Nghiên cứu cơ chế an toàn mô hình OSI

Nghiên cứu cơ chế an toàn mô hình OSI

BAN CƠ YẾU CHÍNH PHỦ CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM

HỌC VIỆN KTMM Độc lập - Tự do - Hạnh phúc

***

-NHIỆM VỤ ĐỒ ÁN TỐT NGHIỆP

Họ và tên sinh viên: Khóa: 02

Chuyên ngành đào tạo: Kỹ sư an toàn thông tin

Tên đề tài: Nghiên cứu cơ chế an toàn mô hình OSI

Các số liệu ban đầu: Các trang web trong và ngoài nước, tài liệu tham khảo củamột số trường đại học, ví dụ như www.Athena.com.vn, www.inetdaemon.com,nhatnghe.com, milw0rm.com, www.commsdesign.com, interlinknetworks.com,giáo trình mạng máy tính-Đại học cần thơ, giáo trình mạng máy tính-Học viện

kỹ thuật mật mã, Internet Security Basic-Hitachi Information Academy CoLTD

Nội dung trong bản thuyết minh: Nghiên cứu cơ chế an toàn mô hình OSI gồmcác chương

Chương I: Tìm hiểu tổng quan về mô hình OSI

Chương II: An toàn mô hình OSI

Chương III: Một số ứng dụng an toàn trong mô hình OSI

Số lượng, nội dung các bản vẽ và đồ thị: Đồ án gồm 19 hình vẽ, 1 bảng liệt kê,

16 ảnh trong phần phụ lục và demo tấn công SQL Injection

Ngày giao: / / Ngày hoàn thành: / /

Hà Nội, ngày tháng năm

CÁN BỘ HƯỚNG DẪN NGƯỜI THỰC HIỆN TRƯỞNG KHOA GIÁM ĐỐC (Họ tên, chức vụ, học hàm vị) (Ký và ghi rõ họ tên)

MỤC LỤC Trang

Nhiệm vụ đồ án……… 1

Các từ viết tắt……… 5

Danh mục hình vẽ……… 8

Lời nói đầu……… 9

Chương I: Tổng quan mô hình OSI……… 10

1.1 Giới thiệu……… 10

1.1.1 Lịch sử phát triển mô hình OSI……… 10

1.1.2 Mục đích……… 11

1.2 Tường trình các tầng cấp của mô hình OSI……… 13

1.2.1 Tầng ứng dụng Application layer……… 14

1.2.2 Tầng trình diễn Presentation layer……… 14

1.2.3 Tầng phiên Session layer……… 15

1.2.4 Tầng giao vận Transport layer……… 16

1.2.5 Tầng mạng Network layer……… 16

1.2.6 Tầng liên kết dữ liệu Data link layer……… 18

1.2.7 Tầng vật lý Physical layer……… 19

1.3 Các giao diện……… 20

1.4 Qúa trình xử lý và vận chuyển của một gói dữ liệu………22

1.4.1 Qúa trình đóng gói dữ liệu tại máy gửi……… 22

1.4.2 Qúa trình truyền dữ liệu từ máy gửi đến máy nhận……….23

1.4.3 Qúa trình xử lý tại máy nhận……… 24

Chương II: An toàn mô hình OSI……… 26

2.1 Các nguy cơ mất an toàn trong mô hình OSI……….26

2.1.1 Tầng vật lý……… 26

2.1.2 Tầng liên kết dữ liệu………26

2.1.3 Tầng mạng……… 28

2.1.4 Tầng giao vận……….…….29

2.1.5 Tầng phiên……….… 31

2.1.6 Tầng trình diễn………32

2.1.7 Tầng ứng dụng………33

2.2 Các giải pháp an toàn trong mô hình OSI……… 33

2.2.1 Tầng vật lý……… 33

2.2.2 Tầng liên kết dữ liệu……… 34

2.2.2.1 Giao thức PPP………35

2.2.2.2 Giao thức đường hầm điểm PPTP……….35

2.2.2.3 Giao thức Frame Relay 36

2.2.2.4 Giao thức L2F………37

2.2.2.5 Giao thức L2TP……….38

2.2.3 Tầng mạng……….40

2.2.3.1 Giao thức MPLS………41

2.2.4 Tầng giao vận………42

2.2.4.1 Giao thức SSH……… 44

2.2.5 Tầng phiên……….45

2.2.6 Tầng trình diễn……… 45

2.2.7 Tầng ứng dụng……… 46

2.2.7.1 Giao thức HTTPS……… 46

2.2.7.2 S/Mine&PGP……….47

Chương III: Một số ứng dụng an toàn trong mô hình OSI……….49

3.1 An toàn WEB……… 49

3.1.1 Kỹ thuật tấn công Cross-site Scripting……… 49

3.1.1.1 Khái niệm……… 49

3.1.1.2 Hoạt động của XSS………49

3.1.1.3 Phát hiện XSS………49

3.1.1.4 Ngăn ngừa XSS……….50

3.1.2 Kỹ thuật tấn công SQL Injection……… 50

3.1.2.1 Khái niệm……… 50

3.1.2.2 Mục đích của tấn công bằng SQL Injection……… 50

3.1.2.3 Các dạng tấn công bằng SQL Injection……….51

3.1.2.4 Cách phòng chống……….51

3.1.3 Kỹ thuật tấn công HTTP Respone Spliting……… 52

3.2 Kiên trúc an toàn IPSEC………53

3.2.1 Chức năng của IPSEC………53

3.2.2 Các thành phần của IPSEC………55

3.2.2.1 Giao thức xác thực tiêu đề AH……… 55

3.2.2.2 Giao thức đóng gói tải bảo mật ESP……….….56

3.2.3 Các chế độ hoạt động của IPSEC……… 57

3.2.3.1 Chế độ Transport……… 57

3.2.3.2 Chế độ Tunnel………58

3.2.4 Đánh giá khả năng ứng dụng của IPSEC……… 59

3.3 Firewall…….……… 61

3.3.1 Chức năng của tường lửa……… 61

3.3.2 Các công nghệ của tường lửa……….62

3.3.2.1 Lọc gói tin……… 62

3.3.2.2 Dịch vụ ủy quyền……… 63

3.3.2.3 Kiểm soát trạng thái……… 64

3.3.3 Khả năng ứng dụng của tường lửa……….65

3.4 Giao thức SSL/TLS……… 67

3.4.1 Chức năng của SSL/TLS……… 67

3.4.2 Kiến trúc giao thức SSL……….68

3.4.3 Hoạt động của SSL/TLS……… 71

3.4.4 Khả năng ứng dụng của giao thức SSL/TLS……….71

Kết luận………73

Tài liệu tham khảo……… 74

Phụ lục……… 75

CÁC TỪ VIẾT TẮT

Tên từ viết tắt Tên đầy đủ

ACK ……… AknowledgmentADCCP……….Advanced Data Communication Control ProcedureANSI……….American National Standards InstituteACL……… Access Control ListASP……… Active Server PagesASIC……… Application Specific Integrated Cirouit

CA ……… Certerficate AuthorityCGI……… Common Gateway InterfaceCIFS……… Common Internet File ServiceCSS……….Cascading Style SheetCF……… Cold FussionCCITT……… Commite Consulating International Pour Le Telegraphe Et

La Telephone

DOS……… …Denial Of ServiceDDOS……… Ditributed Denial ServiceDTE……… …Data Terminal EquipmentDCE……….Data Circuit Terminating EquipmentDNS……… Domain Name SystemESP……… Encapsulating Sercurity PayloadFR……… Frame RelayFTP……… File Transport ProtocolHTML……… …Hypertext Markup LanguageHBA……… Host Bus AdapterHTTP……… Hypertext Transport ProtocolHTTPS………… Hypertext Transport Protocol Over Secure Sockets LayerISO……… ….The International Standards OrganizationIPv4……….…………Internet Protocol Version 4IPv6……….………Internet Protocol Version 6

ISDN……… Intergrated Services Digital NetworkIPSEC……….… ….Internet Protocol SercurityIKE……… Internet Key ExchangeICV……….……….…Integrity Check ValueICMP……….…….….Internet Control Message ProtocolISA……….……….Internet Sercurity And AccelrationIMAP……… Internet Messaging Access ProtocolIEEE 802.2……….Institute Of electrical And Electronic EngineersMAN……… Metrol Politan Area NetworkMAC……….…….….Media Access ControlMIME……… Multipurpose Internet Mail ExtensionMS-CHAP……… Challenge Handshake Authentication ProtocolMPLS……… ….Multi Protocol Cabel SwitchingMITM……….…… …….Man In The MiddleLAN……….… … Local Area NetworkLLC……… … Logical Link ControlLCP……… Link Control ProtocolL2F……… Layer 2 Forwarding ProtocolL2TP……….… Layer2 Tunneling ProtocolNDIS……… …….Network Driver Interface SpecificationNAK……… Negative AcknowledgmentNIC……….….…Network Interface CardsNCP……….… Network Control ProtocolNAT……… Network Address TranslationNFS……….… Network File SystemOSI……… Open System InterconnectionODI……… Open Data Link InterfacePPP……….….Point To PointPPTP……….… Point To Point ProtocolPHP……… Personal Home Page

PIX……… Private Internet ExchangePOP3……… Post Office Protocol 3PGP……….… Pretty Good PrivacyRFC……….……Requests For CommentsRSA……… Rivest Shamire & AdlemanSMTP……….……….… Simple Mail Transfer ProtocolSSL/TLS……….Secure Socket Layer/Transport Layer SercuritySSH……… … Secure ShellS/MINE……… Secure Multipurpose Internet Mail ExtensionSQL……… ….… Structured Query LanguageSA……… …….… Sercurity AssociationTCP/IP……… Transmission Control Protocol/Internet ProtocolVPN……… ……….…Virtual Private NetworkUDP……… ……….…User Datagram ProtocolURL……… …… Uniform Resource LocatorUPS……… … Uninterrupted Power SupplyWAN……… ….……Wide Area NetworkXML……… Extensible Markup LanguageXSS……… ……… …Cross Site Scripting

DANH MỤC HÌNH VẼ Trang

Hình 1.1: Mô hình OSI……… 13

Hình 1.2: Bảng liệt kê các thí dụ……… 22

Hình 1.3: Qúa trình đóng gói dữ liệu……… 22

Hình 1.4: Qúa trình nhận dữ liệu……… 24

Hình 2.1: Qúa trình xử lý bắt tay ba bước ……… 30

Hình 2.2: Vị trí của PPTP trong mô hình OSI……… 36

Hình 2.3: Qúa trình định đường hầm dữ liệu L2F……… 38

Hình 2.4: Qúa trình xử lý định đường hầm dữ liệu L2TP……… 40

Hình 3.1: Kiến trúc bộ giao thức IPSEC……… 54

Hình 3.2: Tiêu đề AH……… 56

Hình 3.3: Gói IP sau khi tiêu đề ESP và trailer ESP được thêm vào…… 56

Hình 3.4: Khuôn dạng ESP……… 57

Hình 3.5: Hai chế độ IPSEC……… 57

Hình 3.6: IPSEC chế độ Transport……… 57

Hình 3.7: IPSEC chế độ Tunnel……… 58

Hình 3.8: Các lớp OSI được bộ lọc gói tin sử dụng……… 63

Hình 3.9: Các lớp OSI được cổng vào ra ủy quyền mức ứng dụng sử dụng 64

Hình 3.10: Các lớp OSI được công nghệ kiểm soát trạng thái sử dụng… 64

Hình 3.11: Vị trí của SSL……… 67

Hình 3.12: Các giao thức con của SSL trong mô hình TCP/IP………… 69

LỜI NÓI ĐẦU

Ngày nay, mạng máy tính, mà đặc biệt là mạng Internet đã và đang đónggóp những vai trò hết sức quan trọng trong các hoạt động học tập, vui chơi, tìmhiểu, giải trí, công việc hàng ngày… của mỗi cá nhân, tổ chức và doanh nghiệp.Tuy nhiên nó cũng phải đối mặt rất nhiều nguy cơ và thách thức về vấn đề đảmbảo an toàn trên mạng An toàn thông tin trên mạng máy tính là một lĩnh vựcrộng lớn, nó bao gồm tất cả các kỹ thuật, các phương pháp, phương tiện bảo vệthông tin Nó liên quan đến các kiến thức về khoa học mật mã, công nghệmạng, các ứng dụng trên mạng

Trên thế giới hiện nay có rất nhiều mô hình, kiến trúc mạng để kết nối cácthiết bị, máy tính hay hệ thống máy tính với nhau, OSI là một trong những môhình đấy Mặc dù đã ra đời từ rất lâu, mô hình tham chiếu OSI vẫn đang là

“kim chỉ nam" cho các loại mạng viễn thông, và là công cụ đắc lực nhất được

sử dụng để tìm hiểu xem dữ liệu được gửi và nhận ra sao trong một mạng máytính nói chung Vấn đề đảm bảo an toàn cho mô hình OSI là điều hết sức quantrọng và cần được chú ý tới, và đây chính là lí do em chọn đề tài “ Nghiên cứu

cơ chế an toàn mô hình OSI ”

Đề tài của đồ án gồm ba chương:

Chương I: Giới thiệu tổng quan về mô hình OSI

Chương II: An toàn mô hình OSI, các giải pháp đảm bảo an toàn cho cáctầng đó và các kiểu tấn công điển hình trên một số tầng

Chương III: Tìm hiểu một số ứng dụng an toàn trong mô hình OSI

Do thời gian và khả năng còn nhiều hạn chế, cho nên trong đồ án khôngtránh khỏi những sai sót Vì vậy, em rất mong được sự góp ý của các thầy giáo,

cô giáo và các bạn quan tâm đến đề tài này

Qua đây em xin gửi lời cảm ơn chân thành tới thầy giáo Phùng Văn Định

đã giúp đỡ em trong thời gian hoàn thành đồ án của mình

Xin chân thành cảm ơn!

Sinh viên:

CHƯƠNG I: TỔNG QUAN MÔ HÌNH OSI

1.1 GIỚI THIỆU

1.1.1 Lịch sử phát triển mô hình OSI

Những nghiên cứu về mô hình OSI (Open system interconnection-Môhình kết nối các hệ thống mở) được bắt đầu tại ISO (The InternationalStandards Organization-tổ chức tiêu chuẩn quốc tế) vào năm 1971 với mục tiêunhằm tới việc nối kết các sản phẩm của các hãng sản xuất khác nhau và phốihợp hoạt động chuẩn hoá trong các lĩnh vực thông tin viễn thông Đến năm

1984, mô hình tham chiếu OSI chính thức được đưa ra giới thiệu

Vào giữa những năm 1970, các thiết bị đầu cuối sử dụng những phươngpháp liên kết qua đường cáp nằm trong một khu vực đã được ra đời, với những

ưu điểm của nó là nâng cao tốc độ truyền dữ liệu và qua đó kết hợp được khảnăng tính toán của các máy tính lại với nhau Ðể thực hiện việc nâng cao khảnăng tính toán với nhiều máy tính, các nhà sản xuất bắt đầu xây dựng các mạngphức tạp hơn Vào những năm 1980, các hệ thống đường truyền tốc độ cao đãđược thiết lập ở Bắc Mỹ và Châu Âu và từ đó cũng xuất hiện các nhà cung cấpcác dịnh vụ truyền thông với những đường truyền có tốc độ cao hơn nhiều lần

so với đường dây điện thoại Với những chi phí thuê bao chấp nhận được,người ta có thể sử dụng được các đường truyền này để liên kết máy tính lại vớinhau và bắt đầu hình thành các mạng một cách rộng khắp Các mạng LAN,MAN, WAN ra đời và nhanh chóng phát triển cả về số lượng, quy mô, chấtlượng, cũng như về công nghệ

Tuy nhiên, cũng ngay trong những năm 80, khi mà ưu thế của các loạimạng máy tính đang thể hiện rõ thì nó cũng đặt ra những thách thức về tiêuchuẩn kết nối các thiết bị ngoại vi Kết quả là, những hệ thống hiện có thời đóchỉ cho phép thiết bị (cả về phần cứng và phần mềm) của một nhà sản xuất kếtnối được với nhau và được gọi là hệ thống đóng Điều này là hết sức bất tiệncho việc triển khai mạng cũng như gây ra rất phiền toái cho người sử dụng khimuốn lắp đặt mạng phục vụ cho công việc, cũng như hạn chế ngăn cản việc mởrộng mạng cho những quy mô lớn hơn

Chính vì những lý do đó mà các tổ chức quốc tế cần có những quy chuẩnchung nào đó cho việc thiết kế và lắp đặt mạng Trên thế giới hiện có một số cơquan định chuẩn, họ đưa ra hàng loạt chuẩn về mạng, tuy các chuẩn đó có tính

chất khuyến nghị chứ không bắt buộc nhưng chúng rất được các cơ quan chuẩnquốc gia coi trọng Hai trong số các cơ quan chuẩn quốc tế là:

ISO (The International Standards Organization) là tổ chức tiêu chuẩn quốc

tế hoạt động dưới sự bảo trợ của Liên hợp Quốc với thành viên là các cơ quanchuẩn quốc gia với số lượng khoảng hơn 100 thành viên với mục đích hỗ trợ sựphát triển các chuẩn trên phạm vi toàn thế giới

CCITT (Commité Consultatif International pour le Telegraphe et la Téle phone)-Tổ chức tư vấn quốc tế về điện tín và điện thoại làm việc dưới sự bảotrợ của Liên Hiệp Quốc có trụ sở chính tại Geneva Thụy sỹ Các thành viên chủyếu là các cơ quan bưu chính viễn thông các quốc gia Tổ chức này có vai tròphát triển các khuyến nghị trong các lãnh vực viễn thông

-1.1.2 Mục đích của mô hình OSI

Mô hình OSI phân chia chức năng của một giao thức ra thành mộtchuỗi các tầng cấp Mỗi một tầng cấp có một đặc tính là nó chỉ sử dụng chứcnăng của tầng dưới nó, đồng thời chỉ cho phép tầng trên sử dụng các chức năngcủa mình Một hệ thống cài đặt các giao thức bao gồm một chuỗi các tầng nóitrên được gọi là "chồng giao thức" (protocol stack) Chồng giao thức có thểđược cài đặt trên phần cứng, hoặc phần mềm, hoặc là tổ hợp của cả hai Thôngthường thì chỉ có những tầng thấp hơn là được cài đặt trong phần cứng, cònnhững tầng khác được cài đặt trong phần mềm

Mô hình OSI này chỉ được ngành công nghiệp mạng và công nghệ thôngtin tuân theo một cách tương đối Tính năng chính của nó là quy định về giaodiện giữa các tầng cấp, tức là qui định đặc tả về phương pháp các tầng liên lạcvới nhau Điều này có nghĩa là, cho dù các tầng cấp được soạn thảo và thiết kếbởi các nhà sản xuất, hoặc các công ty khác nhau nhưng khi được lắp ráp lại,chúng sẽ làm việc một cách dung hòa Trong cộng đồng TCP/IP, các đặc tả nàythường được biết đến với cái tên RFC (Requests for Comments, dịch sát là "Đềnghị duyệt thảo và bình luận") Trong cộng đồng OSI, chúng là các tiêu chuẩnISO (ISO standards)

Thường thì những phần thực thi của giao thức sẽ được sắp xếp theo tầngcấp, tương tự như đặc tả của giao thức đề ra, song bên cạnh đó, có nhữngtrường hợp ngoại lệ, còn được gọi là "đường tắt" (fast path) Trong kiến tạo

"đường tắt", các giao dịch thông dụng nhất được cài đặt như một thành phầnđơn, trong đó tính năng của nhiều tầng được gộp lại làm một.

Việc phân chia hợp lý các chức năng của giao thức khiến việc suy xét vềchức năng và hoạt động của các chồng giao thức dễ dàng hơn Từ đó tạo điềukiện cho việc thiết kế các chồng giao thức tỉ mỉ, chi tiết, song có độ tin cậy cao.Mỗi tầng cấp thi hành và cung cấp các dịch vụ cho tầng ngay trên nó, đồng thờiđòi hỏi dịch vụ của tầng ngay dưới nó Như đã nói ở trên, một thực thi bao gồmnhiều tầng cấp trong mô hình OSI, thường được gọi là một "chồng giao thức"(ví dụ như chồng giao thức TCP/IP)

Mô hình tham chiếu OSI là một cấu trúc phả hệ có 7 tầng, nó xác định cácyêu cầu cho sự giao tiếp giữa hai máy tính Mô hình này đã được định nghĩabởi tổ chức tiêu chuẩn hóa quốc tế ISO (International Organization for Standardiza-tion) trong tiêu chuẩn số 7498-1(ISO standard 7498-1) Mục đích của môhình là cho phép sự tương giao (interoperability) giữa các hệ máy thống khácnhau được cung cấp bởi các nhà sản xuất khác nhau Mô hình cho phép tất cảcác thành phần của mạng hoạt động hòa đồng, bất kể thành phần ấy do ai tạodựng Vào những năm cuối thập niên 1980, ISO đã tiến cử việc thực thi môhình OSI như một tiêu chuẩn mạng

Tại thời điểm đó, TCP/IP đã được sử dụng phổ biến trong nhiều năm.TCP/IP là nền tảng của ARPANET, và các mạng khác là những cái được tiếnhóa và trở thành Internet Hiện nay chỉ có một phần của mô hình OSI được sửdụng Nhiều người tin rằng đại bộ phận các đặc tả của OSI quá phức tạp vàviệc cài đặt đầy đủ các chức năng của nó sẽ đòi hỏi một lượng thời gian quádài, cho dù có nhiều người nhiệt tình ủng hộ mô hình OSI đi chăng nữa

1.2 TƯỜNG TRÌNH CÁC TẦNG CẤP CỦA MÔ HÌNH OSI

OSI bao gồm 7 lớp, mỗi lớp mô tả một phần chức năng độc lập Sự tách lớp của mô hình này mang lại những lợi ích sau:

- Chia hoạt động mạng thành những phần nhỏ hơn, đơn giản hơn giúp chúng ta dễ khảo sát và tìm hiểu sâu hơn

- Chuẩn hóa thành phần mạng để cho phép phát triển mạng từ nhiều nhà cung cấp sản phẩm

- Ngăn chặn được tình trạng sự thay đổi của một lớp làm ảnh hưởng đến các lớp khác, như vậy giúp mỗi lớp có thể phát triển độc lập và nhanh chóng hơn

Mô hình tham chiếu OSI định nghĩa lại các qui tắc cho các nội dung sau:

- Cách thức các thiết bị giao tiếp và truyền thông được với nhau

- Các phương pháp để các thiết bị trên mạng khi nào thì truyền được dữ liệu, khi nào không được

- Các phương pháp đảm bảo truyền đúng dữ liệu và đúng bên nhận.

- Cách thức vận tải, truyền, sắp xếp và nối với nhau

- Cách thức đảm bảo các thiết bị mạng duy trì tốc độ truyền dữ liệu thích hợp

- Cách biểu diễn một bit thiết bị truyền dẫn.

Hình 1.1: Mô hình OSI

1.2.1 Tầng 7: Tầng ứng dụng (Application layer)

Tầng ứng dụng là tầng gần với người sử dụng nhất Nó cung cấp phươngtiện cho người dùng truy nhập các thông tin và dữ liệu trên mạng thông quachương trình ứng dụng Tầng này là giao diện chính để người dùng tương tác

với chương trình ứng dụng, và qua đó tương tác với mạng Một số ví dụ về cácứng dụng trong tầng này bao gồm Telnet, Giao thức truyền tập tin FTP và Giaothức truyền thư điện tử SMTP

Những dịch vụ thông thường của tầng ứng dụng cung cấp sự chuyển đổi

về ngữ nghĩa giữa các tiến trình ứng dụng có liên quan Những dịch vụ thườngđược quan tâm đó là tệp ảo (virtual file), thiết bị cuối ảo (virtual terminal), vàcác giao thức dành cho việc thao tác và thuyên chuyển các tác vụ (manipulationand transfer of batch processing jobs)

1.2.2 Tầng 6: Tầng trình diễn (Presentation layer)

Tầng trình diễn biến đổi dữ liệu để cung cấp một giao diện tiêu chuẩn chotầng ứng dụng Tầng trình diễn thực hiện các tác vụ như mã hóa dữ liệu sangdạng MIME, nén dữ liệu, và các thao tác tương tự đối với biểu diễn dữ liệu đểtrình diễn dữ liệu theo như cách mà chuyên viên phát triển giao thức hoặc dịch

vụ cho là thích hợp; ví dụ chuyển đổi tệp văn bản từ mã EBCDIC sang mãASCII, hoặc chuyển đổi các cấu trúc dữ liệu (data structure) sang dạng XML

và ngược lại

Tầng trình diễn là tầng đầu tiên nơi người dùng bắt đầu quan tâm đếnnhững gì họ gửi, ở một mức độ trừu tượng cao hơn so với việc chỉ coi dữ liệu

là một chuỗi gồm toàn các số không và số một Tầng này giải quyết những vấn

đề như dùng phương pháp của Visual Basic ("13, thisisastring") hay phươngpháp của C/C++ (" thisisastring\0") để biểu diễn một chuỗi kí tự

Việc mã hoá dữ liệu cũng thường được thực hiện ở tầng này, tuy việc đó

có thể được thực hiện ở các tầng ứng dụng, tầng phiên, tầng giao vận, hoặctầng mạng, song mỗi tầng đều có những ưu điểm và nhược điểm riêng Một ví

dụ khác, thông thường, việc biểu diễn cấu trúc được chuẩn hóa tại tầng này vàthường được thực hiện bằng cách sử dụng XML Cũng như các dữ liệu đơngiản, chẳng hạn chuỗi ký tự, các cấu trúc phức tạp hơn cũng được chuẩn hóa ởtầng này Hai ví dụ thường thấy là các đối tượng trong lập trình hướng đốitượng, và chính phương pháp truyền tín hiệu video theo dòng (streamingvideo)

Trong những trình ứng dụng và giao thức được sử dụng rộng rãi, sự táchbiệt giữa tầng trình diễn và tầng ứng dụng hầu như không có Chẳng hạn HTTP

(HyperText Transfer Protocol), vốn vẫn được coi là một giao thức ở tầng ứngdụng, có những đặc tính của tầng trình diễn (như khả năng nhận diện các mã hệdành cho ký tự để có thể chuyển đổi mã một cách thích hợp) Việc chuyển đổisau đó được thực hiện ở tầng ứng dụng.

1.2.3 Tầng 5: Tầng phiên (Session layer)

Tầng phiên kiểm soát các phiên hội thoại giữa các máy tính Tầng nàythiết lập, quản lý và kết thúc các kết nối giữa trình ứng dụng cục bộ và trìnhứng dụng ở xa Tầng này còn hỗ trợ hoạt động song công (duplex), bán songcông (half-duplex) hoặc đơn công (Single) và thiết lập các qui trình đánh dấuđiểm hoàn thành (checkpointing) giúp cho việc phục hồi truyền thông nhanhhơn khi có lỗi xảy ra, vì điểm đã hoàn thành đã được đánh dấu trì hoãn(adjournment), kết thúc (termination) và khởi động lại (restart) Tầng phiên cótrách nhiệm ngắt các phiên giao dịch (một tính chất của giao thức kiểm soátgiao vận TCP) và trách nhiệm kiểm tra và phục hồi phiên, đây là phần thườngkhông được dùng đến trong bộ giao thức TCP/IP

Ý tưởng của tầng phiên là cho phép thông tin trên các dòng khác nhau, cóthể xuất phát từ các nguồn khác nhau, được hội nhập một cách đúng đắn Cụthể, tầng này giải quyết những vấn đề về đồng bộ hóa, đảm bảo rằng tính nhấtquán của dữ liệu Ví dụ chương trình hội thoại trực tuyến (web conferencing).Tại đây, các dòng dữ liệu âm thanh và hình ảnh cần phải được đồng bộ vớinhau để tránh vấn đề lipsync (sự không đồng bộ giữa hình ảnh người nói và âmthanh được nghe thấy)

Một ứng dụng lớn khác nữa là trong các chương trình truyền hình trựctiếp, trong đó các dòng âm thanh và hình ảnh, phải được hòa nhập với nhaumột cách liền mạch

Tóm lại: tầng phiên thiết lập, quản lý, và ngắt mạch phiên kết nối giữa cácchương trình ứng dụng đang cộng tác với nhau, đồng thời bổ sung thông tin vềluồng giao thông dữ liệu (traffic flow information)

1.2.4 Tầng 4: Tầng giao vận (Transport Layer)

Tầng giao vận cung cấp dịch vụ chuyên dụng chuyển dữ liệu giữa cácngười dùng tại đầu cuối, nhờ đó các tầng trên không phải quan tâm đến việccung cấp dịch vụ truyền dữ liệu đáng tin cậy và hiệu quả Tầng giao vận kiểm

soát độ tin cậy của một kết nối được cho trước Một số giao thức có định hướngtrạng thái và định hướng kết nối (state and connection orientated) Có nghĩa làtầng giao vận có thể theo dõi các gói tin và truyền lại các gói bị thất bại Một ví

dụ điển hình của giao thức tầng 4 là TCP Tầng này là nơi các thông điệp đượcchuyển sang thành các gói tin TCP hoặc UDP Ở tầng 4 địa chỉ được đánh làaddress ports, thông qua address ports để phân biệt được ứng dụng trao đổi Giao thức UDP không cung cấp dịch vụ sửa lỗi hay điều khiển lưu lượng

dữ liệu mà dành nhiệm vụ này cho phần mềm ứng dụng Mục đích của tầnggiao vận là cung cấp dịch vụ xuyên dụng chuyển dữ liệu giữa các người dùngđầu cuối, nhờ đó các tầng trên không phải quan tâm đến việc cung cấp dịch vụtruyền dữ liệu đáng tin cậy và hiệu quả

Tầng giao vận thường biến dịch vụ đơn giản, có độ tin cậy thấp của tầngmạng thành một dịch vụ mạnh hơn Có một danh sách dài liệt kê những dịch vụ

có thể được cung cấp bởi tầng này Không có một dịch vụ nào trong đó là bắtbuộc cả, bởi vì không phải chương trình ứng dụng nào cũng yêu cầu tất cảnhững dịch vụ hiện có Một số dịch vụ làm tăng thêm chi phí phụ, hoặc nhiềukhi chúng còn gây phản tác dụng

1.2.5 Tầng 3: Tầng mạng (Network Layer)

Tầng mạng cung cấp các chức năng và qui trình cho việc truyền các chuỗi

dữ liệu có độ dài đa dạng, từ một nguồn tới một đích, thông qua một hoặcnhiều mạng, trong khi vẫn duy trì chất lượng dịch vụ (quality of service) màtầng giao vận yêu cầu Tầng mạng thực hiện chức năng định tuyến Các thiết bịđịnh tuyến (router) hoạt động tại tầng này gửi dữ liệu ra khắp mạng, làm choliên mạng trở nên khả thi Ngoài ra còn có thiết bị chuyển mạch (switch) tầng 3còn gọi là chuyển mạch IP Đây là một cơ chế đánh địa chỉ lôgic (logicaladdressing scheme) Ví dụ điển hình của giao thức tầng 3 là giao thức IP

Về căn bản, tầng mạng chịu tránh nhiệm phân phát các gói dữ liệu từ nútđến nút (end-to-end), trong khi tầng liên kết dữ liệu lại chịu trách nhiệm phânphát gói dữ liệu giữa các chặng trung gian (hop-to-hop - giữa hai nút mạngtrung gian có đường liên kết trực tiếp)

Tầng mạng cung cấp các phương tiện có tính chức năng và qui trình đểtruyền các chuỗi dữ liệu có độ dài đa dạng từ nguồn tới đích, qua một hay

nhiều mạng máy tính, trong khi vẫn duy trì chất lượng dịch vụ(quality ofservice) đòi hỏi bởi tầng giao vận Tầng mạng thi hành chức năng định tuyến,điều khiển lưu lượng dữ liệu, phân đoạn và hợp đoạn mạng (network segment-ation/ desegmentation), và kiểm soát lỗi (error control).

Tầng mạng xử lý việc truyền thông dữ liệu trên cả đoạn đường từ nguồnđến đích, và đồng thời truyền bất cứ tin tức gì, từ bất cứ nguồn nào tới bất cứđích nào mà chúng ta cần Nếu ở tầng mạng mà chúng ta không liên lạc đượcvới một địa điểm nào đấy, thì chúng ta chẳng còn cách nào để có thể liên lạcđược với nó Sau đây là một số những điểm mà tầng mạng cần quan tâm:

- Mạng có tính chất định hướng kết nối (connection-oriented) hay phi kếtnối (connectionless):

Ví dụ, thư thường (snail mail) có tính phi kết nối, bởi vì chúng ta có thểgửi một bức thư cho ai đó mà không cần người đó phải làm gì, và họ sẽ nhậnđược bức thư Trong khi đó, hệ thống điện thoại lại định hướng kết nối, vì nóđòi hỏi người ở đầu bên kia nhấc máy điện thoại lên, trước khi sự truyền tinđược thiết lập Giao thức tầng mạng của mô hình OSI có thể định hướng kếtnối hoặc phi kết nối Tầng liên mạng của TCP/IP(tương đương với tầng mạngOSI) chỉ hỗ trợ giao thức liên mạng phi kết nối

- Địa chỉ toàn cầu (Global Addresses): Mỗi người trên mạng truyền thôngcần có một địa chỉ duy nhất Địa chỉ này xác định người đó là ai Địa chỉ nàythường có cấu trúc phả hệ, vì thế bạn có thể là "Nguyễn Văn An" thành phốHuế, hoặc "Nguyễn Văn An, Huế" là người Việt Nam, hoặc "Nguyễn Văn An,Huế, Việt Nam" với mọi người trên toàn thế giới Trong mạng Internet, nhữngđịa chỉ này được gọi là số IP

Để gửi chuyển tiếp một thông điệp: Đây là một vấn đề liên quan nhiều đếnnhững ứng dụng di động Vì trong những ứng dụng này, người dùng có thểnhanh chóng di chuyển từ nơi này sang nơi khác, và chúng ta phải bố trí saocho thông điệp của người ấy đi theo họ Phiên bản 4 của giao thức IP (IPv4)không thực sự hỗ trợ việc này, cho dù nó cũng đã được người ta sửa đổi(hack)

ít nhiều kể từ khi nó bắt đầu đi vào hoạt động Phiên bản 6 IPv6, có một giảipháp được thiết kế tốt hơn, điều đó có thể làm cho loại ứng dụng này hoạt độngsuôn sẻ hơn

Trong hệ thống bưu điện truyền thống, hay còn được gọi là thư thường,nhiệm vụ này do người đưa thư đảm nhiệm (tới một mức độ nào đấy).

1.2.6 Tầng 2: Tầng liên kết dữ liệu (Data Link Layer)

Tầng liên kết dữ liệu cung cấp các phương tiện có tính chức năng và quytrình để truyền dữ liệu giữa các thực thể mạng, phát hiện và sửa chữa các lỗitrong tầng vật lý nếu có Cách đánh địa chỉ mang tính vật lý, nghĩa là địa chỉMAC để được gắn card mạng (network card) khi chúng được sản xuất Những

ví dụ khác về các giao thức liên kết dữ liệu (data link protocol) là các giao thứcHDLC; ADCCP dành cho các mạng điểm tới điểm hoặc mạng chuyển mạchgói (packet-switched networks) và giao thức Aloha cho các mạng cục bộ.Trong các mạng cục bộ theo tiêu chuẩn IEEE 802, và một số mạng theo tiêuchuẩn khác (chẳng hạn FDDI) thì tầng liên kết dữ liệu có thể được chia rathành 2 tầng con: tầng MAC (Media Access Control - Điều khiển truy nhậpđường truyền) và tầng LLC (Logical Link Control - Điều khiển liên kết lôgic)theo tiêu chuẩn IEEE 802.2

Tầng LLC kết hợp các giao thức hoạt động phía trên tầng liên kết dữ liệu,

và có thể cung cấp chức năng điều khiển lưu lượng, acknowledgment, và khôiphục lỗi

Tầng MAC quyết định tại mỗi thời điểm ai sẽ được phép truy nhập môitrường truyền dẫn Có hai dạng điều khiển truy nhập môi trường: điều khiểnphân tán và điều khiển tập trung Cả hai đều có thể so sánh với việc liên lạc củacon người:

Trong một mạng gồm một số người đang nói, nghĩa là trong một cuộc trò

chuyện, người ta nhìn những người xung quanh để biết ai có vẻ như sắp nói.Nếu hai người nói cùng lúc, họ sẽ ngừng lại và bắt đầu một trò chơi nhườngnhịn rắc rối gồm các câu "Không, anh nói trước đi."

Trong nghị viện Anh, người chủ tọa quyết định khi nào ai được nói, và

chủ tọa được quyền hô "trật tự" nếu có ai đó phạm luật

Tầng con điều khiển truy nhập môi trường còn quyết định một frame dữliệu kết thúc tại đâu và frame tiếp theo bắt đầu từ đâu Trong mạng thư tín, mỗi

lá thư là một frame dữ liệu, ta có thể biết nó bắt đầu và kết thúc ở đâu vì nónằm trong một chiếc phong bì

Tầng liên kết dữ liệu chính là nơi các cầu nối (bridge) và các thiết bịchuyển mạch (switches) hoạt động Kết nối chỉ được cung cấp giữa các nútmạng được nối với nhau trong nội bộ mạng Tuy nhiên, có lập luận cho rằngcác thiết bị này thuộc về tầng 2,5 chứ không hoàn toàn thuộc về tầng 2.

Tầng liên kết dữ liệu cung cấp dịch vụ chuyển dữ liệu qua các liên kết vật

lý Việc chuyển đó có thể đáng tin cậy hoặc không đáng tin cậy; nhiều giaothức liên kết dữ liệu không có acknowledgement (các thông điệp báo rằng đãnhận được một frame và đã chấp nhận frame đó), một số giao thức liên kết dữliệu thậm chí còn không có bất cứ một dạng checksum nào để kiểm tra lỗitruyền Trong các trường hợp đó, các giao thức ở các tầng cao hơn phải cungcấp các chức năng điều khiển lưu lượng (flow control), kiểm soát lỗi, và xácnhận và truyền lại (acknowledgments and retransmission)

- Thiết lập hoặc ngắt kết nối vật lý (electrical connection) thông qua mộtmôi trường truyền dẫn (transmission medium)

- Tham gia vào quy trình mà trong đó các tài nguyên truyền thông đượcchia sẻ hiệu quả giữa nhiều người dùng Chẳng hạn giải quyết tranh chấp tàinguyên (contention) và điều khiển lưu lượng

- Điều chế (modulation), biến đổi dữ liệu số (digital data) từ các thiết bịngười dùng thành các tín hiệu tương ứng phù hợp với kênh truyền thông(communication channel)

Cáp SCSI song song hoạt động ở tầng cấp này Nhiều tiêu chuẩn khácnhau của Ethernet dành cho tầng vật lý cũng nằm trong tầng này; Ethernet nhậptầng vật lý với tầng liên kết dữ liệu vào làm một Điều tương tự cũng xảy ra đốivới các mạng cục bộ như Token ring, FDDI và IEEE 802.11

1.3 CÁC GIAO DIỆN

Ngoài các tiêu chuẩn đối với từng giao thức về truyền tải dữ liệu, còn cócác tiêu chuẩn giao diện cho các tầng cấp khác nhau hội thoại với tầng cấp ởtrên hoặc ở dưới nó (thường phục thuộc vào hệ điều hành cụ thể đang được sửdụng) Ví dụ, Winsock của Microsoft Windows, Berkeley sockets của Unix vàGiao diện tầng giao vận (Transport Layer Interface) của System V là nhữnggiao diện giữa các trình ứng dụng(tầng 5 trở lên) và tầng giao vận (tầng 4).NDIS (Network Driver Interface Specification - Đặc tả giao diện điều vậnmạng) và ODI (Open Data-Link Interface-Giao diện liên kết dữ liệu mở) là cácgiao diện giữa phương tiện truyền (tầng 2) và giao thức mạng(tầng 3).

Tên

tầng

Ví dụ Bộ giao

thức TCP/IP

apple talk

Bộ OSI

BỘ IPX

ISUP, INAP, MAP, TUP, TCAP

AFP FTAM,

X.400, X.500, DAP

AFP ISO

8823, X.226

nt for TCP

ASP, ADSP, ZIP, PAP

ISO 8327, X.225

NWLi nk

ATP, NBP, AEP, RTMP

TP0, TP1, TP2, TP3, TP4, OSPF

SPX, RIP

Mạng NetBEUI IP, ICMP, MTP- DDP X.25 IPX RRC

, Q.931 IPsec,

ARP, RIP, BGP

3, SCCP

(PLP), CLNP

(Radio Resourc e Control)

X.25 (LAPB) , Token Bus

IEEE 802.3 framin g, Ethern

et II framin g

SDLC MAC

(Media Access Control)

lk on unshiel ded (Phone Net)

X.25 (X.21bi s, EIA/TI A-232, EIA/TI A-449, EIA- 530, G.703)

Twinax PHY

(Physica

l Layer)

Hình 1.2: Bảng liệt kê các thí dụ

1.4 QÚA TRÌNH XỬ LÝ VÀ VẬN CHUYỂN CỦA GÓI DỮ LIỆU

1.4.1 Quá trình đóng gói dữ liệu tại máy gửi

Hình 1.3: Qúa trình đóng gói dữ liệu

Đóng gói dữ liệu là quá trình đặt dữ liệu nhận được vào sau header vàtrước trailer trên mỗi lớp Lớp Physical không đóng gói dữ liệu vì nó khôngdung header và trailer Việc đóng gói dữ liệu không nhất thiết phải trong mỗilần truyền dữ liệu của trình ứng dụng Các lớp 5,6,7 sử dụng header trong quátrình khởi động, nhưng trong phần lớn các lần truyền thì không có header củalớp 5,6,7 lý do là không có thông tin để trao đổi

Các dữ liệu tại máy gửi được xử lý theo trình tự như sau :

- Người dùng thông qua lớp Application để đưa các thông tin vào máytính Các thông tin này có nhiều dạng khác nhau như: hình ảnh, âm thanh, vănbản…

- Tiếp theo các thông tin đó được chuyển xuống lớp Presentation đểchuyển thành dạng chung, rồi mã hóa và truyền dữ liệu

- Tiếp đó dữ liệu được chuyển xuống lớp Session để bổ sung các thông tin

về phiên làm việc giao dịch này

- Dữ liệu tiếp tục được chuyển xuống lớp Transport, tại lớp này dữ liệuđược cắt ra thành nhiều Segment và bổ sung thêm các thông tin về phương thứcvận chuyển dữ liệu để đảm bảo độ tin cậy khi truyền

- Dữ liệu tiếp tục chuyển xuống lớp Network, tại lớp này mỗi Segment sẽđược cắt ra thành nhiều packet và bổsung thêm các thông tin định tuyến.

- Tiếp đó dữ liệu được chuyển xuống lớp Datalink, tại lớp này mỗi packet

sẽ được cắt ra thành nhiều Frame và bổ sung thêm các thông tin kiểm tra góitin(để kiểm tra nơi nhận)

- Cuối cùng mỗi Frame sẽ được tầng vật lý chuyển thành một chuỗi cácbit, và được đẩy lên các phương tiện dẫn để truyền đến các thiết bị khác

1.4.2 Qúa trình truyền dữ liệu từ máy gửi đến máy nhận

Bước 1: Trình ứng dụng trên máy gửi tạo ra dữ liệu và các chương trìnhphần cứng, phần mềm cài đặt mỗi lớp sẽ bổ sung vào header và trailer (quátrình đóng gói dữ liệu tại máy gửi tại máy gửi)

Bước 2: Lớp Physical trên máy gửi phát sinh tín hiệu lên môi trườngtruyền tải để truyền dữ liệu

Bước 3: Lớp Physical trên máy nhận nhận dữ liệu

Bước 4: Các chương trình phần cứng, phần mềm trên máy nhận gỡ bỏheader và trailer và xử lý dữ liệu

Giữa bước 1 và bước 2 là quá trình tìm đường đi của gói tin Thôngthường, máy gửi đã biết địa chỉ IP của máy nhận Vì thế, sau khi xác định đượcđịa chỉ IP của máy nhận thì lớp Network của máy gửi sẽ so sánh địa chỉ IP củamáy nhận và địa chỉ IP của nó

Nếu cùng địa chỉ mạng thì máy gửi sẽ tìm trong bảng MAC Table củamình để có được địa chỉ MAC của máy nhận Trong trường hợp không có đượcđịa chỉ MAC tương ứng, nó sẽ thực hiện giao thức ARP để truy tim địa chỉMAC Sau khi tìm được địa chỉ MAC, nó sẽ lưu địa chỉ MAC này vào trongbảng MAC Table để lớp Datalink sử dụng ở các lần gửi sau Sau khi có địa chỉMAC thì máy gửi sẽ gửi gói tin đi

Nếu khác địa chỉ mạng thì máy gửi sẽ kiểm tra xem máy có được khai báoDefault Gateway hay không

- Nếu có khai báo Default Gateway thì máy gửi sẽ gửi tin thôngqua Default Gateway

- Nếu không có khai báo Default Gateway thì máy gửi sẽ loại bỏgói tin và thông báo “Destination host Unreachable”

1.4.3 Qúa trình xử lý tại máy nhận

Hình 1.4: Qúa trình nhận dữ liệu

Bước 1: Lớp Physical kiểm tra quá trình đồng bộ bít và đặt chuỗi bít nhậnđược vào vùng đệm Sau đó thông báo cho lớp Datalink dữ liệu đã nhận được.Bước 2: Lớp Datalink kiểm lỗi frame bằng cách kiểm tra FCS trongtrailer Nếu có lỗi thì frame bị bỏ Sau đó kiểm tra địa chỉ lớp Datalink (địa chỉMAC) xem có trùng với địa chỉ máy nhận hay không Nếu đúng thì phần dữliệu sau khi loại header và trailer sẽ được chuyển lên cho lớp Netwok

Bước 3: Địa chỉ lớp Network được kiểm tra xem có phải là địa chỉ máynhận hay không, nếu đúng dữ liệu được chuyển lên cho lớp Transport xử lý.Bước 4: Nếu giao thức lớp Transport có hỗ trợ việc phục hồi lỗi thì sốđịnh danh phân loại được xử lý Các thông tin ACK, NAK (gói tin ACK, NAKdùng để phản hồi về việc các gói tin đã được gửi đến máy nhận chưa) cũngđược xử lý ở lớp này Sau quá trình phục hồi lỗi và sắp thứ tự các phân đoạn,

dữ liệu được đưa lên lớp Session

Bước 5: Lớp Session đảm bảo một chuỗi các thông điệp đã trọn vẹn Saukhi các luồng đã hoàn tất, lớp Session chuyển dữ liệu sau header lớp 5 lên cholớp Presentation xử lý.

Bước 6: Dữ liệu sẽ được lớp Presentation xử lý bằng cách chuyển đổidạng thức dữ liệu Sau đó kết quả chuyển chuyển lên cho Application

Bước 7: Lớp Application xử lý header cuối cùng Header này chứa cáctham số thỏa thuận giữa hai trình ứng dụng Do vậy tham số này thường chỉđược trao đổi lúc khởi động quá trình truyền thông giữa hai trình ứng dụng

CHƯƠNG II: AN TOÀN MÔ HÌNH OSI2.1 CÁC NGUY CƠ MẤT AN TOÀN TRONG MÔ HÌNH OSI

2.1.1 Tầng vật lý

Tầng vật lý là tầng rất quan trọng để truyền tải dữ liệu, nhưng nó cũng là

tầng dễ bị tổn thương nhất và hay thay đổi vì đây là tầng chứa các thiết bị phầncứng Những nguy cơ tấn công tấn công tầng vật lý một cách cố ý hay vô tìnhthường gặp phải là:

- Mất điện một cách đột ngột, một ai đó vô tình rút phích cắm điện hay cố

ý cắt nguồn điện

- Mất kiểm soát môi trường

- Dữ liệu và phần cứng của máy tính bị đánh cắp

- Phá hủy dữ liệu và thiết bị vật lý của máy tính hay cả hệ thống

- Cắt kết nối liên kết dữ liệu vật lý

- Dữ liệu không thể phát hiện và can thiệp khi có sai sót

2.1.2 Tầng liên kết dữ liệu

Tầng liên kết dữ liệu là tầng, “truyền và nhận các gói tin tin cậy các góitin thông qua một mạng vật lý cùng dạng" ARP là một chuẩn cho giao thứcphân giải địa chỉ (Address Resolutions Protocol) Card giao diện mạng (NIC)cung cấp khả năng cho phép các máy tính có thể giao tiếp với nhau Vấn đềchính là việc tìm ra đúng máy cần liên lạc Mỗi máy có một địa chỉ MAC, địachỉ MAC được sử dụng bởi ARP

ARP chuyển đổi địa chỉ IP sang địa chỉ mạng vật lý tương ứng, đó chính

là địa chỉ MAC Lợi dụng điều này kẻ tấn công (attacker) đầu độc ARP Cache

để giả mạo địa chỉ IP của một máy khác trên mạng và giao tiếp với các máynạn nhân một cách bình thường nhằm thực hiện ý đồ của mình

Phương pháp tấn công ARP Spoof: Giả sử ta có mạng Lan như mô hìnhdưới gồm các host: Kẻ tấn công là máy hacker dùng để tấn công ARP attackIP: 10.0.0.11

có Victim là gửi lại gói tin ARP Reply lại cho HostA ARP Reply chứa thôngtin về IP của Victim, MAC Victim, MAC HostA

Sau khi nhận được gói tin ARP Reply từ Victim, HostA đã biết được địachỉ MAC của Victim HostA bắt đầu thực hiện liên lạc, truyền dữ liệu tớiVictim

HostB, kẻ tấn công không thể xem nội dung dữ liệu được truyền giữa 2máy HostA và Victim Kẻ tấn công muốn xem dữ liệu truyền giữa HostA vàVictim bằng cách sử dụng kiểu tấn công ARP Spoof Kẻ tấn công thực hiện gửiliên tục ARP Reply chứa thông tin về IP Victim, MAC Attacker, MAC HostA

Ở đây, thay vì là MAC Victim, kẻ tấn công đã đổi thành địa chỉ MAC củamình

HostA nhận được ARP Reply và nghĩ là IP Victim 10.0.0.10 sẽ có địa chỉMAC là 0000:0000:0111 (MAC của kẻ tấn công) HostA lưu thông tin này vàobảng ARP Cache Bây giờ mọi thông tin, dữ liệu HostA gửi tới 10.0.0.10(Victim), kẻ tấn công đều có thể nhận được, kẻ tấn công có thể xem tòan bộ nộidung HostA gửi cho Victim, Attacker còn có thể kiểm sóat tòan bộ quá trìnhliên lạc giữa HostA và Victim thông qua ARP Attack Attacker thường xuyêngửi các gói tin ARP Reply chứa địa chỉ IP của HostA và Victim nhưng có địachỉ MAC là của Attacker

HostA nhận được gói tin này thì cứ nghĩ Victim sẽ có địa chỉ MAC là0000:0000:011 (MAC của Attacker) Victim nhận đươc gói tin này thì cứ nghĩHostA sẽ có địa chỉ MAC là 0000:0000:0111 (MAC của Attacker)

Mọi thông tin trao đổi giữa HostA và Victim, Attacker đều có thể nhậnđược Như vậy là Attacker có thể biết được nội dung trao đổi giữa HostA vàVictim

Sau khi bị tấn công ARP attack, sẽ rất nguy hiểm cho người dùng vì mọithông tin trao đổi của họ đều bị lộ, nhất là những thông tin đó là quan trọng,cần phải giữ bí mật

Ngoài nguy cơ tấn công giả mạo địa chỉ MAC, đầu độc ARP Cache, còncác nguy cơ tấn công khác như spanning tree làm cho các gói dữ liệu truyền đitrong vòng lặp vô hạn tại tầng liên kết dữ liệu này Đối với các thiết bị wireless,tầng liên kết dữ liệu cho phép các thiết bị khác có thể truy cập tài nguyên máy

và mạng miễn phí nếu các cá nhân hay tổ chức không có biện pháp xác thực và

mã hóa mạnh Mạng VLAN đối mặt với nhiều nguy cơ mất an toàn khi cácmáy khác có thể kết nối với các host trong VLAN một cách dễ dàng

2.1.3 Tầng mạng

Điểm yếu tại tầng mạng là địa chỉ IP có thể thay đổi dẫn đến các nguy cơ

tấn công tại tầng mạng như giả mạo định tuyến, đưa ra các topo mạng lỗi đểcác gói tin xác định đường đi sai hoặc đi vòng vèo mất thời gian Giả mạo địachỉ IP, sửa địa chỉ nguồn trên các gói tin độc hại

Thiết bị định tuyến (router) hoạt động tại tầng này gửi dữ liệu rộng khắptrên toàn mạng

Routers chạy phiên bản phần mềm cũ có thể bị tấn công khá dễ dàng.Trong một trường hợp cụ thể để tấn công vào router CISCO thì kẻ tấn công chỉcần một chút kiên trì và thực hành Router CISCO chạy phiên bản 4.1 có thể dễdàng bị vô hiệu hóa chỉ bằng cách kết nối với cổng 23 qua máy chủ proxy Kẻtấn công chỉ sử dụng máy chủ proxy bởi vì điều đó sẽ gây ra khó khăn choviệc theo dõi họ

Phương pháp tấn công giả mạo địa chỉ IP là phương pháp tấn công điểnhình tại tầng này: Ý tưởng cơ bản đầu tiên là máy của kẻ tấn công sẽ tự biếnchính mình thành một máy tin cậy Ví dụ như nếu attacker thuyết phục đượcmột máy khác rằng nó là một client tin cậy, thì từ đó có thể chiếm quyền truycập host đó Máy tấn công cũng có thể lấy được username và password

Tuy nhiên, với tấn công hoạt động ở tầng truyền vận có thể có nhiều khókhăn hơn Chúng ta đã biết trong phần đầu của những gói dữ liệu luôn có địachỉ IP của nguồn xuất phát dữ liệu và số thứ tự (sequence number dùng để sắpxếp các gói dữ liệu nhận được theo một thứ tự định sẵn) Để có thể lấy quyềnđiều khiển một phiên làm việc đang thiết lâp giữa nguồn hợp pháp và một hostđích, kẻ tấn công cần biết về số thứ tự đó Nếu kẻ tấn công dự đoán đúng số thứ

tự, hắn có thể gửi tới host đích một ACK segment chính xác Khi đó, chỉ cầnACK segment của attacker tới được đích trước ACK segement gốc

2.1.4 Tầng giao vận

Trong mô hình OSI, tầng giao vận đảm bảo chuyển thông điệp một cáchtin cậy, cung cấp cơ chế kiểm tra lỗi và điều khiển luồng dữ liệu Tầng giao vận

cung cấp những dịch vụ cho cả chế độ truyền có kết nối và chế độ truyền phikết nối.

Một cách để lớp Transport đảm bảo sự tin cậy và kiểm tra lỗi đó là qua

giao thức TCP Giao thức TCP làm việc qua giao thức Internet (IP) Một giaothức khác được sử dụng ở tầng 4 là UDP TCP và UDP được mô tả như sau:TCP được viết năm 1980 trong bản báo cáo RFC 761, bởi Viện khoa họcthông tin đại học Southern California TCP được giới thiệu đầu tiên ở Bộ quốcphòng Hoa Kỳ Tài liệu đầu tiên tìm thấy mô tả TCP: “TCP được dự định để sửdụng như giao thức host-to-host tin cậy hơn giữa các host trong chuyển mạchgói, và nhất là trong những hệ thống mạng được liên kết Giao tiếp host-to-hosttin cậy cao sẽ sắp xếp việc truyền, nơi mất dữ liệu sẽ không thể chấp nhận

“UDP là một giao thức truyền thông, nó đưa ra số lượng dịch vụ giới hạnkhi thông điệp được trao đổi giữa các máy tính trong mạng sử dụng IP” Sửdụng UDP khi mà thông tin được gửi đi ở dạng như video streaming Nếu mộtgói bị mất trong phiên video streaming thì gói đó có thể vẫn sẽ không ảnhhưởng nghiêm trọng tới dòng dữ liệu Trong trường hợp này, độ chính xácđược đổi lấy tốc độ

TCP được thiết kế để chuyển dữ liệu từ nơi này đến nơi khác, và mỗi lầnnhư thế thì nó đảm bảo là theo đúng thứ tự UDP không được thiết kế để đảmbảo điều đó Nó chỉ đưa ra lượng dịch vụ giới hạn, như những tính chất thamchiếu bên trên

Để tấn công kẻ tấn công sẽ thu thập thông tin về hệ thống sử dụng TCP vàUDP Chúng ta sẽ tập trung trên nền tảng TCP Về khái niệm, cần biết một chút

về cách xử lý trong TCP Quá trình xử lý trong TCP là quá trình xử lý bắt tay 3bước (three handshake)

Hình 2.1: Quá trình xử lý bắt tay 3 bước

Quá trình này diễn ra với 2 lần cờ SYN được chuyển giao, lần thứ nhất Agởi yêu cầu cho B với cờ SYN được bật báo cho B biết A muốn tạo kết nối vàtải dữ liệu từ B, tiếp theo B kiểm tra yêu cầu của A, nếu hợp lệ, B trả lời Abằng một gói tin với cờ SYN và ACK được bật chấp nhận yêu cầu của A, tiếptheo A lại gửi cho B một gói tin nữa để báo cho B biết chuẩn bị thiết lập kếtnối, khi B nhận được gói tin này thì quá trình kết nối được thiết lập

Quét cổng thường là công việc dò tìm đầu tiên của kẻ tấn công Mộtphương pháp quét cổng là quét trạng thái của cờ SYN “half-open” Trongphương pháp này, bộ quét cổng nối với một cổng nhưng tắt quyền kết nối trướckhi kết nối lại diễn ra (do đó có tên là “half open”)

Ngoài nguy cơ trên còn có các nguy cơ khác như việc không xác định lỗisai của việc truyền tải dữ liệu Qúa tải trong việc vận chuyển lưu lượng do sốlượng các cổng hạn chế để lọc và quản lý lưu lượng đó Cơ chế truyển tải cóthể bị giả mạo và bị tấn công dựa trên các gói tin sai làm gián đoạn và có thểlấy đi quyền kiểm soát liên lạc

Phương pháp tấn công điển hình trên tầng này là tấn công Dos (Denial ofService) Tấn công từ chối dịch vụ đơn giản là cách thức khiến một websitekhông thể truy cập được Có thể thực hiện cách thức này theo kiểu chiếm dụng100% băng thông, 100% CPU, 100% RAM, làm đầy ổ cứng, phá hoại nhân hệđiều hành hoặc các ứng dụng khác của server hoặc định hướng lại lưu lượng đểngười dùng không bao giờ tiếp cận được với website muốn sử dụng Một vài

năm trước đây người ta đã phát hiện một số lỗ hổng trong Windows NT và dịch

vụ IIS bị tấn công theo kiểu này Cũng có một số điểm yếu trong giao thứcTCP/IP có thể bị lợi dụng để tấn công DoS từ một website

2.1.5 Tầng phiên

Trong mô hình OSI, tầng phiên (đôi khi gọi là “tầng cổng”) quản lý nhữngcài đặt và gỡ bỏ kết nối Một kết nối được duy trì khi hai điểm đang giao tiếpqua lại với nhau trong một cuộc hội thoại hoặc “phiên thời gian”

Các điểm yếu tại tầng phiên như cơ chế xác thực yếu hoặc không tồn tại.Thông tin về định danh và mật khẩu người dùng tại tầng phiên ở dạng rõ nên dễdàng bị lấy cắp hoặc giả danh Một phiên xác định có thể bị giả mạo hoặc bịcướp Sự rò rỉ thông tin có thể xảy ra bắt nguồn từ những nỗ lực xác thựckhông thành công

Cướp phiên TCP là kiểu tấn công khi hacker tiếp quản một phiên TCPgiữa 2 máy Vì hầu hết sự xác thực chỉ xảy ra ở thời điểm bắt đầu của phiênTCP, chính điều này cho phép hacker giành được sự truy nhập tới một máy

Kẻ tấn công A có thể cũng ở trên đường truyền giữa B và C bằng cách sửdụng chương trình sniffing để xem cuộc hội thoại Phương pháp này được gọi

là tấn công “man in the middle” Thành phần thông thường của cuộc tấn côngnhư thế là để thực thi một cuộc tấn công từ chối dịch vụ (DoS) dựa vào sự hồiđáp của máy đích Tấn công này buộc máy tính phải hủy gói tin

Kẻ tấn công sẽ dùng một vài khoảng thời gian để ẩn đi định danh củachúng, đây là một điều rất cần chú ý Ở tầng phiên, một phần rất quan trọng tồntại trong việc cố gắng để ngăn chặn những kết nối không mong muốn, đó là sựxác thực Nếu một phiên bị cướp sau khi xác thực xong thì cổng đích sẽ khôngnghi ngờ phiên bị cướp này Vì vậy chúng ta phải tăng cường xử lý xác thực.Một trong những tấn công mạng thường thấy nhất được sử dụng để chốnglại những cá nhân và các tổ chức lớn chính là các tấn công MITM (Man in theMiddle) Có thể hiểu nôm na về kiểu tấn công này thì nó như một kẻ nghetrộm MITM hoạt động bằng cách thiết lập các kết nối đến máy tính nạn nhân

và relay các message giữa chúng Trong trường hợp bị tấn công, nạn nhân cứtin tưởng là họ đang truyền thông một cách trực tiếp với nạn nhân kia, trong khi

đó sự thực thì các luồng truyền thông lại bị thông qua host của kẻ tấn công

2.1.6 Tầng trình diễn

Tầng trình diễn làm nhiệm vụ như mã hóa dữ liệu, nén dữ liệu, biến đổi dữ

liệu ví dụ chuyển đổi từ tệp văn bản từ mã EBCDIC sang mã ASCII Lợi dụngcác điểm yếu từ các chức năng trên mà nhà sản xuất chưa kiểm tra kỹ mà kẻ tấncông có thể sử dụng phục vụ cho mục đích của mình

Lỗ hổng bảo mật Unicode trong IIS của Microsoft (Microsoft IIS là phầnmềm Web server) Microsoft IIS chấp nhận mã Unicode ở những chỗ mà câulệnh bàn phím thông thường sẽ bị từ chối Microsoft IIS tìm kiếm thông quamỗi URL để đảm bảo yêu cầu không chứa các ký tự ‘/’ Ký tự đặc biệt ‘/’ được

sử dụng bởi những chương trình để chạy những thông tin còn lại trong thư mụcgốc Kẻ tấn công thích điều này bởi vì theo thiết kế hệ thống không cấp quyềnhạn đến thư mục gốc Cụ thể: Nếu ký tự ‘/’được mã hóa trong Unicode thành

‘%c0%af’, URL sẽ vượt qua sự kiểm tra an ninh, vì nó không chứa bất kỳ ký tự

‘/’ nào Sự kiểm tra an ninh chỉ xem ‘%c0%af’ như ký tự thông thường, nókhông nhận diện như là mẫu nguy hại

Lỗ hổng này cho phép người dùng đăng nhập vào máy chủ web của bạn

và sử dụng mã Unicode truy nhập thư mục Lý do là vì IIS biên dịch cả câulệnh thông thường và câu lệnh dùng mã Unicode, tuy nhiên chỉ có câu lệnhthông thường mới bị so sánh với bản danh sách bị từ chối Tại tầng này lỗi mãhóa có thể được khai thác phá vỡ sự bảo vệ riêng tư

2.1.7 Tầng ứng dụng

Những nguy cơ tầng ứng dụng là tại tầng này cho phép những thiết kế mở

cho phép sử dụng miễn phí các tài nguyên ứng dụng bên ngoài theo ý muốn.Ứng bảo mật tại tầng này đối với các ứng dụng có khi quá đơn giản thậm chí làkhông có, nhiều ứng dụng lại sử dụng các biện pháp bảo mật quá mạnh làmngười dùng nhiều lúc không thể đủ quyền truy cập Nhiều chương trình ứngdụng lỗi do vô tình nhưng lại là điều vô cùng nguy hiểm cho các hacker thựchiện ý đồ xấu của mình

Đây là tầng giúp người sử dụng tương tác với ứng dụng và e-mail, webchính là ứng dụng thông dụng nhất của việc sử dụng tài nguyên internet Web,e-mail chính là nơi lây nhiễm mã độc hại, mối đe dọa và những lỗ hổng Mối

đe dọa lớn nhất đã được lan rộng chính là các loại virus, trojan, worm và những

lỗ hổng bảo mật khi xây dựng các trang web

2.2 CÁC GIẢI PHÁP AN TOÀN TRONG MÔ HÌNH OSI

Mô hình OSI chia ra thành 7 tầng khác nhau, mỗi tầng có chức năng hoạt

động khác nhau Lợi dụng điểm yếu, lỗ hổng trên các tầng mà kể tấn công đưa

ra rất nhiểu kiểu tấn công khác nhau phong phú và đa dạng làm thiệt hại khôngnhỏ về kinh tế, chính trị, an ninh quốc phòng Để làm giảm thiểu các thiệt hại

đó, các nhà sản xuất đưa ra các giải pháp an toàn nhằm giới hạn các kiểu tấncông và lấp dẫn những lỗ hổng trên các tầng của mô hình

Đối với thiết bị Wireless Ethernet thay thế dây bằng sóng radio vậnchuyển các điện tích dẫn đến công nghệ không dây sử dụng tần số và mạngkhông dây sử dụng tần số 2.4Gh

Có các biện pháp bảo về các dữ liệu và các thiết bị phần cứng như giámsát và kiểm soát danh sách nhân viên truy cập sử dụng các thiết bị vật lý Sửdụng các công nghệ video và audio để giám sát và theo dõi Xác thực ngườidùng khi sử dụng các thiết bị bằng tài khoản hay bằng các biện pháp sinh trắchọc Mã hóa dữ liệu để khi không may các thiết bị lưu trữ dữ liệu bị đánh cắpthì thông tin khó có thể đọc được

2.2.2 Tầng liên kết dữ liệu

Bảo vệ chống lại tấn công đầu độc ARP Cache bắt đầu với bảo vệ an toàntầng vật lý Việc tấn công thông thường cần phải trên một mạng vật lý choARP nhiễm độc để kích hoạt trong khả năng phán đoán Bước đầu tiên để phùhợp với bảo mật tầng vật lý là bảo đảm rằng nhân viên của bạn biết người ngồibên cạnh họ, và cung cấp cho họ những những quyền hạn và trách nhiệm được

đề ra cho những người lạ mặt Các tổ chức có thể đòi hỏi các chính sách và

khuyên nhân viên của họ để tiếp cận một cách đơn giản với những ngườikhông biết trong văn phòng là "Xin chào tôi có thể giúp bạn?".

Khi tổ chức có một chính sách vững chắc để bảo vệ tầng vật lý nó sẽmang lại lợi ích để chống lại các đe dọa tấn công Người quản trị viên hệ thốngluôn luôn đưa ra câu hỏi: điều gì sẽ xảy ra với hệ thống mạng nếu chính sáchkhông chặt, và có thể làm giảm tới mức tối thiểu sự xâm nhập Sử dụng cácmục ARP cache tĩnh, nhất là trên router và switches, để ngăn chặn các packetxấu tới các máy chủ bất kỳ Bằng sự quản trị các mục ARP cache một cách thủcông kẻ tấn công không có khả năng làm tổn thương ARP

Giới hạn và điểm yếu tấn công ARP Spoof là: Chỉ có những máy nằmtrong cùng đường mạng với máy kẻ tấn công mới bị tấn công Các máy nằmkhác mạng sẽ không thể bị tấn công bằng hình thức này vì Hình thức tấn côngnày không thể thực hiện được trong mạng WAN, trên Internet mà chỉ thực hiệnđược trên cùng mạng LAN

Không nên sử dụng mạng VLAN để thực thi các kết nối an toàn Với cácthiết bị không dây phải có biện pháp xác thực và mã hóa mạnh để bảo vệ dữliệu tài nguyên máy và mạng của mình Để bảo vệ chống lại tấn công nhiễmđộc ARP Cache và các nguy cơ khác, ngoài việc bảo vệ an toàn tầng vật lý,người ta còn sử dụng các biện pháp bảo vệ an toàn khác như sử dụng các giaothức PPP, PPTP, L2F/L2TP, Frame Relay Đó là các ví dụ điển hình trong việcbảo vệ dữ liệu an toàn tại tầng liên kết dữ liệu

2.2.2.1 Giao thức PPP (Point to Point)

PPP là một giao thức đóng gói làm cho khả năng vận chuyển lưu lượngcủa mạng qua một loạt các điểm liên kết được thực hiện một cách dễ dàng.Thuận lợi lớn nhất của PPP là nó có thể điều khiển bất kỳ DTE hoặc DCE nàobao gồm: EIA/TIA-232-C và ITU-TV.35

Ngoài việc PPP có khả năng sử dụng các địa chỉ IP riêng và việc truyền nóqua một loạt các điểm liên kết, PPP cũng chịu trách nhiệm về các chức năngsau:

- Chỉ định và quản trị các gói IP thành các gói không IP

- Cấu hình và kiểm tra các liên kết đã thiết lập

- Đồng bộ và không đồng bộ việc đóng gói các gói dữ liệu

- Phát hiện lỗi trong khi truyền dữ liệu.

- Dồn kênh các giao thức mạng lớp hai

- Thoả thuận các tham số không bắt buộc như nén dữ liệu và đánh địa chỉ PPP thực hiện các chức năng này theo ba chuẩn:

- Chuẩn đóng gói dữ liệu qua liên kết điểm-điểm

- Chuẩn thiết lập, cấu hình và kiểm tra kết nối điểm-điểm với sự hỗ trợ củagiao thức kiểm soát liên kết (Link Control Protocol-LCP)

- Chuẩn thiết lập, cấu hình các giao thức mạng khác nhau và phát hiện lỗitrong khi truyền theo dạng của giao thức kiểm soát mạng (Network ControlProtocol-NCP) thích hợp

2.2.2.2 Giao thức đường hầm điểm PPTP

PPTP là một trong những giao thức đường hầm tại tầng 2 trong mô hìnhOSI Đây là giải pháp độc quyền cho phép truyền dữ liệu một cách an toàn giữamột Client từ xa và một Server của doanh nghiệp bằng việc tạo ra một VPNqua một mạng dựa trên IP Được phát triển bởi Consortium PPTP (Tập đoànMicrosoft, Ascend Communications, 3COM, US Robotics,và ECI Telematics).PPTP không chỉ có khả năng bảo mật các giao dịch qua các mạng công cộngdựa trên TCP/IP mà còn cả các giao dịch qua mạng Intranet riêng

Application LayerPresentation LayerSession LayerTransport LayerNetwork LayerData Link LayerPhysical Layer

Hình 2.2: Vị trí của PPTP trong mô hình OSI

Về phương diện lịch sử, hai hiện tượng đóng vai trò chính vào sự thànhcông của PPTP trong việc bảo mật các kết nối đường dài là:

PPTP

- Việc sử dụng các Mạng điện thoại chuyển mạch công cộng PSTN(Public Switched Telephone Network): PPTP cho phép sử dụng PSTN để thựcthi VPN Kết quả là, qúa trình triển khai VPN đơn giản đi rất nhiều và tổng chiphí thực thi giảm một cách đáng kể Lý do này hoàn toàn dễ hiểu vì những yếu

tố cần thiết cho giải pháp kết nối doanh nghiệp quy mô rộng dựa trên đườngLeased Line và các Server truyền thông chuyên dụng hoàn toàn bị loại bỏ

trên IP, PPTP cũng hỗ trợ các giao thức mạng khác như: TCP/IP, IPX,NetBEUI, và NetBIOS Vì vậy, PPTP đã chứng tỏ là thành công trong việctriển khai VPN qua một mạng LAN riêng cũng như qua mạng công cộng PPPđóng vai trò chính trong các giao dịch dựa trên PPTP

2.2.2.3 Giao thức Frame Relay

Frame Relay là một chuẩn của ITU-T (Inernaional TelecommunicationUnion Telcommunication Standardization Sector) và ANSI (American Nation-al Standards Institute) Frame Relay là dịch vụ chuyển mạch gói theo hướngkết nối Nó hoạt động ở tầng data link trong mô hình OSI Ban đầu FrameRelay được thiết kế để cho phép thiết bị ISDN có thể truy cập vào dịch vụchuyển mạch gói Nhưng bây giờ nó đã là một công nghệ hoàn toàn độc lập.Frame Relay thường được sử dụng để kết nối các mạng LAN Mỗi routerbiên của một LAN là một thiết bị DTE được kết nối tới Frame Relay switch(thiết bị DCE) gần nhất của nhà cung cấp dịch vụ Frame Relay switch

Ưu điểm lớn nhất của Frame Relay là tính linh hoạt và giá thành của nó

Ví dụ khi ta muốn kết nối site trung tâm với 4 site chi nhánh, thì tại site trungtâm chỉ cần có một giao diện nối tiếp kết nối đến Frame Relay switch của nhàcung cấp dịch vụ Frame Relay thay vì phải thuê 4 đường lease line và có 4interface serial tương ứng cho mỗi site chi nhánh Hơn thế nữa, Frame Relaycòn cung cấp băng thông và độ tin cậy cao hơn nhiều so với việc sử dụng leaseline

Kết nối giữa thiết bị DTE và DCE bao gồm cả lớp vật lý và lớp liên kết dữliệu:

Thành phần vật lý chỉ ra công nghệ, chức năng, các thủ tục để kết nối giữacác thiệt bị Một trong các giao diện lớp vật lý thường được sử dụng là RS-232

Thành phần lớp liên kết dữ liệu chỉ ra giao thức mà thiết lập kết nối giữathiết bị DTE như là router và thiết bị DCE như switch.

2.2.2.4 Giao thức L2F

Các dịch vụ mạng quay số truyền thống được thực hiện qua Internet và vìvậy dựa trên công nghệ IP Điều này giải thích tại sao giải pháp đường hầm lạithông dụng như PPP và PPTP, chứng tỏ thành công hơn của cơ sở hạ tầng IP sovới các công nghệ mạng đương thời như ATM, FR Bảo mật là vấn đề khác.Bất chấp các yêu cầu của Microsoft về giao dịch bảo mật, PPTP dựa trên MS-CHAP không thật sự an toàn Vấn đề này làm cho các tổ chức công nghiệp vàcác chuyên gia tìm đến các giải pháp thay thế có thể đem lại sự bảo mật liềnmạch cho nhiều dịch vụ quay số ảo và nhiều giao thức

Cisco System cùng với Nortel là một trong các nhà cung cấp hàng đầu cácgiải pháp theo hướng:

- Có khả năng bảo mật các giao dịch

- Cung cấp truy cập qua cơ sở hạ tầng của Internet và các mạng công cộngtrung gian khác

- Hỗ trợ nhiều công nghệ mạng như ATM, FDDI, IPX, Net-BEUI, vàFrame Relay

Remote user: Người dùng từ xa NAS: Máy chủ truy cập mạng Remote Private Network: Mạng riêng Hình 2.3: Qúa trình định đường hầm dữ liệu L2F

Sau thời gian dài tìm kiếm, Cisco hiện tại đang mở rộng nghiên cứu L2F.Ngoài việc thực hiện đầy đủ những mục đích trên, L2F mang lại những thuận

lợi khác trong công nghệ truy cập từ xa Các đường hầm L2F có thể hỗ trợnhiều phiên đồng thời trong cùng một đường hầm Theo cách nói đơn giản hơn

là nhiều người dùng từ xa có thể cùng truy cập vào mạng cục bộ riêng qua mộtkết nối quay số đơn L2F đạt được điều này bằng cách định nghĩa nhiều kết nốitrong một đường hầm nơi mỗi kết nối mô tả một dòng PPP đơn Hơn nữa, cácdòng này có thể bắt đầu từ một người dùng từ xa đơn lẻ hoặc từ nhiều ngườidùng Vì một đường hầm có thể hỗ trợ nhiều kết nối đồng thời, một vài kết nốiđược yêu cầu từ một Site ở xa tới ISP và từ POP của ISP tới Gateway củamạng riêng Điều này đặc biệt hữu ích trong việc giảm chi phí người dùng.Hình 2.3 mô tả đường hầm L2F L2F cung cấp các dịch vụ: Mã hoá dữ liệu vàxác thực

2.2.2.5 Giao thức L2TP

Được phát triển bởi IETF và các hãng lớn, như: Cisco, Microsoft, 3COM,

và Ascend L2TP là một sự kết hợp của các giao thức VPN trước đây nhưPPTP và L2F Thực tế, nó là sự kết hợp những gì tốt nhất của PPTP và L2F.L2TP cung cấp sự mềm dẻo, khả năng mở rộng, giải pháp truy cập từ xa chiphí thấp của L2F và khả năng kết nối điểm - điểm nhanh nhất của PPTP

Điểm mấu chốt của những thuận lợi được mang lại bởi L2TP là sự tíchhợp các đặc trưng của L2F và PPTP Đó là những lợi ích sau:

L2TP hỗ trợ nhiều giao thức và công nghệ mạng, như IP, ATM, FR vàPPP Kết quả là nó có thể hỗ trợ các công nghệ riêng biệt bằng một thiết bị truycập thông thường

L2TP không yêu cầu bổ sung thêm bất kỳ phần mềm nào như thêm trìnhđiều khiển hay hỗ trợ hệ điều hành Cho nên người dùng từ xa cũng như ngườidùng trong Intranet riêng không cần phải thực thi các phần mềm đặc biệt

L2TP cho phép những người dùng từ xa chưa đăng ký địa chỉ IP có thểtruy cập một mạng từ xa qua một mạng công cộng

Xác thực và cấp quyền L2TP được thực hiện bởi Gateway của mạng chủ

Vì vậy, ISP không cần phải duy trì một cơ sở dữ liệu xác thực người dùng hayquyền truy cập cho người dùng từ xa Hơn nữa, trong mạng Intranet cũng cóthể định nghĩa chính sách bảo mật và truy cập cho chính họ Điều này làm cho

tiến trình thiết lập đường hầm nhanh hơn nhiều so với các giao thức đường hầmtrước

Đặc trưng chính của đường hầm L2TP là L2TP thiết lập đường hầm PPP

mà không giống với PPTP là không kết thúc tại Site của ISP gần nhất Để thaythế, đường hầm này mở rộng tới Gateway của mạng chủ (mạng đích)

Một Frame PPP được gửi qua đường hầm L2TP, chúng được đóng gói lạinhư các thông điệp giao thức UDP L2TP sử dụng các thông điệp UDP này cho

cả dữ liệu đường hầm cũng như việc duy trì đường hầm Cũng vì vậy, dữ liệuđường hầm L2TP và các gói duy trì đường hầm không giống với các giao thứctrước có cùng cấu trúc gói

Data

PPP Header Data

L2TP Header

PPP Header Data

L2TP Header

ESP Header

AH Trailer

PPP Header Data

L2TP Header

ESP Header

AH Trailer

IP Header

PPP Header Data

L2TP Header

ESP Header

AH Trailer

IP Header

Data Link

Header

Data Link Trailer

Các biện pháp để làm giảm thiểu các nguy cơ tấn công vào router CISCO:

Đảm bảo vấn đề bộ đêm mật khẩu router CISCO và các biện pháp bảo vệđược triển khai Ngoài ra, cần giảm tới mức tối thiểu các truy cập vào máy chủcủa bạn Trong trường hợp này cần phải cập nhật phiên bản phần mềm của đểngăn cản tràn bộ đệm password Ở bất cứ đâu cũng phải thực hiện để nhậndạng các tác nhân của bạn là ‘tin cậy’ và chỉ cung cấp cho họ quyền truy nhậpqua các chương trình dễ bị tấn công, trong trường hợp này đó là TELNET.Cách phòng chống tấn công giả mạo địa chỉ IP: Để làm giảm nguy cơ tấncông giả mạo địa chỉ IP cho một hệ thống mạng, ta có thể sử dụng các phươngpháp sau :

- Dùng danh sách kiểm tra truy cập (Access Control List-ACL) trên cácgiao diện của router Một ACL có thể được dùng để loại bỏ những lưu lượng từbên ngoài mà lại được đóng gói bởi một địa chỉ trong mạng cục bộ khi bị lôicuốn vào một cuộc tấn công Ddos Vì thế một ACL có thể loại bỏ các lưulượng rời khỏi mạng cục bộ có địa chỉ nguồn khác với không gian địa chỉ IPbên trong mạng nội bộ

- Dùng mật mã xác thực Nếu cả hai đầu của cuộc nói chuyện đã đượcxác thực, khả năng tấn công theo kiểu man-in-the-middle có thể được ngăn cản

- Mã hoá traffic giữa các thiết bị (giữa 2 router, hoặc giữa 2 hệ thống cuối

và router) bằng một IPSec tunnel Trong hình dưới chú ý rằng mô hình đangđược bảo vệ bởi một IPsec tunnel Cho dù attacker vẫn chụp được các gói tin,thì các gói bắt được không thể đọc được, vì traffic đã được mã hóa bên trongIPsec tunnel

Tại tầng Network để đảm bảo việc truyền tải dữ liệu an toàn tại tầng nàyngười ta sử dụng một số giao thức như: IPSEC, MPLS

2.2.3.1 Giao thức MPLS

MPLS là một công nghệ chuyển tiếp gói tin sử dụng nhãn để thiết lậpviệc quyết định chuyển tiếp dữ liệu Với MPLS, việc phân tích phần tiêu đề ởtầng 3 được thực hiện một lần(khi gói tin tới vùng MPLS) Sự kiểm tra nhãnđiều khiển việc chuyển tiếp gói tin đến sau MPLS cung cấp những ứng dụng

có lợi dưới đây:

•Virtual Private Networking(VPN)

•Traffic Engineering(TE)