Tải bản đầy đủ (.doc) (124 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị mạng

An ninh mạng IP

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.34 MB, 124 trang )

LỜI NÓI ĐẦU
LỜI NÓI ĐẦU
Với chiến lược phát triển toàn diện mang tính chất đón đầu về công nghệ nhằm
tạo ra tiềm lực to lớn, đủ sức cạnh tranh về chất lượng và sự đa dạng hóa các dịch vụ
giá thành thấp, năng suất lao động cao, Tập đoàn Bưu chính Viễn thông Việt nam có
chiến lược và kế hoạch chuyển đổi mạng Viễn thông số sang mạng thế hệ sau (NGN).
Mạng NGN có hạ tầng thông tin duy nhất dựa trên công nghệ chuyển mạch gói, triển
khai dịch vụ một cách đa dạng và nhanh chóng, đáp ứng sự hội tụ giữa thoại và số
liệu, giữa cố định và di động, bắt nguồn từ sự tiến bộ của công nghệ thông tin và các
ưu điểm của công nghệ chuyển mạch gói nói chung và công nghệ IP nói riêng và công
nghệ truyền dẫn quang băng rộng. Cấu trúc của mạng thế hệ sau và các nguyên tắc
hoạt động của nó về cơ bản khác nhiều so với cấu trúc của mạng PSTN hiện nay. Do
vậy đội ngũ kỹ sư và cán bộ kỹ thuật Viễn thông cần phải được bồi dưỡng cập nhật
kiến thức về công nghệ mới này, có như vậy họ mới đủ khả năng và trình độ vận hành
khai thác quản lý và triển khai các dịch vụ Viễn thông một cách an toàn và hiệu quả.
Chương trình “Bồi dưỡng kỹ sư điện tử viễn thông về công nghệ IP và NGN”
của Tập đoàn được xây dựng với mục đích cung cấp kiến thức và kỹ năng cơ bản liên
quan tới công nghệ IP và NGN cho các cán bộ kỹ thuật đang trực tiếp quản lý và khai
thác hệ thống trang thiết bị tại cơ sở nhằm đáp ứng yêu cầu về chuyển đổi công nghệ
mạng lưới và dịch vụ viễn thông của Tập đoàn.
Cuốn tài liệu “An ninh mạng IP” bao gồm 6 chương, trình bày các vấn đề cơ bản
về an ninh mạng IP.
Chương 1 Tổng quan về an ninh mạng
Chương 2 Chiến lược đảm bảo an toàn mạng.
Chương 3 Chính sách, giải pháp và thiết bị bảo vệ mạng.
Chương 4 Bảo vệ dữ liệu bằng mật mã và chứng thực người sử dụng.
Chương 5 Giới thiệu về an ninh mạng không dây.
Chương 6 Case Study.
Trong quá trình biên soạn, mặc dù giáo viên đã rất cố gắng, tuy nhiên không thể
tránh khỏi những thiếu sót. Rất mong nhận được ý kiến đóng góp của các bạn đọc để
những lần xuất bản sau chất lượng của tài liệu được tốt hơn.


TRUNG TÂM ĐÀO TẠO BƯU CHÍNH VIỄN THÔNG 1
Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT
i
AN NINH MẠNG IP
MỤC LỤC
LỜI NÓI ĐẦU i
MỤC LỤC ii
DANH SÁCH HÌNH iv
DANH SÁCH BẢNG vi
CHƯƠNG 1 1
1.1 TOÀN CẢNH VỀ VẤN ĐỀ AN NINH MẠNG 2
1.2 CÁC NGUY CƠ, CÁC KIỂU TẤN CÔNG 3
1.2.1 Các nguy cơ tấn công 3
1.2.2 Các kiểu tấn công 4
CHƯƠNG 2 8
1.3 CÁC YÊU TỐ AN NINH MẠNG 9
1.3.1 Quyền và tính hiệu lực 9
1.3.2 Xác thực 9
1.3.3 Sự tin cậy 10
1.3.4 Tính toàn vẹn 10
1.3.5 Tính không thể chối bỏ 11
1.4 CHIẾN LƯỢC ĐẢM BẢO AN TOÀN MẠNG 11
1.4.1 Chiến lược phòng thủ 11
1.4.2 Phòng thủ theo chiều sâu 12
1.5 CÁC KỸ THUẬT PHÒNG THỦ 15
CHƯƠNG 3 22
1.6 CHÍNH SÁCH AN TOÀN THÔNG TIN (Information security policy) 23
1.6.1 Tài liệu chính sách an toàn thông tin (Information security policy document) 23
1.6.2 Nhận xét và đánh giá (Review and evaluation) 23
1.6.3 Một ví dụ về chính sách an toàn thông tin 24

1.7 GIẢI PHÁP BẢO VỆ MẠNG 27
1.7.1 Giới thiệu chung về VPN 27
1.7.2 FIREWALL 35
1.7.3 Hệ thống phát hiện xâm nhập (IDS) 52
CHƯƠNG 4 61
Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT
ii
MỤC LỤC
1.8 ĐỊNH NGHĨA MẬT MÃ 62
1.9 ỨNG DỤNG 62
1.9.1 Phương pháp mã hóa dữ liệu 62
1.9.2 Chữ ký điện tử 63
1.9.3 Chứng chỉ số 64
1.10 KẾT CHƯƠNG 94
CHƯƠNG 5 97
1.11 GIỚI THIỆU VỀ AN NINH MẠNG KHÔNG DÂY (Wireless) 98
1.12 AN NINH MẠNG CHO MẠNG LAN KHÔNG DÂY (Wireless LAN) 101
CHƯƠNG 6 107
1.13 GIỚI THIỆU VỀ DENIAL OF SERVICE (DoS) 108
1.14 MỘT SỐ KIỂU TẤN CÔNG DoS PHỔ BIẾN 108
1.14.1 Tấn công Ping of Death 108
1.14.2 SYN Floods 109
1.14.3 Tấn công Land 109
1.14.4 Tấn công WinNuke 109
1.14.5 Teardrop 110
1.14.6 Tấn công Smurf 110
1.14.7 UDP Flooding 110
1.14.8 Tấn công DNS 111
1.14.9 Tấn công Distributed DoS (DDoS) 111
1.14.10 Tấn công DRDoS (Distributed Reflection Denial of Service) 111

1.15 MỘT SỐ CÔNG CỤ TẤN CÔNG DoS 111
THUẬT NGỮ VIẾT TẮT 114
TÀI LIỆU THAM KHẢO 118
Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT
iii
AN NINH MẠNG IP
DANH SÁCH HÌNH
Hình 2.1 Phòng thủ theo chiều sâu 12
Hình 2.2 Các lớp bảo vệ 14
Hình 2.3 Sơ đồ các lớp phòng thủ để đến được file 15
Hình 2.4 Lược đồ thực hiện việc xác thực truy nhập 18
Hình 2.5 Time-base Token 19
Hình 3.1 Các mức mã hóa và xác thực 29
Hình 3.2 Tunnel Mode và Transport Mode 31
Hình 3.3 Tunnel Mode và Transport Mode 32
Hình 3.4 Mô hình Firewall 35
Hình 3.5 Lọc gói tin 38
Hình 3.6 Mô hình Multi-homed 38
Hình 3.7 Mô hình Screened Host 39
Hình 3.8 Mô hình DMZ 39
Hình 3.9 Các phương pháp thực thi Firewall 40
Bảng 3.1 Một số câu hỏi liên quan đến chính sách Firewall 44
Hình 3.10 Các mức lọc gói tin 45
Hình 3.11 Kết nối cổng 46
Bảng 3.2 Một số rule trong firewall với cổng xác định 46
Hình 3.12 Kiểm tra gói tin stateful 50
Hình 3.13 Kịch bản cho mạng hỗn hợp 52
Hình 3.14 Phân tích sự chuyển đổi trạng thái 55
Hình 3.15 Các vị trí đặt NIDS trong mạng 57
Hình 3.16 Mô hình điều khiển tập trung 57

Hình 3.17 Mô hình điều khiển phân tán 58
Hình 3.18 Mô hình điều khiên phân tán dựa trên Agent 58
Hình 4.1 Sử dụng mật khẩu chứng thực cho máy khách kết nối tới máy dịch vụ 66
Hình 4.2 Chứng chỉ số chứng thực cho máy khách kết nối tới máy dịch vụ 66
Hình 4.3 Chứng chỉ khóa công khai dựa trên CA 69
Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT
iv
DANH SÁCH HÌNH
Hình 4.4 Chứng thực đệ qui 71
Hình 4.5 Khuôn dạng chứng chỉ trong phiên bản v1 và v2 của X. 509 73
Hình 4.6 Cấu trúc đặt tên theo X.500 74
Hình 4.7 Tên đối tượng 75
Hình 4.8 Khuôn dạng chứng chỉ X.509 v3 77
Hình 4.9 Thu hồi chứng chỉ 85
Hình 4.10 Thu hồi chứng chỉ theo khuôn dạng X509 v3 87
Hình 4.11 Quá trình hủy bỏ chứng chỉ 88
Hình 5.1 Enterprise Access Server trong Gateway Mode 101
Hình 5.2 Enterprise Access Server trong Controller Mode 102
Hình 5.3 Mô hình bảo mật không cho mạng không dây 102
Hình 5.4 Quá trình mã hóa và giải mã 103
Hình 5.5 Mô hình xác nhận 104
Hình 5.6 Xác nhận 802.1x EAP-TLS 105
Hình 5.7 802.1x EAP-TLS trong Controller Mode 105
Hình 6.1 Mô hình tấn công DoS 108
Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT
v
AN NINH MẠNG IP
DANH SÁCH BẢNG
Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT
vi

CHƯƠNG 1
TỔNG QUAN VỀ AN NINH MẠNG
Nội dung chương 1 bao gồm:
 Toàn cảnh về vấn đề an ninh mạng.
 Các nguy cơ, các kiểu tấn công.
Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT
1
AN NINH MẠNG IP
1.1 TOÀN CẢNH VỀ VẤN ĐỀ AN NINH MẠNG
Trong thế giới ngày nay, việc tấn công các mạng máy tính ngày càng trở nên dễ
dàng hơn. Có rất nhiều công cụ đễ hỗ trợ, công nghệ ngày càng phát triển tạo ra những
máy tính có cấu hình mạnh hơn, cộng thêm với việc bảo mật chưa thật sự được chú
trọng. Hiện nay còn nhiều doanh nghiệp không cho rằng đây là mối đe doạ nghiêm
trọng. Họ không nhìn nhận thấy tầm quan trọng của việc tạo ra một mạng an toàn. Họ
không nhìn nhận thấy sự cần thiết phải chi những khoản tiền cho việc bảo vệ những tài
sản điện tử của họ. Nhưng thực tế cho thấy là rất cần thiết. Hãy xem xét những số liệu
thống kê gần đây (số liệu từ Viện An Toàn Máy Tính - CSI và Cục Điều Tra Liên
Bang Mỹ - FBI):
Ước tính tổng số thiệt hại lên đến hàng triệu USD (thiệt hại tăng lên nhiều ở năm
tiếp theo) do những hành vi đánh cắp thông tin trong vòng 5 năm, và con số ước tính
như sau:
- Năm 1997: $ 20,048,000.
- Năm 1998: $ 33,545,000.
- Năm 1999: $ 42,496,000.
- Năm 2000: $ 66,708,000.
- Năm 2001: $ 151,230,100.
Những con số này thể hiện tính nghiêm trọng của vấn đề bảo mật hiện nay. Các số
liệu được khảo sát chỉ với 34 doanh nghiệp tự nguyện báo cáo những thiệt hại của họ
do hành vi đánh cắp thông tin. Còn rất nhiều doanh nghiệp khác không thiết tha với
việc báo cáo những thiệt hại của mình mặc dù báo cáo này không nêu danh tính doanh

nghiệp thiệt hại, để vạch trần những thiệt hại mà tội phạm máy tính gây ra.
Tuy nhiên, với những bằng chứng thực tế cho thấy các cuộc tấn công mạng đang
trở nên ngày một nghiêm trọng hơn với những thiệt hại rất lớn về kinh tế trên thế giới.
Ngay lúc này, các tổ chức doanh nghiệp cũng đã bắt đầu nhận thức được vấn đề này và
đã có ý thức bảo vệ mình trước các cuộc tấn công ngày càng gia tăng. Rõ ràng là
phòng thủ là cần thiết và là việc làm cấp bách.
Hệ thống mạng của doanh nghiệp cho những người dùng được phép truy nhập
những thông tin nhạy cảm một cách nhanh chóng với cách thức có vẻ an toàn. Nhưng
với những kết nối truy nhập từ xa có mối liên hệ với doanh nghiệp qua mạng Internet
sử dụng đường kết nối không chuyên dụng để kết nối tới mạng của doanh nghiệp thì
nguy cơ có những người dùng không được phép cũng có thể có được kết nối để truy
nhập thông tin nhạy cảm này.
Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT
2
CHƯƠNG 1 - TỔNG QUAN VỀ AN NINH MẠNG
Sơ hở về an ninh mạng đôi khi do người sử dụng gây nên, họ đáp ứng đủ những
đòi hỏi mà hệ thống yêu cầu, hệ thống sẵn sàng hoạt động và họ thực hiện công việc
của mình và khi đó họ cho rằng mình an toàn. Nhưng chỉ có những người quản trị
mạng mới thực sự biết được an ninh mạng là vấn đề quyết định, họ biết rằng cần thực
hiện kế hoạch thận trọng từng bước để xây dựng môi trường mạng an toàn. Vì ở đó
các chức năng hỗ trợ và thực hiện công việc kinh doanh trong hệ thống được xây dựng
tin cậy.
An ninh mạng cần phải được coi là chiến lược trong hoạt động của doanh nghiệp.
Nó phải được bắt đầu như một phần công việc của quy trình lập kế hoạch cho chiến
lược và là kế hoạch hành động đầu tiên trong chiến lược, và cho đầu tư ngân sách thực
hiện an ninh mạng.
Phòng thủ mạng được bắt đầu với các vấn đề an toàn cơ bản. Những vấn đề then
chốt được trình bày chi tiết ở phần tiếp theo.
1.2 CÁC NGUY CƠ, CÁC KIỂU TẤN CÔNG
1.2.1 Các nguy cơ tấn công

o Nguy cơ xâm nhập bất hợp pháp hệ thống máy tính trên mạng
- Quét do thám hệ thống: quét Ping, quét TCP (Transmission Control Protocol),
quét UDP (User DataGram Protocol), quét hệ điều hành, quét tìm kiếm accout
thâm nhập…
- Xâm nhập hệ thống: truy tìm account, đoán mật khẩu qua mạng, bẻ khoá mật
khẩu, khai thác từ xa các lỗi DoS (Denial of Service - tấn công từ chối dịch vụ),
tràn bộ đệm, khai thác quan hệ uỷ quyền.
- Cài đặt cửa sau (backdoor) và truy cập từ xa.
- Tấn công hệ thống máy tính bằng virus, trojan và các phần mềm gián điệp.
- Tấn công với lỗi RPC (Remote Procedure Call - Lời gọi thủ tục từ xa)
o Nguy cơ tấn công mạng
- Xâm nhập vào mạng từ bên ngoài Internet.
- Xâm nhập bất hợp pháp vào mạng thông qua dial-up, VPN (Virtual Private
Network).
- Các thiết bị mạng, SNMP (Simple Network Management Protocol), RIP
(Routing Information Protocol).
- Phát hiện, đánh lừa, và xuyên qua firewall.
- Truy cập uỷ nhiệm ngoài không được chứng thực.
- Tấn công mạng bằng worm.
- Tấn công bằng spam.
o Nguy cơ tấn công phần mềm máy chủ dịch vụ
- Tấn công DNS (Domain Name Service).
Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT
3
AN NINH MẠNG IP
- Tấn công Web server.
- Tấn công SMTP (Simple Mail Transfer Protocol) sendmail.
- Tấn công IMAP/POP3 (Internet Mail Access Protocol/Post Office Protocol).
- Tấn công Database server.
- Tấn công từ chối dịch vụ DoS: Ping-of-Death, SYN flood, ….

o Nguy cơ mất an toàn thông tin trong giao dịch và thương mại điện tử
- Đánh cắp thông tin bằng các chương trình spy, virus.
- Giả mạo thông tin trong thư tín và giao dịch.
- Nghe lén thông tin.
- Đánh cắp, làm sai lệch thông tin qua tấn công SQL injection.
- Sử dụng credit card phi pháp và đánh cắp tài khoản ngân hàng
o Nguy cơ mất an toàn thông tin trên mạng WLAN
- Quét dò sóng mạng, tấn công xâm nhập mạng
- Bẻ khoá WEP (Giao thức an toàn của mạng không dây).
- Giả mạo điểm truy cập không dây WAP.
- Tấn công từ chối dịch vụ.
o Vấn đề trên mạng thông tin di động
- Vấn đề lan truyền các tin đồn thất thiệt trên mạng nhắn tin SMS.
- Lợi dụng mạng nhắn tin để tấn công đe doạ chủ thuê bao điện thoại di động.
1.2.2 Các kiểu tấn công
Hiện nay theo một số chuyên gia, có 4 dạng nguy cơ tấn công trên mạng máy tính:
- Tấn công do thám.
- Tấn công truy nhập.
- Tấn công từ chối dịch vụ (Denial of Service).
- Virus, trojan horse, worm, mã độc hại.
• TẤN CÔNG DO THÁM
Kẻ tấn công sử dụng các công cụ phần mềm có chức năng scanner mạng và cố
gắng tìm kiếm, phát hiện lỗ hổng hệ thống máy tính mục tiêu. Các lỗ hổng có thể như
lỗ hổng của hệ điều hành, lỗ hổng của phần mềm trình duyệt web, lỗ hổng của các
ngôn ngữ lập trình (SQL, PHP v.v ), lỗ hổng của các dịch vụ và các điểm yếu dễ bị
tấn công.
Tiếp theo là khai thác các lỗ hổng đó để giành quyền truy nhập với quyền quản trị
hệ thống bằng nhiều cách như cài đặt backdoor, cài đặt trojan horse, keylogger để nắm
quyền kiểm soát hệ thống máy tính mục tiêu.
Kiểu tấn công do thám này gồm một số kiểu như:

Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT
4
CHƯƠNG 1 - TỔNG QUAN VỀ AN NINH MẠNG
- Phân tích các gói tin: Telnet, FTP, SNMP, POP, HTTP
- Quét các cổng của máy tính mục tiêu: Nhận dạng các máy chủ trên mạng (sử
dụng hệ điều hành gì, hệ điều hành đó có điểm yếu nào), nhận dạng các dịch
vụ đang hoạt động ở máy mục tiêu, các điểm yếu dễ khai thác và tấn công.
- Tra cứu các thông tin liên quan đến mục tiêu trên mạng Internet: Nơi đăng ký
hosting, địa chỉ IP, hệ thống tên miền. Qua đó, tìm và thu thập các điểm yếu
dễ bị tấn công của hệ thống đó.
• TẤN CÔNG TRUY NHẬP
Kẻ tấn công hệ thống bằng cách truy vấn dữ liệu, giành quyền truy nhập, tấn công
truy nhập, khai thác điểm yếu dễ bị tấn công trong các dịch vụ xác thực, các dịch vụ
FTP, các dịch vụ Web để giành quyền đăng nhập Web account với các dữ liệu bí mật
và nhạy cảm. Tấn công truy nhập bao gồm:
- Tấn công password: bao gồm tấn công dò tìm password đối với các password
yếu, sử dụng trojan horse, phân tích gói tin, giả mạo địa chỉ IP.
- Tấn công khai thác, lợi dụng độ tin cậy trong mạng, lợi dụng sự tin cậy về
mối quan hệ trong mạng để làm bàn đạp tấn công vào một hệ thống khác.
- Kiểu tấn công port redirection: đó là kiểu tấn công mà kẻ tấn công đã "dàn
xếp" qua các dịch vụ máy chủ công cộng, thông qua dịch vụ máy chủ công
cộng này kẻ tấn công cài đặt phần mềm vào máy chủ mạng bên trong. Từ bên
ngoài kẻ tấn công có thể thiết lập kết nối vào mạng bên trong (mục tiêu) qua
tiến trình port redirection dựa trên dịch vụ máy chủ công cộng mà dựa vào đó
có thể dễ dàng vượt qua sự kiểm soát của firewall.
- Kiểu tấn công man_in_the_middle_attack: đó là kiểu tấn công thông qua phân
tích các gói tin mạng, phân tích các giao thức truyền tải và định tuyến. Sửa
đổi, thay nội dung dữ liệu trên đường truyền.
• TẤN CÔNG TỪ CHỐI DỊCH VỤ
Đây là kiểu tấn công phá hoại dựa trên tính giới hạn hoặc không thể phục hồi của

tài nguyên mạng. DoS có thể làm ngưng hoạt động của một máy tính, một mạng nội
bộ, thậm chí cả một hệ thống mạng lớn. Kẻ tấn công sẽ chiếm dụng một lượng lớn tài
nguyên mạng như băng thông, bộ nhớ, và làm mất khả năng xử lý các yêu cầu dịch
vụ từ các máy trạm khác. DoS bao gồm các kiểu tấn công phổ biến sau:
 Tấn công thông qua kết nối:
Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT
5
AN NINH MẠNG IP
Tấn công kiểu SYN flood. Lợi dụng cách thức hoạt động của kết nối TCP/IP,
hacker bắt đầu quá trình thiết lập một kết nối TPC/IP tới mục tiêu muốn tấn công mà
không gửi trả gói tin ACK, khiến cho mục tiêu luôn rơi vào trạng thái chờ (đợi gói tin
ACK từ phía yêu cầu thiết lập kết nối) và liên tục gửi gói tin SYN ACK để thiết lập
kết nối. Một cách khác là giả mạo địa chỉ IP nguồn của gói tin yêu cầu thiết lập kết nối
SYN và cũng như trường hợp trên, máy tính đích cũng rơi vào trạng thái chờ vì các
gói tin SYN ACK không thể đi đến đích do địa chỉ IP nguồn là không có thật. Kiểu tấn
công SYN flood được các hacker áp dụng để tấn công một hệ thống mạng có băng
thông lớn hơn hệ thống của hacker.
 Lợi dụng tài nguyên của chính nạn nhân để
tấn công:
 Kiểu tấn công Land Attack:
Kiểu tấn công Land Attack cũng tương tự như SYN flood, nhưng hacker sử dụng
chính IP của mục tiêu cần tấn công để dùng làm địa chỉ IP nguồn trong gói tin, đẩy
mục tiêu vào một vòng lặp vô tận khi cố gắng thiết lập kết nối với chính nó.
 Kiểu tấn công UDP flood:
Hacker gửi gói tin UDP echo với địa chỉ IP nguồn là cổng loopback của chính mục
tiêu cần tấn công hoặc của một máy tính trong cùng mạng. Với mục tiêu sử dụng cổng
UDP echo (port 7) để thiết lập việc gửi và nhận các gói tin echo trên 2 máy tính (hoặc
giữa mục tiêu với chính nó nếu mục tiêu có cấu hình cổng loopback), khiến cho 2 máy
tính này dần dần sử dụng hết băng thông của chúng, và cản trở hoạt động chia sẻ tài
nguyên mạng của các máy tính khác trong mạng.

 Tấn công sử dụng băng thông:
Tấn công kiểu DDoS (Distributed Denial of Service). Đây là cách thức tấn công rất
nguy hiểm. Hacker xâm nhập vào các hệ thống máy tính, cài đặt các chương trình điều
khiển từ xa, và sẽ kích hoạt đồng thời các chương trình này vào cùng một thời điểm để
đồng loạt tấn công vào một mục tiêu. Với DDoS, các hacker có thể huy động tới hàng
trăm thậm chí hàng ngàn máy tính cùng tham gia tấn công cùng một thời điểm (tùy
vào sự chuẩn bị trước đó của hacker) và có thể "ngốn" hết băng thông của mục tiêu
trong nháy mắt.
 Tấn công sử dụng các nguồn tài nguyên
khác:
Kẻ tấn công lợi dụng các nguồn tài nguyên mà nạn nhân cần sử dụng để tấn công.
Những kẻ tấn công có thể thay đổi dữ liệu và tự sao chép dữ liệu mà nạn nhân cần lên
nhiều lần, làm CPU bị quá tải và các quá trình xử lý dữ liệu bị đình trệ.
 Tấn công kiểu Smurf Attack:
Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT
6
CHƯƠNG 1 - TỔNG QUAN VỀ AN NINH MẠNG
Kiểu tấn công này cần một hệ thống rất quan trọng, đó là mạng khuyếch đại.
Hacker dùng địa chỉ của máy tính cần tấn công bằng cách gửi gói tin ICMP echo
(Internet Control Message Protocol) cho toàn bộ mạng (broadcast). Các máy tính trong
mạng sẽ đồng loạt gửi gói tin ICMP reply cho máy tính mà hacker muốn tấn công. Kết
quả là máy tính này sẽ không thể xử lý kịp thời một lượng lớn thông tin và dẫn tới bị
treo máy.
 Tấn công kiểu Tear Drop:
Trong mạng chuyển mạch gói, dữ liệu được chia thành nhiều gói tin nhỏ, mỗi gói
tin có một giá trị offset riêng và có thể truyền đi theo nhiều con đường khác nhau để
tới đích. Tại đích, nhờ vào giá trị offset của từng gói tin mà dữ liệu lại được kết hợp lại
như ban đầu. Lợi dụng điều này, hacker có thể tạo ra nhiều gói tin có giá trị offset
trùng lặp nhau gửi đến mục tiêu muốn tấn công. Kết quả là máy tính đích không thể
sắp xếp được những gói tin này và dẫn tới bị treo máy vì bị "vắt kiệt" khả năng xử lý.

• KIỂU TẤN CÔNG IP Spoofing - GIẢ MẠO ĐỊA CHỈ IP
Kẻ tấn công ở trong hoặc ngoài mạng đóng vai như một máy tính tin cậy để trao
đổi thông tin. Có 2 kỹ thuật được sử dụng để giả mạo địa chỉ IP:
- Kẻ tấn công sử dụng địa chỉ IP nằm trong dải địa chỉ IP được tin cậy.
- Kẻ tấn công sử dụng địa chỉ IP bên ngoài được uỷ quyền và được tin cậy.
Kiểu tấn công IP Spoofing được dùng để lan truyền mã độc hại hoặc các lệnh bên
trong dòng dữ liệu trao đổi giữa các máy tính. Nếu kẻ tấn công thay đổi được bảng
định tuyến và trỏ đến một địa chỉ IP giả mạo thì ở đó kẻ tấn công có thể nhận được
toàn bộ các gói tin mạng khi đó được thay đổi địa chỉ giả mà giống như một user đáng
tin cậy.
• VIRUS, TROJAN HORSE, WORM, MÃ ĐỘC HẠI
Đây là phương pháp các hacker dùng các đoạn mã có chứa Virus, trojan horse,
worm, mã độc hại để lấy cắp thông tin phục vụ mục đích của mình. Hacker thường
dùng mail, hoặc yahoo; … để phát tán virus.
Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT
7
CHƯƠNG 2
CHIẾN LƯỢC
ĐẢM BẢO AN TOÀN MẠNG
Nội dung chương 2 bao gồm:
 Các yếu tố an ninh mạng
 Chiến lược đảm bảo an toàn mạng
 Các kỹ thuật phòng thủ
Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT
8
CHƯƠNG 2- CHIẾN LƯỢC ĐẢM BẢO AN TOÀN MẠNG
1.3 CÁC YÊU TỐ AN NINH MẠNG
Để xây dựng một mạng máy tính có độ an toàn cao, người quan trị mạng phải quan
tâm đến 5 yếu tố là chìa khoá của an ninh mạng đó là:
- Quyền và tính hiệu lực.

- Xác thực.
- Sự tin cậy.
- Tính toàn vẹn.
- Không thể chối bỏ.
1.3.1 Quyền và tính hiệu lực
Trước hết các hệ thống an ninh mạng phải luôn sẵn sàng với mục đích quản lý
những ai truy nhập và truy nhập thông tin nào, tài nguyên nào, file, thư mục nào và
quá trình làm việc của họ trên mạng. Vì sự an toàn của hệ thống, cần phải giới hạn
quyền cho người dùng để giảm thiểu rủi ro đối với các truy nhập không được phép
truy nhập các thông tin nhạy cảm và những khu vực chỉ có những người được phép
mới có thể truy nhập vào. Ngoài ra cần xây dựng hệ thống an ninh luôn hoạt động tốt
mà không gây cản trở đến các hoạt động của hệ thống mạng và dịch vụ đối với những
người được phép truy nhập.
Quyền và tính hiệu lực cần tạo ra sự tin cậy và được đảm bảo theo nội dung sau:
Hệ thống luôn sẵn sàng với các chức năng theo yêu cầu và được cấu hình đúng đắn
cho các hoạt động cơ bản.
- Có các quản lý tương xứng để bảo vệ chống lại những truy nhập không được
phép và những lỗi không cố ý cũng như do phần mềm gây ra.
- Có những giới hạn an ninh ở khu vực nhạy cảm để ngăn chặn hoặc dừng
những khai thác có chủ ý của Hacker.
Sự tin cậy là hoàn toàn cần thiết vì nếu thiếu tin cậy thì các mục tiêu an ninh khác
sẽ khó có thể hội tụ được. Tuy nhiên, sự tin cậy không thể là sự hứa hẹn thực hiện một
lần mà đòi hỏi liên tục của sự nỗ lực và nỗ lực cao nhất.
1.3.2 Xác thực
Sau khi kiểm soát những người truy nhập, thậm chí những người được phép cũng
cần phải xác thực để kiểm tra nhận diện. Xác thực người sử dụng có đúng là người mà
họ đã xin xác nhận. Trong trao đổi dữ liệu việc xác thực người gửi là cần thiết để xác
định được rằng dữ liệu được chuyển đến từ nguồn thông tin đúng đắn. Người nhận
được xác thực đó cũng chính là việc xác định rằng dữ liệu đã đến đúng nơi cần nhận.
Cơ sở khoá công khai (PKI - Public Key Infrastructure) là một cách tốt nhất để xác

thực thông qua chứng chỉ số và chữ ký số. Số lượng các nhân tố được sử dụng để hiển
thị nhận diện của người dùng hoặc chứng minh nhận dạng của người dùng thông qua
xác thực đủ mạnh bao gồm:
Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT
9
AN NINH MẠNG IP
- Nhân tố thứ nhất được cung cấp đó là thông tin người dùng biết như là
Password hoặc PIN (Personal Identification Number). Điều này hoàn toàn dựa
trên việc lấy lại những mẩu thông tin từ bộ nhớ hoặc từ việc đăng nhập
password như với việc truy nhập mạng.
- Nhân tố thứ hai được cung cấp là người dùng có gì bổ xung thêm vào thông
tin người dùng biết. Ví dụ như những thông tin gần gũi như thẻ ra vào cửa
hoặc thẻ ATM với mã PIN. RSA SecureID Token được sử dụng kết hợp với
mã Password, hoặc thẻ Smart Card có thể đảm bảo về an ninh với mã PIN sử
dụng để truy nhập và những điều trên đảm bảo cho nhân tố thứ hai.
- Nhân tố thứ ba cung cấp việc xác thực mạnh đó là thử nhận dạng của người
dùng, hay xác thực người dùng là ai bằng sinh trắc học. Sinh trắc học sử dụng
các thuộc tính sinh lý học để nhận diện người dùng, như vân tay, quét võng
mạc, hình dạng bàn tay, nhận diện giọng nói, quét mống mắt, đặc tính về ứng
sử như nhận diện nhấn phím hoặc nhận diện chữ ký. Các kết quả này là sự xác
thực mạnh, vì người sử dụng không chỉ được kiểm tra nhận diện thông qua
xác thực số về những gì họ biết và những gì họ có mà họ còn được kiểm tra
xác thực vật lý thông qua thông số sinh trắc học.
1.3.3 Sự tin cậy
Trao đổi dữ liệu cũng như trao đổi email cần được bảo vệ về tính riêng tư và sự tin
cậy. An ninh mạng cần phải cung cấp kênh an toàn cho việc trao đổi dữ liệu và email
và không cho phép để rò rỉ thông tin với những người không được phép. Dữ liệu thông
tin phải được đảm bảo tin cậy về tính riêng tư về dữ liệu trên hệ thống mạng. PKI có
thể đáp ứng những yêu cầu về đảm bảo tính riêng tư cũng như sự tin cậy trong quá
trình trao đổi dữ liệu cũng như quá trình trao đổi dữ liệu qua mạng. Sau đây là 4 kiểu

dữ liệu cơ bản của thông tin và dữ liệu đòi hỏi sự tin cậy:
Thông tin mang nội dung về dữ liệu kỹ thuật hoặc thông tin nguồn, ví dụ như
thông tin về kiểu số và phiên bản của phần mềm của hệ thống firewall cần được lưu
giữ cẩn thận vì nếu bị tiết lộ có thể tiềm ẩn khả năng cho hacker tấn công hoặc hỗ trợ
cho hacker khai thác tấn công hệ thống của người dùng.
Những thông tin mang tính thời điểm, nó có thể chỉ là sự tin cậy về thời gian và
sau đó nó chẳng còn ý nghĩa nữa cũng như thông tin riêng tư sau khi đã được tiết lộ
nhưng tới thời điểm đó cần phải được giữ kín.
Những thông tin mà nó làm lộ cơ cấu tổ chức hay liên quan đến hệ thống mà thông
qua đó những người không được phép có thể khai thác những nguồn lợi của xã hội
hoặc những cơ hội khác.
Những thông tin cá nhân và riêng tư của chính cá thể đó, như những thông tin cốt
yếu trong sự vận hành của doanh nghiệp cũng như những thông tin khác mà có thể
chắc chắn mang lại cho hacker cơ hội khai thác doanh nghiệp dễ dàng.
1.3.4 Tính toàn vẹn
Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT
10
CHƯƠNG 2- CHIẾN LƯỢC ĐẢM BẢO AN TOÀN MẠNG
Tính toàn vẹn là nguyên tắc an ninh mà đảm bảo tính chính xác liên tục của dữ liệu
và thông tin mang trong dữ liệu trao đổi trong mạng. Tính liên tục của toàn vẹn dữ liệu
là tối cao. Dữ liệu cần được bảo vệ tránh việc sửa đổi dữ liệu không được phép, sự giả
mạo hoặc bất cứ thay đổi nào, không cần quan tâm dù có hay không có sự đe dọa làm
thay đổi tính toàn vẹn một cách chủ ý mà chỉ coi như đó là tai nạn từ thiên nhiên đem
tới. Việc nhận thư nêu ở trên hoặc trao đổi dữ liệu thì tính toàn vẹn cần được kiểm tra
để chắc chắn rằng dữ liệu không bị tráo đổi, sửa đổi, thêm, bớt đi bởi những người
không được phép trong quá trình trao đổi. Chống lại những sửa đổi đó, PKI sẽ đảm
bảo tính toàn vẹn dữ liệu thông qua chứng chỉ số và thuật toán mã hoá. Tính toàn vẹn
có 2 mục đích chính:
- Toàn vẹn dữ liệu đảm bảo rằng dữ liệu không bị thay đổi trái phép trong quá
trình truyền, trong khi lưu trữ và trong quá trình xử lý.

- Đảm bảo tính toàn vẹn hệ thống đó là hệ thống mà trong quá trình thực hiện
các tiến trình mong muốn và chạy các ứng dụng, cung cấp các hỗ trợ cho
người dùng được phép miễn phí.
1.3.5 Tính không thể chối bỏ
An toàn phải được thiết lập để bảo vệ các bên trong trao đổi dữ liệu và từ chối sự
can thiệp của các bên sau khi tiến trình trao đổi kinh doanh đã được thực hiện. Thông
qua PKI người gửi cũng như người nhận đều được công nhận xác thực liên quan đến
nhận diện cá nhân của họ từ cả 2 phía. Thiết lập này có trách nhiệm tự giải trình cho
các bên liên quan trong phiên giao dịch. Có 3 dạng chối bỏ cần được ngăn chặn đó là:
- Chối bỏ nguồn gốc của dữ liệu, người tạo ra dữ liệu từ chối chưa bao giờ tạo
ra hoặc viết dữ liệu thông tin đó.
- Chối bỏ nhận, người mà từ chối chưa bao giờ nhận được dữ liệu đó sau khi đã
nhận dữ liệu.
- Chối bỏ sự đưa ra dữ liệu về thời gian, về thời gian ngày tháng thực của dữ
liệu đó. Sự chậm trễ thời gian sẽ giúp cho người chối bỏ chấp hành hay thực
hiện yêu cầu nào đó.
1.4 CHIẾN LƯỢC ĐẢM BẢO AN TOÀN MẠNG
Để bảo vệ tốt mạng máy tính của mình người quản trị an ninh mạng cần thực hiện
làm giảm thiểu hoặc giảm bớt các tác động đe doạ tới an ninh mạng đang hiện hữu và
trong tương lai. Thực hiện kỹ thuật và chiến lược phòng chống để đảm bảo an toàn cho
mạng. Điều này cần phải được thực hiện chắc chắn, cẩn thận để bảo vệ những thông
tin và dữ liệu nhạy cảm.
1.4.1 Chiến lược phòng thủ
Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT
11
AN NINH MẠNG IP
Nếu tất cả các mối đe doạ tới hệ thống mạng và tất cả các điểm yếu dễ bị tấn công
của hệ thống đã được nhận biết thì việc lên kế hoạch bố trí phòng thủ cần được thực
hiện và triển khai để bảo vệ an toàn hệ thống. Thậm chí có thể phòng thủ ở tình trạng
tĩnh (không thay đổi) với các điều khiển dứt khoát ở từng vị trí do sự đe dọa đã được

biết. Vành đai an toàn sử dụng firewall là một ví dụ của phòng thủ ở trạng thái tĩnh.
Mối đe doạ đã được giả lập và được thông báo, khi đó các luật sẽ được sinh ra cho
mạng của doanh nghiệp.
Nếu mối đe doạ không được nhận rõ, bất cứ giả lập nào cũng có thể thất bại đối
với việc phòng thủ mạng. Do đó người quản trị phải cân nhắc dựa vào các căn cứ và
tạo lập phòng thủ cho mạng của doanh nghiệp.
1.4.2 Phòng thủ theo chiều sâu
Phòng thủ theo chiều sâu là trạng thái mà tất cả các thông tin quan trọng về kỹ
thuật mạng được bảo vệ chống lại các cuộc tấn công trực tiếp tại bất cứ mức nào trong
mạng. Giả lập đối với firewall hoặc một phần của vành đai an ninh không thể đủ để
bảo vệ các thông tin quan trọng của mạng.
o Chủ động phòng thủ theo chiều sâu:
Hình 2.1 Phòng thủ theo chiều sâu
o Vành đai an ninh
Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT
Traning/Awareness & Culture Change
Perimeter Security
Intrusion Detection Systems
Attack Response
Additional Security Arrayed in Depth
ATTACKS
Conduct Training
Establish Security
Detect Instruction
Respond to Attack
Ensure Trust
Lessons
Learned
Trusted System
(Security)

Active Defense-In-Depth
12
CHƯƠNG 2- CHIẾN LƯỢC ĐẢM BẢO AN TOÀN MẠNG
Vành đai an ninh là ranh giới đầu tiên của phòng thủ mạng và thường được bảo vệ
bằng lọc gói tin hoặc dựa trên các luật của firewall. Với mục đích đạt được hiệu quả
cao nhất thì firewall cần có các thuộc tính và các luật để đảm bảo:
- Dựa trên thuộc tính lọc gói tin và bản ghi luật quản lý lưu lượng (traffic) với
chính sách an ninh được thiết lập.
- Firewall xác định rõ tất cả các kết nối mạng.
- Tất cả luồng thông tin vào và ra đều phải đi qua firewall.
o Hệ thống phát hiện xâm nhập (IDS - Intrusion Detection System)
IDS là hệ thống kết hợp cả phần cứng và phần mềm mà cho phép hiển thị và lựa
chọn thông tin hệ thống mạng và phân tích chúng để phát hiện ra các cuộc tấn công
hoặc các cuộc xâm nhập. Một số IDS có khả năng tự động đối phó với các cuộc tấn
công hoặc xâm nhập dựa trên tra cứu dấu hiệu tấn so sánh với thư viện. Một số IDS sử
dụng phần mềm để scanner tương tự như Scanner Internet, đó có thể là các công cụ
đầu tiên để phân tích điểm yếu dễ bị tấn công của mạng. Kiểu scanner này có thể thực
hiện ở 2 chế độ định kỳ và theo ý muốn để xác định lỗ hổng của hạ tầng mạng và các
điểm yếu dễ bị tấn công của hệ điều hành, routers, các chương trình ứng dụng, và các
thiết bị truyền thông.
o Đối phó cuộc tấn công
Đối phó cuộc tấn công bao gồm một số thực hành đối phó tấn công hoặc đối phó
với những vấn đề sự cố ngẫu nhiên mà thực tế có thể xảy ra, và cũng có thể là giả
thiết, giả lập để thực hành. Để thực hành tất cả các cuộc tấn công được thực hiện cùng
một cách cho tới khi được kiểm soát bởi người quản trị mà trong thực tế phải được xác
định đó là cuộc tấn công giả tưởng hoặc mô phỏng tấn công để tập huấn. Trong bất cứ
trường hợp nào, các đối phó cần được giữ bí mật đối với bên ngoài mạng an ninh
nhằm gây khó khăn cho các hacker hoặc làm giảm thiểu việc các điểm yếu của hệ
thống bị khai thác.
o Các kỹ thuật phòng thủ

Mạng cần có nhiều lớp phòng thủ. Các khái niệm về lớp phòng thủ là khái niệm cũ
và đơn giản: Nhiều lớp phòng thủ khiến hacker sẽ phải đi qua nhiều lớp và điều này rất
khó khăn để hacker thực hiện thành công mục đích của mình.
Có thể dùng firewall để khoá các cổng và một phần khác của firewall chạy
Network Access Translation (NAT) để ẩn giấu địa chỉ IP mạng bên trong. Đây là kỹ
thuật phòng thủ vòng ngoài của hệ thống an ninh và tất cả các mạng quan trọng cần
thiết phải có.
Và thêm vào đó là việc đánh số cổng giao thức, như vậy tạo ra con đường một
chiều mặc dù cổng trước cho phép vào ra cả hai chiều truyền thông.
o Back Doors
Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT
13
AN NINH MẠNG IP
Một trong những vấn đề nghiêm trọng đối với an ninh mạng đó là backdoor. Nếu
người sử dụng cài đặt modem và tạo kết nối trực tiếp Internet, thì điều mà các hacker
cần đó là tìm kiếm backdoor. Một khi backdoor được tìm thấy, hacker có thể xâm
nhập và khai phá mạng từ bên trong.
Lược đồ khái niệm các lớp phòng thủ
Hình 2.2 Các lớp bảo vệ
Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT
14
CHƯƠNG 2- CHIẾN LƯỢC ĐẢM BẢO AN TOÀN MẠNG
1.5 CÁC KỸ THUẬT PHÒNG THỦ
Vậy kỹ thuật phòng thủ chính xác là gì và triển khai trên mạng như thế nào? Có rất
nhiều kỹ thuật không hoàn toàn là phòng thủ nhưng được dùng trong kỹ thuật phòng
thủ mạng.
Sơ đồ các lớp phòng thủ để đến được file:
Hình 2.3 Sơ đồ các lớp phòng thủ để đến được file
Cách tốt nhất để xem xét lớp phòng thủ mạng đó là bắt đầu từ vòng ngoài với vành
đai và làm việc theo cách nào đó để đạt được mục đích đánh giá. Và mục tiêu nói

chung lại đó là các ứng dụng trên máy chủ.
Nhìn từ phía ngoài đối với phòng thủ mạng đó là chính sách an ninh. Có rất nhiều
người băn khoăn về việc firewall là vành đai đầu tiên của phòng thủ, nhưng điều này
vẫn còn tranh cãi về tính đúng đắn. Không có chính sách đặt ra thì firewall không thể
được cấu hình đúng đắn, do đó điều đầu tiên đó là chính sách. Cần phải hiểu hết sức rõ
ràng về mục tiêu an ninh mạng. Chính sách phải bao trùm hết các vấn đề như ai có thể
làm gì, khi nào và làm như thế nào. Chính sách cũng phải có mục tiêu rõ ràng với mỗi
yêu cầu được sử dụng trong phòng thủ mạng.
Sau khi chính sách an ninh được đặt ra và thông qua thì việc thực thi hệ thống
phòng thủ cần được bắt đầu. Các router phải được cấu hình, thông qua danh sách điều
khiển truy nhập, để thực hiện công việc của hệ thống firewall và đưa ra một vài mức
lọc gói tin.
Firewall có thể thực hiện NAT và dịch vụ proxy. NAT sẽ đảm bảo rằng địa chỉ
mạng bên trong sẽ được bảo vệ bí mật, và dịch vụ proxy sẽ tạo các yêu cầu tài nguyên
với các ứng xử bên trong mạng.
Di chuyển qua các lớp vượt qua firewall, các phần thông tin tiếp theo đó là IDS.
Thông qua IDS có thể biết được sự chuyên nghiệp hay không của chính sách an ninh
khi xâm nhập xảy ra, và có thể thực hiện chức năng này cả ở bên trong mạng và những
tấn công từ bên ngoài vào mạng. Vẫn còn những vấn đề khó lường với phòng thủ
mạng, đó là vấn đề xác thực. Máy chủ sẽ yêu cầu form xác thực để tránh việc truy xuất
dữ liệu tài nguyên không được phép.
Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT
15
AN NINH MẠNG IP
Sau khi xác thực với máy chủ đó là các file an ninh. Mỗi file hay mỗi một tài
nguyên cần được thiết kế với mức an ninh riêng biệt. Người ra lệnh thực hiện an ninh
là người truy nhập vào file này, với quyền truy nhập mà mỗi người được cấp. Và file
an ninh này thậm chí có thể chỉ ra thời gian truy nhập và ngày tháng năm người dùng
đã truy nhập file này.
Vấn đề tiếp theo đó là mức an ninh vật lý, việc quản lý người ra vào cơ quan, ra

vào trụ sở và sử dụng máy tính đó là một phần của chiến lược phòng thủ.
o Mục tiêu của kiểm soát truy nhập
Bất cứ mạng nào, quan trọng hay không về vấn đề phòng thủ đều yêu cầu xác thực
người sử dụng là thành viên. Quá trình này gọi là kiểm soát truy nhập. Tất cả các
mạng đều cần có hệ thống kiểm soát để chắc chắn những thành viên truy nhập vào
mạng là được phép và hợp lệ.
o Kiểm soát truy nhập
Với một mạng, một điều quyết định của vấn đề an ninh đó là xác định ai được
quyền truy nhập cái gì. Đó là công việc mang tính chuyên nghiệp của vấn đề an ninh
để đảm bảo rằng những người không được phép không thể truy nhập vào tài nguyên
của hệ thống. Hoặc xác định trạng thái kiểm soát truy nhập. Điều này bảo vệ tài
nguyên của hệ thống.
Có 2 dạng kiểm soát truy nhập có thể được áp dụng:
- Mandatory Access Control (MAC) kiểm soát truy nhập bắt buộc.
- Discretionary Access Control (DAC) kiểm soát truy nhập tuỳ ý khi cần thiết.
Chính sách an ninh sẽ định nghĩa dạng kiểm soát nào sẽ được sử dụng.
o Kiểm soát truy nhập có tính bắt buộc
MAC là chính sách kiểm soát truy nhập hỗ trợ cho hệ thống để bảo vệ thông tin
nhạy cảm hoặc thông tin bí mật. Các cơ quan chính phủ thường dùng MAC, dữ liệu an
ninh cần được phân loại với các mức như mật, tối mật, và phân quyền truy nhập
theo mức. Để thực hiện điều này thì cần có mạng con để che chắn và sử dụng firewall
để cho phép truy nhập với mức của người sử dụng.
o Kiểm soát truy nhập khi cần thiết
DAC là chính sách kiểm soát truy nhập mà dùng để nhận dạng người sử dụng hay
nhóm người sử dụng thuộc nhóm được quyền truy nhập và do quản trị thực hiện để
kiểm soát ai truy nhập, truy nhập cái gì, kiểu truy nhập thực hiện cũng như các quyền
đọc, ghi, update, xóa.
o Xác thực
Một khi chính sách kiểm soát truy nhập được đặt ra, ở đó cần có một cơ chế để
kiểm tra người sử dụng yêu cầu truy nhập.

Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT
16
CHƯƠNG 2- CHIẾN LƯỢC ĐẢM BẢO AN TOÀN MẠNG
Một phương pháp truyền thống đó là kiểm tra password. Password là giá trị của
người dùng tạo ra riêng biệt, hoặc được sinh ra từ hệ thống cho người sử dụng. Trong
bất cứ trường hợp nào người sử dụng cần phải nhớ password và nhập vào khi có yêu
cầu đăng nhập. Sự xác thực mạnh chỉ khi người sử dụng không chỉ đưa ra nhận dạng
số mà cần cả nhận dạng vật lý như vân tay,
o Bằng chứng xác thực
Với một số tổ chức, phương pháp truyền thống dùng password là không đủ và cần
thực hiện cả giải pháp sinh trắc học. Và một số thông tin xác thực có thể mang theo
như thiết bị lưu động. Một trong những phương pháp xác thực thông tin nổi tiếng được
biết đến đó là xác thực thông tin an ninh ID RSA
o Challenge Response Token
Challenge Response Token là kỹ thuật xác thực sử dụng kiểu tính toán mà trong đó
chứa chìa khoá nhận diện an ninh hoặc thuật toán như Network Access Server (NAS).
Mỗi Challenge Response Token được tải xuống trước (pre-load) với dữ liệu được
mã hoá DES (Data Encryption Standard) mã hoá khoá và PIN của người dùng và so
sánh với Username. Không phải yếu tố này hay yếu tố kia được trích ra từ thiết bị lưu
trữ.
Token ở trên đòi hỏi người sử dụng phải thực hiện từng bước để truy nhập mạng
an toàn với việc sử dụng kỹ thuật challenge/response:
- Việc kích hoạt token bằng việc thay đổi PIN chỉ do người sử dụng biết. Người
dùng nhập vào mã PIN do mình lựa chọn cho token.
- Người dùng bắt đầu với một chuỗi đăng nhập .
- Người dùng gõ User ID vào yêu cầu đăng nhập của PC.
- NAS sẽ kiểm tra mã PIN và User ID để xác thực với server như 1 phần của
yêu cầu đăng nhập
- Xác thực tại server sẽ sinh ra 1 chuỗi ngẫu nhiên và gửi trả lại cho người dùng
thông qua kết nối NAS.

- Sau đó chuỗi này được gửi tới người dùng nơi đòi hỏi yêu cầu đăng nhập.
- Người dùng gõ chuỗi ngẫu nhiên này vào token và giá trị ngẫu nhiên này sau
đó được mã hoá bên trong token bởi khoá DES.
- Token hiển thị giá trị đã được mã hoá.
- Người dùng gõ giá trị trả lời đã được mã hoá vào yêu cầu đăng nhập của PC
thông qua bàn phím.
- Xác thực tại server nhận giá trị trả lời (đã được mã hoá) và sử dụng khoá DES
tương tự như token đã dùng, quá trình này được thực hiện và kiểm tra người
dùng và token.
Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT
17
AN NINH MẠNG IP
- Xác thực server sẽ gửi message tới NAS để cho phép người dùng được truy
nhập.
Hình 2.4 Lược đồ thực hiện việc xác thực truy nhập
o Kiểm tra tính hợp lệ trên cơ sở token:
Đây là kỹ thuật an toàn nhằm kiểm tra tính hợp lệ của người dùng khi truy cập đến
một máy chủ, mạng hoặc một hệ thống an toàn nào đó. Những thiết bị này giúp loại
trừ những truy cập mất an toàn (là những truy cập trong đó mật khẩu người dùng bị
gửi đi đến những nơi có thể bị theo dõi). Những người lấy được mật khẩu này có thể
đóng giả như người dùng và truy cập vào hệ thống an toàn. Một giải pháp là tránh gửi
mật khẩu đi dưới bất kỳ hình thức nào qua các kênh an toàn. Đây là mục đích của việc
sử dụng token.
Token là một thiết bị vật lý có kích thước như thẻ tín dụng được cài đặt trong máy
tính, nó tạo thông tin cho người dùng trong quá trình nhập vào hệ thống. Token cung
cấp phương pháp xác thực hai nhân tố (two-factor authentication), trong đó, người
dùng cung cấp những gì mình biết (mật khẩu), và cái mà họ có (do token tạo ra). Hai
thành phần này giúp định danh người dùng và sau đó kiểm tra tính hợp lệ của người
dùng. Các cơ quan thường gán token cho người dùng ở xa hoặc lưu động, có nhu cầu
truy cập hệ thống từ bên ngoài.

SecurID là một token của Security Dynamics, dùng kỹ thuật dựa theo thời gian,
trong đó, thiết bị hiển thị một số thay đổi từng phút đồng bộ với máy chủ an toàn. Khi
người dùng vào hệ thống, họ được yêu cầu nhập giá trị trên card SecurID. Vì giá trị
này thay đổi liên tục (chỉ dùng một lần), nó không thể dùng lại bởi người khác.
Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT
18
CHƯƠNG 2- CHIẾN LƯỢC ĐẢM BẢO AN TOÀN MẠNG
Cũng có các thiết bị token dựa trên phần mềm có khả năng cung cấp chức năng
giống như các token phần cứng. Chúng gồm chương trình chạy trên máy xách tay. Tuy
vậy, một số người cho rằng phương pháp này ít an toàn hơn là token phần cứng vì hệ
thống phần mềm có thể dễ dàng sửa đổi.
ActiveCard, nhà sản xuất các thiết bị kiểm tra dựa trên token, dùng các chế độ vận
hành dưới đây:
Trong chế độ “challenge/response”, một người dùng thử truy cập đến hệ thống an
toàn được máy chủ gửi đến một yêu cầu (challenge). Giá trị ký tự số này xuất hiện trên
màn hình người dùng và người dùng nhập nó vào thiết bị token. Thiết bị này tính giá
trị phản hồi (dùng thuật toán đặc biệt) dựa trên một thách thức ngẫu nhiên và một khóa
bí mật. Phản hồi này xuất hiện trên màn hình thiết bị và người dùng nhập giá trị này
vào. Máy chủ thực hiện các bước tương tự để tạo đáp ứng bằng cách dùng yêu cầu và
khóa mật. Nếu phản hồi này trùng với phản hồi của người dùng, người dùng được truy
cập hệ thống.
Trong chế độ “time-plus-event challenge/response”, token và phần mềm kiểm tra
mật khẩu dựa trên bộ đếm sự kiện và đồng hồ bên trong. Việc kiểm tra đồng bộ thời
gian/sự kiện dùng các mật khẩu đã được token và máy chủ xử lý. Kết quả là đạt mức
an toàn mạnh hơn.
Kerberos là hệ máy chủ an toàn, cung cấp token dựa trên phần mềm và phương
pháp kiểm tra mật khẩu sử dụng một lần. Các hệ an toàn khác có thể cài đặt phương
pháp kiểm tra dựa trên token gồm RADIUS (Remote Authentication Dial-In User
Service) và TACACS (Terminal Access Controller Access Control System).
o Time-based Token

Token dựa trên đồng hồ bên trong. Time-based Token yêu cầu người dùng nhập dữ
liệu vào token và đọc dữ liệu ra khỏi token, người dùng với Time-based Token chỉ đọc
dữ liệu.
Hình 2.5 Time-base Token
Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT
19

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×