Nghiên cứu và xây dựng ứng dụng về danh sách điều khiển truy cập trong lĩnh vực an ninh mạng

Để đáp ứng được nhu cầu an toàn, chính xác, các nhà khoa học máy tính đã nghiên cứu, đưa ra rất nhiều biện pháp bảo mật, an ninh như Firewall, phần mềm diệt virus, hệ thống chứng thực, I

LỜI NÓI ĐẦU

Xã hội ngày càng phát triển khiến cho nhu cầu trao đổi thông tin càng lớn Không chỉ diễn ra trong một tổ chức, một ngành nào đó mà còn phải mở rộng trong một khu vực, một quốc gia và trên toàn thế giới Mạng máy tính ra đời đã đáp ứng được nhu cầu đó và mạng lại giá trị thực tiễn to lớn thông qua việc giúp con người xích lại gần nhau hơn, những thông tin quan trọng và cần thiết được truyền tải, khai thác và xử lý kịp thời, chính xác và trung thực, khoảng cách thời gian và không gian được thu hẹp Tuy nhiên do sự phát triển không ngừng của xã hội thì hệ thống mạng không chỉ đáp ứng nhu cầu trao đổi thông tin mà cần phải nhanh hơn, an toàn, chính xác hơn Để đáp ứng được nhu cầu an toàn, chính xác, các nhà khoa học máy tính đã nghiên cứu, đưa ra rất nhiều biện pháp bảo mật, an ninh như Firewall, phần mềm diệt virus, hệ thống chứng thực, IDS, VPN,NAT, danh sách điều khiển truy cập (ACL)…

Để hiểu rõ hơn về an ninh mạng, em chọn đề tài “Nghiên cứu và xây dựng ứng dụng về Danh sách điều khiển truy cập trong lĩnh vực an ninh mạng”

Trong suốt thời gian học tập đặc biệt là thời gian làm đồ án em đã nhận được

sự giúp đỡ tận tình của các thầy cô trong trường Công Nghệ Thông Tin Và Truyền Thông đặc biệt là thầy Th.S Nguyễn Anh Chuyên Qua đây em muốn gửi đến các thầy, các cô lời cảm ơn chân thành nhất

Do còn hạn chế về kiến thức, kinh nghiệm và thời gian nên đề tài của em không tránh được những thiếu sót, hạn chế khi thực hiên Em kính mong được các ý kiến đóng góp của các thầy cô, bạn bè để đề tài của em được hoàn thiện hơn

Em xin chân thành cảm ơn!

Thái Nguyên, ngày 06 tháng 6 năm 2012

Sinh viên

Nguyễn Văn Toản

LỜI CAM ĐOAN

Em xin cam đoan những nội dung trong đồ án là do em thực hiên dưới sự hướng dẫn của thầy Th.S Nguyễn Anh Chuyên

Mọi tham khảo đều được nêu rõ tên công trình, tên tác giản, thời gian và địa điểm công bố

Mọi sao chép không hợp lệ, vi phạm quy chế đào tạo hay gian trá em xin chịu hoàn toàn trách nhiệm

Thái Nguyên, ngày 06 tháng 6 năm 2012

Sinh viên

Nguyễn Văn Toản

MỤC LỤC

LỜI NÓI ĐẦU 1

LỜI CAM ĐOAN 2

CHƯƠNG 1: TỔNG QUAN VỀ MẠNG VÀ CÁC KIẾN THỨC LIÊN QUAN 6 1.1 Tổng quan về mạng máy tính 6

1.1.1 Lịch sử phát triển của mạng máy tính 6

1.1.2 Khái niệm cơ bản 6

1.1.3 Phân biệt các loại mạng 7

1.1.4 Mạng toàn cầu Internet 9

1.1.5 Mô hình OSI (Open Systems Interconnect) 10

1.1.6 Các giao thức trong mô hình OSI 10

1.1.7 Các chức năng chủ yếu của các tầng của mô hình OSI 11

1.2 Một số kỹ thuật tấn công mạng 17

1.2.1 Kỹ thuật giả mạo địa chỉ ( fake IP) 17

1.2.2 Kỹ thuật tràn bộ nhớ đệm 19

1.2.3 Kỹ thuật tấn công vào các lỗ hổng bảo mật 20

1.2.4 Chiếm hữu phiên làm việc (Session Mangement) 20

1.2.5 Kỹ thuật tấn công từ chối dịch vụ (DoS) 20

1.2.6 Kỹ thuật Social Engineering 23

1.3 Một số biện pháp bảo mật mạng cơ bản 23

1.3.1 Mạng riêng ảo hay VPN (Virtual Private Network) 23

1.3.2 IPS (Intrusion Prevention System) 25

1.3.3 Cisco NAC (Cisco Network Admission Control) 25

CHƯƠNG 2: DANH SÁCH ĐIỀU KHIỂN TRUY CẬP (ACL) 29

2.1 Lý do chọn đề tài 29

2.1.1 Tính cấp thiết 29

2.1.2 Lựa chọn giải pháp 29

2.2 Lý thuyết về danh sách điều khiển truy cập 30

2.2.1 Giới thiệu thiệu về danh sách khiển truy cập 30

2.2.2 Những nguyên tắc cơ bản của bảo mật: 31

2.2.3 Các nhân tố bảo mật thông tin 34

2.2.4 Các phương pháp kiểm soát truy cập 35

2.3 An ninh mạng bằng danh sách điều khiển truy cập (ACL) 38

2.3.1 Tại sao phải sử dụng ACL? 39

2.3.2 Các loại ACL 39

2.3.3 Cách đặt ACL 41

2.3.4 Hoạt động của ACL 41

2.3.5 Một số điểm cần lưu ý: 42

2.3.6 Cấu hình ACL: 42

2.3.7 Quản lý các ACL 51

CHƯƠNG 3: TRIỂN KHAI THỬ NGHIỆM TOPO MẠNG TRÊN PACKET TRACER 52

3.1 Xây dựng topo mạng 52

3.2 Triển khai cấu hình 53

3.2.1 Cấu hình trên Router HN 53

3.2.2 Cấu hình trên Router TN 55

3.2.3 Cấu hình trên Router DN 56

3.2.4 Cấu hình trên Router HCM 58

3.2.5 Cấu hình trên các PC 59

3.3 Kiểm tra các kết nối 61

3.3.1 Kiểm tra từ khu vực Thái Nguyên 61

3.3.2 Kiểm tra từ khu vực Đà Nẵng 63

3.3.3 Kiểm tra từ khu vực Hồ Chí Minh 65

KẾT LUẬN 67

TÀI LIỆU THAM KHẢO 68

DANH MỤC CÁC HÌNH

Hình 2.1: Các nguyên tắc bảo mật 31

Hình 2.2: Các nhân tố bảo mật thông tin 34

Hình 2.3: Mô hình mạng sử dụng ACL 39

Hình 2.4: Topo mạng được cấu hình ACL 44

Hình 2.5: Cấu hình ACL 1 trên R2 45

Hình 2.6: Ping từ PC2 đến mạng 220.0.0.0 46

Hình 2.7: Ping từ PC1 đến mạng 220.0.0.0 46

Hình 2.8: Đặt pass telnet trên R2 48

Hình 2.9: Đặt pass telnet trên R1 48

Hình 2.10: Telnet trên R1 49

Hình 2.11: Cấu hình ACL 101 trên R1 50

Hình 2.12: Kiểm tra telnet từ R2 đến 200.0.0.1 50

Hình 3.1: Mô hình topo mạng 52

Hình 3.2: Đặt địa chỉ IP cho PC0 59

Hình 3.3: Đặt địa chỉ IP cho PC8 60

Hình 3.4: Thay đổi lời chào khi duyệt web 60

Hình 3.5: Truy cập web từ PC6 61

Hình 3.6: Ping từ PC3 đến 16.0.0.2 61

Hình 3.7: Truy cập web từ PC0 62

Hình 3.8: Ping từ PC5 đến server 62

Hình 3.9: Truy cập web từ PC8 63

Hình 3.10: Telnet từ PC4 đến Router HN 63

Hình 3.11: Duyệt web từ PC1 64

Hình 3.12: Ping từ PC1 đến server 64

Hình 3.13: Telnet từ PC1 đến Router HN 65

Hình 3.14: Truy cập Web từ PC7 65

Hình 3.15: Ping từ PC7 đến server 66

CHƯƠNG 1: TỔNG QUAN VỀ MẠNG VÀ CÁC KIẾN THỨC LIÊN QUAN

1.1 Tổng quan về mạng máy tính

1.1.1 Lịch sử phát triển của mạng máy tính

Vào giữa những năm 50, những hệ thống máy tính đầu tiên ra đời sử dụng các bóng đèn điện tử nên kích thước rất cồng kềnh và tiêu tốn nhiều năng lượng Việc nhập dữ liệu vào máy tính được thực hiện thông qua các bìa đục lỗ và kết quả được đưa ra máy in, điều này làm mất rất nhiều thời gian và bất tiện cho người sử dụng

Đến giữa những năm 60, cùng với sự phát triển của các ứng dụng trên máy tính và nhu cầu trao đổi thông tin với nhau, một số nhà sản xuất máy tính đã nghiên cứu chế tạo thành công các thiết bị truy cập từ xa tới các máy tính của họ, và đây chính là những dạng sơ khai của hệ thống mạng máy tính

Đến đầu những năm 70, hệ thống thiết bị đầu cuối 3270 của IBM ra đời cho phép mở rộng khả năng tính toán của các trung tâm máy tính đến các vùng ở xa Đến giữa những năm 70, IBM đã giới thiệu một loạt các thiết bị đầu cuối được thiết

kế chế tạo cho lĩnh vực ngân hàng, thương mại Thông qua dây cáp mạng các thiết

bị đầu cuối có thể truy cập cùng một lúc đến một máy tính dùng chung Đến năm

1977, công ty Datapoint Corporation đã tung ra thị trường hệ điều hành mạng của mình là “Attache Resource Computer Network” (Arcnet) cho phép liên kết các máy tính và các thiết bị đầu cuối lại bằng dây cáp mạng, và đó chính là hệ điều hành mạng đầu tiên

1.1.2 Khái niệm cơ bản

Nói một cách cơ bản, mạng máy tính là hai hay nhiều máy tính được kết nối với nhau theo một cách nào đó sao cho chúng có thể trao đổi thông tin qua lại với nhau

Mạng máy tính ra đời xuất phát từ nhu cầu muốn chia sẻ và dùng chung dữ liệu Không có hệ thống mạng thì dữ liệu trên các máy tính độc lập muốn chia sẻ với

nhau phải thông qua việc in ấn hay sao chép qua đĩa mềm, CD ROM, … điều này gây rất nhiều bất tiện cho người dùng Các máy tính được kết nối thành mạng cho phép các khả năng:

• Sử dụng chung các công cụ tiện ích

• Chia sẻ kho dữ liệu dùng chung

• Tăng độ tin cậy của hệ thống

• Trao đổi thông điệp, hình ảnh,

• Dùng chung các thiết bị ngoại vi (máy in, máy vẽ, Fax, modem …)

• Giảm thiểu chi phí và thời gian đi lại

1.1.3 Phân biệt các loại mạng

 Phương thức kết nối mạng được sử dụng chủ yếu trong liên kết mạng: có hai phương thức chủ yếu, đó là điểm - điểm và điểm - nhiều điểm

để nối các cặp máy tính lại với nhau Mỗi máy tính có thể truyền và nhận trực tiếp

dữ liệu hoặc có thể làm trung gian như lưu trữ những dữ liệu mà nó nhận được rồi sau đó chuyển tiếp dữ liệu đi cho một máy khác để dữ liệu đó đạt tới đích

đường truyền vật lý Dữ liệu được gửi đi từ một máy tính sẽ có thể được tiếp nhận bởi tất cả các máy tính còn lại, bởi vậy cần chỉ ra điạ chỉ đích của dữ liệu để mỗi máy tính căn cứ vào đó kiểm tra xem dữ liệu có phải dành cho mình không nếu đúng thì nhận còn nếu không thì bỏ qua

 Phân loại mạng máy tính theo vùng địa lý:

Thông thường kết nối này được thực hiện thông qua mạng viễn thông và vệ tinh

bộ các quốc gia hay giữa các quốc gia trong cùng một châu lục Thông thường kết nối này được thực hiện thông qua mạng viễn thông Các WAN có thể được kết nối với nhau thành GAN hay tự nó đã là GAN

 MAN (Metropolitan Area Network) kết nối các máy tính trong phạm vi một thành phố Kết nối này được thực hiện thông qua các môi trường truyền thông tốc độ cao (50-100 Mbit/s)

khu vực bán kính hẹp thông thường khoảng vài trǎm mét Kết nối được thực hiện thông qua các môi trường truyền thông tốc độ cao ví dụ cáp đồng trục thay cáp quang LAN thường được sử dụng trong nội bộ một cơ quan/tổ chức Các LAN có thể được kết nối với nhau thành WAN

 Phân loại mạng máy tính theo topo

nối vào một thiết bị trung tâm có nhiệm vụ nhận tín hiệu từ các trạm và chuyển tín hiệu đến trạm đích với phương thức kết nối là phương thức "điểm - điểm"

được nối vào một đường dây truyền chính (bus) Đường truyền chính này được giới hạn hai đầu bởi một loại đầu nối đặc biệt gọi là terminator (dùng để nhận biết là đầu cuối để kết thúc đường truyền tại đây) Mỗi trạm được nối vào bus qua một đầu nối chữ T (T_connector) hoặc một bộ thu phát (transceiver)

thành một vòng tròn theo phương thức "điểm - điểm", qua đó mỗi một trạm có thể nhận và truyền dữ liệu theo vòng một chiều và dữ liệu được truyền theo từng gói một

thể thiết kế mạng kết hợp các dạng sao, vòng, tuyến để tận dụng các điểm mạnh của mỗi dạng

 Phân loại mạng theo chức năng

các dịch vụ như file server, mail server, Web server, Printer server, … Các máy tính

được thiết lập để cung cấp các dịch vụ được gọi là Server, còn các máy tính truy cập

và sử dụng dịch vụ thì được gọi là Client

vừa như một Client vừa như một Server

năng Client-Server và Peer-to-Peer

 Phân biệt mạng LAN-WAN

trên một phạm vi rộng

thể chấp nhận được

Switching Network), chuyển mạch gói (Packet Switching Network), ATM (Cell relay), chuyển mạch khung (Frame Relay), …

1.1.4 Mạng toàn cầu Internet

Mạng toàn cầu Internet là một tập hợp gồm hàng vạn mạng trên khắp thế giới Mạng Internet bắt nguồn từ một thử nghiệm của Cục quản lý các dự án nghiên cứu tiên tiến (Advanced Research Projects Agency – ARPA) thuộc Bộ quốc phòng

Mỹ đã kết nối thành công các mạng máy tính cho phép các trường đại học và các công ty tư nhân tham gia vào các dự án nghiên cứu

Về cơ bản, Internet là một liên mạng máy tính giao tiếp dưới cùng một bộ giao thức TCP/IP (Transmission Control Protocol/Internet Protocol) Giao thức này

cho phép mọi máy tính trên mạng giao tiếp với nhau một cách thống nhất giống như một ngôn ngũ quốc tế mà mọi người sử dụng để giao tiếp với nhau hàng ngày

Số lượng máy tính kết nối mạng và số lượng người truy cập vào mạng Internet trên toàn thế giới ngày càng tăng lên nhanh chóng, đặc biệt từ những năm 90 trở đi Mạng Internet không chỉ cho phép chuyển tải thông tin nhanh chóng mà còn giúp cung cấp thông tin, nó cũng là diễn đàn và là thư viện toàn cầu đầu tiên

1.1.5 Mô hình OSI (Open Systems Interconnect)

Ở thời kỳ đầu của công nghệ nối mạng, việc gửi và nhận dữ liệu ngang qua mạng thường gây nhầm lẫn do các công ty lớn như IBM, Honeywell và Digital Equipment Corporation tự đề ra những tiêu chuẩn riêng cho hoạt động kết nối máy tính

Năm 1984, tổ chức Tiêu chuẩn hoá Quốc tế - ISO (International Standard Organization) chính thức đưa ra mô hình OSI (Open Systems Interconnection), là tập hợp các đặc điểm kỹ thuật mô tả kiến trúc mạng dành cho việc kết nối các thiết

bị không cùng chủng loại

Mô hình OSI được chia thành 7 tầng, mỗi tầng bao gồm những hoạt động, thiết bị và giao thức mạng khác nhau

1.1.6 Các giao thức trong mô hình OSI

Trong mô hình OSI có hai loại giao thức chính được áp dụng: giao thức có liên kết (connection - oriented) và giao thức không liên kết (connectionless)

- Giao thức có liên kết: trước khi truyền dữ liệu hai tầng đồng mức cần thiết lập một liên kết logic và các gói tin được trao đổi thông qua liên kết náy, việc có liên kết logic sẽ nâng cao độ an toàn trong truyền dữ liệu

- Giao thức không liên kết: trước khi truyền dữ liệu không thiết lập liên kết logic và mỗi gói tin được truyền độc lập với các gói tin trước hoặc sau nó

Như vậy với giao thức có liên kết, quá trình truyền thông phải gồm 3 giai đoạn phân biệt:

- Thiết lập liên kết (logic): hai thực thể đồng mức ở hai hệ thống thương lượng với nhau về tập các tham số sẽ sử dụng trong giai đoạn sau (truyền dữ liệu)

- Truyền dữ liệu: dữ liệu được truyền với các cơ chế kiểm soát và quản lý kèm theo (như kiểm soát lỗi, kiểm soát luồng dữ liệu, cắt/hợp dữ liệu ) để tăng cường độ tin cậy và hiệu quả của việc truyền dữ liệu

- Hủy bỏ liên kết (logic): giải phóng tài nguyên hệ thống đã được cấp phát cho liên kết để dùng cho liên kết khác

Đối với giao thức không liên kết thì chỉ có duy nhất một giai đoạn truyền dữ liệu mà thôi

Gói tin của giao thức: Gói tin (Packet) được hiểu như là một đơn vị thông tin dùng trong việc liên lạc, chuyển giao dữ liệu trong mạng máy tính Những thông điệp (message) trao đổi giữa các máy tính trong mạng, được tạo dạng thành các gói tin ở máy nguồn Và những gói tin này khi đích sẽ được kết hợp lại thành thông điệp ban đầu Một gói tin có thể chứa đựng các yêu cầu phục vụ, các thông tin điều khiển

Tại bên nhận các gói tin được gỡ bỏ phần đầu trên từng tầng tướng ứng và đây cũng

là nguyên lý của bất cứ mô hình phân tầng nào

1.1.7 Các chức năng chủ yếu của các tầng của mô hình OSI

 Tầng Vật lý (Physical)

Tầng vật lý (Physical layer) là tầng dưới cùng của mô hình OSI là Nó mô tả các đặc trưng vật lý của mạng: Các loại cáp được dùng để nối các thiết bị, các loại

đầu nối được dùng, các dây cáp có thể dài bao nhiêu v.v Mặt khác các tầng vật lý cung cấp các đặc trưng điện của các tín hiệu được dùng để khi chuyển dữ liệu trên cáp từ một máy này đến một máy khác của mạng, kỹ thuật nối mạch điện, tốc độ cáp truyền dẫn

Tầng vật lý không qui định một ý nghĩa nào cho các tín hiệu đó ngoài các giá trị nhị phân 0 và 1 Ở các tầng cao hơn của mô hình OSI ý nghĩa của các bit được truyền ở tầng vật lý sẽ được xác định

Ví dụ: Tiêu chuẩn Ethernet cho cáp xoắn đôi 10 baseT định rõ các đặc trưng điện của cáp xoắn đôi, kích thước và dạng của các đầu nối, độ dài tối đa của cáp Khác với các tầng khác, tầng vật lý là không có gói tin riêng và do vậy không có phần đầu (header) chứa thông tin điều khiển, dữ liệu được truyền đi theo dòng bit Một giao thức tầng vật lý tồn tại giữa các tầng vật lý để quy định về phương thức truyền (đồng bộ, phi đồng bộ), tốc độ truyền

 Tầng Liên kết dữ liệu (Data link)

Tầng liên kết dữ liệu (data link layer) là tầng mà ở đó ý nghĩa được gán cho các bit được truyền trên mạng Tầng liên kết dữ liệu phải quy định được các dạng thức, kích thước, địa chỉ máy gửi và nhận của mỗi gói tin được gửi đi Nó phải xác định cơ chế truy nhập thông tin trên mạng và phương tiện gửi mỗi gói tin sao cho nó được đưa đến cho người nhận đã định

Tầng liên kết dữ liệu có hai phương thức liên kết dựa trên cách kết nối các máy tính, đó là phương thức "một điểm - một điểm" và phương thức "một điểm - nhiều điểm" Với phương thức "một điểm - một điểm" các đường truyền riêng biệt được thiết lâp để nối các cặp máy tính lại với nhau Phương thức "một điểm - nhiều điểm " tất cả các máy phân chia chung một đường truyền vật lý

Tầng liên kết dữ liệu cũng cung cấp cách phát hiện và sửa lỗi cơ bản để đảm bảo cho dữ liệu nhận được giống hoàn toàn với dữ liệu gửi đi Nếu một gói tin có lỗi không sửa được, tầng liên kết dữ liệu phải chỉ ra được cách thông báo cho nơi gửi biết gói tin đó có lỗi để nó gửi lại

Các giao thức tầng liên kết dữ liệu chia làm 2 loại chính là các giao thức hướng ký tư và các giao thức hướng bit Các giao thức hướng ký tự được xây dựng dựa trên các ký tự đặc biệt của một bộ mã chuẩn nào đó (như ASCII hay EBCDIC), trong khi đó các giao thức hướng bit lại dùng các cấu trúc nhị phân (xâu bit) để xây dựng các phần tử của giao thức (đơn vị dữ liệu, các thủ tục.) và khi nhận, dữ liệu sẽ được tiếp nhận lần lượt từng bit một

Tầng Mạng (Network)

Tầng mạng (network layer) nhắm đến việc kết nối các mạng với nhau bằng cách tìm đường (routing) cho các gói tin từ một mạng này đến một mạng khác Nó xác định việc chuyển hướng, vạch đường các gói tin trong mạng, các gói này có thể phải đi qua nhiều chặng trước khi đến được đích cuối cùng Nó luôn tìm các tuyến truyền thông không tắc nghẽn để đưa các gói tin đến đích Tầng mạng cung các các phương tiện để truyền các gói tin qua mạng, thậm chí qua một mạng của mạng (network of network) Bởi vậy nó cần phải đáp ứng với nhiều kiểu mạng và nhiều kiểu dịch vụ cung cấp bởi các mạng khác nhau hai chức năng chủ yếu của tầng mạng là chọn đường (routing) và chuyển tiếp (relaying) Tầng mạng là quan trọng nhất khi liên kết hai loại mạng khác nhau như mạng Ethernet với mạng Token Ring khi đó phải dùng một bộ tìm đường (quy định bởi tầng mạng) để chuyển các gói tin

từ mạng này sang mạng khác và ngược lại

Đối với một mạng chuyển mạch gói (packet - switched network) - gồm tập hợp các nút chuyển mạch gói nối với nhau bởi các liên kết dữ liệu Các gói dữ liệu được truyền từ một hệ thống mở tới một hệ thống mở khác trên mạng phải được chuyển qua một chuỗi các nút Mỗi nút nhận gói dữ liệu từ một đường vào (incoming link) rồi chuyển tiếp nó tới một đường ra (outgoing link) hướng đến đích của dữ liệu Như vậy ở mỗi nút trung gian nó phải thực hiện các chức năng chọn đường và chuyển tiếp Việc chọn đường là sự lựa chọn một con đường để truyền một đơn vị dữ liệu (một gói tin chẳng hạn) từ trạm nguồn tới trạm đích của nó Một

kỹ thuật chọn đường phải thực hiện hai chức năng chính sau đây:

- Quyết định chọn đường tối ưu dựa trên các thông tin đã có về mạng tại thời điểm

đó thông qua những tiêu chuẩn tối ưu nhất định

- Cập nhật các thông tin về mạng, tức là thông tin dùng cho việc chọn đường, trên mạng luôn có sự thay đổi thường xuyên nên việc cập nhật là việc cần thiết

Người ta có hai phương thức đáp ứng cho việc chọn đường là phương thức

- Phương thức chọn đường xử lý tại chỗ được đặc trưng bởi việc chọn đường được thực hiện tại mỗi nút của mạng Trong từng thời điểm, mỗi nút phải duy trì các thông tin của mạng và tự xây dựng bảng chọn đường cho mình Như vậy các thông tin tổng thể của mạng cần dùng cho việc chọn đường cần cập nhập và được cất giữ tại mỗi nút

Thông thường các thông tin được đo lường và sử dụng cho việc chọn đường bao gồm:

- Trạng thái của đường truyền

- Thời gian trễ khi truyền trên mỗi đường dẫn

- Mức độ lưu thông trên mỗi đường

- Các tài nguyên khả dụng của mạng

Khi có sự thay đổi trên mạng (ví dụ thay đổi về cấu trúc của mạng do sự cố tại một vài nút, phục hồi của một nút mạng, nối thêm một nút mới hoặc thay đổi

về mức độ lưu thông) các thông tin trên cần được cập nhật vào các cơ sở dữ liệu về trạng thái của mạng

Tầng Vận chuyển (Transport)

Tầng vận chuyển cung cấp các chức năng cần thiết giữa tầng mạng và các tầng trên nó là tầng cao nhất có liên quan đến các giao thức trao đổi dữ liệu giữa các

hệ thống mở Nó cùng các tầng dưới cung cấp cho người sử dụng các phục vụ vận chuyển

Tầng vận chuyển (transport layer) là tầng cơ sở mà ở đó một máy tính của mạng chia sẻ thông tin với một máy khác Tầng vận chuyển đồng nhất mỗi trạm bằng một địa chỉ duy nhất và quản lý sự kết nối giữa các trạm Tầng vận chuyển cũng chia các gói tin lớn thành các gói tin nhỏ hơn trước khi gửi đi Thông thường tầng vận chuyển đánh số các gói tin và đảm bảo chúng chuyển theo đúng thứ tự Tầng vận chuyển là tầng cuối cùng chịu trách nhiệm về mức độ an toàn trong truyền

dữ liệu nên giao thức tầng vận chuyển phụ thuộc rất nhiều vào bản chất của tầng mạng

và duy trì theo đúng qui định

Tầng giao dịch còn cung cấp cho người sử dụng các chức năng cần thiết để quản trị các giao dịnh ứng dụng của họ, cụ thể là:

- Điều phối việc trao đổi dữ liệu giữa các ứng dụng bằng cách thiết lập và giải phóng (một cách lôgic) các phiên (hay còn gọi là các hội thoại - dialogues)

- Cung cấp các điểm đồng bộ để kiểm soát việc trao đổi dữ liệu

- Áp đặt các qui tắc cho các tương tác giữa các ứng dụng của người sử dụng

- Cung cấp cơ chế "lấy lượt" (nắm quyền) trong quá trình trao đổi dữ liệu

Trong trường hợp mạng là hai chiều luân phiên thì nẩy sinh vấn đề: hai người

sử dụng luân phiên phải "lấy lượt" để truyền dữ liệu Tầng giao dịch duy trì tương tác luân phiên bằng cách báo cho mỗi người sử dụng khi đến lượt họ được truyền dữ

liệu Vấn đề đồng bộ hóa trong tầng giao dịch cũng được thực hiện như cơ chế kiểm tra/phục hồi, dịch vụ này cho phép người sử dụng xác định các điểm đồng bộ hóa trong dòng dữ liệu đang chuyển vận và khi cần thiết có thể khôi phục việc hội thoại bắt đầu từ một trong các điểm đó

Ở một thời điểm chỉ có một người sử dụng đó quyền đặc biệt được gọi các dịch vụ nhất định của tầng giao dịch, việc phân bổ các quyền này thông qua trao đổi thẻ bài (token)

Ví dụ: Ai có được token sẽ có quyền truyền dữ liệu, và khi người giữ token trao token cho người khác thì cũng có nghĩa trao quyền truyền dữ liệu cho người đó Tầng giao dịch có các hàm cơ bản sau:

- Give Token cho phép người sử dụng chuyển một token cho một người sử dụng khác của một liên kết giao dịch

- Please Token cho phép một người sử dụng chưa có token có thể yêu cầu token đó

- Give Control dùng để chuyển tất cả các token từ một người sử dụng sang một người sử dụng khác

 Tầng Thể hiện (Presentation)

Trong giao tiếp giữa các ứng dụng thông qua mạng với cùng một dữ liệu có thể có nhiều cách biểu diễn khác nhau Thông thường dạng biểu diễn dùng bởi ứng dụng nguồn và dạng biểu diễn dùng bởi ứng dụng đích có thể khác nhau do các ứng dụng được chạy trên các hệ thống hoàn toàn khác nhau (như hệ máy Intel và hệ máy Motorola) Tầng thể hiện (Presentation layer) phải chịu trách nhiệm chuyển đổi dữ liệu gửi đi trên mạng từ một loại biểu diễn này sang một loại khác Để đạt được điều

đó nó cung cấp một dạng biểu diễn chung dùng để truyền thông và cho phép chuyển đổi từ dạng biểu diễn cục bộ sang biểu diễn chung và ngược lại

Tầng thể hiện cũng có thể được dùng kĩ thuật mã hóa để xáo trộn các dữ liệu trước khi được truyền đi và giải mã ở đầu đến để bảo mật Ngoài ra tầng thể hiện cũng có thể dùng các kĩ thuật nén sao cho chỉ cần một ít byte dữ liệu để thể hiện

thông tin khi nó được truyền ở trên mạng, ở đầu nhận, tầng trình bày bung trở lại để được dữ liệu ban đầu

Tầng Ứng dụng (Application)

Tầng ứng dụng (Application layer) là tầng cao nhất của mô hình OSI, nó xác định giao diện giữa người sử dụng và môi trường OSI và giải quyết các kỹ thuật mà các chương trình ứng dụng dùng để giao tiếp với mạng

1.2 Một số kỹ thuật tấn công mạng

1.2.1 Kỹ thuật giả mạo địa chỉ ( fake IP)

Giả mạo địa chỉ là việc truy cập vào website hoặc nguồn tài nguyên web nào

đó gián tiếp thông qua một proxy ( máy chủ proxy)

Proxy là một hệ thống computer hoặc một router tách biệt kết nối giữa người gửi (sender) và người nhận (receiver) Nó đóng vai trò là một hệ thống chuyển tiếp (relay) giữa hai đối tượng: client (muốn truy cập tài nguyên) và server ( cung cấp tài nguyên mà client cần)

Từ proxy còn có nghĩa là “hành động nhân danh một người khác” và thực sự proxy server đã làm điều đó, nó hành động nhân danh cho cả clien và server Tất cả các yêu cầu từ client ra internet trước hết phải chuyển đến proxy, proxy kiểm tra xem yêu cầu, nếu được cho phép sẽ chuyển tiếp có kiểm soát yêu cầu ra internet đến server cung cấp dịch vụ (interner hosts), tương tự cũng sẽ phản hồi (response) hoặc khởi hoạt các yêu cầu đã được kiểm tra từ internet và chuyển yêu cầu này đến client

Cả client và server đều cho rằng chúng liên lạc trực tiếp với nhau nhưng thực sự chỉ

là thông qua proxy

Tại sao phải giả mạo địa chỉ?

Trong thực tế có nhiều website từ chối giao dịch, mua bán với những địa chỉ

IP xác định (Ips blocked): Những nơi được xác định là nguồn gốc phát tán spam mail, malware, những nơi bắt nguồn của những cuộc tấn công xâm nhập website…

Bị cấm truy cập vào các website đã bị các ISP nước sở tại chặn vì một trong những lý do: đồi trụy, nguy hiểm, thông tin sai lệch, có liên quan đến chính trị…

Do bị quản trị mạng của công ty chặn ( LAN firewall block) Khi này người dùng có thể thay đổi thông số của trình duyệt ( IE, Firefox, google chrome…), không sử dụng proxy của doanh nghiệp

Làm thêm các công việc kiếm tiền Online: Click vào các banner quảng cáo, đọc email hàng ngày (lưu ý: Thường đa số email quảng cáo chỉ dành cho các thị trường của các nước phát triển như Âu-Mỹ và một số nước Châu Á,vì lẽ đó những trang trả tiền đọc email chỉ gửi cho các thành viên ở những nước này Như vậy nếu

ở Việt Nam, người dùng có thể không tham gia vào việc này được Như vậy phải làm thế nảo? Có thể làm cho website “ngộ nhận” người dùng đang ở Mỹ hay Châu

Âu, bằng cách sử dụng 1 Proxy Server ở US hay EU)

Giả mạo IP để thực hiện các hành vi như xâm nhập các hệ thống / website trên Internet, xâm nhập vào mạng của các tổ chức, mục đích sau này tránh bị lần ra dấu vết thật

Giả mạo IP để tránh attacker có thể xâm nhập vào computer của người dùng Hoặc tránh việc bị các website cài spy/bot thu thập các thông tin cá nhân của người dùng

Có rất nhiều lý do để người dùng sử dụng Fake IP nhưng mục đích chung đều

là tạo ra một địa chỉ giả mạo nhằm che dấu thông tin thực của người dùng Chính vì vậy mà các hacker có thể sử dụng để gây ra những việc làm phi pháp mà không bị phát hiện

Ƣu điểm của việc Fake IP thông qua việc sử dụng các Proxy server:

Vì một trong số các lý do đã đề cập, User có thể che dấu địa chỉ IP thực của mình thông qua Proxy, để có thể tiến hành giao tiếp qua Internet

Tìm thấy nhanh những nội dung web cần tìm, nếu nội dung ấy đã được proxy server lưu trữ vào cache, không phải load lại tại website chính

Nhược điểm của việc Fake IP thông qua việc sử dụng các Proxy server:

Giả mạo IP thông qua dùng Proxy, có nghĩa là không đi trực tiếp được, mà phải đi đường vòng, đến Proxy server trước, rồi mới đến website cần truy cập, việc này mất thời gian nên thường thấy chậm

Phải tìm được các Proxy server trên Internet (có thể vào google.com, gõ Free proxy) việc này gây tốn kém thời gian cho, tìm được một Proxy vừa free vừa fast không phải dễ và có thể phải trả phí nếu Proxy đó yêu cầu, “sử dụng – trả tiền “ Network hoặc Website Admin, có thể phát hiện ra người dùng đang dùng Proxy, và stop truy cập hiện tại, hoặc lần ra dấu vết của người dùng nếu người dùng tiến hành xâm nhập Như vậy, hầu hết các Anonymous Proxies không phải là chiếc

áo "tàng hình" siêu việt, có thể giúp người dùng "ẩn tích" 100%

1.2.2 Kỹ thuật tràn bộ nhớ đệm

Một khối lượng dữ liệu được gửi cho ứng dụng vượt quá lượng dữ liệu được cấp phát khiến cho ứng dụng không thực thi được câu lệnh dự định kế tiếp mà thay vào đó phải thực thi một đoạn mã bất kì do hacker đưa vào hệ thống Nghiêm trọng hơn nếu ứng dụng được cấu hình để thực thi với quyền root trên hệ thống

Trong các lĩnh vực an ninh máy tính và lập trình, một lỗi tràn bộ nhớ đệm hay gọi tắt là lỗi tràn bộ đệm là một lỗi lập trình có thể gây ra một ngoại lệ truy nhập

bộ nhớ máy tính và chương trình bị kết thúc, hoặc khi người dùng có ý phá hoại, họ

có thể lợi dụng lỗi này để phá vỡ an ninh hệ thống

Lỗi tràn bộ đệm là một điều kiện bất thường khi một tiến trình lưu dữ liệu vượt ra ngoài biên của một bộ nhớ đệm có chiều dài cố định Kết quả là dữ liệu đó

sẽ đè lên các vị trí bộ nhớ liền kề Dữ liệu bị ghi đè có thể bao gồm các bộ nhớ đệm khác, các biến và dữ liệu điều khiển luồng chạy của chương trình (program flow control)

Các lỗi tràn bộ đệm có thể làm cho một tiến trình đổ vỡ hoặc cho ra các kết quả sai Các lỗi này có thể được kích hoạt bởi các dữ liệu vào được thiết kế đặc biệt

để thực thi các đoạn mã phá hoại hoặc để làm cho chương trình hoạt động một cách không như mong đợi Bằng cách đó, các lỗi tràn bộ đệm gây ra nhiều lỗ hổng bảo

mật (vulnerability) đối với phần mềm và tạo cơ sở cho nhiều thủ thuật khai thác (exploit) Việc kiểm tra biên (bounds checking) đầy đủ bởi lập trình viên hoặc trình biên dịch có thể ngăn chặn các lỗi tràn bộ đệm

1.2.3 Kỹ thuật tấn công vào các lỗ hổng bảo mật

Hiện nay các lỗ hổng bảo mật được phát hiện càng nhiều trong các hệ điều hành, các web server hay các phần mềm khác, Các hãng sản xuất luôn cập nhật các lỗ hổng và đưa ra các phiên bản mới sau khi đã vá lại các lỗ hổng của các phiên bản trước Do đó, người sử dụng phải luôn cập nhật thông tin và nâng cấp phiên bản

cũ mà mình đang sử dụng nếu không các hacker sẽ lợi dụng điều này để tấn công vào hệ thống

1.2.4 Chiếm hữu phiên làm việc (Session Mangement)

Ấn định phiên làm việc (Session Fixation): Là kỹ thuật tấn công cho phép hacker mạo danh người dùng hợp lệ bằng cách gửi một session ID hợp lệ đến người dùng, sau khi người dùng đăng nhập vào hệ thống thành công hacker sẽ dùng lại session ID đó và nghiễm nhiên trở thành người dùng hợp lệ

Đánh cắp phiên làm việc (Session Hijacking): là kỹ thuật tấn công cho phép hacker mạo danh người dùng hợp lệ sau khi nạn nhân đăng nhập vào hệ thống bằng cách giải mã session ID của họ được lưu trữ trong cookie hay tham số URL, biến ẩn của form

1.2.5 Kỹ thuật tấn công từ chối dịch vụ (DoS)

Thế nào là tấn công từ chối dịch vụ (DoS)? Tấn công từ chối dịch vụ là hành động mà các tin tặc lợi dụng đặc điểm hoặc lỗi an toàn thông tin của một hệ thống dịch vụ nhằm làm ngưng trệ hoặc ngăn cản người dùng truy nhập dịch vụ đó Thường thì tấn công từ chối dịch vụ gây cho chương trình hoặc hệ thống bị đổ vỡ hoặc bị treo, tê liệt từng phần hoặc toàn bộ, buộc người quản trị dịch vụ đó phải tạm ngừng cung cấp dịch vụ và khởi động lại hệ thống Đặc điểm của tấn công từ chối dịch vụ Đặc điểm duy nhất của tấn công từ chối dịch vụ là cuộc tấn công này không lấy mất thông tin của hệ thống, nó thường chỉ gây cho hệ thống tê liệt, không hoạt

động được, và đôi khi gây hỏng hóc hoặc phá hoại thông tin có trên hệ thống Việc ngừng hoạt động trong một thời gian nhất định của các hệ thống dịch vụ thường gây thiệt hại không thể ước tính chính xác được, đó là tổng của thiệt hại trực tiếp về tiền bạc, uy tín cho nhà cung cấp dịch vụ, và thiệt hại gián tiếp của khách hàng sử dụng dịch vụ Đôi khi tấn công từ chối dịch vụ không làm tê liệt hệ thống, nhưng làm chậm và giảm khả năng phục vụ của hệ thống cũng dẫn tới những thiệt hại đáng kể.Các kiểu tấn công từ chối dịch vụ Có hai kiểu tấn công từ chối dịch vụ dựa theo đặc điểm của hệ thống bị tấn công, thứ nhất là gây quá tải cho hệ thống khiến cho hệ thống mất khả năng phục vụ cho người dùng thực sự, thứ hai là dựa vào đặc điểm đặc biệt của hệ thống hoặc lỗi an toàn thông tin để từ đó gây cho hệ thống bị treo, tê liệt

Với loại thứ nhất, việc gây quá tải có thể thực hiện được nếu như tin tặc gửi rất nhiều yêu cầu dịch vụ, bắt chước giống hệt như người dùng thực sự yêu cầu dịch

vụ đối với hệ thống Để giải quyết một yêu cầu dịch vụ, hệ thống phải tốn một lượng tài nguyên nhất định của mình (CPU, bộ nhớ, đường truyền…) Mỗi hệ thống dịch

vụ được thiết kế có tổng lượng tài nguyên là giới hạn, do vậy khi nhận được quá nhiều yêu cầu dịch vụ giả của tin tặc, hệ thống sẽ sử dụng toàn bộ tài nguyên của mình để đáp ứng các yêu cầu đó và không còn tài nguyên để đáp ứng yêu cầu thực

sự khác của người dùng, người dùng sẽ không thể truy nhập được vào hệ thống dịch

vụ Hình thức của kiểu tấn công gây quá tải này phổ biến nhất là tấn công từ chối dịch vụ phân tán, nó tạo ra yêu cầu dịch vụ giả từ nhiều địa chỉ mà máy tính khác nhau giống hệt như thật khiến cho nhà quản trị hệ thống không phân biệt được đó có phải là một cuộc tấn công từ chối dịch vụ hay không Tuy nhiên, để thực hiện được kiểu tấn công này tin tặc phải có khả năng mạnh về tài nguyên đặc biệt là với các hệ thống dịch vụ có tài nguyên mạnh, và được thiết kế để chịu tải lớn Loại tấn công từ chối dịch vụ thứ hai khác với kiểu thứ nhất, tin tặc lợi dụng

kẽ hở an toàn thông tin của hệ thống, gửi các yêu cầu hoặc các gói tin không hợp lệ (không đúng theo tiêu chuẩn) một cách cố ý, khiến cho hệ thống bị tấn công khi

nhận được yêu cầu hay gói tin này, xử lý không đúng hoặc không theo trình tự đã được thiết kế, dẫn đến sự sụp đổ cho chính hệ thống đó Phần lớn các kẽ hở này xuất phát từ lỗi của phần mềm, nhà sản xuất phần mềm đã không lường trước được hết các khả năng xảy ra với phần mềm, do vậy khi tin tặc gửi những thứ không nằm trong các khả năng đã dự tính, thì phần mềm dễ dàng bị lỗi, gây đổ vỡ hệ thống Ví

dụ điển hình cho lỗi này là kiểu tấn công Ping of Death vào năm 1995, gây treo hoặc

đổ vỡ cho rất nhiều hệ thống Ngoài ra, một số ít các kẽ hở lại xuất phát từ chính nguyên lý hoạt động của hệ thống, đặc biệt là nguyên lý của bộ giao thức mạng TCP/IP Ví dụ điển hình của kiểu tấn công này là SYN flooding, gây cho hệ thống dịch vụ mất khả năng tiếp nhận kết nối TCP Phương pháp phòng chống tấn công từ chối dịch vụ Hiện tại chưa có biện pháp hữu hiệu nào để phòng chống tấn công từ chối dịch vụ, nhất là kiểu tấn công gây quá tải hệ thống dịch vụ Nhà cung cấp dịch

vụ chỉ có thể hạn chế hoặc giữ cho hệ thống của mình không bị sụp đổ chứ khó có thể giữ cho dịch vụ của mình luôn sẵn sàng trước mọi cuộc tấn công từ chối dịch vụ Biện pháp tốt nhất hiện nay để chống lại các cuộc tấn công từ chối dịch vụ, nhất là kiểu tấn công dựa vào lỗi an toàn thông tin của hệ thống, là các nhà cung cấp dịch vụ phải liên tục cập nhật phiên bản sửa lỗi phần mềm mới nhất cho hệ thống của mình Đồng thời các nhà cung cấp dịch vụ phải xây dựng và quản trị hệ thống sao cho chúng ít có khả năng bị lợi dụng để phát động tấn công từ chối dịch vụ đối các dịch vụ khác

Các cách chống DoS khá hiệu quả được các chuyện gia đưa ra là:

• Mở rộng băng thông

• Sử dụng cơ chế cân bằng tải (Load Balancing)

• Cản lọc các gói tin từ tầng IP (ít nhất là giới hạn số lượng request liên tục từ 1

IP trong một khoảng thời gian nào đó)

• Tối ưu hóa TCP Stack

• Tối ưu hóa Web Server

• Không nên sử dụng Flash hoặc ít nhất mặc định là không cho chạy Flash, rồi

có thể cho phép theo từng website cụ thể.Vì Hacker có thể lợi dụng việc chạy Flash

mà nhúng các mã độc vào nhằm tấn công hệ thống

1.2.6 Kỹ thuật Social Engineering

Đây là thủ thuật được nhiều hacker sử dụng cho các cuộc tấn công và thâm nhập vào hệ thống mạng và máy tính bởi tính đơn giản mà hiệu quả của nó Thường được sử dụng để lấy cấp mật khẩu, thông tin, tấn công vào và phá hủy hệ thống

Ví dụ : kỹ thuật Social Engineering Fake Email Login

Về nguyên tắc, mỗi khi đăng nhập vào hộp thư thì người dùng phải nhập thông tin tài khoản của mình bao gồm username và password rồi gởi thông tin đến Mail Server xử lý Lợi dụng việc này, những người tấn công đã thiết kế một trang web giống hệt như trang đăng nhập mà người dùng hay sử dụng Tuy nhiên, đó là một trang web giả và tất cả thông tin mà người dùng điền vào đều được gửi đến cho

họ Kết quả, người dùng bị đánh cắp mật khẩu

Vì vậy người dùng nên chú ý và dè chừng trước những email, những messengers, các cú điện thoại yêu cầu khai báo thông tin Những mối quan hệ cá nhân hay những cuộc tiếp xúc đều là một mối nguy hiểm tiềm tàng

1.3 Một số biện pháp bảo mật mạng cơ bản

1.3.1 Mạng riêng ảo hay VPN (Virtual Private Network)

Là một mạng dành riêng để kết nối các máy tính của các công ty, tập đoàn hay các tổ chức với nhau thông qua mạng Internet công cộng

Truy Cập từ xa (remote-Access): Hay cũng được gọi là Mạng quay số riêng

ảo (Virtual Private Dial-up Network) hay VPDN, đây là dạng kết nối User-to-Lan áp dụng cho các công ty mà các nhân viên có nhu cầu kết nối tới mạng riêng (private network) từ các địa điểm từ xa và bằng các thiết bị khác nhau

Khi VPN được triển khai, các nhân viên chỉ việc kết nối Internet thông qua các ISPs và sử dụng các phần mềm VPN phía khách để truy cập mạng công ty của

họ Các công ty khi sử dụng loại kết nối này là những hãng lớn với hàng trăm nhân

viên thương mại Các Truy Cập từ xa VPN đảm bảo các kết nối được bảo mật, mã hoá giữa mạng riêng rẽ của công ty với các nhân viên từ xa qua một nhà cung cấp dịch vụ thứ ba (third-party)

Có hai kiểu Truy cập từ xa VPN: 1 VPN dùng riêng 2 VPN dùng 1 mình Khởi tạo bởi phía khách (Client-Initiated) – Người dùng từ xa sử dụng phần mềm VPN client để thiết lập một đường hầm an toàn tới mạng riêng thông qua một ISP trung gian

Khởi tạo bởi NAS (Network Access Server-initiated) – Người dùng từ xa quay số tới một ISP NAS sẽ thiết lập một đường hầm an toàn tới mạng riêng cần kết nối

Với Truy cập từ xa VPN, các nhân viên di động và nhân viên làm việc ở nhà chỉ phải trả chi phí cho cuộc gọi nội bộ để kết nối tới ISP và kết nối tới mạng riêng của công ty, tổ chức Các thiết bị phía máy chủ VPN có thể là Cisco Routers, PIX Firewalls hoặc VPN Concentrators, phía client là các phần mềm VPN hoặc Cisco Routers

Site-to-Site: Bằng việc sử dụng một thiết bị chuyên dụng và cơ chế bảo mật diện rộng, mỗi công ty có thể tạo kết nối với rất nhiều các site qua một mạng công cộng như Internet

Site-to-site VPN có thể thuộc một trong hai dạng sau:

Intranet VPN: Áp dụng trong trường hợp công ty có một hoặc nhiều địa điểm

ở xa, mỗi địa điểm đều đã có một mạng cục bộ LAN Khi đó họ có thể xây dựng một mạng riêng ảo để kết nối các mạng cục bộ vào một mạng riêng thống nhất Extranet VPN: Khi một công ty có mối quan hệ mật thiết với một công ty khác (ví dụ như đối tác cung cấp, khách hàng…), họ có thể xây dựng một VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác nhau có thể làm việc trên một môi trường chung.

1.3.2 IPS (Intrusion Prevention System)

a) Giới thiệu về IPS

Hệ thống phát hiện chống xâm nhập IPS (Intrusion Prevention System) là 1thiết bị bảo mật mạng nhằm kiểm tra các hoạt động trong mạng để xác định các hoạt động mang tính nguy hiểm tới hệ thống

b) Phân Loại IPS

Hệ thống phòng chống xâm nhập có thể thân thành 4 loại khác nhau:

• Network-based Intrusion Prevention (NIPS) : giám sát toàn bộ lưu lượng đáng ngờ trong mạng lưới bằng cách phân tích các hoạt động của giao thức

• Wireless Intrusion Prevention Systems (WIPS) : giám sát toàn bộ lưu lượng đáng ngờ trong mạng không dây bằng cách phân tích các hoạt động của giao thức mạng không dây

• Network Behavior Analysis (NBA) : kiểm tra lưu lượng mạng để xác định mối đe dọa cho hệ thống từ các luồng dữ liệu bất thường trong hệ thống

• Host-based Intrusion Prevention (HIPS): là 1 gói phần mềm được cài đặt nhằm theo dõi 1 máy chủ có các hoạt động bất thường nào không bằng cách phân tích các sự kiện xảy

ra ở máy chủ

1.3.3 Cisco NAC (Cisco Network Admission Control)

Cisco Network Admission Control (NAC) là thành phần chính yếu trong kiến trúc tự phòng vệ SDN và là một giải pháp được phát triển bởi Cisco ra đời nhằm đáp ứng những nhu cầu về việc xây dựng hệ thống kiểm soát các nguy cơ phá hoại, đánh cắp thông tin hay những chính sách kiểm soát về việc phòng chống virus/ spyware trước khi người dùng cuối truy cập vào hệ thống Với các tính năng bảo mật, các tùy chọn triển khai đa dạng, cùng với các công cụ xác thực và điều khiển băng thông, Cisco NAC là một giải pháp mạnh mẽ trong việc kiểm soát và bảo mật cho hệ thống Cisco NAC hỗ trợ khả năng tự hồi phục cho thiết bị, các thiết bị không đảm bảo điều kiện an toàn sẽ tạm thời bị cô lập và sửa chữa, sau đó sẽ được quyền truy cập vào hệ thống Khả năng này giúp người dùng chủ động hơn khi truy cập vào hệ thống Giải pháp NAC đã giúp cho doanh nghiệp giảm các chi phí trong việc hỗ trợ

người dùng khi xảy ra sự cố hỏng hóc thiết bị hay mất mát dữ liệu do các nguy cơ về virus, worm,… gây ra Giải pháp NAC đã được hãng nghiên cứu thị trường Gartner đánh giá là xu hướng phát triển chính về bảo mật hệ thống trong tương lai

Đặc điểm của giải pháp Cisco NAC: Trên cơ sở kiến trúc mạng tự phòng vệ, Cisco là hãng đi đầu trong việc phát triển giải pháp kiểm soát truy cập (NAC) nhằm mang lại cho khách hàng một giải pháp bảo mật đáp ứng cao nhất cho việc phòng chống các nguy cơ có thể xảy ra đối với hệ thống, bên cạnh việc sử dụng các giải pháp bảo mật truyền thống như firewall, IPS,…Dựa trên nền tảng kiến trúc bảo mật SDN, giải pháp NAC cho phép khách hàng triển khai một cách linh hoạt tùy theo nhu cầu và cơ sở hạ tầng sẵn có Hơn thế nữa, dù được triển khai và ứng dụng trong bất kỳ môi trường nào (không phân biệt qui mô), NAC luôn là thành phần chính trong kiến trúc SDN, đóng vai trò liên kết các thành phần bảo mật trong hệ thống NAC là giải pháp cho phép người quản trị quy định và áp đặt các chính sách về bảo mật khi người dùng hay thiết bị muốn truy cập vào hệ thống mạng Khi người dùng hay thiết bị đã đáp ứng đầy đủ các chính sách bảo mật thì mới được quyền truy xuất vào các tài nguyên hệ thống như Web server, Database server, Internet, …Giải pháp NAC bao gồm 4 đặc điểm chính như sau:

Khả năng xác thực: Khi người dùng kết nối vào hệ thống, NAC sẽ kết hợp với cơ sở dữ liệu người dùng thông qua Active Directory, TACACS+, RADIUS, …

để đưa ra cơ chế xác thực cho người dùng

Khả năng đánh giá: NAC cho phép người quản trị thu thập các thông tin và đánh giá về độ an toàn khi người dùng truy cập hệ thống như người dùng từ đâu đến, thời điểm truy xuất vào mạng, tình trạng thiết bị, tình trạng các phần mềm trên hệ thống của người dùng, …

Khả năng quản lý truy xuất: Sau khi đánh giá thông tin, NAC sẽ áp đặt các chính sách theo cấu hình từ người quản trị nhằm đưa ra quyết định cho phép hay hạn chế truy cập của người dùng Nếu người dùng chưa thỏa tất cả các yêu cầu về chính

sách bảo mật thì sẽ bị cách ly vào VLAN riêng và NAC sẽ đưa ra các biện pháp tự động sửa chữa thiết bị cho người dùng trước khi cho phép truy cập vào hệ thống Khả năng quản trị: Tất cả các cấu hình về chính sách và điều khiển đều được thể hiện qua giao diện Web trực quan giúp người quản trị dễ dàng cấu hình hệ thống cũng như giám sát hoạt động một cách hiệu quả nhất

Với các đặc điểm trên, NAC góp phần kiện toàn khả năng bảo mật cho hệ thống, nhưng vẫn tạo ra sự thuận tiện trong việc thiết lập cấu hình và quản trị hệ thống:

Giải pháp NAC cho phép triệt tiêu các nguy cơ về giả mạo thiết bị hay người dùng để truy cập hệ thống, thắt chặt các chính sách an ninh nhằm giảm thiểu nguy

cơ xâm nhập hệ thống từ phía trong.,

Cơ chế về chính sách bảo mật tập trung, nhất quán giúp cho việc quản trị dễ dàng nhưng vẫn đem lại hiệu quả cao nhất

Các thiết bị cũng như người dùng đều được phân quyền truy cập rõ ràng, các hoạt động của người dùng đều được kiểm soát thông qua các chính sách bảo mật, nếu các thiết bị không đủ điều kiện an toàn sẽ bị cách ly và đưa vào vùng sửa chữa

Giải pháp NAC cho phép việc quản trị các chính sách tập trung, thống nhất, giúp giảm thiểu chi phí cho bộ phận help-desk, tối ưu hóa nguồn vốn đầu tư của doanh nghiệp vào hệ thống IT

Để thực hiện các chức năng, hệ thống kiểm soát truy cập NAC cần các thành phần chính yếu như sau:

Cisco Clean Access Server (CAS): Đảm nhận việc đánh giá độ an toàn của thiết bị, đồng thời thực thi các chính sách truy cập từ thành phần quản lý trung tâm cho các thiết bị hay người dùng truy cập vào hệ thống, CAS có thể quản lý tối đa đến 3500 người dùng mỗi kết nối đồng thời đến server

Cisco Clean Access Manager (CAM): Đây là thành phần trung tâm của hệ thống NAC, đảm nhận việc quản lý và giám sát các CAS, sử dụng giao diện Web giúp người quản trị cấu hình các chính sách bảo mật, đồng thời tự động cập nhật các

luật (rule) cũng như thông tin các bản cập nhật về Anti-virus, Anti-spyware, …mới nhất từ các hãng thứ 3 (Trend Micro, Symantec, Mcfee, …)

Cisco Clean Access Agent (CAA): Thực chất là 1 phần mềm nhỏ được cài đặt lên máy người dùng để thu thập các thông tin về thiết bị và người dùng, đồng thời hỗ trợ khả năng sửa chữa (remediation) cho thiết bị

CHƯƠNG 2: DANH SÁCH ĐIỀU KHIỂN TRUY CẬP (ACL)

Để ngăn ngừa những thiếu khuyết trên cần phải có một biện pháp bảo mật an toàn cho mạng Các nhà cung cấp đã đưa ra rất nhiều biện pháp bảo mật như sử dụng Firewall, các chương trình diệt virus, VPN ( Virtual Private Netword), danh sách điều khiển truy cập…

Sử dung danh sách điều khiển truy cập có thể:

- Quản lý traffic qua cổng của router

- Hỗ trợ mức độ cơ bản về bảo mật cho các truy cập mạng, thể hiện ở tính năng lọc gói tin qua router

2.2 Lý thuyết về danh sách điều khiển truy cập

2.2.1 Giới thiệu thiệu về danh sách khiển truy cập

Danh sách điều khiển truy cập: Access Control List (ACL) là một danh sách các câu lệnh được áp đặt vào các cổng (interface) của router Danh sách này chỉ ra cho router biết loại packet nào được chấp nhận (allow) và loại packet nào bị hủy bỏ (deny) Sự chấp nhận và huỷ bỏ này có thể dựa vào địa chỉ nguồn, địa chỉ đích hoặc chỉ số port

Điều khiển truy cập (kiểm soát truy cập) là các tính năng của bảo mật mà kiểm soát người dùng, hệ thống liên lạc, tương tác với các hệ thống và các tài nguyên khác Chúng bảo vệ hệ thống và tài nguyên từ truy cập trái phép và cũng có thể là một thành phần có tham gia trong việc xác định mức độ cấp phép, thẩm quyền sau khi một thủ tục xác thực thành công đã hoàn thành Thông thường một người sử dụng được coi như thực thể mà yêu cầu truy cập vào thông tin, tài nguyên mạng Nhưng thật ra là có nhiều loại khác yêu cầu truy cập gọi chung là subject Điều quan trọng là hiểu được định nghĩa của một subject và một object khi làm việc trong access control

Truy cập là luồng thông tin giữa subject và object Một subject là một thực thể chủ động (active) yêu cầu truy cập vào một object hoặc dữ liệu trong một object subject có thể là người sử dụng (user), chương trình(program), hoặc quá trình truy cập một subject để thực hiện một nhiệm vụ Khi một chương trình truy cập một tập tin (file), chương trình này là subject và tập tin là object Một object là một thực thể thụ động (passive) chứa thông tin Một object có thể là một máy tính, cơ sở dữ liệu, tập tin, chương trình, thư mục, hoặc trường chứa trong một bảng của cơ sở dữ liệu Khi người dùng tìm kiếm thông tin trong cơ sở dữ liệu, người dùng đang là subject đang hoạt động và cơ sở dữ liệu là object

Access control là một thuật ngữ rộng bao gồm một số loại hình khác nhau của cơ chế đó thi hành các tính năng kiểm soát truy cập vào hệ thống máy tính, mạng, và thông tin Access control là một vấn đề quan trọng bởi vì nó là một trong những nền tảng của việc đấu tranh chống truy cập trái phép vào hệ thống và tài nguyên mạng Khi một tên người dùng và mật khẩu được dùng để truy cập vào máy, đây cũng là điểu khiển truy cập Một khi người sử dụng truy cập vào máy và sau đó

cố gắng truy cập đến một tập tin, tập tin đó có một danh sách của người dùng và các nhóm có quyền truy cập nó Nếu người dùng không có trong danh sách này, người

sử dụng bị từ chối Đây là một hình thức kiểm soát truy cập Kiểm soát truy cập cho

tổ chức, khả năng kiểm soát, hạn chế, giám sát, và bảo vệ nguồn tài nguyên sẵn có, toàn vẹn, và bảo mật

2.2.2 Những nguyên tắc cơ bản của bảo mật:

Có 3 nguyên tắc chính cho bất kỳ điều khiển bảo mật là:

thực hiện trách nhiệm của họ Truy cập thông tin không có vẻ là quan trọng cho đến khi nó không thể tiếp cận Kinh nghiệm của người quản trị khi một tập tin trên máy chủ hay ở mức cao sử dụng cơ sơ dữ liệu gặp vấn đề vì một lý do nào đó Fault tolerance và recovery thì được áp dụng để đảm bảo tính liên tục của sự sẵn có của các nguồn lực Năng suất của người sử dụng có thể bị ảnh hưởng lớn nếu yêu cầu dữ liệu không được sẵn sàng Thông tin có những thuộc tính khác nhau, như độ chính xác, sự thích hợp, kịp thời và tính riêng tư Nó có thể rất quan trọng đối với môi giới chứng khoán để có thông tin chính xác và kịp thời, để mua và bán chứng khoán tại thời điểm thích hợp các môi giới chứng khoán có thể không cần thiết phải quan tâm

về sự riêng tư của thông tin này, chỉ cần nó sẵn có Một công ty nước giải khát thì phụ thuộc vào công thức chế biến vì vậy mà quan tâm đến tính riêng tư của bí mật thương mại, và cơ chế bảo mật những nơi cần chắc là bí mật

b) Integrity (tính toàn vẹn)

Thông tin phải chính xác, đầy đủ, và được bảo vệ khỏi sự thay đổi trái phép Khi một cơ chế bảo đảm cung cấp toàn vẹn, nó bảo vệ dữ liệu, tài nguyên khỏi sự thay đổi trái phép Nếu một loại sử đổi bất hợp pháp xảy ra cơ chế bảo đảm phải cảnh bào cho người sử dụng Ví dụ: khi một người dùng gửi yêu cầu vào tài khoản ngân hàng trực tuyến của mình để trả tiền nước của bà $24.56 Ngân hàng cần phải được bảo đảm tính toàn vẹn của giao dịch đo và không được thay đôi trong qua trình trao đổi thông tin Toàn vẹn dữ liệu là rất quan trọng Điều gì nếu một email mật được gửi từ bộ trưởng nhà nước cho Tổng Thống của Hoa Kỳ và đã được ngăn chặn

và thay đổi mà không có một cơ chế an ninh với sự không cho phép hay cảnh báo của chủ tịch rằng: thông tin này đã bị thay đổi, thay vì nhận được một thông điệp đã

bị thay đổi

c) Confidentiality (tính tin cậy)

Confidentiality là đảm bảo rằng thông tin không được tiết lộ trái phép cho những cá nhân, chương trình, hoặc quy trình Một số thông tin nhạy cảm hơn những thông tin khác và đòi hỏi mức độ bảo mật cao hơn Cơ chế kiểm soát cần được thực hiện để

biết những người có thể truy cập dữ liệu và những gì các subject có thể làm Những chính sách này cần được kiểm soát, kiểm tra, và quản lý Ví dụ: thông tin đó có thể

là bí mật hồ sơ y tế, thông tin tài khoản tài chính, hồ sơ hình sự, mã nguồn, bí mật kinh doanh, hay chiến thuật, kế hoạch quân sự Một số cơ chế sẽ cung cấp confidentiality là mã hóa, điều khiển truy cập vật lý, logic, giao thức truyền dẫn, view trong cơ sở dữ liệu và kiểm soát lưu lượng Một trong những mục tiêu quan trọng nhất của bảo mật thông tin là bảo đảm sự riêng tư của dữ liệu Điều này có nghĩa là dữ liệu hay thông tin của người nào thì chỉ người đó được biết và những người khác không được quyền can thiệp vào Trong thực tế, chúng ta thường thấy khi phát lương ngoài bì thư hay đề chữ Confidentiality nhằm không cho các nhân viên biết mức lương của nhau để tránh sự đố kỵ, so sánh giữa họ Hoặc trong những khu vực riêng của một cơ quan hay tổ chức nhằm ngăn chặn người lạ xâm nhập với bảng cấm “không phận sự miễn vào” cũng là một hình thức bảo vệ tính riêng tư Đối với dữ liệu truyền để bảo vệ tính riêng tư (confidentiality) thì dữ liệu thường được

mã hóa hay sử dụng các giao thức truyền thông an tòan như SSH

d) Non-repudiation (không thể chối bỏ)

Đây là một trong những mục tiêu thứ cấp của 3 mục tiêu chính CIA trong quá trình bảo mật thông tin Non-repudation là tinh không thể chối bỏ, nhằm bảo đảm và xác nhận nguồn gốc của thông điệp Nếu như người dùng hay download các chương trình trên mạng thì sẽ thấy nhà cung cấp hay kèm theo một chuỗi số hàm băm MD5 hay SHA dùng để xác nhận có phải đã download đúng chương trình trên từ nhà cung câp này hay không Vì nếu như một chương trình khác được các attacker/hacker đưa lên thì chắc chắn có sự thay đổi về nội dung và khi đó giá trị MD5/SHA đã bị thay đổi, khác với giá trị mà nhà cung cấp đưa ra Còn ngược lại, nếu giá trị MD5/SHA giống như giá trị mà nhà cung cấp đưa ra thì chương trình trên đúng là của nhà cung cấp này và khi nó gây ra các tác hại nào đó thì học không được quyền chố bỏ trách nhiệm bằng cách nói rằng chương trình đó không phải do họ viết

2.2.3 Các nhân tố bảo mật thông tin

Vậy để đạt được 3 mục tiêu CIA cần phải thực hiện những điều gì? Đó chính

là 4 nhân tố bảo mật thông tin sau đây:

Hình 2.2: Các nhân tố bảo mật thông tin

a) Authentication

Xác thực, là một quá trình xác nhận đặc điểm nhận biết của người dùng qua đó quyết định quyền truy nhập cơ sở dữ liệu và khả năng thực hiện các giao dịch của người đó Việc xác thực thường thông qua tên truy nhập và mật khẩu và các phương pháp phức tạp hơn như chứng thực số Ví dụ khi người dùng đăng nhập một hệ thống máy tính thì tiến trình xác thực diễn ra khi người dùng nhập vào tài khỏan bao gồm username và password trên màn hình logon

b) Authorization

Là tiến trình kiểm tra quyền hạn của người dùng sau khi đăng nhập hệ thống Ví

dụ một người dùng sau khi đăng nhập hệ thống cần phải trải qua tiến trình Authorization, sau đó người dùng này được phép truy cập vào máy chủ hay dữ liệu nào thì tùy thuộc vào quyền hạn mà anh ta có được do tiến trình