Kỹ thuật lọc gói tin và ứng dụng trong bảo vệ mạng tại trung tâm GDTX tỉnh vĩnh phúc

Các kỹ thuật tấn công mạng IP [3] Trong thực tế kẻ vi phạm có thể xâm phạm vào bất kỳ điểm nào mà thông tin đi qua hoặc được lưu giữ, điểm đó có thể trên đường truyền dẫn, nút mạng, mạn

BỘ GIÁO DỤC VÀ ĐÀO TẠO VIỆN ĐẠI HỌC MỞ HÀ NỘI

LUẬN VĂN THẠC SỸ

CHUYÊN NGÀNH: CÔNG NGHỆ THÔNG TIN

TÊN ĐỀ TÀI:KỸ THUẬT LỌC GÓI TIN VÀ ỨNG

BỘ GIÁO DỤC VÀ ĐÀO TẠO VIỆN ĐẠI HỌC MỞ HÀ NỘI

LUẬN VĂN THẠC SỸ

TÊN ĐỀ TÀI: KỸ THUẬT LỌC GÓI TIN VÀ ỨNG

DỤNG TRONG BẢO VỆ MẠNG

HỌ VÀ TÊN TÁC GIẢ: ĐÀO THỊ MINH

CHUYÊN NGÀNH : CÔNG NGHỆ THÔNG TIN

MÃ SỐ: 60.48.02.018

HƯỚNG DẪN KHOA HỌC: PGS.TS NGUYỄN VĂN TAM

HÀ NỘI - NĂM 2017

LỜI CAM ĐOAN

Những kết quả nghiên cứu được trình bày trong luận văn là hoàn toàn trung thực không vi phạm bất cứ điều gì trong luật sở hữu trí tuệ và pháp luật Việt nam Các thông tin thứ cấp sử dụng trong luận văn có nguồn gốc và được trích dẫn rõ ràng Tôi hoàn toàn trách nhiệm về tính xác thực của luận văn

Tác giả luận văn

Đào Thị Minh

LỜI CẢM ƠN

Trước hết tôi xin gửi lời biết ơn sâu sắc tới PGS.TS Nguyễn Văn Tam đã dành rất nhiều thời gian và tâm huyết hướng dẫn, nghiên cứu và giúp tôi hoàn thành luận văn này

Để hoàn thành chương trình cao học và viết luận văn này, tôi đã nhận được sự hướng dẫn, giúp đỡ và góp ý nhiệt tình của các thầy cô giáo Viện Đại học Mở Hà Nội Tôi xin chân thành cảm ơn các thầy cô đã tận tình dạy bảo tôi trong suốt suốt quá trình học tập và nghiên cứu

Đồng thời, tôi xin cảm ơn Ban giám đốc, đồng nghiệp Trung tâm GDTX tỉnh Vĩnh Phúc đã tạo điều kiện hỗ trợ cho tôi rất nhiều trong suốt thời gian học tập và nghiên cứu thực hiện đề tài luận văn thạc sỹ một cách hoàn chỉnh

Điều đặc biệt tôi cần nhắc đến đó là gia đình nhỏ của tôi, Mẹ tôi và anh chị em trong nhà và cả người cha kính yêu của tôi

Mặc dù tôi đã cố gắng rất nhiều để thực hiện luận văn, tuy nhiên khó tránh khỏi những thiếu sót Tôi rất mong nhận được sự thông cảm và đóng góp ý kiến của các thầy cô và các bạn

Học viên Đào Thị Minh

MỤC LỤC

Trang

LỜI CAM ĐOAN i

LỜI CẢM ƠN ii

MỤC LỤC iii

DANH KÝ HIỆU CÁC TỪ VIẾT TẮT v

DANH MỤC CÁC HÌNH VẼ vii

MỞ ĐẦU 1

1.Lý do chọn đề tài 1

2.Mục đích và mục tiêu nghiên cứu 1

3 Phương pháp nghiên cứu 1

4 Nội dung nghiên cứu 2

CHƯƠNG 1 TỔNG QUAN VỀ AN TOÀN VÀ BẢO MẬT TRONG MẠNG IP 3

1.1 Các kỹ thuật tấn công mạng IP [3] 3

1.1.1 Kỹ thuật thu thập, chặn bắt thông tin 3

1.1.2 Kỹ thuật tấn công xâm nhập mạng 4

1.2.3 Kỹ thuật tấn công từ chối dịch vụ DoS, DdoS [6] 5

1.2 Giải pháp an toàn bảo vệ mạng IP 10

1.2.1 Các mạng riêng ảo (VPN - Virtual Private Network) [8] 10

1.2.2 Giải pháp mật mã thông tin (Cryptography) [3] 10

1.2.3 Giải pháp phát hiện và phòng tránh xâm nhập IDS, IPS [4] 16

Kết luận chương 1: 19

CHƯƠNG 2: TƯỜNG LỬA VÀ KỸ THUẬT LỌC GÓI TIN 21

2.1 Giới thiệu về tường lửa (Firewall) [2] 21

2.1.1 Định nghĩa, chức năng của Bức tường lửa.(BTL) 21

2.1.2 Phân loại bức tường lửa 22

2.1.3 Kiến trúc và cơ chế hoạt động của bức tường lửa lọc gói [6] 26

2.2 Kỹ thuật lọc gói tin [1] 30

2.2.1.Kỹ thuật lọc gói không trạng thái [4] 32

2.2.1.1 Giải thuật lọc gói không trạng thái 32

2.2.1.2 Lọc gói dựa trên tiêu đề TCP/UDP 34

2.2.1.3 Lọc gói dựa trên tiêu đề của gói tin IP 39

2.2.1.4 Mặc định từ chối so với mặc định cho phép 41

2.2.2.Kỹ thuật lọc gói trạng thái đầy đủ 42

2.2.2.1 Giải thuật lọc gói trạng thái đầy đủ 42

2.2.2.2 Theo dõi trạng thái 44

2.2.2.3 Lưu giữ và kiểm tra trạng thái 47

2.2.2.4 Theo dõi số trình tự của TCP 48

2.2.2.5 Kiểm tra giao thức 49

2.2.3.Sự khác nhau giữa kỹ thuật lọc gói không trạng thái và kỹ thuật lọc gói trạng thái đầy đủ 49

Kết luận chương 2: 50

CHƯƠNG 3 BÀI TOÁN THỬ NGHIỆM BỨC TƯỜNG LỬA LỌC GÓI TIN CHO IP 52

3.1 Bài toán thử nghiệm 52

3.1.1 Xây dựng chính sách lọc gói không trạng thái 53

3.1.2 Xây dựng chính sách lọc gói trạng trái đầy đủ 54

3.2 Phân tích, lựa chọn công cụ thử nghiệm 55

3.3 Kết quả thử nghiệm và đánh giá 59

Kết luận chương 3: 61

Phần kết luận: Tóm tắt các kết quả đạt được, hướng phát triển tiếp theo 62

TÀI LIỆU THAM KHẢO 64

PHỤ LỤC 65

Phụ lục 1: Cài đặt IPtables 65

Phụ lục 2: Cài đặt và thử nghiệm FWBINLDER 68

DANH KÝ HIỆU CÁC TỪ VIẾT TẮT

Viết tắt Tiếng anh Tiếng việt

AH Authentication Header

Header xác thực được thêm vào sau header của gói tin IP

AES Advanced Encryption Standard Thuật toán mã hóa khối

DES Data Encryption Standard Thuật toán mã đối xứng

DoS Denial of Service Tấn công từ chối dịch vụ

DDoS Distributed Denial of Service Tấn công từ chối dịch vụ phân tán

DNAT Destination Network Address

ESP Encapsulated Security Payload

Phương thức đóng gói bảo vệ dữ liệu

ICMP Internet Control Message Proto-col

là một giao thức của gói Internet Protocol Giao thức này được các thiết bị mạng như router dùng để gửi đi

IDEA International Data Encryption Al-gorithm: Thuật toán mã hóa dữ liệu

IMAP Internet Message Access Protocol

Đặt sự kiểm soát email trên mail server

IP Internet Protocol Giao thức truyền trên mạng InternetIPv6 Internet Protocol version 6 Giao thức IP phiên bản 6

IPv4 Internet Protocol version 4 Giao thức IP phiên bản 4

IDS Intruction Detect System Hệ thống phát hiện xâm nhập

IPS Intrusion Prevention System:

Hệ thống phòng tránh truy cập trái phép

IPX Internetwork packet Exchange

Giao thức chính được sử dụng trong hệ điều hành mạng

MAC Media Address Controller Điều khiển địa chỉ truyền thông

NAT Network Address Translation Phương thức chuyển đổi địa chỉ.

RSA Rivest Shamir Adleman

RSA là một phương thức mã hoá công khai

SA Security Association Địa chỉ IP nguồn

SYN Synchronous Idle Character Ký tự đồng bộ hoá

SNMP Simple Network Management

SMTP Simple Mail Transfer Protocol Giao thức truyền tải thư tín

UDP User Datagram Protocol Giao thức thông tin người sử dụng

OSI Open Systems Interconnection

Mô hình tham chiếu kết nối hệ thống mở

POP Post Office Protocol:

Là tải toàn bộ thông điệp email về client server yêu cầu

TCP Transmission Control Protocol Giao thức điều khiển kết nối

VPN

Virtual Private Network Mạng riêng của một tổ chức

những sử dụng đường truyền công cộng

DANH MỤC CÁC HÌNH VẼ

Trang

Hình 1 1:Kỹ thuật bắt gói tin thụ động 3

Hình 1 2: Kỹ thuật Sniffers chủ động 4

Hình 1 3: Kỹ thuật Tấn công kiểu Smurf 6

Hình 1 4: Kỹ thuật Tấn công kiểu SYN flood 8

Hình 1 5: Kỹ thuật Tấn công DdoS 9

Hình 1 6: Phân loại tấn công DDoS 9

Hình 1 7: Mạng riêng ảo 10

Hình 1 8 Sơ đồ thuật toán mã hoá 12

Hình 1 9 Vị trí của IDS trên mạng 17

Hình 1 10 Vị trí của TPS trên mạng 19

Hình 2 1 Firewall lọc gói 22

Hình 2 2 Tường lửa ứng dụng 24

Hình 2 3 Tường lửa nhiều tầng 25

Hình 2 4 Kiến trúc máy chủ trung gian 26

Hình 2 5 Kiến trúc máy chủ sàng lọc 27

Hình 2 6 Kiến trúc mạng con sàng lọc 28

Hình 2 7 Mô hình sử dụng nhiều Bastion Host 28

Hình 2 8 Kiến trúc ghép chung Router trong và Router ngoài 29

Hình 2 9 Kiến trúc ghép chung Bastion Host và Router ngoài 29

Hình 2 10 Các luồng gói tin trên bức tường lửa lọc gói 31

Hình 2 11 Tiêu đề mảng tin TCP 35

Hình 2 12 Tiêu đề mảng tin UDP 35

Hình 2 13 Các cổng trong giao thức TCP 37

Hình 2 14 Quá trình bắt tay ba bước của giao thức TCP 38

Hình 2 15 Tiêu đề của gói tin IP 39

Hình 2 16 Thông điệp ICMP trong gói tin IP 46

Hình 3 1 Sơ đồ kết nối mạng trong trường học 52

Hình 3 2 Netfilter và Iptables trong nhân Linux 56

Hình 3 3 Các chính sách luật lọc gói không trạng thái 59

Hình 3 4 Các luật lọc gói tin không trạng thái được cài đặt 60

Hình 3 5 Các chính sách luật lọc gói trạng thái đầy đủ 60

Hình 3 6 Các luật lọc gói trạng thái đầy đủ được cài đặt 61

DANH MỤC CÁC LƯU ĐỒ

Lưu đồ 1 Thuật toán lọc gói không trạng thái 33Lưu đồ 2 Thuật toán lọc gói trạng thái đầy đủ 43

DANH MỤC CÁC BẢNG BIỂU

Bảng 2 1 Bảng dịch vụ và tương ứng với số cổng 36Bảng 3 1 Miêu tả các target mà iptables thường………59

MỞ ĐẦU

1 Lý do chọn đề tài

Trong thời kỳ bùng nổ thông tin, việc có được thông tin chính xác kịp thời là hết sức quan trọng đối với mọi tổ chức và doanh nghiệp Mạng máy tính đặc biệt là mạng Internet đã giúp cho mọi người tiếp cận, trao đổi những thông tin mới nhất một cách nhanh chóng, thuận tiện Mạng Internet đã mang lại cho con người những lợi ích không thể phủ nhận, tuy nhiên nó cũng đặt ra một số thách thức, đặc biệt là vấn đề an toàn thông tin

Giao thức IP đang là giao thức cơ bản nhất của mạng Internet toàn cầu Việc kiểm soát luồng dữ liệu giữa mạng nội bộ của tổ chức và doanh nghiệp với mạng

IP bên ngoài là hết sức cần thiết, nó góp phần phòng chống các truy nhập bất hợp pháp và các tấn công vào mạng nội bộ Giải pháp lọc gói tin đã và đang là các công

cụ hữu hiệu trong việc bảo vệ mạng.Từ các phân tích trên, học viên chọnĐề tài “Kỹ

thuật lọc gói tin và ứng dụng trong bảo vệ mạng”để nghiên cứu

2 Mục đích và mục tiêu nghiên cứu

Tìm hiểu và trình bày có chọn lọc về nguy cơ đe dọaan toàn mạng và đưa ra một số giải pháp an toàn mạng

Tìm hiểu và trình bày có chọn lọc khái niệm về tường lửa và kỹ thuật lọc gói tin, sử dụng hai kỹ thuật lọc gói không trạng thái và lọc gói trạng thái đấy đủ

Đưa ra bài toán và xây dựng phần mềm thử nghiệm cho bài toán lọc gói tin trong IP với bức tường lửa mã nguồn mở Iptables

Đối tượng và phạm vi nghiên cứu

+ Mạng IP và kỹ thuật lọc gói tin + Giải pháp bảo vệ mạng IP, tại Trung tâm GDTX tỉnh Vĩnh Phúc, từ tháng 4/2017 đến tháng 10/2017

3 Phương pháp nghiên cứu

- Nghiên cứu tài liệu về kiến trúc IP và bức tường lửa, phân tích, so sánh để lựa chọn vấn đề cần đi sâu tìm hiểu

- Sử dụng công cụ vàchương trình trên máy tính để minh họa cho các nghiên

cứu về lý thuyết

4 Nội dung nghiên cứu

- Tiếp cận được một giải pháp lọc gói cho thế hệ Internet mới

- Vấn đề an toàn và bảo mật thông tin trong IP tránh khỏi các tấn công từ bên ngoài

- Nội dung nghiên cứu chính được trình bày như sau: Phần mở đầu, phần nội dung gồm 3 chương chính và phần kết luận, danh mục và các tài liệu tham khảo

Chương 1: Tổng quan về an toàn bảo mật trong mạng IP

Chương 2: Tường lửa và kỹ thuật lọc gói tin

Chương 3: Bài toán thử nghiệm bức tường lửa lọc gói tin cho IP

Phần kết luận: Tóm tắt các kết quả đạt được, hướng phát triển tiếp

CHƯƠNG 1 TỔNG QUAN VỀ AN TOÀN VÀ BẢO MẬT

TRONG MẠNG IP 1.1 Các kỹ thuật tấn công mạng IP [3]

Trong thực tế kẻ vi phạm có thể xâm phạm vào bất kỳ điểm nào mà thông tin

đi qua hoặc được lưu giữ, điểm đó có thể trên đường truyền dẫn, nút mạng, mạng, máy tính chủ có nhiều người sử dụng hoặc tại các giao diện kết nối liên mạng

(Bridge, router, gateway…)

1.1.1 Kỹ thuật thu thập, chặn bắt thông tin

Công cụ bắt gói tin (Sniffers) là một chương trình hay thiết bị có khả năng đón bắt lại các thông tin quan trọng từ giao thông mạng chỉ định đến một mạng riêng Các thông tin bị chặn bắt bao gồm: mật khẩu, các thông tin về các thẻ tín dụng, thư điện

tử, các tập tin văn bản mật khác

Công cụ này thường được sử dụng vào 2 mục đích khác biệt nhau Theo hướng tích cực nó có thể là một công cụ giúp cho các quản trị mạng theo dõi và bảo trì hệ thống mạng của mình Theo hướng tiêu cực nó có thể là một chương trình được cài vào một hệ thống mạng máy tính với mục đích chặn dữ liệu, các thông tin trên đoạn mạng này

Về bản chất có thể phân loại các hành vi xâm phạm thông tin dữ liệu trên đường truyền tin và mạng truyền tin làm 2 loại: thụ động và chủ động

Sniffers thụ động: lấy dữ liệu chủ yếu qua Hub Nó được gọi là thụ động là vì rất khó có thể phát hiện ra loại bắt gói tin này Hacker sử dụng máy tính của mình kết nối đến Hub và bắt đầu thực hiện

Hình 1 1:Kỹ thuật bắt gói tin thụ động

Công cụ Sniffers chủ động lấy dữ liệu chủ yếu qua Switch, nó rất khó thực hiện và dễ bị phát hiện Hacker thực hiện theo trình tự:

- Hacker kết nối đến Switch bằng cách gửi địa chỉ MAC nặc danh

- Switch xem địa chỉ kết hợp với mỗi khung (Frame)

- Máy tính trong LAN gửi dữ liệu đến cổng kết nối

Hình 1 2: Kỹ thuật Sniffers chủ động

1.1.2 Kỹ thuật tấn công xâm nhập mạng

Tấn công xâm nhập mạng gồm 4 bước:

Bước 1: Thu thập thông tin: Mạng, Server, Người dùng…Để thu thập thông tin, tin tặc thường sử dụng các kỹ thuật như:

Quét cổng (Port Scan): Gửi gói tin tới cổng, xem phản ứng, xác định trạng thái hoạt động của ứng dụng

Kiểm tra nhãn hiệu (Banner)để biết loại và phiên bản của ứng dụng

Thử tra vấn DNS server để tìm một địa chỉ IP, thực hiện chuyển miền để tìm máy tính trên mạng

Khai thác giao thức quản trị mạng SNMP: Chiếm thông tin quản trị mạng để xác định vị trí của máy tính trên mạng

Bước 2: Tấn công, truy nhập, bẻ mật khẩu, tấn công chiếm quyền quản trị

Để có mật khẩu, tin tặc sử dụng kỹ thuật như:

Tấn công vét cạn: Thử các tổ hợp ký tự để truy nhập vào hệ thống đích, dùng khi truy nhập mạng LAN

Tấn công bằng từ điển: Sử dụng một số từ khóa, dùng khi truy nhập từ xa Phân tích để lấy mật khẩu của người quản trị

Bước 3: Sau khi vào mạng, tin tặc thường khai thác các lỗ hổng như tràn bộ đệm để chiếm quyền người quản trị rồi phá hoại mạng bao gồm phần cứng, phần mềm hệ thống và các ứng dụng…

Bước 4: Sau phá hoại mạng tin tặc tạo cửa sau, xoá nhật ký truy nhập, cài các phần mềm độc hại để điều khiền từ xa…

1.2.3 Kỹ thuật tấn công từ chối dịch vụ DoS, DdoS [6]

Tấn công từ chối dịch vụ (Denial of Service – DoS) là một cuộc tấn công thực hiện từ một người hoặc một nhóm người nào đó đến hệ thống mục tiêu Khi cuộc tấn công xảy ra, trên hệ thống bị tấn công, người dùng không thể truy xuất dữ liệu hay thực hiện bất kỳ một công việc nào

Mục đích của tấn công từ chối dịch vụ là không cho phép ủy quyền truy cập đến máy hoặc dữ liệu, ngăn chặn người dùng hợp pháp truy cập vào các dịch vụ của

hệ thống Khi tấn công, Hacker có thể thực hiện các công việc sau: Cố gắng làm ngập hệ thống, ngăn chặn việc trao đổi thông tin giữa các kết nối hợp lệ Phá vỡ các kết nối giữa hai máy, ngăn chặn các truy cập đến dịch vụ Ngăn chặn các thiết lập đặc biệt đến dịch vụ

* Tấn công từ chối dịch vụ chia làm hai loại tấn công:

- Tấn công từ chối dịch vụ (DoS - Denial of Service): là kiểu tấn công từ một

cá thể hay tập hợp các cá thể

- Tấn công từ chối dịch vụ phân tán (DDoS - Distributed Denial of Service): Đây là sự tấn công từ một mạng máy tính được thiết kế để tấn công tới một đích cụ thể nào đó

a Tấn công DoS

Các dạng tấn công DoS

- Smurf:Người tấn công tạo ra một khối lượng lớn các giao tiếp ICMP work Control Message Protocol) đến địa chỉ mạng broadcast thiết lập địa chỉ IP giả rồi đồng loạt gửi đến host của nạn nhân

(Internet-Máy tính nạn nhân mất thời gian hồi đáp lại các thông điệp ICMP giả mạo, dẫn đến tình trạng quá tải Khi hồi đáp số lượng lớn các ICMP dẫn đến tình trạng ngập tràn mạng và kết nối không thể thực hiện được nữa

Hình 1 3: Kỹ thuật Tấn công kiểu Smurf

- Tấn công tràn bộ đệm - Buffer Overflow Attack: Lỗi tràn bộ đệm là khi bộ nhớ bị ghi đè nhiều lần trên ngăn xếp (stack) Thông thường nó xảy ra người dùng gởi một lượng lớn dữ liệu đến server ứng dụng và sau đó tiêm độc hại tấn công vào lượng lớn dữ liệu này Khi gởi một lượng lớn dữ liệu thì có một số vấn đề bắt đầu nảy sinh Vì vậy các dữ liệu đầu vào nên được validate (xác nhận) một cách kỹ lưỡng Nó cần được làm sạch và cần được xác minh (verified) trước khi lưu lại

Tấn công tràn bộ đệm xuất hiện bất kỳ lúc nào mà chương trình ghi những thông tin vào bộ đệm lớn hơn không gian cho phép của bộ nhớ Hacker thực hiện ghi

đè các dữ liệu vào các chương trình để chiếm quyền điều khiển và thực hiện các đoạn

mã của Hacker

Nếu gửi thông điệp email mà số tập tin đính kèm lên đến 256 tập tin thì có thể

là nguyên nhân dẫn đến tình trạng tràn bộ đệm

- Tấn công tràn bộ đệm bằng Ping – Ping of Death: Hacker chú ý gửi một gói

dữ liệu lớn hơn 65536 bytes mà giao thức IP cho phép

Phân mảnh gói dữ liệu IP thành những đoạn nhỏ hơn

Phân đoạn có thể cho phép thêm nhiều hơn 65536 bytes

Hệ điều hành không thể kiểm soát các gói có kích thước quá lớn nên dẫn đến tình trạng đóng băng, khởi động lại hoặc hệ thống bị phá hủy Rất khó có thể nhận dạng Hacker khi họ gửi dữ liệu vì địa chỉ của họ đã ngụy trang

- Tấn công Teardrop:Thông thường, khi một gói dữ liệu được truyền đi sẽ phải trải qua hai bước sau:

- Ở nguồn, dữ liệu được chia ra thành nhiều gói nhỏ (kích thước này được định bởi hệ thống đích qua trường Window trong gói TCP) và được gửi đi tuần tự Mỗi gói

có một địa chỉ Offset tương đương với số thứ tự của gói

- Ở hệ thống đích, dữ liệu được sắp xếp lại dựa theo trường Offset để được dữ liệu đúng như thứ tự ban đầu

Khi kiểu tấn công này diễn ra, attacker gửi một luồng dữ liệu lớn có Offset chồng chéo lên nhau (ví dụ như được khởi tạo bởi hàm Random) và không theo bất

cứ thứ tự nào khiến cho hệ thống không thể sắp xếp được các gói này và những máy chủ có lượng RAM hạn chế sẽ nhanh chóng bị đầy bộ nhớ, dẫn đến treo hoặc reboot Điểm mạnh: Rất mạnh và dễ thực hiện

Điểm yếu: Ít công cụ có sẵn và cần có kiến thức về mạng

Khi một địa chỉ IP nào đó yêu cầu một gói dữ liệu nhưng gói này quá lớn để gửi đến router kế tiếp, hệ thống sẽ phân chia gói này thành các đoạn nhỏ hơn Lợi dụng điểm này, Hacker chèn thêm những mảnh nhỏ với những offset khó hiểu Hệ điều hành không có khả năng nhận những gói tin không thích hợp, vì vậy hệ thống bị treo

- Tấn công SYN – SYN flood: Hacker gửi thêm TCP SYN yêu cầu server của nạn nhân xử lý Đây là kiểu tấn công khai thác quá trình bắt tay ba bước của kết nối

TCP Nó sử dụng một tập các gói yêu cầu thiết lập kết nối (SYN) lớn gửi đến hệ thống nạn nhân với địa chỉ IP giả mạo và dẫn đến việc từ chối dịch vụ trên hệ thống của nạn nhân

Khi host B nhận yêu cầu SYN từ host A, nó mở một phần kết nối và đưa vào hàng đợi Các host nguy hiểm có các Exploits kích thước nhỏ nằm trong hàng đợi để

từ đó nó gửi nhiều yêu cầu đến host khác Nhưng khi nhận hồi đáp từ các host này, nó không trả lại thông báo SYN/ACK

Hàng đợi đang lắng nghe trên hệ thống của nạn nhân sẽ nhanh chóng bị lấp đầy Chính điều này đã dẫn đến quá trình từ chối dịch vụ trên hệ thống của nạn nhân

Hình 1 4: Kỹ thuật Tấn công kiểu SYN flood

b Tấn công từ chối dịch vụ DDoS

Trên Internet, tấn công từ chối dịch vụ phân tán (Distributed Denial of Service –DDoS) là cuộc tấn công của nhiều hệ thống đến một mục tiêu

Điều đó làm cho hệ thống của nạn nhân bị quátải và dẫn đến tình trạng tràn hệ thống, người dùng hợp pháp không thể truy cập vào các tài nguyên và mọi dịch vụ bị

từ chối

* Một số đặc điểm c

DDOS là cuộc tấn công trên ph

thống của nạn nhân Khi t

đồng loạt công kích vào m

Rất khó phát hiện ra t

khác nhau Hacker có khả

việc khai thác các tài nguyên trên các Zombies

* Phân loại tấn công D

Hình 1 5: Kỹ thuật Tấn công DdoS

m của tấn công DDOS

n công trên phạm vi rộng lớn nhắm vào các d

n nhân Khi tấn công DDoS xảy ra, nó sẽ huy động các hệ

t công kích vào mục tiêu chính

n ra tấn công DDoS vì chúng huy động từ nhi

ả năng huy động các tín hiệu tấn công từ ch

c khai thác các tài nguyên trên các Zombies

1.2 Giải pháp an toàn bảo vệ mạng IP

1.2.1 Các mạng riêng ảo (VPN - Virtual Private Network) [8]

* Khái niệm về VPN

Mạng riêng ảo VPN là một mạng dữ liệu riêng nó lợi dụng kiến trúc hạ tầng của mạng công cộng (mạng Internet) Ý tưởng của việc sử dụng VPN là đưa ra cho các tổ chức hoặc công ty mong muốn cùng những khả năng như những đường thuê riêng (Leased line) nhưng với chi phí thấp hơn Một VPN cung cấp an toàn chia sẻ các tài nguyên chung dữ liệu bằng các kỹ thuật mã hoá để đảm bảo rằng chỉ những người sử dụng hợp lệ có thể xem hoặc “tunnel” vào mạng riêng

Hình 1 7: Mạng riêng ảo

Ngày nay, các công ty và tổ chức xem xét các VPN như phương tiện hiệu quả chi phí cho việc kết nối an toàn giữa các chi nhánh văn phòng, người sử dụng từ xa, các đối tác và khách hàng đặc quyền với các mạng cục bộ riêng Phần lớn các fire-wall có khả năng mã hoá VPN đã được gắn kèm hoặc là một tuỳ chọn mở rộng Nó đưa ra một kỹ thuật thay thế đơn giản, hợp lý về chi phí cho các đường thuê riêng truyền thống hoặc việc truy cập từ xa qua modem

1.2.2 Giải pháp mật mã thông tin (Cryptography) [3]

Với cách thức an toàn trung chuyển dữ liệu, phương pháp sử dụng mật mã rất phổ biến Có thể nói, ngày nay mã hoá được thấy mọi nơi, từ việc băm (hash) các mật khẩu với mã hoá e-mail cho tới giao thức an toàn internet (IPSec) mạng riêng

ảo (VPN), và thậm chí cả mã hoá các tệp hệ thống Với phương pháp này, giúp đảm

bảo dữ liệu không bị rò rỉ trong quá trình truyền, hoặc thông tin đó có thể được đảm bảo an toàn trong khoảng thời gian mong muốn

Lịch sử đã ghi lại rằng, mật mã đã được sử dụng từ hơn 4000 năm trước ở Ai cập, người đầu tiên sử dụng nó là Julius Caesar và thuật toán này cũng được gọi chính tên của tác giả, cơ bản của thuật toán này là quay phải 3 ký tự chẳng hạn A được chuyển thành D và S được chuyển thành V Đây là mật mã đơn giản, ngày nay các mật mã được phát minh và đưa vào sử dụng rất mạnh và tinh vi hơn nhiều

* Các kiểu khoá mã hoá

Việc mật mã sử dụng hai kiểu khoá: đối xứng (Symmetric) và không đối xứng (Asymmetric) Kiểu mã hoá khoá đối xứng sử dụng một khoá cho cả việc mã hoá (Encryp-

tion) và giải mã (Decryption) văn bản mật mã Kiểu khoá này được gọi là khoá bí mật

(se-cret key) bởi vì chúng phải được giữ bí mật Nếu không, một người nào đó khi có được khoá này có thể giải mã được thông điệp đã được mã hoá bởi nó Các thuật toán hữu dụng

sử dụng trong mã hoá khoá đối xứng nói chung phần lớn đã được biết rộng rãi, cho nên chỉ

có vấn đề bí mật là khoá được sử dụng Lúc đó việc an toàn được đặt ra tiếp đó là làm sao việc gửi nhận được an toàn, và nơi gửi và nơi nhận có cùng một khoá giống nhau

Mật mã không đối xứng có thể được nhận biết bởi thuật ngữ đồng nghĩa: Khoá

mật mã công cộng Các thuật toán không đối xứng sử dụng hai khoá khác nhau, một khoá cho mã hoá và một khoá cho giải mã - một khoá công cộng (Public key) và một khoá riêng (Private key) theo thứ tự

Có rất nhiều thuật toán mật mã, mỗi thuật toán có một điểm mạnh và điều yếu riêng, phù hợp với những mục đích sử dụng và thực tế riêng Trong giới hạn của luận văn này, sẽ đề cập tới 5 thuật toán có thể được xem là khá phổ biến như sau: 3 thuật toán đồng bộ DES (Data Encryption Stadard), AES [Rijindal], IDEA (Interna-tional Data Encryption Algorithm), và 2 thuật toán không đồng bộ Diffie-Hellman,và RSA (Rivest, Shamir, Adleman)

a Các thuật toán mã hóa khóa đối xứng (Symmetric Algorithms)

Các thuật toán kiều này được phổ biến hay dùng đó là DES, thế hệ tiếp theo của nó AES, và tiêu chuẩn châu âu IDEA Điểm mạnh của những thuật toán này

chính ở kích thước của khoá sử dụng trong thuật toán, cũng như số chu kỳ của mỗi

thuật toán sử dụng

DES

Trong số những thuật toán mã hoá lâu đời và phổ biến nhất là DES (Data cryption Standard), được phát triển bởi IBM và là tiêu chuẩn của Mỹ từ 1976 cho đến vào khoảng 2001 Cơ bản, DES sử dụng một khoá đơn 64-bit bao gồm 56 bits

En-dữ liệu và 8 bits chẵn lẻ - và thao tác trên các khối En-dữ liệu 64-bit Khoá này được

chia thành 16 khoá con 48-bit riêng lẻ, mỗi một vòng này được gọi là Feistel cycles

(Hình sau minh hoạ đưa ra sơ đồ về thuật toán mã hoá DES hoạt động như thế nào)

Hình 1 8 Sơ đồ thuật toán mã hoá

Incoming Data Stream

ty Input

Repeat for N Iterations 64-bits

Mỗi một vòng bao gồm một giai đoạn thay thế, ở một khía cạnh nào đó dữ liệu được thay thế bằng các mảnh của khoá, và một giai đoạn hoán vị, ở đó dữ liệu thay thế được trộn lẫn Cả hai thao tác này xảy ra trong “F Module” của sơ đồ thuật toán Vấn đề an toàn của DES nằm chủ yếu ở chỗ khi các thao tác thay thế không phải là tuyến tính, cho nên văn bản mật mã kết quả không khi nào giống với thông điệp gốc ban đầu Bởi vậy kỹ thuật phân tích dựa vào ngôn ngữ sử dụng để chống lại các văn bản mã hoá không tiết lộ được điều gì Các thao tác hoán vị bổ sung thêm mức an toàn bằng cách trộn lẫn từng phần các thông điệp mã hoá

AES (Rijndeal)

Vào năm 1997, khi sự suy giảm của DES bắt xuất hiện lờ mờ một cách gần hơn, NIST đã thông báo tìm kiếm một tiêu chuẩn mã hoá cao cấp AES (Advanced Encryption Standard), thế hệ tiếp theo của DES

Trong số các yêu cầu của AES đưa ra là:

- AES sẽ là một khối khoá đồng bộ riêng văn bản mật mã (tương tự như DES)

- AES cần mạnh hơn và nhanh hơn 3-DES

- AES đòi hỏi một khoảng thời gian tồn tại ít nhất 20-30 năm

- AES sẽ hỗ trợ các kích thước khoá của 128-bits, 192-bits, và 256-bits

- AES sẽ sẵn dùng cho tất cả - miễn phí, không độc quyền và yêu cầu sáng chế Sau một thời gian, tìm kiếm và kiểm nghiệm trên các môi trường khác nhau Cuối cùng, tháng 10 năm 2000, thuật toán Rijndael được thông báo là chiến thắng bởi tính thực thi cao của nó trong cả các cài đặt phần mềm, phần cứng và yêu cầu ít

bộ nhớ của nó Thuật toán Rijndael được phát triển bởi các chuyên gia mật mã người Bỉ Dr Joan Daemen và Dr.Vincent Rijmen, dường như cũng có thể chống lại các cuộc tấn công dựa vào sức mạnh và thời gian

Cơ sơ của AES/Rijndael làm việc là, thay cho việc sử dụng các Feistel cycle trong mỗi vòng giống DES, nó sử dụng các vòng lặp giống IDEA Dữ liệu được làm việc trên các khối 128-bit, chúng được nhóm thành 4 nhóm của 4-byte Số vòng cũng phụ thuộc vào kích thước của khoá, như các khoá 128-bit có 9 vòng, các khoá 192-bit có 11 vòng, và các khoá 256-bit có 13 vòng Mỗi vòng bao gồm một bước

thay thế trên mỗi bit dữ liệu, theo sau bởi bước giả hoán vị, trong đó các bit được sáo trộn giữa các nhóm Sau đó mỗi nhóm được nhân với kiểu ma trận và các kết quả được bổ sung cho khoá con cho vòng đó

IDEA

Tương tự như thuật toán DES của Mỹ, Châu Âu có thuật toán IDEA, nó được

đề xuất vào năm 1990 với cái tên đầu tiên là PES (Proposed Encryoption Standard) bởi hai nhà mật mã học James Massey và Xuejia Lai trong một dự án liên kết giữa Accom và Swiss Federal Institute of Technology Sau một quá trình phát triển, cuối cùng nó được đổi thành IDEA và năm 1992

Không chỉ IDEA là mới hơn DES, mà IDEA còn được xem là nhanh hơn và

an toàn hơn Cải tiến tốc độ của IDEA là do mỗi vòng bao gồm nhiều các thao tác đơn giản hơn các chu kỳ Feistel trong DES Những thao tác này (XOR, cộng và nhân) là đơn giản hơn nhiều để cài đặt trong phần mềm so với các thao tác thay thế

và hoán vị trong DES

b Các thuật toán mã hóa khóa không đối xứng (Asymmetric Algorithms)

Không giống như các thuật toán đồng bộ, các thuật toán không đồng bộ sử

dùng nhiều hơn 1 khoá, thường thường là một khoá chung(public key) và một khoá

riêng (private key) (cũng có hệ thống có nhiều hơn 2 khoá) Thay cho việc dựa vào các kỹ thuật thay thế và biến đổi với mã hoá khoá đồng bộ, các thuật toán không đồng bộ sử dụng các vấn con số toán học Rất nhiều vấn đề này là đơn giản cho một hướng nhưng khó khăn để thực hiện theo hướng ngược lại Ví dụ, thật dễ dàng để nhân hai con số lại với nhau, nhưng nó khó khăn hơn với yếu tố quay lại các số ban đầu, đặc biệt nếu các số nguyên sử dụng chứa hàng trăm ký số

Diffie-Hellman

Đây là thuật toán được xem như là công bố đầu tiên sử dụng mã hoá khoá chung Do nhược điểm cố hữu về tốc độ chậm của các thuật toán không đồng bộ, thuật toán Diffie-Hellman không có ý định sử dụng cho một như lược đồ mã hoá chung Hơn nữa, mục đích của nó là chuyển khoá riêng cho DES qua trung gian không an toàn Trong hầu hết các trường hợp, Diffie-Hellman không được sử dụng

để mã hoá toàn bộ thông điệp bởi vì nó chậm từ 10 đến 1000 lần so với DES phụ thuộc vào việc cài đặt Với thuật toán này, khoá bí mật DES (gửi cùng với tải thông điệp đã được mã hoá bằng DES) có thể được mã hoá qua Diffie-Hellman bởi một bên, và giải mã chỉ bởi nơi cần nhận thông điệp

Trong thực tế, việc chuyển khoá sử dụng Diffie-Hellman thực làm việc như sau:

- Hai bên thoả thuận trên về hai con số Một là số nguyên tố lớn, và một số nguyên bé hơn số nguyên tố lớn Việc này có thể được thực hiện công khai không

sử dụng biện pháp bảo mật

- Mỗi bên sẽ riêng biệt tạo ra một con số khác, chúng được giữ bí mật Số này

tương đương với một khoá riêng Một tính toán được thực hiện liên quan đến khoá

riêng và các số công khai trước Kết quả được gửi cho bên kia Kết quả này thực tế

như một khoá công khai

- Hai bên trao đổi khoá công khai của chúng Sau đó bí mật riêng biệt thực hiện một tính toán liên quan với khoá riêng của chúng và khoá công khai của bên

kia Số kết quả là một phiên khoá Mỗi bên sẽ đạt đến cùng một số

- Phiên khoá có thể được sử dụng như một khoá bí mật cho một văn mật mã khác Không bên thứ ba nào có thể kiểm soát việc trao đổi có thể đạt đến cùng phiên khoá mà không cần biết một trong các khoá riêng

RSA

Một số năm sau đề xuất Diffie-Hellman, Ron Rivest, Adi Shamir, và Leonard Adleman đề xuất một hệ thống mã hoá sử dụng khoá công khai khác Đề xuất đó được biết như thuật toán RSA, tên của chúng được kết hợp từ những chữ cái bắt đầu của những người nghiên cứu ra chúng RSA chia rất nhiều điểm tương tự với thuật toán Diffie-Hellman đó là RSA cũng dựa vào việc nhận và phân tích thừa số các số nguyên lớn Tuy nhiên RSA nhanh hơn đáng kể so với Diffie-Hellman, điểm chủ đạo là phân chia lĩnh vực mật mã không đối xứng chúng xem như là Diffie-Hellman

và các thuật toán tương tự như PKDS (Public Key Distribution Systems), và RSA

và các thuật toán tương tự như PKE (Public Key Encryption Các hệ thống PKDS được sử dụng như các cơ chế trao đổi phiên khoá, trong khi các hệ thống PKE nói

chung quan tâm tới vấn đề mã hoá các thông điệp nhỏ nhanh một cách hợp lý Tuy nhiên, các hệ thống PKE giống RSA được xem là không đủ nhanh để mã hoá một lượng lớn dữ liệu như toàn bộ các tệp hệ thống hoặc các đường liên kết tốc độ cao.Ngày nay người ta thường bắt gặp các chương trình sử dụng sự mở rộng của RSA như PGP và SSH (Secure Shell)

Có rất nhiều phương pháp mật mã để mã hoá thông tin, tuy nhiên mỗi thuật toán đều có điểm mạnh và điểm yếu của nó, và đôi lúc các thuật toán an toàn có thể được cài đặt không an toàn Theo thời gian sẽ xuất hiện các kỹ thuật để tấn công vào các kẽ hở, chẳng hạn như kỹ thuật Brute Force để tìm mật khẩu, hay việc sử

dụng một trung gian (Man-in-the-middle) để tấn công lại thuật toán

1.2.3 Giải pháp phát hiện và phòng tránh xâm nhậpIDS, IPS [4]

- Hệ thống phát hiện xâm nhập IDS (Intrusion Detect System) là một hệ thống giám sát lưu thông mạng để từ đó tìm ra các hoạt động khả nghi và đưa ra cảnh báo cho hệ thống và người quản trị Ngoài ra, IDS cũng đảm nhận việc phản ứng lại các lưu thông bất thường hay có hại bằng các hành động đã được thiết lập từ trước IDS còn có thể phân biệt giữa những tấn công từ bên trong (Từ những người trong công ty) hay tấn công từ bên ngoài (Từ các Hacker) IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (Giống như các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline (Thông số chuẩn được thiết lập sẵn trong hệ thống) để tìm ra các dấu hiệu bất thường Các IDS thường cho phép người quản trị tự định nghĩa các dấu hiệu mẫu (Các luật) cho việc phát hiện xâm nhập, tấn công

Hình 1 9 Vị trí của IDS trên mạng

IDS được đặt trên mạng như một thành phần của đường truyền và thường đặt sau Firewall để phát hiện xâm nhập trái phép từ Internet cho toàn bộ hệ thống mạng nội bộ Hoặc IDS có thể đặt tại các phân vùng mạng có nguy cơ tấn công cao mà cần phải được bảo vệ, ví dụ như phân vùng DMZ, hay phân vùng đặt cơ sở dữ liệu

và các phân vùng quan trọng

Có 2 phương pháp phát hiện xâm nhập mạng: Phát hiện dựa trên dấu hiệu và Phát hiện sự bất thường

* Phát hiện dựa trên dấu hiệu (Signature-based detection)

Những tệp dấu hiệu sử dụng trong phương pháp phát hiện sử xâm nhập thì tương tự như những tệp dấu hiệu trong những phần mềm diệt virus

Một tệp dấu hiệu là một tập những nguyên tắc sử dụng để xác định những hoạt động xâm nhập thông thường Những nghiên cứu về những kỹ thuật khéo léo nhằm tìm ra sự tấn công, những mẫu và những phương pháp để viết tệp dấu hiệu Khi mà càng nhiều phương pháp tấn công cũng như phương pháp khai thác được khám phá, những nhà sản xuất IDS phải cung cấp những bản cập nhật tệp dấu hiệu, giống như những nhà cung cấp phần mềm diệt virus khác cũng phải cung cấp những bản cập nhật cho phần mềm của họ Khi đã cập nhật tệp dấu hiệu thì hệ thống IDS có thể phân tích tất cả các lưu lượng Nếu có những lưu lượng nào trùng với dấu hiệu thì cảnh báo được khởi tạo Những hệ thống IDS điển hình thường kèm theo dữ liệu của tệp dấu

hiệu Nhược điểm lớn nhất của Phát hiện dựa trên dấu hiệu là không có khả năng phát hiện những cuộc tấn công mới hay chưa được biết

*Phát hiện dựa trên sự bất thường

Mô tả sơ lược phân tích những hoạt động của mạng máy tính và lưu lượng mạng nhằm tìm kiếm sự bất thường Khi tìm thấy sự bất thường, một tín hiệu cảnh báo sẽ được khởi phát Sự bất thường là bất cứ sự chệch hướng hay đi khỏi những thứ

tự, dạng, nguyên tắc thông thường Chính vì dạng phát hiện này tìm kiếm những bất thường nên nhà quản trị bảo mật phải định nghĩa đâu là những hoạt động, lưu lượng bất thường Nhà quản trị bảo mật có thể định nghĩa những hoạt động bình thường bằng cách tạo ra những bản mô tả sơ lược nhóm người dùng (User group profiles)

Ưu điểm lớn nhất của phát hiện dựa trên profile hay sự bất thường là nó không dựa trên một tập những dấu hiệu đã được định dạng hay những đợt tấn công đã được biết Profile có thể là động và có thể sử dụng trí tuệ nhân tạo để xác định những hoạt động bình thường Bởi vì phát hiện dựa trên profile không dựa trên những dấu hiệu

đã biết, nó thực sự phù hợp cho việc phát hiện những cuộc tấn công chưa hề được biết trước đây miễn là nó chệch khỏi profile bình thường

Nếu máy tính của bạn không được bảo vệ, khi bạn kết nối Internet, tất cả các giao thông ra vào mạng đều được cho phép, vì thế hacker, trojan, virus có thể truy cập và lấy cắp thông tin cá nhân của bạn trên máy tính Chúng có thể cài đặt các đoạn mã để tấn công file dữ liệu trên máy tính Chúng có thể sử dụng máy tính cuả bạn để tấn công một máy tính của gia đình hoặc doanh nghiệp khác kết nối Internet Một firewall có thể giúp bạn thoát khỏi gói tin hiểm độc trước khi nó đến hệ thống của bạn Vì vậy một trong những công cụ hiệu quả nhất và cũng thông dụng nhất là sử dụng tường lửa (Fire wall) nhằm kiểm soát sự truy cập từ bên ngoài vào mạng nội bộ và các giao dịch ra/vào mạng

Hệ thống phòng tránh truy cập trái phép IPS

Thiết bị tự động phòng chống xâm nhập IPS (Intrusion Protection System): có chức năng tự động phản ứng lại đối với các hành động xâm nhập, tấn công mà không cần

có sự can thiệp từ nhà quản trị mạng IPS được đặt tại cửa ngõ vào vùng tài nguyên, dịch

vụ và ứng dụng quan trọng của hệ thống mạng (thường là vùng máy chủ) nhằm đảm bảo

các tài nguyên này được an toàn và không bị ngưng trệ hoạt động Điều đó có nghĩa là: IPS có thể phát hiện và tự động ngăn cản xâm nhập trái phép Rất thích hợp để bảo vệ các vùng máy chủ dữ liệu và vùng DMZ

Rà soát phát hiện những lỗ hổng, những nguy cơ trên các máy chủ,máy tính và các chương trình ứng dụng trên mạng mà các hacker có thể khai thác để tấn công, đưa ra những khuyến nghị về phương pháp khắc phục những lỗ hổng, nguy cơ này

Hình 1 10 Vị trí của TPS trên mạng

Thiết bi IPS được đặt tại cửa ngõ vùng tài nguyên quan trọng trên mạng – nhưvùng máy chủ nhằm thực hiện bảo vệ vùng này, tự động ngăn chặn các hành động xâm nhập trái phép (có nghĩa là không được phân quyền), tấn công từ bên ngoài và từ chính mạng nội bộ

Kết luận chương 1:

Các kỹ thuật tấn công mạng IP và Giải pháp an toán bảo mật IP được đề cập trong chương 1 nhắm đưa ra các kỹ thuật tấn công, thu thập và chặn bắt thông tin Đưa ra các công cụ bắt gói tin hay thiết bị có khả năng đón bắt lại các thông tin quan trọng từ giao thông mạng chỉ định đến một mạng riêng Các thông tin bị chặn bắt bao

gồm: mật khẩu, các thông tin về các thẻ tín dụng, thư điện tử, các tập tin văn bản mật khác

Ở trong chương này chúng ta cần nắm vững kỹ thuật tấn công mạng IP để tăng cường sử dụng các giải pháp phát hiện, mật mã các thông tin để phòng tránh xâm nhập từ các luồng thông tin lạ Nếu máy tính được bảo vệ, khi bạn kết nối Internet, tất

cả các giao thông ra vào mạng đều được cho phép, vì thế hacker, trojan, virus có thể truy cập và lấy cắp thông tin cá nhân của bạn trên máy tính Chúng có thể cài đặt các đoạn mã

để tấn công file dữ liệu trên máy tính Chúng có thể sử dụng máy tính cuả bạn để tấn công một máy tính của gia đình hoặc doanh nghiệp khác kết nối Internet Một firewall có thể giúp bạn thoát khỏi gói tin hiểm độc trước khi nó đến hệ thống của bạn Vì vậy một trong những công cụ hiệu quả nhất và cũng thông dụng nhất là sử dụng tường lửa (Fire wall) nhằm kiểm soát sự truy cập từ bên ngoài vào mạng nội bộ và các giao dịch ra/vào mạng

Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet

và Internet Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong net) và mạng Internet Cụ thể là:

(Intra Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet)

- Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào Intranet)

- Theo dõi luồng dữ liệu mạng giữa Internet và Intranet

- Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập

- Kiểm soát người sử dụng và việc truy nhập của người sử dụng

- Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng

Tất cả những chức năng này sẽ nghiên cứu ở chương 2: Tường lửa và kỹ thuật lọc gói tin

CHƯƠNG 2: TƯỜNG LỬA VÀ KỸ THUẬT LỌC GÓI TIN 2.1 Giới thiệu về tường lửa (Firewall) [2]

Định nghĩa Firewall

Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn Trong công nghệ thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống Cũng có thể hiểu Firewall là một cơ chế (mechanism) để bảo vệ mạng tin tưởng (Trusted Network) khỏi các mạng không tin tưởng (Untrusted Network)

Thông thường Firewall được đặt ngay giữa mạng nội bộ(Intranet) của một công ty, tổ chức, ngành hay một quốc gia vàoInternet.Vai trò chính là bảo mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet

Bức tường lửa là thiết bị hoặc hệ thống dùng để điều khiển các dòng lưu lượng giữa các mạng sử dụng các kiểu dáng an toàn khác nhau, chẳng hạn bảo vệ một mạng LAN riêng với mạng công cộng không an toàn Internet

Các Firewall có thể quyết định các dịch vụ bên trong nào có thể được truy cập

từ bên ngoài và ngược lại Các ý nghĩa và ứng dụng thực tế của Firewall được áp dụng rất rộng, nhưng về nguyên tắc cơ bản các firewall có thể được xem như một cặp hai quy tắc: một là ngăn chặn (Block) các lưu lượng và một là cho phép (Per-mit) các lưu lượng Một firewall thực hiện công việc lớn hơn việc khoá (Lock) cửa trước của mạng, nó như một cổng bảo vệ mạng (Lecurity guard)

Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet

và Internet Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong net) và mạng bên ngoài(Internet) Cụ thể là:

(Intra Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet)

- Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào Intranet)

- Theo dõi luồng dữ liệu mạng giữa Internet và Intranet

- Kiểm soát địa chỉ

- Kiểm soát người sử

- Kiểm soát nội dung thông tin thông tin l

2.1.2 Phân loại bức tư

Bức tường lửa lọc gói l

đưa lên tầng 3 sau đó lại tiế

thì bức tường lửa không th

liệu được truyền ở dưới tầ

Do vậy, bức tường lử

phải dùng một phần mềm khác

Bộ lọc gói cho phép hay t

tin từ Internet, nó kiểm tra to

thỏa mãn một trong các luậ

thông tin ở đầu mỗi gói (packet header)

Thông tin của ở đầu gói tin bao g

địa chỉ truy nhập, cấm địa chỉ truy nhập

ời sử dụng và việc truy nhập của người sử dụng

dung thông tin thông tin lưu chuyển trên mạng

ử ọc gói làm việc ở tầng 3 đối với mô hình OSI Thông tin

đ ại tiếp tục được chuyển đi Nếu thông tin được ở

ửa không thể kiểm soát được, ví dụ như mạng LAN không dây d

ới tầng 3

ờng lửa không thể kiểm soát được mà mạng LAN không dây

ầ ềm khác để bảo vệ và kiểm soát dữ liệu

c gói cho phép hay từ chối mỗi gói mà nó nhận được Khi nh

ểm tra toàn bộ dữ liệu để quyết định xem đoạn d

t trong các luật lệ của gói đặt ra hay không Các luật lệ n

ỗi gói (packet header)

ủ ở đầu gói tin bao gồm:

ờ ử ụng

ng

ình OSI Thông tin được

ợc ở dưới tầng 3 ạng LAN không dây dữ

ạng LAN không dây

ợc Khi nhận được gói

đ ạn dữ liệu đó có

ật lệ này là dựa trên

SA DA Port Get Index html

- SA (Source Address): Địa chỉ IP nguồn

-DA(Destination Address): Địa chỉ IP đích

Nghĩa là nếu đi từ bên trong ra bên ngoài thì địa chỉ nguồn là ở bên trong mạng nội bộ còn địa chỉ đích là bên ngoài Nếu đi từ bên ngoài vào bên trong thì địa chỉ nguồn sẽ là ở bên ngoài còn địa chỉ đích sẽ là ở bên trong mạng nội bộ

- Port: Lọc theo cổng nguồn, cổng đích của giao thức tương ứng với TCP hay UDP

- Các giao thức (UDP, TCP, ICMP…): Nó có thể cấm và cho phép, ví dụ có thể cấm giao thức UDP và chỉ cho TCP và ICMP hoặc Cấm ICMP cho phép TCP và UDP…

- Dạng thông điệp ICMP (Internet control message protocol)

Nếu luật được thỏa mãn thì gói được chuyển qua firewall, nếu không thỏa mãn thì gói sẽ bị hủy đi Nhờ vậy mà firewall có thể ngăn chặn được các kết nối vào máy chủ hoặc mạng nào đó được xác định hoặc khóa việc truy nhập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép Như vậy, việc kiểm soát càng làm cho firewall có khả năng chỉ cho phép một một số loại kết nối nhất định vào máy chủ nào đó hoặc chỉ một số dịch vụ nào đó (Telnet, SMNP, FTP…) được phép mới chạy được trên hệ thống mạng cục bộ Mặc dù firewall loại này có tốc độ kiểm tra nhanh nhưng chúng cũng tương đối dễ bị qua mặt Một phương pháp để vượt qua firewall kiểu này là giả mạo địa chỉ IP (IP spoofing),

ví dụ như trong hệ thống mạng của một công ty, khi một người nào đó đi công tác ở xa nhưng vẫn phải truy nhập vào mạng của công ty để lấy dữ liệu Khi đó, firewall vẫn phải mở các dịch vụ để người đó vào lấy dữ liệu và nhân cơ hội này thì hacker ăn trộm địa chỉ IP và tấn công vào mạng và làm cho firewall tưởng rằng các gói của hacker đến từ nguồn thực sự

Một số ưu điểm của lọc gói

- Do bức tường lửa lọc gói ở tầng 3 nên nó kiểm tra tất cả các ứng dụng đi qua

nó Nó không phụ thuộc vào ứng dụng mặc dù của mail hay web

- Chi phí thấp vì cơ chế lọc gói đã được bao gồm trong mỗi phần mềm router

và nó chỉ xem xét thông tin của đầu gói tin, do đó thời gian trì hoãn thấp

- Sẵn sàng cho nhiều sản phẩm phần mềm và phần cứng, cả trong các sản phẩm thương mại và miễn phí

- Ngoài ra bộ lọc gói là trong suốt đối với người sử và các ứng dụng vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả

- Giúp bảo vệ toàn mạng, một thuận lợi chính của nó là đơn giản và tương đối nhẹ

Một số nhược điểm của lọc gói

- Việc định nghĩa các chế độ lọc gói là một việc khá phức tạp, nó đòi hỏi người quản trị cần có các hiểu biết về các dịch vụ Internet, các dạng packet header, và các giá trị cụ thể mà họ có thể nhận trên mỗi trường Khi đòi hỏi sự lọc là càng lớn thì các quy tắc về lọc gói càng trở lên dài và phức tạp, rất khó để quản lý và điều khiển

- Do làm việc dựa trên header của gói tin, bộ lọc gói không kiểm soát được nội dung thông tin của gói tin Các gói tin chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu

* Bức tường lửa ứng dụng(Application firewall)

Hình 2 2 Tường lửa ứng dụng

Làm việc ở tầng 7 của mô hình OSI

Nguyên tắc hoạt động chung

- Firewall này được thiết lập từ phần mềm ứng dụng

- Không chuyển tiếp các gói tin IP

- Tốc độ xử lí chậm

- Mỗi một dịch vụ phải có kết nối chương trình tương ứng: Ví dụ đối với web thì phải có kết nối tương ứng để quản lí web và chương trình tương ứng để cho phép hay cấm, đối với mail thì cũng phải có kết nối tương ứng để quản lí mail và chương trình tương ứng để cho phép hay cấm

- Vì nó làm việc ở tầng ứng dụng do đó nó cho phép nhiều công cụ ghi lại quá trình kết nối

- Do quản lí kết nối nên các chương trình yêu cầu dịch vụ của client gốc có thể phải thay đổi để thích ứng với proxy

- Quá trình kết nối được thực hiện theo kiểu đại diện chính vì vậy firewall kiểu này người ta còn gọi là proxy

Proxy có hai thành phần

- Proxy Server: là chương trình ứng sử với server bên ngoài thay mặt cho các yêu cầu của người sử dụng bên trong Nó chuyển tiếp các yêu cầu hợp lệ của mọi người sử dụng và quyết định cái nào cho qua, cái nào ngăn lại

- Proxy Client: là chương trình của người sử dụng làm việc với Proxy server thay vì với server thực

* Bức tường lửa nhiều tầng

\

Hình 2 3 Tường lửa nhiều tầng

- Kết hợp từ tầng 3 với tầng ứng dụng, có thể cấm và cho phép ở tầng phiên, tầng trình, tầng giao vận.Đối với bức tường lửa lọc gói ngoài những thông số kiểm soát như địa chỉ nguồn, địa chỉ đích, cổng nguồn, cổng đích, giao thức tầng trên (TCP, UDP, ICMP) thì còn có bức tường lửa phân tích chi tiết hơn về gói tin Ví dụ ACK, ACK = 0 (khởi động một kết nối của gói tin đầu của kết nối), ACK = 1 (là các gói theo sau) ACK = 0, SYN = 1 (Yêu cầu kết nối), ACK = 1, SYN = 1 (trả lời kết nối) Kiểm tra chi tiết về gói tin để bảo vệ hệ thống tốt hơn, chống các dịch vụ từ bên ngoài

2.1.3 Kiến trúc và cơ chế hoạt động của bức tường lửa lọc gói [6]

* Kiến trúc máy chủ trung gian (Dual-homed Host Architeture)

Firewall kiến trúc kiểu Dual-homed host được xây dựng dựa trên máy tính dual-homed host Một máy tính được gọi là dual-homed host nếu nó có ít nhất hai network interface, có nghĩa là máy đó có gắn hai card mạng giao tiếp với hai mạng khác nhau, do đó máy tính này đóng vai trò là router mềm Kiến trúc dual - homed host rất đơn giản, máy dual - homed host ở giữa, một bên được nối với internet và bên còn lại nối với mạng nội bộ (Mạng cần được bảo vệ)

Hình 2 4 Kiến trúc máy chủ trung gian

*Kiến trúc máy chủ sàng lọc (Screened Host Architeture)

Trong kiến trúc này chức năng bảo mật chính được cung cấp bởi chức năng packet filtering tại screening router

Packet filtering trên screening router được setup sao cho bastion host là máy duy nhất trong internal network mà các host trên internet có thể mở kết nối đến.Packet filtering cũng cho phép bastion host mở các kết nối (hợp pháp) ra bên ngoài (external network)

Thường Packet filtering thực hiện các công việc như sau:

- Cho phép các internal hosts mở kết nối đến các host trên Internet đối với một

số dịch vụ được phép

- Cấm tất cả kết nối từ các internal hosts

Khi hacker đã tấn công được vào bastion host thì không còn một rào chắn nào cho các internal hosts

Hình 2 5 Kiến trúc máy chủ sàng lọc

* Kiến trúc mạng con sàng lọc (Screened Subnet archtecture)

Thêm một perimeter network để cô lập internal network với Internet Như vậy

dù hacker đã tấn công được vào bastion host vẫn còn một rào chắn nữa phải vượt qua là Interior router Các lưu thông trong internal network được bảo vệ an toàn cho

dù bastion đã bị“chiếm” Các dịch vụ nào ít tin cậy và có khảnăng dễ bị tấn công thì nên để ở perimeter network Bastion host là điểm liên lạc cho các kết nối từ ngoài vào như: SMTP, FTP, DNS Còn đối với việc truy cập các dịch vụ từ internal clients đến các server trên internet thì được điều khiển như sau:

- Set up packet filtering trên cả hai exterior và interior router để cho phép ternal clients truy cập các servers bên ngoài một cách trực tiếp

in Set up proxy server trên bastion host để cho phép internal clients truy cập các servers bên ngoài một cách gián tiếp

Hình 2 6 Kiến trúc mạng con sàng lọc

* Sử dụng nhiều Bastion Host

Với mô hình này thì tốc độ đáp ứng cho những người sử dụng bên trong (Local er) một phần nào đó không bị ảnh hưởng bởi những hoạt động của người sử dụng

us-bên ngoài mạng (External user)

Hình 2 7 Mô hình sử dụng nhiều Bastion Host

*Kiến trúc ghép chung Router trong và Router ngoài

Router phải cho phép áp dụng các luật cho dòng packet đi vào và đi ra trên mỗi interface.Do ghép chung router trong và router ngoài nên kiến trúc này làm giảm đi lớp bảo vệ mạng bên trong, có thể nói kiến trúc ghép chung router trong và router ngoài nằm ở giữa kiến trúc Screened host và Screened Subnet host