI - -

Hinh 1.4: Chẳng giao thức lương ứng của mẻ hình TCPIIT

Hình 1.3: Giao liếp vật lý và logic giữa các lớp

Tình 1.6: Câu trúc đít liệu lại mỗi lằng OSI

Ilinh 1.7: Nguyên tắc phân mảnh gói số liệu IP

Ilinh 1.8: Thiét lập một kết nối TCP/IP

Hình 1.9: Kết thủe một kết nỗi TCP/IP

Hình 1 10: Dịch vụ định tuyển lại (ICMP Redireet)

Hinh 2.1: Mô hình cơ bản của một cuộc tân công DDo8

Hình 3.1: Quá trình mã hoá lưu lượng TP 8ec con nenheeniieieree

Hình 3.2: Cấu trie Authentication Header

Hình 3.3: Khuôn đạng gói ÏP trong các mođe trưyền

Hình 3.4: Câu trúc E8P

Ilinh 3.5: Một gói IP được bảo vệ b‹

Hình 3.6: Một gói IP duge bia vé bai ESP trong Tunnel mode

Hình 3.7: Vị tri cia SSL trong chẳng giao thức TCP/IP

Hình 3.8: Cấu trúc bản ta S8L Handshake Protocal

11inh 3.9: Quá trình bắt tay gitra hai thuc thé giao tiép IP Sec

Hình 3.10: Cầu trúc bản tin 88L Reoord Protoeel

Hình 3.11: Các bước xử lý phân dữ liệu

Hình 3.13: NAT thay thế địa chỉ nguồn và cổng nguồn

Hình 3.13: Hoạt động của Web Proxy

Hình 4.1: Quy trình bâo mật mạng

Hình 4.3: Câu trúc một hệ thống mạng bảo mậi

Tinh 4.3: Câu trắc hệ thêng mạng bảo mậI cho mội chỉ nhánh của NHỢT VN

P trong, Transport mode

MAC Message Authentication Code ‘MA ching thực bản tín

cA Certificate Authority 'Tỏ chức chứng thực

SA §ecurily Assaciatian ‘Mai liên hệ báo mật giữa hai thực thể giao Hếp

IKE Internet Key Exchange Giao thức trao đổi khoá được sử dụng trong các

giao thức IP Sec va SSL

PKI Public Key Infastructure Kién tric khoả công khai

SSL Secure Socket Layer Giao thức báo mật lớp truyền dẫn

TPSee Internet Protacal Scenrity Gian thite béa mit Internet

IP§ Intrusion Prevention System Hệ thống phòng chồng thâm nhập

ms Intrusion Detection System Te théng phat hign tham nhjp

ACL Access Coutrol List Danh sách điều khiễn truy nhập

WaT Network Address Translation Dich dia chi mang

RADIUS Remote Authentication Dial-up | Dich vụ chúng thực người sử đụng quay sổ từ

DNS Domain Name Service Tịch vụ tên miền

NHCT VN Viemam Join Stedt Commrrcial | Ngân hàng TMCP Công Thương Việt Nam

Bank for Industry and Trade (Vietinbank) BDS Branch Delivery System Hệ thống xử lý giao dịch lại Vielinbank

Do đỏ, nội dung của bản luận văn này bao gằm những nội dung sa

— Trinh bay khái quát về mạng máy linh Giới thiệu kiển trie phan tang OSI, từ

đó đề cập chồng giao thức quan trọng TCPIIP, giao thức liên mạng IP, TCP

và UDP: giao thức điều khiển ICMP và ARP

Giới thiệu một số địch vụ thông tin trên mạng trong lĩnh vực ngân hảng,

— Trinh bay oác lĩnh vục chính trong an ninh mạng máy tính, các loại hình tấn

công và xâm nhập bắt họp pháp trong mạng máy tính, phân tích các loại hình lan công mạng để từ đỏ đưa ra các phương pháp đổi phỏ phủ hợp thông qua các giao thức lăng cường bảo mật, các công nghệ bảo vệ mạng

~_ Thực hiện thiết kế mô hình mnạng có khá năng đâm bảo an toàn tại chỉ nhánh:

NIICT VN

Phan tich, danh gid mé hinh mạng đã đưa ra

Tim xin iti 1éi cảm ơn sâu sắc đến thẩy giáo T8 Phạm Văn Hinh đã luôn lận tỉnh chỉ bảo, hưởng dẫn em hoàn [hành bản luần văn này

Tuy nhiên, do thời gian oòn rất hạn chế, hơn nữa vẫn đẻ nêu ra trong luận

văn cũng là một vẫn đẻ phức tạp, nên bải hận văn này không tránh khỏi những thiểu sót Nhiễu dẫn hiệu tấn công phúc tạp chưa được giải quyết Trong thời

gian tỏi, với sự bể sung đây đủ hơn về kiến thức, em hy vọng sẽ hoàn thiện thêm

và nghiền cửn sân hơn về để lài này

Xinh mong nhận được sự thông cảm và đóng góp ý kiến của các thầy cô

củng bạn bè, đồng nghiệp.

người vỏi người trên cộng đỏng Internet Tuy nhiên, chỉnh những lợi thẻ đỏ nêu

nó đã là noi lý tưởng để tội phạm, hacker sử đụng, khai thác với nhiều nrục địch kháo nhau Hacker là một cộng đôi

động cơ và mục đích tẫn cảng vào hệ thống mạng của họ đã thay đả rất nhiều,

tử việc muốn nỗi tiếng, gây phiển toái trêu chọc mọi người nay đã chuyên sang

mmc dich tan công để ăn cắp thông tin, tiên bạc, thay đối cầu hình hệ thêng với

mục đỉch đảnh sập hệ thống, nhằm cạnh (ranh với đổi thủ trong kin doanh, kể

cả trong Tĩnh vực quân sự Vì thế mức độ nguy hiểm là rất lớn và không thé lường hết được Do vậy, vẫn để bão mặt đã trở thành chú để nóng bỏng trên Internett

Xuâi phát từ thực liễn trên hàng loại vẫn để về thông tin va an toan (héng,

tin đang đặi ra những thách thức vô cùng lớn Việc tìm hiển, nghiên cứu, xây dựng, và quân lý một hệ thống mạng dam bảo vẻ an nình đang là một vẫn để rất

cần thiết đối với mỗi công ty/đổ chức để đâm bảo quả trình làm việc, giao dich

và trao đổi thông tin được liên tục Tuy nhiền, trình độ phát triển cửa các hacker

cũng ngày cảng giỏi hơn trong khi đỏ các hệ thống vẫn còn chậm chạp trong

việc xử lý các lỗ hồng của minh Diễu đỏ đòi hỏi người quản trị mạng phải có

những kiến thức tốt về bảo mật để có thể giữ vững an toàn thông tin cho hệ thông

Trong khuôn khẻ để tải, đưới sự giúp để của thầy giáo T§ Phạm Văn Bình,

em đã tìm hiểu được một số vấn để về an ninh mạng máy tỉnh, quá trình giao tiếp của các thục thể trong mạng máy tỉnh, các điểm yêu trong mạng củng vai trò quan trạng của các nhương pháp mã hoá Các dâu hiện tắn công và mật số

phương án, biến pháp đổi phó với cáo cuộc tấn công đó Tử đó đưa ra phương, pháp thiết kế một mạng bảo mật, ứng dung tai chỉ nhánh NHŒT VN

6

—_ Giao thúc mạng (Network protocol): Ngôn ngữ che phép các thục thể mạng,

các hệ thống giao tiếp và trao đổi dữ liệu với nhan, vỉ đụ: Sequence Packet Exchange/Intemetwork Packet Exchange (SPM/IPX), Transmission Control Protocol/Intemetwork Protocol (TCP/IP), NetBIOS Exchange User Interface (NEtBEUD

—_ Câu Irúc mạng {Network Iepology} Tepo mạng lä cách kết nổi các máy tính

với nhau về mặt hình học niên gọi là tôpô của mạng,

—_ Môi trường truyén dẫn (Transmission media): Kết nất vật lý giữa các máy

tính cho phép chúng tryền tín hiệu tín hiện qua lại với nhau: Cáp mạng, wireless

Mạng, máy tính tạo ra mỏi trường lâm việc với nhiễu người sủ dụng phân tản,

cho phép nâng cao hiệu quả kchai thắc tải nguyên chung rất nhiều so với khi từng

máy hoạt động đơn 1é

Mạng máy tính có những ưu điểm so với sử dụng các máy lính riêng rẻ

—_ Chia sẻ đữ liêu: Những dữ liều đùng chung cho nhiều người trên mạng oó thể được tập rung trên một máy Nền lựa chọn một máy tính để lưu trữ và cho

phép các máy tinh khác Irên mạng sử dụng dữ Tiêu nảy sẽ làm tăng khả năng lập trung vả duy Irì các thông lin May tinh c6 ode tính năng trên gọi là máy chủ phue vu (server) 6 ede phan mềm vả hệ diều hành đặc biệt dành riêng

Điều này chơ phép:

¡ Nhiễu người có thể sử dụng chung một phan mém tién ich

¡ Một nhóm người cùng thực hiện một để án sẽ đúng chung đữ liệu, ding

chung một tập trn chính (aster file) cha 4é an, grip ho trao dai thông tin

vớt nhau một cách dễ dàng,

—_ Chia sé lài nguyên phản cửng: Mạng máy linh có thể chia sẽ các lải nguyên phan cing: fax, modems, may quét (scanners), dia cing (hard - disks), dia mém (floppy - disks), 6 dia CD (CD- ROMS), Bang tir (Tape), may vẽ

—_ Giao thúc mạng (Network protocol): Ngôn ngữ che phép các thục thể mạng,

các hệ thống giao tiếp và trao đổi dữ liệu với nhan, vỉ đụ: Sequence Packet Exchange/Intemetwork Packet Exchange (SPM/IPX), Transmission Control Protocol/Intemetwork Protocol (TCP/IP), NetBIOS Exchange User Interface (NEtBEUD

—_ Câu Irúc mạng {Network Iepology} Tepo mạng lä cách kết nổi các máy tính

với nhau về mặt hình học niên gọi là tôpô của mạng,

—_ Môi trường truyén dẫn (Transmission media): Kết nất vật lý giữa các máy

tính cho phép chúng tryền tín hiệu tín hiện qua lại với nhau: Cáp mạng, wireless

Mạng, máy tính tạo ra mỏi trường lâm việc với nhiễu người sủ dụng phân tản,

cho phép nâng cao hiệu quả kchai thắc tải nguyên chung rất nhiều so với khi từng

máy hoạt động đơn 1é

Mạng máy tính có những ưu điểm so với sử dụng các máy lính riêng rẻ

—_ Chia sẻ đữ liêu: Những dữ liều đùng chung cho nhiều người trên mạng oó thể được tập rung trên một máy Nền lựa chọn một máy tính để lưu trữ và cho

phép các máy tinh khác Irên mạng sử dụng dữ Tiêu nảy sẽ làm tăng khả năng lập trung vả duy Irì các thông lin May tinh c6 ode tính năng trên gọi là máy chủ phue vu (server) 6 ede phan mềm vả hệ diều hành đặc biệt dành riêng

Điều này chơ phép:

¡ Nhiễu người có thể sử dụng chung một phan mém tién ich

¡ Một nhóm người cùng thực hiện một để án sẽ đúng chung đữ liệu, ding

chung một tập trn chính (aster file) cha 4é an, grip ho trao dai thông tin

vớt nhau một cách dễ dàng,

—_ Chia sé lài nguyên phản cửng: Mạng máy linh có thể chia sẽ các lải nguyên phan cing: fax, modems, may quét (scanners), dia cing (hard - disks), dia mém (floppy - disks), 6 dia CD (CD- ROMS), Bang tir (Tape), may vẽ

CHƯƠNG 1 LY THUYET CHUNG VE MANG MAY TINH

1.1 KHÁI QUÁT MẠNG MÁY TÍNH

Mạng máy tính là sự kết hợp của hai hay nhiều máy tỉnh với nhau thông qua các thiét bi xt ly (hub, switch ) và các phương tiên truyền thông (giao thức mạng,

môi trưởng truyền dẫn) theo một kiến trúc nào đó nhằm mục đích thông tin, chia

sẻ tài nguyên (phần mềm, dữ liệu ), thiết bị ngoại vỉ (máy in, máy quét ) hoặc

sức mạnh xử lý

Hình 1.1: Cấu trúc một mạng máy tỉnh đơn giản

Mạng máy tỉnh bao gôm các thành phản chính sau:

~ Máy phục vụ (Server): Chia sẻ các tài nguyên và dịch vụ nói chung cho mang:

+ Các tải nguyên (Resourees): Dữ liệu, các ứng dụng vả các phẩn cứng được

cung cấp bởi các Servers trên mạng cho các Client

+ Các địch vu mang (Network services): thu dién tir (email), in an, chia sé

file, truy xuat Intemet, tray cap tir xa (Remote Access), quay s6 tir xa

(remote dial-in), giao tiép (communication) va dich vu quản trị

(management services)

— May khach (Client): Sử dụng các dich vu mang ma Servers cung cấp

Do đỏ, nội dung của bản luận văn này bao gằm những nội dung sa

— Trinh bay khái quát về mạng máy linh Giới thiệu kiển trie phan tang OSI, từ

đó đề cập chồng giao thức quan trọng TCPIIP, giao thức liên mạng IP, TCP

và UDP: giao thức điều khiển ICMP và ARP

Giới thiệu một số địch vụ thông tin trên mạng trong lĩnh vực ngân hảng,

— Trinh bay oác lĩnh vục chính trong an ninh mạng máy tính, các loại hình tấn

công và xâm nhập bắt họp pháp trong mạng máy tính, phân tích các loại hình lan công mạng để từ đỏ đưa ra các phương pháp đổi phỏ phủ hợp thông qua các giao thức lăng cường bảo mật, các công nghệ bảo vệ mạng

~_ Thực hiện thiết kế mô hình mnạng có khá năng đâm bảo an toàn tại chỉ nhánh:

NIICT VN

Phan tich, danh gid mé hinh mạng đã đưa ra

Tim xin iti 1éi cảm ơn sâu sắc đến thẩy giáo T8 Phạm Văn Hinh đã luôn lận tỉnh chỉ bảo, hưởng dẫn em hoàn [hành bản luần văn này

Tuy nhiên, do thời gian oòn rất hạn chế, hơn nữa vẫn đẻ nêu ra trong luận

văn cũng là một vẫn đẻ phức tạp, nên bải hận văn này không tránh khỏi những thiểu sót Nhiễu dẫn hiệu tấn công phúc tạp chưa được giải quyết Trong thời

gian tỏi, với sự bể sung đây đủ hơn về kiến thức, em hy vọng sẽ hoàn thiện thêm

và nghiền cửn sân hơn về để lài này

Xinh mong nhận được sự thông cảm và đóng góp ý kiến của các thầy cô

củng bạn bè, đồng nghiệp.

—_ Giao thúc mạng (Network protocol): Ngôn ngữ che phép các thục thể mạng,

các hệ thống giao tiếp và trao đổi dữ liệu với nhan, vỉ đụ: Sequence Packet Exchange/Intemetwork Packet Exchange (SPM/IPX), Transmission Control Protocol/Intemetwork Protocol (TCP/IP), NetBIOS Exchange User Interface (NEtBEUD

—_ Câu Irúc mạng {Network Iepology} Tepo mạng lä cách kết nổi các máy tính

với nhau về mặt hình học niên gọi là tôpô của mạng,

—_ Môi trường truyén dẫn (Transmission media): Kết nất vật lý giữa các máy

tính cho phép chúng tryền tín hiệu tín hiện qua lại với nhau: Cáp mạng, wireless

Mạng, máy tính tạo ra mỏi trường lâm việc với nhiễu người sủ dụng phân tản,

cho phép nâng cao hiệu quả kchai thắc tải nguyên chung rất nhiều so với khi từng

máy hoạt động đơn 1é

Mạng máy tính có những ưu điểm so với sử dụng các máy lính riêng rẻ

—_ Chia sẻ đữ liêu: Những dữ liều đùng chung cho nhiều người trên mạng oó thể được tập rung trên một máy Nền lựa chọn một máy tính để lưu trữ và cho

phép các máy tinh khác Irên mạng sử dụng dữ Tiêu nảy sẽ làm tăng khả năng lập trung vả duy Irì các thông lin May tinh c6 ode tính năng trên gọi là máy chủ phue vu (server) 6 ede phan mềm vả hệ diều hành đặc biệt dành riêng

Điều này chơ phép:

¡ Nhiễu người có thể sử dụng chung một phan mém tién ich

¡ Một nhóm người cùng thực hiện một để án sẽ đúng chung đữ liệu, ding

chung một tập trn chính (aster file) cha 4é an, grip ho trao dai thông tin

vớt nhau một cách dễ dàng,

—_ Chia sé lài nguyên phản cửng: Mạng máy linh có thể chia sẽ các lải nguyên phan cing: fax, modems, may quét (scanners), dia cing (hard - disks), dia mém (floppy - disks), 6 dia CD (CD- ROMS), Bang tir (Tape), may vẽ

Do đỏ, nội dung của bản luận văn này bao gằm những nội dung sa

— Trinh bay khái quát về mạng máy linh Giới thiệu kiển trie phan tang OSI, từ

đó đề cập chồng giao thức quan trọng TCPIIP, giao thức liên mạng IP, TCP

và UDP: giao thức điều khiển ICMP và ARP

Giới thiệu một số địch vụ thông tin trên mạng trong lĩnh vực ngân hảng,

— Trinh bay oác lĩnh vục chính trong an ninh mạng máy tính, các loại hình tấn

công và xâm nhập bắt họp pháp trong mạng máy tính, phân tích các loại hình lan công mạng để từ đỏ đưa ra các phương pháp đổi phỏ phủ hợp thông qua các giao thức lăng cường bảo mật, các công nghệ bảo vệ mạng

~_ Thực hiện thiết kế mô hình mnạng có khá năng đâm bảo an toàn tại chỉ nhánh:

NIICT VN

Phan tich, danh gid mé hinh mạng đã đưa ra

Tim xin iti 1éi cảm ơn sâu sắc đến thẩy giáo T8 Phạm Văn Hinh đã luôn lận tỉnh chỉ bảo, hưởng dẫn em hoàn [hành bản luần văn này

Tuy nhiên, do thời gian oòn rất hạn chế, hơn nữa vẫn đẻ nêu ra trong luận

văn cũng là một vẫn đẻ phức tạp, nên bải hận văn này không tránh khỏi những thiểu sót Nhiễu dẫn hiệu tấn công phúc tạp chưa được giải quyết Trong thời

gian tỏi, với sự bể sung đây đủ hơn về kiến thức, em hy vọng sẽ hoàn thiện thêm

và nghiền cửn sân hơn về để lài này

Xinh mong nhận được sự thông cảm và đóng góp ý kiến của các thầy cô

củng bạn bè, đồng nghiệp.

MAC Message Authentication Code ‘MA ching thực bản tín

cA Certificate Authority 'Tỏ chức chứng thực

SA §ecurily Assaciatian ‘Mai liên hệ báo mật giữa hai thực thể giao Hếp

IKE Internet Key Exchange Giao thức trao đổi khoá được sử dụng trong các

giao thức IP Sec va SSL

PKI Public Key Infastructure Kién tric khoả công khai

SSL Secure Socket Layer Giao thức báo mật lớp truyền dẫn

TPSee Internet Protacal Scenrity Gian thite béa mit Internet

IP§ Intrusion Prevention System Hệ thống phòng chồng thâm nhập

ms Intrusion Detection System Te théng phat hign tham nhjp

ACL Access Coutrol List Danh sách điều khiễn truy nhập

WaT Network Address Translation Dich dia chi mang

RADIUS Remote Authentication Dial-up | Dich vụ chúng thực người sử đụng quay sổ từ

DNS Domain Name Service Tịch vụ tên miền

NHCT VN Viemam Join Stedt Commrrcial | Ngân hàng TMCP Công Thương Việt Nam

Bank for Industry and Trade (Vietinbank) BDS Branch Delivery System Hệ thống xử lý giao dịch lại Vielinbank

người vỏi người trên cộng đỏng Internet Tuy nhiên, chỉnh những lợi thẻ đỏ nêu

nó đã là noi lý tưởng để tội phạm, hacker sử đụng, khai thác với nhiều nrục địch kháo nhau Hacker là một cộng đôi

động cơ và mục đích tẫn cảng vào hệ thống mạng của họ đã thay đả rất nhiều,

tử việc muốn nỗi tiếng, gây phiển toái trêu chọc mọi người nay đã chuyên sang

mmc dich tan công để ăn cắp thông tin, tiên bạc, thay đối cầu hình hệ thêng với

mục đỉch đảnh sập hệ thống, nhằm cạnh (ranh với đổi thủ trong kin doanh, kể

cả trong Tĩnh vực quân sự Vì thế mức độ nguy hiểm là rất lớn và không thé lường hết được Do vậy, vẫn để bão mặt đã trở thành chú để nóng bỏng trên Internett

Xuâi phát từ thực liễn trên hàng loại vẫn để về thông tin va an toan (héng,

tin đang đặi ra những thách thức vô cùng lớn Việc tìm hiển, nghiên cứu, xây dựng, và quân lý một hệ thống mạng dam bảo vẻ an nình đang là một vẫn để rất

cần thiết đối với mỗi công ty/đổ chức để đâm bảo quả trình làm việc, giao dich

và trao đổi thông tin được liên tục Tuy nhiền, trình độ phát triển cửa các hacker

cũng ngày cảng giỏi hơn trong khi đỏ các hệ thống vẫn còn chậm chạp trong

việc xử lý các lỗ hồng của minh Diễu đỏ đòi hỏi người quản trị mạng phải có

những kiến thức tốt về bảo mật để có thể giữ vững an toàn thông tin cho hệ thông

Trong khuôn khẻ để tải, đưới sự giúp để của thầy giáo T§ Phạm Văn Bình,

em đã tìm hiểu được một số vấn để về an ninh mạng máy tỉnh, quá trình giao tiếp của các thục thể trong mạng máy tỉnh, các điểm yêu trong mạng củng vai trò quan trạng của các nhương pháp mã hoá Các dâu hiện tắn công và mật số

phương án, biến pháp đổi phó với cáo cuộc tấn công đó Tử đó đưa ra phương, pháp thiết kế một mạng bảo mật, ứng dung tai chỉ nhánh NHŒT VN

6

CHƯƠNG 1 LY THUYET CHUNG VE MANG MAY TINH

1.1 KHÁI QUÁT MẠNG MÁY TÍNH

Mạng máy tính là sự kết hợp của hai hay nhiều máy tỉnh với nhau thông qua các thiét bi xt ly (hub, switch ) và các phương tiên truyền thông (giao thức mạng,

môi trưởng truyền dẫn) theo một kiến trúc nào đó nhằm mục đích thông tin, chia

sẻ tài nguyên (phần mềm, dữ liệu ), thiết bị ngoại vỉ (máy in, máy quét ) hoặc

sức mạnh xử lý

Hình 1.1: Cấu trúc một mạng máy tỉnh đơn giản

Mạng máy tỉnh bao gôm các thành phản chính sau:

~ Máy phục vụ (Server): Chia sẻ các tài nguyên và dịch vụ nói chung cho mang:

+ Các tải nguyên (Resourees): Dữ liệu, các ứng dụng vả các phẩn cứng được

cung cấp bởi các Servers trên mạng cho các Client

+ Các địch vu mang (Network services): thu dién tir (email), in an, chia sé

file, truy xuat Intemet, tray cap tir xa (Remote Access), quay s6 tir xa

(remote dial-in), giao tiép (communication) va dich vu quản trị

(management services)

— May khach (Client): Sử dụng các dich vu mang ma Servers cung cấp

người vỏi người trên cộng đỏng Internet Tuy nhiên, chỉnh những lợi thẻ đỏ nêu

nó đã là noi lý tưởng để tội phạm, hacker sử đụng, khai thác với nhiều nrục địch kháo nhau Hacker là một cộng đôi

động cơ và mục đích tẫn cảng vào hệ thống mạng của họ đã thay đả rất nhiều,

tử việc muốn nỗi tiếng, gây phiển toái trêu chọc mọi người nay đã chuyên sang

mmc dich tan công để ăn cắp thông tin, tiên bạc, thay đối cầu hình hệ thêng với

mục đỉch đảnh sập hệ thống, nhằm cạnh (ranh với đổi thủ trong kin doanh, kể

cả trong Tĩnh vực quân sự Vì thế mức độ nguy hiểm là rất lớn và không thé lường hết được Do vậy, vẫn để bão mặt đã trở thành chú để nóng bỏng trên Internett

Xuâi phát từ thực liễn trên hàng loại vẫn để về thông tin va an toan (héng,

tin đang đặi ra những thách thức vô cùng lớn Việc tìm hiển, nghiên cứu, xây dựng, và quân lý một hệ thống mạng dam bảo vẻ an nình đang là một vẫn để rất

cần thiết đối với mỗi công ty/đổ chức để đâm bảo quả trình làm việc, giao dich

và trao đổi thông tin được liên tục Tuy nhiền, trình độ phát triển cửa các hacker

cũng ngày cảng giỏi hơn trong khi đỏ các hệ thống vẫn còn chậm chạp trong

việc xử lý các lỗ hồng của minh Diễu đỏ đòi hỏi người quản trị mạng phải có

những kiến thức tốt về bảo mật để có thể giữ vững an toàn thông tin cho hệ thông

Trong khuôn khẻ để tải, đưới sự giúp để của thầy giáo T§ Phạm Văn Bình,

em đã tìm hiểu được một số vấn để về an ninh mạng máy tỉnh, quá trình giao tiếp của các thục thể trong mạng máy tỉnh, các điểm yêu trong mạng củng vai trò quan trạng của các nhương pháp mã hoá Các dâu hiện tắn công và mật số

phương án, biến pháp đổi phó với cáo cuộc tấn công đó Tử đó đưa ra phương, pháp thiết kế một mạng bảo mật, ứng dung tai chỉ nhánh NHŒT VN

6

CHƯƠNG 1 LY THUYET CHUNG VE MANG MAY TINH

1.1 KHÁI QUÁT MẠNG MÁY TÍNH

Mạng máy tính là sự kết hợp của hai hay nhiều máy tỉnh với nhau thông qua các thiét bi xt ly (hub, switch ) và các phương tiên truyền thông (giao thức mạng,

môi trưởng truyền dẫn) theo một kiến trúc nào đó nhằm mục đích thông tin, chia

sẻ tài nguyên (phần mềm, dữ liệu ), thiết bị ngoại vỉ (máy in, máy quét ) hoặc

sức mạnh xử lý

Hình 1.1: Cấu trúc một mạng máy tỉnh đơn giản

Mạng máy tỉnh bao gôm các thành phản chính sau:

~ Máy phục vụ (Server): Chia sẻ các tài nguyên và dịch vụ nói chung cho mang:

+ Các tải nguyên (Resourees): Dữ liệu, các ứng dụng vả các phẩn cứng được

cung cấp bởi các Servers trên mạng cho các Client

+ Các địch vu mang (Network services): thu dién tir (email), in an, chia sé

file, truy xuat Intemet, tray cap tir xa (Remote Access), quay s6 tir xa

(remote dial-in), giao tiép (communication) va dich vu quản trị

(management services)

— May khach (Client): Sử dụng các dich vu mang ma Servers cung cấp

CHƯƠNG 1 LY THUYET CHUNG VE MANG MAY TINH

1.1 KHÁI QUÁT MẠNG MÁY TÍNH

Mạng máy tính là sự kết hợp của hai hay nhiều máy tỉnh với nhau thông qua các thiét bi xt ly (hub, switch ) và các phương tiên truyền thông (giao thức mạng,

môi trưởng truyền dẫn) theo một kiến trúc nào đó nhằm mục đích thông tin, chia

sẻ tài nguyên (phần mềm, dữ liệu ), thiết bị ngoại vỉ (máy in, máy quét ) hoặc

sức mạnh xử lý

Hình 1.1: Cấu trúc một mạng máy tỉnh đơn giản

Mạng máy tỉnh bao gôm các thành phản chính sau:

~ Máy phục vụ (Server): Chia sẻ các tài nguyên và dịch vụ nói chung cho mang:

+ Các tải nguyên (Resourees): Dữ liệu, các ứng dụng vả các phẩn cứng được

cung cấp bởi các Servers trên mạng cho các Client

+ Các địch vu mang (Network services): thu dién tir (email), in an, chia sé

file, truy xuat Intemet, tray cap tir xa (Remote Access), quay s6 tir xa

(remote dial-in), giao tiép (communication) va dich vu quản trị

(management services)

— May khach (Client): Sử dụng các dich vu mang ma Servers cung cấp

DANH MỤC HÌNH Hình 1.1: Cấu trúc một mạng máy tính đơn giản

Hình 1.2: Cáu trúc phân lớp mô hinh O8I

Hình 1.3: Mô hình TCP/IP va OSI - -

Hinh 1.4: Chẳng giao thức lương ứng của mẻ hình TCPIIT

Hình 1.3: Giao liếp vật lý và logic giữa các lớp

Tình 1.6: Câu trúc đít liệu lại mỗi lằng OSI

Ilinh 1.7: Nguyên tắc phân mảnh gói số liệu IP

Ilinh 1.8: Thiét lập một kết nối TCP/IP

Hình 1.9: Kết thủe một kết nỗi TCP/IP

Hình 1 10: Dịch vụ định tuyển lại (ICMP Redireet)

Hinh 2.1: Mô hình cơ bản của một cuộc tân công DDo8

Hình 3.1: Quá trình mã hoá lưu lượng TP 8ec con nenheeniieieree

Hình 3.2: Cấu trie Authentication Header

Hình 3.3: Khuôn đạng gói ÏP trong các mođe trưyền

Hình 3.4: Câu trúc E8P

Ilinh 3.5: Một gói IP được bảo vệ b‹

Hình 3.6: Một gói IP duge bia vé bai ESP trong Tunnel mode

Hình 3.7: Vị tri cia SSL trong chẳng giao thức TCP/IP

Hình 3.8: Cấu trúc bản ta S8L Handshake Protocal

11inh 3.9: Quá trình bắt tay gitra hai thuc thé giao tiép IP Sec

Hình 3.10: Cầu trúc bản tin 88L Reoord Protoeel

Hình 3.11: Các bước xử lý phân dữ liệu

Hình 3.13: NAT thay thế địa chỉ nguồn và cổng nguồn

Hình 3.13: Hoạt động của Web Proxy

Hình 4.1: Quy trình bâo mật mạng

Hình 4.3: Câu trúc một hệ thống mạng bảo mậi

Tinh 4.3: Câu trắc hệ thêng mạng bảo mậI cho mội chỉ nhánh của NHỢT VN

P trong, Transport mode

—_ Giao thúc mạng (Network protocol): Ngôn ngữ che phép các thục thể mạng,

các hệ thống giao tiếp và trao đổi dữ liệu với nhan, vỉ đụ: Sequence Packet Exchange/Intemetwork Packet Exchange (SPM/IPX), Transmission Control Protocol/Intemetwork Protocol (TCP/IP), NetBIOS Exchange User Interface (NEtBEUD

—_ Câu Irúc mạng {Network Iepology} Tepo mạng lä cách kết nổi các máy tính

với nhau về mặt hình học niên gọi là tôpô của mạng,

—_ Môi trường truyén dẫn (Transmission media): Kết nất vật lý giữa các máy

tính cho phép chúng tryền tín hiệu tín hiện qua lại với nhau: Cáp mạng, wireless

Mạng, máy tính tạo ra mỏi trường lâm việc với nhiễu người sủ dụng phân tản,

cho phép nâng cao hiệu quả kchai thắc tải nguyên chung rất nhiều so với khi từng

máy hoạt động đơn 1é

Mạng máy tính có những ưu điểm so với sử dụng các máy lính riêng rẻ

—_ Chia sẻ đữ liêu: Những dữ liều đùng chung cho nhiều người trên mạng oó thể được tập rung trên một máy Nền lựa chọn một máy tính để lưu trữ và cho

phép các máy tinh khác Irên mạng sử dụng dữ Tiêu nảy sẽ làm tăng khả năng lập trung vả duy Irì các thông lin May tinh c6 ode tính năng trên gọi là máy chủ phue vu (server) 6 ede phan mềm vả hệ diều hành đặc biệt dành riêng

Điều này chơ phép:

¡ Nhiễu người có thể sử dụng chung một phan mém tién ich

¡ Một nhóm người cùng thực hiện một để án sẽ đúng chung đữ liệu, ding

chung một tập trn chính (aster file) cha 4é an, grip ho trao dai thông tin

vớt nhau một cách dễ dàng,

—_ Chia sé lài nguyên phản cửng: Mạng máy linh có thể chia sẽ các lải nguyên phan cing: fax, modems, may quét (scanners), dia cing (hard - disks), dia mém (floppy - disks), 6 dia CD (CD- ROMS), Bang tir (Tape), may vẽ

DANH MỤC HÌNH Hình 1.1: Cấu trúc một mạng máy tính đơn giản

Hình 1.2: Cáu trúc phân lớp mô hinh O8I

Hình 1.3: Mô hình TCP/IP va OSI - -

Hinh 1.4: Chẳng giao thức lương ứng của mẻ hình TCPIIT

Hình 1.3: Giao liếp vật lý và logic giữa các lớp

Tình 1.6: Câu trúc đít liệu lại mỗi lằng OSI

Ilinh 1.7: Nguyên tắc phân mảnh gói số liệu IP

Ilinh 1.8: Thiét lập một kết nối TCP/IP

Hình 1.9: Kết thủe một kết nỗi TCP/IP

Hình 1 10: Dịch vụ định tuyển lại (ICMP Redireet)

Hinh 2.1: Mô hình cơ bản của một cuộc tân công DDo8

Hình 3.1: Quá trình mã hoá lưu lượng TP 8ec con nenheeniieieree

Hình 3.2: Cấu trie Authentication Header

Hình 3.3: Khuôn đạng gói ÏP trong các mođe trưyền

Hình 3.4: Câu trúc E8P

Ilinh 3.5: Một gói IP được bảo vệ b‹

Hình 3.6: Một gói IP duge bia vé bai ESP trong Tunnel mode

Hình 3.7: Vị tri cia SSL trong chẳng giao thức TCP/IP

Hình 3.8: Cấu trúc bản ta S8L Handshake Protocal

11inh 3.9: Quá trình bắt tay gitra hai thuc thé giao tiép IP Sec

Hình 3.10: Cầu trúc bản tin 88L Reoord Protoeel

Hình 3.11: Các bước xử lý phân dữ liệu

Hình 3.13: NAT thay thế địa chỉ nguồn và cổng nguồn

Hình 3.13: Hoạt động của Web Proxy

Hình 4.1: Quy trình bâo mật mạng

Hình 4.3: Câu trúc một hệ thống mạng bảo mậi

Tinh 4.3: Câu trắc hệ thêng mạng bảo mậI cho mội chỉ nhánh của NHỢT VN

P trong, Transport mode

CHƯƠNG 1 LY THUYET CHUNG VE MANG MAY TINH

1.1 KHÁI QUÁT MẠNG MÁY TÍNH

Mạng máy tính là sự kết hợp của hai hay nhiều máy tỉnh với nhau thông qua các thiét bi xt ly (hub, switch ) và các phương tiên truyền thông (giao thức mạng,

môi trưởng truyền dẫn) theo một kiến trúc nào đó nhằm mục đích thông tin, chia

sẻ tài nguyên (phần mềm, dữ liệu ), thiết bị ngoại vỉ (máy in, máy quét ) hoặc

sức mạnh xử lý

Hình 1.1: Cấu trúc một mạng máy tỉnh đơn giản

Mạng máy tỉnh bao gôm các thành phản chính sau:

~ Máy phục vụ (Server): Chia sẻ các tài nguyên và dịch vụ nói chung cho mang:

+ Các tải nguyên (Resourees): Dữ liệu, các ứng dụng vả các phẩn cứng được

cung cấp bởi các Servers trên mạng cho các Client

+ Các địch vu mang (Network services): thu dién tir (email), in an, chia sé

file, truy xuat Intemet, tray cap tir xa (Remote Access), quay s6 tir xa

(remote dial-in), giao tiép (communication) va dich vu quản trị

(management services)

— May khach (Client): Sử dụng các dich vu mang ma Servers cung cấp

người vỏi người trên cộng đỏng Internet Tuy nhiên, chỉnh những lợi thẻ đỏ nêu

nó đã là noi lý tưởng để tội phạm, hacker sử đụng, khai thác với nhiều nrục địch kháo nhau Hacker là một cộng đôi

động cơ và mục đích tẫn cảng vào hệ thống mạng của họ đã thay đả rất nhiều,

tử việc muốn nỗi tiếng, gây phiển toái trêu chọc mọi người nay đã chuyên sang

mmc dich tan công để ăn cắp thông tin, tiên bạc, thay đối cầu hình hệ thêng với

mục đỉch đảnh sập hệ thống, nhằm cạnh (ranh với đổi thủ trong kin doanh, kể

cả trong Tĩnh vực quân sự Vì thế mức độ nguy hiểm là rất lớn và không thé lường hết được Do vậy, vẫn để bão mặt đã trở thành chú để nóng bỏng trên Internett

Xuâi phát từ thực liễn trên hàng loại vẫn để về thông tin va an toan (héng,

tin đang đặi ra những thách thức vô cùng lớn Việc tìm hiển, nghiên cứu, xây dựng, và quân lý một hệ thống mạng dam bảo vẻ an nình đang là một vẫn để rất

cần thiết đối với mỗi công ty/đổ chức để đâm bảo quả trình làm việc, giao dich

và trao đổi thông tin được liên tục Tuy nhiền, trình độ phát triển cửa các hacker

cũng ngày cảng giỏi hơn trong khi đỏ các hệ thống vẫn còn chậm chạp trong

việc xử lý các lỗ hồng của minh Diễu đỏ đòi hỏi người quản trị mạng phải có

những kiến thức tốt về bảo mật để có thể giữ vững an toàn thông tin cho hệ thông

Trong khuôn khẻ để tải, đưới sự giúp để của thầy giáo T§ Phạm Văn Bình,

em đã tìm hiểu được một số vấn để về an ninh mạng máy tỉnh, quá trình giao tiếp của các thục thể trong mạng máy tỉnh, các điểm yêu trong mạng củng vai trò quan trạng của các nhương pháp mã hoá Các dâu hiện tắn công và mật số

phương án, biến pháp đổi phó với cáo cuộc tấn công đó Tử đó đưa ra phương, pháp thiết kế một mạng bảo mật, ứng dung tai chỉ nhánh NHŒT VN

6

—_ Giao thúc mạng (Network protocol): Ngôn ngữ che phép các thục thể mạng,

các hệ thống giao tiếp và trao đổi dữ liệu với nhan, vỉ đụ: Sequence Packet Exchange/Intemetwork Packet Exchange (SPM/IPX), Transmission Control Protocol/Intemetwork Protocol (TCP/IP), NetBIOS Exchange User Interface (NEtBEUD

—_ Câu Irúc mạng {Network Iepology} Tepo mạng lä cách kết nổi các máy tính

với nhau về mặt hình học niên gọi là tôpô của mạng,

—_ Môi trường truyén dẫn (Transmission media): Kết nất vật lý giữa các máy

tính cho phép chúng tryền tín hiệu tín hiện qua lại với nhau: Cáp mạng, wireless

Mạng, máy tính tạo ra mỏi trường lâm việc với nhiễu người sủ dụng phân tản,

cho phép nâng cao hiệu quả kchai thắc tải nguyên chung rất nhiều so với khi từng

máy hoạt động đơn 1é

Mạng máy tính có những ưu điểm so với sử dụng các máy lính riêng rẻ

—_ Chia sẻ đữ liêu: Những dữ liều đùng chung cho nhiều người trên mạng oó thể được tập rung trên một máy Nền lựa chọn một máy tính để lưu trữ và cho

phép các máy tinh khác Irên mạng sử dụng dữ Tiêu nảy sẽ làm tăng khả năng lập trung vả duy Irì các thông lin May tinh c6 ode tính năng trên gọi là máy chủ phue vu (server) 6 ede phan mềm vả hệ diều hành đặc biệt dành riêng

Điều này chơ phép:

¡ Nhiễu người có thể sử dụng chung một phan mém tién ich

¡ Một nhóm người cùng thực hiện một để án sẽ đúng chung đữ liệu, ding

chung một tập trn chính (aster file) cha 4é an, grip ho trao dai thông tin

vớt nhau một cách dễ dàng,

—_ Chia sé lài nguyên phản cửng: Mạng máy linh có thể chia sẽ các lải nguyên phan cing: fax, modems, may quét (scanners), dia cing (hard - disks), dia mém (floppy - disks), 6 dia CD (CD- ROMS), Bang tir (Tape), may vẽ

—_ Giao thúc mạng (Network protocol): Ngôn ngữ che phép các thục thể mạng,

các hệ thống giao tiếp và trao đổi dữ liệu với nhan, vỉ đụ: Sequence Packet Exchange/Intemetwork Packet Exchange (SPM/IPX), Transmission Control Protocol/Intemetwork Protocol (TCP/IP), NetBIOS Exchange User Interface (NEtBEUD

—_ Câu Irúc mạng {Network Iepology} Tepo mạng lä cách kết nổi các máy tính

với nhau về mặt hình học niên gọi là tôpô của mạng,

—_ Môi trường truyén dẫn (Transmission media): Kết nất vật lý giữa các máy

tính cho phép chúng tryền tín hiệu tín hiện qua lại với nhau: Cáp mạng, wireless

Mạng, máy tính tạo ra mỏi trường lâm việc với nhiễu người sủ dụng phân tản,

cho phép nâng cao hiệu quả kchai thắc tải nguyên chung rất nhiều so với khi từng

máy hoạt động đơn 1é

Mạng máy tính có những ưu điểm so với sử dụng các máy lính riêng rẻ

—_ Chia sẻ đữ liêu: Những dữ liều đùng chung cho nhiều người trên mạng oó thể được tập rung trên một máy Nền lựa chọn một máy tính để lưu trữ và cho

phép các máy tinh khác Irên mạng sử dụng dữ Tiêu nảy sẽ làm tăng khả năng lập trung vả duy Irì các thông lin May tinh c6 ode tính năng trên gọi là máy chủ phue vu (server) 6 ede phan mềm vả hệ diều hành đặc biệt dành riêng

Điều này chơ phép:

¡ Nhiễu người có thể sử dụng chung một phan mém tién ich

¡ Một nhóm người cùng thực hiện một để án sẽ đúng chung đữ liệu, ding

chung một tập trn chính (aster file) cha 4é an, grip ho trao dai thông tin

vớt nhau một cách dễ dàng,

—_ Chia sé lài nguyên phản cửng: Mạng máy linh có thể chia sẽ các lải nguyên phan cing: fax, modems, may quét (scanners), dia cing (hard - disks), dia mém (floppy - disks), 6 dia CD (CD- ROMS), Bang tir (Tape), may vẽ

—_ Giao thúc mạng (Network protocol): Ngôn ngữ che phép các thục thể mạng,

các hệ thống giao tiếp và trao đổi dữ liệu với nhan, vỉ đụ: Sequence Packet Exchange/Intemetwork Packet Exchange (SPM/IPX), Transmission Control Protocol/Intemetwork Protocol (TCP/IP), NetBIOS Exchange User Interface (NEtBEUD

—_ Câu Irúc mạng {Network Iepology} Tepo mạng lä cách kết nổi các máy tính

với nhau về mặt hình học niên gọi là tôpô của mạng,

—_ Môi trường truyén dẫn (Transmission media): Kết nất vật lý giữa các máy

tính cho phép chúng tryền tín hiệu tín hiện qua lại với nhau: Cáp mạng, wireless

Mạng, máy tính tạo ra mỏi trường lâm việc với nhiễu người sủ dụng phân tản,

cho phép nâng cao hiệu quả kchai thắc tải nguyên chung rất nhiều so với khi từng

máy hoạt động đơn 1é

Mạng máy tính có những ưu điểm so với sử dụng các máy lính riêng rẻ

—_ Chia sẻ đữ liêu: Những dữ liều đùng chung cho nhiều người trên mạng oó thể được tập rung trên một máy Nền lựa chọn một máy tính để lưu trữ và cho

phép các máy tinh khác Irên mạng sử dụng dữ Tiêu nảy sẽ làm tăng khả năng lập trung vả duy Irì các thông lin May tinh c6 ode tính năng trên gọi là máy chủ phue vu (server) 6 ede phan mềm vả hệ diều hành đặc biệt dành riêng

Điều này chơ phép:

¡ Nhiễu người có thể sử dụng chung một phan mém tién ich

¡ Một nhóm người cùng thực hiện một để án sẽ đúng chung đữ liệu, ding

chung một tập trn chính (aster file) cha 4é an, grip ho trao dai thông tin

vớt nhau một cách dễ dàng,

—_ Chia sé lài nguyên phản cửng: Mạng máy linh có thể chia sẽ các lải nguyên phan cing: fax, modems, may quét (scanners), dia cing (hard - disks), dia mém (floppy - disks), 6 dia CD (CD- ROMS), Bang tir (Tape), may vẽ

MAC Message Authentication Code ‘MA ching thực bản tín

cA Certificate Authority 'Tỏ chức chứng thực

SA §ecurily Assaciatian ‘Mai liên hệ báo mật giữa hai thực thể giao Hếp

IKE Internet Key Exchange Giao thức trao đổi khoá được sử dụng trong các

giao thức IP Sec va SSL

PKI Public Key Infastructure Kién tric khoả công khai

SSL Secure Socket Layer Giao thức báo mật lớp truyền dẫn

TPSee Internet Protacal Scenrity Gian thite béa mit Internet

IP§ Intrusion Prevention System Hệ thống phòng chồng thâm nhập

ms Intrusion Detection System Te théng phat hign tham nhjp

ACL Access Coutrol List Danh sách điều khiễn truy nhập

WaT Network Address Translation Dich dia chi mang

RADIUS Remote Authentication Dial-up | Dich vụ chúng thực người sử đụng quay sổ từ

DNS Domain Name Service Tịch vụ tên miền

NHCT VN Viemam Join Stedt Commrrcial | Ngân hàng TMCP Công Thương Việt Nam

Bank for Industry and Trade (Vietinbank) BDS Branch Delivery System Hệ thống xử lý giao dịch lại Vielinbank

DANH MỤC HÌNH Hình 1.1: Cấu trúc một mạng máy tính đơn giản

Hình 1.2: Cáu trúc phân lớp mô hinh O8I

Hình 1.3: Mô hình TCP/IP va OSI - -

Hinh 1.4: Chẳng giao thức lương ứng của mẻ hình TCPIIT

Hình 1.3: Giao liếp vật lý và logic giữa các lớp

Tình 1.6: Câu trúc đít liệu lại mỗi lằng OSI

Ilinh 1.7: Nguyên tắc phân mảnh gói số liệu IP

Ilinh 1.8: Thiét lập một kết nối TCP/IP

Hình 1.9: Kết thủe một kết nỗi TCP/IP

Hình 1 10: Dịch vụ định tuyển lại (ICMP Redireet)

Hinh 2.1: Mô hình cơ bản của một cuộc tân công DDo8

Hình 3.1: Quá trình mã hoá lưu lượng TP 8ec con nenheeniieieree

Hình 3.2: Cấu trie Authentication Header

Hình 3.3: Khuôn đạng gói ÏP trong các mođe trưyền

Hình 3.4: Câu trúc E8P

Ilinh 3.5: Một gói IP được bảo vệ b‹

Hình 3.6: Một gói IP duge bia vé bai ESP trong Tunnel mode

Hình 3.7: Vị tri cia SSL trong chẳng giao thức TCP/IP

Hình 3.8: Cấu trúc bản ta S8L Handshake Protocal

11inh 3.9: Quá trình bắt tay gitra hai thuc thé giao tiép IP Sec

Hình 3.10: Cầu trúc bản tin 88L Reoord Protoeel

Hình 3.11: Các bước xử lý phân dữ liệu

Hình 3.13: NAT thay thế địa chỉ nguồn và cổng nguồn

Hình 3.13: Hoạt động của Web Proxy

Hình 4.1: Quy trình bâo mật mạng

Hình 4.3: Câu trúc một hệ thống mạng bảo mậi

Tinh 4.3: Câu trắc hệ thêng mạng bảo mậI cho mội chỉ nhánh của NHỢT VN

P trong, Transport mode

—_ Giao thúc mạng (Network protocol): Ngôn ngữ che phép các thục thể mạng,

các hệ thống giao tiếp và trao đổi dữ liệu với nhan, vỉ đụ: Sequence Packet Exchange/Intemetwork Packet Exchange (SPM/IPX), Transmission Control Protocol/Intemetwork Protocol (TCP/IP), NetBIOS Exchange User Interface (NEtBEUD

—_ Câu Irúc mạng {Network Iepology} Tepo mạng lä cách kết nổi các máy tính

với nhau về mặt hình học niên gọi là tôpô của mạng,

—_ Môi trường truyén dẫn (Transmission media): Kết nất vật lý giữa các máy

tính cho phép chúng tryền tín hiệu tín hiện qua lại với nhau: Cáp mạng, wireless

Mạng, máy tính tạo ra mỏi trường lâm việc với nhiễu người sủ dụng phân tản,

cho phép nâng cao hiệu quả kchai thắc tải nguyên chung rất nhiều so với khi từng

máy hoạt động đơn 1é

Mạng máy tính có những ưu điểm so với sử dụng các máy lính riêng rẻ

—_ Chia sẻ đữ liêu: Những dữ liều đùng chung cho nhiều người trên mạng oó thể được tập rung trên một máy Nền lựa chọn một máy tính để lưu trữ và cho

phép các máy tinh khác Irên mạng sử dụng dữ Tiêu nảy sẽ làm tăng khả năng lập trung vả duy Irì các thông lin May tinh c6 ode tính năng trên gọi là máy chủ phue vu (server) 6 ede phan mềm vả hệ diều hành đặc biệt dành riêng

Điều này chơ phép:

¡ Nhiễu người có thể sử dụng chung một phan mém tién ich

¡ Một nhóm người cùng thực hiện một để án sẽ đúng chung đữ liệu, ding

chung một tập trn chính (aster file) cha 4é an, grip ho trao dai thông tin

vớt nhau một cách dễ dàng,

—_ Chia sé lài nguyên phản cửng: Mạng máy linh có thể chia sẽ các lải nguyên phan cing: fax, modems, may quét (scanners), dia cing (hard - disks), dia mém (floppy - disks), 6 dia CD (CD- ROMS), Bang tir (Tape), may vẽ

người vỏi người trên cộng đỏng Internet Tuy nhiên, chỉnh những lợi thẻ đỏ nêu

nó đã là noi lý tưởng để tội phạm, hacker sử đụng, khai thác với nhiều nrục địch kháo nhau Hacker là một cộng đôi

động cơ và mục đích tẫn cảng vào hệ thống mạng của họ đã thay đả rất nhiều,

tử việc muốn nỗi tiếng, gây phiển toái trêu chọc mọi người nay đã chuyên sang

mmc dich tan công để ăn cắp thông tin, tiên bạc, thay đối cầu hình hệ thêng với

mục đỉch đảnh sập hệ thống, nhằm cạnh (ranh với đổi thủ trong kin doanh, kể

cả trong Tĩnh vực quân sự Vì thế mức độ nguy hiểm là rất lớn và không thé lường hết được Do vậy, vẫn để bão mặt đã trở thành chú để nóng bỏng trên Internett

Xuâi phát từ thực liễn trên hàng loại vẫn để về thông tin va an toan (héng,

tin đang đặi ra những thách thức vô cùng lớn Việc tìm hiển, nghiên cứu, xây dựng, và quân lý một hệ thống mạng dam bảo vẻ an nình đang là một vẫn để rất

cần thiết đối với mỗi công ty/đổ chức để đâm bảo quả trình làm việc, giao dich

và trao đổi thông tin được liên tục Tuy nhiền, trình độ phát triển cửa các hacker

cũng ngày cảng giỏi hơn trong khi đỏ các hệ thống vẫn còn chậm chạp trong

việc xử lý các lỗ hồng của minh Diễu đỏ đòi hỏi người quản trị mạng phải có

những kiến thức tốt về bảo mật để có thể giữ vững an toàn thông tin cho hệ thông

Trong khuôn khẻ để tải, đưới sự giúp để của thầy giáo T§ Phạm Văn Bình,

em đã tìm hiểu được một số vấn để về an ninh mạng máy tỉnh, quá trình giao tiếp của các thục thể trong mạng máy tỉnh, các điểm yêu trong mạng củng vai trò quan trạng của các nhương pháp mã hoá Các dâu hiện tắn công và mật số

phương án, biến pháp đổi phó với cáo cuộc tấn công đó Tử đó đưa ra phương, pháp thiết kế một mạng bảo mật, ứng dung tai chỉ nhánh NHŒT VN

6

Do đỏ, nội dung của bản luận văn này bao gằm những nội dung sa

— Trinh bay khái quát về mạng máy linh Giới thiệu kiển trie phan tang OSI, từ

đó đề cập chồng giao thức quan trọng TCPIIP, giao thức liên mạng IP, TCP

và UDP: giao thức điều khiển ICMP và ARP

Giới thiệu một số địch vụ thông tin trên mạng trong lĩnh vực ngân hảng,

— Trinh bay oác lĩnh vục chính trong an ninh mạng máy tính, các loại hình tấn

công và xâm nhập bắt họp pháp trong mạng máy tính, phân tích các loại hình lan công mạng để từ đỏ đưa ra các phương pháp đổi phỏ phủ hợp thông qua các giao thức lăng cường bảo mật, các công nghệ bảo vệ mạng

~_ Thực hiện thiết kế mô hình mnạng có khá năng đâm bảo an toàn tại chỉ nhánh:

NIICT VN

Phan tich, danh gid mé hinh mạng đã đưa ra

Tim xin iti 1éi cảm ơn sâu sắc đến thẩy giáo T8 Phạm Văn Hinh đã luôn lận tỉnh chỉ bảo, hưởng dẫn em hoàn [hành bản luần văn này

Tuy nhiên, do thời gian oòn rất hạn chế, hơn nữa vẫn đẻ nêu ra trong luận

văn cũng là một vẫn đẻ phức tạp, nên bải hận văn này không tránh khỏi những thiểu sót Nhiễu dẫn hiệu tấn công phúc tạp chưa được giải quyết Trong thời

gian tỏi, với sự bể sung đây đủ hơn về kiến thức, em hy vọng sẽ hoàn thiện thêm

và nghiền cửn sân hơn về để lài này

Xinh mong nhận được sự thông cảm và đóng góp ý kiến của các thầy cô

củng bạn bè, đồng nghiệp.

CHƯƠNG 1 LY THUYET CHUNG VE MANG MAY TINH

1.1 KHÁI QUÁT MẠNG MÁY TÍNH

Mạng máy tính là sự kết hợp của hai hay nhiều máy tỉnh với nhau thông qua các thiét bi xt ly (hub, switch ) và các phương tiên truyền thông (giao thức mạng,

môi trưởng truyền dẫn) theo một kiến trúc nào đó nhằm mục đích thông tin, chia

sẻ tài nguyên (phần mềm, dữ liệu ), thiết bị ngoại vỉ (máy in, máy quét ) hoặc

sức mạnh xử lý

Hình 1.1: Cấu trúc một mạng máy tỉnh đơn giản

Mạng máy tỉnh bao gôm các thành phản chính sau:

~ Máy phục vụ (Server): Chia sẻ các tài nguyên và dịch vụ nói chung cho mang:

+ Các tải nguyên (Resourees): Dữ liệu, các ứng dụng vả các phẩn cứng được

cung cấp bởi các Servers trên mạng cho các Client

+ Các địch vu mang (Network services): thu dién tir (email), in an, chia sé

file, truy xuat Intemet, tray cap tir xa (Remote Access), quay s6 tir xa

(remote dial-in), giao tiép (communication) va dich vu quản trị

(management services)

— May khach (Client): Sử dụng các dich vu mang ma Servers cung cấp