Tải bản đầy đủ (.docx) (23 trang)

TIỂU LUẬN môn học MẠNG máy TÍNH đề tài AN NINH MẠNG máy TÍNH và GIAO THỨC IPSEC

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (767.95 KB, 23 trang )

HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG
CƠ SỞ TẠI THÀNH PHỐ HỒ CHÍ MINH
--------------------------------

TIỂU LUẬN MƠN HỌC
MẠNG MÁY TÍNH
ĐỀ TÀI:

AN NINH MẠNG MÁY TÍNH VÀ
GIAO THỨC IPSEC

Sinh viên thực hiện: Huỳnh Ngọc Dương
Mã số sinh viên: N19DCCN033
Lớp: D19CQCN03-N

TIEU LUAN MOI download : skknchat123@gmail.com


TPHCM 10/2021

MỤC LỤC
I.

TỔNG QUAN VỀ AN NINH MẠNG...............................................................................................3
1.

An toàn mạng là gì?......................................................................................................3

2.

Các đặc trưng kỹ thuật của an tồn mạng.................................................................4



3.

Các lỗ hổng và điểm yếu của mạng............................................................................5

4.

Các hình thức tấn cơng mạng phổ biến hiện nay và cách phịng tránh.................6

II.

4.1

Tấn công bằng phần mềm độc hại (Malware).................................................................6

4.2

Tấn công giả mạo (Phishing)...........................................................................................7

4.3

Tấn công từ chối dịch vụ (Dos và Ddos)...........................................................................9

4.4

Tấn công trung gian (Man-in-the-middle attack)...........................................................11

4.5

Khai thác lỗ hổng Zero-day...........................................................................................12


Giới thiệu chung về giao thức IPSec.........................................................................................13
1.

Khái niệm: IPSec là gì?...............................................................................................13

2.

Sơ lược về lịch sử của IPSec.....................................................................................13

III.

Cấu trúc thông điệp của giao thức IPSec và phân tích ý nghĩa các trường tin.......................13

1.

Định dạng tiêu đề (AH)................................................................................................13

2.

Đóng gói tải trọng bảo mật (ESP)..............................................................................15

3.

Trao đổi khóa Internet (IKE)........................................................................................16

IV.

Phương thức hoạt động của giao thức IPSec.......................................................................16


1.

Transport Mode (chế độ vận chuyển)........................................................................16

2.

Tunnel mode (chế độ đường hầm)............................................................................17

V.

Kết luận...................................................................................................................................18
1.

An ninh mạng máy tính...............................................................................................18

2.

Giao thức IPSec...........................................................................................................18

CÁC TỪ VIẾT TẮT..............................................................................................................................19
TÀI LIỆU THAM KHẢO......................................................................................................................20

TIEU LUAN MOI download : skknchat123@gmail.com


I. TỔNG QUAN VỀ AN NINH MẠNG
1. An toàn mạng là gì?
Mục tiêu của việc kết nối mạng là để nhiều người sử dụng, từ những vị trí địa
lý khác nhau có thể sử dụng chung tài nguyên, trao đổi thông tin với nhau. Do đặc
điểm nhiều người sử dụng lại phân tán về mặt vật lý nên việc bảo vệ các tài nguyên

thông tin trên mạng, tránh sự mất mát, xâm phạm là cần thiết và cấp bách. An tồn
mạng có thể hiểu là cách bảo vệ, đảm bảo an toàn cho tất cả các thành phần mạng
bao gồm dữ liệu, thiết bị, cơ sở hạ tầng mạng và đảm bảo mọi tài nguyên mạng được
sử dụng tương ứng với một chính sách hoạt động được ấn định và với chỉ những
người có thẩm quyền tương ứng.

An tồn mạng bao gồm:
Xác định chính xác các khả năng, nguy cơ xâm phạm mạng, các sự cố rủi ro đối
với thiết bị, dữ liệu trên mạng để có các giải pháp phù hợp đảm bảo an toàn mạng.
Đánh giá nguy cơ tấn công của Hacker đến mạng, sự phát tán virus... Phải nhận
thấy an toàn mạng là một trong những vấn đề cực kỳ quan trọng trong các hoạt động,
giao dịch điện tử và trong việc khai thác sử dụng các tài nguyên mạng.
Một thách thức đối với an toàn mạng là xác định chính xác cấp độ an tồn cần
thiết cho việc điều khiển hệ thống và các thành phần mạng. Đánh giá các nguy cơ, các
lỗ hổng khiến mạng có thể bị xâm phạm thơng qua cách tiếp cận có cấu trúc. Xác định
những nguy cơ ăn cắp, phá hoại máy tính, thiết bị, nguy cơ virus, bọ gián điệp.., nguy
cơ xoá, phá hoại CSDL, ăn cắp mật khẩu,... nguy cơ đối với sự hoạt động của hệ thống
như nghẽn mạng, nhiễu điện tử...Khi đánh giá được hết những nguy cơ ảnh hưởng
3

TIEU LUAN MOI download : skknchat123@gmail.com


tới an ninh mạng thì mới có thể có được những biện pháp tốt nhất để đảm bảo an
ninh mạng.
Sử dụng hiệu quả các cơng cụ bảo mật (ví dụ như Firewall ...) và những biện
pháp, chính sách cụ thể chặt chẽ.
Về bản chất có thể phân loại các vi phạm thành hai loại vi phạm thụ động và vi
phạm chủ động. Thụ động và chủ động được hiểu theo nghĩa có can thiệp vào nội
dung và luồng thơng tin có bị tráo đổi hay khơng. Vi phạm thụ động chỉ nhằm mục

đích nắm bắt được thơng tin. Vi phạm chủ động là thực hiện sự biến đổi, xoá bỏ hoặc
thêm thông tin ngoại lai để làm sai lệch thông tin gốc nhằm mục đích phá hoại. Các
hành động vi phạm thụ động thường khó có thể phát hiện nhưng có thể ngăn chặn
hiệu quả. Trái lại vi phạm chủ động rất dễ phát hiện nhưng lại khó ngăn chặn.

2. Các đặc trưng kỹ thuật của an toàn mạng
a)
Xác thực (Authentification): Kiểm tra tính xác thực của một thực thể giao tiếp
trên mạng. Một thực thể có thể là một người sử dụng, một chương trình máy tính,
hoặc một thiết bị phần cứng. Các hoạt động kiểm tra tính xác thực được đánh giá là
quan trọng nhất trong các hoạt động của một phương thức bảo mật. Một hệ thống
thông thường phải thực hiện kiểm tra tính xác thực của một thực thể trước khi thực
thể đó thực hiện kết nối với hệ thống. Cơ chế kiểm tra tính xác thực của các phương
thức bảo mật dựa vào 3 mô hình chính sau:
Đối tượng cần kiểm tra cần phải cung cấp những thơng tin trước, ví dụ như
Password, hoặc mã số thông số cá nhân PIN (Personal Information Number).
Kiểm tra dựa vào mơ hình những thơng tin đã có, đối tượng kiểm tra cần phải
thể hiện những thông tin mà chúng sở hữu, ví dụ như Private Key, hoặc số thẻ
tín dụng.
Kiểm tra dựa vào mơ hình những thơng tin xác định tính duy nhất, đối tượng
kiểm tra cần phải có những thơng tin để định danh tính duy nhất của mình ví
dụ như thơng qua giọng nói, dấu vân tay, chữ ký ...
Có thể phân loại bảo mật trên VPN theo các cách sau: mật khẩu truyền thống
hay mật khẩu một lần; xác thực thông qua các giao thức (PAP, CHAP, RADIUS…) hay
phần cứng (các loại thẻ card: smart card, token card, PC card), nhận diện sinh trắc học
(dấu vân tay, giọng nói, qt võng mạc...).
b)
Tính khả dụng (Availability): Tính khả dụng là đặc tính mà thơng tin trên mạng
được các thực thể hợp pháp tiếp cận và sử dụng theo yêu cầu, khi cần thiết bất cứ khi
nào, trong hồn cảnh nào. Tính khả dụng nói chung dùng tỷ lệ giữa thời gian hệ thống

được sử dụng bình thường với thời gian quá trình hoạt động để đánh giá. Tính khả dụng
cần đáp ứng những yêu cầu sau: Nhận biết và phân biệt thực thể, khống chế tiếp cận
(bao gồm cả việc khống chế tự tiếp cận và khống chế tiếp cận cưỡng bức), khống chế lưu
lượng (chống tắc nghẽn..), khống chế chọn đường (cho phép chọn đường nhánh, mạch
nối ổn định, tin cậy), giám sát tung tích (tất cả các sự kiện phát
4

TIEU LUAN MOI download : skknchat123@gmail.com


sinh trong hệ thống được lưu giữ để phân tích nguyên nhân, kịp thời dùng các biện
pháp tương ứng).
c)
Tính bảo mật (Confidentialy): Tính bảo mật là đặc tính tin tức khơng bị tiết lộ
cho các thực thể hay q trình không được uỷ quyền biết hoặc không để cho các đối
tượng đó lợi dụng. Thơng tin chỉ cho phép thực thể được uỷ quyền sử dụng. Kỹ thuật
bảo mật thường là phòng ngừa dò la thu thập (làm cho đối thủ khơng thể dị la thu
thập được thơng tin), phịng ngừa bức xạ (phòng ngừa những tin tức bị bức xạ ra
ngoài bằng nhiều đường khác nhau, tăng cường bảo mật thơng tin (dưới sự khống
chế của khố mật mã), bảo mật vật lý (sử dụng các phương pháp vật lý để đảm bảo
tin tức khơng bị tiết lộ).
d)
Tính tồn vẹn (Integrity): Là đặc tính khi thơng tin trên mạng chưa được uỷ
quyền thì khơng thể tiến hành biến đổi được, tức là thông tin trên mạng khi đang lưu
giữ hoặc trong q trình truyền dẫn đảm bảo khơng bị xoá bỏ, sửa đổi, giả mạo, làm
rối loạn trật tự, phát lại, xen vào một cách ngẫu nhiên hoặc cố ý và những sự phá hoại
khác. Những nhân tố chủ yếu ảnh hưởng tới sự tồn vẹn thơng tin trên mạng gồm: sự
cố thiết bị, sai mã, bị tác động của con người, virus máy tính…
Một số phương pháp bảo đảm tính tồn vẹn thơng tin trên mạng: - Giao thức
an tồn có thể kiểm tra thơng tin bị sao chép, sửa đổi hay sao chép. Nừu phát hiện thì

thơng tin đó sẽ bị vơ hiệu hố. - Phương pháp phát hiện sai và sửa sai. Phương pháp
sửa sai mã hoá đơn giản nhất và thường dùng là phép kiểm tra chẵn - lẻ. - Biện pháp
kiểm tra mật mã ngăn ngừa hành vi xuyên tạc và cản trở truyền tin. - Chữ ký điện tử:
bảo đảm tính xác thực của thông tin. - Yêu cầu cơ quan quản lý hoặc trung gian chứng
minh tính chân thực của thơng tin.
e)
Tính khống chế (Accountlability): Là đặc tính về năng lực khống chế truyền bá
và nội dung vốn có của tin tức trên mạng.
f)
Tính khơng thể chối cãi (Nonreputation): Trong q trình giao lưu tin tức trên
mạng, xác nhận tính chân thực đồng nhất của những thực thể tham gia, tức là tất cả
các thực thể tham gia không thể chối bỏ hoặc phủ nhận những thao tác và cam kết đã
được thực hiện.

3. Các lỗ hổng và điểm yếu của mạng
a)
Các lỗ hổng bảo mật hệ thống là các điểm yếu có thể tạo ra sự ngưng trệ của
dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy nhập không hợp
pháp vào hệ thống. Các lỗ hổng tồn tại trong các dịch vụ như Sendmail, Web,Ftp ... và
trong hệ điều hành mạng như trong Windows NT, Windows 95, UNIX; hoặc trong các
ứng dụng. Các loại lỗ hổng bảo mật trên một hệ thống được chia như sau:
Lỗ hổng loại C: cho phép thực hiện các phương thức tấn công theo kiểu từ
chối dịch vụ DoS (Dinal of Services). Mức nguy hiểm thấp, chỉ ảnh hưởng chất lượng
dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống, không phá hỏng dữ liệu hoặc
chiếm quyền truy nhập.
Lổ hổng loại B: cho phép người sử dụng có thêm các quyền trên hệ thống mà
không cần thực hiện kiểm tra tính hợp lệ. Mức độ nguy hiểm trung bình, những lỗ
5

TIEU LUAN MOI download : skknchat123@gmail.com



hổng này thường có trong các ứng dụng trên hệ thống, có thể dẫn đến hoặc lộ thơng
tin u cầu bảo mật.
Lỗ hổng loại A: Các lỗ hổng này cho phép người sử dụng ở ngoài cho thể truy
nhập vào hệ thống bất hợp pháp. Lỗ hổng rất nguy hiểm, có thể làm phá hủy tồn bộ
hệ thống.
b)
Các phương thức tấn cơng mạng: Kẻ phá hoại có thể lợi dụng những lỗ hổng
trên để tạo ra những lỗ hổng khác tạo thành một chuỗi những lỗ hổng mới. Để xâm
nhập vào hệ thống, kẻ phá hoại sẽ tìm ra các lỗ hổng trên hệ thống, hoặc từ các chính
sách bảo mật, hoặc sử dụng các cơng cụ dị xét (như SATAN, ISS) để đạt được quyền
truy nhập. Sau khi xâm nhập, kẻ phá hoại có thể tiếp tục tìm hiểu các dịch vụ trên hệ
thống, nắm bắt được các điểm yếu và thực hiện các hành động phá hoại tinh vi hơn.

4. Các hình thức tấn cơng mạng phổ biến hiện nay và cách phịng
tránh.
4.1 Tấn cơng bằng phần mềm độc hại (Malware).
4.1.1 Tấn cơng Malware là gì?
Tấn cơng Malware là một trong những hình thức tấn cơng qua mạng phổ
biến nhất hiện nay. Malware bao gồm:
Spyware (phần mềm gián điệp)
Ransomware (mã độc tống tiền)
Virus
Worm (phần mềm độc hại lây lan với tốc độ nhanh)

Thông thường, Hacker sẽ tiến hành tấn công người dùng thông qua các lỗ
hổng bảo mật. Hoặc lừa người dùng Click vào một đường Link hoặc Email
(Phishing) để cài phần mềm độc hại tự động vào máy tính. Một khi được cài
đặt thành cơng, Malware sẽ gây ra những hậu quả nghiêm trọng:

Chặn các truy cập vào hệ thống mạng và dữ liệu quan
trọng (Ransomware).
6

TIEU LUAN MOI download : skknchat123@gmail.com


Cài đặt thêm phần mềm độc hại khác vào máy tính người dùng.
Đánh cắp dữ liệu (Spyware).
Phá hoại phần cứng, phần mềm, làm hệ thống bị tê liệt, không thể hoạt
động.

4.1.2 Cách phòng chống Malware.
Sao lưu dữ liệu thường xuyên: Việc này sẽ giúp bạn không phải lo
lắng khi dữ liệu bị phá hủy.
Thường xuyên cập nhật phần mềm: Các bản cập nhật của phần mềm
(trình duyệt, hệ điều hành, phần mềm diệt Virus,…) sẽ vá lỗi bảo mật
còn tồn tại trên phiên bản cũ, đảm bảo an tồn thơng tin cho người
dùng.
Cẩn thận với các Link hoặc File lạ: Đây là phương thức lừa đảo khá
phổ biến của Hacker. Chúng sẽ gửi Email hoặc nhắn tin qua Facebook,
đính kèm Link Download và nói rằng đó là File quan trọng hoặc chứa
nội dung hấp dẫn. Khi tải về, các File này thường nằm ở
dạng .docx, .xlxs, .pptx hay .pdf, nhưng thực chất là File .exe (chương
trình có thể chạy được). Ngay lúc người dùng Click mở File, mã độc sẽ
lập tức bắt đầu hoạt động.

4.2 Tấn công giả mạo (Phishing).
4.2.1 Tấn cơng Phishing là gì?
Phishing (tấn cơng giả mạo) là hình thức tấn cơng mạng bằng giả mạo

thành một đơn vị uy tín để chiếm lịng tin và u cầu người dùng cung cấp
thông tin cá nhân cho chúng.

7

TIEU LUAN MOI download : skknchat123@gmail.com


Thơng thường, Hacker sẽ giả mạo là ngân hàng, ví điện tử, trang giao dịch
trực tuyến hoặc các công ty thẻ tín dụng để lừa người dùng chia sẻ các thông
tin cá nhân như: tài khoản & mật khẩu đăng nhập, mật khẩu giao dịch, thẻ tín
dụng và các thơng tin quan trọng khác.
Phương thức tấn công này thường được thực hiện thông qua việc gửi Email
và tin nhắn. Người dùng khi mở Email và Click vào đường Link giả mạo sẽ
được yêu cầu đăng nhập. Nếu “cắn câu”, tin tặc sẽ có được thơng tin cá nhân
của người dùng ngay tức khắc.
Phương thức Phishing được phát hiện lần đầu tiên vào năm 1987. Thuật ngữ
là sự kết hợp của 2 từ: Fishing For Information (câu thơng tin) và Phreaking
(trị lừa đảo sử dụng điện thoại của người khác không trả phí). Do sự tương
đồng trong việc “câu cá” và “câu thông tin người dùng”, nên thuật ngữ
Phishing ra đời.

4.2.2 Các phương thức tấn cơng Phishing.
Giả mạo Email
Đây là hình thức Phishing khá căn bản. Tin tặc sẽ gửi Email đến người dùng
dưới danh nghĩa của một đơn vị/tổ chức uy tín nhằm dẫn dụ người dùng
truy cập đến Website giả mạo
Những Email giả mạo thường rất tinh vi và rất giống với Email chính chủ,
khiến người dùng nhầm lẫn và trở thành nạn nhân của cuộc tấn công.
Dưới đây là một số cách mà tin tặc thường ngụy trang:

Địa chỉ người gửi (VD: Địa chỉ đúng là sales.congtyA@gmail.com thì
sẽ được giả mạo thành sale.congtyA@gmail.com)
Thiết kế các cửa sổ Pop-up giống hệt bản gốc (cả màu sắc, Font
chữ, …)
Sử dụng kỹ thuật giả mạo đường dẫn để lừa người dùng (VD:
đường dẫn là congtyB.com nhưng khi nhấn vào thì điều hướng đến
contyB.com)
Sử dụng hình ảnh thương hiệu của các tổ chức lớn để tăng độ tin cậy.
Giả mạo Website
Giả mạo Website trong tấn công Phishing là làm giả một trang chứ khơng phải
tồn bộ Website. Trang được làm giả thường là trang đăng nhập để cướp
thông tin của người dùng.
Website giả thường có những đặc điểm sau:
Thiết kế giống đến 99% so với Website gốc.
Đường dẫn chỉ khác 1 ký tự duy nhất
(VD: facebook.com và fakebook.com, microsoft.com và
mircosoft.c om,…)
8

TIEU LUAN MOI download : skknchat123@gmail.com


Ln có những thơng điệp khuyến khích người dùng cung cấp thơng tin
cá nhân.

4.2.3 Cách phịng chống tấn cơng Phishing.
Cảnh giác với các Email có xu hướng thúc giục bạn nhập thông tin cá
nhân, thông tin nhạy cảm (thông tin thẻ tín dụng, thơng tin tài khoản,..)
Khơng Click vào các đường dẫn được gửi đến Email nếu không
chắc chắn an tồn.

Khơng trả lời những thư rác, lừa đảo.
Ln cập nhật phần mềm, ứng dụng đề phòng các lỗ hổng bảo mật
có thể bị tấn cơng.

4.3 Tấn cơng từ chối dịch vụ (Dos và Ddos).
4.3.1 Tấn công từ chối dịch vụ (Dos và Ddos) là gì?
DoS (Denial of Service) là “đánh sập tạm thời” một hệ thống, máy chủ hoặc
mạng nội bộ. Để thực hiện được điều này, các Hacker thường tạo ra một
lượng Traffic/Request khổng lồ ở cùng một thời điểm, khiến cho hệ thống bị
quá tải. Theo đó, người dùng sẽ không thể truy cập vào dịch vụ trong khoảng
thời gian mà cuộc tấn cơng DoS diễn ra.

Một hình thức biến thể của DoS là DDoS (Distributed Denial of Service): Tin
tặc sử dụng một mạng lưới các máy tính (Botnet) để tấn cơng người dùng.vấn
đề ở đây là chính các máy tính thuộc mạng lưới Botnet sẽ khơng biết bản thân
đang bị lợi dụng trở thành công cụ tấn cơng.

4.3.2 Một số hình thức tấn cơng Ddos.
9

TIEU LUAN MOI download : skknchat123@gmail.com


Tấn công gây nghẽn mạng (UDP Flood và Ping Flood)
Mục tiêu: Gây quá tải hệ thống mạng bằng lượng truy cập lớn đến từ
nhiều nguồn để chặn các truy cập thực của người dùng.
Phương thức: Gây nghẽn đối tượng bằng các gói UDP và ICMP.
Tấn cơng SYN flood (TCP)
Mục tiêu: Gây cạn tài nguyên máy chủ, ngăn chặn việc nhận các yêu cầu kết
nối mới.

Phương thức: Lợi dụng quá trình “bắt tay” 3 chặng TCP, gửi đi yêu cầu SYN đến
máy chủ và được phản hồi bằng một gói SYN-ACK. Nhưng khơng gửi lại gói
ACK, điều này khiến cho tài nguyên máy chủ bị sử dụng hết vào việc đợi gói
ACK gửi về.
Tấn cơng khuếch đại DNS
Mục tiêu: Làm q tải hệ thống bằng phản hồi từ các bộ giải mã DNS.
Phương thức: Mạo danh địa chỉ IP của máy bị tấn công để gửi yêu cầu nhiều
bộ giải mã DNS. Các bộ giải mã hồi đáp về IP của máy có kích thước gói dữ liệu
có thể lớn hơn kích thước của u cầu tới 50 lần.

4.3.3 Cách phịng chống tấn công Ddos.
Theo dõi lưu lượng truy cập của bạn: Với cách này, bạn có thể phát
hiện được các vụ tấn công DDoS nhỏ mà tin tặc vẫn thường dùng để
Test năng lực của mạng lưới trước khi tấn cơng thật sự.
Nếu bạn có thể xác định được địa chỉ của các máy tính thực hiện tấn
cơng: có thể tạo một ACL (danh sách quản lý truy cập) trong tường lửa
để thực hiện chặn các IP này.

4.4 Tấn công trung gian (Man-in-the-middle attack).
Tấn cơng trung gian (MitM), cịn gọi là tấn công nghe lén, xảy ra khi kẻ tấn
công xâm nhập vào một giao dịch/sự giao tiếp giữa 2 đối tượng. Một khi đã
chen vào thành cơng, chúng có thể đánh cắp dữ liệu trong giao dịch đó.

10

TIEU LUAN MOI download : skknchat123@gmail.com


4.4.1 Các hình thức tấn cơng trung gian.
Sniffing: Sniffing hoặc Packet Sniffing là kỹ thuật được sử dụng để nắm

bắt các gói dữ liệu vào và ra của hệ thống. Packet Sniffing cũng tương
tự với việc nghe trộm trong điện thoại. Sniffing được xem là hợp pháp
nếu được sử dụng đúng cách. Doanh nghiệp có thể thực hiện để tăng
cường bảo mật.
Packet Injection: Kẻ tấn cơng sẽ đưa các gói dữ liệu độc hại vào với
dữ liệu thông thường. Bằng cách này, người dùng thậm chí khơng nhận
thấy tệp/phần mềm độc hại bởi chúng đến như một phần của luồng
truyền thông hợp pháp. Những tập tin này rất phổ biến trong các cuộc
tấn công trung gian cũng như các cuộc tấn công từ chối dịch vụ.
Gỡ rối phiên: Bạn đã từng gặp thông báo “Phiên hoạt động đã hết hạn”
chưa? Nếu đã từng thực hiện thanh toán trực tuyến hoặc điền vào biểu
mẫu, hẳn bạn sẽ biết thuật ngữ này. Khoản thời gian từ lúc bạn đăng
nhập vào tài khoản ngân hàng của bạn đến khi đăng xuất khỏi tài khoản
đó được gọi là một phiên. Các phiên này là mục tiêu của tin tặc. Bởi
chúng có khả năng chứa thơng tin kín đáo. Trong hầu hết các trường
hợp, một Hacker thiết lập sự hiện diện của mình trong phiên. Và cuối
cùng nắm quyền kiểm sốt nó. Các cuộc tấn cơng này có thể được
thực thi theo nhiều cách khác nhau.
Loại bỏ SSL: SSL Stripping hoặc SSL Downgrade Attack là một lồi
hiếm khi nói đến các cuộc tấn cơng MiTM, nhưng cũng là một trong
những nguy hiểm nhất. Chứng chỉ SSL/TLS giữ liên lạc của chúng tơi
an tồn trực tuyến thơng qua mã hóa. Trong các cuộc tấn cơng SSL, kẻ
tấn công loại bỏ kết nối SSL/TLS và chuyển giao thức từ HTTPS an
tồn sang HTTP khơng an tồn.

4.4.2 Cách phịng chống tấn cơng trung gian.
Đảm bảo các Website bạn truy cập đã cài SSL.
Không mua hàng hoặc gửi dữ liệu nhạy cảm khi dùng mạng công cộng.
Không nhấp vào Link hoặc Email độc hại.
11


TIEU LUAN MOI download : skknchat123@gmail.com


Có các cơng cụ bảo mật thích hợp được cài đặt trên hệ thống của bạn.
Tăng cường bảo mật cho hệ thống mạng của gia đình bạn.

4.5 Khai thác lỗ hổng Zero-day.
4.5.1 Lỗ hỏng Zero-day là gì?
Lỗ hổng zero- day (0-day Vulnerability) thực chất là những lỗ hổng bảo mật
của phần mềm hoặc phần cứng mà người dùng chưa phát hiện ra. Chúng tồn
tại trong nhiều môi trường khác nhau như: Website, Mobile Apps, hệ thống
mạng doanh nghiệp, phần mềm – phần cứng máy tính, thiết bị IoT, Cloud, …

4.5.2 Cách phòng chống Zero-day.
Thường xuyên cập nhật phần mềm và hệ điều hành
Triển khai giám sát bảo mật theo thời gian thực
Triển khai hệ thống IDS và IPS
Sử dụng phần mềm quét lỗ hổng bảo mật

II. Giới thiệu chung về giao thức IPSec.
1. Khái niệm: IPSec là gì?
IPSec là một từ viết tắt của thuật Internet Protocol Security, IPSec bao
gồm một hệ thống các giao thức để bảo mật quá trình truyền thơng tin trên
nền tảng Internet Protocol. Bao gồm xác thực và/hoặc mã hố (Authenticating
and/or Encrypting) cho mỗi gói Internet Protocol trong q trình truyền thơng
tin. IPSec cũng bao gồm những giao thức cung cấp cho mã hoá và xác thực,
được phát triển bởi Internet Engineering Task Force (IETF).
Mục đích chính của việc phát triển IPSec là cung cấp một cơ cấu bảo
mật ở tầng 3 (Network layer) của mơ hình OSI. IPsec là một phần bắt bược

12

TIEU LUAN MOI download : skknchat123@gmail.com


của IPv6, có thể được lựa chọn khi sử dụng IPv4. Trong khi các chuẩn đã
được thiết kết cho các phiên bản IP giống nhau, phổ biến hiện nay là áp dụng
và triển khai trên nền tảng IPv4.

2.

Sơ lược về lịch sử của IPSec.

Khi Internet Protocol được phát triển vào đầu những năm 80, tính bảo
mật khơng nằm ở vị trí được ưu tiên cao. Tuy nhiên, khi số lượng người dùng
Internet tiếp tục phát triển, nhu cầu bảo mật cao cũng vì thế mà ngày càng
tăng.
Để giải quyết nhu cầu này, Cơ quan An ninh Quốc gia đã tài trợ cho sự
phát triển của các giao thức bảo mật vào giữa những năm 80, trong chương
trình Secure Data Network Systems (Hệ thống mạng dữ liệu bảo mật). Điều
này dẫn đến sự phát triển của Security Protocol (Giao thức bảo mật) ở Layer
3 và cuối cùng là Network Layer Security Protocol. Nhiều kỹ sư đã làm việc
trong dự án này trong suốt những năm 90 và IPSec đã phát triển nhờ những
nỗ lực này. IPSec hiện là một tiêu chuẩn mã nguồn mở và là một phần của
IPv4.

III.
Cấu trúc thông điệp của giao thức IPSec và phân tích ý nghĩa
các trường tin.
1. Định dạng tiêu đề (AH)

AH được phát triển tại Phịng thí nghiệm Nghiên cứu Hải qn Hoa Kỳ
vào đầu những năm 1990 và một phần bắt nguồn từ công việc của các tiêu
chuẩn IETF trước đây để xác thực Giao thức Quản lý Mạng đơn giản (SNMP)
phiên bản 2. AH là một thành viên của bộ giao thức IPsec. AH đảm bảo tính
tồn vẹn kết nối bằng cách sử dụng hàm băm và khóa chia sẻ bí mật trong
thuật toán AH. AH cũng đảm bảo nguồn gốc dữ liệu bằng cách xác thực các gói
IP . Tùy chọn số thứ tự có thể bảo vệ nội dung của gói IPsec chống lại các cuộc
phát cơng phát lại, bằng cách sử dụng cửa sổ trượt kỹ thuật và loại bỏ các gói tin
cũ.
Trong IPv4, AH ngăn chặn các cuộc tấn công chèn tùy chọn. Trong
IPv6, AH bảo vệ cả chống lại các cuộc tấn công chèn tiêu đề và các
cuộc tấn công chèn tùy chọn.
Trong IPv4, AH bảo vệ tải trọng IP và tất cả các trường tiêu đề của sơ
đồ IP ngoại trừ các trường có thể thay đổi (tức là những trường có thể
được thay đổi khi chuyển tiếp) và cả các tùy chọn IP như Tùy chọn bảo
mật IP (RFC 1108). Các trường tiêu đề IPv4 có thể thay đổi (và do đó
khơng được xác thực) là DSCP / ToS, ECN, Flags, Fragment Offset,
TTL và Header Checksum.
Trong IPv6, AH bảo vệ hầu hết các tiêu đề cơ sở IPv6, chính AH, các
tiêu đề mở rộng khơng thể thay đổi sau AH và tải trọng IP. Bảo vệ cho
13

TIEU LUAN MOI download : skknchat123@gmail.com


tiêu đề IPv6 loại trừ các trường có thể thay đổi: DSCP , ECN , Nhãn
dòng và Giới hạn Hop.
AH hoạt động trực tiếp trên IP, sử dụng giao thức IP số 51.
Sơ đồ gói AH sau đây cho thấy cách một gói AH được xây dựng và diễn
giải:


Tiêu đề tiếp theo (8 bit)
Loại tiêu đề tiếp theo, cho biết giao thức lớp trên nào đã được bảo
vệ. Giá trị được lấy từ danh sách số giao thức IP .
Payload Len (8 bit)
Độ dài của Tiêu đề xác thực này tính bằng đơn vị 4 octet, trừ đi 2. Ví dụ:
giá trị AH của 4 bằng 3 × (trường AH có độ dài cố định 32 bit) + 3 ×
(trường ICV 32 bit) - 2 và do đó giá trị AH bằng 4 có nghĩa là 24 octet.
Mặc dù kích thước được đo bằng đơn vị 4 octet, nhưng độ dài của tiêu
đề này cần phải là bội số của 8 octet nếu được mang trong gói IPv6.
Hạn chế này không áp dụng cho Tiêu đề xác thực được chứa trong gói
IPv4.
Để dành (16 bit)
Được bảo lưu để sử dụng trong tương lai (tất cả các số 0 cho đến lúc
đó).
Chỉ số tham số bảo mật (32 bit)
Giá trị tùy ý được sử dụng (cùng với địa chỉ IP đích) để xác định liên kết
bảo mật của bên nhận.
Số thứ tự (32 bit)
Một số thứ tự đơn điệu tăng nghiêm ngặt (tăng 1 cho mỗi gói được gửi)
để ngăn chặn các cuộc tấn cơng phát lại. Khi tính năng phát hiện phát
lại được bật, số thứ tự sẽ không bao giờ được sử dụng lại, vì liên kết
bảo mật mới phải được thương lượng lại trước khi cố gắng tăng số thứ
tự vượt quá giá trị lớn nhất của nó.
Giá trị kiểm tra tính tồn vẹn (bội số của 32 bit)
Giá trị kiểm tra độ dài thay đổi. Nó có thể chứa phần đệm để căn chỉnh
trường thành ranh giới 8 octet cho IPv6 hoặc ranh giới 4 octet cho IPv4.

2.


Đóng gói tải trọng bảo mật (ESP).
14

TIEU LUAN MOI download : skknchat123@gmail.com


ESP được phát triển tại Phịng thí nghiệm Nghiên cứu Hải quân bắt đầu từ
năm 1992 như một phần của dự án nghiên cứu do DARPA phản hồi và được
xuất bản cơng khai bởi Nhóm cơng tác IETF SIPP được soạn thảo vào tháng
12 năm 1993 như một bảo mật phần mở rộng cho SIPP. Đây ESP đã được bắt
nguồn từ Bộ Quốc phịng Mỹ SP3D giao thức, chứ khơng phải được bắt
nguồn từ ISO Network-Layer Security Protocol (NLSP). Đặc tả giao thức
SP3D đã được xuất bản bởi NIST vào cuối những năm 1980, nhưng được thiết
kế bởi dự án Hệ thống Mạng Dữ liệu Bảo mật của Bộ Quốc phịng Hoa Kỳ.
Đóng gói Bảo mật Payload (ESP) là một thành viên của bộ giao thức IPsec.
Nó cung cấp nguồn gốc xác thực thơng qua nguồn xác thực , tính tồn vẹn dữ
liệu thơng qua hàm băm và bảo mật thơng qua mã hóa bảo vệ cho gói IP. ESP
cũng hỗ trợ các cấu hình mã hóa - chỉ và xác thực - nhưng khơng khuyến khích
sử dụng mã hóa mà khơng xác thực vì nó khơng an tồn.
Khơng giống như AH, ESP trong chế độ truyền tải không cung cấp tính
tồn vẹn và xác thực cho tồn bộ gói IP . Tuy nhiên, trong chế độ đường hầm ,
trong đó tồn bộ gói IP ban đầu được đóng gói với một tiêu đề gói mới được
thêm vào, bảo vệ ESP được cấp cho tồn bộ gói IP bên trong (bao gồm cả
tiêu đề bên trong) trong khi tiêu đề bên ngoài (bao gồm bất kỳ tùy chọn IPv4
bên ngoài hoặc phần mở rộng IPv6 tiêu đề) vẫn không được bảo vệ. ESP hoạt
động trực tiếp trên IP, sử dụng giao thức IP số 50.
Sơ đồ gói ESP sau đây cho thấy cách một gói ESP được xây dựng và
diễn
giải:


Chỉ số tham số bảo mật (32 bit)
Giá trị tùy ý được sử dụng (cùng với địa chỉ IP đích) để xác định liên kết
bảo mật của bên nhận.
Số thứ tự (32 bit)
Một số thứ tự tăng đơn điệu (tăng 1 cho mỗi gói được gửi) để bảo vệ
khỏi các cuộc phát cơng phát lại . Có một bộ đếm riêng biệt được giữ
cho mọi hiệp hội bảo mật.
Dữ liệu tải trọng (biến)
15

TIEU LUAN MOI download : skknchat123@gmail.com


Nội dung được bảo vệ của gói IP gốc, bao gồm bất kỳ dữ liệu nào được
sử dụng để bảo vệ nội dung (ví dụ: Vectơ khởi tạo cho thuật toán mật
mã). Loại nội dung đã được bảo vệ được chỉ ra bởi trường Tiêu đề Tiếp
theo.
Padding (0-255 octet)
Đệm để mã hóa, để mở rộng dữ liệu trọng tải đến kích thước phù hợp
với kích thước khối mật mã của mã hóa và để căn chỉnh trường tiếp
theo.
Chiều dài tấm đệm (8 bit)
Kích thước của phần đệm (tính bằng octet).
Tiêu đề tiếp theo (8 bit)
Loại tiêu đề tiếp theo. Giá trị được lấy từ danh sách số giao thức IP .
Giá trị kiểm tra tính tồn vẹn (bội số của 32 bit)
Giá trị kiểm tra độ dài thay đổi. Nó có thể chứa phần đệm để căn chỉnh
trường thành ranh giới 8 octet cho IPv6 hoặc ranh giới 4 octet cho IPv4.

3. Trao đổi khóa Internet (IKE).

IKE hay trao đổi khóa Internet là một giao thức bảo mật mạng được thiết kế để
trao đổi các khóa mã hóa thơng qua cầu nối bảo mật (Security Association - SA) giữa 2
thiết bị. Cầu nối bảo mật thiết lập các thuộc tính bảo mật được chia sẻ giữa 2 thực
thể mạng để hỗ trợ giao tiếp an tồn.
Giao thức quản lý khóa (ISAKMP) và cầu nối bảo mật Internet cung cấp một
khuôn khổ để xác thực và trao đổi khóa. ISAKMP cho biết cách thiết lập cầu nối bảo
mật (SA) và cách kết nối trực tiếp giữa hai máy chủ đang sử dụng IPsec.
IKE cung cấp khả năng bảo vệ nội dung gói tin và cũng là một khung mở để
triển khai các thuật toán tiêu chuẩn như SHA và MD5. Thuật toán IPSec tạo ra mã
định danh duy nhất cho mỗi gói tin, cho phép thiết bị xác định xem gói tin đó có đúng
hay khơng. Các gói khơng được phép sẽ bị loại bỏ và không được trao cho người
nhận.

IV. Phương thức hoạt động của giao thức IPSec.
Các giao thức IPsec AH và ESP có thể được triển khai trong chế độ truyền tải
từ máy chủ đến máy chủ, cũng như trong chế độ đường hầm mạng.
1.
Transport Mode (chế độ vận chuyển).
Transport mode cung cấp cơ chế bảo vệ cho dữ liệu của các lớp cao hơn
(TCP, UDP hoặc ICMP). Trong Transport mode, phần IPSec header được chèn
vào giữa phần IP header và phần header của giao thức tầng trên, như hình mơ tả
bên dưới, AH và ESP sẽ được đặt sau IP header ngun thủy. Vì vậy chỉ có tải
(IP payload) là được mã hóa và IP header ban đầu là được giữ nguyên vẹn.
Transport mode có thể được dùng khi cả hai host hỗ trợ IPSec. Chế độ transport
này có thuận lợi là chỉ thêm vào vài bytes cho mỗi packets
16

TIEU LUAN MOI download : skknchat123@gmail.com



và nó cũng cho phép các thiết bị trên mạng thấy được địa chỉ đích cuối cùng
của gói. Khả năng này cho phép các tác vụ xử lý đặc biệt trên các mạng trung
gian dựa trên các thông tin trong IP header. Tuy nhiên các thông tin Layer 4 sẽ
bị mã hóa, làm giới hạn khả năng kiểm tra của gói.

2.

Tunnel mode (chế độ đường hầm).

Khơng giống Transport mode, Tunnel mode bảo vệ tồn bộ gói dữ liệu.
Tồn bộ gói dữ liệu IP được đóng gói trong một gói dữ liệu IP khác và một
IPSec header được chèn vào giữa phần đầu nguyên bản và phần đầu mới
của IP.Toàn bộ gói IP ban đầu sẽ bị đóng gói bởi AH hoặc ESP và một IP
header mới sẽ được bao bọc xung quanh gói dữ liệu. Tồn bộ các gói IP sẽ
được mã hóa và trở thành dữ liệu mới của gói IP mới. Chế độ này cho phép
những thiết bị mạng, chẳng hạn như router, hoạt động như một IPSec proxy
thực hiện chức năng mã hóa thay cho host. Router nguồn sẽ mã hóa các
packets và chuyển chúng dọc theo tunnel. Router đích sẽ giải mã gói IP ban
đầu và chuyển nó về hệ thống cuối. Vì vậy header mới sẽ có địa chỉ nguồn
chính là gateway.
Với tunnel hoạt động giữa hai security gateway, địa chỉ nguồn và đích
có thể được mã hóa. Tunnel mode được dùng khi một trong hai đầu của kết
nối IPSec là security gateway và địa chỉ đích thật sự phía sau các gateway
khơng có hỗ trợ IPSec.

17

TIEU LUAN MOI download : skknchat123@gmail.com



V. Kết luận.
1. An ninh mạng máy tính.
Xét đến sự gia tăng nhanh chóng của việc triển khai cơng nghệ, an toàn, an
ninh mạng đã trở thành một nhu cầu thiết yếu toàn cầu trong nỗ lực điều chỉnh các
biện pháp bảo vệ, dù là trực tiếp hay gián tiếp, để ngăn chặn các hệ thống khỏi các
cuộc tấn công mạng.
An toàn, an ninh mạng bao gồm việc áp dụng và duy trì các quy trình liên
quan đến việc phát hiện sớm các mối đe dọa mạng và giảm thiểu rủi ro, đây là điều
kiện tiên quyết để áp dụng một hệ sinh thái máy tính bền vững có trách nhiệm bảo
vệ hoạt động của các xã hội hiện đại dựa trên công nghệ.
Các cuộc tấn công an ninh mạng gây ảnh hưởng đến kinh doanh: tài chính
(đánh cắp thơng tin, trộm cắp tiền của, gián đoạn giao dịch, mất hợp đồng,..), danh
tiếng ( mất khách hàng, doanh số, giảm lợi nhuận,..), pháp lý. Ngồi ra cịn ảnh
hưởng đến các ngành cơng nghiệp khác nhau.
Vì vậy chúng ta cần phải biết lỗ hỏng, điểm yếu của mạng, các hình thức tấn công
phổ biến hiện nay và các biện pháp để tránh bị tấn công mạng.

2. Giao thức IPSec.
Về cơ bản, nó mã hóa và xác thực các gói dữ liệu trên internet. Khơng nghi ngờ gì
nữa, IPSec mang lại những lợi thế đáng kể cho môi trường mạng. Tuy nhiên, tương tự như
các cơng nghệ mạng khác, IPSec có những ưu và nhược điểm riêng. Do đó, trước khi triển
khai IPSec, cần phải xem xét ưu nhược điểm của chúng.

-

Ưu điểm của IPSec.

Chuẩn giao thức rãnh.
Hoạt động độc lập cho các ứng dụng mức cao hơn.
Giấu địa chỉ mạng, không sử dụng dịch địa chỉ mạng NAT.

Đáp ứng sự phát triển các kỹ thuật mã hóa.

-

Nhược điểm của IPSec.

Khơng quản lý NSD.
Không khả năng tương tác giữa nhà cung cấp.
18

TIEU LUAN MOI download : skknchat123@gmail.com


Không hỗ trợ giao diện.

19

TIEU LUAN MOI download : skknchat123@gmail.com


PIN
Dos
Ddos
TCP
SYN
UDP
DNS
ICMP
IP
ACL

Mitm
SSL
TLS
IPS
IDS
IPSec
IETF
AH
IPv
DSCP
ECN
TTL
ESP
DARPA
NLSP
IKE
ISAKMP
SHA
MD5
NAT
NSD

20


TIEU LUAN MOI download : skknchat123@gmail.com


TÀI LIỆU THAM KHẢO
1.


Tài liệu mạng máy tính của Phạm Thế Quế.
2.
https://www.ods.vn/tai-lieu/cac-hinh-thuc-tan-cong-mang-pho-bienhien-nay-va-cach-phong-tranh.html
3.
https://en.wikipedia.org/wiki/IPsec#Modes_of_operation
4.
https://quantrimang.com/ipsec-la-gi-174155
5.
http://www.netone.vn/Trangchu/Hotrokythuat/Kienthuccanban/tabid/
366/
arid/1645/Default.aspx

21


TIEU LUAN MOI download : skknchat123@gmail.com



×