TÌM HIỂU vấn đề về bảo mật mạng lan

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (613.63 KB, 65 trang )

MỤC LỤC
MỤC LỤC 1
LỜI CẢM ƠN 4
LỜI MỞ ĐẦU 5
Chương 1:
VẤN ĐỀ AN NINH AN TOÀN MẠNG MÁY TÍNH 7
1.1. Tổng quan về vấn đề an ninh an toàn mạng máy tính 7
1.1.1. Đe doạ an ninh từ đâu? 7
1.1.2. Các giải pháp cơ bản đảm bảo an ninh 8
1.2. Vấn đề bảo mật hệ thống và mạng 10
1.2.1. Các vấn dề chung về bảo mật hệ thống và mạng 10
1.2.2. Một số khái niệm và lịch sử bảo mật hệ thống 11
1.2.3. Các loại lỗ hổng bảo mật và phương thức tấn công mạng chủ yếu 12
1.3. Vấn đề bảo mật cho mạng LAN 16
1.3.1. Mạng riêng ảo (Virtual Private Network- VPN) 16
1.3.2. Tường lửa (Firewall) 17
Chương 2: TỔNG QUAN VỀ FIREWALL 18
2.1. Giới thiệu về firewall 18
2.1.1. Khái niệm firewall 18
2.1.2. Các chức năng cơ bản của firewall 18
2.1.3. Phân loại firewall 19
2.1.4 Một số hệ thống firewall khác 22
2.2. Các chiến lược xây dựng firewall 27
2.2.1. Quyền hạn tối thiểu(Least Privilege) 27
2.2.2. Bảo vệ theo chiều sâu (Defense in Depth) 27
2.2.3. Nút thắt (Choke Point) 27
2.2.4. Điểm xung yếu nhất (Weakest Link) 27
2.2.5. Hỏng trong an toàn (Fail-Safe Stance) 28
2.2.6. Sự tham gia toàn cầu 28
2.2.7. Tính đa dạng của việc bảo vệ 28
2.2.8. Đơn giản hoá 29

2.3. Cách thức xây dựng firewall 29
2.3.1. Xây dựng các nguyên tắc căn bản(Rule Base) 29
2.3.2. Xây dựng chính sách an toàn (Security Policy) 29
2.3.3. Xây dựng kiến trúc an toàn 30
2.3.4. Thứ tự các quy tắc trong bảng (Sequence of Rules Base) 31
2.3.5. Các quy tắc căn bản (Rules Base) 31
2.4. Lọc gói và cơ chế hoạt động 32
2.4.1. Bộ lọc gói (packet filtering) 33
2.4.2. Cổng ứng dụng (Application Gateway) 33
2.4.3. Bộ lọc Sesion thông minh (Smart Sesion Filtering) 34
2.4.4. Firewall hỗn hợp (Hybrid Firewall) 35
2.5. Kết luận 35
Chương 3:
TÌM HIỂU IPTALES TRONG HỆ ĐIỀU HÀNH LINUX 36
3.1. Firewall IPtable trên Redhat 36
3.1.1. Giới thiệu về IPtables 37
3.1.2. Quá trình chuyển gói dữ liệu qua Netfilter 40
3.1.3. Cấu trúc của Iptable. 40
3.1.4. Cài đặt iptables 41
3.2. Các tham số dòng lệnh thường gặp 41
3.2.1 Gọi trợ giúp 41
3.2.2 Các tùy chọn để chỉ định thông số 41
3.2.3. Các tùy chọn để thao tác với chain 42
3.2.4. Các tùy chọn để thao tác với luật 42
3.2.5 Phân biệt giữa ACCEPT, DROP và REJECT packet 42
3.2.6 Phân biệt giữa NEW, ESTABLISHED và RELATED 43
3.2.7 Tùy chọn limit, limit-burst 43
3.3. Giới thiệu về bảng NAT (Network Address Traslation) 44
3.3.1. Khái niêm căn bản về NAT 44
3.3.2. Cách đổi địa chỉ IP động (Dynamic - NAT) 45

3.3.3. Cách đóng giả địa chỉ IP (masquerade) 46
3.3.4. Một số ví dụ sử dụng kỹ thuật NAT 46
Chương 4:
THIẾT LẬP FIREWALL BẢO VỆ MẠNG NỘI BỘ BẰNG IPTABLES TRONG
HỆ ĐIỀU HÀNH LINUX 49
4.1. Cách làm việc của Firewall có vùng DMZ 49
4.2. Cấu trúc file cấu hình và cấu hình 50
4.2.1. Cấu hình các tuỳ chọn: 50
4.2.2. Tải các module cần thiết kế vào Kernel. 51
4.2.3. Cài đặt cấu hình cần thiết cho hệ thống file proc. 51
4.2.4. Cài đặt các nguyên tắc. 51
4.3. Cấu hình cho máy nội bộ truy cập mạng bên ngoài 56
4.4. Kiểm tra Firewall 56
4.5. Xây dựng phần mềm quản trị Firewall IPTables từ xa 59
4.5.1. Mô tả bài toán 59
4.5.2. Một số giao diện chương trình 59
4.5.3. Đánh giá phần mềm 62
KẾT LUẬN 64
TÀI LIỆU THAM KHẢO 65
Tìm hiểu vấn đề bảo mật mạng LAN
LỜI CẢM ƠN
Trước tiên em xin gửi lời cảm ơn chân thành đến GS, TS.Trần Hữu Nghị
hiệu trưởng nhà trường người đã có công lớn trong việc sáng lập ra trường ĐHDL
Hải Phòng. Đồng thời em xin gửi lời cám ơn xâu sắc tới các thầy, các cô trong tổ
Bộ môn tin học của trường ĐHDL Hải Phòng những người đã tận tình giảng dạy và
cung cấp những kiến thức quý báu cho em trong suốt bốn năm học qua.
Đặc biệt em xin chân thành cám ơn TS. Phạm Hồng Thái và CN. Lương Việt
Nguyên - trường Đại học công nghệ các thầy đã dành nhiều thời gian vô cùng quý
báu tận tình hướng dẫn em cũng như tạo mọi điều kiện thuận lợi để em có thể hoàn
thành tốt đề tài.

Cuối cùng em cũng xin cảm ơn gia đình, bạn bè những người thân luôn bên
cạnh động viên, giúp đỡ và tạo mọi điều kiện thuận lợi cho em .
Do còn hạn chế về kiến thức và kinh nghiệm nên luân văn còn nhiều thiếu
sót em rất mong được sự phê bình, đánh giá và góp ý của thầy cô và các bạn.
Em xin chân thành cảm ơn!
Hải Phòng, Ngày tháng 8 năm 2007.
Sinh viên
Nguyễn Thị Thúy
MSSV: 10419 - Nguyễn Thị Thúy – CT 701 Trang - 4 -
Tìm hiểu vấn đề bảo mật mạng LAN
LỜI MỞ ĐẦU
Với nhu cầu trao đổi thông tin, bắt buộc các cơ quan, tổ chức phải hoà mình
vào mạng toàn cầu Internet. An toàn và bảo mật thông tin là một trong những vấn
đề quan trọng hàng đầu, khi thực hiện kết nối mạng nội bộ của các cơ quan, doanh
nghiệp, tổ chức với Internet. Ngày nay, các biện pháp an toàn thông tin cho máy
tính cá nhân cũng như các mạng nội bộ đã được nghiên cứu và triển khai. Tuy
nhiên, vẫn thường xuyên có các mạng bị tấn công, có các tổ chức bị đánh cắp thông
tin,…gây nên những hậu quả vô cùng nghiêm trọng.
Những vụ tấn công này nhằm vào tất cả các máy tính có mặt trên Internet,
các máy tính của các công ty lớn như AT&T, IBM, các trường đại học và các cơ
quan nhà nước, các tổ chức quân sự, nhà băng,…một số vụ tấn công với quy mô
khổng lồ (có tới 100.000 máy tính bị tấn công). Hơn nữa những con số này chỉ là
phần nổi của tảng băng trôi. Một phần rất lớn các vụ tấn công không được thông
báo vì nhiều lý do, trong đó có thể kể đến nỗi lo mất uy tín hoặc chỉ đơn giản những
người quản trị dự án không hề hay biết những vụ tấn công nhằm vào hệ thống của
họ.
Không chỉ các vụ tấn công tăng lên nhanh chóng mà các phương pháp tấn
công cũng liên tục được hoàn thiện. Điều đó một phần do các nhân viên quản trị hệ
thống ngày càng đề cao cảnh giác. Vì vậy việc kết nối mạng nội bộ của cơ quan tổ
chức mình vào mạng Internet mà không có các biện pháp đảm bảo an ninh thì cũng

được xem là tự sát.
Từ nhu cầu phát triển, đòi hỏi các cơ quan, tổ chức phải hòa mình vào mạng
toàn cầu, mạng Internet song vẫn phải đảm bảo an toàn thông tin trong quá trình kết
nối. Bởi vậy, em đã quyết định chọn đề tài: “Nghiên cứu giải pháp bảo vệ mạng nội
bộ”, nhằm điều khiển luồng thông tin ra, vào và bảo vệ các mạng nội bộ khỏi sự tấn
công từ Internet. Nội dung đề tài này sẽ trình bày một cách khái quát các khái niệm
về mạng và Firewall, cách bảo vệ mạng bằng Firewall, cách xây dựng Firewall.
MSSV: 10419 - Nguyễn Thị Thúy – CT 701 Trang - 5 -
Tìm hiểu vấn đề bảo mật mạng LAN
Đồng thời, dùng Iptables trong hệ điều hành Linux để thiết lập Firewall bảo vệ các
mạng nội bộ.
Nội dung chính của đề tài gồm 4 chương như sau:
Chương 1: Vấn đề an ninh trong mạng máy tính.
Trình bày tổng quan về vấn đề an ninh trong mạng máy tính, các nguy cơ và
vấn đề bảo mật hệ thống mạng.
Chương 2: Tổng quan về Firewall.
Trình bày các khái niệm Firewall, chức năng Firewall, phân loại Firewall và
các kiến trúc Firewall.
Đưa ra các chính sách để xây dựng Firewall, từ các chính sách đó ta có cách
để xây dựng nên các Firewall bảo vệ mạng.
Chương 3: Tìm hiểu IPTables trong hệ điều hành Linux.
Tìm hiểu về Iptables và các tham số của dòng lệnh thường gặp.
Chương 4: Thiết lập Firewall bảo vệ mạng nội bộ bằng Iptables trong hệ
điều hành Linux.
Từ việc tìm hiểu về Iptables ở chương 3 để từ đó thiết lập bức tường lửa bảo
vệ cho các mạng nội bộ bằng Iptables trong Linux.
MSSV: 10419 - Nguyễn Thị Thúy – CT 701 Trang - 6 -
Tìm hiểu vấn đề bảo mật mạng LAN
Chương 1:
VẤN ĐỀ AN NINH AN TOÀN MẠNG MÁY TÍNH

1.1. Tổng quan về vấn đề an ninh an toàn mạng máy tính
1.1.1. Đe doạ an ninh từ đâu?
Trong xã hội, cái thiện và cái ác luôn song song tồn tại như hai mặt không
tách rời, chúng luôn phủ định nhau. Có biết bao nhiêu người muốn hướng tới cái
chân thiện, cái tốt đẹp, thì cũng có không ít kẻ vì mục đích này hay mục đích khác
lại làm cho cái ác nảy sinh, lấn lướt cái thiện. Sự giằng co giữa cái thiện và cái ác
ấy luôn là vấn đề bức xúc của xã hội, cần phải loại trừ cái ác, thế nhưng cái ác lại
luôn nảy sinh theo thời gian. Mạng máy tính cũng vậy, có những người phải mất
biết bao nhiêu công sức nghiên cứu ra các biện pháp bảo vệ cho an ninh của tổ chức
mình, thì cũng lại có kẻ tìm mọi cách phá vỡ lớp bảo vệ đó với nhiều ý đồ khác
nhau.
Mục đích của người lương thiện là luôn muốn tạo ra các khả năng bảo vệ an
ninh cho tổ chức rất rõ ràng. Ngược lại, ý đồ của kẻ xấu lại ở nhiều góc độ, cung
bậc khác nhau. Có kẻ muốn phá vỡ lớp vỏ an ninh để chứng tỏ khả năng của mình,
để thoả mãn thói hư ích kỷ. Loại người này thường làm hại người khác bằng cách
phá hoại các tài nguyên trên mạng, xâm phạm quyền riêng tư hoặc bôi nhọ danh dự
của họ. Nguy hiểm hơn, có những kẻ lại muốn đoạt không các nguồn lợi của người
khác như việc lấy cắp các thông tin mật của các công ty, đột nhập vào ngân hàng để
chuyển trộm tiền Bởi trên thực tế, hầu hết các tổ chức công ty tham gia vào mạng
máy tính toàn cầu đều có một lượng lớn các thông tin kết nối trực tuyến. Trong
lượng lớn các thông tin ấy, có các thông tin bí mật như: các bí mật thương mại, các
kế hoạch phát triển sản phẩm, chiến lược maketing, phân tích tài chính hay các
thông tin về nhân sự, bí mật riêng tư Các thông tin này hết sức quan trọng, việc để
lộ ra các thông tin cho các đối thủ cạnh tranh sẽ dẫn đến một hậu quả hết sức
nghiêm trọng.
Tuy nhiên, không phải bất cứ khi nào muốn những kẻ xấu cũng có thể thực
hiện được mục đích của mình. Chúng cần phải có thời gian, những sơ hở, yếu kém
của chính những hệ thống bảo vệ an ninh mạng. Và để thực hiện được điều đó,
chúng cũng phải có trí tuệ thông minh cộng với cả một chuỗi dài kinh nghiệm. Còn
để xây dựng được các biện pháp đảm bảo an ninh, đòi hỏi ở người xây dựng cũng

MSSV: 10419 - Nguyễn Thị Thúy – CT 701 Trang - 7 -
Tìm hiểu vấn đề bảo mật mạng LAN
không kém về trí tuệ và kinh nghiệm thực tiễn. Như thế, cả hai mặt tích cực và tiêu
cực ấy đều được thực hiện bởi bàn tay khối óc của con người, không có máy móc
nào có thể thay thế được. Vậy, vấn đề an ninh an toàn mạng máy tính hoàn toàn
mang tính con người.
Ban đầu, những trò phá hoại chỉ mang tính chất là trò chơi của những người
có trí tuệ không nhằm mục đích vụ lợi, xấu xa. Tuy nhiên, khi mạng máy tính trở
nên phổ dụng, có sự kết nối của nhiều tổ chức, công ty, cá nhân với nhiều thông tin
bí mật, thì những trò phá hoại ấy lại không ngừng gia tăng. Sự phá hoại ấy đã gây ra
nhiều hậu quả nghiêm trọng, nó đã trở thành một loại tội phạm. Theo số liệu thống
kê của CERT (Computer Emegency Response Team) thì số lượng các vụ tấn công
trên Internet được thông báo cho tổ chức này là ít hơn 200 vào năm 1989, khoảng
400 vào năm 1991, 1400 năm 1993 và 2241 năm 1994. Những vụ tấn công này
nhằm vào tất cả các máy tính có mặt trên Internet, từ các máy tính của các công ty
lớn như AT & T, IBM, các trường đại học, các cơ quan nhà nước, các nhà băng
Những con số đưa ra này, trên thực tế chỉ là phần nổi của tảng băng. Một phần lớn
các vụ tấn công không được thông báo vì nhiều lý do khác nhau, như sự mất uy tín,
hoặc chỉ đơn giản là họ không hề biết mình bị tấn công.
Thực tế, đe doạ an ninh không chỉ ở bên ngoài tổ chức, mà bên trong tổ chức
vấn đề cũng hết sức nghiêm trọng. Đe doạ bên trong tổ chức xẩy ra lớn hơn bên
ngoài, nguyên nhân chính là do các nhân viên có quyền truy nhập hệ thống gây ra.
Vì họ có quyền truy nhập hệ thống nên họ có thể tìm được các điểm yếu của hệ
thống, hoặc vô tình họ cũng có thể phá hủy hay tạo cơ hội cho những kẻ khác xâm
nhập hệ thống. Và nguy hiểm hơn, một khi họ là kẻ bất mãn hay phản bội thì hậu
quả không thể lường trước được.
Tóm lại, vấn đề an ninh an toàn mạng máy tính hoàn toàn là vấn đề con
người và không ngừng gia tăng, nó có thể bị đe doạ từ bên ngoài hoặc bên trong tổ
chức. Vấn đề này đã trở thành mối lo ngại lớn cho bất kì chủ thể nào tham gia vào
mạng máy tính toàn cầu. Và như vậy, để đảm bảo việc trao đổi thông tin an toàn và

an ninh cho mạng máy tính, buộc các tổ chức đó phải triển khai các biện pháp bảo
vệ đảm bảo an ninh, mà trước hết là cho chính mình.
1.1.2. Các giải pháp cơ bản đảm bảo an ninh
Như trên ta đã thấy, an ninh an toàn mạng máy tính có thể bị đe doạ từ rất
nhiều góc độ và nguyên nhân khác nhau. Đe doạ an ninh có thể xuất phát từ bên
ngoài mạng nội bộ hoặc cũng có thể xuất phát từ ngay bên trong tổ chức. Do đó,
MSSV: 10419 - Nguyễn Thị Thúy – CT 701 Trang - 8 -
Tìm hiểu vấn đề bảo mật mạng LAN
việc đảm bảo an ninh an toàn cho mạng máy tính cần phải có nhiều giải pháp cụ thể
khác nhau. Tuy nhiên, tổng quan nhất có ba giải pháp cơ bản sau:
 Giải pháp về phần cứng.
 Giải pháp về phần mềm.
 Giải pháp về con người.
Đây là ba giải pháp tổng quát nhất mà bất kì một nhà quản trị an ninh nào
cũng phải tính đến trong công tác đảm bảo an ninh an toàn mạng máy tính. Mỗi giải
pháp có một ưu nhược điểm riêng mà người quản trị an ninh cần phải biết phân
tích, tổng hợp và chọn lựa để tạo khả năng đảm bảo an ninh tối ưu nhất cho tổ chức
mình.
Giải pháp phần cứng là giải pháp sử dụng các thiết bị vật lý như các hệ
thống máy chuyên dụng, cũng có thể là các thiết lập trong mô hình mạng (thiết lập
kênh truyền riêng, mạng riêng) Giải pháp phần cứng thông thường đi kèm với nó
là hệ thống phần mềm điều khiển tương ứng. Đây là một giải pháp không phổ biến,
vì không linh hoạt trong việc đáp ứng với các tiến bộ của các dịch vụ mới xuất hiện,
và chi phí rất cao.
Khác với giải pháp phần cứng, giải pháp về phần mềm hết sức đa dạng. Giải
pháp phần mềm có thể phụ thuộc hay không phụ thuộc vào phần cứng. Cụ thể các
giải pháp về phần mềm như: các phương pháp xác thực, các phương pháp mã hoá,
mạng riêng ảo, các hệ thống bức tường lửa, Các phương pháp xác thực và mã hoá
đảm bảo cho thông tin truyền trên mạng một cách an toàn nhất. Vì với cách thức
làm việc của nó, thông tin thật trên đường truyền được mã hoá dưới dạng mà những

kẻ “nhòm trộm” không thể thấy được, hoặc nếu thông tin bị sửa đổi thì tại nơi nhận
sẽ có cơ chế phát hiện sự sửa đổi đó. Còn phương pháp sử dụng hệ thống bức tường
lửa lại đảm bảo an ninh ở góc độ khác. Bằng cách thiết lập các luật tại một điểm
đặc biệt (thường gọi là điểm nghẹt) giữa hệ thống mạng bên trong (mạng cần bảo
vệ) với hệ thống mạng bên ngoài (mạng được coi là không an toàn về bảo mật - hay
là Internet), hệ thống bức tường lửa hoàn toàn có thể kiểm soát các kết nối trao đổi
thông tin giữa hai mạng. Với cách thức này, hệ thống tường lửa đảm bảo an ninh
khá tốt cho hệ thống mạng cần bảo vệ. Như thế, giải pháp về phần mềm gần như
hoàn toàn gồm các chương trình máy tính, do đó chi phí cho giải pháp này sẽ ít hơn
so với giải pháp về phần cứng.
Bên cạnh hai giải pháp trên, giải pháp về chính sách con người là một giải
pháp hết sức cơ bản và không thể thiếu được. Vì như phần trên đã thấy, vấn đề an
MSSV: 10419 - Nguyễn Thị Thúy – CT 701 Trang - 9 -
Tìm hiểu vấn đề bảo mật mạng LAN
ninh an toàn mạng máy tính hoàn toàn là vấn đề con người, do đó việc đưa ra một
hành lang pháp lý và các quy nguyên tắc làm việc cụ thể là cần thiết. Ở đây, hành
lang pháp lý có thể gồm: các điều khoản trong bộ luật của nhà nước, các văn bản
dưới luật, Còn các quy định có thể do từng tổ chức đặt ra cho phù hợp với từng
đặc điểm riêng. Các quy định có thể như: quy định về nhân sự, việc sử dụng máy,
sử dụng phần mềm, Và như vậy, sẽ hiệu quả nhất trong việc đảm bảo an ninh an
toàn cho hệ thống mạng máy tính một khi ta thực hiện triệt để giải pháp về chính
sách con người.
Tóm lại, vấn đề an ninh an toàn mạng máy tính là một vấn đề lớn, nó yêu
cầu cần phải có một giải pháp tổng thể, không chỉ phần mềm, phần cứng máy tính
mà nó đòi hỏi cả vấn đề chính sách về con người. Và vấn đề này cần phải được
thực hiện một cách thường xuyên liên tục, không bao giờ triệt để được vì nó luôn
nảy sinh theo thời gian. Tuy nhiên, bằng các giải pháp tổng thể hợp lý, đặc biệt là
giải quyết tốt vấn đề chính sách về con người ta có thể tạo ra cho mình sự an toàn
chắc chắn hơn.
1.2. Vấn đề bảo mật hệ thống và mạng

1.2.1. Các vấn dề chung về bảo mật hệ thống và mạng
Đặc điểm chung của một hệ thống mạng là có nhiều người sử dụng chung và
phân tán về mặt địa lý nên việc bảo vệ tài nguyên (mất mát hoặc sử dụng không
hợp lệ) phức tạp hơn nhiều so với việc môi trường một máy tính đơn lẻ, hoặc một
người sử dụng.
Hoạt động của người quản trị hệ thống mạng phải đảm bảo các thông tin trên
mạng là tin cậy và sử dụng đúng mục đích, đối tượng đồng thời đảm bảo mạng hoạt
động ổn định không bị tấn công bởi những kẻ phá hoại.
Nhưng trên thực tế là không một mạng nào đảm bảo là an toàn tuyệt đối, một
hệ thống dù được bảo vệ chắc chắn đến mức nào thì cũng có lúc bị vô hiệu hóa bởi
những kẻ có ý đồ xấu.
Trong nội dung đề tài của em là tìm hiểu về các phương pháp bảo mật cho
mạng LAN. Trong nội dung về lý thuyết của đề tài em xin trình bày về một số khái
niệm sau:
MSSV: 10419 - Nguyễn Thị Thúy – CT 701 Trang - 10 -
Tìm hiểu vấn đề bảo mật mạng LAN
1.2.2. Một số khái niệm và lịch sử bảo mật hệ thống
a. Đối tượng tấn công mạng (intruder)
Đối tượng là những cá nhân hoặc tổ chức sử dụng những kiến thức về mạng
và các công cụ phá hoại (gồm phần cứng hoặc phần mềm) để dò tìm các điểm yếu
và các lỗ hổng bảo mật trên hệ thống, thực hiện các hoạt động xâm nhập và chiếm
đoạt tài nguyên trái phép.
Một số đối tượng tấn công mạng như:
Hacker: là những kẻ xâm nhập vào mạng trái phép bằng cách sử dụng các
công cụ phá mật khẩu hoặc khai thác các điểm yếu của thành phần truy nhập trên hệ
thống
Masquerader : Là những kẻ giả mạo thông tin trên mạng như giả mạo địa chỉ
IP, tên miền, định danh người dùng…
Eavesdropping: Là những đối tượng nghe trộm thông tin trên mạng, sử dụng
các công cụ Sniffer, sau đó dùng các công cụ phân tích và debug để lấy được các

thông tin có giá trị.
Những đối tượng tấn công mạng có thể nhằm nhiều mục đích khác nhau như
ăn cắp các thông tin có giá trị về kinh tế, phá hoại hệ thống mạng có chủ định, hoặc
có thể đó là những hành động vô ý thức…
b. Các lỗ hổng bảo mật
Các lỗ hổng bảo mật là những điểm yếu trên hệ thống hoặc ẩn chứa trong
một dịch vụ mà dựa vào đó kẻ tấn công có thể xâm nhập trái phép vào hệ thống để
thực hiện những hành động phá hoại chiếm đoạt tài nguyên bất hợp pháp.
Có nhiều nguyên nhân gây ra những lỗ hổng bảo mật: có thể do lỗi của bản
thân hệ thống, hoặc phần mềm cung cấp hoặc người quản trị yếu kém không hiểu
sâu về các dịch vụ cung cấp…
Mức độ ảnh hưởng của các lỗ hổng tới hệ thống là khác nhau. Có lỗ hổng
chỉ ảnh hưởng tới chất lượng dịch vụ cung cấp, có lỗ hổng ảnh hưởng tới toàn bộ hệ
thống hoặc phá hủy hệ thống.
c. Chính sách bảo mật
Chính sách bảo mật là tập hợp các quy tắc áp dụng cho những người tham
gia quản trị mạng, có sử dụng các tài nguyên và các dịch vụ mạng.
MSSV: 10419 - Nguyễn Thị Thúy – CT 701 Trang - 11 -
Tìm hiểu vấn đề bảo mật mạng LAN
Đối với từng trường hợp phải có chính sách bảo mật khác nhau. Chính sách
bảo mật giúp người sử dụng biết trách nhiệm của mình trong việc bảo vệ các tài
nguyên trên mạng, đồng thời còn giúp cho nhà quản trị mạng thiết lập các biên pháp
đảm bảo hữu hiệu trong quá trình trang bị, cấu hình và kiểm soát hoạt động của hệ
thống và mạng.
1.2.3. Các loại lỗ hổng bảo mật và phương thức tấn công mạng chủ yếu
a. Các loại lỗ hổng
Có nhiều các tổ chức đã tiến hành phân loại các dạng lỗ hổng đặc biệt. Theo
bộ quốc phòng Mỹ các loại lỗ hổng được phân làm ba loại như sau:
 Lỗ hổng loại C: Cho phép thực hiện các hình thức tấn công theo DoS
(Denial of Services- Từ chối dịch vụ) Mức độ nguy hiểm thấp chỉ ảnh hưởng tới

chất lượng dịch vụ, làm ngưng trệ gián đoạn hệ thống, không làm phá hỏng dữ liệu
hoặc đạt được quyền truy cập bất hợp pháp.
DoS là hình thức tấn công sử dụng các giao thức ở tầng Internet trong bộ
giao thức TCP/IP để làm hệ thống ngưng trệ dẫn đến tình trạng từ chối người sử
dụng hợp pháp truy nhập hay sử dụng hệ thống.
Các dịch vụ có lỗ hổng cho phép các cuộc tấn công DoS có thể được nâng
cấp hoặc sửa chữa bằng các phiên bản mới hơn của các nhà cung cấp dịch vụ. Hiện
nay chưa có một biện pháp hữu hiệu nào để khắc phục tình trạng tấn công kiểu này
vì bản thân thiết kế ở tầng Internet (IP) nói riêng và bộ giao thức TCP/IP nói chung
đã ẩn chứa những nguy cơ tiềm tang của các lỗ hổng loại này.
 Lỗ hổng loại B : Cho phép người sử dụng có thêm các quyền trên hệ thống
mà không cần kiểm tra tính hợp lệ dẫn đến mất mát thông tin yêu cầu cần bảo mật.
Lỗ hổng này thường có trong các ứng dụng trên hệ thống . Có mức độ nguy hiểm
trung bình.
Lỗ hổng loại B này có mức độ nguy hiểm hơn lỗ hổng loại C. Cho phép
người sử dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập không hợp
pháp.Những lỗ hổng loại này thường xuất hiện trong các dịch vụ trên hệ thống.
Người sử dụng local được hiểu là người đã có quyền truy nhập vào hệ thống với
một số quyền hạn nhất định.
MSSV: 10419 - Nguyễn Thị Thúy – CT 701 Trang - 12 -
Tìm hiểu vấn đề bảo mật mạng LAN
Một dạng khác của lỗ hổng loại B xảy ra với các chương trình viết bằng mã
nguồn C. Những chương trình viết bằng mã nguồn C thường sử dụng một vùng
đệm, một vùng trong bộ nhớ sử dụng để lưu trữ dữ liệu trước khi xử lý. Người lập
trình thường sử dụng vùng đệm trong bộ nhớ trước khi gán một khoảng không gian
bộ nhớ cho từng khối dữ liệu. Ví dụ khi viết chương trình nhập trường tên người sử
dụng quy định trường này dài 20 ký tự bằng khai báo:
Char first_name [20]; Khai báo này cho phép người sử dụng nhập tối đa 20
ký tự. Khi nhập dữ liệu ban đầu dữ liệu được lưu ở vùng đệm. Khi người sử dụng
nhập nhiều hơn 20 ký tự sẽ tràn vùng đệm. Những ký tự nhập thừa sẽ nằm ngoài

vùng đệm khiến ta không thể kiểm soát được. Nhưng đối với những kẻ tấn công
chúng có thể lợi dụng những lỗ hổng này để nhập vào những ký tự đặc biệt để thực
thi một số lệnh đặc biệt trên hệ thống. Thông thường những lỗ hổng này được lợi
dụng bởi những người sử dụng trên hệ thống để đạt được quyền root không hợp lệ.
Để hạn chế được các lỗ hổng loại B phải kiêm soát chặt chẽ cấu hình hệ thống và
các chương trình.
 Lỗ hổng loại A: Cho phép người ngoài hệ thống có thể truy cập bất hợp pháp
vào hệ thống. Có thể làm phá huỷ toàn bộ hệ thống. Loại lỗ hổng này có mức độ rất
nguy hiểm đe dọa tính toàn vẹn và bảo mật của hệ thống. Các lỗ hổng này thường
xuất hiện ở những hệ thống quản trị yếu kém hoặc không kiểm soát được cấu hình
mạng. Ví dụ với các web server chạy trên hệ điều hành Novell các server này có
một scripst là convert.bas chạy scripst này cho phép đọc toàn bộ nội dung các file
trên hệ thống.
Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có trên phần
mềm sử dụng, người quản trị nếu không hiểu sâu về dịch vụ và phần mềm sử dụng
có thể bỏ qua điểm yếu này. Vì vậy thường xuyên phải kiểm tra các thông báo của
các nhóm tin về bảo mật trên mạng để phát hiện những lỗ hổng loại này. Một loạt
các chương trình phiên bản cũ thường sử dụng có những lỗ hổng loại A như: FTP,
Gopher, Telnet, Sendmail, ARP, finger
b. Các hình thức tấn công mạng phổ biến
 Scanner
Scanner là một trương trình tự động rà soát và phát hiện những điểm yếu về
bảo mật trên một trạm làm việc cục bộ hoặc một trạm ở xa. Một kẻ phá hoại sử
MSSV: 10419 - Nguyễn Thị Thúy – CT 701 Trang - 13 -
Tìm hiểu vấn đề bảo mật mạng LAN
dụng chương trình Scanner có thể phát hiện ra những lỗ hổng về bảo mật trên một
Server dù ở xa.
Cơ chế hoạt động là rà soát và phát hiện những cổng TCP/UDP được sủ
dụng trên hệ thống cần tấn công và các dịch vụ sử dụng trên hệ thống đó. Scanner
ghi lại những đáp ứng trên hệ thống từ xa tương ứng với dịch vụ mà nó phát hiện

ra. Từ đó nó có thể tìm ra điêm yếu của hệ thống.
Những yếu tố để một Scanner hoạt động như sau:
Yêu cầu thiết bị và hệ thống: Môi trường có hỗ trợ TCP/IP
Hệ thống phải kết nối vào mạng Internet.
Các chương trình Scanner có vai trò quan trọng trong một hệ thống bảo mật,
vì chúng có khả năng phát hiện ra những điểm yếu kém trên một hệ thống mạng.
 Password Cracker
Là một chương trình có khả năng giải mã một mật khẩu đã được mã hoá
hoặc có thể vô hiệu hoá chức năng bảo vệ mật khẩu của một hệ thống.
Một số chương trình phá khoá có nguyên tắc hoạt động khác nhau. Một số
chương trình tạo ra danh sách các từ giới hạn, áp dụng một số thuật toán mã hoá từ
kết quả so sánh với Password đã mã hoá cần bẻ khoá để tạo ra một danh sách khác
theo một logic của chương trình.
Khi thấy phù hợp với mật khẩu đã mã hoá, kẻ phá hoại đã có được mật khẩu
dưới dạng text . Mật khẩu text thông thường sẽ được ghi vào một file.
Biện pháp khắc phục đối với cách thức phá hoại này là cần xây dựng một
chính sách bảo vệ mật khẩu đúng đắn.
 Sniffer
Sniffer là các công cụ (phần cứng hoặc phần mềm)”bắt ”các thông tin lưu
chuyển trên mạng và lấy các thông tin có giá trị trao đổi trên mạng.
Sniffer có thể “bắt” được các thông tin trao đổi giữa nhiều trạm làm việc với
nhau. Thực hiện bắt các gói tin từ tầng IP trở xuống. Giao thức ở tầng IP được định
nghĩa công khai, và cấu trúc các trường header rõ ràng, nên việc giải mã các gói tin
này không khó khăn.
MSSV: 10419 - Nguyễn Thị Thúy – CT 701 Trang - 14 -
Tìm hiểu vấn đề bảo mật mạng LAN
Mục đích của các chương trình sniffer đó là thiết lập chế độ promiscuous
(mode dùng chung) trên các card mạng ethernet - nơi các gói tin trao đổi trong
mạng - từ đó "bắt" được thông tin.
Các thiết bị sniffer có thể bắt được toàn bộ thông tin trao đổi trên mạng là

dựa vào nguyên tắc broadcast (quảng bá) các gọi tin trong mạng Ethernet.
Tuy nhiên việc thiết lập một hệ thống sniffer không phải đơn giản vì cần
phải xâm nhập được vào hệ thống mạng đó và cài đặt các phần mềm sniffer.
Đồng thời các chương trình sniffer cũng yêu cầu người sử dụng phải hiểu
sâu về kiến trúc, các giao thức mạng.
Việc phát hiện hệ thống bị sniffer không phải đơn giản, vì sniffer hoạt động
ở tầng rất thấp, và không ảnh hưởng tới các ứng dụng cũng như các dịch vụ hệ
thống đó cung cấp.
Tuy nhiên việc xây dựng các biện pháp hạn chế sniffer cũng không quá khó
khăn nếu ta tuân thủ các nguyên tắc về bảo mật như:
 Không cho người lạ truy nhập vào các thiết bị trên hệ thống
 Quản lý cấu hình hệ thống chặt chẽ
 Thiết lập các kết nối có tính bảo mật cao thông qua các cơ chế mã hoá.
 Trojans
Trojans là một chương trình chạy không hợp lệ trên một hệ thống. Với vai
trò như một chương trình hợp pháp. Trojans này có thể chạy được là do các chương
trình hợp pháp đã bị thay đổi mã của nó thành mã bất hợp pháp.
Ví dụ như các chương trình virus là loại điển hình của Trojans. Những
chương trình virus thường che dấu các đoạn mã trong các chương trình sử dụng hợp
pháp. Khi những chương trình này được kích hoạt thì những đoạn mã ẩn dấu sẽ
thực thi và chúng thực hiện một số chức năng mà người sử dụng không biết như: ăn
cắp mật khẩu hoặc copy file mà người sử dụng như ta thường không hay biết.
Một chương trình Trojans sẽ thực hiện một trong những công việc sau:
 Thực hiện một vài chức năng hoặc giúp người lập trình lên nó phát hiện
những thông tin quan trọng hoặc những thông tin cá nhân trên một hệ thống hoặc
chỉ trên một vài thành phần của hệ thống đó.
MSSV: 10419 - Nguyễn Thị Thúy – CT 701 Trang - 15 -
Tìm hiểu vấn đề bảo mật mạng LAN
 Che dấu một vài chức năng hoặc là giúp người lập trình phát hiện những
thông tin quan trọng hoặc những thông tin cá nhân trên một hệ thống hoặc chỉ trên

một vài thành phần của hệ thống.
Ngoài ra còn có các chương trình Trojan có thể thực hiện đựợc cả hai chức năng
này. Có chương trình Trojan còn có thể phá hủy hệ thống bằng cách phá hoại các
thông tin trên ổ cứng. Nhưng ngày nay các Trojans kiểu này dễ dàng bị phát hiện và
khó phát huy được tác dụng.
Tuy nhiên có những trường hợp nghiêm trọng hơn những kẻ tấn công tạo ra
những lỗ hổng bảo mật thông qua Trojans và kẻ tấn công lấy được quyền root trên
hệ thống và lợi dụng quyền đó để phá hủy một phần hoặc toàn bộ hệ thống hoặc
dùng quyền root để thay đổi logfile, cài đặt các chương trình trojans khác mà người
quản trị không thể phát hiện được gây ra mức độ ảnh hưởng rất nghiêm trọng và
người quản trị chỉ còn cách cài đặt lại toàn bộ hệ thống.
1.3. Vấn đề bảo mật cho mạng LAN
Khi nói đến vấn đề bảo mật cho mạng LAN ta thường quan tâm tới những
vấn đề chính là bảo mật thông tin dữ liệu trao đổi bên trong mạng nội bộ, bảo mật
thông tin dữ liệu trao đổi từ trong mạng ra bên ngoài và từ bên ngoài vào trong
mạng. Việc kiểm soát được những truy cập bất hợp pháp từ bên ngoài vào cũng như
kiểm soát những truy cập không cho phép từ trong nội bộ mạng ra bên ngoài. Cùng
với sự phát triển mạnh mẽ của Internet và sự kết nối mạng nội bộ với Internet thì
vấn đề đảm bảo an toàn, an ninh mạng càng trở nên khó khăn và cần thiết.
Hiện nay để bảo mật cho mạng LAN có nhiều phương pháp trong đó có một
số phương pháp phổ biến và đáng tin cậy đó là:
1.3.1. Mạng riêng ảo (Virtual Private Network- VPN)
Mạng riêng ảo (Virtual Private Network - VPN) là sự mở rộng mạng riêng
của các công ty, tổ chức thông qua sử dụng các kết nối mạng công cộng hoăc mạng
chia sẻ như Internet. VPN cung cấp cho khách hàng đầy đủ các tính năng mà một
kênh thuê riêng có được nhưng với giá thành rẻ hơn do sử dụng hạ tầng cơ sở mạng
công cộng.
MSSV: 10419 - Nguyễn Thị Thúy – CT 701 Trang - 16 -
Tìm hiểu vấn đề bảo mật mạng LAN
VPN sử dụng giao thức để tạo đường hầm truyền tin riêng và các biện pháp

an ninh để bảo vệ dữ liệu trên đường truyền như mã hoá, xác thực…
1.3.2. Tường lửa (Firewall)
Thuật ngữ Firewall (Bức tường ngăn lửa) có nguồn gốc từ một kỹ thuật thiết
kế trong xây dựng để ngăn chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông
tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy
cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm
nhập vào hệ thống của một số thông tin khác không mong muốn. Cũng có thể
hiểu rằng Firewall là một cơ chế để bảo vệ mạng tin tưởng (Trusted network) khỏi
các mạng không tin tưởng (Untrusted network).
Firewall giữa mạng của một tổ chức, một công ty, hay một quốc gia
(Intranet) và Internet. Nó thực hiện vai trò bảo mật các thông tin Intranet từ thế giới
Internet bên ngoài.
Qua quá trình tìm hiểu em thấy rằng Firewall là phương pháp hữu hiệu và
phổ biến nhất hiện nay do nó có nhiều ưu điểm, cung cấp những tính năng bảo mật
tốt cho vấn đề bảo vệ an ninh mạng hiện nay. Trong khuôn khổ bài báo cáo này em
xin trình bày về phương pháp bảo mật mạng LAN bằng Firewall.
MSSV: 10419 - Nguyễn Thị Thúy – CT 701 Trang - 17 -
Tìm hiểu vấn đề bảo mật mạng LAN
Chương 2: TỔNG QUAN VỀ FIREWALL
Để bảo vệ mạng nội bộ Firewall là một trong những giải pháp bảo vệ mạng
hữu hiệu và phổ biến hiện nay. Nó giúp cho các mạng nội bộ tránh khỏi những truy
nhập trái phép từ bên ngoài bằng cách điều khiển thông tin ra vào giữa các mạng
nội bộ. Nội dung chính của chương này em sẽ đi giới thiệu tổng quan về Firewall,
khái niệm, các chức năng của Firewall, phân loại Firewall, ưu nhược điểm của từng
loại Firewall, các chiến lược để xây dựng Firewall và giới thiệu về cơ chế lọc gói
tin.
2.1. Giới thiệu về firewall
2.1.1. Khái niệm firewall
Firewall là thiết bị nhằm ngăn chặn sự truy nhập không hợp lệ từ mạng
ngoài vào mạng trong. Hệ thống firewall thường bao gồm cả phần cứng và phần

mềm. Firewall thường được dùng theo phương thức ngăn chặn hay tạo các luật đối
với các địa chỉ khác nhau.
2.1.2. Các chức năng cơ bản của firewall
Chức năng chính của Firewall là kiểm soát luồng thông tin giữa mạng cần
bảo vệ (Trusted Network) và Internet thông qua các chính sách truy nhập đã được
thiết lập.
- Cho phép hoặc cấm các dịch vụ truy nhập từ trong ra ngoài và từ ngoài vào
trong.
- Kiểm soát địa chỉ truy nhập, và dịch vụ sử dụng.
- Kiểm soát khả năng truy cập người sử dụng giữa 2 mạng.
- Kiểm soát nội dung thông tin truyền tải giữa 2 mạng.
- Ngăn ngừa khả năng tấn công từ các mạng ngoài.
Xây dựng firewalls là một biện pháp khá hữu hiệu, nó cho phép bảo vệ và
kiểm soát hầu hết các dịch vụ do đó được áp dụng phổ biến nhất trong các biện
pháp bảo vệ mạng.
MSSV: 10419 - Nguyễn Thị Thúy – CT 701 Trang - 18 -
Tìm hiểu vấn đề bảo mật mạng LAN
2.1.3. Phân loại firewall
Firewall có nhiều loại tuy nhiên mỗi loại có ưu và nhược điểm riêng. Nhưng
thông thường firewall được chia làm 2 loại chính là:
 Firewall phần cứng
 Firewall phần mềm.
a. Firewall phần cứng.
Là một thiết bị phần cứng được tích hợp bộ định tuyến, các quy tắc cho việc
lọc gói tin được thiết lập ngay trên bộ định tuyến đó. Firewall phần cứng này như
một chiếc máy tính chỉ thực hiện chức năng duy nhất là lọc gói tin bằng cách chạy
một phần mềm đã được cứng hóa trong đó và chỉ có thể thiết lập các tập luật còn
không thể thay đổi bộ định tuyến được cứng hóa và tích hợp bên trong. Tùy vào
từng loại firewall phần cứng của các hãng khác nhau mà cho phép người quản trị có
khả năng cập nhật những quy tắc lọc gói tin khác nhau.

Khi hoạt động, tường lửa sẽ dựa trên các quy tắc được thiết lập trong bộ
định tuyến mà kiểm tra thông tin header của gói tin như địa chỉ nguồn (source IP
address), địa chỉ đích (destination IP address), cổng (Port) Nếu mọi thông tin
trong header của gói tin là hợp lệ nó sẽ được cho qua và nếu không hợp lệ nó sẽ bị
bỏ qua. Chính việc không mất thời gian xử lí những gói tin có địa chỉ không hợp lệ
làm cho tốc độ xử lí của firewall phần cứng rất nhanh và đây chính là ưu điểm lớn
nhất của hệ thống firewall phần cứng.
Một điểm đáng chú là tất cả các loại firewall phần cứng trên thế giới hiện
nay đều chưa thể lọc được nội dung của gói tin mà chỉ có thể lọc được phần nội
dung trong header của gói tin.
Dưới đây sẽ giới thiệu mô hình sử dụng firewall phần cứng đảm bảo an ninh
mạng:
Mô hình sử dụng firewall phần cứng: (Thiết bị phần cứng Firewall trong mô
hình này chỉ có một chức năng duy nhất là lọc gói tin mà không thể thực hiện bất kì
một công việc nào khác)
MSSV: 10419 - Nguyễn Thị Thúy – CT 701 Trang - 19 -
Tìm hiểu vấn đề bảo mật mạng LAN
Hình 1: Mô hình sử dụng Firewall phần cứng.
Trong mô hình này thông tin từ mạng Internet không thể trực tiếp đi vào
vùng mạng được bảo vệ và ngược lại mà nó phải thông qua Firewall phần cứng.
Quá trình kiểm duyệt xảy ra nếu các thông tin trong phần header của gói tin bao
gồm địa chỉ nguồn (source IP address), địa chỉ đích (destination IP address), cổng
(Port) được chấp nhận thì nó sẽ được chuyển tiếp vào mạng bên trong hay
chuyển ra mạng internet bên ngoài.
Hiện nay trên thế giới có một số hãng sản xuất firewall phần cứng rất nổi
tiếng như CISCO, D-LINK, PLANET
b. Firewall phần mềm
Loại firewall này là một chương trình ứng dụng nguyên tắc hoạt động dựa
trên trên ứng dụng proxy - là một phần mềm cho phép chuyển các gói tin mà máy
chủ nhận được đến những địa điểm nhất định theo yêu cầu. Và các quy tắc lọc gói

tin được người sử dụng tự thiết lập. Người ta thường sử dụng firewall loại này khi
một mạng máy tính có máy chủ và mọi thông tin đều thông qua máy chủ này rồi
mới chuyển đến máy con trong mạng hoặc dùng cho máy tính cá nhân khi tham gia
mạng Firewall phần mềm này rất tiện lợi ở chỗ phần mềm có thể dễ dàng thay
đổi cập nhật các phiên bản mới.
Cách thức hoạt động của firewall dạng này cũng rất đơn giản. Phần mềm
firewall được chạy thường trú trên máy chủ hay máy tính cá nhân. Máy tính này có
thể đảm đương nhiều nhiệm vụ ngoài công việc là Firewall. Mỗi khi có các gói tin
được chuyển đến hay chuyển đi nó đều được phần mềm firewall này kiểm tra phần
header của gói tin bao gồm các thông tin về địa chỉ đến, địa chỉ đi, giao thức, cổng
dịch vụ Firewall phần mềm mới hiện nay còn có thể kiểm tra được nội dung của
gói tin. Các thông tin mà firewall kiểm tra được người dùng quy định trước trong
tập luật. Nếu gói tin được phần mềm firewall cho qua thì tiếp theo nó sẽ được đưa
đến các máy con trong mạng hoặc là các ứng dụng chạy trực tiếp trên máy đó.
MSSV: 10419 - Nguyễn Thị Thúy – CT 701 Trang - 20 -

Bên trong

Tìm hiểu vấn đề bảo mật mạng LAN
Dưới đây là mô hình thường sử dụng firewall phần mềm: (Máy tính dùng
làm firewall có thể đảm đương nhiều nhiệm vụ khác nhau ngoài việc là một
Firewall ví dụ DNS server, Mail server, Web server )
Hình 2: Mô hình sử dụng Firewall phần mềm.

Trong mô hình này máy tính chạy ứng dụng firewall có vai trò trung gian.
Nó sẽ nhận các gói tin từ Internet và Protected Network sau đó thực hiện quá trình
kiểm tra phần header của các gói tin đó gồm thông tin như : địa chỉ đến, địa chỉ đi,
giao thức, cổng dịch vụ sau đó nếu phần mềm firewall chấp nhận cho gói tin đi
qua thì gói tin sẽ tiếp tục chuyển đến đích. Ngược lại nếu gói tin không được chấp
nhận chuyển tiếp thì phần mềm firewall sẽ đưa ra quyết định hủy bỏ. Cách hủy bỏ
cũng có nhiều kiểu như hủy bỏ không cần trả lời cho máy gửi tới biết lí do (DROP),
hủy bỏ nhưng vẫn trả lời cho máy gửi tới biết lí do (REJECT) Chính việc xử lí
việc hủy bỏ gói tin như vậy dẫn đến tốc độ của loại firewall này bị hạn chế.
Một số phần mềm firewall sử dụng nhiều và được đánh giá cao về khả năng
lọc gói tin như ZoneAlarm Pro, SmoothWall, McAfee Personal Firewall Plus,
ZoneAlarm Pro , Sygate Personal Firewall
c. Ưu và nhược điểm của firewall
Mỗi loại tường lửa có những ưu điểm, nhược điểm và được sử dụng trong
những trường hợp khác nhau. Tường lửa phần cứng thường được sử dụng để đảm
bảo an ninh cho các mạng lớn vì nếu không sử dụng firewall phần cứng thì sẽ cần
hệ thống firewall phần mềm tức là sẽ có một tính máy chủ. Máy chủ này sẽ nhận
mọi gói tin và kiểm duyệt rồi chuyển tiếp cho các máy trong mạng. Mà tốc độ của
firewall phần mềm hoạt động chậm hơn so với firewall phần cứng nên ảnh hưởng
lớn đến tốc độ của toàn hệ thống mạng.
Mặt khác hệ thống tường lửa phần mềm thường được sử dụng để đảm bảo
an ninh cho các máy tính cá nhân hoặc một mạng nhỏ. Việc sử dụng hệ thống
firewall phần mềm sẽ giúp giảm chi phí vì giá cả thiết bị firewall phần cứng đắt gấp
nhiều lần so với hệ thống firewall phần mềm. Hơn nữa, khi ta sử dụng hệ thống
firewall phần mềm trong việc đảm bảo an ninh cho máy tính cá nhân hay mạng với
MSSV: 10419 - Nguyễn Thị Thúy – CT 701 Trang - 21 -

Bên trong

Tìm hiểu vấn đề bảo mật mạng LAN
quy mô nhỏ thì việc ảnh hưởng đến tốc độ chuyển các gói tin trong mạng là không
đáng kể.
Điểm yếu khác của firewall phần mềm đó là với mỗi firewall phần mềm
được chạy trên từng hệ điều hành nhất định. Ví dụ ZoneAlarm Pro là môt hệ thống
firewall phần mềm chỉ chạy trên hệ điều hành Windows. Hay với phần mềm
SmoothWall thì lại chỉ có thể chạy trên hệ điều hành Linux. Nhưng với firewall
phần cứng thì có thể chạy một các hoàn toàn độc lập không bị phụ thuộc vào hệ
điều hành như firewall phần mềm.
Firewall phần mềm hiện giờ đã có thể lọc được nội dung gói tin còn firewall
phần cứng chỉ có thể lọc thông tin trong phần header của gói tin còn phần nội dung
chính của gói tin thì firewall phần cứng không thể kiểm soát được. Bởi vậy mà
Firewall phần cứng không thể giúp ngăn chặn các loại virus hệ thống nhưng
firewall phần mềm thì có thể.
2.1.4 Một số hệ thống firewall khác
a. Packet-Filtering Router (Bộ trung chuyển có lọc gói)
Hệ thống Internet firewall phổ biến nhất chỉ bao gồm một packet-filtering
router đặt giữa mạng nội bộ và Internet. Một packet-filtering router có hai chức
năng: chuyển tiếp truyền thông giữa hai mạng và sử dụng các quy luật về lọc gói để
cho phép hay từ chối truyền thông. Căn bản, các quy luật lọc đựơc định nghĩa sao
cho các host trên mạng nội bộ được quyền truy nhập trực tiếp tới Internet, trong khi
các host trên Internet chỉ có một số giới hạn các truy nhập vào các máy tính trên
mạng nội bộ. Tư tưởng của mô hình cấu trúc firewall này là tất cả những gì không
được chỉ ra rõ ràng là cho phép thì có nghĩa là bị từ chối.

Hình 3: Packet-Filtering Router
Ưu điểm
MSSV: 10419 - Nguyễn Thị Thúy – CT 701 Trang - 22 -
The Internet

Bên ngoài
Packet filtering
router
The Internet

Mạng nội bộ

Bên trong

Tìm hiểu vấn đề bảo mật mạng LAN
 Giá thành thấp (vì cấu hình đơn giản)
 Trong suốt đối với user
Hạn chế
 Có tất cả hạn chế của một packet-filtering router, như là dễ bị tấn
công vào các bộ lọc mà cấu hình được đặt không hoàn hảo, hoặc là bị tấn công
ngầm dưới những dịch vụ đã được phép.
 Bởi vì các packet được trao đổi trực tiếp giữa hai mạng thông qua
router , nguy cơ bị tấn công quyết định bởi số lượng các host và dịch vụ được phép.
Điều đó dẫn đến mỗi một host được phép truy nhập trực tiếp vào Internet cần phải
được cung cấp một hệ thống xác thực phức tạp, và thường xuyên kiểm tra bởi

người quản trị mạng xem có dấu hiệu của sự tấn công nào không.
 Nếu một packet-filtering router do một sự cố nào đó ngừng hoạt
động, tất cả hệ thống trên mạng nội bộ có thể bị tấn công.
b. Screened Host Firewall
Hệ thống này bao gồm một packet-filtering router và một bastion host.
Screened Host Firewall cung cấp độ bảo mật cao hơn Packet-Filtering Router, vì nó
thực hiện cả bảo mật ở tầng network( packet-filtering ) và ở tầng ứng dụng
(application level). Đồng thời, kẻ tấn công phải phá vỡ cả hai tầng bảo mật để tấn
công vào mạng nội bộ.
MSSV: 10419 - Nguyễn Thị Thúy – CT 701 Trang - 23 -
The Internet
Tìm hiểu vấn đề bảo mật mạng LAN
Hình 4: Screened Host Firewall
Trong hệ thống này, bastion host được cấu hình ở trong mạng nội bộ. Quy
luật filtering trên packet-filtering router được định nghĩa sao cho tất cả các hệ thống
ở bên ngoài chỉ có thể truy nhập bastion host. Việc truyền thông tới tất cả các hệ
thống bên trong đều bị khoá. Bởi vì các hệ thống nội bộ và bastion host ở trên cùng
một mạng, chính sách bảo mật của một tổ chức sẽ quyết định xem các hệ thống nội
bộ được phép truy nhập trực tiếp vào bastion Internet hay là chúng phải sử dụng
dịch vụ proxy trên bastion host. Việc bắt buộc những user nội bộ được thực hiện
bằng cách đặt cấu hình bộ lọc của router sao cho chỉ chấp nhận những truyền thông
nội bộ xuất phát từ bastion host.
Ưu điểm
 Máy chủ cung cấp các thông tin công cộng qua dịch vụ Web và
FTP có thể đặt trên packet-filtering router và bastion. Trong trường hợp yêu cầu độ
an toàn cao nhất, bastion host có thể chạy các dịch vụ proxy yêu cầu tất cả các user
cả trong và ngoài truy nhập qua bastion host trước khi nối với máy chủ. Trường hợp
không yêu cầu độ an toàn cao thì các máy nội bộ có thể nối thẳng với máy chủ.
 Nếu cần độ bảo mật cao hơn nữa thì có thể dùng hệ thống firewall dual-
home (hai chiều) bastion host. Một hệ thống bastion host như vậy có 2 giao diện

MSSV: 10419 - Nguyễn Thị Thúy – CT 701 Trang - 24 -
The Internet
Bên ngoài
Packet filtering
router
Bên trong
Information server
Bastion host
Mạng nội bộ
Tìm hiểu vấn đề bảo mật mạng LAN
mạng (network interface), nhưng khi đó khả năng truyền thông trực tiếp giữa hai
giao diện đó qua dịch vụ proxy là bị cấm.
Hình 5: Hệ thống firewall dual-home (hai chiều) bastion host.
Hạn chế
 Bởi vì bastion host là hệ thống bên trong duy nhất có thể truy nhập được từ
Internet, sự tấn công cũng chỉ giới hạn đến bastion host mà thôi. Tuy nhiên, nếu
như user log on được vào bastion host thì họ có thể dễ dàng truy nhập toàn bộ mạng
nội bộ. Vì vậy cần phải cấm không cho user logon vào bastion host.
c. Demilitarized Zone (DMZ - khu vực phi quân sự) hay Screened-subnet
Firewall
Hệ thống này bao gồm hai packet-filtering router và một bastion host. Hệ
thống firewall này có độ an toàn cao nhất vì nó cung cấp cả mức bảo mật network
và application trong khi định nghĩa một mạng “phi quân sự”. Mạng DMZ đóng vai
trò như một mạng nhỏ, cô lập đặt giữa Internet và mạng nội bộ. Cơ bản, một DMZ
được cấu hình sao cho các hệ thống trên Internet và mạng nội bộ chỉ có thể truy
nhập được một số giới hạn các hệ thống trên mạng DMZ, và sự truyền trực tiếp qua
mạng DMZ là không thể được.
Với những thông tin đến, router ngoài chống lại những sự tấn công chuẩn
(như giả mạo địa chỉ IP), và điều khiển truy nhập tới DMZ. Nó cho phép hệ thống
MSSV: 10419 - Nguyễn Thị Thúy – CT 701 Trang - 25 -

The internet
Bênngoài
Packet filtering
router
Information server
Bastion host
Bên trong
Mạng nội bộ

TÌM HIỂU vấn đề về bảo mật mạng lan

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về