i
S húa bi Trung tõm Hc liu
đại học thái nguyên
Tr-ờng đại học CÔNG NGHệ THÔNG TIN Và TRUYềN THÔNG
NGUYN THANH TNG
KIM SOT AN NINH MNG MY TNH
V NG DNG
LUN VN THC S KHOA HC MY TNH
thái nguyên - năm 2014
ii
S húa bi Trung tõm Hc liu
đại học thái nguyên
Tr-ờng đại học CÔNG NGHệ THÔNG TIN Và TRUYềN THÔNG
NGUYN THANH TNG
KIM SOT AN NINH MNG MY TNH
V NG DNG
LUN VN THC S KHOA HC MY TNH
Chuyờn ngnh: KHOA HC MY TNH
Mó s: 60.48.01
Ngi hng dn khoa hc: PGS.TS. TRNH NHT TIN
Thỏi Nguyờn, 2014
iii
Số hóa bởi Trung tâm Học liệu
LỜI CẢM ƠN
Lời đầu tiên tôi xin bày tỏ lòng biết ơn chân thành tới PGS.TS Trịnh Nhật
Tiến đã tận tình hƣớng dẫn, giúp đỡ để tôi có thể hoàn thành đề tài nghiên cứu này.
Tôi gửi lời cảm ơn tới các thầy, cô giáo Trƣờng Đại học Công nghệ Thông
tin và Truyền thông - Đại học Thái Nguyên đã truyền đạt cho tôi những kiến thức
chuyên đề, là cơ sở để tôi tiếp cận các kiến thức khoa học cơ bản và kiến thức
chuyên ngành công nghệ thông tin. Tôi xin bày tỏ lòng biết ơn đối với các thầy cô
giáo Phòng Quản lý đào tạo sau đại học đã tạo điều kiện để tôi có đƣợc thời gian
học tập và nghiên cứu tốt nhất.
Tôi cũng đặc biệt muốn cảm ơn Sở Thông tin và Truyền thông và các sở,
ban, ngành của tỉnh Tuyên Quang đã tạo điều kiện thuận lợi, giúp đỡ tôi trong quá
trình tìm hiểu, nghiên cứu thực tế tại địa phƣơng; cảm ơn sự giúp đỡ của gia đình,
bạn bè và các đồng nghiệp trong thời gian qua.
Mặc dù đã cố gắng rất nhiều, song do điều kiện về thời gian và kinh nghiệm
thực tế còn nhiều hạn chế nên không tránh khỏi thiếu sót. Vì vậy, tôi rất mong nhận
đƣợc ý kiến góp ý của các thầy cô cũng nhƣ bạn bè, đồng nghiệp.
Tôi xin chân thành cảm ơn!
7 năm 2014
Nguyễn Thanh Tùng
iv
Số hóa bởi Trung tâm Học liệu
LỜI CAM ĐOAN
Tôi là , học viên lớp cao học khoá 2012-2014 ngành
CNTT, chuyên ngành Khoa học máy tính. Tôi xin cam đoan luận văn "
" là do tôi nghiên cứu, tìm hiểu dƣới sự hƣớng dẫn
của PGS.TS.Trịnh Nhật Tiến. Tôi xin chịu trách nhiệm về lời cam đoan này.
Thái Nguyên, tháng 7 năm 2014
Tác giả
Lớp Cao học KHMT 2012-2014
v
Số hóa bởi Trung tâm Học liệu
MỤC LỤC
LỜI CẢM ƠN i
LỜI CAM ĐOAN iv
MỤC LỤC v
DANH MỤC HÌNH VẼ vii
1
Chương 1. VẤN ĐỀ AN NINH MẠNG MÁY TÍNH 3
1.1. TỔNG QUAN VỀ HẠ TẦNG MẠNG MÁY TÍNH 3
1.1.1. Khái niệm mạng máy tính 3
1.1.2. Các thiết bị kết nối mạng 4
1.1.3. Các hình thức kết nối mạng 4
1.1.4. Phân loại mạng máy tính 6
1.2. CÁC HIỂM HOẠ TRÊN MẠNG MÁY TÍNH 10
1.2.1. Xem trộm thông tin 11
1.2.2. Mạo danh 11
1.2.3. Vi phạm Tính bí mật thông tin 11
1.2.4. Vi phạm Tính toàn vẹn thông tin 12
1.2.5. Sự can thiệp của Tin tặc (Hacker) 12
1.2.6. Vi phạm Tính toàn vẹn mã 12
1.2.7. Tấn công “Từ chối dịch vụ” 12
1.3. NGUYÊN NHÂN CỦA CÁC HIỂM HOẠ TRÊN MẠNG MÁY TÍNH 13
1.3.1. Do Dùng chung tài nguyên mạng MT 13
1.3.2. Do Sự phức tạp của hệ thống mạng MT 13
1.3.3. Do Ngoại vi không giới hạn của mạng MT 13
1.3.4. Do có Nhiều điểm tấn công 13
1.4. MỘT SỐ VẤN ĐỀ BẢO VỆ HỆ THỐNG VÀ MẠNG 13
1.4.1. Các vấn dề chung về bảo vệ hệ thống và mạng 13
1.4.2. Một số khái niệm và lịch sử bảo vệ hệ thống 14
1.4.3. Các loại lỗ hổng bảo vệ và phƣơng thức tấn công mạng chủ yếu 15
1.5. KẾT LUẬN CHƢƠNG 18
Chương 2. KIỂM SOÁT AN NINH MẠNG MÁY TÍNH 19
2.1. KIỂM SOÁT TRUY NHẬP MẠNG MÁY TÍNH 19
2.1.1. Hiểm họa về an toàn đối với hệ thống máy tính 19
2.1.2. Phƣơng thức thực hiện các cuộc tấn công 20
2.1.3. Các hình thức ngăn chặn và kiểm soát lối vào ra thông tin 21
vi
Số hóa bởi Trung tâm Học liệu
2.1.4. Sử dụng mật khẩu một cách an toàn 25
2.2. KIỂM SOÁT VÀ XỬ LÝ CÁC “LỖ HỔNG” THIẾU AN NINH TRONG
MẠNG MÁY TÍNH 28
2.2.1. Khái niệm “lỗ hổng” trong ATTT 28
2.2.2. Phân loại lỗ hổng theo mức nguy hiểm 28
2.2.3. “Lỗ hổng” trong hệ thống mạng 28
2.2.4. Xử lý các lỗ hổng thiếu an ninh bằng các phƣơng pháp bảo vệ 29
2.3. KIỂM SOÁT VÀ PHÒNG CHỐNG CÁC DẠNG "TẤN CÔNG" VÀO
MẠNG MÁY TÍNH 32
2.3.1. Tấn công trên mạng 32
2.3.2. Phòng chống các dạng tấn công vào mạng máy tính 33
2.4. MỘT SỐ CÔNG CỤ BẢO VỆ MẠNG MÁY TÍNH 36
2.4.1. Tƣờng lửa 36
2.4.2. Mạng riêng ảo 38
2.5. KẾT LUẬN CHƢƠNG 43
Chương 3. 44
3.1. BÀI TOÁN THỰC TẾ 44
3.1.1. Khảo sát nhu cầu 44
3.1.2. 44
45
3.2. 45
3.2.1. Firewall IPtable trên Redhat 45
51
3.2.3. ng dụng Iptables làm IP Masquerading 54
3.2.4. Ứng dụng IPTABLES làm NAT 62
KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN 73
TÀI LIỆU THAM KHẢO 74
vii
Số hóa bởi Trung tâm Học liệu
DANH MỤC CÁC CHỮ VIẾT TẮT
Viết tắt
Tiếng Anh
Tiếng Việt
ATTT
DHCP
Dynamic Host Configuration
Protocol
Giao thức cấu hình động
máy chủ
DNS
Domain Name System
Hệ thống tên miền
FTP
File Transfer Protocol
Giao thức truyền tập tin
GAN
Global Area Network
GUI
Graphical User Interface
Giao diện ngƣời dùng đồ
họa
HĐH
HTTP
Hypertext Transfer Protocol
Giao thức truyền tải siêu
văn bản
HTTPS
Hypertext Transfer Protocol Secure
Là một sự kết hợp
giữa giao thức HTTP
và giao thức bảo mật SSL
hay TLS.
IP
Internet Protocol
Giao thức Internet
LAN
Local Area Network
Mạng nội bộ
MAN
Metropolitan Area Network
MT
OSI
Open Systems Interconnection
Reference Model
Mô hình tham chiếu kết
nối các hệ thống mở
TCP
Transmission Control Protocol
Giao thức Điều Khiển
Truyền Thông
WAN
Wide Area Network
viii
Số hóa bởi Trung tâm Học liệu
DANH MỤC HÌNH VẼ
Số hiệu hình vẽ
Tên hình vẽ
Hình 1.1
1.2
1.3
1.4
Hình 1.5
Xem trộm thông tin
Hình 1.6
Mạo danh
Hình 1.7
Sửa nội dung thông tin
h 2.1
Hacker
2.2
Mật khẩu là cách thức bảo vệ cơ bản nhất
2.3
Sử dụng và cất giữ mật khẩu một cách an toàn
2.4
Mô hình mạng đa nền tảng
Hình 2.5
Tƣờng lửa cứng
Hình 2.6
Tƣờng lửa mềm
2.7
2.8
2.9
Đặc trƣng của máy khách VPN
3.1
3.2
Đƣờng đi của packet
3.3
Mô hình kết nối máy Linux và Anybox
3.4
Mô hình kết nối máy Linux với mạng nội bộ và Internet
1
Số hóa bởi Trung tâm Học liệu
U
1. Lý do chọn đề tài
Hiện nay các cơ quan, tổ chức đều có hệ thống mạng máy tính riêng kết nối
với mạng Internet và ứng dụng nhiều tiện ích CNTT
. Việc làm này đã góp phần tích cực trong quản lý, điều hành, kết nối,
quảng bá và là chìa khoá thành công cho sự phát triển chung của họ. Trong các hệ
thống mạng máy tính đó có chứa rất nhiều các dữ liệu, các thông tin quan trọng liên
quan đến hoạt động của các cơ quan, tổ chức. Điều này hấp dẫn, thu hút các kẻ tấn
công. Công nghệ về máy tính và mạng máy tính liên tục phát triển và thay đổi, các
phần mềm mới liên tục ra đời mang đến cho con ngƣời nhiều tiện ích hơn, lƣu trữ
đƣợc nhiều dữ liệu hơn, tính toán tốt hơn, sao chép và truyền dữ liệu giữa các máy
tính nhanh chóng thuận tiện hơn, Nhƣng bên cạnh đó, hệ thống mạng vẫn còn tồn
tại nhiều lỗ hổng, các nguy cơ về mất an toàn thông tin. Các vụ xâm nhập mạng lấy
cắp thông tin nhạy cảm cũng nhƣ phá hủy thông tin diễn ra ngày càng nhiều, thủ
đoạn của kẻ phá hoại ngày càng tinh vi.
Vấn đề đã đƣợc khá nhiều trên thế giới và
hiện nay cũng đã có rất nhiều . Tuy
nhiên, ở hiện nay, vấn đề vẫn chƣa đƣợc nhận
thức một cách đầy đủ. Từ đó tôi lựa chọn đề tài "Kiểm soát an ninh mạng máy tính
và ứng dụng" là cơ sở nghiên cứu chính của luận văn này.
2. Đối tƣợng và phạm vi nghiên cứu
Đối tƣợng nghiên cứu:
Nghiên cứu các phƣơng pháp kiểm soát an ninh mạng máy tính (Kiểm soát
truy nhập mạng máy tính; kiểm soát và xử lý các "lỗ hổng" thiếu an ninh trong
mạng máy tính; kiểm soát và phòng chống các dạng "tấn công" vào mạng máy
tính).
Phạm vi nghiên cứu:
Nghiên cứu về tƣờng lửa và mạng riêng ảo. Ứng dụng tƣờng lửa mã nguồn
mở cài đặt thử nghiệm chƣơng trình.
2
Số hóa bởi Trung tâm Học liệu
3. Những nội dung nghiên cứu chính
.
Chƣơ
.
.
3
Số hóa bởi Trung tâm Học liệu
Chương 1. VẤN ĐỀ AN NINH MẠNG MÁY TÍNH
1.1. TỔNG QUAN VỀ HẠ TẦNG MẠNG MÁY TÍNH
1.1.1. Khái niệm mạng máy tính
1.1.1.1. Định nghĩa
Mạng máy tính là một tập hợp các máy tính đƣợc nối với nhau bởi môi
trƣờng truyền (đƣờng truyền) theo một cấu trúc nào đó và thông qua đó các máy
tính trao đổi thông tin qua lại cho nhau.
Môi trƣờng truyền là hệ thống các thiết bị truyền dẫn có dây hay không dây
dùng để chuyển các tín hiệu điện tử từ máy tính này đến máy tính khác. Các tín hiệu
điện tử đó biểu thị các giá trị dữ liệu dƣới dạng các xung nhị phân (on – off). Tất cả
các tín hiệu đƣợc truyền giữa các máy tính đều thuộc một dạng sóng điện từ. Tùy
theo tần số của sóng điện từ có thể dùng các môi trƣờng truyền vật lý khác nhau để
truyền các tín hiệu. Ở đây môi trƣờng truyền đƣợc kết nối có thể là dây cáp đồng
trục, cáp xoắn, cáp quang, dây điện thoại, sóng vô tuyến … Các môi trƣờng truyền
dữ liệu tạo nên cấu trúc của mạng. Hai khái niệm môi trƣờng truyền và cấu trúc là
những đặc trƣng cơ bản của mạng máy tính.
1.1.1.2. Các thành phần cơ bản trong mạng máy tính
1/. Đƣờng truyền vật lý
Đƣờng truyền vật lý dùng để chuyển các tín hiệu điện tử giữa các máy tính.
Các tín hiệu điện tử đó biểu thị các giá trị dữ liệu dƣới dạng các xung nhị phân (on -
off).
Các tín hiệu đƣợc truyền giữa các máy tính đều thuộc một dạng sóng điện từ
nào đó, chải từ các tần số radio tới sóng cực ngắn (viba) và tia hồng ngoại.
Tuỳ theo tần số của sóng điện từ có thể dùng các đƣờng truyền vật lý khác
nhau để truyền các tín hiệu.
2/. Kiến trúc mạng
Kiến trúc mạng thể hiện cách kết nối các máy tính với nhau, cách kết nối các
máy tính đƣợc gọi là hình trạng (Topology) của mạng. Khi phân loại theo Topo
ngƣời ta phân loại thành mạng hình sao, tròn, tuyến tính
4
Số hóa bởi Trung tâm Học liệu
Tập hợp các quy tắc, quy ƣớc mà tất cả các thực thể tham gia truyền thông
trên mạng đƣợc gọi là giao thức (Protocol) của mạng. Phân loại theo giao thức mà
mạng sử dụng ngƣời ta phân loại thành mạng TCPIP, NETBIOS
1.1.2. Các thiết bị kết nối mạng
1.1.2.1. Thiết bị chuyển mạch
Thực hiện chuyển tiếp dữ liệu giữa các thiết bị đầu cuối đƣợc kết nối trong
mạng. Nó có khả năng kết nối đƣợc nhiều segment lại với nhau tuỳ thuộc vào số
cổng (port) của nó.
1.1.2.2. Thiết bị dồn/tách kênh
Thực hiện kết nối nhiều thiết bị cuối có tốc độ trao đổi dữ liệu thấp, trên
cùng một đƣờng truyền có dung lƣợng cao.
1.1.2.3. Các bộ tập trung
Thực hiện kết nối các thiết bị cuối.
1.1.2.4. Hệ thống truyền dẫn
Kết nối vật lý các thiết bị mạng máy tính với các thiết bị cuối.
Dữ liệu của các ứng dụng đƣợc truyền dƣới dạng tín hiệu điện tử trên các hệ
thống truyền dẫn. Tín hiệu điện tử có thể ở dạng số hoá, hay ở dạng tƣơng tự.
1.1.3. Các hình thức kết nối mạng
1.1.3.1. Kết nối Điểm - Điểm
1/. Kết nối hình sao
5
Số hóa bởi Trung tâm Học liệu
Kết nối hình sao bao gồm một trung tâm và các nút thông tin. Các nút thông
tin là các trạm đầu cuối, các máy tính và các thiết bị khác của mạng. Trung tâm của
mạng điều phối mọi hoạt động trong mạng với các chức nǎng cơ bản là:
- Xác định cặp địa chỉ gửi và nhận đƣợc phép chiếm tuyến thông tin và liên
lạc với nhau.
- Cho phép theo dõi và sử lý sai trong quá trình trao đổi thông tin.
- Thông báo các trạng thái của mạng
2/. Kết nối theo đƣờng tròn
Kết nối dạng này, bố trí theo dạng xoay vòng, đƣờng dây cáp đƣợc thiết kế
làm thành một vòng khép kín, tín hiệu chạy quanh theo một chiều nào đó. Các nút
truyền tín hiệu cho nhau mỗi thời điểm chỉ đƣợc một nút mà thôi. Dữ liệu truyền đi
phải có kèm theo địa chỉ cụ thể của mỗi trạm tiếp nhận.
3/. Kết nối theo hình cây
Dữ liệu đƣợc truyền từ thiết bị cuối này đến thiết bị cuối khác theo hình cây.
4/. Kết nối toàn phần
Mỗi thiết bị cuối đƣợc kết nối với các thiết bị cuối còn lại.
1.1.3.2. Kết nối quảng bá
1/. Kết nối theo dạng đƣờng thẳng
Các thiết bị cuối dùng chung một đƣờng truyền. Tại một thời điểm chỉ có
một thiết bị cuối đƣợc phát số liệu, các thiết bị còn lại có thể thu số liệu.
ES
ES
ES
6
Số hóa bởi Trung tâm Học liệu
2/. Kết nối theo dạng đƣờng tròn
+ Về mặt vật lý, nhƣ kết nối điểm - điểm.
+ Về mặt thực hiện kết nối, có thuật toán kiểm soát truy nhập mạng dạng
đƣờng tròn đảm bảo phƣơng thức kết nối quảng bá: Tại một thời điểm chỉ có một
thiết bị cuối đƣợc phát số liệu, các thiết bị còn lại có thể thu số liệu.
3/. Kết nối vệ tinh
Một trạm vệ tinh thu phát số liệu với một nhóm các trạm mặt đất.
1.1.4. Phân loại mạng máy tính
1.1.4.1. Phân loại mạng theo khoảng cách địa lý
Phân loại mạng theo khoảng cách địa lý là cách phân loại phổ biết và thông
dụng nhất. Theo cách phân loại này ta có các loại mạng sau:
ES
ES
ES
ES
ES
ES
ES
7
Số hóa bởi Trung tâm Học liệu
1/. Mạng cục bộ
Mạng đƣợc cài đặt trong một phạm vi nhỏ (trong một toà nhà, một trƣờng
học, ); khoảng cách tối đa giữa các máy tính chỉ vài km trở lại.
2/. Mạng đô thị
Mạng đƣợc cài đặt trong phạm vi một đô thị hoặc một trung tâm kinh tế - xã
hội; khoảng cách tối đa giữa các máy tính khoảng vài chục km trở lại.
3/. Mạng diện rộng
Mạng trải rộng trong phạm vi một quốc gia, hoặc một nhóm các quốc gia.
Mạng WAN kết nối các mạng LAN.
4/. Mạng toàn cầu
Mạng trải rộng toàn cầu. Mạng Internet là ví dụ điển hình của mạng GAN.
Mạng "Internet" đƣợc xem nhƣ một "mạng của các mạng" hay một liên kết
mạng có tính toàn cầu.
1.1.4.2. Phân loại mạng theo hình trạng mạng
Phân loại mạng theo theo hình trạng của mạng ta có các loại sau:
1/. Mạng hình sao
Mạng hình sao có tất cả các trạm đƣợc kết nối với một thiết bị trung tâm có
nhiệm vụ nhận tín hiệu từ các trạm và chuyển đến trạm đích. Tùy theo yêu cầu
truyền thông trên mạng mà thiết bị trung tâm có thể là hub, switch, router hay máy
chủ trung tâm. Vai trò của thiết bị trung tâm là thiết lập các liên kết Point - to -
Point.
- Ƣu điểm: Thiết lập mạng đơn giản, dễ dàng cấu hình lại mạng (thêm, bớt
các trạm), dễ dàng kiểm soát và khắc phục sự cố, tận dụng đƣợc tối đa tốc độ truyền
của đƣờng truyền vật lý.
- Khuyết điểm: Độ dài đƣờng truyền nối một trạm với thiết bị trung tâm bị
hạn chế (bán kính khoảng 100m với công nghệ hiện nay).
8
Số hóa bởi Trung tâm Học liệu
2/. Mạng tuyến tính
Tất cả các trạm phân chia trên một đƣờng truyền chung (bus). Đƣờng truyền
chính đƣợc giới hạn hai đầu bằng hai đầu nối đặc biệt gọi là terminator. Mỗi trạm
đƣợc nối với trục chính qua một đầu nối chữ T (T-connector) hoặc một thiết bị thu
phát (transceiver).
Mô hình mạng Bus hoạt động theo các liên kết Point - to - Multipoint hay
Broadcast.
- Ƣu điểm: Dễ thiết kế và chi phí thấp.
- Khuyết điểm: Tính ổn định kém, chỉ một nút mạng hỏng là toàn bộ mạng bị
ngừng hoạt động.
3/. Mạng hình tròn
Trên mạng hình vòng (chu trình) tín hiệu đƣợc truyền đi trên vòng theo một
chiều duy nhất. Mỗi trạm của mạng đƣợc nối với nhau qua một bộ chuyển tiếp
(repeater) có nhiệm vụ nhận tín hiệu rồi chuyển tiếp đến trạm kế tiếp trên vòng.
Nhƣ vậy tín hiệu đƣợc lƣu chuyển trên vòng theo một chuỗi liên tiếp các liên kết
Point - to - Point giữa các repeater.
- Ƣu điểm: Mạng hình vòng có ƣu điểm tƣơng tự nhƣ mạng hình sao.
- Nhƣợc điểm: Một trạm hoặc cáp hỏng là toàn bộ mạng bị ngừng hoạt động,
thêm hoặc bớt một trạm khó hơn, giao thức truy nhập mạng phức tạp.
4/. Mạng kết hợp
• Kết hợp hình sao và tuyến tính
Cấu hình mạng dạng này có bộ phận tách tín hiệu (splitter) giữ vai trò thiết bị
trung tâm, hệ thống dây cáp mạng cấu hình là Star Topology và Linear Bus
Topology.
Lợi điểm của cấu hình này là mạng có thể gồm nhiều nhóm làm việc ở cách
xa nhau, ARCNET là mạng dạng kết hợp Star Bus Network. Cấu hình dạng này đƣa
lại sự uyển chuyển trong việc bố trí đƣờng dây tƣơng thích dễ dàng đối với bất cứ
toà nhà nào.
• Kết hợp hình sao và vòng
9
Số hóa bởi Trung tâm Học liệu
Cấu hình dạng kết hợp Star Ring Network, có một “thẻ bài” liên lạc (Token)
đƣợc chuyển vòng quanh một cái HUB trung tâm. Mỗi trạm làm việc đƣợc nối với
HUB - là cầu nối giữa các trạm làm việc và để tǎng khoảng cách cần thiết.
1.1.4.3. Phân loại mạng theo giao thức của mạng
Bộ giao thức TCP/IP đƣợc phát triển bởi trụ sở nghiên cứu các dự án cấp cao
của bộ quốc phòng Mỹ (DARPA) cho hệ thống chuyển mạch gói, là họ các giao
thức cùng làm việc với nhau để cung cấp phƣơng tiện truyền thông liên mạng. Nó
gồm có 4 tầng và có các chức năng tƣơng đồng với các tầng trong mô hình OSI:
- Network Access Layer (Tầng truy cập mạng) tƣơng ứng hai tầng Physical
và Data Link trong mô hình OSI.
- Internet Layer tƣơng ứng với tầng Network trong mô hình OSI.
- Transport (Host to Host) Layer tƣơng ứng với tầng Transport trong mô hình
OSI.
- Application Layer tƣơng ứng với ba tầng trên của mô hình OSI (Session,
Presentasion và Application).
1.1.4.4. Phân loại mạng theo phương pháp truyền thông tin
Các hệ thống chuyển mạch có ý nghĩa đặc biệt quan trọng đối với việc truyền
thông dữ liệu trong hệ thống mạng.
1/. Mạng chuyển mạch kênh
Khi có hai trạm cần trao đổi thông tin với nhau thì giữa chúng sẽ đƣợc thiết
lập một “kênh” cố định và đƣợc duy trì cho đến khi một trong hai bên ngắt kết nối.
Dữ liệu chỉ đƣợc truyền theo con đƣờng cố định này. Kỹ thuật chuyển mạch kênh
đƣợc sử dụng trong các kết nối ATM (Asynchronous Transfer Mode) và Dial-up
ISDN (Integrated Services Digital Networks). Ví dụ về mạng chuyển mạch kênh là
mạng điện thoại.
Ƣu điểm: Kênh truyền đƣợc dành riêng trong suốt quá trình giao tiếp do đó
tốc độ truyền dữ liệu đƣợc bảo đảm. Điều này là đặc biệt quan trọng đối với các ứng
dụng thời gian thực nhƣ audio và video.
Phƣơng pháp chuyển mạch kênh có hai nhƣợc điểm chính:
10
Số hóa bởi Trung tâm Học liệu
- Phải tốn thời gian để thiết lập đƣờng truyền cố định giữa hai trạm.
- Hiệu suất sử dụng đƣờng truyền không cao, vì có lúc trên kênh không có dữ
liệu truyền của hai trạm kết nối, nhƣng các trạm khác không đƣợc sử dụng kênh
truyền này.
2/. Mạng chuyển mạch thông báo
Không giống chuyển mạch kênh, chuyển mạch thông báo không thiết lập liên
kết dành riêng giữa hai trạm giao tiếp mà thay vào đó mỗi thông báo đƣợc xem nhƣ
một khối độc lập bao gồm cả địa chỉ nguồn và địa chỉ đích. Mỗi thông báo sẽ đƣợc
truyền qua các trạm trong mạng cho đến khi nó đến đƣợc địa chỉ đích, mỗi trạm
trung gian sẽ nhận và lƣu trữ thông báo cho đến khi trạm trung gian kế tiếp sẵn sàng
để nhận thông báo sau đó nó chuyển tiếp thông báo đến trạm kế tiếp, chính vì lý do
này mà mạng chuyển mạch thông báo còn có thể đƣợc gọi là mạng lƣu và chuyển
tiếp (Store and Forward Network). Một ví dụ điển hình về kỹ thuật này là dịch vụ
thƣ điện tử (e-mail), nó đƣợc chuyển tiếp qua các trạm cho đến khi tới đƣợc đích
cần đến.
3/. Mạng chuyển mạch gói
Kỹ thuật này đƣợc đƣa ra nhằm tận dụng các ƣu điểm và kh phục những
nhƣợc điểm của hai kỹ thuật trên, đối với kỹ thuật này các thông báo đƣợc chia
thành các gói tin (packet) có kích thƣớc thay đổi, mỗi gói tin bao gồm dữ liệu, địa
chỉ nguồn, địa chỉ đích và các thông tin về địa chỉ các trạm trung gian. Các gói tin
riêng biệt không phải luôn luôn đi theo một con đƣờng duy nhất, điều này đƣợc gọi
là chọn đƣờng độc lập (independent routing).
1.2. CÁC HIỂM HOẠ TRÊN MẠNG MÁY TÍNH [1]
Ngày nay khi sử dụng mạng máy tính có rất nhiều loại hiểm hoạ xảy ra, vậy
hiểm hoạ xuất hiện từ đâu?
Qua tìm hiểu ta thấy mạng máy tính có một số hiểm hoạ sau:
11
Số hóa bởi Trung tâm Học liệu
1.2.1. Xem trộm thông tin
Đây là hành động tin tặc chặn bắt thông tin lƣu thông trên Mạng máy tính.
Chúng ta hãy lấy một bối cảnh sau: có ba nhân vật tên là Alice, Bob và
Trudy, trong đó Alice và Bob thực hiện trao đổi thông tin với nhau, còn Trudy là kẻ
xấu, đặt thiết bị can thiệp vào kênh truyền tin giữa Alice và Bob.
Trong trƣờng hợp này Trudy chặn các thông điệp Alice gửi cho Bob, và
xem đƣợc nội dung của thông điệp.
Hình 1.5 Xem trộm thông tin
1.2.2. Mạo danh
Là hành động giả mạo một cá nhân hay một tiến trình hợp pháp, để nhận
đƣợc thông tin trực tiếp từ Mạng máy tính. Thƣờng xảy ra trên mạng máy tính diện
rộng.
Với trƣờng hợp này Trudy giả là Alice gửi thông điệp cho Bob. Bob không
biết điều này và nghĩ rằng thông điệp là của Alice.
Hình 1.6 Mạo danh
1.2.3. Vi phạm Tính bí mật thông tin
- Do chuyển sai địa chỉ đích.
- Do lộ thông tin trên đƣờng truyền tại các bộ đệm, bộ chuyển mạch, bộ định
tuyến, các cổng, các máy chủ trung chuyển trên toàn mạng MT.
12
Số hóa bởi Trung tâm Học liệu
1.2.4. Vi phạm Tính toàn vẹn thông tin
Trong quá trình truyền tin, Tin tặc có thể sửa nội dung thông tin, hay do bị
nhiễu.
Trong trƣờng hợp này, Trudy chặn các thông điệp Alice gửi cho Bob và
ngăn không cho các thông điệp này đến đích. Sau đó Trudy thay đổi nội dung của
thông điệp và gửi tiếp cho Bob. Bob nghĩ rằng nhận đƣợc thông điệp nguyên bản
ban đầu của Alice mà không biết rằng chúng đã bị sửa đổi.
1.2.5. Sự can thiệp của Tin tặc
Ngoài khả năng thực hiện các tấn công gây ra các hiểm hoạ trên, Tin tặc có
thể phát triển công cụ tìm kiếm các điểm yếu khác trên mạng MT và sử dụng chúng
theo mục đích riêng.
Hình 1.7 Sửa nội dung thông tin
1.2.6. Vi phạm Tính toàn vẹn mã
Là sự phá hoại mã khả thi, thƣờng là cố ý nhằm xoá hoặc cài lại chƣơng trình
trên máy chủ.
1.2.7. Tấn công “Từ chối dịch vụ”
Có thể do kết nối vào mạng bị sai lệch, hay do cố ý phá hoại, đƣa vào các
thông báo giả làm gia tăng luồng tin (yêu cầu) vào một nút mạng, do đó nút mạng
này không đáp ứng đƣợc nhiều yêu cầu tại cùng một thời điểm.
13
Số hóa bởi Trung tâm Học liệu
1.3. NGUYÊN NHÂN CỦA CÁC HIỂM HOẠ TRÊN MẠNG MÁY TÍNH
1.3.1. Do Dùng chung tài nguyên mạng MT
Do dùng chung tài nguyên mạng MT, nên nhiều yêu cầu có thể truy nhập đến
các bộ phận kết nối mạng hơn tại các máy tính đơn lẻ, dẫn đến tình trạng quá tải.
1.3.2. Do Sự phức tạp của hệ thống mạng MT
Trên mạng MT có thể có nhiều Hệ điều hành (HĐH) khác nhau cùng hoạt
động, vì vậy HĐH mạng kiểm soát mạng thƣờng phức tạp hơn HĐH trên một máy
tính. Sự phức tạp trên sẽ hạn chế sự An toàn thông tin trên mạng MT.
1.3.3. Do Ngoại vi không giới hạn của mạng MT
Tính chất mở rộng của mạng MT làm cho biên giới của mạng MT cũng bất
định. Một máy chủ có thể là một nút trên hai mạng khác nhau, vì vậy các tài nguyên
trên một mạng cũng có thể đƣợc ngƣời dùng của một mạng khác truy nhập tới. Đây
là một kẽ hở trong an ninh mạng MT.
1.3.4. Do có Nhiều điểm tấn công
Trong một máy đơn, các kiểm soát truy nhập sẽ bảo đảm ATTT trong Bộ xử
lý. Khi một dữ liệu lƣu trên máy chủ cách xa ngƣời dùng, thì có thể bị các máy khác
đọc đƣợc trong quá trình sử dụng mạng MT.
1.4. MỘT SỐ VẤN ĐỀ BẢO VỆ HỆ THỐNG VÀ MẠNG
1.4.1. Các vấn đề chung về bảo vệ hệ thống và mạng [4]
Đặc điểm chung của một hệ thống mạng là có nhiều ngƣời sử dụng chung và
phân tán về mặt địa lý nên việc bảo vệ tài nguyên (mất mát hoặc sử dụng không hợp
lệ) phức tạp hơn nhiều so với việc môi trƣờng một máy tính đơn lẻ, hoặc một ngƣời
sử dụng.
Trên thực tế là không một mạng nào đảm bảo là an toàn tuyệt đối, một hệ
thống dù đƣợc bảo vệ chắc chắn đến mức nào thì cũng có lúc bị vô hiệu hóa bởi
những kẻ có ý đồ xấu.
Trong nội dung đề tài là tìm hiểu về các phƣơng pháp bảo mật cho mạng
LAN. Trong nội dung về lý thuyết của đề tài em xin trình bày về một số khái niệm
sau:
14
Số hóa bởi Trung tâm Học liệu
1.4.2. Một số khái niệm và lịch sử bảo vệ hệ thống
1.4.2.1. Đối tượng tấn công mạng
Đối tƣợng là những cá nhân hoặc tổ chức sử dụng những kiến thức về mạng
và các công cụ phá hoại (gồm phần cứng hoặc phần mềm) để dò tìm các điểm yếu
và các lỗ hổng bảo mật trên hệ thống, thực hiện các hoạt động xâm nhập và chiếm
đoạt tài nguyên trái phép.
Một số đối tƣợng tấn công mạng nhƣ:
Hacker: là những kẻ xâm nhập vào mạng trái phép bằng cách sử dụng các
công cụ phá mật khẩu hoặc khai thác các điểm yếu của thành phần truy nhập trên hệ
thống.
Masquerader: Là những kẻ giả mạo thông tin trên mạng nhƣ giả mạo địa chỉ
IP, tên miền, định danh ngƣời dùng…
Eavesdropping: Là những đối tƣợng nghe trộm thông tin trên mạng, sử dụng
các công cụ Sniffer, sau đó dùng các công cụ phân tích và debug để lấy đƣợc các
thông tin có giá trị.
Những đối tƣợng tấn công mạng có thể nhằm nhiều mục đích khác nhau nhƣ
ăn cắp các thông tin có giá trị về kinh tế, phá hoại hệ thống mạng có chủ định, hoặc
có thể đó là những hành động vô ý thức…
1.4.2.2. Các lỗ hổng bảo mật
Các lỗ hổng bảo mật là những điểm yếu trên hệ thống hoặc ẩn chứa trong
một dịch vụ mà dựa vào đó kẻ tấn công có thể xâm nhập trái phép vào hệ thống để
thực hiện những hành động phá hoại chiếm đoạt tài nguyên bất hợp pháp.
Có nhiều nguyên nhân gây ra những lỗ hổng bảo mật: Có thể do lỗi của bản
thân hệ thống, hoặc phần mềm cung cấp hoặc ngƣời quản trị yếu kém không hiểu
sâu về các dịch vụ cung cấp
1.4.2.3. Chính sách bảo mật
Chính sách bảo mật là tập hợp các quy tắc áp dụng cho những ngƣời tham
gia quản trị mạng, có sử dụng các tài nguyên và các dịch vụ mạng.
Đối với từng trƣờng hợp phải có chính sách bảo mật khác nhau. Chính sách
bảo mật giúp ngƣời sử dụng biết trách nhiệm của mình trong việc bảo vệ các tài
15
Số hóa bởi Trung tâm Học liệu
nguyên trên mạng, đồng thời còn giúp cho nhà quản trị mạng thiết lập các biên pháp
đảm bảo hữu hiệu trong quá trình trang bị, cấu hình và kiểm soát hoạt động của hệ
thống và mạng.
1.4.3. Các loại lỗ hổng và phƣơng thức tấn công mạng chủ yếu
1.4.3.1. Các loại lỗ hổng
Có nhiều các tổ chức đã tiến hành phân loại các dạng lỗ hổng đặc biệt. Theo
bộ quốc phòng Mỹ các loại lỗ hổng đƣợc phân làm ba loại nhƣ sau:
- Lỗ hổng loại C: Cho phép thực hiện các hình thức tấn công theo DoS
(Denial of Services - Từ chối dịch vụ) Mức độ nguy hiểm thấp chỉ ảnh hƣởng tới
chất lƣợng dịch vụ, làm ngƣng trệ gián đoạn hệ thống, không làm phá hỏng dữ liệu
hoặc đạt đƣợc quyền truy cập bất hợp pháp.
DoS là hình thức tấn công sử dụng các giao thức ở tầng Internet trong bộ
giao thức TCP/IP để làm hệ thống ngƣng trệ dẫn đến tình trạng từ chối ngƣời sử
dụng hợp pháp truy nhập hay sử dụng hệ thống.
Các dịch vụ có lỗ hổng cho phép các cuộc tấn công DoS có thể đƣợc nâng
cấp hoặc sửa chữa bằng các phiên bản mới hơn của các nhà cung cấp dịch vụ. Hiện
nay chƣa có một biện pháp hữu hiệu nào để khắc phục tình trạng tấn công kiểu này
vì bản thân thiết kế ở tầng Internet (IP) nói riêng và bộ giao thức TCP/IP nói chung
đã ẩn chứa những nguy cơ tiềm t của các lỗ hổng loại này.
- Lỗ hổng loại B: Cho phép ngƣời sử dụng có thêm các quyền trên hệ thống
mà không cần kiểm tra tính hợp lệ dẫn đến mất mát thông tin yêu cầu cần bảo mật.
Lỗ hổng này thƣờng có trong các ứng dụng trên hệ thống. Có mức độ nguy hiểm
trung bình.
Lỗ hổng loại B này có mức độ nguy hiểm hơn lỗ hổng loại C. Cho phép
ngƣời sử dụng nội bộ có thể chiếm đƣợc quyền cao hơn hoặc truy nhập không hợp
pháp.
Một dạng khác của lỗ hổng loại B xảy ra với các chƣơng trình viết bằng mã
nguồn C. Những chƣơng trình viết bằng mã nguồn C thƣờng sử dụng một vùng
đệm, một vùng trong bộ nhớ sử dụng để lƣu trữ dữ liệu trƣớc khi xử lý. Ngƣời lập
16
Số hóa bởi Trung tâm Học liệu
trình thƣờng sử dụng vùng đệm trong bộ nhớ trƣớc khi gán một khoảng không gian
bộ nhớ cho từng khối dữ liệu.
- Lỗ hổng loại A: Cho phép ngƣời ngoài hệ thống có thể truy cập bất hợp
pháp vào hệ thống. Có thể làm phá huỷ toàn bộ hệ thống. Loại lỗ hổng này có mức
độ rất nguy hiểm đe dọa tính toàn vẹn và bảo mật của hệ thống. Các lỗ hổng này
thƣờng xuất hiện ở những hệ thống quản trị yếu kém hoặc không kiểm soát đƣợc
cấu hình mạng. Ví dụ với các web server chạy trên hệ điều hành Novell các server
này có một scripst là convert.bas chạy scripst này cho phép đọc toàn bộ nội dung
các file trên hệ thống.
Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có trên phần
mềm sử dụng, ngƣời quản trị nếu không hiểu sâu về dịch vụ và phần mềm sử dụng
có thể bỏ qua điểm yếu này. Vì vậy thƣờng xuyên phải kiểm tra các thông báo của
các nhóm tin về bảo mật trên mạng để phát hiện những lỗ hổng loại này. Một loạt
các chƣơng trình phiên bản cũ thƣờng sử dụng có những lỗ hổng loại A nhƣ: FTP,
Gopher, Telnet, Sendmail, ARP, finger
1.4.3.2. Các hình thức tấn công mạng phổ biến
1/.
Scanner là một trƣơng trình tự động rà soát và phát hiện những điểm yếu về
bảo mật trên một trạm làm việc cục bộ hoặc một trạm ở xa. Một kẻ phá hoại sử
dụng chƣơng trình Scanner có thể phát hiện ra những lỗ hổng về bảo mật trên một
Server dù ở xa.
Cơ chế hoạt động là rà soát và phát hiện những cổng TCP/UDP đƣợc sử
dụng trên hệ thống cần tấn công và các dịch vụ sử dụng trên hệ thống đó. Scanner
ghi lại những đáp ứng trên hệ thống từ xa tƣơng ứng với dịch vụ mà nó phát hiện ra.
Từ đó nó có thể tìm ra điểm yếu của hệ thống. Những yếu tố để một Scanner hoạt
động nhƣ sau:
Yêu cầu thiết bị và hệ thống: Môi trƣờng có hỗ trợ TCP/IP Hệ thống phải kết
nối vào mạng Internet.
Các chƣơng trình Scanner có vai trò quan trọng trong một hệ thống bảo mật,
vì chúng có khả năng phát hiện ra những điểm yếu kém trên một hệ thống mạng.
17
Số hóa bởi Trung tâm Học liệu
2/.
Giải mã mật khẩu là một chƣơng trình có khả năng giải mã một mật khẩu đã
đƣợc mã hoá hoặc có thể vô hiệu hoá chức năng bảo vệ mật khẩu của một hệ thống.
Một số chƣơng trình phá khoá có nguyên tắc hoạt động khác nhau. Một số
chƣơng trình tạo ra danh sách các từ giới hạn, áp dụng một số thuật toán mã hoá từ
kết quả so sánh với mật khẩu đã mã hoá cần bẻ khoá để tạo ra một danh sách khác
theo một logic của chƣơng trình.
Khi thấy phù hợp với mật khẩu đã mã hoá, kẻ phá hoại đã có đƣợc mật khẩu
dƣới dạng text. Mật khẩu text thông thƣờng sẽ đƣợc ghi vào một file.
Biện pháp khắc phục đối với cách thức phá hoại này là cần xây dựng một
chính sách bảo vệ mật khẩu đúng đắn.
Sniffer là các công cụ (phần cứng hoặc phần mềm) ”bắt”các thông tin lƣu
chuyển trên mạng và lấy các thông tin có giá trị trao đổi trên mạng.
3/.
Sniffer có thể “bắt” đƣợc các thông tin trao đổi giữa nhiều trạm làm việc với
nhau. Thực hiện bắt các gói tin từ tầng IP trở xuống. Giao thức ở tầng IP đƣợc định
nghĩa công khai, và cấu trúc các trƣờng header rõ ràng, nên việc giải mã các gói tin
này không khó khăn.
Mục đích của các chƣơng trình sniffer đó là thiết lập chế độ promiscuous
(mode dùng chung) trên các card mạng ethernet - nơi các gói tin trao đổi trong
mạng - từ đó "bắt" đƣợc thông tin.
Các thiết bị sniffer có thể bắt đƣợc toàn bộ thông tin trao đổi trên mạng là
dựa vào nguyên tắc broadcast (quảng bá) các g tin trong mạng Ethernet.
Tuy nhiên việc thiết lập một hệ thống sniffer không phải đơn giản vì cần phải
xâm nhập đƣợc vào hệ thống mạng đó và cài đặt các phần mềm sniffer.
Đồng thời các chƣơng trình sniffer cũng yêu cầu ngƣời sử dụng phải hiểu sâu
về kiến trúc, các giao thức mạng. Việc phát hiện hệ thống bị sniffer không phải đơn
giản, vì sniffer hoạt động ở tầng rất thấp, và không ảnh hƣởng tới các ứng dụng
cũng nhƣ các dịch vụ hệ thống đó cung cấp.