Khóa luận tốt nghiệp
Xây dựng Firewall & IPS trên checkpoint
PHIẾU
GIAO
ĐỀ
TÀI
KHÓA
LUẬN
TỐT
NGHIỆP
1.
M
ỗ
i
s
i
nh
viê
n
phả
i viế
t
riê
ng
một
báo
c
áo
2.
P
h
iế
u
này
phả
i
dán
ở
t
r
ang
đầu
t
iê
n
c
ủa
báo
c
áo
1.
Họ
và
tên
sinh
viên
/
nhòm
sinh
viên
được
giao
đề
tài
(s
ĩ
số
trong
nhóm
:
2)
(1)
Ngô
Hiệp
Toàn
MSSV:
081652
khóa:
2008-2011
(2)
Nguyễn
Th
ị
Phương
Ngọc
MSSV:
081651
khóa:
2008-2011
Chuyên
ngành
:
Mạng
máy
tính
Khoa
:
Khoa
Học
-
Công
Nghệ
2.
Tên
đề
tài
:
Xây
dựng
Firewall
&
IPS
trên
Checkpoint
.
3.
Các
dữ
li
ệu
ban
đầu:
Firewall
và
IPS
là
thành
phần
bảo
mậ
t
không
thể
thiếu
trong
hệ
thống
mạng
máy
tính,
Checkpoint
là
sản
phẩm
firewall
hàng
đầu
được
dùng
rấ
t
nhiều
trong
các
mạng
máy
tính
mà
yêu
cầu
bảo
mậ
t
được
ưu
tiên
hàng
đầu
như
ngân
hàng.
4.
Các
yêu
cầu
đặc
b
i
ệt:
Sinh
viên
ngành
mạng
máy
tính,
có
k
i
ến
thức
bảo
mật.
5.
Kết
quả
tố
i
th
i
ểu
phả
i
có:
1.Trình
bày
hoạt
động
Firewall
&
IPS
2.Đưa
ra
g
i
ải
pháp
xây
dựng
Firewall&IPS
trường
Hoasen
Ngày
giao
đề
tài:…… /………./………
Ngày
nộp
báo
cáo:
.…/……/……
Họ
tên
GV
hướng
dẫn
1:
Đinh
Ngọc
Luyện…….……Chữ
ký:
………………
Ngày
….
tháng
…
năm
Đinh
Ngọc
Luyện
i
TR
ÍC
H
Y
Ế
U
Trong
đề
án
t
ố
t
nghiệp
về
đề
tài
“Xây
dựng
Firewall
&
IPS
trên
Checkpoint”.
Tôi
đã
nghiên
cứu
về
sản
phẩm
Checkpoint,
các
tính
năng
quản
lí
cũng
như
bảo
mậ
t
bằng
IPS
(
Intrusion
Prevention
Systems)
.
Khác
vớ
i
phiên
bản
R65,
phiên
bản
R70
đã
có
nhiều
cả
i ti
ến
trong
giao
diện
cũng
như
tính
năng
nhằm
cung
cấp
mộ
t
môi
trường
làm
v
i
ệc
hiệu
quả
hơn
cho
ngườ
i
quản
tr
ị
hệ
thống.
Tr
i
ển
khai
các
tính
năng
tăng
cường
bảo
mậ
t
như
“User
Authentication”,”Client
Authentication”,”Session
Authentication”,
hay
sử
dụng
mộ
t
Module
xác
thực
“Radius”
chứng
thực
user.
Cấu
hình
các
rule
để
clien
t
trong
mạng
nộ
i
bộ
có
thể
truy
xuấ
t
dữ
li
ệu
vùng
DMZ
và
cho
phép
client
t
ruy
xuấ
t
web,
thông
qua
những
chính
sách
mà
ngườ
i
quản
tr
ị
cấu
hình
trên
giao
diện
Smar
t
Console.
Sử
dụng
mộ
t
máy
Window
Server
2003
kế
t
nố
i
trực
ti
ếp
vào
Firewall
dùng
hệ
điều
hành
Linux,
mọ
i
dữ
li
ệu
cấu
hình
thay
đổ
i
diễn
ra
t
ạ
i
giao
diện
Smart
Console
sẽ
được
t
ự
động
cập
nhậ
t
trực
ti
ếp
lên
Firewall
Linux.
Ngườ
i
quản
tr
ị
cấu
hình
các
chính
sách(rule)
nhằm
hạn
chế
t
ầm
hoạ
t
động
của
ngườ
i
dùng
mạng
nộ
i
bộ.
Sử
dụng
triệ
t
để
chức
năng
Chechpoint
cung
cấp:“IPS”,
thay
v
ì
“SmartDefense”
ở
R65,
thiế
t
l
ập
phát
hiện
và
ngăn
chặn
những
phương
t
hức
t
ấn
công
mạng
như
HPING,
DDoS,
LAND
Attack
v.v
Theo
dõi
trạng
thái
cũng
như
những
diến
biến
xảy
ra
trên
Firewall
thông
qua
giao
diện
SmartView
Tracker,
và
SmartView
Monitor.
Để
phát
hiện
k
ị
p
thờ
i
những
truy
nhập
trái
phép
hay
diễn
biến
bấ
t
thường
thông
qua
t
ần
suấ
t
truy
nhập
đến
server.
II
M
ỤC
L
ỤC
TRÍCH
YẾU
II
NHẬN
XÉT
CỦA
GIẢNG
VIÊN
HƯỚNG
DẪN
5
NHẬP
ĐỀ
6
GIỚI
THIỆU
TỔNG
QUAN
7
LỜI
CẢM
ƠN
8
CHƯƠNG
1:
TỔNG
QUAN
VỀ
BẢO
MẬT
9
1.1
Đ
ị
nh
nghĩa
bảo
mậ
t
mạng
9
1.1.1
Các
yếu
t
ố
cần
quan
tâm
khi
phân
tích
bảo
mậ
t
mạng
10
1.1.2
Các
yếu
t
ố
cần
được
bảo
vệ
11
1.2
Các
k
i
ểu
t
ấn
công
mạng
11
1.2.1
Thăm
dò(reconnaissance)
11
1.2.2
Đánh
cắp
thống
tin
bằng
Packet
Sniffers
11
1.2.3
Đánh
l
ừa
(IP
spoofing)
12
1.2.4
Tấn
công
t
ừ
chố
i
d
ị
ch
vụ
(Denial
of
services)
13
1.2.5
Tấn
công
trực
ti
ếp
password
13
1.2.6
Thám
thính(agent)
13
1.2.7
Tấn
công
vào
yếu
t
ố
con
ngườ
i:
13
1.2.8
Các
phương
thức
t
ấn
công
D.O.S
thông
thường
14
1.2.9
Phương
thức
t
ấn
công
bằng
Mail
Relay
16
1.2.10
Phương
thức
t
ấn
công
hệ
thống
DNS
16
1.2.11
Phương
thức
t
ấn
công
Man-in-
t
he-middle
attack
17
1.2.12
Phương
thức
t
ấn
công
Trust
exploitation
17
1.2.13
Phương
thức
t
ấn
công
Port
redirection
17
1.2.14
Phương
thức
t
ấn
công
l
ớp
ứng
dụng
18
1.2.15
Phương
thức
t
ấn
Virus
và
Trojan
Horse
18
1.3
Các
mức
độ
bảo
mậ
t
19
1.3.1
Quyền
truy
nhập:
19
1.3.2
Đăng
nhập/Mậ
t
khẩu(login/password)
19
1.3.3
Mã
hóa
dữ
li
ệu(Data
encryption)
19
1.3.5
Bức
tường
l
ửa
(firewall)
20
1.4
Các
biện
pháp
bảo
vệ
an
toàn
hệ
thống
20
1.4.1
Quyền
hạn
t
ố
i
thiểu
(Least
Privilege)
20
1.4.2
Bảo
vệ
theo
chiều
sâu
(Defense
in
Depth)
20
1.4.3
Nút
thắ
t
(choke
point)
21
1.4.4
Điểm
xung
yếu
nhấ
t
(Weakest
point)
21
1.4.5
Hỏng
trong
an
toàn
(Fail–Safe
Stance)
21
1.4.6
Sự
tham
gia
toàn
cầu
22
1.4.7
Kế
t
hợp
nhiều
biện
pháp
bảo
vệ
22
1.4.8
Đơn
g
i
ản
hóa
22
1.5
Các
chính
sách
bảo
mậ
t
22
1.5.1
Kế
hoạch
bảo
mậ
t
mạng
23
1.5.2
Chính
sách
bảo
mậ
t
nộ
i
bộ
23
1.5.3
Phương
thức
thiế
t
kế
24
1.6
Thiế
t
kế
chính
sách
bảo
mậ
t
mạng
24
1.6.1
Phân
tích
nguy
cơ
mấ
t
an
ninh
24
1.6.2
Xác
đ
ị
nh
tài
nguyên
cần
bảo
vệ
24
1.6.3
Xác
đ
ị
nh
các
mố
i
đe
dọa
bảo
mậ
t
mạng
25
1.6.4
Xác
đ
ị
nh
trách
nhiệm
ngườ
i
sử
dụng
mạng
26
1.6.5
Kế
hoạch
hành
động
khi
chính
sách
b
ị
v
i
phạm
27
1.6.6
Xác
đ
ị
nh
các
l
ỗ
i
an
ninh
28
1.7
Secure
Sockets
Layer
(SSL)
29
1.7.1
Mở
đầu
29
1.7.2
Nhiệm
vụ
và
cấu
trúc
của
SSL
30
1.7.3
Phiên
SSL
và
kế
t
nố
i
SSL
32
1.7.4
SSL
Record
Protocol
33
1.7.5
Alert
Protocol
35
1.7.6
Change
CipherSpec
Protocol
35
1.7.7
Handshake
Protocol
36
CHƯƠNG
2
:
CHECKPOINT
37
2.1
Tổng
quan
về
Checkpoint
37
2.2
Access
Control
của
Checkpoint
Firewall
38
2.3
Các
thành
phần
của
Rule
38
2.4
Công
dụng
đặc
biệ
t
của
Access
Control
39
2.5
Authentication
39
2.5.1
Vai
trò
của
User
Authentication
39
2.5.2.
Tổng
quan
về
User
Authentication
của
Check
Point
Firewall
39
2.5.3.
Các
phương
thức
xác
thực
của
Check
Point
Firewall
40
2.5.4.
Các
cơ
chế
xác
thực
sử
dụng
trên
Firewall
Check
Point
40
2.5.4.1
VPN-1
&
Firewall-1
Password
41
2.5.4.2
Operating
System
Password
(OS
Password)
42
2.5.4.3
RADIUS
43
2.5.4.4
TACACS
45
2.5.4.5
S/Key
45
2.5.4.6
SecurID
47
CHƯƠNG
3
:
FIREWALL
48
3.1
Công
nghệ
FIREWALL
48
a.
Giả
i
pháp
Firewall
của
Checkpoint
51
3.1.1
Smart
Console
:
Bao
gồm
nhiều
client
nhỏ
để
quản
lý
các
thành
phần
của
NGX.
Các
client
của
Smart
Console
bao
gồm
:
53
3.1.2
Smart
Center
Server
54
3.1.3
Security
Gateway
55
3.2
Firewall
Inspect
Engine
55
3.3
SVN
FOUNDATION
56
3.3.1
Secure
Internal
Communication
56
3.4
SIC
BETWEEN
SMART
CENTER
SERVER
AND
CLIENTS
59
CHƯƠNG
4
:
IPS
60
4.1
Hệ
thống
ngăn
chăn
xâm
nhập(IPS):
60
4.1.1
Khái
niệm
IPS
60
4.1.2
Chức
năng
của
IPS
61
4.2
Phân
loạ
i
IPS
65
4.2.1
NIPS
65
4.2.1a
Các
khả
năng
của
hệ
thống
xâm
nhập
mạng
cơ
sở
67
4.2.1b
Các
thành
phần
của
hệ
thống
ngăn
chặn
xâm
nhập
mạng
cơ
sở
NIPS
69
4.2.2
HIPS
69
4.2.2a
Các
khả
năng
của
hệ
thống
ngăn
chặn
xâm
nhập
t
ừ
máy
chủ(HIPS)
71
4.2.2b
Các
thành
phần
của
HIPS
:
72
4.2.2.1
Gói
phần
mềm
để
cài
đặ
t t
ạ
i
điểm
cuố
i
73
4.2.2.2
Hạ
t
ầng
quản
lý
để
quản
lý
các
agents
này
74
1.
Trung
tâm
quản
lý:
74
2.
Giao
diện
quản
lý:
75
4.3
Công
nghệ
ngăn
chặn
xâm
nhập
IPS
78
4.3.1
Signature
-
Based
IPS
(Nhận
diện
dấu
hiệu)
78
4.3.2
Anomaly-Based
IPS
(Nhận
diện
bấ
t
thường)
81
4.3.3
Policy-Based
IPS
83
4.3.4
Protocol
Analysis-Based
IPS
83
PHẦN
5:
GIẢI
PHÁP
CHO
TRƯỜNG
ĐẠI
HỌC
HOA
SEN
84
PHẦN
6:
TÀI
LIỆU
THAM
KHẢO
89
N
H
ẬN
X
ÉT
CỦA
G
IẢN
G
VI
Ê
N
HƯỚ
N
G
DẪN
N
H
Ậ
P
Đ
Ề
Xã
hộ
i
phát
triển
kéo
theo
sự
ti
ến
bộ
của
khoa
học
k
ĩ
thuật.
Những
chiếc
máy
tính
thông
minh
dần
chiếm
vai
trò
rấ
t
quan
trọng
trong
cuộc
sống
ngày
nay.
Bấ
t
kỳ
l
ĩnh
vực
nào cũng
cần
đến
máy
tính,
mộ
t
thiế
t
b
ị
xử
lý
và
hơn
thế
nữa
là
không
thể
thiếu.
Cùng
vớ
i
sự
ra
đờ
i
và
phát
triển
của
máy
tính
và
mạng
máy
tính
là
vấn
đề
bảo
mậ
t
thông
tin,
ngăn
chặn
sự
xâm
nhập
và
đánh
cắp
thông
tin
qua
mạng,
thông
tin
cá
nhân
trực
ti
ếp
và
gián
ti
ếp.
Phát
hiện
và
ngăn
chặn
sự
t
ấn
công
của
các
Hacker
nhằm
đánh
cắp
dữ
li
ệu
và
phá
hoạ
i
tư
li
ệu
quan
trọng
là
rấ
t
cần
thiế
t
.
Thông
qua
đề
án
:
“Xây
dựng
Firewall
&
IPS
trên
Checkpoint
“.
Chúng
tôi
g
i
ớ
i
thiệu
t
ổng
quan
về
xu
hướng
quản
tr
ị
và
bảo
mậ
t
mạng
hiện
nay,
cùng
vớ
i
nộ
i
dung
t
ổng
quan
về
Checkpoint,
Firewall,
IPS
bằng
các
bước
cấu
hình
và
triển
khai
mô
hình
mạng.
Giả
i
pháp
an
toàn
chúng
tôi
g
i
ớ
i
thiệu
đến
trong
đề
tài
này
là
mộ
t
sản
phẩm
của
Checkpoint
dựa
trên
nền
t
ảng
NGX,
NGX
là
mộ
t
cấu
trúc
cung
cấp
tính
năng
bảo
mậ
t
cho
end-
to- end
network,
giúp
cho
doanh
nghiệp
bảo
vệ
các
luồng
traffic
trong
intranet,
extranet… Ngoài
ra
còn
làm
cho
network
của
enterprice
được
bảo
mậ
t
và
được
quản
lý
bằng
mộ
t
Security
Policy
đơn
cho
toàn
network.
G
I
Ớ
I
TH
I
Ệ
U
TỔ
N
G Q
UAN
CHECKPOINT
CheckPoint
là
mộ
t
trong
những
nhà
cung
cấp
hàng
đầu
về
các
sản
phẩm
bảo
mậ
t
Internet.
Đặc
biệ
t
là
các
dòng
sản
phẩm
firewall
cho
các
doanh
nghiệp,
cá
nhân
và
các công
nghệ
mạng
riêng
ảo
VPN.
Vớ
i
nền
t
ảng
NGX,
CheckPoin
t
cung
cấp
mộ
t
k
i
ến
trúc bảo
mậ
t
thống
nhấ
t
cho
mộ
t l
ọat
các
g
i
ả
i
pháp
bảo
mậ
t:
bảo
mậ
t
cho
truy
cập
Internet, bảo
mậ
t
mạng
nộ
i
bộ,
bảo
mậ
t
Web,
bảo
mậ
t
ngườ
i
dùng
nhằm
bảo
vệ
các
tài
nguyên thông
tin,
quá
trình
truyền
thông,
các
ứng
dụng
của
doanh
nghiệp.
FIREWALL
Thuậ
t
ngữ
Firewall
có
nguồn
gốc
t
ừ
mộ
t
kỹ
t
huậ
t
thiế
t
kế
trong
xây
dựng
để
ngăn
chặn,
hạn
chế
hoả
hoạn.
Trong
công
nghệ
mạng
thông
tin,
Firewall
là
mộ
t
kỹ
thuậ
t
được
tích
hợp
vào
hệ
thống
mạng
để
chống
sự
truy
cập
trái
phép,
nhằm
bảo
vệ
các
nguồn
thông
tin
nộ
i
bộ
và
hạn
chế
sự
xâm
nhập
không
mong
muốn
vào
hệ
thống.
Cũng
có
thể
hiểu
Firewall
là
mộ
t
cơ
chế
(mechanism)
để
bảo
vệ
mạng
tin
t
ưởng
(Trusted
network)
khỏ
i
các
mạng
không
tin
t
ưởng
(Untrusted
network).
IPS
Hệ
thống
IPS
(intrusion
prevention
system)
l
à
một
kỹ
thuật
an
ninh
mới,
kết
hợp
các
ưu
điểm
của
kỹ
thuật
firewall
vớ
i
hệ
thống
phát
hiện
xâm
nhập
IDS
(intrusion
detection
system),
có
khả
năng
phát
hiện
sự
xâm
nhập,
các
cuộc
tấn
công
và
t
ự
động
ngăn
chặn
các
cuộc
tấn
công
đó.
IPS
không
dơn
g
i
ản
chỉ
dò
các
cuộc
tấn
công,
chúng
có
khả
năng
ngăn
chặn
các
cuộc
hoặc
cản
trở
các
cuộc
tấn
công
đó.
Chúng
cho
phép
tổ
chức
ưu
tiên,
thực
hiện
các
bước
để
ngăn
chặn
lại
sự
xâm
nhập.
Phần
lớn
hệ
thống
IPS
được
đặt
ở
vành
đai
mạng,
dủ
khả
năng
bảo
vệ
tất
cả
các
thiết
bị
trong
mạng.
LỜ
I
CẢ
M Ơ
N
Chúng
tôi
xin
cảm
ơn
Thầy
Đinh
Ngọc
Luyện
đã
hướng
dẫn
chúng
tôi
trong
suố
t
quá
trình
thực
hiện
đề
án:
“Xây
dựng
Firewall
&
IPS
trên
Checkpoint”.
Đề
án
trình
bày những
vấn
đề
t
ổng
quan
về
bảo
mậ
t
mạng,
firewall,
g
i
ớ
i
thiệu
IPS
-
Hai
hệ
thống
bảo
vệ mạng
hiệu
quả
hiện
nay.
C
HƯƠ
N
G
1:
TỔ
N
G Q
UAN
V
Ề B
Ả
O M
Ậ
T
1.1
Định
nghĩa
bảo
mật
mạng
Bảo
mậ
t
mạng
là
sự
đảm
bảo
an
toàn
của
toàn
bộ
hệ
thống
mạng
trước
những
hoạ
t
động
nhằm
t
ấn
công
phá
hoạ
i
hệ
thống
mạng
cả
t
ừ
bên
trong
như
bên
ngoài.
Hoạ
t
động
phá
hoạ
i
là
những
hoạ
t
động
như
xâm
nhập
trái
phép
sử
dụng
tài
nguyên
trái
phép
ăn
cắp
thông
tin,
các
hoạ
t
động
g
i
ả
mạo
nhằm
phá
hoạ
i
tài
nguyên
mạng
và
cơ
sở
dữ
li
ệu
của
hệ
thống.
Vấn
đề
bảo
mậ
t
mạng
luôn
là
mộ
t
vấn
đề
bức
thiế
t
khi
ta
nghiên
cứu
mộ
t
hệ
thống
mạng.
Hệ
thống
mạng
càng
phát
triển
thì
vấn
đề
bảo
mậ
t
mạng
càng
được
đạ
t
lên
hàng
đầu.
Khi
nguyên
cứu
mộ
t
hệ
thống
mạng
chúng
t
a
cần
phả
i
k
i
ểm
soát
vấn
đề
bảo
mậ
t
mạng
ở
các
cấp
độ
sau:
Mức
mạng
:
Ngăn
chặn
kẻ
xâm
nhập
bấ
t
hợp
pháp
vào
hệ
thống
mạng.
Mức
server:
Kiểm
soát
quyền
truy
cập,
các
cơ
chế
bảo
mật,
quá
trình
nhận
dạng
ngườ
i
dùng,
phân
quyền
truy
cập,
cho
phép
các
tác
vụ
Mức
cơ
sở
dữ
li
ệu:
Kiểm
soát
ai?
được
quyền
như
thế
nào?
vớ
i
mỗ
i
cơ
sở
dữ
li
ệu.
Mức
trường
thông
tin:
Trong
mỗ
i
cơ
sở
dữ
li
ệu
k
i
ểm
soát
được
mỗ
i
trường
dữ
li
ệu
chứa
thông
tin
khác
nhau
sẽ
cho
phép
các
đố
i
tượng
khác
nhau
có
quyền
truy
cập
khác
nhau.
Mức
mậ
t
mã:
Mã
hoá
toàn
bộ
file
dữ
li
ệu
theo
mộ
t
phương
pháp
nào
đó
và
ch
ỉ
cho
phép
ngườ
i
có
“
chìa
khoá”
mớ
i
có
thể
sử
dụng
được
file
dữ
li
ệu.
Theo
quan
điểm
hệ
thống,
mộ
t
xí
nghiệp
(đơn
v
ị
kinh
t
ế
cơ
sở)
được
thiế
t l
ập
t
ừ
ba
hệ
thống
sau:
-
Hệ
thống
thông
tin
quản
lý.
-
Hệ
thống
trợ
giúp
quyế
t
đ
ị
nh.
-
Hệ
thống
các
thông
tin
tác
nghiệp.
Trong
đó
hệ
thống
thông
tin
quản
lý
đóng
vai
t
rò
trung
gian
g
i
ữa
hệ
thống
trợ
giúp
quyế
t
đ
ị
nh
và
hệ
thống
thông
tin
tác
nghiệp
vớ
i
chức
năng
chủ
yếu
là
thu
thập,
xử
lý
và
truyền
tin.
Hình
3.1
Sơ
đồ
mạng
thông
dụng
hiện
nay.
1.1.1
Các
yếu
tố
cần
quan
tâm
kh
i
phân
tích
bảo
mật
mạng
+
Vấn
đề
con
ngườ
i:
Trong
bảo
mậ
t
mạng
yếu
t
ố
con
ngườ
i
cũng
rấ
t
quan
trọng.
Khi
nghiên
cứu
đến
vấn
đề
bảo
mậ
t
mạng
cần
quan
tâm
xem
ai
tham
gia
vào
hệ
thống
mạng,
họ
có
tránh
nhiệm
như
thế
nào.
Ở
mức
độ
vậ
t
lý
khi
mộ
t
ngườ
i
không
có
thẩm
quyền
vào
phòng
máy
họ
có
thể
thực
hiện
mộ
t
số
hành
v
i
phá
hoạ
i
ở
mức
độ
vậ
t
lý.
+
Kiến
trúc
mạng
:
Kiến
trúc
mạng
cũng
l
à
mộ
t
vấn
đề
mà
chúng
ta
cần
phả
i
quan tâm
khi
nghiên
cứu,
phân
tích
mộ
t
hệ
thống
mạng.
Chúng
ta
cần
nghiên
cứu
hiện
trạng mạng
khi
xây
dựng
và
nâng
cấp
mạng
đưa
ra
các
k
i
ểu
k
i
ến
trúc
mạng
phù
hợp
vớ
i
hiện trạng
và
cơ
sở
hạ
t
ầng
ở
nơ
i
mình
đang
đ
ị
nh
xây
dựng….
+
Phần
cứng
&
phần
mềm
:
Mạng
được
thiế
t
kế
như
thế
nào.
Nó
bao
gồm
những
phần
cứng
và
phần
mềm
nào
và
tác
dụng
của
chúng.
Xây
dựng
mộ
t
hệ
thống
phần
cứng
và
phần
mềm
phù
hợp
vớ
i
hệ
thống
mạng
cũng
l
à
vấn
đề
cần
quan
tâm
khi
xây
dựng
hệ
thống
mạng.
Xem
xét
tính
tương
thích
của
phần
cứng
và
phần
mềm
vớ
i
hệ
thống
và
tính
tương
thích
g
i
ữu
chúng.
1.1.2
Các
yếu
tố
cần
được
bảo
vệ
+
Bảo
vệ
dữ
li
ệu
(tính
bảo
mậ
t
,
tính
toàn
vẹn
và
tính
k
ị
p
thời).
+
Bảo
vệ
tài
nguyên
sử
dụng
trên
mạng
để
tránh
sử
dụng
tài
nguyên
này
vào
mục
đính
t
ấn
công
của
kẻ
khác.
+
Bảo
vệ
danh
ti
ếng.
1.2
Các
kiểu
tấn
công
mạng
Cùng
vớ
i
sự
phát
triển
nhanh
chóng
của
mạng
thì
nó
cũng
để
l
ạ
i
nhiều
l
ỗ
hổng
để
hacker
có
thể
t
ấn
công.
Các
thủ
đoạn
t
ấn
công
ngày
càng
t
rở
nên
tinh
v
i
hơn.
Các
phương
pháp
t
ấn
công
thường
gặp
:
1.2.1
Thăm
dò(reconnaissance)
Đó
chính
là
hình
thức
hacker
gử
i
vài
thông
t
in
truy
vấn
về
đ
ị
a
ch
ỉ
IP
hoặc
domain
name
bằng
hình
thức
này
hacker
có
thể
l
ấy
được
thông
tin
về
đ
ị
a
ch
ỉ
IP
và
domain
name
t
ừ
đó
thực
hiện
các
biện
pháp
t
ấn
công
khác…
Thăm
dò
mạng
là
t
ấ
t
cả
các
hoạ
t
động
nhằm
mục
đích
l
ấy
các
thông
tin
về
mạng.
khi
mộ
t
hacker
cố
gắng
chọc
thủng
mộ
t
mạng,
thường
thì
họ
phả
i
thu
thập
được
thông
tin
về
mạng
càng
nhiều
càng
t
ố
t
trước
khi
t
ấn
công.
Điều
này
có
thể
thực
hiện
bở
i
các
công
cụ
như
DNS
queries,
ping
sweep,
hay
port
scan.
Ta
không
thể
ngăn
chặn
được
hoàn
toàn
các
hoạ
t
độ
thăm
dò
k
i
ểu
như
vậy.
Ví
dụ
ta
có
thể
t
ắ
t
đi
ICMP
echo
và
echo-reply,
khi
đó
có
thể
chăn
được
ping
sweep,
nhưng
l
ạ
i
khó
cho
ta
khi
mạng
có
sự
cố,
cần
phả
i
chẩn
đoan
l
ỗ
i
do
đâu.
NIDS
và
HIDS
giúp
nhắc
nhở
(notify)
khi
có
các
hoạ
t
động
thăm
dò
xảy
ra
trong
mạng.
1.2.2
Đánh
cắp
thống
tin
bằng
Packet
Sn
i
ffers
Packet
sniffer
là
phần
mềm
sử
dụng
NIC
card
ở
chế
độ
“promiseous”
để
bắ
t t
ấ
t
cả
các
gói
tin
trong
cùng
m
i
ền
xung
đột.
Nó
có
thể
khai
thác
thông
tin
dướ
i
dạng
clear
Text.
Đây
là
mộ
t
chương
trình
ứng
dụng
bắ
t
g
i
ữ
được
t
ấ
t
cả
các
các
gói
lưu
chuyển
trên
mạng
(trên
mộ
t
collision
domain).
Sniffer
thường
được
dùng
cho
troubleshooting
network
hoặc
để
phân
tích
traffic.
Tuy
nhiên,
do
mộ
t
số
ứng
dụng
gở
i
dữ
li
ệu
qua
mạng
dướ
i
dạng
clear
text
(telnet,
FTP,
SMTP,
POP3, )
nên
sniffer
cũng
l
à
mộ
t
công
cụ
cho
hacker
để
bắ
t
các
thông
tin
nhạy
cảm
như
là
username,
password,
và
t
ừ
đó
có
thể
truy
xuấ
t
vào
các
thành
phần
khác
của
mạng.
Khả
năng
thực
hiện
Packet
Sniffers
có
thể
xảy
ra
t
ừ
trong
các
Segment
của
mạng
nộ
i
bộ,
các
kế
t
nố
i
RAS
hoặc
phát
sinh
trong
WAN.
Ta
có
thể
cấm
packet
sniffer
bằng
mộ
t
số
cách
như
sau:
-
Authentication
-
Dùng
switch
thay
v
ì
Bridge
hay
hub:
hạn
chế
được
các
gói
broadcast
trong
mạng.
-
Các
công
cụ
Anti-sniffer:
công
cụ
này
phát
hiện
sự
có
mặ
t
của
packet
siffer
trên
mạng.
-
Mã
hóa:
Tấ
t
cả
các
thông
tin
lưu
chuyển
trên
mạng
đều
được
mã
hóa.
Khi
đó,
nếu hacker
dùng
packet
sniffer
thì
ch
ỉ
bắ
t
được
các
gói
dữ
li
ệu
đã
được
mã
hóa.
Cisco
dùng giao
thức
IPSec
để
mã
hoá
dữ
li
ệu.
1.2.3
Đánh
l
ừa
(IP
spoofing)
Kỹ
thuậ
t
này
được
sử
dụng
khi
hacker
g
i
ả
mạo
đ
ị
a
ch
ỉ
IP
tin
cậy
trong
mạng
nhằm
thực
hiện
v
i
ệc
chèn
thông
t
in
bấ
t
hợp
pháp
vào
trong
phiên
làm
v
i
ệc
hoặc
thay
đổ
i
bản
tin
đ
ị
nh
tuyến
để
thu
nhận
các
gói
tin
cần
thiết.
•
NGX
R65
đã
phát
triển
một
cơ
chế
để
giám
sát
các
packet
bằng
cách
yêu
cầu
các
interface
mà
các
packet
phải
đi
qua
cho
biết
IP
t
ương
ứng
vớ
i
cổng
của
nó.
•
Anti
spoofing
thẩm
định
các
xem
các
packet
này
đến
từ
đâu,
đi
đến
đâu,
gateway
chính
xác
của
nó
sẽ
l
à
g
ì
?
Nó
sẽ
khẳng
định
rõ
gói
tin
này
mang
IP
là
internal
network này
thật
sự
xuất
phát
từ
internal
network.
Nó
cũng
thẩm
định
cho
ta
biết
khi
packet
này
được
route
th
ì
nó
sẽ
đi
thông
qua
cổng
nào.
•
Để
cấu
hình
anti
spoofing,
thì
trước
hết
các
network
phải
có
thể
thấy
được
nhau.
Các
network
được
định
nghĩa
đúng
theo
sơ
đồ.
Anti
spoofing
sẽ
phát
huy
hiệu
quả
tốt
nhất
khi
ta
cấu
hình
nó
trên
các
interface
của
gateway.
Sau
khi
kích
hoạt
tính
năng
spoofing
xong
ta
nên
ti
ếp
tục
cấu
hình
spoofing
tracking
trên
cổng
đó
luôn
nhằm
mục
đích
giúp
cho
v
i
ệc
phát
hiện
xâm
nhập
và
ghi
l
ại
file
log.
•
Anti
spoofing
rule
được
cấu
hình
trong
phần
properties
của
đối
t
ượng
firewall
trong
smartdashboard.
Rule
này
sẽ
được
cưỡng
ép
thực
thi
trước
bất
kỳ
rule
nào
được
định
nghĩa
trong
phần
Security
Policy
Rule
Base.
1.2.4
Tấn
công
từ
chố
i
d
ị
ch
vụ
(Denial
of
services)
Kiểu
t
ấn
công
này
nhằm
t
ắc
nghẽn
mạng
bằng
cách
hacker
gử
i
các
gói
tin
vớ
i t
ốc
độ
cao
và
liên
t
ục
t
ớ
i
hệ
thống
bảo
mậ
t
nhằm
làm
tê
li
ện
hệ
thống
chiếm
hế
t
băng
thông
sử
dụng.
1.2.5
Tấn
công
trực
tiếp
password
Đó
là
k
i
ểu
t
ấn
công
trực
ti
ếp
vào
username
và
password
của
ngườ
i
sử
dụng
nhằm
ăn
cắp
tài
khoả
i
sử
dụng
vào
mục
đích
t
ấn
công.
Hacker
dùng
phần
mềm
để
t
ấn
công
(v
ị
dụ
như
Dictionary
attacks).
Các
hacker
t
ấn
công
password
bằng
mộ
t
số
phương
pháp
như
:
brute-force
attack,
chương
trình
Trojan
Horse,
IP
spoofing,
và
packet
sniffer.
Mặc
dù
dùng
packet
sniffer
và
IP spoofing
có
thể
l
ấy
được
user
account
và
password,
như
hacker
l
ạ
i
thường
sử
dụng
brute- force
để
l
ấy
user
account
hơn.
Tấn
công
brute-force
được
thực
hiện
bằng
cách
dùng
mộ
t
chương
trình
chạy
t
rên
mạng,
cố
gắng
login
vào
các
phần
share
trên
server
băng
phương
pháp
“
t
hử
và
sai”
passwork.
Phương
pháp
g
i
ảm
thiểu
t
ấn
công
password
:
-
Giớ
i
han
số
l
ần
login
sai
-
Đặ
t
password
dài
-
Cấm
truy
cập
vào
các
thiế
t
b
ị
,
serever
t
ừ
xa
thông
qua
các
giao
thức
không
an
toàn
như
FTP,
Telnet,
rlogin,
rtelnet…
ứng
dung
SSL,SSH
vào
quản
lý
t
ừ
xa.
1.2.6
Thám
thính(agent)
Hacker
sử
dụng
các
các
phần
mềm
vius,
trojan
thường
dùng
để
t
ấn
công
vào
máy
trạm
làm
bước
đệm
để
t
ấn
công
vào
máy
chủ
và
hệ
thống.
Kẻ
t
ấn
công
có
thể
nhận
được
các
thông
tin
hữu
ích
t
ừ
máy
nạn
nhân
thông
qua
các
d
ị
ch
vụ
mạng.
1.2.7
Tấn
công
vào
yếu
tố
con
người:
Hacker
có
thể
t
ấn
công
vào
các
l
ỗ
hổng
do
l
ỗ
i
nhà
quản
tr
ị
hệ
thống
hoặc
li
ên
l
ạc
vớ
i
nhà
quản
tr
ị
hệ
thống
g
i
ả
mạo
là
ngườ
i
sủ
dụng
thay
đổ
i
username
và
password.
1.2.8
Các
phương
thức
tấn
công
D.O.S
thông
thường
a.
Phương
pháp
t
ấn
công
:
Tin
t
ặc
sẽ
điều
khiển
các
máy
đã
chiếm
cứ
và
t
ừ
các
máy
này
điều
khiển
các
máy
tính
trên
mạng
dựa
vào
mộ
t
vài
d
ị
ch
vụ
hoặc
các
l
ỗ
i
bảo
mậ
t
để
phát
sinh
mộ
t
khố
i l
ượng
dữ
li
ệu
l
ớn
truyền
đến
hệ
thống
máy
đích
làm
cạn
k
i
ệ
t
tài
nguyên
và
tê
li
ệ
t
d
ị
ch
vụ
các
hệ
thống
là
nạn
nhân
b
ị t
ấn
công.
Hình
-
Mô
hình
t
ổng
quát
cuộc
t
ấn
công
D.o.S
của
Hacker
Các
phương
thức
t
ấn
công
thường
dựa
trên
v
i
ệc
phát
sinh
các
gói
dữ
li
ệu
t
ừ
hệ
thống email
,
broadcast
echo
request
…
Các
công
cụ
thường
dùng
của
tin
t
ặc:
Công cụ
Phương thức sử dụng để
tấn công
1
Trinoo
UDP
2
Tribe Flood Network
UDP, ICMP, SYN, Smurf
3
Stacheldracht
UDP, ICMP, SYN , Smurf
4
TFN 2K
UDP, ICMP, SYN, Smurf
5
Shaft
UDP, ICMP, SYN, combo
6
Mstream
Stream (ACK)
7
Trinity
UDP, Fragment, SYN, RST,
RandomFlag, ACK, Establish,
NULL
Khả
năng
t
ấn
công
có
thể
xảy
ra
t
ừ
các
hướng
cổng
Internet,
PSTN,
WAN
và
nộ
i
bộ.
Đố
i
vớ
i
cổng
PSTN
và
Internet
đều
đi
qua
Router
do
đó
khả
năng
phát
sinh
các
cuốc
t
ấn
công
D.o.S
vào
đ
ị
a
điểm
này
là
rấ
t l
ớn.
b.
Vớ
i
giả
i
pháp
Cisco
Access
List
th
i
ết
l
ập
thêm
có
thể
phân
tích
và
ngăn
chặn
các
cuộc
tấn
làm
Overload
trên
các
Interface
như
sau:
Explicitly
permit
f
l
ood
traffic
i
n
access
list:
access-list
110
perm
it
icmp
any
any
echo
access-list
110
perm
it
icmp
any
any
echo-reply
View
access
list
"hit
counts"
to
determ
i
ne
f
l
ood
type
:
perm
it
icmp
any
any
echo
(2
matches)
perm
it
icmp
any
any
echo-reply
(21374
matches)
Log
i
nformation
about
f
l
ood
packets:
access-list
110
perm
it
icmp
any
any
echo
access-list
110
perm
it
icmp
any
any
echo-reply
log-input
Anti-Spoofing
Packet
Filters
Block
i
nbound
traff
i
c
sourced
from
your
own
address
space:
access-list
110
deny
ip
192.200.0.0
0.0.255.255
any
Block
outbound
traffic
not
sourced
from
your
own
address
space:
access-list
111
perm
it
ip
192.200.0.0
0.0.255.255
any
Block
i
nbound
traff
i
c
sourced
from
unroutable
IP
addresses:
access-list
110
deny
ip
10.0.0.0
0.255.255.255
any
access-list
110
deny
ip
172.16.0.0
0.15.255.255
any access-list
110
deny
ip
192.168.0.0
0.0.255.255
any access-list
110
deny
ip
127.0.0.0
0.255.255.255
any access-list
110
deny
ip
255.0.0.0
0.255.255.255
any access-
list
110
deny
ip
1.0.0.0
0.255.255.255
any
more
Nếu
cấu
hình
trên
Smart
Console
thì
ta
thiế
t l
ập
Rule
tương
t
ự
các
chức
năng
ta
muốn
thực
hiện,
như
Allow
hay
Deny
d
ị
ch
vụ
t
ừ
đâu
đến
đâu
và
các
giao
thức
được
đ
ị
nh
nghĩa
trên
t
ừng
Rule.
1.2.9
Phương
thức
tấn
công
bằng
Mail
Relay
Đây
là
phương
pháp
phổ
biến
hiện
nay.
Email
server
nếu
cấu
hình
không
chuẩn
hoặc
Username/
password
của
user
sử
dụng
mail
b
ị l
ộ.
Hacker
có
thể
l
ợ
i
dụng
email
server
để
gử
i
mail
gây
ngập
mạng
,
phá
hoạ
i
hệ
thống
email
khác.
Ngoài
ra
vớ
i
hình
thức
gắn
thêm
các
đoạn
script
trong
mail
hacker
có
thể
gây
ra
các
cuộc
t
ấn
công
Spam
cùng
lúc
vớ
i
khả
năng
t
ấn
công
gián
ti
ếp
đến
các
máy
chủ
Database
nộ
i
bộ
hoặc
các
cuộc
t
ấn
công
D.o.S
vào
mộ
t
mục
tiêu
nào
đó.
Phương
pháp
g
i
ảm
thiểu
:
-
Giớ
i
hạn
dung
lương
Mail
box
-
Sử
dụng
các
phương
thức
chống
Relay
Spam
bằng
các
công
cụ
bảo
mậ
t
cho
SMTP
server,
đặ
t
password
cho
SMTP.
-
Sử
dụng
gateway
SMTP
riêng
1.2.10
Phương
thức
tấn
công
hệ
thống
DNS
DNS
Server
là
điểm
yếu
nhấ
t
trong
toàn
bộ
các
loạ
i
máy
chủ
ứng
dụng
và
cũng
l
à
hệ
thống
quan
trọng
nhấ
t
trong
hệ
thống
máy
chủ.
Việc
t
ấn
công
và
chiếm
quyền
điều
khiển
máy
chủ
phục
vụ
DNS
là
mộ
t
sự
phá
hoạ
i
nguy
hiểm
liên
quan
đến
toàn
bộ
hoạ
t
động
của
hệ
thống
truyền
thông
trên
mạng.
-
Hạn
chế
t
ố
i
đa
các
d
ị
ch
vụ
khác
trên
hệ
thống
máy
chủ
DNS
-
Cài
đặ
t
hệ
thống
IDS
Host
cho
hệ
thống
DNS
-
Luôn
cập
nhậ
t
phiên
bản
mớ
i
có
sửa
l
ỗ
i
của
hệ
thống
phần
mềm
DNS.
1.2.11
Phương
thức
tấn
công
Man-
i
n-the-middle
attack
Dạng
t
ấn
công
này
đòi
hỏ
i
hacker
phả
i
truy
nhập
được
các
gói
mạng
của
mạng.
Mộ
t
v
í
dụ
về
t
ấn
công
này
là
mộ
t
ngườ
i
làm
v
i
ệc
t
ạ
i
ISP,
có
thể
bắ
t
được
t
ấc
cả
các
gó
i
mạng
của
công
ty
khách
hàng
cũng
như
t
ấ
t
cả
các
gói
mạng
của
các
công
ty
khác
thuê
Leased
line
đến
ISP
đó
để
ăn
cắp
thông
tin
hoặc
ti
ếp
t
ục
session
truy
nhập
vào
mạng
riên
của
công
ty
khách
hàng.
Tấn
công
dạng
này
được
thực
hiện
nhờ
mộ
t
packet
sniffer.
Tấn
công
dạng
này
có
thể
hạng
chế
bằng
cách
mã
hoá
dữ
li
ệu
được
gở
i
ra.
Nếu
các hacker
có
bắ
t
được
các
gói
dữ
li
ệu
thì
là
các
dữ
li
ệu
đã
được
mã
hóa.
1.2.12
Phương
thức
tấn
công
Trust
exp
l
oitation
Loạ
i t
ấn
công
k
i
ểu
này
được
thực
hiện
bằng
cách
t
ận
dụng
mố
i
quan
hệ
tin
cậy
đố
i
vớ
i
mạng.
Mộ
t
v
í
dụ
cho
t
ấn
công
k
i
ểu
này
là
bên
ngoài
firewall
có
mộ
t
quan
hệ
tin
cậy
vớ
i
hệ
thống
bên
trong
firewall.
Khi
bên
ngoài
hệ
thống
b
ị
xâm
hại,
các
hacker
có
thể
l
ần
theo
quan
hệ
đó
để
t
ấn
công
vào
bên
trong
firewall.
Có
thể
g
i
ớ
i
hạn
các
t
ấn
công
k
i
ểu
này
bằng
cách
t
ạo
ra
các
mức
truy
xuấ
t
khác
nhau
vào
mạng
và
quy
đ
ị
nh
chặ
t
chẽ
mức
truy
xuấ
t
nào
sẽ
được
truy
xuấ
t
vào
các
tài
nguyên
nào
của
mạng.
1.2.13
Phương
thức
tấn
công
Port
redirection
Tấn
công
này
là
mộ
t
loạ
i
của
t
ấn
công
trust
exploitation,
l
ợ
i
dụng
mộ
t
host
đã
đã
b
ị
độ
t
nhập
đi
qua
firewall.
Ví
dụ,
mộ
t
firewall
có
3
inerface,
mộ
t
host
ở
outside
có
thể
truy nhập
được
mộ
t
host
trên
DMZ,
nhưng
không
t
hể
vào
được
host
ở
inside.
Host
ở
DMZ
có
thể
vào
được
host
ở
inside,
cũng
như
outside.
Nếu
hacker
chọc
thủng
được
host
trên DMZ,
họ
có
thể
cài
phần
mềm
trêm
host
của
DMZ
để
bẻ
hướng
traffic
t
ừ
host
outside đến
host
inside.
Ta
ngăn
chặn
t
ấn
công
loạ
i
này
bằng
cách
sử
dụng
HIDS
cài
trên
mỗ
i
server.
HIDS
có thể
giúp
phát
hiện
được
các
chường
trình
l
ạ
hoạ
t
động
trên
server
đó.
1.2.14
Phương
thức
tấn
công
l
ớp
ứng
dụng
Tấn
công
l
ớp
ứng
dụng
được
thực
hiện
bằng
nhiều
cách
khác
nhau.
Mộ
t
trong
những cách
thông
dụng
nhấ
t
là
t
ấn
công
vào
các
điểm
yếu
của
phân
mềm
như
sendmail,
HTTP, hay
FTP.
Nguyên
nhân
chủ
yếu
của
các
t
ấn
công
l
ớp
ứng
dụng
này
là
chúng
sử
dụng
những
por
t
cho
qua
bở
i
firewall.
Ví
dụ
các
hacker
t
ấn
công
Web
server
bằng
cách
sử
dụng
TCP
port
80,
mail
server
bằng
TCP
port
25.
Mộ
t
số
phương
cách
để
hạn
chế
t
ấn
công
l
ớp
ứng
dụng
:
-
Lưu
l
ạ
i
log
file,
và
thường
xuên
phân
tích
log
file
-
Luôn
cập
nhậ
t
các
patch
cho
OS
và
các
ứng
dụng
-
Dùng
IDS,
có
2
loạ
i
IDS
:
o
HIDS
:
cài
đặ
t
trên
mỗ
i
server
mộ
t
agent
của
HIDS
để
phát
hiện
các
t
ấn
công
lên
server
đó.
o
NISD:
xem
xét
t
ấ
t
cả
các
packet
trên
mạng
(collision
domain).
Khi
nó
thấy
có
mộ
t
packet
hay
mộ
t
chuỗ
i
packet
g
i
ống
như
b
ị t
ấn
công,
nó
có
thể
phát
cảnh
báo,
hay
cắ
t
session
đó.
Các
IDS
phát
hiện
các
t
ấn
công
bằng
cách
dùng
các
signature.
S
i
gnature
của
mộ
t t
ấn công
là
mộ
t
profile
về
loạ
i t
ấn
công
đó.
Khi
IDS
phát
hiện
thấy
traffic
g
i
ống
như
mộ
t
signature
nào
đó,
nó
sẽ
phát
cảnh
báo.
1.2.15
Phương
thức
tấn
Virus
và
Trojan
Horse
Các
nguy
hiểm
chính
cho
các
workstation
và
end
user
là
các
t
ấn
công
virus
và
ngựa
thành
Trojan
(Trojan
horse).
Virus
là
mộ
t
phần
mềm
có
hại,
được
đính
kèm
vào
mộ
t
chương
trình
thực
thi
khác
để
thực
hiện
mộ
t
chức
năng
phá
hạ
i
nào
đó.
Trojan
horse
th
ì
hoạ
t
động
khác
hơn.
Mộ
t
v
í
dụ
về
Trojan
horse
là
mộ
t
phần
mềm
ứng
dụng
để
chạy
mộ
t
game
đơn
g
i
ản
ở
máy
workstation.
Trong
khi
ngườ
i
dùng
đang
mãi
mê
chơ
i
game,
Trojan
horse
sẽ
gở
i
mộ
t
bản
copy
đến
t
ấ
t
cả
các
user
trong
address
book.
Khi
user
khác
nhận
và
chơ
i
trò
chơi,
th
ì
nó
l
ạ
i ti
ếp
t
ục
làm
như
vậy,
gở
i
đến
t
ấ
t
cả
các
đ
ị
a
ch
ỉ
mail
có
trong
address
book
của
user
đó.
Có
thể
dùng
các
phần
mềm
chống
virus
để
diệ
t
các
virus
và
Trojan
horse
và
luôn
luôn
cập
nhậ
t
chương
trình
chống
virus
mới.
1.3
Các
mức
độ
bảo
mật
Khi
phân
tích
hệ
thống
bảo
mậ
t
mạng
ngườ
i
ta
chia
ra
làm
các
mức
độ
an
toàn
sau:
Bức
tường
l
ửa
(Firewall)
Bảo
vệ
vật
lý
(Physical
Protect)
Mã
hóa
dữ
li
ệu(Data
Encryption)
Đăng
nhập
/
Mật
khẩu
(Log
i
n/Password
)
Quyền
truy
nhập
(Access
Right)
Thông
tin
(Information)
Hình
3.3
Các
mức
độ
bảo
mậ
t
mạng.
1.3.1
Quyền
truy
nhập:
Đây
là
l
ớp
bảo
vệ
sâu
nhấ
t
nhằm
k
i
ểm
soát
tài
nguyên
mạng
k
i
ểm
soát
ở
mức
độ
file
và
v
i
ệc
xác
đ
ị
nh
quyền
hạn
của
ngườ
i
dùng
do
nhà
quản
tr
ị
quyế
t
đ
ị
nh
như
:
ch
ỉ
đọc(
only
read),
ch
ỉ
ghi
(only
write),
thực
thi(execute).
1.3.2
Đăng
nhập/Mật
khẩu(login
/
password)
Đây
là
l
ớp
bảo
vệ
mức
độ
truy
nhập
thông
tin
ở
mức
độ
hệ
thống.
Đây
là
mức
độ
bảo
vệ
được
sử
dụng
phổ
biến
nhấ
t
v
ì
nó
đơn
g
i
ản
và
ít t
ốn
kém.
Nhà
quản
tr
ị
cung
cấp
cho
mỗ
i
ngườ
i
dùng
mộ
t
username
và
password
và
k
i
ểm
soát
mọ
i
hoạ
t
động
của
mạng
thông
qua
hình
thức
đó.
Mỗ
i l
ần
truy
nhập
mạng
ngườ
i
dùng
phả
i
đăng
nhập
nhập
username
và
password
hệ
thống
k
i
ểm
tra
thấy
hợp
l
ệ
mớ
i
cho
đăng
nhập.
1.3.3
Mã
hóa
dữ
li
ệu(Data
encryption)
Đó
là
sử
dụng
các
phương
pháp
mã
hoá
dữ
li
ệu
ở
bên
phát
và
thực
hiện
g
i
ả
i
mã
ở
bên
thu
bên
thu
ch
ỉ
có
thể
mã
hóa
chính
xác
khi
có
khoá
mã
hóa
do
bên
phát
cung
cấp.
1.3.4
Bảo
vệ
vật
lý
(Physical
protect)
Đây
là
hình
thức
ngăn
chạn
nguy
cơ
truy
nhập
vậ
t
lý
bấ
t
hợp
pháp
vào
hệ
thống
như
ngăn
cấm
tuyệ
t
đố
i
ngườ
i
không
phận
sự
vào
phòng
đặ
t
máy
mạng,
dùng
ổ
khoá
máy
tính,
hoặc
cài
đặ
t
cơ
chế
báo
động
khi
có
truy
nhập
vào
hệ
thống
1.3.5
Bức
tường
l
ửa
(firewall)
Đây
là
hình
thức
ngăn
chặn
sự
xâm
nhập
bấ
t
hợp
pháp
vào
mạng
nộ
i
bộ
thông
qua
firewall.
).
Chức
năng
của
tường
l
ửa
là
ngăn
chặn
các
truy
nhập
trái
phép
(theo
danh
sách
truy
nhập
đã
xác
đ
ị
nh
trước)
và
thậm
chí
có
t
hể
l
ọc
các
gói
tin
mà
ta
không
muốn
gử
i
đi
hoặc
nhận
vào
v
ì
mộ
t
lý
do
nào
đó.
Phương
t
hức
bảo
vệ
này
được
dùng
nhiều
trong
mô
i
trường
liên
mạng
Internet.
1.4
Các
biện
pháp
bảo
vệ
an
toàn
hệ
thống
Đố
i
vớ
i
mỗ
i
hệ
thống
mạng,
không
nên
cài
đặ
t
và
ch
ỉ
sử
dụng
mộ
t
chế
độ
an
toàn
cho
dù
nó
có
thể
rấ
t
mạnh,
mà
nên
l
ắp
đặ
t
nh
i
ều
cơ
chế
an
toàn
khác
nhau
để
chúng
có
thể
hỗ
trợ
l
ẫn
nhau
và
có
thể
đẳm
bảo
an
toàn
ở
mức
độ
cao.
1.4.1
Quyền
hạn
tố
i
th
i
ểu
(Least
Privilege)
Mộ
t
nguyên
t
ắc
cơ
bản
nhấ
t
của
an
toàn
nói
chung
là
trao
quyền
t
ố
i
thiểu.
Có
nghĩa
là:
Bấ
t
kỳ
mộ
t
đố
i
tượng
nào
trên
mạng
ch
ỉ
nên
có
những
quyền
hạn
nhấ
t
đ
ị
nh
mà
đố
i
tượng
đó
cần
phả
i
có
để
thực
hiện
các
nhiệm
vụ
của
mình
và
ch
ỉ
có
những
quyền
đó
mà
thôi.
Như
vậy,
mọ
i
ngườ
i
sử
dụng
đều
không
nhấ
t
thiế
t
được
trao
quyền
truy
nhập
mọ
i
dich
vụ
Internet,
đọc
và
sửa
đổ
i t
ấ
t
cả
các
file
trong
hệ
thống…
Ngườ
i
quản
tr
ị
hệ
thống
không
nhấ
t
thiế
t
phả
i
biế
t
các
mậ
t
khẩu
root
hoặc
mậ
t
khẩu
của
mọ
i
ngườ
i
sử
dụng
…
Nhiều
vấn
đề
an
toàn
trên
mạng
Internet
b
ị
xem
là
thấ
t
bạ
i
khi
thực
hiện
nguyên
t
ắc
Quyền
hạn
t
ố
i
thiểu.
Vì
vậy,
các
chương
trình
đặc
quyền
phả
i
được
đơn
g
i
ản
đến
mức
có
thể
và
nếu
mộ
t
chương
trình
phức
t
ạp,
ta
phả
i
tìm
cách
chia
nhỏ
và
cô
l
ập
t
ừng
phần
mà
nó
yêu
cầu
quyền
hạn.
1.4.2
Bảo
vệ
theo
ch
i
ều
sâu
(Defense
i
n
Depth)
Đố
i
vớ
i
mỗ
i
hệ
thống,
không
nên
cài
đặ
t
và
ch
ỉ
sử
dụng
mộ
t
chế
độ
an
toàn
cho
dù
nó
có
thể
rấ
t
mạnh,
mà
nên
l
ắp
đặ
t
nhiều
cơ
chế
an
toàn
để
chúng
có
thể
hỗ
trợ
l
ẫn
nhau.
1.4.3
Nút
thắt
(choke
po
i
nt)
Mộ
t
nú
t
thắ
t
bắ
t
buộc
những
kẻ
độ
t
nhập
phả
i
đ
i
qua
mộ
t l
ố
i
hẹp
mà
chúng
t
a
có
t
hể
k
i
ểm
soá
t
và
đ
i
ều
kh
i
ển
được.
Trong
cơ
chế
an
toàn
mạng,
F
i
rewa
ll
nằm
g
i
ữa
hệ
t
hống
mạng
của
t
a
và
mạng
In
t
erne
t
,
nó
ch
í
nh
là
mộ
t
nú
t t
hắ
t
.
Kh
i
đó,
bấ
t
kỳ
a
i
muốn
t
ruy
nhập
vào
hệ
t
hống
cũng
phả
i
đ
i
qua
nó,
v
ì
vậy,
t
a
có
t
hể
t
heo
dõ
i
,
quản
l
ý
được.
Nhưng
mộ
t
nút
thắ
t
cũng
sẽ
trở
nên
vô
dụng
nếu
có
mộ
t
đường
khác
vào
hệ
thống
mà
không
cần
đi
qua
nó
(trong
môi
trường
mạng,
còn
có
những
đường
Dial–up
không
được
bảo
vệ
khác
có
thể
truy
nhập
được
vào
hệ
thống)
1.4.4
Điểm
xung
yếu
nhất
(Weakest
po
i
nt)
Mộ
t
nguyên
t
ắc
cơ
bản
khác
của
an
toàn
là:
“Mộ
t
dây
xích
ch
ỉ
chắc
chắn
khi
mắ
t
nố
i
yếu
nhấ
t
được
làm
chắc
chắn”.
Khi
muốn
thâm
nhập
vào
hệ
thống
của
chúng
ta,
kẻ
độ
t
nhập
thường
tì
m
điểm
yếu
nhấ
t
để
t
ấn
công
vào
đó.
Do
vậy,
vớ
i t
ừng
hệ
thống,
cần
phả
i
biế
t
điểm
yếu
nhấ
t
để
có
phương
án
bảo
vệ.
1.4.5
Hỏng
trong
an
toàn
(Fail–Safe
Stance)
Nếu
mộ
t
hệ
thống
chẳng
may
b
ị
hỏng
thì
nó
phả
i
được
hỏng
theo
mộ
t
cách
nào
đó
để
ngăn
chặn
những
kẻ
l
ợ
i
dụng
t
ấn
công
vào
hệ
thống
hỏng
đó.
Đương
nhiên,
v
i
ệc
hỏng
trong
an
toàn
cũng
hủy
bỏ
sự
truy
nhập
hợp
pháp
của
ngườ
i
sử
dụng
cho
t
ớ
i
khi
hệ
thống
được
khô
i
phục
l
ại.
Nguyên
t
ắc
này
cũng
được
áp
dụng
trong
nhiều
l
ĩnh
vực.
Chẳng
hạn,
cửa
ra
vào
t
ự
động
được
thiế
t
kế
để
có
thể
chuyển
sang
mở
bằng
tay
khi
nguồn
điện
cung
cấp
b
ị
ngắ
t
để
tránh
g
i
ữ
ngườ
i
bên
trong.
Dựa
trên
nguyên
t
ắc
này,
ngườ
i
ta
đưa
ra
hai
quy
t
ắc
để
áp
dụng
vào
hệ
thống
an
toàn:
-
Default
deny
Stance:
Chú
trọng
vào
những
cái
được
phép
và
ngăn
chặn
t
ấ
t
cả
những cái
còn
l
ại.
-
Default
perm
it
Stance:
Chú
trọng
vào
những
cái
b
ị
ngăn
cấm
và
cho
phép
t
ấ
t
cả
những
cái
còn
l
ại.
Những
g
ì
không
b
ị
ngăn
cấm
thì
được
phép.
Theo
quan
điểm
về
vấn
đề
an
toàn
trên
thì
nên
dùng
quy
t
ắc
thứ
nhất,
còn
theo
quan
điểm
của
các
nhà
quản
lý
thì
l
ạ
i
là
quy
t
ắc
thứ
hai.