Nghiên cứu một số giải pháp bảo đảm an
ninh mạng, thử nghiệm áp dụng cho
trung tâm tích hợp dữ liệu tỉnh tuyên
quang
Biên tập bởi:
Đinh Việt Hải


Nghiên cứu một số giải pháp bảo đảm an
ninh mạng, thử nghiệm áp dụng cho
trung tâm tích hợp dữ liệu tỉnh tuyên
quang
Biên tập bởi:
Đinh Việt Hải

Phiên bản trực tuyến:
/>

MỤC LỤC
1. Tổng quan về an tồn hệ thống thơng tin
2. Một số giải pháp nhằm đảm bảo an toàn an ninh mạng và bảo mật dữ liệu
Tham gia đóng góp

1/17


Tổng quan về an tồn hệ thống thơng tin
Nguy cơ đe doạ an ninh, an tồn thơng tin
Nguy cơ mất an tồn thơng tin do nhiều ngun nhân, đối tượng tấn công đa dạng…
Thiệt hại từ những vụ tấn công mạng là rất lớn, đặc biệt là những thông tin thuộc lĩnh
vực kinh tế, an ninh, quốc phịng… Do đó, việc xây dựng hàng rào kỹ thuật để ngăn

chặn những truy cập trái phép trở thành nhu cầu cấp bách trong các hoạt động truyền
thông.
Theo số liệu thống kê về hiện trạng bảo mật mới nhất công bố của Symantec, Việt Nam
đứng thứ 11 trên toàn cầu về các hoạt động đe dọa tấn công mạng. Những xu hướng đe
dọa bảo mật ngày càng gia tăng nổi bật hiện nay mà các tổ chức tại Việt Nam cần quan
tâm là: tấn cơng có chủ đích cao cấp, các mối đe dọa trên thiết bị di động, những vụ tấn
công độc hại và mất cắp dữ liệu. Thực tế, nguy cơ mất an ninh anh tồn mạng máy tính
cịn có thể phát sinh ngay từ bên trong. Nguy cơ mất an ninh từ bên trong xảy ra thường
lớn hơn nhiều, nguyên nhân chính là do người sử dụng có quyền truy nhập hệ thống nắm
được điểm yếu của hệ thống hay vơ tình tạo cơ hội cho những đối tượng khác xâm nhập
hệ thống.
Tóm lại, sự phát triển khơng ngừng của lĩnh vực công nghệ thông tin đã tạo điều kiện
thuận lợi cho mọi mặt của đời sống xã hội, bên cạnh những mặt thuận lợi, cũng có nhiều
nguy cơ về an tồn, bảo mật thơng tin dữ liệu.
Hệ thống máy tính ln bị đe dọa bởi các nguy cơ mất an tồn. Một trong những cơng
việc để bảo vệ hệ thống là làm sao giúp hệ thống tránh khỏi các nguy cơ đó. Có 4 loại
mối đe dọa an tồn:
Chặn bắt (Interception): chỉ thành phần khơng được phép cũng có thể truy cập đến các
dịch vụ hay các dữ liệu, “nghe trộm” thông tin đang được truyền đi.
Đứt đoạn (Interruption): là mối đe dọa mà làm cho dịch vụ hay dữ liệu bị mất mát, bị
hỏng, không thể dùng được nữa…
Thay đổi (Modification): là hiện tượng thay đổi dữ liệu hay can thiệp vào các dịch vụ
làm cho chúng không cịn giữ được các đặc tính ban đầu.
Giả mạo(Fabrication): là hiện tượng thêm vào dữ liệu ban đầu các dữ liệu hay hoạt
động đặc biệt mà không thể nhận biết được để ăn cắp dữ liệu của hệ thống.

2/17


Những vấn đề đảm bảo an ninh và an toàn mạng

Yếu tố đầu tiên phải nói đến là dữ liệu, những thơng tin lưu trữ trên hệ thống máy tính
cần được bảo vệ do các yêu cầu về tính bảo mật, tính tồn vẹn hay tính kịp thời. Thơng
thường u cầu về bảo mật được coi là yêu cầu quan trọng đối với thông tin lưu trữ trên
mạng. Tuy nhiên, ngay cả khi những thơng tin khơng bí mật, thì u cầu về tính tồn
vẹn cũng rất quan trọng. Khơng một cá nhân, một tổ chức nào lãng phí tài nguyên vật
chất và thời gian để lưu trữ những thông tin mà khơng biết về tính đúng đắn của những
thơng tin đó.
Yếu tố thứ hai là về tài nguyên hệ thống, sau khi những kẻ tấn công đã làm chủ được hệ
thống chúng sẽ sử dụng các máy này để chạy các chương trình như dị tìm mật khẩu để
tấn công vào hệ thống mạng.
Yếu tố thứ ba là danh tiếng một khi dữ liệu bị đánh cắp thì việc nghi ngờ nhau trong tổ
chức là điều không tránh khỏi, vì vậy sẽ ảnh hưởng đến danh tiếng của tổ chức rất nhiều.
Sau đây là một số phương thức bảo đảm an tồn, bảo mật thơng tin, dữ liệu:
Mật mã (Cryptography): là việc thực hiện chuyển đổi dữ liệu theo một quy tắc nào đó
thành dạng mới mà kẻ tấn công không nhận biết được.
Xác thực (Authentication): là các thao tác để nhận dạng người dùng, nhận dạng client
hay server…
Ủy quyền (Authorization): chính là việc phân định quyền hạn cho mỗi thành phần đã
đăng nhập thành công vào hệ thống. Quyền hạn này là các quyền sử dụng dịch vụ, truy
cập dữ liệu…
Kiểm toán (Auditing): là các phương pháp để xác định được client đã truy cập đến dữ
liệu nào và bằng cách nào.

An toàn hệ thống và an toàn dữ liệu
Đối tượng tấn công mạng.
Là đối tượng sử dụng kỹ thuật về mạng để dị tìm các lỗ hổng bảo mật trên hệ thống để
thực hiện xâm nhập và chiếm đoạt thông tin bất hợp pháp.
Các đối tượng tấn công mạng:
Hacker: Xâm nhập vào mạng trái phép bằng cách sử dụng các công cụ phá mật khẩu
hoặc khai thác các điểm yếu của hệ thống.


3/17


Masquerader: Giả mạo thông tin, địa chỉ IP, tên miền, định danh người dùng…
Eavesdropping: Là đối tượng nghe trộm thông tin trên mạng để lấy cắp thông tin.
Các lỗ hổng trong bảo mật và phương thức tấn công mạng.
Là những điểm yếu trên hệ thống mà dựa vào đó đối tượng tấn cơng có thể xâm nhập
trái phép vào hệ thống.
Các loại lỗ hổng trong bảo mật:
• Lỗ hổng loại C: Cho phép thực hiện hình thức tấn cơng theo kiểu DoS (Denial
of Services – Từ chối dịch vụ) làm ảnh hưởng tới chất lượng dịch vụ, ngưng
trệ, gián đoạn hệ thống, nhưng không phá hỏng dữ liễu hoặc đoạt được quyền
truy cập hệ thống.
• Lỗ hổng loại B: Lỗ hổng cho phép người sử dụng có thêm các quyền trên hệ
thống mà khơng cần kiểm tra tính hợp lệ dẫn đến lộ, lọt thơng tin.
• Lỗ hổng loại A: Cho phép người ngồi hệ thống có thể truy cập bất hợp pháp
vào hệ thống, có thể phá hủy tồn bộ hệ thống.
Các hình thức tấn cơng mạng phổ biến:
• Tấn cơng trực tiếp: Sử dụng một máy tính để tấn cơng một máy tính khác với
mục đích dị tìm mật mã, tên tài khoản tương ứng, …. Kẻ tấn cơng có thể sử
dụng một số chương trình giải mã để giải mã các file chứa password trên hệ
thống máy tính của nạn nhân. Do đó, những mật khẩu ngắn và đơn giản thường
rất dễ bị phát hiện.
• Kỹ thuật đánh lừa (Social Engineering): Đây là thủ thuật được nhiều hacker sử
dụng cho các cuộc tấn công thâm nhập vào hệ thống mạng và máy tính bởi tính
đơn giản mà hiệu quả của nó. Kỹ thuật này thường được sử dụng để lấy cắp
mật khẩu, thông tin, tấn công vào và phá hủy hệ thống. Ví dụ, kỹ thuật đánh lừa
Fake Email Login.
• Kỹ thuật tấn cơng vào vùng ẩn: Những phần bị dấu đi trong các website thường

chứa những thông tin về phiên làm việc của các client. Các phiên làm việc này
thường được ghi lại ở máy khách chứ không tổ chức cơ sở dữ liệu trên máy
chủ. Vì vậy, người tấn cơng có thể sử dụng chiêu thức View Source của trình
duyệt để đọc phần đầu đi này và từ đó có thể tìm ra các sơ hở của trang Web
mà họ muốn tấn cơng. Từ đó, có thể tấn cơng vào hệ thống máy chủ.
• Tấn công vào các lỗ hổng bảo mật: Hiện, nay các lỗ hổng bảo mật được phát
hiện càng nhiều trong các hệ điều hành, các web server hay các phần mềm
khác, ... Các hãng sản xuất cũng luôn cập nhật các bản vá lỗ hổng và đưa ra các
phiên bản mới sau khi đã vá lại các lỗ hổng của các phiên bản trước. Do đó,

4/17


•

•

•

•

•

•

người sử dụng phải luôn cập nhật thông tin và nâng cấp phiên bản cũ mà mình
đang sử dụng để tránh các hacker lợi dụng điều này tấn công vào hệ thống.
Khai thác tình trạng tràn bộ đệm: Tràn bộ đệm là một tình trạng xảy ra khi dữ
liệu được gửi quá nhiều so với khả năng xử lý của hệ thống hay CPU. Nếu
hacker khai thác tình trạng tràn bộ đệm này thì họ có thể làm cho hệ thống bị tê

liệt hoặc làm cho hệ thống mất khả năng kiểm sốt.
Nghe trộm: Các hệ thống trao đổi thơng tin qua mạng đôi khi không được bảo
mật tốt và lợi dụng điều này, hacker có thể truy cập vào data paths để nghe
trộm hoặc đọc trộm luồng dữ liệu truyền qua.
Hacker nghe trộm sự truyền đạt thông tin, dữ liệu sẽ chuyển đến sniffing hoặc
snooping. Nó sẽ thu thập những thông tin quan trọng về hệ thống như một
packet chứa password và username của một ai đó.
Kỹ thuật giả mạo địa chỉ: Thơng thường, các mạng máy tính nối với Internet
đều được bảo vệ bằng tường lửa (fire wall). Tường lửa có thể hiểu là cổng duy
nhất mà người đi vào nhà hay đi ra cũng phải qua đó và sẽ bị “điểm mặt”.
Tường lửa hạn chế rất nhiều khả năng tấn cơng từ bên ngồi và gia tăng sự tin
tưởng lẫn nhau trong việc sử dụng tài nguyên chia sẻ trong mạng nội bộ.
Sự giả mạo địa chỉ nghĩa là người bên ngoài sẽ giả mạo địa chỉ máy tính của
mình là một trong những máy tính của hệ thống cần tấn công. Họ tự đặt địa chỉ
IP của máy tính mình trùng với địa chỉ IP của một máy tính trong mạng bị tấn
cơng. Nếu như làm được điều này, hacker có thể lấy dữ liệu, phá hủy thông tin
hay phá hoại hệ thống.
Kỹ thuật chèn mã lệnh:Một kỹ thuật tấn công căn bản và được sử dụng cho một
số kỹ thuật tấn công khác là chèn mã lệnh vào trang web từ một máy khách bất
kỳ của người tấn công.
Kỹ thuật chèn mã lệnh cho phép người tấn công đưa mã lệnh thực thi vào phiên
làm việc trên web của một người dùng khác. Khi mã lệnh này chạy, nó sẽ cho
phép người tấn cơng thực hiện nhiều hành vi như giám sát phiên làm việc trên
trang web hoặc có thể tồn quyền điều khiển máy tính của nạn nhân. Kỹ thuật
tấn cơng này thành cơng hay thất bại tùy thuộc vào khả năng và sự linh hoạt
của người tấn cơng.
Tấn cơng vào hệ thống có cấu hình khơng an tồn:Cấu hình khơng an tồn cũng
là một lỗ hổng bảo mật của hệ thống. Các lỗ hổng này được tạo ra do các ứng
dụng có các thiết lập khơng an tồn hoặc người quản trị hệ thống định cấu hình
khơng an tồn. Chẳng hạn như cấu hình máy chủ web cho phép ai cũng có

quyền duyệt qua hệ thống thư mục. Việc thiết lập như trên có thể làm lộ các
thơng tin nhạy cảm như mã nguồn, mật khẩu hay các thông tin của khách hàng.
Tấn công dùng Cookies:Cookie là những phần tử dữ liệu nhỏ có cấu trúc được
chia sẻ giữa website và trình duyệt của người dùng. Cookies được lưu trữ dưới
những file dữ liệu nhỏ dạng text (size dưới 4KB). Chúng được các site tạo ra để
lưu trữ, truy tìm, nhận biết các thông tin về người dùng đã ghé thăm site và
những vùng mà họ đi qua trong site. Những thông tin này có thể bao gồm tên,
định danh người dùng, mật khẩu, sở thích, thói quen,
5/17


• Can thiệp vào tham số trên URL: Đây là cách tấn công đưa tham số trực tiếp
vào URL. Việc tấn cơng có thể dùng các câu lệnh SQL để khai thác cơ sở dữ
liệu trên các máy chủ bị lỗi. Điển hình cho kỹ thuật tấn cơng này là tấn công
bằng lỗi “SQL INJECTION”. Kiểu tấn công này gọn nhẹ nhưng hiệu quả bởi
người tấn công chỉ cần một cơng cụ tấn cơng duy nhất là trình duyệt web và
backdoor.
• Vơ hiệu hóa dịch vụ: Kiểu tấn cơng này thông thường làm tê liệt một số dịch
vụ, được gọi là DOS (Denial of Service - Tấn công từ chối dịch vụ). Các tấn
công này lợi dụng một số lỗi trong phần mềm hay các lỗ hổng bảo mật trên hệ
thống, hacker sẽ ra lệnh cho máy tính của chúng gửi yêu cầu đến các máy chủ
ứng dụng, thường là các server trên mạng. Các yêu cầu này được gởi đến liên
tục làm cho hệ thống nghẽn mạch và một số dịch vụ sẽ không đáp ứng được
cho khách hàng thật sự.
• Một số kiểu tấn cơng khác
◦ Lỗ hổng không cần login: Nếu như các ứng dụng không được thiết kế
chặt chẽ, khơng ràng buộc trình tự các bước khi duyệt ứng dụng thì đây
là một lỗ hổng bảo mật mà các hacker có thể lợi dụng để truy cập thẳng
đến các trang thông tin bên trong mà không cần phải qua bước đăng
nhập.

◦ Thay đổi dữ liệu: Sau khi những người tấn công lấy được dữ liệu của
một hệ thống nào đó, họ có thể thay đổi dữ liệu này mà không quan tâm
đến người gửi và người nhận nó.
◦ Password-base Attact: Thơng thường, hệ thống khi mới cấu hình có
username và password mặc định. Sau khi cấu hình hệ thống, một số
admin vẫn khơng đổi lại các thiết lập mặc định này. Đây là lỗ hổng giúp
những người tấn cơng có thể thâm nhập vào hệ thống bằng con đường
hợp pháp. Khi đã đăng nhập vào, hacker có thể tạo thêm user, cài
backboor cho lần viếng thăm sau.
◦ Identity Spoofing: Các hệ thống mạng sử dụng IP address để nhận biết
sự tồn tại của mình. Vì thế địa chỉ IP là sự quan tâm hàng đầu của
những kẻ tấn công. Khi họ tấn công vào bất cứ hệ thống nào, họ đều
biết địa chỉ IP của hệ thống mạng đó. Thơng thường, những kẻ tấn cơng
giả mạo IP address để xâm nhập vào hệ thống và cấu hình lại hệ thống,
sửa đổi thơng tin, …
Chính sách bảo mật
Chính sách bảo mật là tập hợp các quy tắc áp dụng cho những người tham gia quản trị
mạng, có sử dụng các tài nguyên và các dịch vụ mạng.

6/17


Một số giải pháp nhằm đảm bảo an toàn an
ninh mạng và bảo mật dữ liệu
2.1. Thực trạng mất an ninh an toàn mạng
Trong hệ thống mạng, vấn đề an tồn và bảo mật thơng tin đóng một vai trị hết sức quan
trọng. An toàn thiết bị, an toàn dữ liệu, tính bí mật, tin cậy (Condifidentislity), tính xác
thực (Authentication), tính tồn vẹn (Integrity), khơng thể phủ nhận (Non repudiation),
khả năng điều khiển truy nhập (Access Control), tính khả dụng, sẵn sàng (Availability)


2.2. Nghiên cứu một số giải pháp đảm bảo an ninh mạng
2.2.1. Cơng nghệ tường lửa (FireWall)
• Firewall mềm
Đặc điểm: Là những Firewall dưới dạng phần mềm được cài đặt trên Server.

Hình 2.2: Minh họa Firewall mềm
Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng.
• Firewall cứng
Đặc điểm: Là những firewall được tích hợp vào thiết bị phần cứng.

Hình 2.3: Minh họa Firewall cứng
2.2.2. Công nghệ phát hiện và ngăn chặn xâm nhập mạng IDS/IPS
Hệ thống phát hiện xâm nhập (Intrusion Detect System - IDS).
Hệ thống phát hiện xâm nhập cung cấp thêm cho việc bảo vệ thông tin mạng ở mức độ
cao hơn. IDS cung cấp thông tin về các cuộc tấn công vào hệ thống mạng. Tuy nhiên
IDS không tự động cấm hoặc là ngăn chặn các cuộc tấn công.

7/17


Hệ thống ngăn chặn xâm nhập (Intrusion Prevent System-IPS).

Giải pháp ngăn ngừa xâm nhập nhằm mục đích bảo vệ tài nguyên, dữ liệu và mạng.
Chúng sẽ làm giảm bớt những mối đe dọa tấn công bằng việc loại bỏ lưu lượng mạng
bất hợp pháp, trong khi vẫn cho phép các hoạt động hợp pháp được tiếp tục.
IPS ngăn chặn các cuộc tấn công dưới những dạng sau:
- Ứng dụng không mong muốn và tấn công kiểu “Trojan horse” nhằm vào mạng và ứng
dụng cá nhân, qua việc sử dụng các nguyên tắc xác định và danh sách kiểm soát truy
nhập.
- Các tấn công từ chối dịch vụ như “lụt” các gói tin SYN và ICMP bởi việc dùng các

thuật tốn dựa trên cơ sở “ngưỡng”.
- Sự lạm dụng các ứng dụng và giao thức qua việc sử dụng những qui tắc giao thức ứng
dụng và chữ kí.
- Những tấn cơng quá tải hay lạm dụng ứng dụng bằng việc sử dụng giới hạn tài nguyên
dựa trên cơ sở ngưỡng.
• Modul phân tích gói:
Nhiệm vụ phân tích cấu trúc thơng tin trong các gói tin. Card giao tiếp mạng (NIC) của
máy giám sát được đặt ở chế độ không phân loại, các gói tin qua chúng đều được sao
chép và chuyển lên lớp trên.
• Modul phát hiện tấn cơng:
Modul quan trọng nhất trong hệ thống, có khả năng phát hiện các cuộc tấn cơng. Có 2
phương pháp phát hiện các cuộc tấn cơng xâm nhập:
- Dị tìm sự lạm dụng (Missuse Detection): Phương pháp này phân tích các hoạt động
của hệ thống, tìm kiếm dựa trên các dấu hiệu tấn cơng, tức là các sự kiện giống các mẫu
tấn công đã biết.
Ưu điểm: phát hiện các cuộc tấn công nhanh và chính xác, khơng đưa ra các cảnh báo
sai làm giảm khả năng hoạt động của mạng, giúp người quản trị xác định các lỗ hổng
bảo mật trong hệ thống của mình.
Nhược điểm: Khơng phát hiện được các tấn cơng khơng có trong mẫu, các tấn cơng
mới. Do đó hệ thống phải luôn cập nhật các mẫu tấn công mới.
Modul phản ứng:
8/17


Khi có dấu hiệu của sự tấn cơng hoặc xâm nhập thì modul phát hiện tấn cơng sẽ gửi tín
hiệu thơng báo đến modul phản ứng. Khi đó, modul phản ứng sẽ kích hoạt Firewall thực
hiện chức năng ngăn chặn cuộc tấn công. Tại đây nếu chỉ đưa ra các cảnh báo tới người
quản trị và dừng lại ở đó thì hệ thống này được gọi là hệ thống phịng thủ bị động.
Một số kĩ thuật ngăn chặn:
- Chấm dứt phiên làm việc (Terminate Session): Hệ thống IPS gửi các gói tin reset thiết

lập lại cuộc giao tiếp tới Client và Server. Kết quả cuộc giao tiếp sẽ được bắt đầu lại và
cuộc tấn công bị ngừng lại.
Nhược điểm: thời gian gửi gói tin reset là quá chậm so với cuộc tấn công; phương pháp
này không hiệu quả với các giao thức hoạt động trên UDP như DNS; các gói reset phải
có trường Sequence number đúng thì server mới chấp nhận: Cảnh báo tức thì (Realtime
Alerting), Tạo ra bản ghi log (Log packet).
Ba modul trên hoạt động tuần tự tạo nên IPS hồn chỉnh. IPS được xem là thành cơng
nếu chúng hội tụ được các yếu tố như thực hiện nhanh, chính xác, đưa ra các thơng báo
hợp lý, phân tích được tồn bộ thơng lượng, ngăn chặn thành cơng và có chính sách
quản lí mềm.
Những hạn chế của IDS /IPS.

So với Firewall, IDS/ IPS đã thể hiện được nhiều tính năng ưu việt. Nó khơng chỉ có khả
năng phát hiện ra các cuộc tấn cơng, mà cịn chống lại các cuộc tấn công này một cách
hữu hiệu. Tuy vậy hệ thống này vẫn còn những hạn chế sau:
Các sản phẩm IPS không thể nhận biết được trạng thái tầng ứng dụng (chỉ có thể nhận
biết được các dịng thơng tin trên tầng mạng). Do vậy các cuộc tấn công trên tầng ứng
dụng sẽ không bị phát hiện và ngăn chặn.
Hệ thống ngăn chặn xâm nhập (Intrusion Prevent System-IPS).
Giải pháp ngăn ngừa xâm nhập nhằm mục đích bảo vệ tài nguyên, dữ liệu và mạng.
Chúng sẽ làm giảm bớt những mối đe dọa tấn công bằng việc loại bỏ lưu lượng mạng
bất hợp pháp, trong khi vẫn cho phép các hoạt động hợp pháp được tiếp tục.
IPS ngăn chặn các cuộc tấn công dưới những dạng sau:
- Ứng dụng không mong muốn và tấn công kiểu “Trojan horse” nhằm vào mạng và ứng
dụng cá nhân, qua việc sử dụng các nguyên tắc xác định và danh sách kiểm soát truy
nhập.

9/17



- Các tấn công từ chối dịch vụ như “lụt” các gói tin SYN và ICMP bởi việc dùng các
thuật toán dựa trên cơ sở “ngưỡng”.
- Sự lạm dụng các ứng dụng và giao thức qua việc sử dụng những qui tắc giao thức ứng
dụng và chữ kí.
- Những tấn công quá tải hay lạm dụng ứng dụng bằng việc sử dụng giới hạn tài nguyên
dựa trên cơ sở ngưỡng.
• Modul phân tích gói:
Nhiệm vụ phân tích cấu trúc thơng tin trong các gói tin. Card giao tiếp mạng (NIC) của
máy giám sát được đặt ở chế độ không phân loại, các gói tin qua chúng đều được sao
chép và chuyển lên lớp trên.
• Modul phát hiện tấn cơng:
Modul quan trọng nhất trong hệ thống, có khả năng phát hiện các cuộc tấn cơng. Có 2
phương pháp phát hiện các cuộc tấn cơng xâm nhập:
- Dị tìm sự lạm dụng (Missuse Detection): Phương pháp này phân tích các hoạt động
của hệ thống, tìm kiếm dựa trên các dấu hiệu tấn công, tức là các sự kiện giống các mẫu
tấn công đã biết.
Ưu điểm: phát hiện các cuộc tấn công nhanh và chính xác, khơng đưa ra các cảnh báo
sai làm giảm khả năng hoạt động của mạng, giúp người quản trị xác định các lỗ hổng
bảo mật trong hệ thống của mình.
Nhược điểm: Khơng phát hiện được các tấn cơng khơng có trong mẫu, các tấn cơng
mới. Do đó hệ thống phải luôn cập nhật các mẫu tấn công mới.
Modul phản ứng:
Khi có dấu hiệu của sự tấn cơng hoặc xâm nhập thì modul phát hiện tấn cơng sẽ gửi tín
hiệu thơng báo đến modul phản ứng. Khi đó, modul phản ứng sẽ kích hoạt Firewall thực
hiện chức năng ngăn chặn cuộc tấn công. Tại đây nếu chỉ đưa ra các cảnh báo tới người
quản trị và dừng lại ở đó thì hệ thống này được gọi là hệ thống phòng thủ bị động.
Một số kĩ thuật ngăn chặn:
- Chấm dứt phiên làm việc (Terminate Session): Hệ thống IPS gửi các gói tin reset thiết
lập lại cuộc giao tiếp tới Client và Server. Kết quả cuộc giao tiếp sẽ được bắt đầu lại và
cuộc tấn công bị ngừng lại.


10/17


Nhược điểm: thời gian gửi gói tin reset là quá chậm so với cuộc tấn công; phương pháp
này không hiệu quả với các giao thức hoạt động trên UDP như DNS; các gói reset phải
có trường Sequence number đúng thì server mới chấp nhận: Cảnh báo tức thì (Realtime
Alerting), Tạo ra bản ghi log (Log packet).
Ba modul trên hoạt động tuần tự tạo nên IPS hoàn chỉnh. IPS được xem là thành công
nếu chúng hội tụ được các yếu tố như thực hiện nhanh, chính xác, đưa ra các thơng báo
hợp lý, phân tích được tồn bộ thơng lượng, ngăn chặn thành cơng và có chính sách
quản lí mềm.
Những hạn chế của IDS /IPS.

So với Firewall, IDS/ IPS đã thể hiện được nhiều tính năng ưu việt. Nó khơng chỉ có khả
năng phát hiện ra các cuộc tấn cơng, mà cịn chống lại các cuộc tấn cơng này một cách
hữu hiệu. Tuy vậy hệ thống này vẫn còn những hạn chế sau:
Các sản phẩm IPS không thể nhận biết được trạng thái tầng ứng dụng (chỉ có thể nhận
biết được các dịng thơng tin trên tầng mạng). Do vậy các cuộc tấn công trên tầng ứng
dụng sẽ không bị phát hiện và ngăn chặn.
Những hạn chế của IDS /IPS.
So với Firewall, IDS/ IPS đã thể hiện được nhiều tính năng ưu việt. Nó khơng chỉ có khả
năng phát hiện ra các cuộc tấn cơng, mà cịn chống lại các cuộc tấn công này một cách
hữu hiệu. Tuy vậy hệ thống này vẫn còn những hạn chế sau:
Các sản phẩm IPS không thể nhận biết được trạng thái tầng ứng dụng (chỉ có thể nhận
biết được các dịng thơng tin trên tầng mạng). Do vậy các cuộc tấn công trên tầng ứng
dụng sẽ không bị phát hiện và ngăn chặn.
2.2.3. Công nghệ mạng LAN ảo (VLAN)
VLAN là một mạng LAN ảo. Về mặt kỹ thuật, VLAN là một miền quảng bá được tạo
bởi các switch. Bình thường thì router đóng vai tạo ra miền quảng bá. VLAN là một kỹ

thuật kết hợp chuyển mạch lớp 2 và định tuyến lớp 3 để giới hạn miền đụng độ và miền
quảng bá. VLAN cịn được sử dụng để bảo mật giữa các nhóm VLAN theo chức năng
nhóm
• Khái niệm về VLAN
VLAN là một nhóm các thiết bị mạng khơng giới hạn theo vị trí vật lý hoặc theo LAN
switch mà chúng tham gia kết nối vào.

11/17


VLAN là một segment mạng theo logic dựa trên chức năng, đội nhóm, hoặc ứng
dụng của một tổ chức chứ khơng phụ thuộc vào vị trí vật lý hay kết nối vật lý trong
mạng. Tất cả các trạm và server được sử dụng bởi cùng một nhóm làm việc sẽ được
đặt trong cùng VLAN bất kể vị trí hay kết nối vật lý của chúng.

Hình 2.5: Phân đoạn mạng theo kiểu VLAN
Miền quảng bá với VLAN và router.
Một VLAN là một miềm quảng bá được tạo nên một hay nhiều switch. Hình trên cho
thấy tạo 3 miền quảng bá riêng biệt trên 3 swich như thế nào. Định tuyến lớp 3 cho phép
router chuyển gói giữa các miền quản bá với nhau.
Hoạt động của VLAN
Mỗi cổng trên switch có thể gán cho một VLAN khác nhau. Các cổng nằm trong cùng
một VLAN sẽ chia sẻ gói quảng bá với nhau. Các cổng không nằm trong cùng VLAN
sẽ không chia sẻ gói quảng bá với nhau. Nhờ đó mạng LAN hoạt động hiệu quả hơn.
Ưu điểm, Ứng dụng của VLAN
• Ưu điểm của VLAN
Lợi ích của VLAN là cho phép người quản trị mạng tổ chức mạng theo logic chứ không
theo vật lý nữa. Nhờ đó những cơng việc sau thực hiện dễ dàng hơn:
Có tính linh động cao: di chuyển máy trạm trong LAN dễ dàng.
Thêm máy trạm vào LAN dễ dàng: Trên một switch nhiều cổng, có thể cấu hình VLAN

khác nhau cho từng cổng, do đó dẽ dàng kết nối thêm các máy tính với các VLAN.
Tiết kiệm băng thơng của mạng: do VLAN có thể chia nhỏ LAN thành các đoạn (là
một vùng quản bá). Khi một gói tin buảng bả, nó sẽ được truyền đi chỉ trong một
LAN duy nhất, không truyền đi ở các VLAN khác nên giảm lưu lượng quảng bá,
tiết kiệm băng thông đường truyền.
• Ứng dụng của VLAN
Sử dụng VLAN để tạo ra các LAN khác nhau của nhiều máy tính cùng văn phòng.
Sử dụng VLAN để tạo mạng dữ liệu ảo (Virtual Data Network - VAN).

12/17


Các loại VLAN
Có 3 loại thành viên VLAN để xác định và kiểm sốt việc xử lý các gói dữ liệu: VLAN
dựa trên cổng (port based VLAN), VLAN theo địa chỉ MAC (MAC address based
VLAN), VLAN theo giao thức (protocol based VLAN).
Bảo mật tối đa giữa các VLAN, gói dữ liệu khơng “rị rỉ” sang các miền khác, dễ
dàng kiểm sốt qua mạng.
Cấu hình VLAN
• Cấu hình VLAN cơ bản
Chúng ta có thể xây dựng VLAN cho mạng từ đầu cuối, đến đầu cuối hoặc theo
giới hạn địa lý.

Hình 2.6: VLAN từ đầu cuối – đến – đầu cuối
Một VLAN từ đầu cuối – đến đầu cuối có các đặc điểm sau:
Người dùng được phân nhóm VLAN hồn tồn khơng phụ thuộc vào vị trí vật lý, chỉ
phụ thuộc vào chức năng cơng việc của nhóm.
Mọi users trong một VLAN đều có chung tỉ lệ giao thơng là: 80% giao thơng bên trong
và 20% giao thơng bên ngồi VLAN.
Khi người dùng đầu cuối di chuyển trong hệ thống mạng vẫn khơng thay đổi VLAN của

người dùng đó.
Mỗi VLAN có những yêu cầu bảo mật riêng cho mọi thành viên của VLAN đó.
• Cấu hình VLAN theo vật lý
Xu hướng sử dụng và phân bố tài nguyên mạng khác đi nên hiện nay VLAN thường
được tạo ra theo giới hạn của địa lý.
Phạm vi địa lý có thể lớn bằng tồ nhà hoặc cũng có thể chỉ nhỏ với một switch. Trong
cấu trúc này, tỉ lệ lưu lượng sẽ là 20% giao thông trong nội bộ VLAN và 80% giao thông
đi rao ngồi mạng VLAN.
Điểm này có ý nghĩa là lưu lượng phải đi qua thiết bị lớp 3 mới đến được 80% nguồn tài
nguyên. Kiểu thiết kế này cho phép việc truy cập nguồn tài nguyên được thống nhất.

13/17


• Cấu hình VLAN cố định
VLAN cố định là VLAN được cấu hình theo port trên swich bằng các phần mềm quản
lý hoặc cấu hình trực tiếp trên switch. Các port đã được gán vào VLAN nào thì nó sẽ
giữ ngun cấu hình VLAN đó cho đến khi thay đổi bằng lệnh.
• VLAN Trunking Protocol (VTP)
VTP là giao thức hoạt động ở lớp 2 trong mơ hình OSI. VTP giúp cho việc cấu hình
VLAN ln hoạt động đồng nhất khi thêm, xố, sửa thơng tin về VLAN trong hệ thống
mạng.
Trong khuôn khổ mô trường chuyển mạch VLAN. Một đường Trunk là một đường kết
nối point-to-point để hỗ trợ các VLAN trên các switch liên kết với nhau. Một đường cấu
hình Trunk sẽ gộp nhiều đường liên kết ảo trên một đường liên kết vật lý để chuyển tín
hiệu từ các VLAN trên các switch với nhau dựa trên một đường cáp vật lý.
2.2.4. Nghiên cứu mạng riêng ảo(VPN)
2.2.3.1. Giới thiệu VPN
- Mạng VPN an tồn bảo vệ sự lưu thơng trên mạng và cung cấp sự riêng tư, sự chứng
thực và tồn vẹn dữ liệu thơng qua các giải thuật mã hoá.

Site to site: Áp dụng cho các tổ chức có nhiều văn phịng chi nhánh, giữa các văn phịng
cần trao đổi dữ liệu với nhau.
Remote-Access: Hay cũng được gọi là Virtual Private Dial-up Network (VPDN), đây
là dạng kết nối Remote-Access VPN áp dụng cho các cơ quan mà các nhân viên có nhu
cầu kết nối tới mạng riêng (private network) từ các địa điểm từ xa.
Intranet/ Internal VPN: Trong một số tổ chức, quá trình truyền dữ liệu giữa một số bộ
phận cần bảo đảm tính riêng tư, khơng cho phép những bộ phận khác truy cập. Hệ thống
Intranet VPN có thể đáp ứng tình huống này.
2.2.3.2. Các giai đoạn của kết nối VPN
Để cung cấp kết nối giữa các máy tính, các gói thơng tin được bao bọc bằng một header
có chứa những thơng tin định tuyến, cho phép dữ liệu có thể gửi từ máy truyền qua môi
trường mạng chia sẻ và đến được máy nhận, như truyền trên các đường ống riêng được
gọi là tunnel.
Mã hoá kênh thông tin VPN

14/17


Khi truyền các gói tin, chúng ta cần phải áp dụng các cơ chế mã hóa và chứng thực để
bảo mật.
SSL (Secure Socket Layer),- IPSec (IP Security Tunnel Mode, PPTP (Point to Point
Tunneling Protocol), L2TP (Layer 2 Tunneling Protocol).
2.2.3.5. Bảo đảm an tồn thơng tin
Xác thực, xác nhận và quản lý tài khoản (AAA - Authentication, Authorization,
Accounting): AAA được sử dụng để tăng tính bảo mật trong truy nhập từ xa của VPN.
Mã hoá dữ liệu (Enencryption): Đây là quá trình mật mã dữ liệu khi truyền đi khỏi máy
tính theo một quy tắc nhất định và máy tính đầu xa có thể giải mã được.

Hình 2.12: Hệ thống mã hố máy tính
- Mã hố sử dụng khố riêng (Symmetric-key encryption): Nhược điểm chính của

phương pháp này là khóa được truyền trên mơi trường mạng nên tính bảo mật khơng
cao. Ưu điểm là tốc độ mã hóa và giải mã rất nhanh.
- Mã hố sử dụng khố cơng khai(Public-key encryption): Hệ Public-key encryption sử
dụng một tổ hợp khoá riêng và khố cơng cộng để thực hiện mã hố, giải mã.
Các tiêu chuẩn mã hóa dữ liệu: Đưa ra bởi NIST (National Institute of Standard and
Technology, US). DES là một thuật tốn khối với kích thước khối 64 bit và kích thước
chìa 56 bit.
2.2.3.6. Nghiên cứu IPSec (IP Security Tunnel Mode) - Mật mã hóa giao thức IP.
IPsec được đề xuất như một khung về mật mã hoá và xác thực có thể ứng dụng được cả
cho IPv4 (32bit) và IPv6 (128 bit).
Các giao thức an ninh của IPSec: Trong quá trình chứng thực hay mã hóa dữ liệu,
IPSEC có thể sử dụng một hoặc cả hai giao thức bảo mật sau: AH (Authentication
Header) và ESP (Encapsulating Security Payload).

15/17


Tham gia đóng góp
Tài liệu: Nghiên cứu một số giải pháp bảo đảm an ninh mạng, thử nghiệm áp dụng cho
trung tâm tích hợp dữ liệu tỉnh tuyên quang
Biên tập bởi: Đinh Việt Hải
URL: />Giấy phép: />Module: Tổng quan về an tồn hệ thống thơng tin
Các tác giả:
URL: />Giấy phép: />Module: Một số giải pháp nhằm đảm bảo an toàn an ninh mạng và bảo mật dữ liệu
Các tác giả:
URL: />Giấy phép: />
16/17


Chương trình Thư viện Học liệu Mở Việt Nam

Chương trình Thư viện Học liệu Mở Việt Nam (Vietnam Open Educational Resources
– VOER) được hỗ trợ bởi Quỹ Việt Nam. Mục tiêu của chương trình là xây dựng kho
Tài nguyên giáo dục Mở miễn phí của người Việt và cho người Việt, có nội dung phong
phú. Các nội dung đểu tuân thủ Giấy phép Creative Commons Attribution (CC-by) 4.0
do đó các nội dung đều có thể được sử dụng, tái sử dụng và truy nhập miễn phí trước
hết trong trong mơi trường giảng dạy, học tập và nghiên cứu sau đó cho toàn xã hội.
Với sự hỗ trợ của Quỹ Việt Nam, Thư viện Học liệu Mở Việt Nam (VOER) đã trở thành
một cổng thơng tin chính cho các sinh viên và giảng viên trong và ngồi Việt Nam. Mỗi
ngày có hàng chục nghìn lượt truy cập VOER (www.voer.edu.vn) để nghiên cứu, học
tập và tải tài liệu giảng dạy về. Với hàng chục nghìn module kiến thức từ hàng nghìn
tác giả khác nhau đóng góp, Thư Viện Học liệu Mở Việt Nam là một kho tàng tài liệu
khổng lồ, nội dung phong phú phục vụ cho tất cả các nhu cầu học tập, nghiên cứu của
độc giả.
Nguồn tài liệu mở phong phú có trên VOER có được là do sự chia sẻ tự nguyện của các
tác giả trong và ngoài nước. Quá trình chia sẻ tài liệu trên VOER trở lên dễ dàng như
đếm 1, 2, 3 nhờ vào sức mạnh của nền tảng Hanoi Spring.
Hanoi Spring là một nền tảng công nghệ tiên tiến được thiết kế cho phép công chúng dễ
dàng chia sẻ tài liệu giảng dạy, học tập cũng như chủ động phát triển chương trình giảng
dạy dựa trên khái niệm về học liệu mở (OCW) và tài nguyên giáo dục mở (OER) . Khái
niệm chia sẻ tri thức có tính cách mạng đã được khởi xướng và phát triển tiên phong
bởi Đại học MIT và Đại học Rice Hoa Kỳ trong vòng một thập kỷ qua. Kể từ đó, phong
trào Tài nguyên Giáo dục Mở đã phát triển nhanh chóng, được UNESCO hỗ trợ và được
chấp nhận như một chương trình chính thức ở nhiều nước trên thế giới.

17/17