BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC LẠC HỒNG
***
ĐINH TUẤN KHẢI

Đinh Tuấn Khải

CÔNG NGHỆ THÔNG TIN

XÂY DỰNG HỆ THỐNG TƯỜNG LỬA MẠNG NỘI BỘ

Luận văn thạc sĩ Công nghệ thơng tin

KHỐ I
Đồng Nai – Năm 2012


BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC LẠC HỒNG
***
Đinh Tuấn Khải

XÂY DỰNG HỆ THỐNG TƯỜNG LỬA MẠNG NỘI BỘ

Chuyên ngành : Công nghệ thông tin
Mã số
: 60.48.02.01

Luận văn thạc sĩ Công nghệ thông tin

NGƯỜI HƯỚNG DẪN KHOA HỌC :

Ts. Đàm Quang Hồng Hải

Đồng Nai – Năm 2012


i

LỜI CẢM ƠN
Tơi xin bày tỏ lịng biết ơn sâu sắc đến
Tiến sỹ Đàm Quang Hồng Hải
Người đã tận tình hướng dẫn tơi hồn thành luận văn này.
Tơi vơ cùng cảm ơn
Thạc sỹ Phan Mạnh Thường và các nhà khoa học
Bạn bè, đồng nghiệp đã đóng góp nhiều ý kiến q báu
Giúp tơi hồn thiện luận văn này.
Tơi xin chân thành cảm ơn
Trường Đại Học Lạc Hồng,
Trường Đại Học Công Nghệ Thơng Tin,
Khoa Cơng nghệ thơng tin,
Phịng Nghiên cứu khoa học và sau Đại học trường Đại học Lạc Hồng
Đã tạo điều kiện thuận lợi cho tôi thực hiện luận văn này.
Tơi xin kính tặng luận văn này cho Cha Mẹ
Và người thân trong gia đình
Bằng tất cả tình cảm yêu thương nhất…

Đồng Nai, tháng 10 năm 2012
Đinh Tuấn Khải


ii


LỜI CAM ĐOAN
Tôi cam đoan rằng đề tài này do chính tơi thực hiện.
Các số liệu thu thập, kết quả phân tích,
dẫn chứng trong đề tài là trung thực.
Khơng có sự trùng lắp, sao chép từ bất kỳ đề tài,
hay cơng trình nghiên cứu khoa học nào của các tác giả khác.

Đồng Nai, tháng 10 năm 2012
Đinh Tuấn Khải


iii

TÓM TẮT
Cùng với sự phát triển của mạng Internet, vấn đề bảo mật và an toàn dữ
liệu cho các hệ thống mạng máy tính trên thế giới được đặt ra. Đề tài “Xây dựng
hệ thống tường lửa mạng nội bộ” với mục tiêu nâng cao tính an tồn cho mạng
nội bộ. Đầu tiên, Người quản trị quản lý hoạt động của hệ thống mạng nội bộ,
cho phép hoặc cấm các chương trình nguy hiểm kết nối Internet. Bên cạnh đó, hệ
thống cũng được bảo vệ virus lây lan trong mạng nội bộ, những hoạt động khác
lạ chương trình sẽ kiểm tra, duyệt qt và báo cáo. Với mơ hình hệ thống tường
lửa mạng nội bộ đơn giản, dễ sử dụng và tích hợp tùy chọn quét virus cho thấy
tính khả thi khi áp dụng cho các hệ thống mạng nội bộ của một tổ chức, doanh
nghiệp ngày nay.


vii

DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT

DANH MỤC CÁC KÝ HIỆU SỬ DỤNG TRONG LUẬN VĂN
Ký hiệu

Thuật ngữ

Firewall

Firewall system

Hacker

Hacker, cracker

Header

File header

Macro

Macro virus

Trojan

Trojan horse

Virus

Computer viruses

Worm


Computer worm


viii

DANH MỤC CÁC TỪ VIẾT TẮT SỬ DỤNG TRONG LUẬN VĂN
Từ viết tắt

Thay cho cụm từ

ALE
API
ASCII
BFE
CNTT
CPU
CSDL
DMZ
DNS
DOS
FTP
HĐH
HTTP
ICMP
IDS
IP
IPsec
ISVs
JS

LE-EXE
LIFO
NDF
NDIS
NE-EXE
PE-EXE
POT
PPP
PPT
REG
SHA
SLIP
SMTP
TCP/IP
TDI
UDP
VBA
WFP

Application Layer Enforcement
Application Programming Interface
American Standard Code for Information Interchange
Base Filtering Engine
Công nghệ thông tin
Central Processing Unit
Cơ sở dữ liệu
DeMilitarized Zone
Domain Name System
Denial of Service
File Transfer Protocol

Hệ điều hành
Hypertext Transfer Protocol
Internet Control Message Protocol
Intrusion Detection System
Instruction Pointer
Protocol security
Independent Software Vendors
Java Script files
LinEar EXEcutable files
Last In - First Out
Network Diagnostics Framework
Network Driver Interface Specification
NEw EXEcutable files
PortablE EXEcutable files
PowerpOint Template files
Point-to-Point Protocol
PowerPoinT files
REGistry files
Screened host architecture
Serial Line Internet Protocol
Simple Mail Transfer Protocol
Internet protocol suite
Transport Driver Interface
User Datagram Protocol
Visual Basic Application
Windows Filtering Platform


ix


DANH MỤC BẢNG BIỂU
Stt

Bảng

Mô tả

Trang

1 BẢNG 2.1

Phân loại virus máy tính theo kiểu dữ liệu ............................... 17

2 BẢNG 2.2

Lịch trình cập nhật của Kaspersky Lab (1995-2004) ............... 18

3 BẢNG 3.1

Các định dạng vật chủ chứa mã thi hành có thể nhiễm virus máy tính ..... 39

4 BẢNG 3.2

Các loại tập tin chương trình .................................................... 40

5 BẢNG 4.1

So sánh tính năng với một số sản phẩm hiện có ...................... 56



x

DANH MỤC HÌNH ẢNH
Stt

Hình

Mơ tả

Trang

1

HÌNH 2.1 Mơ hình tường lửa bảo vệ hệ thống mạng nội bộ ...................... 10

2

HÌNH 2.2 Kiến trúc Dual – Homed host architecture ................................. 11

3

HÌNH 2.3 Kiến trúc Screened host architecture (SHA) .............................. 13

4

HÌNH 2.4 Kiến trúc Screened subnet architecture ...................................... 14

5

HÌNH 3.1 Kiến trúc và khả năng mở rộng của WFP .................................. 25


6

HÌNH 3.2 Mơ hình OSI rút gọn .................................................................. 33

7

HÌNH 3.3 Client gửi u cầu đến Server .................................................... 34

8

HÌNH 3.4 Server chấp nhận yêu cầu và tạo một socket để phục vụ Client ........ 35

9

HÌNH 3.5 Phân loại các tập tin chương trình .............................................. 40

10

HÌNH 4.1 Mơ hình ứng dụng Firewall ........................................................ 41

11

HÌNH 4.2 Sơ đồ hoạt động của hệ thống Firewall ...................................... 42

12

HÌNH 4.3 Mơ hình chức năng chương trình Firewall Client ...................... 43

13


HÌNH 4.4 Giao diện khi khởi động firewall client...................................... 43

14

HÌNH 4.5 Màn hình quản lý việc tạo luật IP .............................................. 44

15

HÌNH 4.6 Màn hình sau khi thêm một luật ................................................. 45

16

HÌNH 4.7 Màn hình để chỉnh sửa luật. ....................................................... 45

17

HÌNH 4.8 Màn hình sau khi sửa một tập luật ............................................. 46

18

HÌNH 4.9 Màn hình sau khi xóa luật .......................................................... 46

19

HÌNH 4.10 Màn hình quản lý luật chương trình ........................................... 47

20

HÌNH 4.11 Thêm một chương trình vào luật cấm thực thi. .......................... 47


21

HÌNH 4.12 Màn hình quản lý việc phân giải địa chỉ trang web dưới dạng IP ..... 48

22

HÌNH 4.13 Chuyển chế độ người dùng......................................................... 48

23

HÌNH 4.14 Màn hình thơng báo khi Client chạy một chương trình. ............ 49

24

HÌNH 4.15 Khung đăng nhập vào tài khoản quản trị.................................... 49

25

HÌNH 4.16 Bảng thơng báo khi chạy chương trình ở chế độ quản trị .......... 49

26

HÌNH 4.17 Màn hình sau khi thêm luật chương trình. ................................. 50

27

HÌNH 4.18 Màn hình Qt virus ................................................................... 50

28


HÌNH 4.19 Quét virus theo thư mục ............................................................. 51

29

HÌNH 4.20 Thơng báo chương trình nhiễm virus ......................................... 51


xi

DANH MỤC HÌNH ẢNH
Stt

Hình

Mơ tả

Trang

30

HÌNH 4.21 Mơ hình chức năng chương trình Firewall Server ..................... 52

31

HÌNH 4.22 Giao diện chương trình Firewall Server ..................................... 52

32

HÌNH 4.23 Quản lý các Firewall Client ........................................................ 53


33

HÌNH 4.24 Quản lý luật IP của Client từ Server........................................... 54

34

HÌNH 4.25 Quản lý luật chương trình của Client từ Server ......................... 54

35

HÌNH 4.26 Màn hình quản lý việc phân giải IP của trang web .................... 54

36

HÌNH 4.27 Màn hình thơng báo có chương trình chạy ở Client ................... 55


xii

DANH MỤC BIỂU ĐỒ
Stt

Biểu đồ

1

BIỂU ĐỒ 2.1

Mô tả


Trang

Biểu đồ so sánh tỷ lệ phân bố các lớp virus máy tính ............ 17

2 BIỂU ĐỒ 2.2a Biểu đồ tăng trưởng các lớp virus máy tính ........................... 19
3 BIỂU ĐỒ 2.2b Biểu đồ tăng trưởng các lớp virus máy tính ........................... 19


MỤC LỤC
Trang
LỜI CẢM ƠN .................................................................................................................... i
LỜI CAM ĐOAN ............................................................................................................. ii
TÓM TẮT ........................................................................................................................ iii
MỤC LỤC ........................................................................................................................ iv
DANH MỤC KÝ HIỆU, CÁC CHỮ VIẾT TẮT ........................................................... vii
DANH MỤC BẢNG BIỂU ............................................................................................. ix
DANH MỤC HÌNH ẢNH ................................................................................................ x
DANH MỤC BIỂU ĐỒ .................................................................................................. xii
CHƯƠNG 1 MỞ ĐẦU ..................................................................................................... 1
1.1 . Giới thiệu đề tài ........................................................................................................ 1
1.1.1. Lý do chọn đề tài .............................................................................................. 1
1.1.2. Mục tiêu đề tài .................................................................................................. 1
1.2 . Đối tượng, phạm vi nghiên cứu của đề tài................................................................ 2
1.3. Ý nghĩa khoa học và thực tiễn của đề tài .................................................................. 2
1.4. Cấu trúc của luận văn ................................................................................................. 3
CHƯƠNG 2 MỘT SỐ CÔNG NGHỆ BẢO MẬT MẠNG MÁY TÍNH ........................ 4
2.1. Tổng quan về tường lửa (Firewall) ........................................................................... 4
2.1.1. Đặt vấn đề ........................................................................................................... 4
2.1.2. Khái niệm tường lửa............................................................................................ 4

2.1.3. Lịch sử tường lửa ................................................................................................ 4
2.1.4. Các kiểu tấn công mạng ...................................................................................... 6
2.1.4.1. Tấn công trực tiếp ........................................................................................ 6
2.1.4.2. Kỹ thuật đánh lừa (Social Engineering) ....................................................... 6
2.1.4.3. Kỹ thuật tấn công vào vùng ẩn..................................................................... 6
2.1.4.4. Tấn công vào các lỗ hổng bảo mật ............................................................... 6
2.1.4.5. Khai thác tình trạng tràn bộ đệm:................................................................. 7
2.1.4.6. Nghe trộm..................................................................................................... 7
2.1.4.7. Kỹ thuật giả mạo địa chỉ .............................................................................. 7
2.1.4.8. Kỹ thuật chèn mã lệnh ................................................................................. 7
2.1.4.9. Tấn công vào hệ thống có cấu hình khơng an tồn ...................................... 7
2.1.4.10. Tấn công dùng Cookies.............................................................................. 8
2.1.5. Các phương pháp bảo vệ ..................................................................................... 8


2.1.6. Tường lửa bảo vệ những gì? ............................................................................... 8
2.1.7. Các loại tường lửa ............................................................................................... 9
2.1.7.1. Có ba loại tường lửa cơ bản tùy theo: .......................................................... 9
2.1.7.2. Phân loại theo phạm vi của các giao tiếp được lọc ...................................... 9
2.1.7.3. Phân loại theo các tầng giao thức nơi dữ liệu có thể bị chặn ....................... 9
2.1.7.4. Phân loại theo tường lửa theo dõi trang thái .............................................. 10
2.1.8. Nguyên lý hoạt động của tường lửa .................................................................. 10
2.1.9. Một số kiến trúc tường lửa cơ bản .................................................................... 11
2.1.9.1. Dual – Homed host architecture: ............................................................... 11
2.1.9.2. Screened host architecture (SHA) .............................................................. 13
2.1.9.3. Screened subnet architecture ...................................................................... 14
2.1.9.4. Sử dụng nhiều Bastion hosts ...................................................................... 15
2.1.9.5. Ghép chung Interior Router và Exterior Router ........................................ 15
2.1.9.6. Kiến trúc ghép chung Bastion host và Exterior Router ............................. 16
2.2. Khảo sát virus máy tính............................................................................................ 16

2.3. Các cơ chế chẩn đốn virus máy tính ....................................................................... 18
2.3.1. Phát hiện virus dựa vào chuỗi nhận dạng.......................................................... 20
2.3.2. Phát hiện virus dựa vào hành vi ........................................................................ 20
2.3.3. Phát hiện virus dựa vào ý định .......................................................................... 21
2.4. Tình hình nghiên cứu và ứng dụng ở nước ngoài .................................................... 21
2.5. Các vấn đề mở của cơng nghệ anti-virus ................................................................ 22
CHƯƠNG 3 NGHIÊN CỨU CƠNG NGHỆ SỬ DỤNG TRONG TƯỜNG LỬA ..... 23
3.1. WINDOWS FILTERING PLATFORM (WFP) ...................................................... 23
3.1.1. Giới thiệu Windows Filtering Platform ............................................................ 23
3.1.2. Những lợi ích khi sử dụng WFP ....................................................................... 24
3.1.3. Kiến trúc của WFP ............................................................................................ 25
3.1.4. Tính năng của WFP ........................................................................................... 27
3.1.5. Các WFP APIs được dùng để viết chương trình tường lửa ........................... 28
3.2. SOCKET .................................................................................................................. 31
3.2.1. Lịch sử hình thành ............................................................................................. 31
3.2.2. Định nghĩa Socket ............................................................................................. 32
3.2.3. Nguyên lý hoạt động ......................................................................................... 33
3.2.4. Socket hỗ trợ TCP ............................................................................................. 34
3.2.5. Socket hỗ trợ UDP ............................................................................................ 35
3.2.6. Các thuộc tính của socket .................................................................................. 35
3.2.7. Một số hàm thông dụng cùa socket ................................................................... 37


3.3. Nhận dạng virus dạng thực thi ................................................................................ 39
3.3.1. Các định dạng dữ liệu bị nhiễm virus ............................................................... 39
3.3.2. Tập tin chương trình .......................................................................................... 39
CHƯƠNG 4 XÂY DỰNG HỆ THỐNG VÀ THỰC NGHIỆM..................................... 41
4.1. Giới thiệu hệ thống ................................................................................................... 41
4.1.1. Mơ hình của hệ thống tường lửa ....................................................................... 41
4.1.2. Sơ đồ hoạt động của tường lửa ......................................................................... 42

4.2. Chương trình Firewall Client ................................................................................... 42
4.2.1. Chức năng chính ............................................................................................... 42
4.2.2. Mơ hình chức năng............................................................................................ 43
4.2.3. Giao diện đồ họa của Firewall Client................................................................ 43
4.3. Chương trình Firewall Server .................................................................................. 51
4.3.1. Chức năng chính ............................................................................................... 51
4.3.2. Mơ hình chức năng............................................................................................ 52
4.3.3. Giao diện đồ họa của Firewall Server ............................................................... 52
4.4. So sánh giải pháp với phần mềm khác ..................................................................... 55
CHƯƠNG 5 KẾT LUẬN................................................................................................ 57
5.1. Kết quả đạt được ...................................................................................................... 57
5.2. Hạn chế của đề tài, hướng khắc phục....................................................................... 57
5.3. Hướng phát triển tương lai ....................................................................................... 58
TÀI LIỆU THAM KHẢO


1

CHƯƠNG 1
MỞ ĐẦU
1.1 . Giới thiệu đề tài
1.1.1. Lý do chọn đề tài
Ngày nay công nghệ thông tin trở thành một lĩnh vực mũi nhọn trong công
cuộc phát triển kinh tế xã hội. Cùng với công nghệ sinh học và năng lượng
mới, công nghệ thông tin (CNTT) vừa là công cụ, vừa là động lực thúc đẩy
q trình cơng nghiệp hóa, hiện đại hóa đất nước. Trong giai đoạn hội nhập
quốc tế, CNTT giữ vai trò đặc biệt quan trọng trong việc xử lý tính tốn dữ
liệu, kết nối thơng tin liên lạc của các đơn vị tổ chức trong và ngoài nước. Bảo
vệ an toàn dữ liệu cho các hệ thống tính tốn, giữ vững an ninh mạng, đảm bảo
liên lạc thơng suốt, duy trì chất lượng phục vụ luôn là vấn đề quan tâm hàng đầu

của các nhà quản trị hệ thống.
Sự phát triển của Internet tạo điều kiện cho các loại hình xâm nhập luận
lý trái phép vào các hệ thống CNTT cả chiều rộng và chiều sâu. Mỗi ngày các
hệ thống mạng phải đối phó với hàng loạt đợt tấn công mạng khiến nhiều hệ
thống bị đình trệ, tắc nghẽn và tê liệt; gây thiệt hại khơng nhỏ. Dự án nghiên
cứu về sự phát triển tồn cầu của Viện Hàn lâm Công nghệ Quốc gia Mỹ
(National Academy of Engineering, USA - 2008) nhận định vấn đề an ninh
thông tin là một trong 14 thách thức công nghệ lớn nhất của thế kỷ 21 mà nếu
giải quyết được, cuộc sống con người sẽ được cải thiện đáng kể [15].
Trong bối cảnh đó, đề tài “Xây dựng hệ thống tường lửa mạng nội bộ”
được tiến hành nhằm góp phần giải quyết vấn đề bảo vệ an toàn cho các hệ
thống CNTT nói chung và hệ thống mạng nội bộ trường Đại học Lạc Hồng nói
riêng.
1.1.2. Mục tiêu đề tài
Ngày càng có nhiều người kết nối mạng Internet và các công ty, tổ chức
ngày càng mở rộng hệ thống mạng, vấn đề bảo mật cho mạng nội bộ trở nên khó
khăn hơn bao giờ hết. Hiện nay, nhiều phương pháp đã được đưa ra phát triển để
đảm bảo an toàn cho cơ sở hạ tầng và giao tiếp trên Internet.


2
Trên cơ sở xác định loại hình nghiên cứu của đề tài là nghiên cứu ứng
dụng, mục tiêu của đề tài là xây dựng hệ thống tường lửa mạng nội bộ, tiếp đến
tích hợp nhận dạng virus máy tính với các tiêu chí cơ bản:
-

Xây dựng hệ thống tường lửa có khả năng cấm những chương trình nguy
hiểm cố gắng ra mạng.

-


Quyết định chương trình nào được phép thực thi, được kết nối internet.

-

Nhận dạng nhanh, phát hiện chính xác các trường hợp lây nhiễm, tiềm ẩn
của các virus đã biết trên hệ thống đích.

1.2 . Đối tượng, phạm vi nghiên cứu của đề tài
Có ba vấn đề cân nhắc khi nghiên cứu xây dựng hệ thống tường mạng nội
bộ là môi trường (hệ điều hành, kiến trúc máy), phương tiện (Cơ sở hạ tầng
mạng) và người dùng (cộng đồng sử dụng). Mặc dù có nhiều loại hệ thống
tường lửa máy tính được xây dựng trên nhiều hệ thống và mơi trường khác
nhau, nhưng do tính phổ biến của Windows, để đáp ứng nhu cầu thực tế bức
thiết, đề tài tập trung nghiên cứu quản lý hệ thống tường lửa mạng nội bộ hoạt
động trên hệ điều hành (HĐH) Windows.
Mặc dù vậy, đề tài cũng được định hướng nghiên cứu để có thể mở rộng kết
quả nghiên cứu cho các HĐH khác Windows.
1.3. Ý nghĩa khoa học và thực tiễn của đề tài
Đề tài sau khi hồn thành có khả năng giám sát, bảo vệ an tồn mạng nội
bộ thơng qua hệ thống tường lửa.
Giúp cho việc quản trị hệ thống dễ dàng hơn thơng qua giao tiếp chương
trình tường lửa đơn giản, dễ sử dụng.
Giải quyết được nhu cầu thực tế trong việc quản lý bảo vệ an toàn thông
tin.


3

1.4. Cấu trúc của luận văn

Trong luận văn được chia làm năm chương:
 Chương 1: Trình bày lý do chọn đề tài, mục tiêu và phạm vi nghiên cứu.
 Chương 2: Chương này giới thiệu tổng quan về đề tài và tìm hiểu về Firewall
những ưu khuyết điểm của hệ thống tường lửa.
 Chương 3: Nội dung chương 3 tập trung giới thiệu và nghiên cứu các công
nghệ sử dụng trong chương trình Firewall. Nội dung chính là nghiên cứu về
Windows Filtering Platform, Socket và cách sử dụng nó trong luận văn. Mơ
tả sơ lược về virus máy tính.
 Chương 4: Đây là chương chính của khóa luận. Chương này sẽ trình bày nội
dung chương trình Firewall.
 Chương 5: Tổng kết, đánh giá ý nghĩa thực tiễn, phân tích hạn chế, đề xuất
các biện pháp khắc phục và dự kiến hướng phát triển tương lai của đề tài.


4

CHƯƠNG 2
MỘT SỐ CƠNG NGHỆ BẢO MẬT MẠNG MÁY TÍNH
2.1. Tổng quan về tường lửa (Firewall)
2.1.1. Đặt vấn đề
Việc xây dựng một hệ thống bảo vệ, giám sát hoạt động những chương trình
ra ngồi Internet nhằm đảm bảo sự an toàn cho người sử dụng khi kết nối Internet
và việc quản lý hệ thống một cách dễ dàng là điều cần thiết. Đề tài tiến hành nghiên
cứu xây dựng hệ thống tường lửa mạng nội bộ nhằm giải quyết vấn đề trên.
2.1.2. Khái niệm tường lửa
Internet cho phép chúng ta truy cập tới mọi nơi trên thế giới thông qua một
số dịch vụ. Ngồi trước máy tính có thể biết được thơng tin trên tồn cầu, nhưng
cũng chính vì thế mà hệ thống máy tính có thể bị xâm nhập vào bất kỳ lúc nào
mà không hề được biết trước. Do vậy, việc bảo vệ hệ thống là một vấn đề đáng
phải được quan tâm đặt lên hàng đầu và khái niệm Firewall ra đời để giải quyết

vấn đề này.
Tường lửa là một thiết bị phần cứng hoặc phần mềm được đặt giữa máy
tính và Internet, bức tường lửa là rào chắn mà một số cá nhân, tổ chức, doanh
nghiệp, cơ quan nhà nước lập ra nhằm ngăn chặn người dùng mạng Internet truy
cập các thông tin không mong muốn hoặc ngăn chặn người dùng từ bên ngoài
truy nhập các thông tin bảo mật nằm trong mạng nội bộ.
2.1.3. Lịch sử tường lửa
Công nghệ tường lửa bắt đầu xuất hiện vào cuối những năm 1980 khi
Internet vẫn còn là một cơng nghệ khá mới mẻ theo khía cạnh kết nối và sử dụng
trên toàn cầu.Ý tưởng đầu tiên được đã hình thành sau khi hàng loạt các vụ xâm
phạm nghiêm trọng đối với an ninh liên mạng xảy ra vào cuối những năm 1980.
Năm 1988, một nhân viên tại trung tâm nghiên cứu NASA Ames tại California
gửi một bản ghi nhớ qua thư điện tử tới đồng nghiệp rằng: "Chúng ta đang bị một
con VIRUS Internet tấn cơng! Nó đã đánh Berkeley, UC San Diego, Lawrence
Livermore, Stanford, và NASA Ames". Con virus được biết đến với tên Sâu
Morris này đã được phát tán qua thư điện tử và khi đó đã là một sự khó chịu
chung ngay cả đối với những người dùng vô thưởng vô phạt nhất. Sâu Morris là


5
cuộc tấn công diện rộng đầu tiên đối với an ninh Internet. Cộng đồng mạng đã
không hề chuẩn bị cho một cuộc tấn cơng như vậy và đã hồn tồn bị bất ngờ.
Sau đó, cộng đồng Internet đã quyết định rằng ưu tiên tối cao là phải ngăn chặn
không cho một cuộc tấn cơng bất kỳ nào nữa có thể xảy ra, họ bắt đầu cộng tác
đưa ra các ý tưởng mới, những hệ thống và phần mềm mới để làm cho mạng
Internet có thể trở lại an tồn.
Năm 1988, bài báo đầu tiên về công nghệ tường lửa được công bố, khi Jeff
Mogul thuộc Digital Equipment Corp phát triển các hệ thống lọc đầu tiên được
biết đến với tên các tường lửa lọc gói tin. Hệ thống khá cơ bản này đã là thế hệ
đầu tiên của cái mà sau này sẽ trở thành một tính năng kỹ thuật an toàn mạng

được phát triển cao. Từ năm 1980 đến năm 1990, hai nhà nghiên cứu tại phịng
thí nghiệm AT&T Bell, Dave Presetto và Howard Trickey, đã phát triển thế hệ
tường lửa thứ hai, được biến đến với tên các tường lửa tầng mạch (circuit level
firewall). Các bài báo của Gene Spafford ở Đại học Purdue, Bill Cheswick ở
phịng thí nghiệm AT&T và Marcus Ranum đã mô tả thế hệ tường lửa thứ ba, với
tên gọi tường lửa tầng ứng dụng (application layer firewall), hay tường lửa dựa
proxy (proxy-based firewall). Nghiên cứu công nghệ của Marcus Ranum đã khởi
đầu cho việc tạo ra sản phẩn thương mại đầu tiên. Sản phẩm này đã được Digital
Equipment Corporation's (DEC) phát hành với tên SEAL. Đợt bán hàng lớn đầu
tiên của DEC là vào ngày 13 tháng 9 năm 1991 cho một công ty hóa chất tại bờ
biển phía Đơng của Mỹ.
Tại AT&T, Bill Cheswick và Steve Bellovin tiếp tục nghiên cứu của họ về
lọc gói tin và đã phát triển một mơ hình chạy được cho cơng ty của chính họ, dựa
trên kiến trúc của thế hệ tường lửa thứ nhất của mình. Năm 1992, Bob Braden và
Annette DeSchon tại Đại học Nam California đã phát triển hệ thống tường lửa
lọc gói tin thế hệ thứ tư. Sản phẩm có tên “Visas” này là hệ thống đầu tiên có
một giao diện với màu sắc và các biểu tượng, có thể dễ dàng cài đặt thành phần
mềm cho các hệ điều hành chẳng hạn Microsoft Windows và Mac/OS của Apple
và truy nhập từ các hệ điều hành đó. Năm 1994, một cơng ty Israel có tên Check
Point Software Technologies đã xây dựng sản phẩm này thành một phần mềm
sẵn sàng cho sử dụng, đó là FireWall-1. Một thế hệ thứ hai của các tường lửa
proxy đã được dựa trên công nghệ Kernel Proxy. Thiết kế này liên tục được cải


6
tiến nhưng các tính năng và mã chương trình cơ bản hiện đang được sử dụng
rộng rãi trong cả các hệ thống máy tính gia đình và thương mại. Cisco, một trong
những công ty an ninh mạng lớn nhất trên thế giới đã phát hành sản phẩm này
năm 1997.
2.1.4. Các kiểu tấn công mạng

2.1.4.1. Tấn công trực tiếp
Sử dụng một máy tính để tấn cơng một máy tính khác với mục đích dị
tìm mật mã, tên tài khoản tương ứng, … Họ có thể sử dụng một số chương trình
giải mã để giải mã các file chứa password trên hệ thống máy tính của nạn nhân.
Do đó, những mật khẩu ngắn và đơn giản thường rất dễ bị phát hiện.
2.1.4.2. Kỹ thuật đánh lừa (Social Engineering)
Đây là thủ thuật được nhiều hacker sử dụng cho các cuộc tấn công và thâm
nhập vào hệ thống mạng và máy tính bởi tính đơn giản mà hiệu quả của nó.
Thường được sử dụng để lấy cấp mật khẩu, thông tin, tấn công vào và phá hủy hệ
thống.
2.1.4.3. Kỹ thuật tấn công vào vùng ẩn
Những phần bị giấu đi trong các website thường chứa những thông tin về
phiên làm việc của các Client. Các phiên làm việc này thường được ghi lại ở máy
khách chứ không tổ chức cơ sở dữ liệu trên máy chủ. Vì vậy, người tấn cơng có
thể sử dụng chiêu chức View Source của trình duyệt để đọc phần đầu đi này và
từ đó có thể tìm ra các sơ hở của trang Web mà họ muốn tấn công. Từ đó, có thể
tấn cơng vào hệ thống máy chủ.
2.1.4.4. Tấn công vào các lỗ hổng bảo mật
Hiện nay các lỗ hổng bảo mật được phát hiện càng nhiều trong các hệ điều
hành, các web server hay các phần mềm khác, ... Và các hãng sản xuất luôn cập
nhật các lỗ hổng và đưa ra các phiên bản mới sau khi đã vá lại các lỗ hổng của
các phiên bản trước. Do đó, người sử dụng phải ln cập nhật thơng tin và nâng
cấp phiên bản cũ mà mình đang sử dụng nếu không các hacker sẽ lợi dụng điều
này để tấn công vào hệ thống.


7
2.1.4.5. Khai thác tình trạng tràn bộ đệm:
Tràn bộ đệm là một tình trạng xảy ra khi dữ liệu được gởi quá nhiều so với
khả năng xử lý của hệ thống hay CPU. Nếu hacker khai thác tình trạng tràn bộ

đệm này thì họ có thể làm cho hệ thống bị tê liệt hoặc làm cho hệ thống mất khả
năng kiểm soát.
Để khai thác được việc này, hacker cần biết kiến thức về tổ chức bộ nhớ,
stack, các lệnh gọi hàm Shellcode.
2.1.4.6. Nghe trộm
Các hệ thống truyền đạt thông tin qua mạng đôi khi không chắc chắn lắm
và lợi dụng điều này, hacker có thể truy cập vào data paths để nghe trộm luồng
dữ liệu truyền qua.
2.1.4.7. Kỹ thuật giả mạo địa chỉ
Thơng thường, các mạng máy tính nối với Internet đều được bảo vệ bằng
tường lửa. Tường lửa có thể hiểu là cổng duy nhất mà người đi vào nhà hay đi ra
cũng phải qua đó. Tường lửa hạn chế rất nhiều khả năng tấn cơng từ bên ngồi và
gia tăng sự tin tưởng lẫn nhau trong việc sử dụng tài nguyên chia sẻ trong mạng
nội bộ.
2.1.4.8. Kỹ thuật chèn mã lệnh
Một kỹ thuật tấn công căn bản và được sử dụng cho một số kỹ thuật tấn
công khác là chèn mã lệnh vào trang web từ một máy khách bất kỳ của người tấn
công.
Kỹ thuật chèn mã lệnh cho phép người tấn công đưa mã lệnh thực thi vào
phiên làm việc trên web của một người dùng khác. Khi mã lệnh này chạy, nó sẽ
cho phép người tấn công thực hiện nhiều việc như giám sát phiên làm việc trên
trang web hoặc có thể tồn quyền điều khiển máy tính của nạn nhân. Kỹ thuật tấn
cơng này thành công hay thất bại tùy thuộc vào khả năng và sự linh hoạt của
người tấn công.
2.1.4.9. Tấn công vào hệ thống có cấu hình khơng an tồn
Cấu hình khơng an toàn cũng là một lỗ hổng bảo mật của hệ thống. Các lỗ
hổng này được tạo ra do các ứng dụng có các thiết lập khơng an tồn hoặc người
quản trị hệ thống cấu hình khơng an tồn. Chẳng hạn như cấu hình máy chủ web



8
cho phép ai cũng có quyền duyệt qua hệ thống thư mục. Việc thiết lập như trên
có thể làm lộ các thông tin nhạy cảm như mã nguồn, mật khẩu hay các thông tin
của khách hàng.
2.1.4.10. Tấn công dùng Cookies
Cookie là những phần tử dữ liệu nhỏ có cấu trúc được chia sẻ giữa website
và trình duyệt của người dùng.
Cookies được lưu trữ dưới những tập tin dữ liệu nhỏ dạng text. Chúng được
các trình duyệt tạo ra để lưu trữ, truy tìm, nhận biết các thơng tin về người dùng
đã ghé thăm và những vùng mà họ đi qua. Những thơng tin này có thể bao gồm
tên, định danh người dùng, mật khẩu, sở thích, thói quen, … Cookies được trình
duyệt của người dùng chấp nhận lưu trên đĩa cứng của máy tính, khơng phải trình
duyệt nào cũng hỗ trợ cookies.
Vơ hiệu hóa dịch vụ: Kiểu tấn cơng này thông thường làm tê liệt một số
dịch vụ, được gọi là DOS (Denial of Service)
2.1.5. Các phương pháp bảo vệ
 Xây dựng hệ thống tường lửa: Phổ biến nhất là các sản phẩm thương mại
như của Checkpoint, Cisco. Tường lửa Open Source phổ biến là
Netfilter/Iptable
 Dùng phần mềm antivirus.
 Phương pháp kiểm soát lối vào.
 Ngăn cản sự xâm nhập trái phép vào hệ thống: IDS phổ biến nhất là Snort
 Mã hoá dữ liệu trước khi truyền.
 Dùng chữ ký số trước khi truyền.
 Xây dựng một chính sách an toàn cho hệ thống.
 Xây dựng mạng riêng ảo.
 Các cơng cụ đánh giá tính an tồn.
2.1.6. Tường lửa bảo vệ những gì?
 Dữ liệu: đây là nhu cầu đầu tiên khi cần sử dụng tường lửa để bảo vệ nhằm
các yêu cầu sau:

o Tính bảo mật: Đây là những thơng tin quan trong mà cần phải giữ kín.
o Tính tồn vẹn: Thơng tin khơng bị thay đổi, hay bị đánh tráo.


9
o Tính kịp thời: Đảm bảo sự cần thiết kịp thời khi có yêu cầu.
 Tài nguyên: Khi hệ thống bị xâm nhập thì những hacker có thể sử dụng tài
nguyên để mưu đồ riêng.
 Danh tiếng: Đây là vấn đề hết sức quan tâm của các cơng ty có danh tiếng
lớn. Trong trường hợp, người quản trị chỉ biết khi hệ thống đã bị tấn công và
dùng bàn đạp để tấn cơng hệ thống khác thì hậu quả thiệt hại về danh tiếng
rất lớn.
2.1.7. Các loại tường lửa
2.1.7.1. Có ba loại tường lửa cơ bản tùy theo:
 Giao tiếp được thực hiện giữa một nút đơn và mạng, hay giữa một số
mạng.
 Giao tiếp được chặn tại tầng mạng, hay tại tầng ứng dụng.
 Tường lửa có theo dõi trạng thái của giao tiếp hay không.
2.1.7.2. Phân loại theo phạm vi của các giao tiếp được lọc
 Tường lửa cá nhân, một ứng dụng phần mềm với chức năng thơng
thường là lọc dữ liệu ra vào một máy tính đơn.
 Tường lửa mạng, thường chạy trên một thiết bị mạng hay máy tính
chuyên dụng đặt tại ranh giới của hai hay nhiều mạng hoặc các khu phi
quân sự (mạng con trung gian nằm giữa mạng nội bộ và mạng bên
ngoài). Một tường lửa thuộc loại này lọc tất cả dữ liệu vào hoặc ra của
các mạng được kết nối qua nó.
2.1.7.3. Phân loại theo các tầng giao thức nơi dữ liệu có thể bị chặn
 Tường lửa tầng mạng (iptables)
 Tường lửa tầng ứng dụng (TCP Wrappers)
 Tường lửa ứng dụng (hạn chế các dịch vụ ftp bằng việc định cấu hình tại

tệp /etc/ftpaccess)


10
2.1.7.4. Phân loại theo tường lửa theo dõi trang thái
 Tường lửa có trạng thái (Stateful firewall)
 Tường lửa phi trạng thái (Stateless firewall)

HÌNH 2.1: Mơ hình tường lửa bảo vệ hệ thống mạng nội bộ
2.1.8. Nguyên lý hoạt động của tường lửa
Khi nói đến việc lưu thơng dữ liệu giữa các mạng với nhau thơng qua tường
lửa có nghĩa rằng tường lửa hoạt động chặt chẽ với giao thức TCP/IP. Vì giao
thức này làm việc theo thuật tốn chia nhỏ các dữ liệu nhận được từ các ứng
dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức
(SMTP, DNS,…) [3] thành các gói dữ liệu (data pakets) rồi gán cho các paket
này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các
loại tường lửa cũng liên quan rất nhiều đến các packet và những địa chỉ của
chúng. Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó
kiểm tra tồn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn
một trong số các luật lệ của lọc packet hay không. Các luật lệ lọc packet này là
dựa trên các thông tin ở đầu mỗi packet (packet header), dùng để cho phép truyền
các packet đó ở trên mạng. Đó là:


Địa chỉ IP nơi xuất phát ( IP Source address)



Địa chỉ IP nơi nhận (IP Destination address)




Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)



Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)


11


Cổng TCP/UDP nơi nhận (TCP/UDP destination port)



Dạng thông báo ICMP ( ICMP message type)



Giao diện packet đến ( incomming interface of packet)



Giao diện packet đi ( outcomming interface of packet)
Nếu luật lệ lọc packet được thỏa mãn thì packet được chuyển qua tường

lửa. Nếu không packet sẽ bị bỏ đi. Nhờ vậy mà tường lửa có thể ngăn cản được
các kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khóa việc
truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Hơn nữa,

việc kiểm soát các cổng làm cho tường lửa có khả năng chỉ cho phép một số loại
kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào
đó (Telnet, SMTP, FTP…) được phép mới chạy được trên hệ thống mạng cục
bộ.
2.1.9. Một số kiến trúc tường lửa cơ bản
2.1.9.1. Dual – Homed host architecture:

HÌNH 2.2: Kiến trúc Dual – Homed host architecture
Đây là kiến trúc đơn giản nhất. Kiến trúc này sẽ sử dụng một máy tính có ít
nhất 2 card giao tiếp (dual- homed host ). Máy tính này sẽ là cầu nối giữa mạng