Xây dựng hệ thống mạng Ecommerce có tính bảo mật và sẵn sàng cao

•Hiểu rõ hơn về bảo mật thông tin trên mạng nói chung và bảo mật trong thương mại điện tử nói riêng•Mô hình mạng thương mại điện tử.•Mã hóa các thông tin trong suốt quá trình làm việc với khách hàng.•Hiểu rõ về cơ chế hoạt động, tính năng của firewall, VPN.•Cách cấu hình thiết lập một firewall, VPN.Thực nghiệm•Giả lập được firewall pfsense trên nền gns3 với sự hỗ trợ của vmware.•Triển khai LAMP cho hệ thống Ecommerce•Triển khai bảo mật hơn cho Web server kết hợp với chứng chỉ SSL.•Hiểu được rõ hơn về chức năng của firewall, VPN trong một mạng doanh nghiệp.•Đưa ra giải pháp kết hợp firewall, VPN cho mạng doanh nghiệp.•Đáp ứng được yêu cầu về firewall của doanh nghiệp nói chung cũng như đối đối với doanh nghiệp vừa và nhỏ nói riêng sử dụng mô hình B2C trong ecommerce.•Biết cách sử dụng Vmware kết hợp với GNS3 để kiểm thử hệ thống.

LỜI CẢM ƠN

Trước hết tôi xin gửi lời cảm ơn chân thành nhất đến giảng viên hướng dẫn tối trong suốt thời gian qua ThS Nguyễn Kim Tuấn đã truyền đạt, chỉ bảo những kiến thức quý báu cho tôi để tôi có thể thực hiện khóa luận tốt nghiệp này Được tiếp xúc thực tế, giải đáp thắc mắc giúp tôi hiểu biết hơn về công việc giám sát và quản trị mạng trong suốt quá trình thực hiện khóa luận Với vốn kiến thức hạn hẹp, trong quá trình thực hiện tôi không tránh khỏi những thiếu sót, tôi rất mong nhận được ý kiến đóng góp tích cực của quý thầy cô để đó là hành trang tốt nhất giúp cho tôi hoàn thiện kiến thức, kĩ năng của mình sau này bước vào đời

Đà Nẵng, ngày 26 tháng 4 năm 2016

Sinh viên

Võ Viết Tùng

LỜI CAM ĐOAN

Tôi xin cam đoan đây là bài nghiên cứu của riêng tôi và được sự hướng dẫn khoa học của giảng viên ThS Nguyễn Kim Tuấn Các nội dung nghiên cứu, kết quả trong đề tài này là trung thực và chưa công bố dưới bất kì hình thức nào trước đây Những thông tin phục vụ cho việc phân tích, nhận xét, đánh giá được chính tác tôi thập từ các nguồn khác nhau có ghi rõ trong phần tài liệu tham khảo

Nếu phát hiện có bất kỳ sự gian lận nào tôi xin hoàn toàn chịu trách nhiệm về nội dung luận văn của mình Trường đại học Duy Tân không liên quan đến những vi phạm tác quyền, bản quyền do tôi gây ra trong quá trình thực hiện (nếu có)

Đà Nẵng, ngày 26 tháng 4 năm 2016

Sinh viên

Võ Viết Tùng

LỜI MỞ ĐẦU

1 Tính cấp thiết của đề tài

Chúng ta đang sống trong thời đại mới, thời đại phát triển rực rỡ của công nghệ thông tin Sự ra đời của mạng máy tính và những dịch vụ của nó mang lại cho con người rất nhiều lợi ích to lớn, góp phần đơn giản hóa những thủ tục lưu trử, xử lý, trao đổi thông tin liên lạc, kết nối giữa những vị trí, khoảng không rộng lớn một cách nhanh chóng, hiệu quả

Máy tính và mạng internet đã được phổ biến rộng rãi, các tổ chức, cá nhân đều

có nhu cầu sử dụng máy tính và mạng máy tính để tính toán, lưu trữ, quảng bá thông tin hay sử dụng các giao dịch trực tuyến trên mạng Nhưng đồng thời với những cơ hội được mở ra lại có những nguy cơ khi mạng máy tính không được quản lý sẽ dễ dàng bị tấn công, gây hậu quả nghiêm trọng

Trong vai trò là người quản trị hệ thống thì vấn đề an ninh cho mạng máy tính luôn được đặt lên hàng đầu Firewall chính là phương thức giúp chúng ta thực hiện việc này một cách tối ưu nhất, nó ngăn chặn các truy cập bất hợp pháp từ bên ngoài,

và lọc các gói tin ra vào mạng nội bộ

Vì những lý do đó, nhóm tôi đã chọn và nghiên cứu đề tài “Xây dựng hệ thống mạng E-commerce có tính bảo mật và sẵn sàng cao” với mục đích tìm hiểu

sâu sắc về cơ chế hoạt động của nó cũng như phát hiện ra những nhược điểm tìm giải pháp khắc phục những nhược điểm này để hệ thống mạng trong doanh nghiệp luôn được vấn hành trơn tru, an toàn và hạn chế sự cố xảy ra

2 Ý nghĩa khoa học và ý nghĩa thực tiễn

Ý nghĩa khoa học:

- Cung cấp lý thuyết về firewall

- Hiểu được sự cần thiết của Firewall trong thương mại điện tử nói riêng và cho doanh

nghiệp nói chung

- Cung cấp các kiến thức về firewall

- Hiểu thêm về chức năng, ưu nhược của Firewall Pfsense

- Cấu hình và cài đặt LAMP

Ý nghĩa thực tiễn:

- Chỉ ra ưu nhược của hệ thống thương mại điện tử

- Đưa ra giải pháp tối ưu cho hệ thống của doanh nghiệp

- Triển khai mô hình thương mại điện tử

3 Mục đích nghiên cứu

- Giúp cho khả năng tự đọc, tìm hiểu và nghiên cứu của bản thân ngày càng được nâng cao

- Đưa ra chuẩn, mô hình chung khi xây dựng hệ thống thương mại điện tử

- Bảo mật cho hệ thống thương mại điện tử

4 Đối tượng hướng đến

- Tất cả các tổ chức, các cơ quan, các doanh nghiệp đã, đang và sẽ áp dụng công nghệ thông tin cho các hoạt động buôn bán kinh doanh của mình

5 Phạm vi nghiên cứu

- Triển khai bảo mật cho hệ thống thương mai điện tử cho doanh nghiệp

- Triển khai Firewall Pfsense

- Triển khai Web Server apache

MỤC LỤC

DANH MỤC HÌNH ẢNH

DANH MỤC TỪ VIẾT TẮT

AD Active Directory là một dịch vụ thư mục

(directory service) đã được đăng ký bản quyền bởi Microsoft, nó là một phần không thể thiếu trong kiến trúc Windows

DHCP Dynamic Host Configuration

Protocol

Là một giao thức cấu hình tự động địa chỉ IP

DMZ Demilitarized Zone DMZ là một vùng mạng

trung lập giữa mạng nội bộ

và mạng internet

LAN Local Area Network là một hệ thống mạng dùng

để kết nối các máy tính trong một phạm vi nhỏ (công ty, trường học, nơi làm việc,…)VPN Virtual Private Network là công nghệ xây dựng hệ

thống mạng riêng ảo nhằm đáp ứng nhu cầu chia sẻ thông tin, truy cập từ xa và tiết kiệm chi phí

B2B Business To Business là mô hình kinh doanh

thương mại điện tử trong đó giao dịch xảy ra trực tiếp giữa các doanh nghiệp với nhau

B2C Business To Customer là mô hình chỉ bao gồm các

giao dịch thương mại trên Internet giữa doanh nghiệp với khách hàng

Http HyperText Transfer Protocol Đây là một giao thức ứng

dụng trong bộ các giao thức TCP/IP (gồm một nhóm các giao thức nền tảng cho internet) HTTP hoạt động dựa trên mô hình Client – Server

Https Hypertext Transfer Protocol

Secure

Sự kết hợp giữa giao thức HTTP và giao thức bảo mật SSL hay TLS cho phép trao đổi thông tin một cách bảo mật trên Internet Giao thức HTTPS thường được dùng trong các giao dịch nhậy cảm cần tính bảo mật cao

để thiết lập kết nối mạng từ

xa được bảo mật bằng phương thức mã hóa

SSL Secure Socket Layer Là giao thức đa mục đích

được thiết kế để tạo ra các giao tiếp giữa hai chương trình ứng dụng trên cổng 443

Một thách thức đối với an toàn mạng là xác định chính xác cấp độ an toàn cần thiết cho việc điều khiển hệ thống và các thành phần mạng Đánh giá các nguy cơ, các lỗ hổng khiến mạng có thể bị xâm phạm thông qua cách tiếp cận có cấu trúc Xác định những nguy cơ ăn cắp, phá hoại máy tính, thiết bị, nguy cơ virus, sâu gián điệp, nguy cơ xóa, phá hoại cơ sở dữ liệu, ăn cắp mật khẩu, … nguy cơ đối với sự hoạt động của hệ thống như nghẽn mạng, nhiễu điện tử Khi đánh giá được hết những nguy cơ ảnh hưởng tới an ninh mạng thì mới có thể có được những biện pháp tốt nhất để đảm bảo an ninh mạng.

Sử dụng hiệu quả các công cụ bảo mật (ví dụ như Firewall) và những biện pháp, chính sách cụ thể chặt chẽ

Về bản chất có thể phân loại vi phạm thành các vi phạm thụ động và vi phạm chủ

động Thụ động và chủ động được hiểu theo nghĩa có can thiệp vào nội dung và luồng thông tin có bị trao đổi hay không Vi phạm thụ động chỉ nhằm mục đích nắm bắt được thông tin Vi phạm chủ động là thực hiện sự biến đổi, xóa bỏ hoặc thêm thông tin ngoại lai để làm sai lệch thông tin gốc nhằm mục đích phá hoại Các hoạt động vi phạm thụ động thường khó có thể phát hiện nhưng có thể ngăn chặn hiệu quả Trái lại, vi phạm chủ động rất dễ phát hiện nhưng lại khó ngăn chặn.

1.1.2 Các đặc trưng kỹ thuật của an toàn mạng

- Tính xác thực (Authentification): Kiểm tra tính xác thực của một thực thể giao tiếp

mạng Một thực thể có thể là một người sử dụng, một chương trình máy tính, hoặc một thiết bị phần cứng Các hoạt động kiểm tra tính xác thực được đánh giá là quan trọng nhất trong các hoạt động của một phương thức bảo mật Một hệ thống mạng thường phải thực hiện kiểm tra tính xác thực của một thực thể trước khi thực thể đó thực hiện kết nối với hệ thống Cơ chế kiểm tra tính xác thực của các phương thức bảo mật dựa vào 3 mô hình chính sau:

 Đối tượng cần kiểm tra cần phải cung cấp những thông tin trước, ví dụ như password, hoặc mã số thông tin cá nhân PIN

 Kiểm tra dựa vào mô hình những thông tin đã có, đối tượng kiểm tra cần phải thể hiện những thông tin mà chúng sở hữu, ví dụ như Private Key, hoặc số thẻ tín dụng

 Kiểm tra dựa vào mô hình những thông tin xác đinh tính duy nhất, đối tượng kiểm tra cần phải có những thông tin để định danh tính duy nhất của mình, ví dụ thông qua giọng nói, dấu vân tay, chữ ký…

- Tính khả dụng (Availability): Tính khả dụng là đặc tính mà thông tin trên mạng được

các thực thể hợp pháp tiếp cận và sử dụng theo yêu cầu khi cần thiết bất cứ khi nào, trong hoàn cảnh nào Tính khả dụng nói chung dùng tỉ lệ giữa thời gian hệ thống được sử dụng bình thường với thời gian quá trình hoạt động để đánh giá Tính khả dụng cần đáp ứng những yêu cầu sau: Nhận biết và phân biệt thực thể, khống chế tiếp cận (bao gồm cả việc khống chế tự tiếp cận và khống chế tiếp cận cưỡng bức), khống chế lưu lượng (chống tắc nghẽn), không chế chọn đường (cho phép chọn đường nhánh, mạch nối ổn định, tin cậy), giám sát tung tích (tất cả các sự kiện phát sinh trong hệ thống được lưu giữ để phân tích nguyên nhân, kịp thời dùng các biện pháp tương ứng)

- Tính bảo mật (Confidentialy): Tính bảo mật là đặc tính tin tức không bị tiết lộ cho các

thực thể hay quá trình không được ủy quyền biết hoặc không để cho đối tượng xấu lợi

dụng Thông tin chỉ cho phép thực thể được ủy quyền sử dụng Kỹ thuật bảo mật thường

là phòng ngừa dò la thu nhập, phòng ngừa bức xạ, tăng bảo mật thông tin (dưới sự khống chế của khóa mã), bảo mật vật lý (sử dụng phương pháp bảo mật vật lý để bảo đảm tin tức không bị tiết lộ).

- Tính toàn vẹn (Integrity): Là đặc tính khi thông tin trên mạng chưa được ủy quyền thì

không thể tiến hành được, tức là thông tin trên mạng khi đang được lưu giữ hoặc trong quá trình truyền dẫn đảm bảo không bị xóa bỏ, sửa đổi, giả mạo, làm rối loạn trật tự, phát lại, xen vào một cách ngẫu nhiên hoặc cố ý và những sự phá hoại khác Những nhân

tố chủ yếu ảnh hưởng tới sự toàn vẹn thông tin trên mạng gồm: sự cố thiết bị, sai mã, bị con người tác động, virus máy tính …

Một số phương pháp đảm bảo tính toàn vẹn thông tin trên mạng:

 Giao thức an toàn có thể kiểm tra thông tin bị sao chép, sửa đổi hay sao chép,… Nếu phát hiện thì thông tin đó sẽ bị vô hiệu hóa

 Phương pháp phát hiện sai và sửa sai Phương pháp sửa sai mã hóa đơn giản nhất và thường dùng là phép kiểm tra chẵn lẻ

 Biện pháp kiểm tra mật mã ngăn ngừa hành vi xuyên tạc và cản trở truyền tin

 Chữ ký điện tử: bảo đảm tính xác thực của thông tin

 Yêu cầu cơ quan quản lý hoặc trung gian chứng minh chân thực của thông tin

- Tính khống chế (Accountlability): Là đặc tính về năng lực khống chế truyền bá và nội

dung vốn có của tin tức trên mạng

- Tính không thể chối cãi (Nonrepulation): Trong quá trình giao lưu tin tức trên mạng,

xác nhận tính chân thực đồng nhất của những thực thể tham gia, tức là tất cả các thực thể tham gia không thể chối bỏ hoặc phủ nhận những thao tác và cam kết đã được thực hiện

1.1.3 Đánh giá sự đe dọa, điểm yếu của hệ thống và các kiểu tấn công

1.1.3.1 Đánh giá về sự đe dọa

Về cơ bản có 4 mối đe dọa đến vấn đề bảo mật mạng như sau:

- Đe dọa không có cấu trúc (Unstructured threats)

- Đe dọa có cấu trúc (Structured threats)

- Đe dọa từ bên ngoài (External threats)

- Đe dọa từ bên trong (Internal threats)

a) Đe dọa không có cấu trúc

Những mối đe dọa thuộc dạng này được tạo ra bởi những hacker không lành nghề, họ thật sự không có kinh nghiệm Những người này ham hiểu biết và muốn download dữ liệu từ mạng Internet về Họ thật sự bị thúc đẩy khi nhìn thấy những gì mà

họ có thể tạo ra

b) Đe dọa có cấu trúc

Hacker tạo ra dạng này tinh tế hơn dạng unstructured rất nhiều Họ có kỹ thuật và

sự hiểu biết về cấu trúc hệ thống mạng Họ thành thạo trong việc làm thế nào để khai thác những điểm yếu trong mạng Họ tạo ra một hệ thống có “cấu trúc” về phương pháp xâm nhập xâu vào trong hệ thống mạng

Cả hai dạng có cấu trúc và không có cấu trúc đều thông qua Internet để thực hiện tấn công mạng

c) Đe dọa từ bên ngoài

Xuất phát từ Internet, những người này tìm thấy lỗ hổng trong hệ thống mạng từ bên ngoài Khi các công ty bắt đầu quảng bá sự có mặt của họ trên Internet thì cũng là lúc hacker rà soát để tìm kiếm điểm yếu, đánh cắp dữ liệu và phá hủy hệ thống mạng

d) Đe dọa từ bên trong

Mối đe dọa này thực sự rất nguy hiểm bởi vì nó xuất phát từ ngay trong chính nội

bộ, điển hình là nhân viên hoặc bản thân những người quản trị Họ có thể thực hiện việc tấn công một cách nhanh gọn và dễ dàng vì họ am hiểu cấu trúc cũng như biết rõ điểm yếu của hệ thống mạng

1.1.4 Các biện pháp phát hiện hệ thống bị tấn công

Không có một hệ thống nào có thể đảm bảo an toàn tuyệt đối, mỗi một dịch vụ đều có những lỗ hổng bảo mật tiềm tàng Người quản trị hệ thống không những nghiên cứu, xác định các lỗ hổng bảo mật mà còn phải thực hiện các biện pháp kiểm tra hệ thống có dấu hiệu tấn công hay không Một số biện pháp cụ thể:

- Kiểm tra các dấu hiệu hệ thống bị tấn công: Hệ thống thường bị treo bằng những thông

báo lỗi không rõ ràng Khó xác định nguyên nhân do thiếu thông tin liên quan Trước tiên, xác định các nguyên nhân có phải phần cứng hay không, nếu không phải nghĩ đến khả năng máy tính bị tấn công

- Kiểm tra các tài khoản người dùng lạ, nhất là các tài khoản có ID bằng không.

- Kiểm tra sự xuất hiện của các tập tin lạ Người quản trị hệ thống nên có thói quen đặt tên

tập tin theo mẫu nhất định để dễ dàng phát hiện tập tin lạ

- Kiểm tra thời gian thay đổi trên hệ thống.

- Kiểm tra hiệu năng của hệ thống: Sử dụng các tiện ích theo dõi tài nguyên và các tiến

trình đang hoạt động trên hệ thống

- Kiểm tra hoạt động của các dịch vụ hệ thống cung cấp.

- Kiểm tra truy nhập hệ thống bằng các tài khoản thông thường, đề phòng trường hợp các

tài khoản này bị truy nhập trái phép và thay đổi quyền hạn mà người sử dụng hợp pháp không kiểm soát được

- Kiểm tra các file liên quan đến cấu hình mạng và dịch vụ, bỏ các dịch vụ không cần

thiết

- Kiểm tra các phiên bản của sendmail, ftp, … tham gia các nhóm tin về bảo mật để có

thông tin về lỗ hổng bảo mật của dịch vụ sử dụng

Các biện pháp này kết hợp với nhau tạo nên một chính sách về bảo mật đối với hệ thống

1.1.5 Một số công cụ thường dùng trong an ninh – an toàn mạng

1.1.5.1 Thực hiện an ninh – an toàn từ cổng truy cập dùng firewall

Firewall cho phép quản trị mạng điều khiển truy nhập, thực hiện chính sách đồng

ý hoặc từ chối dịch vụ và lưu lượng đi vào hoặc đi ra khỏi mạng Firewall có thể được sử dụng để xác thực người sử dụng nhằm đảm bảo chắc chắn rằng họ đúng là người như họ

đã khai báo trước khi cấp quyền truy nhập tài nguyên mạng

Firewall còn được sử dụng để phân chia mạng thành những phân đoạn mạng và thiết lập nhiều tầng an ninh khác nhau trên các phân đoạn mạng khác nhau để có thể đảm bảo rằng những tài nguyên quan trọng hơn sẽ được bảo vệ tốt hơn, đồng thời firewall còn hạn chế lưu lượng và điểu khiển lưu lượng chỉ cho phép chúng đến những nơi chúng được phép đến

1.1.5.2 Mã hóa thông tin

Mã hóa (Cryptography) là quá trình chuyển đổi thông tin gốc sang dạng mã hóa

Có hai cách tiếp cận để bảo vệ thông tin bằng mật mã: theo đường truyền và từ nút (End-to-End)

nút-đến-Trong cách thứ nhất, thông tin được mã hóa để bảo vệ đường truyền giữa hai nút

không quan tâm đến nguồn và đích của thông tin đó Ưu điểm của cách này là có thể bí mật được luồng thông tin giữa nguồn và đích và có thể ngăn chặn được toàn bộ các vi phạm nhằm phân tích thông tin trên mạng Nhược điểm là vì thông tin chỉ được mã hóa trên đường truyền nên đòi hỏi các nút phải được bảo vệ tốt.

Ngược lại, trong cách thứ hai, thông tin được bảo vệ trên toàn đường đi từ nguồn tới đích Thông tin được mã hóa ngay khi được tạo ra và chỉ được giải mã khi đến đích

Ưu điểm của tiếp cận này là người sử dụng có thể dùng nó mà không ảnh hưởng gì tới người sử dụng khác Nhược điểm của phương pháp này là chỉ có dữ liệu người sử dụng được mã hóa, còn thông tin điều khiển phải giữ nguyên để có thể xử lý tại các nút

1.1.6 Một số giải pháp thường dùng trong doanh nghiệp vừa và nhỏ

Với các doanh nghiệp nhỏ việc trang bị một mạng tác nghiệp vừa phải đảm bảo

an ninh an toàn, vừa phải phù hợp chi phí, dễ triển khai và bảo trì là điều cần thiết Ở đây chúng ta đưa ra giải pháp dùng một thiết bị PC đa chức năng làm firewall để bảo vệ vành đai, chạy IDS để cảnh báo tấn công, chạy NAT để che cấu trúc logic của mạng, chạy VPN để hỗ trợ bảo mật kết nối xa

Hình 1.1 Sơ đồ mạng cho doanh nghiệp nhỏ

Với các doanh nghiệp vừa thì sơ đồ trên phù hợp với các chi nhánh của họ Còn tại trung tâm mạng có thể thực hiện sơ đồ an ninh nhiều tầng như sau:

Hình 1.2 Sơ đồ mạng cho doanh nghiệp cỡ vừa

1.2 E-Commerce (thương mại điện tử)

1.2.1 Thương mại điện tử là gì

Thương mại điện tử (Còn gọi là E-commerce hay E-Business) là quy trình mua bán hàng hóa và dịch vụ thông qua các phương tiện điện tử và mạng viễn thông, đặc biệt

là qua máy tính và mạng Internet

Ngày nay người ta hiểu khái niệm thương mại điện tử thông thường là tất cả các phương pháp tiến hành kinh doanh và các quy trình quản trị thông qua các kênh điện tử

mà trong đó Internet hay ít nhất là các kỹ thuật và giao thức được sử dụng trong Internet đóng một vai trò cơ bản và công nghệ thông tin được coi là điều kiện tiên quyết Một khía cạnh quan trọng khác là không còn phải thay đổi phương tiện truyền thông, một đặc trưng cho việc tiến hành kinh doanh truyền thống

Thêm vào đó là tác động của con người vào quy trình kinh doanh được giảm xuống đến mức tối thiểu Trong trường hợp này người ta gọi đó là Thẳng đến gia công (Straight Through Processing) Để làm được điều này đòi hỏi phải tích hợp rộng lớn các các tính năng kinh doanh

1.2.2 Lợi ích của thương mại điện tử

Lợi ích lớn nhất mà Thương mại điện tử mang lại đó chính là tiết kiệm được chi phí lớn tạo thuận lợi cho các bên giao dịch Giao dịch bằng phương tiện điện tử nhanh hơn là giao dịch bằng truyền thông, ví dụ gửi fax hay thư điện tử thì nội dung thông tin

sẽ đến người nhận nhanh hơn là gửi thư Các giao dịch qua internet có chi phí rất rẻ, một doanh nghiệp có thể gửi thư tiếp thị, chào hàng đến hàng loạt khách hàng chỉ với chi phí giống như gửi cho một khách hàng Với Thương mại điện tử, các bên có thể tiến hành giao dịch khi ở cách xa nhau, giữa thành phố với nông thôn, từ nước này sang nước khác hay nói cách khác là không bị giới hạn bởi không gian địa lý Điều này cho phép các doanh nghiệp tiết kiệm chi phí đi lại, thời gian gặp mặt trong khi mua bán Với người tiêu dùng họ có thể ngồi tại nhà để đặt hàng, mua sắm nhiều loại hàng hóa dịch vụ thật nhanh chóng

Những lợi ích như trên chỉ có được với những doanh nghiệp thực sự nhận thức được tầm quan trọng của thương mại điện tử Vì vậy, thương mại điện tử góp phần thúc đẩy sự cạnh tranh giữa các doanh nghiệp để thu được nhiều lợi ích nhất Điều này đặc biệt quan trọng trong bối cảnh hội nhập kinh tế quốc tế hiện nay Khi các doanh nghiệp trong nước phải cạnh tranh một cách bình đẳng với các doanh nghiệp nước ngoài

Một số ứng dụng chung nhất của thương mại điện tử được liệt kê dưới đây:

- Tài liệu tự động hóa ở chuỗi cung ứng và hậu cần

- Hệ thống thanh toán trong nước và quốc tế

- Quản lý nội dung doanh nghiệp

1.2.3 Các đặc trưng của thương mại điện tử

So với các hoạt động Thương mại truyền thống, thương mại điện tử có một số điểm khác biệt cơ bản sau:

Các bên tiến hành giao dịch trong thương mại điện tử không tiếp xúc trực tiếp với nhau và không đòi hỏi phải biết nhau từ trước

Trong Thương mại truyền thống, các bên thương gặp gỡ nhau trực tiếp để tiến hành giao dịch Các giao dịch được thực hiện chủ yếu theo nguyên tắc vât lý như chuyển tiền, séc hóa đơn, vận đơn, gửi báo cáo Các phương tiện viễn thông như: fax, telex, chỉ được sử dụng để trao đổi số liệu kinh doanh Tuy nhiên, việc sử dụng các phương tiện điện tử trong thương mại truyền thống chỉ để chuyển tải thông tin một cách trực tiếp giữa hai đối tác của cùng một giao dịch

Thương mại điện tử cho phép mọi người cùng tham gia từ các vùng xa xôi hẻo lánh đến các khu vực đô thị lớn, tạo điều kiện cho tất cả mọi người ở khắp mọi nơi đều có cơ hội ngang nhau tham gia vào thị trường giao dịch toàn cầu và không đòi hỏi nhất thiết phải có mối quen biết với nhau

Các giao dịch thương mại truyền thống được thực hiện với sự tồn tại của khái niệm biên giới quốc gia, còn thương mại điện tử được thực hiện trong một thị trường không có biên giới (thị trường thống nhất toàn cầu) Thương mại điện tử trực tiếp tác động tới môi trường cạnh tranh toàn cầu

Thương mại điện tử càng phát triển, thì máy tính cá nhân trở thành cửa sổ cho doanh nghiệp hướng ra thị trường trên khắp thế giới Với thương mại điện tử, một doanh nhân dù mới thành lập đã có thể kinh doanh ở Nhật Bản, Đức và Chilê , mà không hề phải bước ra khỏi nhà, một công việc trước kia phải mất nhiều năm

Trong hoạt động giao dịch thương mại điện tử đều có sự tham ra của ít nhất ba chủ thể, trong đó có một bên không thể thiếu được là người cung cấp dịch vụ mạng, các

cơ quan chứng thực

Trong Thương mại điện tử, ngoài các chủ thể tham gia quan hệ giao dịch giống như giao dịch thương mại truyền thống đã xuất hiện một bên thứ ba đó là nhà cung cấp dịch vụ mạng, các cơ quan chứng thực… là những người tạo môi trường cho các giao dịch thương mại điện tử Nhà cung cấp dịch vụ mạng và cơ quan chứng thực có nhiệm

vụ chuyển đi, lưu giữ các thông tin giữa các bên tham gia giao dịch thương mại điện tử, đồng thời họ cũng xác nhận độ tin cậy của các thông tin trong giao dịch thương mại điện

tử

Đối với thương mại truyền thống thì mạng lưới thông tin chỉ là phương tiện để trao đổi dữ liệu, còn đối với thương mại điện tử thì mạng lưới thông tin chính là thị trường Thông qua Thương mại điện tử, nhiều loại hình kinh doanh mới được hình thành

Ví dụ: các dịch vụ gia tăng giá trị trên mạng máy tính hình thành nên các nhà trung gian

ảo làm các dịch vụ môi giới cho giới kinh doanh và tiêu dùng; các siêu thị ảo được hình thành để cung cấp hàng hóa và dịch vụ trên mạng máy tính

Các trang Web khá nổi tiếng như Yahoo! America Online hay Google đóng vai trò quan trọng cung cấp thông tin trên mạng Các trang Web này đã trở thành các “khu chợ” khổng lồ trên Internet Với mỗi lần nhấn chuột, khách hàng có khả năng truy cập vào hàng ngàn cửa hàng ảo khác nhau và tỷ lệ khách hàng vào hàng ngàn các cửa hàng ảo khác nhau và tỷ lệ khách hàng vào thăm rồi mua hàng là rất cao Người tiêu dùng đã bắt đầu mua trên mạng một số các loại hàng trước đây được coi là khó bán trên mạng Nhiều người sẵn sàng trả thêm một chút tiền còn hơn là phải đi tới tận cửa hàng Một số công

ty đã mời khách may đo quần áo trên mạng, tức là khách hàng chọn kiểu, gửi số đo theo hướng dẫn tới cửa hàng (qua Internet) rồi sau một thời gian nhất định nhận được bộ quần

áo theo đúng yêu cầu của mình Điều tưởng như không thể thực hiện được này cũng có rất nhiều người hưởng ứng

Các chủ cửa hàng thông thường ngày nay cũng đang đua nhau đưa thông tin lên Web, các trang mạng xã hội để tiến tới khai thác mảng thị trường rộng lớn trên Web bằng cách mở cửa hàng ảo đưa sản phẩm đến gần người tiêu dùng hơn

1.2.4 Mô hình thương mại điện tử

1.2.4.1 Mô hình B2B

B2B (Business To Business) mô hình kinh doanh thương mại điện tử trong đó giao dịch xảy ra trực tiếp giữa các doanh nghiệp với nhau Giao dịch của các công ty với nhau thường được bắt đầu từ các giao tiếp điện tử, trong đó có giao tiếp qua các sàn giao dịch điện tử

1.2.4.2 Mô hình B2C

B2C (Business To Customer) là mô hình chỉ bao gồm các giao dịch thương mại trên Internet giữa doanh nghiệp với khách hàng, mà trong đó, đối tượng khách hàng của loại hình này là các cá nhân mua hàng Loại hình này áp dụng cho bất kỳ doanh nghiệp hay tổ chức nào bán các sản phẩm hoặc dịch vụ của họ cho khách hàng qua Internet, phục vụ cho nhu cầu sử dụng của cá nhân

1.2.4.3 Sự khác nhau giữa B2B và B2C

- Khác nhau về khách hàng

Khách hàng của các giao dịch B2B (giao dịch giữa doanh nghiệp với doanh nghiệp) là các công ty còn khách hàng của B2C là các cá nhân Tuy nhiên cần phải xem xét chữ C trong B2C là người tiêu dùng cuối cùng (End-user) Nghĩa là C còn bao gồm

cả những doanh nghiệp mua sắm hàng hóa về để tiêu dùng Chẳng hạn như doanh nghiệp mua bàn ghế phục vụ cho công việc văn phòng

Xét về tổng thể, các giao dịch B2B phức tạp hơn và đòi hỏi tính an toàn cao hơn Ngoài

ra, có 2 sự khác biệt lớn nữa:

- Khác biệt về đàm phán, giao dịch

Việc bán hàng cho các doanh nghiệp (B2B) phải bao gồm cả các yếu tố như đàm phán về giá cả, việc giao nhận hàng và xác định quy cách, các đặc tính kỹ thuật của sản phẩm Bán hàng cho người tiêu dùng (B2C) không nhất thiết phải bao gồm tất cả các yếu

tố như vậy Điều này khiến cho các nhà bán lẻ dễ dàng hơn trong việc đưa lên mạng catalog sản phẩm dịch vụ của họ để mở một siêu thị trực tuyến Đó cũng chính là lý do tại sao những ứng dụng Thương mại điện tử B2B đầu tiên được phát triển chỉ cho những hàng hóa và sản phẩm hoàn chỉnh, đơn giản trong khâu mô tả đặc tính và định giá

Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một công ty,

tổ chức, ngành hay một quốc gia, và Internet Vai trò chính là bảo mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài và cấm truy nhập từ bên trong tới một

số địa chỉ nhất định trên Internet

Hình 2.1 Mô hình firewall đơn giản

2.1.2 Chức năng

Chức năng chính của Firewall là kiểm soát luồng thông tin giữa Intranet (mạng bên trong) và Internet Thiết lập cơ chế điều khiển dòng thông tin giữa Intranet và mạng Internet Cụ thể là:

- Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (Từ Intranet ra Internet).

- Cho phép hoặc cấm những dịch vụ từ ngoài truy nhập vào trong (từ Internet vào

- Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.

- Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.

- Kiểm soát người sử dụng và việc truy nhập của người sử dụng Kiểm soát nội dung

thông tin lưu chuyển trên mạng

Một Firewall khảo sát tất cả các luồng lưu lượng giữa hai mạng để xem nó đạt chuẩn hay không Nếu nó đạt, nó được định tuyến giữa các mạng, ngược lại nó bị hủy Một bộ lọc Firewall lọc cả lưu lượng ra lẫn lưu lượng vào Nó cũng có thể quản lý việc truy cập từ bên ngoài vào nguồn tài nguyên bên trong mạng Nó có thể được sử dụng để ghi lại tất cả các cố gắng để vào mạng riêng và đưa ra cảnh báo nhanh chóng khi kẻ tấn công hoặc người không được phân quyền đột nhập Firewall có thể lọc các gói tin dựa vào địa chỉ nguồn, địa chỉ đích và số cổng của chúng Điều này còn được gọi là lọc địa chỉ Firewall cũng có thể lọc các loại đặc biệt của lưu lượng mạng Điều này được gọi là lọc giao thức bởi vì việc ra quyết định cho chuyển tiếp hoặc từ chối lưu lượng phụ thuộc vào giao thức được sử dụng, ví dụ HTTP, FTP hoặc Telnet Firewall cũng có thể lọc luồng lưu lượng thông qua thuộc tính và trạng thái của gói

2.1.3 Kiến trúc cơ bản của Firewall

2.1.3.1 Kiến trúc Dual – homed Host

Hình 2.2 Dual – homed Host

Dual-homed Host là hình thức xuất hiện đầu tiên trong việc bảo vệ mạng nội bộ

Dual-homed Host là một máy tính có hai giao tiếp mạng (Network interface): một nối với mạng cục bộ và một nối với mạng ngoài (Internet).

Hệ điều hành của Dual-home Host được sửa đổi để chức năng chuyển các gói tin (Packet forwarding) giữa hai giao tiếp mạng này không hoạt động Để làm việc được với một máy trên Internet, người dùng ở mạng cục bộ trước hết phải login vào Dual-homed Host, và từ đó bắt đầu phiên làm việc

Ưu điểm của Dual-homed Host:

- Cài đặt dễ dàng, không yêu cầu phần cứng hoặc phần mềm đặc biệt.

- Dual-homed Host chỉ yêu cầu cấm khả năng chuyển các gói tin, do vậy, thông thường

trên các hệ Unix, chỉ cần cấu hình và dịch lại nhân (Kernel) của hệ điều hành là đủ

Nhược điểm của Dual-homed Host:

- Không đáp ứng được những yêu cầu bảo mật ngày càng phức tạp, cũng như những hệ

phần mềm mới được tung ra thị trường

- Không có khả năng chống đỡ những đợt tấn công nhằm vào chính bản thân nó, và khi

Dual-homed Host đó bị đột nhập, nó sẽ trở thành đầu cầu lý tưởng để tấn công vào mạng nội bộ

Đánh giá về kiến trúc Dual-homed Host:

Để cung cấp dịch vụ cho những người sử dụng mạng nội bộ có một số giải pháp như sau:

- Kết hợp với các Proxy Server cung cấp những Proxy Service.

- Cấp các account cho user trên máy dual-homed host này và khi mà người sử dụng muốn

sử dụng dịch vụ từ Internet hay dịch vụ từ external network thì họ phải logging in vào máy này

Nếu dùng phương pháp cấp account cho user trên máy dual-homed host thì user không thích sử dụng dịch vụ phiền phức như vậy, vì mỗi lần họ muốn sử dụng dịch vụ thì phải logging in vào máy khác (dual-homed host) khác với máy của họ đây là vấn đề rất không thuận tiện với người sử dụng

Nếu dùng Proxy Server: khó có thể cung cấp được nhiều dịch vụ cho người sử dụng vì phần mềm Proxy Server và Proxy Client không phải loại dịch vụ nào cũng có sẵn Hoặc khi số dịch vụ cung cấp nhiều thì khả năng đáp ứng của hệ thống có thể giảm xuống vì tất cả các Proxy Server đều đặt trên cùng một máy

Một khuyết điểm cơ bản của hai mô hình trên nữa là : khi mà máy dual-homed host nói chung cũng như các Proxy Server bị đột nhập vào Người tấn công (attacker) đột nhập vào được qua nó thì lưu thông bên trong mạng nội bộ bị attacker này thấy hết điều này thì hết sức nguy hiểm Trong các hệ thống mạng dùng Ethernet hoặc Token Ring thì dữ liệu lưu thông trong hệ thống có thể bị bất kỳ máy nào nối vào mạng đánh cắp dữ liệu cho nên kiến trúc này chỉ thích hợp với một số mạng nhỏ.

2.1.3.2 Kiến trúc Screeend Host

Kiến trúc này kết hợp 2 kỹ thuật đó là Packet Filtering và Proxy Services:

Packet Filtering: Lọc một số dịch vụ mà hệ thống muốn cung cấp sử dụng Proxy Server, bắt người sử dụng nếu muốn dùng dịch vụ thì phải kết nối đến Proxy Server mà không được bỏ qua Proxy Server để nối trực tiếp với mạng bên trong/bên ngoài (internal/external network), đồng thời có thể cho phép Bastion Host mở một kết nối với internal/external host

Proxy Service: Bastion Host sẽ chứa các Proxy Server để phục vụ một số dịch vụ

hệ thống cung cấp cho người sử dụng qua Proxy Server

Hình 2.3 Screened Host

Đánh giá một số ưu, khuyết điểm chính của kiến trúc Screened Host

Kiến trúc screened host hay hơn kiến trúc dual-homed host ở một số điểm cụ thể sau:

Dual-Home Host: Khó có thể bảo vệ tốt vì máy này cùng lúc cung cấp nhiều dịch

vụ, vi phạm qui tắc căn bản là mỗi phần tử hay thành phần nên giữ ít chức năng nếu có

thể được (mỗi phần tử nên giữ ít chức năng càng tốt), cũng như tốc độ đáp ứng khó có thể cao vì cùng lúc đảm nhiệm nhiều chức năng.

Screened Host: Đã tách chức năng lọc các gói IP và các Proxy Server ở hai máy riêng biệt Packet Filtering chỉ giữ chức năng lọc gói nên có thể kiểm soát, cũng như khó xảy ra lỗi (tuân thủ qui tắc ít chức năng) Proxy Servers được đặt ở máy khác nên khả năng phục vụ (tốc độ đáp ứng) cũng cao

Cũng tương tự như kiến trúc Dual-Homed Host khi mà hệ thống Packet Filtering cũng như Bastion Host chứa các Proxy Server bị đột nhập vào (người tấn công đột nhập được qua các hàng rào này) thì lưu thông của mạng nội bộ bị người tấn công thấy

Từ khuyết điểm chính của hai kiến trúc trên ta có kiến trúc thứ ba sau đây khắc phục phần nào khuyết điểm trên

2.1.3.3 Kiến trúc Screend Subnet Host

Hình 2.4 Screend Subnet Host

Với kiến trúc này, hệ thống này bao gồm hai Packet-Filtering Router và một Bastion Host Kiến trúc này có độ an toàn cao nhất vì nó cung cấp cả mức bảo mật: Network và Application trong khi định nghĩa một mạng perimeter network Mạng trung gian (DMZ) đóng vai trò của một mạng nhỏ, cô lập đặt giữa Internet và mạng nội bộ Cơ bản, một DMZ được cấu hình sao cho các hệ thống trên Internet và mạng nội bộ chỉ có thể truy nhập được một số giới hạn các hệ thống trên mạng DMZ, và sự truyền trực tiếp

qua mạng DMZ là không thể được.

Và những thông tin đến, Router ngoài (Exterior Router) chống lại những sự tấn công chuẩn (như giả mạo địa chỉ IP), và điều khiển truy nhập tới DMZ Nó chỉ cho phép

hệ thống bên ngoài truy nhập Bastion Host Router trong (Interior Router) cung cấp sự bảo vệ thứ hai bằng cách điều khiển DMZ truy nhập mạng nội bộ chỉ với những truyền thông bắt đầu từ Bastion Host

Với những thông tin đi, Router trong điều khiển mạng nội bộ truy nhập tới DMZ

Nó chỉ cho phép các hệ thống bên trong truy nhập Bastion Quy luật Filtering trên Router ngoài yêu cầu sử dụng dịch vụ Proxy bằng cách chỉ cho phép thông tin ra bắt nguồn từ Bastion Host

Ưu điểm:

- Kẻ tấn công cần phá vỡ ba tầng bảo vệ: Router ngoài, Bastion Host, và Router trong

- Bởi vì Router trong chỉ quảng cáo DMZ Network tới mạng nội bộ, các hệ thống trong mạng nội bộ không thể truy nhập trực tiếp vào Internet Điều này đảm bảo rằng những user bên trong bắt buộc phải truy nhập Internet qua dịch vụ Proxy

Đánh giá về kiến trúc Screened Subnet Host:

Đối với những hệ thống yêu cầu cung cấp dịch vụ nhanh, an toàn cho nhiều người

sử dụng đồng thời cũng như khả năng theo dõi lưu thông của mỗi người sử dụng trong

hệ thống và dữ liệu trao đổi giữa các người dùng trong hệ thống cần được bảo vệ thì kiến trúc cơ bản trên phù hợp

Để tăng độ an toàn trong mạng nội bộ, kiến trúc screened subnet ở trên sử dụng thêm một mạng DMZ (DMZ hay perimeter network) để che phần nào lưu thông bên trong mạng nội bộ Tách biệt mạng nội bộ với Internet

Sử dụng 2 Screening Router: Router ngoài và Router trong

Áp dụng qui tắc dư thừa có thể bổ sung thêm nhiều mạng trung gian (DMZ và perimeter network) càng tăng khả năng bảo vệ càng cao

Ngoài ra, còn có những kiến trúc biến thể khác như: sử dụng nhiều Bastion Host, ghép chung Router trong và Router ngoài, ghép chung Bastion Host và Router ngoài

2.1.4 Các thành phần của Firewall và cơ chế hoạt động

2.1.4.1 Thành phần

Firewall chuẩn gồm một hay nhiều các thành phần sau đây:

- Bộ lọc gói tin (packet – filtering router)

- Cổng ứng dụng (application-level gateway hay proxy server)

- Cổng mạch (circuite level gateway)

2.1.4.2 Cơ chế hoạt động

Bộ lọc gói tin

Firewall hoạt động chặt chẽ với giao thức TCP/IP, vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, NFS …) thành các gói

dữ liệu (data packets) rồi gán cho các gói này những địa chỉ có thể nhận dạng, tái lập lại

ở đích cần gửi đến, đó đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng

Hình 2.5 Lọc gói tin

Bộ lọc gói tin cho phép hay từ chối mỗi gói tin mà nó nhận được Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số các luật lệ của lọc gói tin hay không Các luật lệ lọc gói tin là dựa trên các thông tin ở đầu mỗi gói tin (header), dùng để cho phép truyền các gói tin đó ở trên mạng Bao gồm:

- Địa chỉ IP nơi xuất phát (Source)

- Địa chỉ IP nơi nhận (Destination)

- Những giao thức truyền tin (TCP, UDP, ICMP, IP tunnel …)

- Cổng TCP/UDP nơi xuất phát.

- Cổng TCP/UDP nơi nhận

- Dạng thông báo ICMP

- Giao diện gói tin đến

- Giao diện gói tin đi

Nếu gói tin thỏa các luật lệ đã được thiết lập trước của Firewall thì gói tin được chuyển qua, nếu không thỏa thì sẽ bị loại bỏ (drop) Việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định được phép mới vào được

đó không thể chuyển thông tin qua firewall Ngoài ra, proxy code (mã ủy nhiệm) có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà người quản trị mạng cho là chấp nhận được trong khi từ chối những đặc điểm khác

Một cổng ứng dụng thường được coi như là một pháo đài chủ (bastion host), bởi

vì nó được thiết kế đặc biệt chống lại sự tấn công từ bên ngoài Những biện pháp đảm bảo an ninh của một bastion host là:

• Bastion host luôn chạy các version (phiên bản) an toàn của các phần mềm hệ thống (Operating System) Các version an toàn này được thiết kế chuyên cho mục đích chống lại sự tấn công vào phần mềm hệ thống, cũng như đảm bảo sự tích hợp Firewall

• Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trên bastion host, đơn giản chỉ vì nếu một dịch vụ được cài đặt, nó khó có thể bị tấn công Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS, FTP, SMTP và xác thực user là được cài đặt trên bastion host.

• Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như user password hay smart card

• Mỗi proxy được cấu hình để cho phép truy nhập chỉ một số các máy chủ nhất định Điều này có nghĩa là bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúng với một số máy chủ trên toàn hệ thống

• Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của lưu lượng qua nó, mỗi sự kết nối, khoảng thời gian kết nối Nhật ký này rất có ích trong việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại

• Mỗi proxy đều độc lập với các proxies khác nhau trên bastion host Điều này cho phép

dễ dàng trong quá trình cài đặt một proxy mới, hay tháo gỡ một proxy đang có vấn đề

Ưu điểm:

• Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy cập được bởi dịch vụ

• Cho phép người quản trị mạng hoàn toàn điểu khiển được những dịch vụ nào cho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là các dịch vụ ấy

Cổng mạch

Cổng mạch là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng dụng Cổng mạch đơn giản chỉ chuyển tiếp các kết nối TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc gói tin nào

Hình 2.6 minh họa một hành động sử dụng nối telnet qua cổng mạch Cổng mạch đơn giản chuyển tiếp kết nối telnet qua Firewall mà không thực hiện một sự kiểm tra, lọc hay điều khiển các thủ tục telnet Cổng mạch làm việc như một sợi dây, sao chép các byte giữa kết nối bên trong (inside connection) và các kết nối bên ngoài (outside connection) Tuy nhiên, vì sự kết nối này xuất hiện từ hệ thống firewall nên nó che dấu thông tin về mạng nội bộ

Hình 2.6 Cổng mạch

Cổng mạch thường được sử dụng cho những kết nối ra ngoài, nơi mà các quản trị mạng thật sự tin tưởng những người dùng bên trong Ưu điểm lớn nhất là một bastion host có thể được cấu hình như là một hỗn hợp cung cấp Cổng ứng dụng cho những kết nối đến và cổng mạch cho các kết nối đi Điều này làm cho hệ thống Firewall dễ dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy nhập tới dịch vụ internet, trong khi vẫn cung cấp chức năng firewall để bảo vệ mạng nội bộ từ những sự tấn công bên ngoài

2.1.4.3 Những hạn chế của Firewall

Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó Firewall chỉ có thể ngăn chặn xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ

Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không “đi qua” nó Một cách cụ thể: firewall không thể chống lại một cuộc tấn công từ một đường dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bấp hợp pháp lên đĩa

Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-drivent attack) Khi có một số chương trình được chuyển theo thư điện tử, vượt qua Firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây

Một ví dụ là các virus máy tính Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của Firewall Firewall có thể ngǎn chặn những kẻ xấu từ bên ngoài nhưng còn những kẻ xấu

ở bên trong thì sao Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi

Để có được khả nǎng bảo mật tối ưu cho hệ thống, Firewall nên được sử dụng kết hợp với các biện pháp an ninh mạng như các phần mềm diệt virus, phần mềm đóng gói,

mã hoá dữ liệu Đặc biệt, chính sách bảo mật được thực hiện một cách phù hợp và có chiều sâu là vấn đề sống còn để khai thác tối ưu hiệu quả của bất cứ phần mềm bảo mật nào Và cũng cần nhớ rằng công nghệ chỉ là một phần của giải pháp bảo mật Một nhân

tố nữa hết sức quan trọng quyết định thành công của giải pháp là sự hợp tác của nhân viên, đồng nghiệp

2.2 MẠNG RIÊNG ẢO (VPN)

2.2.1 Khái niệm cơ bản về VPN

VPN được gọi là mạng ảo vì đây là một cách thiết lập một mạng riêng qua một mạng công cộng sử dụng các kết nối tạm thời Những kết nối bảo mật được thiết lập giữa

2 host , giữa host và mạng hoặc giữa hai mạng với nhau

Một VPN có thể được xây dựng bằng cách sử dụng “Đường hầm” và “Mã hoá” VPN có thể xuất hiện ở bất cứ lớp nào trong mô hình OSI VPN là sự cải tiến cơ sở hạ tầng mạng WAN mà làm thay đổi hay làm tăng thêm tính chất của các mạng cục bộ

Khi tính phổ biến của Internet gia tăng, các doanh nghiệp đầu tư vào nó như một phương tiện quảng bá và mở rộng các mạng mà họ sở hữu Ban đầu, là các mạng nội bộ (Intranet) mà các site được bảo mật bằng mật khẩu được thiết kế cho việc sử dụng chỉ bởi các thành viên trong công ty

Hình 2.7 Mô hình VPN cơ bản

Về căn bản, mỗi VPN(virtual private network) là một mạng riêng rẽ sử dụng một mạng chung (thường là Internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng như đường Leased Line, mỗi VPN sử dụng các kết nối ảo được dẫn qua đường Internet

từ mạng riêng của công ty tới các site của các nhân viên từ xa

Hình 2.8 Mô hình mạng VPN

Những thiết bị ở đầu mạng hỗ trợ cho mạng riêng ảo là switch, router và firewall Những thiết bị này có thể được quản trị bởi công ty hoặc các nhà cung cấp dịch vụ như ISP

2.2.2 Chức năng của VPN

VPN cung cấp ba chức năng chính:

• Sự tin cậy (Confidentiality): Người gửi có thể mã hoá các gói dữ liệu trước khi truyền chúng ngang qua mạng Bằng cách làm như vậy, không một ai có thể truy cập thông tin

mà không được cho phép Và nếu có lấy được thì cũng không đọc được

• Tính toàn vẹn dữ liệu ( Data Integrity): người nhận có thể kiểm tra rằng dữ liệu đã được truyền qua mạng Internet mà không có sự thay đổi nào

• Xác thực nguồn gốc (Origin Authentication): Người nhận có thể xác thực nguồn gốc của gói dữ liệu, đảm bảo và công nhận nguồn thông tin

2.2.3 Ưu điểm của VPN

VPN có nhiều ưu điểm hơn so với các mạng leased-line truyền thống Nó bao gồm:

• VPN làm giảm chi phí hơn so với mạng cục bộ Tổng giá thành của việc sở hữu một mạng VPN sẽ được thu nhỏ, do chỉ phải trả ít hơn cho việc thuê băng thông đường truyền, các thiết bị mạng đường trục, và hoạt động của hệ thống Giá thành cho việc kết nối LAN-to-LAN giảm từ 20-30% so với việc sử dụng đường Leased-line truyền thống Còn đối với việc truy cập từ xa thì giảm tới từ 60-80%

• VPN tạo ra tính mềm dẻo cho khả năng quản lý Internet Các VPN đã kết thừa phát huy hơn nữa tính mềm dẻo và khả năng mở rộng kiến trúc mạng hơn là các mạng WAN truyền thống Điều này giúp các doanh nghiệp có thể nhanh chóng và hiệu quả kinh tế cho việc mở rộng hay huỷ bỏ kết nối của các trụ sở ở xa, các người sử dụng di động…,

và mở rộng các đối tác kinh doanh khi có nhu cầu

• VPN làm đơn giản hoá cho việc quản lý các công việc so với việc sở hữu và vận hành một mạng cục bộ Các doanh nghiệp có thể cho phép sử dụng một vài hay tất cả các dịch

vụ của mạng WAN, giúp các doanh nghiệp có thể tập chung vào các đối tượng kinh doanh chính, thay vì quản lý một mạng WAN hay mạng quay số từ xa

• VPN cung cấp các kiểu mạng đường hầm và làm giả thiểu các công việc quản lý Một Backbone IP sẽ loại bỏ các PVC (Permanent Virtual Circuit) cố định tương ứng với các giao thức kết nối như là Frame Relay và ATM Điều này tạo ra một kiểu mạng lưới hoàn chỉnh trong khi giảm được độ phức tạp và giá thành

Hình 2.9 Ưu điểm của VPN so với mạng truyền thống

Một mạng VPN có được những ưu điểm của mạng cục bộ trên cơ sở hạ tầng của mạng IP công cộng Các ưu điểm này bao gồm tính bảo mật và sử dụng đa giao thức

Hình 2.10 Các ưu điểm của VPN

Một mạng ảo được tạo ra nhờ các giao thức đường hầm trên một kết nối IP chuẩn GRE (Generic Routing Protocol), L2TP (Layer 2 Tunneling Protocol) và IPSec là ba phương thức đường hầm

Một mạng cục bộ là một mạng mà đảm bảo độ tin cậy, tính toàn vẹn và xác thực, gọi tắt là CIA Mã hoá dữ liệu và sử dụng giao thức IPSec giúp giữ liệu có thể chung

chuyển trên Web với các tính chất CIA tương tự như là một mạng cục bộ.

2.2.4 Các yêu cầu cơ bản đối với giải pháp VPN

Có 4 yêu cầu cần đạt được khi xây dựng mạng riêng ảo

• Tính tương thích (compatibility)

Mỗi công ty, mỗi doanh nghiệp đều được xây dựng các hệ thống mạng nội bộ và diện rộng của mình dựa trên các thủ tục khác nhau và không tuân theo một chuẩn nhất định của nhà cung cấp dịch vụ Rất nhiều các hệ thống mạng không sử dụng các chuẩn TCP/IP vì vậykhông thể kết nối trực tiếp với Internet Để có thể sử dụng được IP VPN tất cả các hệ thống mạng riêng đều phải được chuyển sang một hệ thống địa chỉ theo chuẩn sử dụng trong internet cũng như bổ sung các tính năng về tạo kênh kết nối ảo, cài đặt cổng kết nối internet có chức năng trong việc chuyển đổi các thủ tục khác nhau sang chuẩn IP 77% số lượng khách hàng được hỏi yêu cầu khi chọn một nhà cung cấp dịch vụ

IP VPN phải tương thích với các thiết bị hiện có của họ

• Tính bảo mật (security)

Tính bảo mật cho khách hàng là một yếu tố quan trọng nhất đối với một giải pháp VPN Người sử dụng cần được đảm bảo các dữ liệu thông qua mạng VPN đạt được mức

độ an toàn giống như trong một hệ thống mạng dùng riêng do họ tự xây dựng và quản lý

Việc cung cấp tính năng bảo đảm an toàn cần đảm bảo hai mục tiêu sau:

- Cung cấp tính năng an toàn thích hợp bao gồm: cung cấp mật khẩu cho người sử dụng trong mạng và mã hoá dữ liệu khi truyền

- Đơn giản trong việc duy trì quản lý, sử dụng Đòi hỏi thuận tiện và đơn giản cho người

sử dụng cũng như nhà quản trị mạng trong việc cài đặt cũng như quản trị hệ thống

• Tính khả dụng (Availability):

Một giải pháp VPN cần thiết phải cung cấp được tính bảo đảm về chất lượng, hiệu suất

sử dụng dịch vụ cũng như dung lượng truyền

• Tiêu chuẩn về chất lượng dịch vụ (QoS):

Tiêu chuẩn đánh giá của một mạng lưới có khả năng đảm bảo chất lượng dịch vụ cung cấp đầu cuối đến đầu cuối QoS liên quan đến khả năng đảm bảo độ trễ dịch vụ trong một phạm vi nhất định hoặc liên quan đến cả hai vấn đề trên

2.2.5 Phân loại VPN

VPN được tạo ra nhm giải quyết 3 yêu cầu cơ bản sau đây :

• Có thể truy cập bất cứ lúc nào bằng điều khiển từ xa, bằng điện smartphone, laptop và

việc liên lạc giữa các nhân viên của một tổ chức tới các tài nguyên mạng

• Nối kết thông tin liên lạc giữa các chi nhánh văn phòng từ xa

• Ðược điều khiển truy nhập tài nguyên mạng khi cần thiết của khách hàng, nhà cung cấp

và những đối tác quan trọng của công ty nhằm hợp tác kinh doanh

Dựa trên những nhu cầu cơ bản trên, ngày nay VPN đã phát triển và phân chia ra làm 3 phân loại chính sau :

xa so với trung tâm.

- Hỗ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS và hỗ trợ truy cập

từ xa bởi người dùng

Bằng việc triển khai Remote Access VPNs, những người dùng từ xa hoặc các chi nhánh văn phòng chỉ cần cài đặt một kết nối cục bộ đến nhà cung cấp dịch vụ ISP hoặc ISP’s POP và kết nối đến tài nguyên thông qua Internet

Hình 2.12: Cài đặt Remote Access VPN

Thuận lợi chính của Remote Access VPNs :

• Sự cần thiết của RAS và việc kết hợp với modem được loại trừ

• Sự cần thiết hỗ trợ cho người dung cá nhân được loại trừ bởi vì kết nối từ xa đã được tạo điều kiện thuận lợi bời ISP

• Việc quay số từ những khoảng cách xa được loại trừ , thay vào đó, những kết nối với khoảng cách xa sẽ được thay thế bởi các kết nối cục bộ

• Giảm giá thành chi phí cho các kết nối với khoảng cách xa

• Do đây là một kết nối mang tính cục bộ, do vậy tốc độ nối kết sẽ cao hơn so với kết nối trực tiếp đến những khoảng cách xa

• VPNs cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hỗ trợ dịch vụ truy cập

ở mức độ tối thiểu nhất cho dù có sự tăng nhanh chóng các kết nối đồng thời đến mạng.Ngoài những thuận lợi trên, VPNs cũng tồn tại một số bất lợi khác như :

• Remote Access VPNs cũng không bảo đảm được chất lượng phục vụ

• Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói dữ liệu có thể đi ra

• Do độ phức tạp của thuật toán mã hoá, protocol overhead tăng đáng kể, điều này gây khó khăn cho quá trình xác nhận Thêm vào đó, việc nén dữ liệu IP và PPP-based diễn ra vô cùng chậm chạp và tồi tệ.

• Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn như các gói

dữ liệu truyền thông, phim ảnh, âm thanh sẽ rất chậm

2.2.5.2 VPN nội bộ (Intranet VPN)

Intranet VPNs được sử dụng để kết nối đến các chi nhánh văn phòng của tổ chức đến Corporate Intranet (backbone router) sử dụng campus router Theo mô hình này sẽ rất tốn chi phí do phải sử dụng 2 router để thiết lập được mạng, thêm vào đó, việc triển khai, bảo trì và quản lý mạng Intranet Backbone sẽ rất tốn kém còn tùy thuộc vào lượng lưu thông trên mạng đi trên nó và phạm vi địa lý của toàn bộ mạng Intranet

Ðể giải quyết vấn đề trên, sự tốn kém của WAN backbone được thay thế bởi các kết nối Internet với chi phí thấp, điều này có thể giảm một lượng chi phí đáng kể của việc triển khai mạng Intranet

Intranet VPNs là một VPN nội bộ đươc sử dụng để bảo mật các kết nối giữa các địa điểm khác nhau của một công ty Điều này cho phép tất cả các địa điểm có thể truy cập các nguồn dữ liệu được phép trong toàn bộ mạng của công ty Các VPN nội bộ liên kết trụ sở chính, các văn phòng, và các văn phòng chi nhánh trên một cơ sở hạ tầng chung sử dụng các kết nối mà luôn luôn được mã hoá Kiểu VPN này thường được cấu hình như là một VPN Site-to-Site

Hình 2.13 Mô hình mạng VPN nội bộ

Những thuận lợi chính của Intranet setup dựa trên VPN:

• Hiệu quả chi phí hơn do giảm số lượng router được sử dụng theo mô hình WAN

backbone

• Giảm thiểu đáng kể số lượng hỗ trợ yêu cầu người dùng cá nhân qua toàn cầu, các trạm

ở một số remote site khác nhau

• Bởi vì Internet hoạt động như một kết nối trung gian, nó dễ dàng cung cấp những kết nối mới ngang hàng

• Kết nối nhanh hơn và tốt hơn do về bản chất kết nối đến nhà cung cấp dịch vụ, loại bỏ vấn đề về khoảng cách xa và thêm nữa giúp tổ chức giảm thiểu chi phí cho việc thực hiện Intranet

Những bất lợi chính kết hợp với cách giải quyết :

• Bởi vì dữ liệu vẫn còn tunnel trong suốt quá trình chia sẽ trên mạng công

cộng-Internet-và những nguy cơ tấn công, như tấn công bằng từ chối dịch vụ (denial-of-service), vẫn còn là một mối đe doạ an toàn thông tin

• Khả năng mất dữ liệu trong lúc di chuyễn thông tin cũng vẫn rất cao

• Trong một số trường hợp, nhất là khi dữ liệu là loại high-end, như các tập tin

mulltimedia, việc trao đổi dữ liệu sẽ rất chậm chạp do được truyền thông qua Internet

• Do là kết nối dựa trên Internet, nên tính hiệu quả không liên tục, thường xuyên, và QoS cũng không được đảm bảo

2.2.5.3 VPN mở rộng (Extranet VPN)

Không giống như Intranet và Remote Access-based, Extranet không hoàn toàn cách li từ bên ngoài (outer-world), Extranet cho phép truy cập những tài nguyên mạng cần thiết của các đối tác kinh doanh, chẳng hạn như khách hàng, nhà cung cấp, đối tác những người giữ vai trò quan trọng trong tổ chức

Mạng Extranet rất tốn kém do có nhiều đoạn mạng riêng biệt trên Intranet kết hợp lại với nhau để tạo ra một Extranet Ðiều này làm cho khó triển khai và quản lý do có nhiều mạng, đồng thời cũng khó khăn cho cá nhân làm công việc bảo trì và quản trị Thêm nữa là mạng Extranet sẽ khó mở rộng do điều này sẽ làm rối tung toàn bộ mạng Intranet và có thể ảnh hưởng đến các kết nối bên ngoài mạng Sẽ có những vấn đề bạn gặp phải bất thình lình khi kết nối một Intranet vào một mạng Extranet Triển khai và thiết kế một mạng Extranet có thể là một cơn ác mộng của các nhà thiết kế và quản trị mạng

Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng, các nhà cung cấp, và các đối tác qua một cơ sở hạ tầng công cộng sử dụng các kết nối mà luôn luôn được bảo mật Kiểu VPN này thường được cấu hình như là một VPN Site-to-Site Sự khác nhau giữa một VPN nội bộ và một VPN mở rộng đó là sự truy cập mạng

mà được công nhận ở một trong hai đầu cuối của VPN Hình dưới đây minh hoạ một VPN mở rộng

Hình 2.14 Mô hình mạng VPN mở rộng

Một số thuận lợi của Extranet :

• Do hoạt động trên môi trường Internet, chúng ta có thể lựa chọn nhà phân phối khi lựa chọn và đưa ra phương pháp giải quyết tuỳ theo nhu cầu của tổ chức

• Bởi vì một phần Internet-connectivity được bảo trì bởi nhà cung cấp (ISP) nên cũng giảm chi phí bảo trì khi thuê nhân viên bảo trì

• Dễ dàng triển khai, quản lý và chỉnh sửa thông tin

Một số bất lợi của Extranet :

• Sự đe dọa về tính an toàn, như bị tấn công bằng từ chối dịch vụ vẫn còn tồn tại

• Tăng thêm nguy hiểm sự xâm nhập đối với tổ chức trên Extranet

• Do dựa trên Internet nên khi dữ liệu là các loại high-end data thì việc trao đổi diễn ra chậm chạp

• Do dựa trên Internet, QoS cũng không được bảo đảm thường xuyên

2.3 SSL ỨNG DỤNG TRONG E-COMMERCE

2.3.1 Giới thiệu về SSL

Trong các giao dịch điện tử trên mạng và trong các giao dịch thanh toán trực tuyến, thông tin/ dữ liệu trên môi trường mạng Internet phi an toàn thường được bảo đảm bởi cơ chế bảo mật thực hiện trên tầng vận tải có tên SSL (Secure Socket Layer) và TLS (Transport Layer Security-được bổsung từ SSL phiên bản 3.0) - một giải pháp kỹ thuật hiện nay được sử dụng khá phổ biến trong các hệ điều hành mạng máy tính trên Internet

Lớp cổng bảo mật SSL (Secure Socket Layer) - một giải pháp kỹ thuật hiện nay được sử dụng khá phổ biến trong các hệ điều hành mạng máy tính trên Internet SSL là