Ví dụ, trong hệ thống quản trị tài khoản người sử dụng trên nền tảng Windows Server Active Directory AD của Vietinbank, người quản trị hệ thống có thể đặt chính sách yêu cầu mức độ phức
Trang 1BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
PHAN THỊ HẰNG
NGHIÊN CỨU XÂY DỰNG HỆ THÔNGD MẠNG BẢO MẬT TẠI CHI NHÁNH NGÂN HÀNG TMCP CÔNG
THƯƠNG VIỆT NAM
LUẬN VĂN THẠC SĨ KHOA HỌC
NGƯỜI HƯỚNG DẪN : TS PHẠM VĂN BÌNH
HÀ NỘI – 2010
Trang 21
LỜI CAM ĐOAN
Em cam đoan đây là Luận văn nghiên cứu của em
Các số liệu, kết quả nêu trong luận văn là trung thực và chưa từng được công bố trong bất kỳ Luận văn nào khác Các số liệu mô phỏng được chú thích, trích dẫn tham khảo từ bài báo, tài liệu gốc cụ thể
Học viên thực hiện
Phan Thị Hằng
Trang 32
DANH MỤC VIẾT TẮT
Một số thuật ngữ viết tắt:
TÊN
VIẾT TẮT TÊN ĐẦY ĐỦ Ý NGHĨA
OSI Open System Interconnect Mô hình kết nối các hệ thống mở
TCP Transmission Control Protocol Giao thức truyền dẫn hướng kết nối
UDP User Datagram Protocol Giao thức truyền dẫn không hướng kết nối ICMP Internet Control Message Protocol Giao thức điều khiển các thông báo lỗi
ARP Address Resolution Protocol Giao thức phân giải địa chỉ
Protocol
Giao thức truyền thư điện tử đơn giản
Protocol
Giao thức quản lý mạng đơn giản
HTTP Hyper Text Transmission Protocol Giao thức truyền siêu ký tự (Web)
FTP File Transfer Protocol Giao thức truyền file
DES Digital Encrypt Standard Chuẩn mã hoá đối xứng
RSA Ronald Rivest, Adi Shamir, and
Leonard Adleman
Thuật toán mã hoá công khai
AH Authentication Header Header trong IPv6 nhằm bảo đảm tính chân
thực và toàn vẹn của gói tin trong quá trình truyền
ESP Encapsulating Security Payload Hệ tự quản, tập hợp các thiết bị định tuyến có
Trang 43
cùng hệ quản trị MAC Message Authentication Code Mã chứng thực bản tin
SA Security Association Mối liên hệ bảo mật giữa hai thực thể giao tiếp IKE Internet Key Exchange Giao thức trao đổi khoá được sử dụng trong các
giao thức IP Sec và SSL
PKI Public Key Infastructure Kiến trúc khoá công khai
SSL Secure Socket Layer Giao thức bảo mật lớp truyền dẫn
IPSec Internet Protocol Security Giao thức bảo mật Internet
IPS Intrusion Prevention System Hệ thống phòng chống thâm nhập
IDS Intrusion Detection System Hệ thống phát hiện thâm nhập
ACL Access Control List Danh sách điều khiển truy nhập
NAT Network Address Translation Dịch địa chỉ mạng
RADIUS Remote Authentication Dial-up
User Service
Dịch vụ chứng thực người sử dụng quay số từ
xa
NHCT VN Vietnam Joint Stock Commercial
Bank for Industry and Trade
Ngân hàng TMCP Công Thương Việt Nam (Vietinbank)
BDS Branch Delivery System Hệ thống xử lý giao dịch tại Vietinbank
Trang 54
DANH MỤC HÌNH
Hình 1.1: Cấu trúc một mạng máy tính đơn giản 2
Hình 1.2: Cấu trúc phân lớp mô hình OSI 2
Hình 1.3: Mô hình TCP/IP và OSI 2
Hình 1.4: Chồng giao thức tương ứng của mô hình TCP/IP 2
Hình 1.5: Giao tiếp vật lý và logic giữa các lớp 2
Hình 1.6: Cấu trúc dữ liệu tại mỗi tầng OSI 2
Hình 1.7: Nguyên tắc phân mảnh gói số liệu IP 2
Hình 1.8: Thiết lập một kết nối TCP/IP 2
Hình 1.9: Kết thúc một kết nối TCP/IP 2
Hình 1.10: Dịch vụ định tuyến lại (ICMP Redirect) 2
Hình 2.1: Mô hình cơ bản của một cuộc tấn công DDoS 2
Hình 3.1: Quá trình mã hoá lưu lượng IP Sec 2
Hình 3.2: Cấu trúc Authentication Header 2
Hình 3.3: Khuôn dạng gói IP trong các mode truyền 2
Hình 3.4: Cấu trúc ESP 2
Hình 3.5: Một gói IP được bảo vệ bởi ESP trong Transport mode 2
Hình 3.6: Một gói IP được bảo vệ bởi ESP trong Tunnel mode 2
Hình 3.7: Vị trí của SSL trong chồng giao thức TCP/IP 2
Hình 3.8: Cấu trúc bản tin SSL Handshake Protocol 2
Hình 3.9: Quá trình bắt tay giữa hai thực thể giao tiếp IP Sec 2
Hình 3.10: Cấu trúc bản tin SSL Record Protocol 2
Hình 3.11: Các bước xử lý phần dữ liệu 2
Hình 3.12: NAT thay thế địa chỉ nguồn và cổng nguồn 2
Hình 3.13: Hoạt động của Web Proxy 2
Hình 4.1: Quy trình bảo mật mạng 2
Hình 4.2: Cấu trúc một hệ thống mạng bảo mật 2
Hình 4.3: Cấu trúc hệ thống mạng bảo mật cho một chi nhánh của NHCT VN 2
Trang 65
DANH MỤC BẢNG
Bảng 1-1: Bảng so sánh giao thức TCP và UDP 2Bảng 4-1: Phân bộ địa chỉ cho các VLAN 2
Trang 76
MỞ ĐẦU
Ngày nay, với tốc độ phát triển mạnh mẽ của mạng toàn cầu đã đem lại những lơi ích to lớn về mặt kinh tế và xã hội, giúp cho các doanh nghiệp làm việc, giao dịch và trao đổi thông tin với nhau một cách nhanh chóng; kết nối người với người trên cộng đồng Internet Tuy nhiên, chính những lợi thế đó nên
nó đã là nơi lý tưởng để tội phạm, hacker sử dụng, khai thác với nhiều mục đích khác nhau Hacker là một cộng đồng gồm nhiều tin tặc và thường không lộ diện, động cơ và mục đích tấn công vào hệ thống mạng của họ đã thay đổi rất nhiều,
từ việc muốn nổi tiếng, gây phiền toái trêu chọc mọi người nay đã chuyển sang mục đích tấn công để ăn cắp thông tin, tiền bạc, thay đổi cấu hình hệ thống với mục đích đánh sập hệ thống, nhằm cạnh tranh với đối thủ trong kinh doanh, kể
cả trong lĩnh vực quân sự Vì thế mức độ nguy hiểm là rất lớn và không thể lường hết được Do vậy, vấn đề bảo mật đã trở thành chủ đề nóng bỏng trên Internet!
Xuất phát từ thực tiễn trên hàng loạt vấn đề về thông tin và an toàn thông tin đang đặt ra những thách thức vô cùng lớn Việc tìm hiểu, nghiên cứu, xây dựng, và quản lý một hệ thống mạng đảm bảo về an ninh đang là một vấn đề rất cần thiết đối với mỗi công ty/tổ chức để đảm bảo quá trình làm việc, giao dịch
và trao đổi thông tin được liên tục Tuy nhiên, trình độ phát triển của các hacker cũng ngày càng giỏi hơn trong khi đó các hệ thống vẫn còn chậm chạp trong việc xử lý các lỗ hổng của mình Điều đó đòi hỏi người quản trị mạng phải có những kiến thức tốt về bảo mật để có thể giữ vững an toàn thông tin cho hệ thống
Trong khuôn khổ đề tài, dưới sự giúp đỡ của thầy giáo TS Phạm Văn Bình,
em đã tìm hiểu được một số vấn đề về an ninh mạng máy tính, quá trình giao tiếp của các thực thể trong mạng máy tính, các điểm yếu trong mạng cùng vai trò quan trọng của các phương pháp mã hoá Các dấu hiệu tấn công và một số phương án, biện pháp đối phó với các cuộc tấn công đó Từ đó đưa ra phương pháp thiết kế một mạng bảo mật, ứng dụng tại chi nhánh NHCT VN
Trang 87
Do đó, nội dung của bản luận văn này bao gồm những nội dung sau:
– Trình bày khái quát về mạng máy tính Giới thiệu kiến trúc phân tầng OSI, từ
đó đề cập chồng giao thức quan trọng TCP/IP, giao thức liên mạng IP, TCP
và UDP; giao thức điều khiển ICMP và ARP
– Giới thiệu một số dịch vụ thông tin trên mạng trong lĩnh vực ngân hàng – Trình bày các lĩnh vực chính trong an ninh mạng máy tính, các loại hình tấn công và xâm nhập bất hợp pháp trong mạng máy tính, phân tích các loại hình tấn công mạng để từ đó đưa ra các phương pháp đối phó phù hợp thông qua các giao thức tăng cường bảo mật, các công nghệ bảo vệ mạng
– Thực hiện thiết kế mô hình mạng có khả năng đảm bảo an toàn tại chi nhánh NHCT VN
– Phân tích, đánh giá mô hình mạng đã đưa ra
Em xin gửi lời cảm ơn sâu sắc đến thầy giáo TS Phạm Văn Bình đã luôn tận tình chỉ bảo, hướng dẫn em hoàn thành bản luận văn này
Tuy nhiên, do thời gian còn rất hạn chế, hơn nữa vấn đề nêu ra trong luận văn cũng là một vấn đề phức tạp, nên bài luận văn này không tránh khỏi những thiếu sót Nhiều dấu hiệu tấn công phức tạp chưa được giải quyết Trong thời gian tới, với sự bổ sung đầy đủ hơn về kiến thức, em hy vọng sẽ hoàn thiện thêm
và nghiên cứu sâu hơn về đề tài này
Kính mong nhận được sự thông cảm và đóng góp ý kiến của các thầy cô cùng bạn bè, đồng nghiệp
Trang 98
CHƯƠNG 1 LÝ THUYẾT CHUNG VỀ MẠNG MÁY TÍNH
1.1 KHÁI QUÁT MẠNG MÁY TÍNH
Mạng máy tính là sự kết hợp của hai hay nhiều máy tính với nhau thông qua các thiết bị xử lý (hub, switch ) và các phương tiện truyền thông (giao thức mạng, môi trường truyền dẫn) theo một kiến trúc nào đó nhằm mục đích thông tin, chia
sẻ tài nguyên (phần mềm, dữ liệu ), thiết bị ngoại vi (máy in, máy quét ) hoặc sức mạnh xử lý
Hình 1.1: Cấu trúc một mạng máy tính đơn giản Mạng máy tính bao gồm các thành phần chính sau:
– Máy phục vụ (Server): Chia sẻ các tài nguyên và dịch vụ nói chung cho mạng:
+ Các tài nguyên (Resources): Dữ liệu, các ứng dụng và các phần cứng được cung cấp bởi các Servers trên mạng cho các Client
+ Các dịch vụ mạng (Network services): thư điện tử (email), in ấn, chia sẻ file, truy xuất Internet, truy cập từ xa (Remote Access), quay số từ xa (remote dial-in), giao tiếp (communication) và dịch vụ quản trị (management services)
– Máy khách (Client): Sử dụng các dịch vụ mạng mà Servers cung cấp
Trang 109
– Giao thức mạng (Network protocol): Ngôn ngữ cho phép các thực thể mạng, các hệ thống giao tiếp và trao đổi dữ liệu với nhau, ví dụ: Sequence Packet Exchange/Internetwork Packet Exchange (SPX/IPX), Transmission Control Protocol/Internetwork Protocol (TCP/IP), NetBIOS Exchange User Interface (NEtBEUI)
– Cấu trúc mạng (Network topology): Topo mạng là cách kết nối các máy tính với nhau về mặt hình học nên gọi là tôpô của mạng
– Môi trường truyền dẫn (Transmission media): Kết nối vật lý giữa các máy tính cho phép chúng truyền tín hiệu tín hiệu qua lại với nhau: Cáp mạng, wireless
Mạng máy tính tạo ra môi trường làm việc với nhiều người sử dụng phân tán, cho phép nâng cao hiệu quả khai thác tài nguyên chung rất nhiều so với khi từng máy hoạt động đơn lẻ
Mạng máy tính có những ưu điểm so với sử dụng các máy tính riêng rẻ:
– Chia sẻ dữ liệu: Những dữ liệu dùng chung cho nhiều người trên mạng có thể được tập trung trên một máy Nếu lựa chọn một máy tính để lưu trữ và cho phép các máy tính khác trên mạng sử dụng dữ liệu này sẽ làm tăng khả năng tập trung và duy trì các thông tin Máy tính có các tính năng trên gọi là máy chủ phục vụ (server) có các phần mềm và hệ điều hành đặc biệt dành riêng Điều này cho phép:
+ Nhiều người có thể sử dụng chung một phần mềm tiện ích
+ Một nhóm người cùng thực hiện một đề án sẽ dùng chung dữ liệu, dùng
chung một tập tin chính (master file) của đề án, giúp họ trao đổi thông tin
với nhau một cách dễ dàng
– Chia sẻ tài nguyên phần cứng: Mạng máy tính có thể chia sẻ các tài nguyên phần cứng: fax, modems, máy quét (scanners), đĩa cứng (hard - disks), đĩa mềm (floppy - disks), ổ đĩa CD (CD- ROMS), Băng từ (Tape), máy vẽ
Trang 11– Tăng độ tin cậy của hệ thống nhờ khả năng thay thế khi xảy ra sự cố đối với một máy tính nào đó (đặc biệt quan trọng đối với các ứng dụng thời gian thực)
– Bảo vệ dữ liệu: Mạng máy tính cung cấp một môi trường bảo mật cho toàn mạng Với các máy tính độc lập, khi truy cập vào máy tính đó có nghĩa là truy cập được tất cả các thông tin có trên máy Mạng máy tính cung cấp cơ chế bảo mật (security) bằng mật khẩu (password), cho phép máy chủ mạng phân biệt quyền hạn sử dụng của từng người dùng Ví dụ, trong hệ thống quản trị tài khoản người sử dụng trên nền tảng Windows Server Active Directory (AD) của Vietinbank, người quản trị hệ thống có thể đặt chính sách yêu cầu mức độ phức tạp của mật khẩu để trách việc hacker mò ra mật khẩu của người dùng do việc đặt mật khẩu quá đơn giản theo ngày sinh, số chứng minh thư nhân dân có chính sách bắt người dùng phải đổi mật khẩu định kỳ, một số máy chủ quan trọng, một mật khẩu truy cập còn được tạo bởi
2 đến 3 người quản trị, mỗi người chỉ biết một đoạn của mật khẩu Bên cạnh
đó, tùy thuộc vào mức độ cần bảo mật đối với máy chủ, các công nghệ bảo mật khác cũng được kếp hợp, người truy cập sau khi gõ user mật khẩu, còn phải gõ thêm một đoạn mã khác như từ thẻ của Entrust, RSA
– Liên lạc với nhau: Mạng máy tính cũng có thể cho phép mọi người có thể dễ dàng liên lạc với nhau thông qua các dịch vụ như thư điện tử (email), dịch vụ chat, dịch vụ truyền file (FTP), dịch vụ Web Một trong những lợi ích lớn
Trang 1211
nhất của mạng đó là thư điện tử Những người sử mạng có thể ngay tức khắc gửi các thông điệp tới những người khác thông qua thư điện tử (electronic mail) Có thể gửi kèm các tài liệu vào thư điện tử và có thể gửi chuyển tiếp cho nhiều người Với tính năng này đã xóa bỏ rào cản về khỏang cách địa lý giữa những người dùng trong mạng muốn chia sẻ và trao đổi dữ liệu với nhau Đối với các kiểu dữ liệu như truy cập qua http(web), truyền file(FTP),
đã có các công nghệ bảo mật hỗ trợ như Firewall, công nghệ chống đánh phá như module IPS được tích hợp trên firewall ASA5520, hay những sản phẩm công nghệ chống đánh phá chuyên dụng và mạnh hơn nhiều cho những vùng cần bảo vệ nghiêm ngặt như Tipping point Bên cạnh đó, việc quét virus,
mã độc nhằm ngăn chặn thư rác, spam mail cũng được thực hiện bởi các công nghệ quét virus: quét virus cho các luồng dữ liệu http bởi IWSS (InterScan Web Security Suite của TrendMicro), quét virus trên luồng dữ liệu ftp và email bởi IMSS của TrendMicro (InterScan™ Messaging Security Suite ), quét virus và spyware cho các mailbox trên mail Server bằng phần mềm antivirus Sysmatec
– Tăng tính hiệu quả của hệ thống: Cho phép người lập trình ở Trung tâm máy tính này có thể sử dụng các chương trình tiện ích, vùng nhớ của một trung
tâm máy tính khác đang rỗi
1.2 GIAO THỨC MẠNG TCP/IP
1.2.1.1 Kiến trúc phân tầng OSI
Khi thiết kế mạng máy tính, các nhà thiết kế tự do lựa chọn kiến trúc riêng của mình Từ đó dẫn đến tình trạng không tương thích giữa các mạng (phương pháp truy cập đường truyền, giao thức sử dụng ) Chính sự không tương thích này làm trở ngại cho sự tương tác của người sử dụng các mạng khác nhau, nhất là trong xu thế nhu cầu trao đổi thông tin ngày càng cao thì sự không tương thích
đó là không thể chấp nhận được Trước tình hình đó, các nhà sản xuất, các nhà nghiên cứu thông qua các tổ chức chuẩn hóa quốc tế đã xây dựng một khung
Trang 1312
chuẩn về kiến trúc mạng để làm căn cứ cho các nhà thiết kế và chế tạo các sản
phẩm mạng, và mô hình OSI (Open systems Interconnection) đã ra đời năm
1984 bởi tổ chức tiêu chuẩn quốc tế OSI
Với sự ra đời của mô hình tham chiếu OSI thì mỗi hệ thống mạng sẽ được phân cấp thành các chức năng nhỏ, độc lập và “dựa vào nhau, có tác dụng tương hỗ cho nhau" Điều này cho phép giảm độ phức tạp thiết kế và thực hiện hệ thống thông qua việc xác định các chức năng cấu thành hệ thống và giao diện giữa các chức năng đó mà không qui định bắt buộc phải thực hiện các chức năng đó như thế nào, đồng thời nó còn cho phép thực hiện việc kết nối mở các hệ thống
không đồng nhất, nghĩa là kết nối giữa các hệ thống có kiến trúc phần cứng,
phần mềm hệ thống và cấu trúc số liệu không giống nhau Mô hình 7 mức OSI là
mô hình kết nối mở các hệ thống tính toán được xây dựng trên nguyên tắc phân mức chức năng như vậy
Hình 1.2: Cấu trúc phân lớp mô hình OSI
Mô hình OSI chia kiến trúc mạng thành 7 tầng với những chức năng chuyên biệt cho từng tầng, trong đó hai tầng đồng mức khi khi liên kết với nhau phải sử dụng một giao thức chung Trong mô hình OSI có hai loại giao thức chính được
áp dụng:
Trang 1413
– Giao thức hướng kết nối (connection-oriented): trước khi truyền, dữ liệu hai tầng đồng mức cần thiết lập một liên kết logic, các gói tin được trao đổi thông qua liên kết này Khi không còn nhu cầu trao đổi thông tin thì hủy liên kết logic Với cách thiết lập liên kết logic trước khi truyền tin sẽ nâng cao độ
an toàn trong việc truyền dữ liệu
– Giao thức không liên kết (Connectionless): trước khi truyền dữ liệu không cần thiết lập liên kết logic và mỗi gói tin được truyền độc lập với các gói tin trước hoặc sau nó
1) Tầng ứng dụng (Application Layer)
Là tầng gần với người sử dụng nhất Nó quy định giao diện giữa người sử dụng
và môi trường OSI, cung cấp phương tiện cho người dùng truy cập các thông tin
và dữ liệu trên mạng thông qua chương trình ứng dụng (các chương trình xử lý
kí tự, bảng biểu, thư tín ), các giao thức (HTTP, FTP, SMTP, POP3, Telnet )
2) Tầng biểu diễn thông tin (Presentation Layer)
Tầng này hoạt động như bộ phiên dịch dữ liệu cho mạng Nó thực hiện việc chuyển đổi cú pháp dữ liệu để đáp ứng yêu cầu truyền dữ liệu của các ứng dụng qua môi trường OSI Nói cách khác tầng này sẽ định dạng dữ liệu từ lớp 7 đưa xuống rồi gửi đi đảm bảo sao cho bên thu có thể đọc được dữ liệu của bên phát Các chủân định dạng dữ liệu của tầng này gồm: GIF, JPEG, PICT, MP3, MPEG Ngoài ra nó còn nén dữ liệu truyền và mã hóa chúng trước khi truyền
để bảo mật
3) Tầng phiên (Session Layer)
Tầng phiên cung cấp các chức năng quản lý truyền thông giữa các ứng dụng chạy trên các máy tính khác nhau như: Thiết lập, duy trì, đồng bộ hoá và huỷ bỏ các phiên làm việc giữa các ứng dụng Ngoài ra nó còn thực hiện nhiều chức năng hỗ trợ khác nhau, cho phép các quy trình giao tiếp trên mạng như chứng thực người sử dụng và bảo vệ truy cập tài nguyên Các giao thức hoạt động ở tầng này là: NFS, X-Window System, ASP
Trang 1514
4) Tầng giao vận (Transport layer)
Thực hiện việc truyền dữ liệu giữa hai đầu giao tiếp thông qua việc xác định địa
chỉ trên mạng (Address port để phân biệt được ứng dụng trao đổi), tiến hành
kiểm soát lỗi và điều khiển luồng dữ liệu giữa hai đầu mút truyền dữ liệu nếu cần Nó cũng có thể thực hiện việc ghép kênh, cắt hợp dữ liệu nếu cần Nói chung, nhiệm vụ của tầng này đảm bảo cho Datagram được chuyển giao theo thứ tự gửi đi và không bị mất mát hay trùng lặp Các giao thức chính tại đây gồm TCP, UDP, SPX Thiết bị mạng hoạt động tại tầng này là gateway, firewall
5) Tầng mạng ( Network Layer)
Định vị và quản lý địa chỉ logic mạng, quản lý đường đi giữa các node bên trong
mạng chuyển mạch gói và quyết định dữ liệu sẽ đi theo lộ trình vật lý nào, căn
cứ vào điều kiện hiện tại của mạng, độ ưu tiên của dịch vụ và các điều kiện khác (chức năng định tuyến), các gói tin này có thể phải đi qua nhiều chặng trước khi đến được đích cuối cùng mà vẫn duy trì chất lượng dịch vụ QoS mà tầng giao vận yêu cầu Các giao thức hay được sử dụng ở đây là IP, RIP, IPX, OSPF Thiết bị mạng hoạt động tại tầng này là router
6) Tầng liên kết dữ liệu(Datalink Layer)
Tầng này có chức năng cung cấp các phương tiện để truyền thông tin qua liên kết vật lý đảm bảo tin cậy thông qua các cơ chế đồng bộ hoá, kiểm soát lỗi và điều khiển luồng dữ liệu, báo nhận và phục hồi lỗi xảy ra ở tầng vật lý Dữ liệu
được truyền dưới dạng bit tại các khung (frame) Thiết bị mạng hoạt động tại
tầng này là switch
7) Tầng vật lý (Physical Layer)
Nhìn chung, chức năng của tầng vật lý liên quan tới việc biểu diễn các bit thông
tin các giao thức điều khiển việc truyền các bit qua đường truyền vật lý Theo tiêu chuẩn ISO thì tầng vật lý cung cấp các chuẩn về điện, dây cáp, đầu nối, kỹ thuật nối mạch điện, điệp áp, tốc độc cáp truyền dẫn, giao diện kết nối và các
Trang 1615
mức nối kết Thiết bị mạng hoạt động tại tầng này là Repeater
Mức này đảm bảo các công việc sau:
– Biến đổi số liệu từ dạng song song(Byte/Word) sang dạng nối tiếp(Bit) và ngược lại
– Biến đổi và truyền số liệu dưới dạng bit trên kênh truyền vật lý cụ thể
– Thích ứng về tính chất điện, tính chất cơ học giữa thiết bị cuối với môi trường truyền dẫn(ví dụ: mức tín hiệu điện, ổ nối dây dẫn )
1.2.1.2 Chồng giao thức TCP/IP
Chồng giao thức TCP/IP được phát triển lần đầu tiên bởi Bộ Quốc Phòng Mỹ, sau đó TCP đã trở thành một chuẩn công nghiệp được hỗ trợ bởi phần lớn các hệ điều hành thông dụng (UNIX, DOS, Windows, Macintosh, và Netware) với các
ưu điểm:
– Tính có thể định tuyến và mở rộng được
– Tính mở
– Là một chuẩn đã được kiểm nghiệm nên ổn định
Với các lý do nêu trên nên các mạng máy tính hiện nay và đặc biệt là mạng Internet chủ yếu sử dụng chồng giao thức TCP/IP như là giao thức chuẩn chung
Do đó, việc tìm hiểu một cách sâu sắc các giao thức trong chồng giao thức TCP/IP cũng như sự hoạt động của nó giúp cho chúng ta thấy được mạng máy tính hoạt động như thế nào, có những đặc trưng, những điểm yếu gì Những kẻ tấn công đã lợi dụng những yếu điểm đó như thế nào để thực hiện các cuộc tấn công của mình và chúng ta cần phải làm gì để đảm bảo cho mạng máy tính của mình được an toàn trước những cuộc tấn công đó
TCP/IP được phân thành 4 lớp và được so sánh với các lớp tương đương trong
mô hình tham chiếu hệ thống mở OSI giống như hình sau:
Trang 1716
Hình 1.3: Mô hình TCP/IP và OSI TCP/IP thực chất là một họ giao thức (chồng giao thức) cho phép các hệ thống mạng cùng làm việc với nhau thông qua việc cung cấp phương tiện truyền thông liên mạng
Hình 1.4: Chồng giao thức tương ứng của mô hình TCP/IP
Trang 1817
Hình 1.5: Giao tiếp vật lý và logic giữa các lớp
Dữ liệu được đưa xuống từ lớp ứng dụng, sau đó tới lớp transport, tiếp theo tới lớp Internet và cuối cùng là tới lớp network, mỗi giao thức thực hiện chức năng
xử lý luồng dữ liệu này bằng cách bao bọc các giao thức ở trên nó và đặt thêm một header điều khiển của mình vào phía trước luồng dữ liệu Đối với một số ứng dụng quan trọng thì việc mã hóa luồng dữ liệu trước khi truyền đi là rất quan trọng, nhất là các giao dịch tại các công ty tài chính, ngân hàng thì điều này càng cần thiết hơn Hiện nay, tại Vietinbank đã ứng dụng công nghệ LSP (Layered Service Provider) hoạt động tại tầng 2,4 (nằm giữa lớp 1 và lớp 2) để
mã hóa luồng dữ liệu trước khi truyền từ PC client lên Server (chạy ứng dụng core-banking) trong giao dịch BDS, nhằm tiết kiệm bằng thông đường truyền, tăng tốc độ giao dịch và tăng mức độ bảo mật
Hình 1.6: Cấu trúc dữ liệu tại mỗi tầng OSI
Trang 1918
Hệ thống nhận dòng dữ liệu này theo thứ tự ngược lại, các header được loại bỏ
và dòng dữ liệu lại được gửi lên các lớp trên Sự mở rộng này cung cấp sự linh hoạt bởi vì các lớp trên không cần quan tâm đến các công nghệ được sử dụng ở các lớp dưới
Nhiệm vụ chính của IP là đánh địa chỉ các gói dữ liệu của thông tin giữa các máy tính và quản lý các quá trình xử lý các gói dữ liệu này Giao thức IP có một định nghĩa hình thức về cách bố trí các gói dữ liệu và khuôn dạng của phần Header chứa các thông tin về các gói dữ liệu đó IP đảm nhiệm việc định tuyến đường truyền để xác định gói dữ liệu phải đi đến đâu và có khả năng điều chỉnh đường truyền trong trường hợp gặp trục trặc
IP là một giao thức kiểu không kết nối (Connectionless) IP cung cấp dịch vụ chuyển gói tin với phương thức "Nỗ lực hết mình" đến đích Nỗ lực hết mình ở đây có nghĩa là IP không cung cấp chức năng theo dõi và kiểm tra lỗi gói tin, nó chỉ cố gắng chuyển gói tin đến được đích nhưng không có sự đảm bảo độ tin cậy Nếu độ tin cậy là yếu tố quan trọng thì IP phải hoạt động với một giao thức tầng trên tin cậy (chẳng hạn TCP) Đơn vị dữ liệu được dùng trong IP gọi là
Datagram IP là sự lựa chọn tốt nhất cho bất cứ mạng nào kết nối thông tin theo
kiểu từ máy tới máy Giao thức IP cho phép một gói dữ liệu có kích thước tối đa
là 65.535 byte, kích thước này là quá lớn để các mạng có thể xử lý được, do đó phải có quá trình phân mảnh các gói dữ liệu để truyền và lắp ráp lại thông tin tại trạm đích nếu cần thiết
Trang 2019
1) Quá trình phân mảnh gói dữ liệu
Các gói số liệu IP phải được nhúng trong các khung số liệu của mức liên kết số liệu tương ứng, trước khi chuyển tiếp trong mạng Quá trình nhận một gói số liệu IP diễn ra ngược lại Ví dụ: Mạng Ethernet ở mức liên kết số liệu, khi gửi một gói IP cho mức Ethernet, IP chuyển cho mức liên kết số liệu các thông số địa chỉ Ethernet đích, kiểu khung Ethernet(0x0800) và cuối cùng là gói IP Mức liên kết số liệu đặt địa chỉ Ethernet nguồn là địa chỉ kết nối mạng của mình và tính toán giá trị tổng kiểm tra (checksum) Trường type chỉ ra kiểu khung là 0x0800 đối với số liệu IP Mức liên kết số liệu sẽ chuyển khung số liệu theo thuật toán truy nhập Ethernet
Một gói IP có độ dài tối đa 65535 byte, trong khi đó hầu hết các mức liên kết số liệu chỉ hỗ trợ các khung số liệu nhỏ hơn độ lớn tối đa của gói số liệu IP nhiều lần (ví dụ độ lớn tối đa của một khung số liệu Ethernet là 1500byte) Vì vậy, cần thiết phải có cơ chế phân mảnh khi phát và hợp nhất mảnh khi thu đối với gói số liệu IP
Người ta định nghĩa độ dài tối đa của một gói số liệu liên kết là MTU (Maximum Transmit Unit) Sự phân mảnh (fragment) xảy ra khi một gói tin IP
đi từ mạng này qua mạng kia có đơn vị truyền tải tối đa MTU nhỏ hơn kích thước của gói tin Ví dụ, MTU của chuẩn Ethernet là 1500 byte Nếu một gói tin lớn hơn 1500byte, nó cần phải được chia mảnh bởi router đưa nó đến với mạng Ethernet đó Sự phân mảnh cũng có thể xảy ra nếu một host cần phải truyền một gói tien vào một mạng mà gói tin đó có kích thước lớn hơn MTU của mạng Các phân mảnh có thể được chia nhỏ nữa nếu chúng phải đi qua những mạng có MAT nhỏ hơn kích thước của phân mảnh Mặc dù sự phân mảnh là hòan tòan hoàn hảo trong tình huống bình thường, nhưng người ta có thể phân mảnh một cách thủ công cho mục đích tránh phát hiện bởi các router và các hệ thống thăm
dò tấn công mà không được trang bị khả năng giải quyết với sự phân mảnh
Ví dụ: Nếu muốn gửi một gói số liệu IP gồm 2000 byte qua Ethernet, phải chia
Trang 2120
gói IP thành 2 gói nhỏ hơn, mỗi gói vừa với giới hạn MTU của Ethernet
Gói tin ban đầu:
Các gói tin sau khi được phân mảnh:
Hình 1.7: Nguyên tắc phân mảnh gói số liệu IP
IP dùng cờ MF (3 bít thấp của trường Flags trong phần đầu gói IP) và trường Fragment Offset của gói IP (đã bị phân đoạn) để định danh gói IP đó là một phân đoạn và vị trí của phân đoạn này trong gói IP gốc Các gói dùng trong chuỗi phân mảnh đều có trường này giống nhau Cờ MF bằng không nếu là gói đầu của chuỗi phân mảnh và 1 nếu là gói cuối phân mảnh
Để có thể tái hợp chúng lại thành trạng thái ban đầu tại phía thu, thì phần tiêu đề của gói tin phân mảnh cần phải mang các thông tin sau:
– Số định danh IP: Tất cả các phân mảnh từ cùng một gói tin phải được gắn với những phân mảnh còn lại bằng cách gắn cho tất cả chúng một số định
Original IP Packet 04 05 00 2000
Trang 2221
danh duy nhất Số này được sao chéo từ một trường trong IP header và được gọi là số định danh IP (số định danh phân mảnh)
– Fragment Offset: Mỗi phân mảnh mang theo một số offset để cho biết vị trí
của nó trong gói tin ban đầu
– Payload Length: Mỗi phân mảnh phải cho biết độ Payload mà nó mang theo – MF: Mỗi phân mảnh phải cho biết có phân mảnh nào đi sau nó nữa hay không, thông qua trường MF? Phân mảnh cuối cùng có MF = 0 phần tiêu đề của gói số liệu IP có thông tin về phân mảnh và xác định các mảnh có quan
hệ phụ thuộc để hợp thành sau này
Quá trình hợp nhất diễn ra ngược lại với quá trình phân mảnh Khi IP nhận được một gói phân mảnh, nó giữ phân mảnh đó trong vùng đệm, cho đến khi nhận được hết các gói IP trong chuỗi phân mảnh có cùng trường định danh Khi phân mảnh đầu tiên được nhận, IP khởi động một bộ đếm thời gian (giá trị ngầm định
là 15s) IP phải nhận hết các phân mảnh kế tiếp trước khi đồng hồ tắt Nếu không, IP phải huỷ tất cả các phân mảnh trong hàng đợi hiện thời có cùng trường định danh
Khi nhận được hết các phân mảnh, IP thực hiện hợp nhất các gói phân mảnh thành gói IP gốc và sau đó xử lý gói số liệu này như một gói số liệu IP bình thường IP thường chỉ thực hiện hợp nhất các gói tại hệ thống đích nơi gói số liệu được chuyển đến
Trong quá trình truyền dữ liệu, một gói dữ liệu (Datagram) có thể được truyền qua nhiều mạng khác nhau Một gói dữ liệu nhận được từ một mạng nào đó có thể quá lớn để truyền đi trong một gói đơn ở một mạng khác, bởi vậy mỗi loại
cấu trúc mạng cho phép một đơn vị truyền cực đại MTU (Maximum
Tranmission Unit) khác nhau
Hậu quả của việc phân mảnh dữ liệu là các gói tin bị phân mảnh sẽ đến đích chậm hơn so với một gói không bị phân mảnh Vì vậy phần lớn các ứng dụng đều tránh không sử dụng kỹ thuật này nếu có thể Vì sự phân mảnh tạo ra các
Trang 2322
gói dữ liệu với các header riêng biệt nên quá trình xử lý sẽ làm giảm tính năng của mạng Hơn nữa vì IP là một giao thức không tin cậy nên bất kỳ một gói tin phân mảnh nào bị mất thì tất cả các mảnh khác sẽ phải truyền lại Chính vì lý do này nên phải gửi các gói dữ liệu lớn nhất cho phép để không bị phân mảnh, giá trị này là Path MTU
Hơn nữa, việc phân mảnh gói IP cũng hàm chứa những nguy hiểm bởi nó đã cung cấp một mẫu đất màu mỡ cho giới hacker khai thác với một lượng lớn các loại tấn công khác nhau, mà điển hình là tấn công teardrop Một tập các phân mảnh dị hình hoặc chưa hoàn chỉnh vẫn là vấn đề lớn đối với một host Ví dụ, gần đây là một chương trình được biết đến như Jolt2 có thể gây ra cuộc tấn công
từ chối dịch vụ thông qua làm cạn kiệt tài nguyên của host chỉ đơn giản bằng cách gửi liên tiếp các fragment có offset khác 0 đến host Windows
2) Định tuyến IP
Định tuyến là quá trình gửi các gói dữ liệu từ nguồn đến địa chỉ đích trên mạng, giữa các mạng hoặc mạng con thông qua qua việc sử dụng một thiết bị lớp 3 (Router)
Định tuyến IP dựa trên nguyên tắc đánh địa chỉ IP như sau:
- Các trạm làm việc kết nối trong một mạng “vật lý” phải có cùng phần địa chỉ mạng IP Việc định tuyến IP đồng nghĩa với việc xác định đường tới mạng IP
- Mỗi kết nối mạng phải có một địa chỉ mức liên kết xác định, ứng với một địa chỉ mức liên kết có một địa chỉ IP và ngược lại
Việc định tuyến IP dựa trên bảng định tuyến, được lưu trữ tại mỗi trạm làm việc
và thiết bị định tuyến Bảng định tuyến cho biết các số liệu sau:
- Địa chỉ mạng đích
- Địa chỉ IP của thiết bị chuyển tiếp (Gateway)
- Cờ cho biết, đối với mỗi địa chỉ mạng đích có thể đạt tới trực tiếp qua kết nối mạng vật lý hay phải qua thiết bị chuyển tiếp khác (Flag)
Căn cứ vào những nguyên tắc nêu trên, thuật toán định tuyến IP được mô tả như
Trang 24o Gửi thông điệp ICMP báo lỗi cho thiết bị gửi
– Nếu địa chỉ đích là một trong các địa chỉ IP của các kết nối mạng trên hệ thống, nghĩa là gói số liệu IP được gửi cho chính hệ thống này, thì xử lý gói
số liệu IP tại chỗ
– Xác định địa chỉ mạng đích bằng cách nhân logic (AND) mặt nạ mạng (network mask) với địa chỉ IP đích
– Nếu địa chỉ mạng đích không tìm thấy trong bảng định tuyến thì huỷ bỏ gói
số liệu này và gửi thông điệp ICMP báo lỗi “mạng đích không đến được” cho thiết bị gửi
– Nếu địa chỉ mạng đích bằng địa chỉ mạng của hệ thống, nghĩa là thiết bị đích được kết nối trong cùng mạng với hệ thống thì tìm địa chỉ mức liên kết tương ứng trong bảng thích ứng địa chỉ IP-MAC, nhúng gói tin trong gói số liệu
mức liên kết và chuyển tiếp gói số liệu đến đích
– Trong trường hợp địa chỉ mạng đích không bằng địa chỉ mạng của hệ thống
thì chuyển tiếp đến thiết bị định tuyến cùng mạng
1.2.1.4 Giao thức TCP và UDP
Giao thức Transmission Control Protocol(TCP) và User Datagram Protocol (UDP) là hai giao thức cơ bản hoạt động ở tầng Transport của mô hình TCP, và cùng sử dụng giao thức IP trong tầng Network
1) Giao thức TCP
TCP là một giao thức hướng kết nối (connection oriented), nghĩa là cần phải
thiết lập liên kết logic giữa một cặp thực thể TCP trước khi chúng trao đổi dữ liệu với nhau Một tiến trình ứng dụng trong một máy tính truy nhập vào các
Trang 2524
dịch vụ của giao thức TCP thông qua một cổng (port) của TCP (2byte)
Một cổng TCP kết hợp với địa chỉ IP tạo thành một đầu nối TCP/IP (socket) duy nhất trong liên mạng Dịch vụ TCP được cung cấp nhờ một liên kết logic giữa một cặp đầu nối TCP/IP Một đầu nối TCP/IP có thể tham gia nhiều liên kết với các đầu nối TCP/IP ở xa khác nhau
TCP cung cấp khả năng truyền dữ liệu một cách an toàn giữa các thành viên trong liên mạng Cung cấp các chức năng kiểm tra tính chính xác của dữ liệu khi đến đích và truyền lại dữ liệu khi có lỗi xảy ra TCP cung cấp các chức năng chính sau:
– Thiết lập, duy trì, giải phóng kiên kết giữa hai thực thể TCP
– Phân phát gói tin một cách tin cậy
– Tạo số thứ tự (Sequencing) các gói dữ liệu
– Điều khiển lỗi
– Cung cấp khả năng đa kết nối cho các quá trình khác nhau giữa các thực thể nguồn và đích thông qua việc sử dụng số hiệu cổng
– Truyền dữ liệu theo chế độ song công (full-Duplex)
TCP có những đặc điểm sau:
– Hai nút liên kết với nhau phải trao đổi, đàm phán với nhau về các thông tin liên kết Hội thoại, đàm phán nhằm ngăn chặn sự tràn lụt và mất dữ liệu khi truyền
– Nút nhận phải gửi xác nhận cho nút gửi biết rằng nó đã nhận được gói dữ liệu
– Các gói tin có thể đến đích không đúng theo thứ tự, TCP nhận sắp xếp lại – Hệ thống chỉ gửi lại gói tin bị lỗi, không loại bỏ toàn bộ dòng dữ liệu
Thiết lập và kết thúc kết nối TCP:
Như ta đã biết, TCP là một giao thức kiểu có liên kết, tức là cần phải có giai đoạn thiết lập một liên kết giữa một cặp thực thể TCP trước khi truyền dữ liệu
Trang 2625
và huỷ bỏ liên kết khi không còn nhu cầu trao đổi dữ liệu nữa
Để thiết lập một kết nối TCP, hai thực thể tham gia giao tiếp sẽ thực hiện một
quá trình bắt tay với nhau gọi là three-way hanshake Mỗi gói tin trao đổi trong
quá trình bắt tay này chứa một số thứ tự, các số thứ tự này là duy nhất đối với một kết nối giữa hai thực thể giao tiếp
Hình 1.8: Thiết lập một kết nối TCP/IP Các bước cho việc thiết lập một kết nối TCP giữa máy tính A(client) và máy tính B(Server) diễn ra như sau:
– Bước 1: A gửi một gói yêu cầu kết nối tới B, với bit SYN được thiết lập là 1,
và thiết lập trường Sequence Number chứa giá trị khởi đầu của nó SN được
tăng lên mỗi khi liên kết được yêu cầu (giá trị này quay về 0 khi nó tới giá trị 232) bởi vì một liên kết TCP có cùng số hiệu cổng và cung địa chỉ IP được dùng lại nhiều lần, do đó việc thay đổi giá trị SN ngăn không cho các liên kết
Trang 27– Bước 3: Bên A xác nhận số thứ tự khởi đầu của bên B bằng việc gửi một gói
có bit ACK được bật lên và số thứ tự của nó là số thứ tự khởi đầu của B cộng thêm 1
Sau khi bên B nhận được gói tin xác nhận ở bên A, một kết nối TCP được thiết lập và hai bên bắt đầu có thể trao đổi dữ liệu cho nhau Không có thông điệp nào trong ba bước trên chứa bất kỳ dữ liệu gì, tất cả thông tin trao đổi đều nằm trong phần Header của TCP
Khi một thực thể tham gia kết nối(ví dụ A) muốn huỷ bỏ một kết nối, nó sẽ gửi cho phía bên kia một gói tin có cờ FIN được bật lên để thông báo nó không còn
dữ liệu để trao đổi nữa Vì liên kết TCP là song công (Full-Duplex) nên mặc dù nhận được yêu cầu kết thúc liên kết của bên A, bên B lúc này vẫn có thể tiếp tục truyền dữ liệu nếu còn, và khi không còn dữ liệu để trao đổi nữa thì B sẽ gửi một gói tin có cờ FIN được bật lên và ACK bằng số thứ tự của A cộng thêm 1 để báo cho bên A biết là nó đã nhận được gói tin yêu cầu kết thúc kết nối của bên A Bên A nhận được gói tin này sẽ đáp trả lại bằng một gói tin báo nhận có ACK bằng số thứ tự của B cộng thêm 1 và kết nối TCP giữa hai thực thể sẽ chính thức
bị huỷ bỏ
Trang 2827
Hình 1.9: Kết thúc một kết nối TCP/IP
2) Giao thức UDP
Giống như TCP, User Datagram Protocol(UDP) là một giao thức lớp transport
Tuy nhiên, UDP cung cấp dịch vụ kết nối không hướng liên kết (connectionless)
và không tin cậy
Bởi vì không có điều khiển luồng và không có quá trình bắt tay thiết lập kết nối
nên việc giao tiếp sử dụng giao thức UDP diễn ra rất nhanh Tuy nhiên, cũng vì
vậy mà các gói UDP dễ dàng bị giả mạo và các ứng dụng rất dễ bị tấn công
Bảng 1-1: Bảng so sánh giao thức TCP và UDP
TCP UDP
Giống nhau Cùng hoạt động ở lớp 4 (lớp Transport)
Hướng kết nối Không hướng kết nối Đảm bảo độ “tin cậy” của gói
tin truyền đi
Không đảm bảo độ tin cậy cho gói tin
Hỗ trợ tính toàn vẹn dữ liệu, đảm bảo dữ liệu không bị mất hoặc méo mó
Không hỗ trợ tính năng này, không cần biết bên nhận có nhận được gói tin hay không Tốc độ truyền gói tin chậm hơn Tốc độ truyền gói tin nhanh hơn Khác nhau
Ứng dụng: Email, File Sharing, Downloading…
Ứng dụng: Voice streaming, Video streaming
Trang 29– Điều khiển lưu lượng (Flow Control): khi các gói số liệu đến quá nhanh, thiết
bị đích hoặc thiết bị định tuyến ở giữa sẽ gửi một thông điệp ICMP trở lại thiết bị gửi, yêu cầu thiết bị gửi tạm thời ngừng việc gửi số liệu
– Thông báo lỗi: trong trường hợp địa chỉ đích không tới được thì hệ thống sẽ gửi một thông báo lỗi “Destination Unreachable”
– Định hướng lại các tuyến đường: một thiết bị định tuyến sẽ gửi một thông điệp ICMP định tuyến lại “Redirect Router” để thông báo với một trạm là nên dùng thiết bị định tuyến khác để tới đích Thông điệp này chỉ có thể dùng khi trạm nguồn ở trên cùng một mạng với cả hai thiết bị định tuyến
– Kiểm tra các trạm ở xa: một trạm có thể gửi một thông điệp ICMP “Echo” để kiểm tra xem một trạm ở xa có hoạt động hay không
Hình 1.10: Dịch vụ định tuyến lại (ICMP Redirect)
2) Giao thức phân giải địa chỉ ARP
Source Host
R1
Host R1
(1)IP Diagram
(2)IP Diagram
(3)ICMP Redirect
Trang 30Khi cần tìm thích ứng địa chỉ IP-MAC, trước tiên trạm làm việc sẽ tìm ngay trong bảng thích ứng địa chỉ IP-MAC ở tại trạm Nếu không tìm thấy, nó gửi một bản tin ARP(ARP request) đến máy phục vụ ARP Server Máy phục vụ lại tìm trong bảng thích ứng địa chỉ IP-MAC của mình và trả lời lại bằng bản tin ARP Response cho trạm làm việc Nếu không, máy phục vụ chuyển tiếp yêu cầu nhận được dưới dạng quảng bá cho tất cả các trạm làm việc trong mạng Trạm nào có trùng địa chỉ IP được yêu cầu sẽ trả lời với địa chỉ MAC của mình Để thích ứng một địa chỉ IP với một địa chỉ MAC cho trước, người ta sử dụng giao thức RARP(Reverve ARP) Nguyên tắc hoạt động của giao thức RARP hoàn toàn tương tự như giao thức ARP
1.3 MỘT SỐ DỊCH VỤ MẠNG TRONG LĨNH VỰC NGÂN HÀNG
Cùng với sự phát triển của Internet, các dịch vụ ngày càng phát triển phong phú, đáp ứng ngày càng tốt hơn yêu cầu của người dùng Hòa cùng xu thế đó, các ngân hàng đã cho ra các sản phẩm dịch vụ trên internet nhằm mục đích đáp ứng tốt hơn nữa nhu cầu giao dịch của khách hàng, tăng doanh thu lợi nhuận của mình Sau đây là một số sản phẩm dịch vụ ngân hàng điện tử nổi bật được người dùng đánh giá cao
1.3.1 Dịch vụ Home-banking
Là một kênh phân phối sản phẩm dịch vụ của ngân hàng điện tử, cho phép khách hàng thực hiện các giao dịch ngân hàng tại nhà, văn phòng, công ty thông qua mạng internet toàn cầu mà không phải đến giao dịch trực tiếp tại trụ sở ngân hàng
Trang 3130
Đứng về phía khách hàng, Home-banking đã mang lại những lợi ích thiết thực
“nhanh chóng- an toàn- thuận tiện”:
– Giao dịch dễ dàng, thuận tiện tại mọi lúc, mọi nơi mà không cần phải đến trụ
sở ngân hàng
– Tiết kiệm thời gian, chi phí đi lại
– Giám sát giao dịch và quản lý tài khỏan dễ dàng,
Chu trình sử dụng Home-banking gồm 3 bước:
– Bước 1: Thiết lập kết nối
Khách hàng kết nối máy tính của mình với hệ thống máy tính của ngân hàng qua mạng Internet, sau đó truy cập vào trang web của ngân hàng phục vụ mình (hoặc giao diện người sử dụng của phần mềm) Sau khi kiểm tra và xác nhận khách hàng (User ID, Password…), khách hàng sẽ được thiết lập một đường truyền bảo mật (https) và đăng nhập (login) vào mạng máy tính của ngân hàng
– Bước 2: Thực hiện yêu cầu dịch vụ
Dịch vụ NHĐT rất phong phú và đa dạng, có thể là vấn tin tài khỏan (cung cấp tóm tắt và chi tiết các tài khỏan tiền gửi thanh toán), lịch sử giao dịch (cung cấp và xuất dữ liệu lịch sử giao dịch của các tài khỏan tiền gửi thanh toán Trên website (hoặc giao diện người sử dụng) có sẵn hệ thống Menu chọn lựa và hướng dẫn cụ thể các bước để thực hiện quá trình giao dịch Tất
cả mọi việc khách hàng phải làm chỉ là chọn dịch vụ, cung cấp thông tin theo yêu cầu của dịch vụ và của ngân hàng
– Bước 3: Xác nhận giao dịch, kiểm tra thông tin và thoát khỏi mạng (thông qua chữ ký điện tử, xác nhận điện tử…)
Khi giao dịch được thực hiện hoàn tất, khách hàng kiểm tra lại giao dịch và thoát khỏi mạng, những thông tin chứng từ cần thiết sẽ được quản lí, lưu trữ
và gửi tới khách hàng khi có yêu cầu
Trang 3231
1.3.2 Dịch vụ Internet-banking
Internet banking cũng là một trong những kênh phân phối các sản phẩm dịch vụ của ngân hàng Mang ngân hàng đến nhà, văn phòng, trường học, đến bất kỳ nơi đâu và bất cứ lúc nào Với máy tính kết nối Internet, bạn sẽ được cung cấp và được hướng dẫn các sản phẩm, các dịch vụ của ngân hàng Một số dịch vụ mà Internet-banking mang lại như: Tra cứu số dư tài khoản (tài khoản tiền gửi thanh toán), tra cứu lịch sử giao dịch (Liệt kê giao dịch), Chuyển khoản…
Để bảo mật thông tin –an toàn trong giao dịch Internet-banking, một số ngân hàng đã sử dụng:
– Sử dụng chứng chỉ bảo mật của các hãng nổi tiếng (như Verisign - một tổ chức chứng thực uy tín trên thế giới, mã hoá toàn bộ dữ liệu theo chuẩn AES – 256 bit với độ bảo mật cao)
– Sử dụng công nghệ bàn phím ảo khi đăng nhập internet banking để tránh các phần mềm theo dõi bàn phím đánh cắp mật mã
– Sử dụng giải pháp nhập mã an toàn (captcha) khi đăng nhập internet banking – Sử dụng 2 yếu tố xác thực đối với các giao dịch trên tài khoản:
+ Mã khách hàng và mật mã internet banking (khi đăng nhập vào hệ thống) + Mã xác thực: Xác thực bằng mã ngẫu nhiên qua SMS hoặc Thẻ xác thực (khi thực hiện các giao dịch chuyển khoản/thanh toán)
Trong trường hợp người sử dụng bị người khác ăn cắp mật khẩu thì họ vẫn không thể chuyển tiền từ tài khoản của bạn được Vì để thực hiện giao dịch này, người dùng phải đáp ứng được 2 yếu tố xác thực là có mã khách hàng + mật mã truy cập và đồng thời là mã xác thực chuyển khoản
1.3.3 Dịch vụ Chuyển tiền kiều hối online
Chuyển tiền kiều hối Online là dịch vụ chuyển tiền từ nước ngoài về Việt Nam của Ngân hàng qua mạng Internet Với dịch vụ này, người gửi tiền có thể ngồi tại nhà sử dụng Internet truy cập vào trang Web của ngân hàng để gửi tiền cho
Trang 3332
người nhận ở Việt Nam vào bất cứ thời gian nào mà không cần phải đến ngân hàng Với dịch vụ này người gửi tiền không cần phải đến ngân hàng vẫn có thể gửi tiền cho người thân tại Việt Nam bằng cách kết nối vào trang web của ngân hàng để gửi tiền vào bất cứ thời gian nào trong ngày (24h/24h), bất kỳ ngày nào trong tuần (7 ngày/tuần) Người nhận tiền có thể nhận tiền tại bất cứ chi nhánh, phòng giao dịch nào của ngân hàng đó Trường hợp chuyển tiền vào tài khoản ATM, người nhận tiền có thể nhận được tiền 24h/24h, 07 ngày/ tuần tại bất cứ máy ATM nào của ngân hàng đó
1.3.4 Dịch vụ SMS-banking
SMS Banking là gói tiện ích và dịch vụ ứng dụng các công nghệ hiện đại của ngân hàng điện tử, cho phép khách hàng thực hiện các giao dịch qua điện thoại
di động của mình như:
– Thông báo biến động số dư
– Tra cứu thông tin tài khoản, số dư, bảng kê giao dịch
– Thanh toán hoá đơn dịch vụ, mua sắm hàng hoá, thanh toán hoá đơn điện, nước, điện thoại…
– Môi giới chứng khoán (theo dõi thông tin tài khoản, đặt lệnh mua bán…) – Xem thông tin tỷ giá
– Xem thông tin giá chứng khoán
Trang 3433
CHƯƠNG 2 CÁC VẤN ĐỀ VỀ AN NINH MẠNG MÁY TÍNH
2.1 TÌNH HÌNH AN NINH MẠNG MÁY TÍNH HIỆN NAY
Hiện nay, với tốc độ phát triển cực nhanh của mạng Internet, đặc biệt là sự phát triển của hệ thống Internet băng rộng thì số vụ xâm phạm an ninh, bảo mật thông tin mạng đã và đang gia tăng theo hàm số mũ Theo thống kê của tạp chí Computer Economics, các cuộc tấn công mạng trên toàn cầu gây thiệt hại cho nền kinh tế vài chục tỷ USD mỗi năm và con số này không ngừng gia tăng Cùng với xu thế đó, Việt Nam đang là nước tình trạng tin tặc lộng hành khá phổ biến, điều này thể hiện qua các thông số: gia tăng các vụ tấn công, các virus mã độc tăng lên cũng rất nhiều, số lượng các cuộc tấn công tăng lên gấp đôi, bọn tội phạm tập trung vào các cơ quan thuộc ngành tài chính, ngân hàng, chứng khóan
để trục lợi Chỉ tính riêng năm 2008, số website Việt Nam bị hacker tấn công là
161 (trong đó hacker trong nước tấn công là 52, hacker nước ngoài tấn công là 109); số website Bkis phát hiện có lỗ hổng nghiêm trọng là 30; số máy tính bị nhiễm virus là 27.046.000 lượt máy tính; số virus mới xuất hiện trong năm là 6.269 virus mới (trong đó có 8 virus xuất hiện từ Việt Nam); Virus lấy lan nhiều nhất trong năm là Kavo (lây nhiễm 1.256.000 máy tính) Tổng ước tính thiệt hại lớn hơn 3000 tỷ VND
Năm 2009, thiệt hại do virus gây ra là vài ngàn tỷ đồng, với 9.000 biến thể virus mới xuất hiện trong năm, tăng khỏang hơn 30% so với năm 2008; hơn 64.7 triệu máy tính bị nhiễm virus, tăng hơn gấp đôi năm 2008 Năm 2009 cũng là năm báo động đỏ của an ninh mạng Việt Nam khi có tới hơn 400 website của Việt Nam bị các hacker trong và ngòai nước tấn công, tăng hơn gấp đôi so với năm
2008 và gấp 3 so với năm 2007
2.2 AN NINH MẠNG NGÀNH TÀI CHÍNH NGÂN HÀNG
Tình hình an ninh mạng năm 2008 vẫn trên đà bất ổn và tiếp tục được coi là năm
"báo động đỏ" của an ninh mạng Việt Nam và Thế giới khi có nhiều lỗ hổng an ninh nghiêm trọng được phát hiện, hình thức tấn công thay đổi và có rất nhiều
Trang 3534
cuộc tấn công thành công Anh ninh mạng trong lĩnh vực Tài chính Ngân hàng cũng chịu tác động của tình hình đó
2.2.1 Vấn đề an ninh các website ngành ngân hàng
Năm 2008, đã có rất nhiều các website bị tấn công trong đó có cả các trang website uy tín Các hacker tấn công vào các website này thường lợi dụng những điểm yếu an ninh chưa được quản trị cập nhật vá lỗi:
– Ngày 25/7, website của Techcombank bị hacker xâm nhập và để lại thông điệp cảnh báo lỗi bảo mật
– Một số website ngân hàng và các hệ thống thanh toán trực tuyến khác đều trong tình trạng mất an ninh an toàn thông tin
2.2.2 Tội phạm thẻ gia tăng
Ăn cắp thông tin của thẻ ATM thông qua các thiết bị quay lén, ghi âm bàn phím, bắt các ký tự ghi gõ mật khẩu
Chỉ cần một chiếc camera bé xíu cùng thiết bị đọc và lưu trữ gắn ở vị trí nuốt thẻ trên thân ATM, tên trộm có thể ăn cắp toàn bộ thông tin tài khoản cũng như password của khách hàng đến giao dịch Những dữ liệu này sẽ giúp làm ra một chiếc thẻ giả hoàn hảo và rút tiền của các nạn nhân
Tình trạng ăn cắp các thông tin của các thẻ ATM đã xuất hiện tại Việt Nam thông qua các diễn đàn, chat trên mạng
Có rất nhiều các diễn đàn trên mạng rao bán các thông tin về các thẻ thanh toán ATM đã được bẻ khóa
Thủ đoạn của tội phạm là dùng điện thoại di động gọi vào số máy của một người nào đó để mời tham gia mua một mặt hàng tiêu dùng do công ty của chúng đang khuyến mãi Sau đó, chúng giả vờ báo tin cho họ biết đã trúng thưởng với số tiền lớn, muốn nhận được tiền này thì phải có trong tài khoản ATM hàng chục triệu đồng trở lên, rồi hướng dẫn cho họ thao tác trên máy ATM
Hiện tượng lừa đảo quốc tế dưới dạng danh nghĩa công ty tài chính nước ngoài
Trang 3635
cũng đang nổi lên Thủ đoạn lừa đảo là thông qua các giao dịch lừa đảo trên mạng, hoặc đối tượng trực tiếp đến các Ngân hàng và doanh nghiệp mời chào vay tiền với lãi suất ưu đãi Sau khi dối tác Việt Nam cung cấp thông tin cần thiết và đồng ý thực hiện các thủ tục pháp lý theo yêu cầu, đối tượng lừa đảo sẽ gửi séc du lịch giả cho người vay
2.2.3 Virus ảnh hưởng lớn đến hoạt động nghiệp vụ của Ngành
Năm 2008, các virus phá hoại xuất hiện và bùng phát trên diện rộng Với mức
độ tăng trưởng rất nhanh, bình quan 20,89virus/ngày
Đặc biệt, trong một tháng có khoảng 1.000 biến thể virus mới xuất hiện, chúng liên tục thay đổi cách thức lây lan như qua website chứa mã độc, phần mềm crack, USB,
Các phần mềm độc hại (Malware) phát triển rất nhanh, tính đến tháng 10/2008
số phần mềm độc hại mà các sản phẩm phòng chóng spyware thu thập được là 67.765 mẫu mới Trong đó, Trojan chiếm tỷ lệ lớn nhất Xuất hiện những phần mềm độc hại lấy cắp thông tin cá nhân để tống tiền
Nhận xét: Xuất phát từ thực tiễn trên, vấn đề đảm bảo an toàn cho mạng máy
tính đang ngày càng trở thành vấn đề nóng bỏng và cấp bách Việc đảm bảo an ninh cho mạng máy tính có thể chia làm 3 lĩnh vực chính sau:
2.3.1 An toàn mạng(Network Security)
An toàn mạng quan tâm đến việc đảm bảo an toàn cho các quá trình trao đổi dữ liệu từ đầu cuối hệ thống mạng này đến đầu cuối hệ thống mạng khác tránh việc tại bên nhận, dữ liệu đã bị thay đổi trong quá trình truyền trên đường truyền hay
Trang 37Các dịch vụ an toàn mạng cần đáp ứng được các yêu cầu sau:
+ Xác thực và toàn vẹn dữ liệu(Authentication and Integrity) Đảm bảo với bên nhận về nguồn gốc của gói tin cũng như tính toàn vẹn của gói(gói tin không bị thay đổi)
+ Tin cậy(Confidentiality) đảm bảo nội dung gói tin không bị phơi bày cho bất kỳ ai khác
+ Điều khiển truy nhập(Access Control) với yêu cầu về sự tin cậy, sự nhận thực và tính toàn vẹn được thực hiện nhờ sự tăng cường tính an toàn cho giao thức lớp mạng
Đối với yêu cầu điều khiển truy nhập có thể sử dụng hệ thống Firewall
2.3.2 An toàn ứng dụng(Application Security)
Được áp dụng cho từng ứng dụng cụ thể và độc lập với các biện pháp đảm bảo
an toàn mạng Chính và vậy một số dịch vụ an toàn ứng dụng sẽ thay thế cho hay trùng lặp với dịch vụ an toàn mạng Ví dụ một trình duyệt Web thông thường và trình duyệt Web có khả năng mã hoá sẽ có cùng kết quả hiển thị ở tầng ứng dụng nếu tầng mạng đã trang bị khả năng mã khoá Tuy vậy nhiều ứng dụng có yêu cầu đảm bảo an toàn riêng của mình mà các dịch vụ đảm bảo an toàn mạng không đáp ứng được Lấy thư điện tử làm ví dụ Khi chúng ta gửi đi một bức thư, bức thư có thể sẽ đi qua nhiều hệ thống trung chuyển mà chúng ta không thể biết trước được, tại đó chúng được lưu trử lại Khả năng nội dung của bức thư bị xâm phạm tại những hệ thống trung chuyển đó là có thực bởi không thể tin tưởng chắc chắn vào tính an toàn của các hệ thống trung chuyển đó vì không ai có thể đảm bảo các hệ thống trung chuyển đó không bị thâm nhập trái
Trang 3837
phép Thêm vào đó thư cần được bảo vệ ở mức cá nhân chứ không phải mức hệ thống tránh tình trạng những người trong cùng hệ thống có thể nhận biết được nội dung bức thư Các dịch vụ an toàn mạng không thể đảm bảo được an toàn trong trường hợp này Vì vậy, cần tới các dịch vụ đảm bảo an toàn mức ứng dụng
Trong trường hợp thư điện tử làm ví dụ, các bức thư điện tử có thể được mã hoá trước khi được gửi đi, nhờ đó ngoại trừ người có khoá giải mã, những người khác dù có trong tay nội dung của bức thư cũng không thể biết được nội dung của nó
Để đảm bảo an toàn ứng dụng cần đáp ứng các yêu cầu sau:
+ Sự nhận thực(Authetication)
+ Điều khiển truy nhập(Access Control)
+ Sự tin cậy(Confidentialit)
+ Toàn vẹn dữ liệu(Data Integrity)
+ Không bị giả mạo(Non repudiation)
Các ứng dụng ở đây có thể là những ứng dụng thông thường như email, những ứng dụng trên Web hay những ứng dụng thương mại điện tử Các giao thức tăng cường khả năng an toàn cho các ứng dụng ngày càng đang được hoàn thiện và được ứng dụng rộng rãi Có thể kể đến những giao thức như Secure Socket Layer(SSL), Secure HTTP cho các ứng dụng Web hay Secure Electronic Transactions(SET) cho các ứng dụng thương mại điện tử…
2.3.3 An toàn hệ thống(System Security)
Một hệ thống đơn giản chỉ là một tập hợp bao gồm các thành tố bên trong như máy tính, dữ liệu, các ứng dụng và cả yếu tố con người Một hệ thống an toàn là một hệ thống mà thành viên bất kỳ trong hệ thống chỉ được phép thực hiện những chức năng, sử dụng các ứng dụng, dữ liệu trong phạm vi của mình
An toàn hệ thống khác với an toàn dữ liệu Nếu như an toàn dữ liệu đảm bảo bất
Trang 3938
cứ lúc nào ở đâu và bằng cứ cách nào việc lưu trử dữ liệu được an toàn thì an toàn hệ thống đảm bảo những người không có quyền đối với dữ liệu sẽ không thể xem hay sửa đổi dữ liệu
Các vần đề cần quan tâm khi xây dựng một hệ thống đảm bảo an toàn:
– Cần nắm vững những thành tố bên trong hệ thống (các tài nguyên và người
sử dụng) Đối với các tài nguyên cần xác định tài nguyên nào là tài nguyên chia sẻ cho người sử dụng, tài nguyên nào quan trọng cần bảo vệ Đối với những người sử dụng cần có cơ chế quản lý và phân quyền hợp lý Có thể phân nhóm người sử dụng theo chức năng, quy định mức độ truy nhập và những tài nguyên nào là được phép truy nhập
– Đảm bảo không có lỗ hổng an ninh trong các phần mềm cài đặt Ví dụ như các phần mềm chứa virus sẽ không được cài đặt trên hệ thống
– Đảm bảo hệ thống được cấu hình với khả năng bị xâm nhập là thấp nhất Cần
có cơ chế nhận thực người sử dụng Có thể khẳng định rằng hệ thống sẽ không an toàn nếu không có cơ chế nhận thực tốt Cơ chế nhận thực dùng phổ biến hiện nay là sử dụng tên truy nhập(username) và mật khẩu(password)
– Đảm bảo hệ thống được quản trị với khả năng bị xâm nhập là thấp nhất Các hành động truy cập dữ liệu đều được ghi lại Các mật mã quan trọng là phải khó đoán và được thay đổi theo định kỳ Các tài khoản người dùng phải được quản lý chặt chẻ tránh hacker phát hiện và sử dụng chúng để thâm nhập hệ thống
– Đảm bảo các thủ tục kiểm soát được thiết lập để phát hiện các thâm nhập trái
phép Các biện pháp bảo vệ cần được cài đặt ngay khi có thể
2.4 CÁC HÌNH THỨC TẤN CÔNG MẠNG
Để phòng chống được các cuộc tấn công vào mạng, chúng ta phải nắm bắt được nguyên lý tấn công như thế nào, nó tác động vào đâu và khai thác những điểm yếu nào của mạng
Trang 4039
Cùng với sự phát triển của mạng Internet, các hình thức tấn công vào các hệ thống máy tính ngày càng trở nên đa dạng, tinh vi, phức tạp và khó lường, gây ra nhiều tác hại khác nhau Các kỹ thuật tấn công luôn luôn biến đổi và thường chỉ
bị phát hiện sau khi đã để lại những hậu quả xấu Một yêu cầu cần thiết để đảm bảo an toàn cho mạng máy tính là phải phân tích, thống kê và phân loại được các kiểu tấn công, tìm ra những lỗ hổng bị lợi dụng
Các loại tấn công rất đa dạng và luôn biến đổi, tuy nhiên ta có thể phân chia thành ba loại tấn công mạng chính sau đây:
2) Truy nhập hệ thống (Access attacks)
Các cuộc tấn công này thực hiện việc khai thác các lỗi hay điểm yếu để dành quyền truy cập hay từng bước lấy được đặc truyền truy cập vào một hệ thống Sau khi dành được quyền truy nhập, kẻ tấn công có thể:
– Đọc, ghi hoặc phá huỷ dữ liệu trên hệ thống
– Lấy cắp dữ liệu
– Thêm, xoá hoặc thay đổi các tài nguyên hệ thống bao gồm quyền truy cập – Cài đặt các phần mềm để có thể sử dụng sau này để dành quyền truy nhập hệ thống
Hiện nay, Các phần mềm độc hại (Worm, viruses, Trojan horses) được chèn vào một host để phá huỷ hệ thống, thay đổi hệ thống, và sao chính nó hoặc từ chối các dịch vụ hay truy cập đến các mạng, hệ thống hay dịch vụ
3) Từ chối dịch vụ (DoS)
Các cuộc tấn công này được tạo ra nhằm làm cho một hệ thống không phục vụ