HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG





NGUYỄN MẠNH ĐOÀN

NGUYỄN MẠNH ĐOÀN


NGHIÊN CỨU HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN
XÂM NHẬP IDS/IPS CHO MẠNG DOANH NGHIỆP




LUẬN VĂN THẠC SĨ KỸ THUẬT

KỸ THUẬT VIỄN THÔNG



2012 – 2013

HÀ NỘI
2014


HÀ NỘI – 2014




HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG






NGHIÊN CỨU HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP IDS/IPS
CHO MẠNG DOANH NGHIỆP


Chuyên ngành: KỸ THUẬT VIỄN THÔNG
Mã số: 60.52.02.08



LUẬN VĂN THẠC SĨ KỸ THUẬT


NGƯỜI HƯỚNG DẪN KHOA HỌC :

PGS.TS NGUYỄN TIẾN BAN





HÀ NỘI-2014
i



LỜI CAM ĐOAN
Tôi cam đoan đây là công trình nghiên cứu của riêng tôi.
Các số liệu, kết quả nêu trong luận văn là trung thực và chưa từng được ai công bố
trong bất kỳ công trình nào khác.
Tác giả




NGUYỄN MẠNH ĐOÀN
ii





MỤC LỤC
DANH MỤC CHỮ VIẾT TẮT iv
DANH MỤC HÌNH vi
CHƯƠNG 1: TỔNG QUAN VỀ PHÒNG CHỐNG XÂM NHẬP MẠNG 3
1.1 Những mối đe dọa đối với bảo mật : 3
1.1.1 Phân loại theo cấu trúc: 3
1.1.2 Phân loại theo vị trí tấn công: 3
1.2 Các phương thức xâm nhập và phòng chống: 4
1.2.1 Tấn công từ chối dịch vụ(Denial of Service-DoS): 4
1.2.2 Sniffers: 6
1.2.3 Port scan: 8
1.2.4 ARP Spoofing 9
1.3 Nhu cầu sử dụng IDS/IPS 9
1.3.1 Tổng quan các phương pháp bảo mật trong an ninh mạng: 9
1.3.2 Hệ thống phát hiện và ngăn chặn xâm nhập trái phép IDS/IPS: 22
CHƯƠNG 2: HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP TRÁI
PHÉP IDS/IPS 25
2.1 Khái niệm về phát hiện xâm nhập và ngăn chặn xâm nhập: 25
2.2 IDS (Intrusion Detection System- hệ thống phát hiện xâm nhập) 26
2. 2.1 Chức năng: 27
2. 2.2 Phân loại: 27
2.2.3 Kiến trúc và nguyên lý hoạt động: 34
2. 3 IPS 41
2. 3.1 Kiến trúc chung của các hệ thống IPS: 41
2. 3.2 Các kiểu hệ thống IPS 43
2. 4 Cách phát hiện và ngăn chặn các kiểu tấn công thông dụng của hệ thống IDS/IPS.43
2.5 Kết luận 50
CHƯƠNG 3: XÂY DỰNG MÔ HÌNH HỆ THỐNG IDS/IPS CHO MẠNG DOANH
NGHIỆP 51

3.1Giới thiệu các giải pháp ngăn chặn và phòng chống xâm nhập : 51
3.1.1 Giải pháp phần mềm: 51
3.1.2 Giải pháp phần cứng: 52
3.2 Xây dựng mô hình IDS/IPS cho mạng doanh nghiệp: 56
iii



3.3 Kết luận 63
KẾT LUẬN 64
TÀI LIỆU THAM KHẢO 65
PHỤ LỤC 66

iv




DANH MỤC CHỮ VIẾT TẮT

Viết tắt Tiếng Anh Tiếng Việt
ACK Acknowledgement Xác nhận
ATM Asynchronous Transfer Mode Phương thức truyền dẫn không
đồng bộ
ARP Address Resolution Protocol Giao thức phân giải địa chỉ
DOS Denial of Service Từ chối dịch vụ
DDOS Distributed Denial of Service Từ chối dịch vụ phân tán
DMZ Dimilitary Zone Khu vực phi quân sự
DNS Domain Name Server Máy chủ phân giải tên miền
FTP File Transfer Protocol Giao thức truyền tập tin

MAC Media Access Control Điều khiển truy nhập môi trường
TCP Transmission Control Protocol Giao thức điều khiển truyền tải
ICMP Internet control message
protocol
Giao thức điều khiển truyền tin
trên mạng
IDS Intrusion Detection System Hệ thống phát hiện xâm nhập
IPS Intrusion Prevention System Hệ thống ngăn chặn xâm nhập
IP Internet Protocol Giao thức Internet
IP Sec Internet Protocol Security Bảo mật IP
PIN Personal Identification Number Số nhận dạng cá nhân
QOS Quality of Service Chất lượng dịch vụ
SYN Synchronize Đồng bộ hóa
v



VPN Virtual Private Network Mạng riêng ảo
vi




DANH MỤC HÌNH

Hình 1.1 Port Scan 8
Hình 1.2 Mô hình tường lửa đơn giản 10
Hình 1.3 Lọc gói tin 11
Hình 1.4 Cổng mạch 15
Hình 1.5 Mô hình VPN 17

Hình 1.6 Mô hình mạng VPN truy nhập từ xa 19
Hình 1.7 Mô hình mạng VPN cục bộ 20
Hình 1.8 Mô hình mạng VPN mở rộng 21
Hình2.1 NIDS 30
Hình 2.2 Kiến trúc IDS/IPS 34
Hình 2.3 Knowledge – based IDS 37
Hình 2.4 Stateful IDS phát hiện tấn công dựa trên sự kiện hiện tại và quá khứ 39
Hình 2.5 Anomaly-based IDS 40
Hình 3.1 Snort 52
Hình 3.2 Kiến trúc cảm biến của IPS Cisco 53
Hình 3.3 Lưu lượng thông qua các cảm biến 56


1



MỞ ĐẦU
Trong thời gian gần đây, Internet phát triển rất mạnh mẽ và phục vụ cho tất
cả các nhu cầu về công việc cũng như cuộc sống. Đi kèm theo sự phát triển mạnh
mẽ đó là các yếu tố: tốc độ, chất lượng, bảo mật, sự đa dạng các dịch vụ Trong đó
bảo mật là một trong những vần đề quan trọng nhất đối với cả nhà cung cấp dịch vụ
cũng như người sử dụng, không chỉ đối với các cá nhân mà còn đặc biệt quan trọng
trong các nghành mang tính đặc thù yêu cầu về bảo mật cao như quân sự, ngân
hàng, tài chính… Ngay từ khi Internet ra đời, vấn đề bảo mật đã được đặt ra và rất
được chú trọng. Trải qua cả một quá trình dài phát triển với rất nhiều thay đổi, các
biện pháp bảo mật cũng không ngừng phát triển và tiến b
ộ cả về số lượng và chất
lượng: Firewall, VPN, mã hóa, các phần mềm diệt virus,… Tùy theo các yêu cầu
bảo mật cũng như các mối nguy cơ bị tấn công mà có các biện pháp bảo mật tương

ứng. Tuy nhiên để có sự an toàn mạng cao nhất thì cần phải biết kết hợp các phương
pháp bảo mật một các hiệu quả. Luận văn đi sâu vào tìm hiểu và nghiên cứu về hệ
thống phát hiện và ngă
n chặn xâm nhập trái phép IDS/IPS, qua đó đưa ra các giải
pháp sử dụng IDS/IPS trong hệ thống mạng. Đây là một phương pháp bảo mật rất
quan trọng luôn được sử dụng trong một hệ thống mạng. IDS/IPS phát hiện và ngăn
chặn những xâm nhập trái phép cũng như các trường hợp dùng sai quyền, nó khắc
phục các vấn đề mà các phương pháp khác như Firewall hay VPN chưa làm được.
Luận văn được chia làm 3 phần:
Chương 1: T
ổng quan về phòng chống xâm nhập mạng.
Chương 2: Hệ thống phát hiện và ngăn chặn xâm nhập trái phép IDS/IPS.
Chương 3: Xây dựng mô hình hệ thống IDS/IPS sử dụng cho mạng doanh
nghiệp.
Tác giả xin chân thành cảm ơn các thầy cô đặc biệt là PGS TS. NGUYỄN
TIẾN BAN đã nhiệt tình hướng dẫn tác giả hoàn thành luận văn này.

2



Do thời gian nghiên cứu có hạn, đồng thời kiến thức còn hạn chế, luận văn
không tránh khỏi những thiếu sót, tác giả rất mong được các thầy cô hướng dẫn và
chỉ dạy thêm. Tác giả xin được tiếp thu và cố gắng hoàn thành tốt nhất luận văn.
Học viên
NGUYỄN MẠNH ĐOÀN

























3



CHƯƠNG 1: TỔNG QUAN VỀ PHÒNG CHỐNG XÂM NHẬP
MẠNG
1.1 Những mối đe dọa đối với bảo mật :
Trước khi tìm hiểu các phương thức xâm nhập hệ thống và phòng chống,
chúng ta cần phân biệt được các mối đe dọa đối với bảo mật cũng như mức độ
nghiêm trọng của chúng. Từ đó chúng ta có thể đưa ra các đánh giá chính xác và

cách phòng chống một cách hợp lý nhất. Những mối đe dọa được biết đến có thể
phân chia dựa theo cấu trúc hoặc vị trí tấn công :
1.1.1 Phân loại theo cấu trúc:
1.1.1.1 Những mối đe dọa không có cấu trúc:
Những mối đe dọa không có cấu trúc được gây ra bởi những kẻ tấn công ít
có khả năng lập trình và hầu hết chỉ sử dụng những công cụ hack và script được
cung cấp trên Internet. Những cuộc tấn công này có tính chuyên môn không cao và
thường là do tính tò mò cũng như những sở thích cá nhân, tuy nhiên chúng vẫn gây
ra những nguy hại cho nạn nhân: chúng có thể phá hủy các chức năng mạng của hệ
thống, gây gián đoạn thông tin, …
1.1.1.2 Những mối đe dọa có cấu trúc:
Những mối đe dọa có cấu trúc được biết đến là những hành động cố ý, có
động cơ và kỹ thuật cao. Những kẻ tấn công có trình độ và kỹ năng để lập trình tạo
ra các cộng cụ mới, sử dụng các kỹ thuật hack phức tạp và hiện đại hoặc chỉnh sửa
và sử d
ụng các công cụ theo mong muốn của chúng.
Những cuộc tấn công kiểu có cấu trúc thường có động cơ chính trị, tiền bạc hoặc
báo thù… và có mục đích từ trước. Những cuộc tấn công kiểu này thường gây tổn
thất nặng nề và các hậu quả nghiêm trọng cho hệ thống mục tiêu.
1.1.2 Phân loại theo vị trí tấn công:
1.1.2.1 Những mối đe dọa từ bên ngoài:
Đây là những mối đe dọa phổ biến, các cuộc tấn công được gây ra bởi những
kẻ không có quyền nào trong hệ thống mục tiêu thông qua Internet. Những mối đe
dọa loại này thường được các doanh nghiệp đặc biệt chú ý và đề phòng.
4



Để hạn chế tổn thất cho hệ thống từ những mối đe dọa bên ngoài chúng ta sử dụng
các hệ thống bảo vệ vành đai( Hệ thống bảo vệ vành đai thường được biết đến là

Firewall).
1.1.2.2 Những mối đe dọa từ bên trong:
Khi những kẻ tấn công có một hoặc một vài quyền trong hệ thống và thực
hiện cuộc tấn công từ m
ột khu vực tin cậy trong mạng thì ta gọi đó là những cuộc
tấn công từ bên trong. Kẻ tấn công có thể chính là thành viên của hệ thống hoặc
được sự giúp đỡ từ thành viên trong hệ thống. Khi một kẻ xâm nhập vượt qua vành
đai bảo vệ của hệ thống thì mọi chuyện còn lại thường rất đơn giản vì các phần tin
cậy bên trong mạng thường có xu hướng bớt nghiêm ngặt hơn. Các cuộc tấn công
dạng này thường khó phòng chống hơn và gây ra những tổn thất rất nghiêm trọng.

1.2 Các phương thức xâm nhập và phòng chống:
1.2.1 Tấn công từ chối dịch vụ(Denial of Service-DoS):
DoS là cuộc tấn công từ một người hoặc một nhóm người nào đó nhằm làm
tê liệt hệ thống bị tấn công, làm cho người dùng không thể truy xuất dữ liệu hay
thực hiện bất kỳ một công việc nào. DoS không cho phép ủy quyền truy cập đến
máy hoặc dữ liệu, ngăn chặn người dùng hợp pháp truy cập hệ thống của dịch vụ.
Hacker cố gắng làm ngập hệ thống, ngăn chặn trao đổi thông tin giữa các kết nối,
phá vỡ hệ thống của một người hoặc một hệ thống chỉ định. DoS làm khan
hiếm,giới hạn và không thể phục hồi tài nguyên, gây ảnh hưởng đến băng thông, bộ
nhớ, CPU và cấu trúc dữ liệu, ngoài ra chúng còn thay thế các thông tin cấu hình và
các thành phần mạng ở mức vật lý.
Tấn công từ chối dịch vụ thường được chia làm hai loại chính: DoS và
DDoS(Distributed Denial of Service).
1.2.1.1 DoS
DoS lại được chia ra làm các dạng tấn công sau :
a. Smurf:
5




Smurf Attack, cần có ba thành phần: hacker (người ra lệnh tấn công), mạng
khuếch đại (sẽ nghe lệnh của hacker) và hệ thống của nạn nhân. Hacker sẽ gởi các
gói tin ICMP đến địa chỉ broadcast của mạng khuếch đại. Điều đặc biệt là các gói
tin ICMP packets này có địa chỉ ip nguồn chính là địa chỉ ip của nạn nhân . Khi các
packets đó đến được địa chỉ broadcast của mạng khuếch đại, các máy tính trong
mạng khuếch đại sẽ
tưởng rằng máy tính nạn nhân đã gởi gói tin ICMP packets đến
và chúng sẽ đồng loạt gởi trả lại hệ thống nạn nhân các gói tin phản hồi ICMP
packets. Hệ thống máy nạn nhân sẽ không chịu nổi một khối lượng khỗng lồ các gói
tin này và nhanh chóng bị ngừng hoạt động, crash hoặc reboot.
b. Buffer Overflow Attack:
Hacker ghi đè dữ liệu vào các chương trình nhằm làm lượng thông tin vào bộ
đệm lớn hơn không gian cho phép của bộ nhớ, gây ra hiệ
n tượng tràn bộ đệm.
c. Ping of Death:
Hacker gửi những gói dữ liệu lớn hơn 65536 bytes mà giao thức IP cho phép.
Gói dữ liệu IP được phân mảng thành những đoạn nhỏ hơn tại layer 2. Tuy nhiên hệ
điều hành không thể nhận biết được độ lớn của gói tin này và sẽ bị gián đoạn giao
tiếp hay bị khởi động lại.
d. Teardrop:
Tất cả các dữ liệu chuyển đi trên mạng từ hệ thống nguồn đến hệ thống đích
đều phải trải qua 2 quá trình: dữ liệu sẽ được chia ra thành các mảnh nhỏ ở hệ thống
nguồn, mỗi mảnh đều phải có một giá trị offset nhất định để xác định vị trí của
mảnh đó trong gói dữ liệu được chuyển đi. Khi các mảnh này đến hệ thống đích, hệ
thống đích s
ẽ dựa vào giá trị offset để sắp xếp các mảnh lại với nhau theo thứ tự
đúng như ban đầu. Lợi dụng sơ hở đó, hacker gửi đến hệ thống đích một loạt gói
packets với giá trị offset chồng chéo lên nhau. Hệ thống đích sẽ không thể nào sắp
xếp lại các packets này, nó không điều khiển được và có thể bị crash, reboot hoặc

ngừng hoạt động nếu số lượng gói packets với giá trị offset chồng chéo lên nhau
quá lớn.
6




e. SYN
Hacker lợi dụng quy trình giao tiếp của TCP theo Three-way: Hacker gửi
hàng loạt các yêu cầu TCP SYN tới các máy chủ bị tấn công với địa chỉ IP giả. Khi
có rất nhiều gói SYN ảo tới máy chủ và chiếm hết các yêu cầu xử lý của máy chủ,
lúc đó máy chủ không còn khả năng đáp lại các Request TCP SYN của người dùng
khác được nữa- kết nối sẽ không được thực hiện.
1.2.1.2 DDoS:
DDoS được tiế
n hành từ một hệ thống các máy tính cực lớn trên Internet, và
thường dựa vào các dịch vụ có sẵn trên các máy tính trong mạng BOT NET. Đây là
dạng tấn công cực kỳ nguy hiểm và rất khó phát hiện bởi nó được sinh ra từ nhiều
địa chỉ trên Internet. Khi cuộc tấn công DdoS xảy ra, rất khó có thể ngưng lại vì
Firewall có thể ngăn chặn các gói dữ liệu đến nhưng nó sẽ dễ dàng tràn ngập tại kết
nối Internet.
Một số
phương pháp phòng chống tấn công DDoS :
- Phòng ngừa các điểm yếu của ứng dụng: Hacker có thể lợi dụng các điểm
yếu trong tầng ứng dụng để gây ra lỗi tràn bộ đệm dẫn đến dịch vụ bị chấm
dứt. Các lỗi chủ yếu thường được tìm thấy trên các ứng dụng mạng nội bộ
của Windows, các chương trình Web, DNS,… Chính vì vậy cập nhật bản vá
là một trong những yêu cầu quan trọng cho việc phòng ngừa.
- Kiểm soát số lượng yêu cầu SYN-ACK tới hệ thống mạng.
- Giới hạn số lượng kết nối từ một nguồn cụ thể tới server.

- Phát hiện và ngăn chặn tấn công tới hạn tố độ thiết lập kết nối: Có thể áp
dụng bộ lọc để giới hạn s
ố lượng kết nối trung bình. Bộ lọc sẽ xác định
ngưỡng tốc độ kết nối cho từng đối tượng mạng.
1.2.2 Sniffers:
Sniffers là một chương trình hay thiết bị có khả năng đón bắt lại các thông
tin quan trọng từ giao thông mạng đến một địa chỉ riêng với mục đích tích cực hoặc
tiêu cực:
7



- Tích cực: Sniffers có thể là một công cụ giúp nhà quản trị mạng theo dõi và
bảo trị hệ thống mạng của mình.
- Tiêu cực: Sniffers có thể là một chương trình được cài vào hệ thống mạng
máy tính với mục địch chặn các dữ liệu, các thông tin trên đoạn mạng này để
ăn cắp các thông tin quan trọng như: mật khẩu, thông tin thẻ tín dụng, văn
bản của mail, các tập tin FTP hoặc SMB…
Một số
tính năng của Sniffers là :
- Tự động chụp username và clear text password.
- Chuyển đổi dữ liệu trên đường truyền để người quản trị mạng có thể đọc và
hiểu được những dữ liệu đó, giúp nhà quản trị mạng phân tích được hệ thống
mạng.
- Ghi lại các thông tin về gói dữ liệu, các phiên truyền.
Các giao thức có thể bị hacker tấn công sử dụng sniffers: Telnet và Rlogin(
ghi lại các thông tin về
username và password), HTTP, STMP, POP, FPT…
Chúng ta có thể ngăn ngừa xâm phạm trái phép sử dụng sniffers bằng các
cách sau :

- Authentication: Kỹ thuật xác thực được thưc hiện bao gồm hai yếu tố:
personal identification number(PIN) và token card để xác thực một thiêt bị
hoặc một phần mềm ứng dụng. Token card là thiết bị phần cứng hoặc phần
mềm sản sinh ra thông tin(password) một cách ngẫu nhiên tại một thời điểm.
Khách hàng sẽ kết nối password đó với một PIN để tạo ra một password duy
nhất. Dù hacker có học được thông tin về password thông qua sniffers thì
chúng cũng không có giá trị vì đã quá hạn.
- Dùng switch thay vì dùng bridge, hup nhằm hạn chế các gói được broadcast
trong mạng và làm giảm ảnh hưởng của sniffers mặc dù không thể ngăn chặn
hoàn toànsniffers.
- Mã hóa: mã hóa tất cả các thông tin trên mạng, khi hacker dùng sniffers thì
chỉ có thể bắt được các gói dữ liệu đã mã hóa.
8




1.2.3 Port scan:
Scan port la phương pháp thường được thực hiện trực tiếp trên một host hoặc
một mạng nhằm mục đích nhận biết các dịch vụ mà host đó cung cấp. Hacker có thể
dựa trên thông tin thu nhận được để tìm cách tấn công, khai thác vào server đó.
Port scan dựa trên phương thức truyền thông TCP để có thể xem server mở port nào
cũng như đóng port nào.Có 2 phương pháp scan port: SYN Scan và ACK Scan.
Hacker sử dụng phương pháp SYN Scan sẽ gửi hàng loạt các gói tin TCP có port
đích lần lượt là các port c
ần scan của server cần khai thác. Gói tin SYN này chỉ bật
cờ như bước đầu trong quá trình bắt tay 3 bước của giao thức TCP. Khi server nhận
được các gói tin này sẽ trả về gói SYN ACK trong trường hợp port đó mở, hacker
sẽ biết được dịch vụ nào đang được bật ở server đó.








Hình 1.1 Port Scan
Phương pháp ACK Scan thường được dùng kết hợp với SYN Scan với mục
đích phát hiện có sự có mặt của Firewall trong hệ thống. Hacker sẽ gửi các gói TCP
có bật cờ ACK lên. Khi server nhận được gói ACK sẽ trả lời về gói RST, khi đó
hacker sẽ nhận biết được không có sự giám sát về session trong hệ thống. Ngược lại
nếu hệ thống có sử dụng Firewall lớp Transport hay Multiplayer Firewall thì những
gói tin ACK gửi vào sẽ bị drop.
Để hạn ch
ế và khắc phục loại tấn công này, có thể sử dụng Firewall hoặc
IDS/IPS nhằm phát hiện, cảnh báo, và ngăn chặn thăm dò và sau đó là xâm nhập
mạng.

Server
Hackker
SYN+Port
ACK
SYN/ACK
RST
9




1.2.4 ARP Spoofing

Mỗi thiết bị trong hệ thống mạng của chúng ta có ít nhất hai địa chỉ.Một địa
chỉ là Media Access Control (MAC) và một địa chỉ Internet Protocol (IP).Địa chỉ
MAC là địa chỉ của card mạng gắn vào bên trong thiết bị, nó là duy nhất. Địa chỉ IP
có thể thay đổi theo người sử dụng tùy vào môi trường mạng. ARP là một giao thức
của lớp 2, chức năng của nó dùng để định vị một host trong một segment mạng
bằng cách phân giải địa chỉ IP ra địa chỉ MAC.ARP thực hiện điều đó thông qua
một tiến trình broadcast gói tin đến tất cả các host trong mạng, gói tin đó chứa địa
chỉ IP của host cần giao tiếp. Các host trong mạng đều nhận được gói tin đó và chỉ
duy nhất host nào có địa chỉ IP trùng với địa chỉ IP trong gói tin mới trả lời lại, còn
lại sẽ tự động drop gói tin.Kỹ thuật ARP Spoffing lợi dụng điểm yếu của giao thức
này đó là không có sự xác thực khi gửi các gói tin ARP, tức là không biết được ai
gửi các gói tin đó. Người tấn công sẽ giả các gói tin ARP reply với địa chỉ IP là của
một máy trong mạng nhưng địa chỉ MAC lại là giả hoặc là MAC của máy tấn công.
Như vậy máy nạn nhân khi nhận được các gói tin giả này sẽ tưởng nhầm đối tác của
mình có địa chỉ MAC do người tấn công gửi
đến dẫn đến sai lệch trong việc
gửi/nhận thông tin.

1.3 Nhu cầu sử dụng IDS/IPS
1.3.1 Tổng quan các phương pháp bảo mật trong an ninh mạng:
1.3.1.1 Firewall:
Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy
nhập trái phép nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập
không mong muốn vào hệ thống.Firewall có thể là hệ thống phần cứng, phần mềm
hoặc kết hợp cả hai.
Tường lửa cho phép quản trị mạng điều khiển truy nhập, thực hiệ
n chính
sách đồng ý hoặc từ chối dịch vụ và lưu lượng đi vào hoặc đi ra khỏi mạng. Tường
lửa có thể được sử dụng để xác thực người sử dụng nhằm đảm bảo chắc chắn rằng
10




họ đúng là người như họ đã khai báo trước khi cấp quyền truy nhập tài nguyên
mạng. Tường lửa còn được sử dụng để phân chia mạng thành những phân đoạn
mạng và thiết lập nhiều tầng an ninh khác nhau trên các phân đoạn mạng khác nhau
để có thể đảm bảo rằng những tài nguyên quan trọng hơn sẽ được bảo vệ tốt hơn,
đồng thời tường lửa còn có thể hạn chế lưu lượng và điều khiển lưu lượng chỉ cho
phép chúng đến những nơi chúng được phép đến.
Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một
công ty, tổ chức, ngành hay một quốc gia và Internet. Vai trò chính là bảo mật
thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài và cấm truy nhập
từ bên trong tới một số địa chỉ nhất định trên Internet.








Hình 1.2 Mô hình tường lửa đơn giản
Một cách vắn tắt, firewall là hệ thống ngăn chặn việc truy nhập trái phép từ
bên ngoài vào mạng cũng như những kết nối không hợp lệ từ bên trong ra. Firewall
thực hiện việc lọc bỏ những địa chỉ không hợp lệ dựa theo các quy tắc hay chỉ tiêu
định trước.
Cấu trúc của Firewall bao gồm:Một hoặc nhiều hệ thống máy chủ kết nối với
các bộ định tuy
ến (router) hoặc có chức năng router; các phần mềm quản lí an ninh
chạy trên hệ thống máy chủ. Thông thường là các hệ quản trị xác thực

(Authentication), cấp quyền (Authorization) và kế toán (Accounting).
Firewall chuẩn gồm một hay nhiều các thành phần sau đây :

Mạng nội bộ
Internet
Tường
lửa
Bộ lọc out
Bộ lọc in
11



• Bộ lọc packet (packet- filtering router)
• Cổng ứng dụng (application-level gateway hay proxy server)
• Cổng mạch (circuite level gateway)
¾ Bộ lọc packet:
Firewall hoạt động chặt chẽ với giao thức TCP/IP, vì giao thức này làm việc
theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói
chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP,
NFS …) thành các gói dữ liệu (data packets) rồi gán cho các gói này những địa chỉ
có thể nhận dạng, tái lậ
p lại ở đích cần gửi đến, do đó các loại Firewall cũng liên
quan rất nhiều đến các packet và những con số địa chỉ của chúng.









Hình 1.3 Lọc gói tin
Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm
tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong
số các luật lệ của lọc packet hay không. Các luật lệ lọc packet này là dựa trên các
thông tin ở đầu mỗi packet (header), dùng để cho phép truyền các packet đó ở trên
mạng. Bao gồm:
• Địa chỉ IP nơi xuất phát (Source)

Gói tin đi
vào

Gói tin bị
loại

Gói tin
thỏa mãn
Tường
lửa
12



• Địa chỉ IP nơi nhận ( Destination)
• Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel …)
• Cổng TCP/UDP nơi xuất phát
• Cổng TCP/UDP nơi nhận
• Dạng thông báo ICMP
• Giao diện packet đến

• Giao diện packet đi
Nếu packet thỏa mãn các luật lệ đã được thiết lập trước của Firewall thì packet
đó được chuyển qua, nếu không thỏa mãn thì sẽ bị loại bỏ. Việc kiểm soát các cổng
làm cho Firewall có khả năng chỉ cho phép một số lo
ại kết nối nhất định được phép
mới vào được hệ thống mạng cục bộ.
 Ưu điểm
- Đa số các hệ thống Firewall đều sử dụng bộ lọc packet. Một trong
những ưu điểm của phương pháp dùng bộ lọc packet là đảm bảo thông
qua của lưu lượng mạng.
- Bộ lọc packet là trong suốt đối với ngườ
i sử dụng và các ứng dụng, vì
vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả.
 Nhược điểm
Việc định nghĩa các chế độ lọc packet là một việc khá phức tạp, nó đòi hỏi
người quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạng
packet header và các giá trị cụ thể mà họ có thể nhận trên mỗi trườ
ng. Khi đòi hỏi
vể sự lọc càng lớn, các luật lệ vể lọc càng trở nên dài và phức tạp, rất khó để quản
lý và điều khiển.
¾ Cổng ứng dụng
Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát
các loại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng. Cơ chế hoạt
13



động của nó dựa trên cách thức gọi là Proxy service (dịch vụ uỷ quyền). Proxy
service là các bộ code đặc biệt cài đặt trên gateway cho từng ứng dụng. Nếu người
quản trị mạng không cài đặt proxy code cho một ứng dụng nào đó, dịch vụ tương

ứng sẽ không được cung cấp và do đó không thể chuyển thông tin qua firewall.
Ngoài ra, proxy code (mã uỷ nhiệm) có thể được định cấu hình để hỗ trợ chỉ một số
đặc
điểm trong ứng dụng mà người quản trị mạng cho là chấp nhận được trong khi
từ chối những đặc điểm khác.
Một cổng ứng dụng thường được coi như là một pháo đài chủ (bastion host),
bởi vì nó được thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài. Những biện
pháp đảm bảo an ninh của một bastion host là :
- Bastion host luôn chạy các version (phiên bản) an toàn của các ph
ần mềm
hệ thống (Operating system). Các version an toàn này được thiết kế chuyên cho
mục đích chống lại sự tấn công vào Operating System, cũng như là đảm bảo sự tích
hợp firewall.
- Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt
trên bastion host, đơn giản chỉ vì nếu một dịch vụ được cài đặt, nó không thể bị tấn
công. Thông thường, chỉ một s
ố giới hạn các ứng dụng cho các dịch vụ Telnet,
DNS, FTP, SMTP và xác thực user là được cài đặt trên bastion host.
- Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như
user password hay smart card.
- Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một số các máy chủ
nhất định. Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ
đúng với một số máy chủ
trên toàn hệ thống.
- Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giao
thông qua nó, mỗi sự kết nối, khoảng thời gian kết nối. Nhật ký này rất có ích trong
việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại.
14




- Mỗi proxy đều độc lập với các proxies khác trên bastion host. Điều này cho
phép dễ dàng trong quá trình cài đặt một proxy mới, hay tháo gỡ một proxy đang có
vấn để.
 Ưu điểm:
- Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên
mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có
thể truy nhập được b
ởi các dịch vụ.
- Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào
cho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là
các dịch vụ ấy bị khoá.
- Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt và nó có nhật ký ghi
chép lại thông tin về truy nhập hệ thống.
- Luật l
ệ filtering (lọc) cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn
so với bộ lọc packet.
 Nhược điểm:
Yêu cầu các users thực hiện các thao tác chỉnh sửa phần mềm đã cài đặt trên
máy client cho truy nhập vào các dịch vụ proxy. Ví dụ, Telnet truy nhập qua cổng
ứng dụng đòi hỏi hai bước để nối với máy chủ chứ không phải là một bước. Tuy
nhiên, cũng đã có một số
phần mềm client cho phép ứng dụng trên cổng ứng dụng
là trong suốt, bằng cách cho phép user chỉ ra máy đích chứ không phải cổng ứng
dụng trên lệnh Telnet.
¾ Cổng mạch
Cổng mạch là một chức năng đặc biệt có thể thực hiện được bởi một cổng
ứng dụng. Cổng mạch đơn giản chỉ chuyển tiếp các kết nối TCP mà không thực
hiện bấ
t kỳ một hành động xử lý hay lọc packet nào.

Hình dưới minh hoạ một hành động sử dụng nối telnet qua cổng mạch. Cổng
mạch đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực hiện một sự
15



kiểm tra, lọc hay điều khiển các thủ tục Telnet . Cổng mạch làm việc như một sợi
dây, sao chép các byte giữa kết nối bên trong (inside connection) và các kết nối bên
ngoài (outside connection). Tuy nhiên, vì sự kết nối này xuất hiện từ hệ thống
firewall nên nó che dấu thông tin về mạng nội bộ.






Hình 1.4 Cổng mạch
Cổng mạch thường được sử dụng cho những kết nối ra ngoài, nơi mà các
quản trị mạng thật sự tin tưởng những người dùng bên trong. Ưu điểm lớn nhất là
một bastion host có thể được cấu hình như là một hỗn hợp cung cấp. Cổng ứng
dụng cho những kết nối đến và cổng mạch cho các kết nối đi. Điều này làm cho hệ
thống bức tường lửa dễ dàng sử dụng cho những người trong mạng nội bộ muốn
trực tiếp truy nhập tới các dịch vụ Internet, trong khi vẫn cung cấp chức năng bức
tường lửa để bảo vệ mạng nội bộ từ những sự tấn công bên ngoài.
Tuy nhiên Firewall cũng có những điểm yếu sau:
9 Firewall không quản lý các hoạt động của người dùng khi đã vào được hệ
thống,
và không thể chống lại sự đe dọa từ trong hệ thống.
9 Firewall cần phải đảm bảo một mức độ truy cập nào đó tới hệ thống, việc này có
thể cho phép việc thăm dò điểm yếu.

9 Chính sách của Firewall có thể chậm trễ so với sự thay đổi của môi trường, điều
này cũng có thể tạo nên cơ hội cho việ
c xâm nhập và tấn công.
9 Hacker có thể sử dụng phương thức tác động đến yếu tố con người để được truy
nhập một cách tin cậy và loại bỏ được cơ chế firewall.


Outside
host


Inside
host
out
in
out
in
16



9 Firewall không ngăn được việc sử dụng các modem không được xác thực hoặc
không an toàn gia nhập hoặc rời khỏi hệ thống.
9 Firewall không hoạt động ở tốc độ có lợi cho việc triển khai Intranet.

1.3.1.2 An toàn thông tin bằng mật mã:
Mật mã là một nghành khoa học chuyên nghiên cứu các phương pháp truyền
thông tin bí mật. Mật mã bao gồm: lập mã và phá mã. Lập mã bao gồm hai quá
trình: mã hóa và giải mã.
Để bảo vệ thông tin trên đường truyền, thông tin được biế

n đổi từ dạng nhận
thức được sang dạng không nhân thức được trước khi truyền trên mạng, quá trình
này được gọi là mã hóa thông tin(encryption). Ở đích đến thông tin được biến đổi
ngược lại quá trình mã hóa, gọi là quá trình giải mã.
Vấn đề bảo vệ thông tin bằng mật mã được tiếp cận theo hai hướng:
• Link Oriented Security: Thông tin được mã hóa để bảo vệ đường truyền giữa
hai nút mà không quan tâm đến nguồn và đích của thông tin đó. Thông tin s
ẽ
chỉ được bảo vệ trên đương truyền.
• End to End: Thông tin sẽ được mã hóa ngay tại nguồn và chỉ được giải mã
cho đến khi tới đích. Trong phương pháp này chỉ có dữ liệu của người dùng
được mã hóa còn thông tin điều khiển không được mã hóa.
Ưu điểm lớn nhất của bất kỳ hệ mã nào đó là có thể đánh giá độ phức táp
tính toán mà kẻ tấn công phải giả quyết bài toán đề
n có thể lấy thông tin của dữ kiệu
được mã hóa. Nhờ đó có thể áp dụng các thuật toán mã hóa khác nhau cho từng ứng
dụng cụ thể tùy theo yêu cầu về độ an toàn.
Dựa vào cách truyền khóa có thể phân các hệ mật mã thành hai loại:
-Hệ mật đối xứng(mật mã khóa bí mật): là những hệ mật dùng chung một khóa
trong cả 2 quá trình mã hóa dữ liệu và giả mã dữ liệu. Do đó khóa phải được giữ bí
mật tuyệt đố
i. Một số hệ mật tiêu biểu: DES, dịch vòng, thay thế…
-Hệ mật mã bất đối xứng(mật mã khóa công khai): Các hệ mật này dùng một khóa
để mã hóa sau đó dùng một khóa khác để giải mã. Các khóa này tạo nên từng cawpf