MỤC LỤC
MỤC LỤC HÌNH ẢNH ................................................................................ 3
MỞ ĐẦU ........................................................................................................4
CHƯƠNG 1 GIỚI THIỆU VỀ AN NINH MẠNG .......................................5
1.1 Sự cần thiết của an ninh mạng ........................................................................ 5
1.2 Các nguy cơ tiềm ẩn trong an ninh mạng ......................................................... 6
1.3 Các mối đe dọa và tấn công mạng máy tính .................................................... 7
1.3.1 Các mối đe dọa mạng máy tính ................................................................ 7
1.3.2 Các cuộc tấn công mạng máy tính ............................................................ 8
1.4 Một số ví dụ về tấn công mạng ...................................................................... 11

CHƯƠNG 2 CÁC CHÍNH SÁCH VÀ KẾ HOẠCH AN NINH MẠNG ... 15
2.1 Bàn luận về an ninh mạng và Cisco .............................................................. 15
2.2 Bảo vệ và quản lý các điểm cuối.................................................................... 16
2.3 Bảo vệ và quản lý mạng ................................................................................ 17
2.4 Kiến trúc an ninh .......................................................................................... 19
2.5 An ninh căn bản trên Router ......................................................................... 19
2.5.1 Điều khiển truy nhập các thiết bị mạng .................................................. 19
2.5.2 Cấu hình từ xa sử dụng SSH (Secure Shell) ............................................ 21
2.5.3 Mật khẩu Router .................................................................................... 22
2.5.4 Các tài khoản và các chế độ đặc quyền của Router ................................. 23
2.5.5 Các dịch vụ mạng IOS ........................................................................... 23
2.5.6 Chứng thực giao thức định tuyến và lọc cập nhật ................................... 25

CHƯƠNG 3 THIẾT BỊ AN NINH PIX FIREWALL ................................ 26
3.1 Giới thiệu chung ............................................................................................ 26
3.2 Các model thiết bị an ninh Pix ...................................................................... 27
3.3 Nguyên tắc hoạt động ................................................................................... 30
3.4 Pix translation ............................................................................................... 32
3.4.1 Dịch chuyển địa chỉ tĩnh (Static address translation) ............................... 33
3.4.2 Dịch chuyển địa chỉ động (Dynamic address translation)......................... 34

3.5 Truy cập vào Pix ........................................................................................... 35
3.6 Cấu hình cơ bản của Pix ............................................................................... 36
3.6.1 Các giao tiếp người dùng ....................................................................... 36
3.6.2 Các câu lệnh cấu hình cơ bản ................................................................. 37

1


CHƯƠNG 4:THIẾT KẾ MẠNG AN TOÀN DÙNG PIX CHO BƯU ĐIỆN
TỈNH PHÚ THỌ .......................................................................................... 46
4.1 Thực trạng của hệ thống mạng ...................................................................... 46
4.2 Thiết kế mạng an toàn dùng Pix .................................................................... 48
4.2.1 Giải pháp bảo mật .................................................................................. 48
4.2.2 Các thiết bị sử dụng ............................................................................... 49
4.2.3 Mô hình hệ thống ................................................................................... 50
4.2.4 Cấp phát địa chỉ ...................................................................................... 51
4.3 Cấu hình mô phỏng hệ thống mạng 53
4.3.1 Phần mềm WinPCap, Dynamips/Dynagen, vpcs-0.14g ........................... 53
4.3.2 Cấu hình ................................................................................................ 54
4.4 Đánh giá hệ thống ......................................................................................... 59

KẾT LUẬN .................................................................................................. 61
TÀI LIỆU THAM KHẢO ........................................................................... 62
PHỤ LỤC .................................................................................................... 63

2


MỤC LỤC HÌNH ẢNH
Hình 1.0. Mô hình bức tường lửa giữa mạng nội bộ và Internet. ......................6

Hình 1.1. Các mối đe dọa mạng máy tính ........................................................ 7
Hình 1.2. Các kiểu tấn công vào mạng máy tính.............................................. 8
Hình 1.3. Tấn công của “sâu máy tính” .......................................................... 11
Hình 1.4. Các kiểu tấn công thăm dò ............................................................. 12
Hình 2.0. “Bánh lái an ninh” ......................................................................... 16
Hình 2.1. VPN theo điều khiển truy cập từ xa ............................................... 18
Hình 2.2. VPN theo kiểu điểm – điểm ........................................................... 18
Hình 2.3. Các thành phần của SSH ................................................................ 21
Hình 3.0 : PIX firewall family ....................................................................... 27
Hình 3.1. PIX 501 ......................................................................................... 27
Hình 3.2. PIX 506E ....................................................................................... 28
Hình 3.3 PIX 515 .......................................................................................... 29
Hình 3.4. PIX 525 ......................................................................................... 29
Hình 3.5. PIX 535 ......................................................................................... 30
Hình 3.6. Quá trình NAT................................................................................ 34
Hình 3.7. Quá trình PAT ............................................................................... 35
Hình 3.8. Lệnh interface ................................................................................ 39
Hình 3.9. Lệnh nameif ................................................................................... 39
Hình 3.10. Lệnh ip address............................................................................ 40
Hình 3.11.Lệnh nat ........................................................................................ 42
Hình 3.12. Lệnh global.................................................................................. 43
Hình 3.13. Lệnh route ................................................................................... 44
Hình 4.0. Sơ đồ hiện trạng của hệ thống mạng của Bưu điện tỉnh Phú Thọ .... 46
Hình 4.1. Sơ đồ hệ thống mạng dùng Pixfirewall .......................................... 50
Hình 4.2. Sơ đồ chia VLAN .......................................................................... 51
Hình 4.3. Màn hình dynamips server............................................................. 55
Hình 4.4. Màn hình Pemu server .................................................................. 55
Hình 4.5. Màn hình Dynagen hiển thị các thiết bị .......................................... 56
Hình 4.6. Màn hình Telnet đến Pix firewall ................................................... 56


3


MỞ ĐẦU
Chúng ta đang sống trong một thời đại mới, thời đại phát triển rực rỡ
của công nghệ thông tin, đặc biệt là mạng Internet. Sự ra đời của mạng Internet
và những dịch vụ của nó đã mang lại cho con người rất nhiều những lợi ích to
lớn, góp phần thúc đẩy nền kinh tế phát triển mạnh mẽ.
Cùng với sự phát triển tiện lợi của Internet, việc lấy cắp thông tin mật,
các chương trình và dữ liệu quan trọng, việc thâm nhập bất hợp pháp và phá
hoại thông qua Internet cũng gia tăng về số lượng, loại hình và kỹ xảo.
Internet là hệ thống mạng mở nên nó chịu tấn công từ nhiều phía kể cả
vô tình và hữu ý. Các nội dung thông tin lưu trữ và lưu truyền trên mạng luôn
là đối tượng tấn công. Nguy cơ mạng luôn bị tấn công là do người sử dụng luôn
truy nhập từ xa. Do đó thông tin xác thực người sử dụng như mật khẩu, bí danh
luôn phải truyền đi trên mạng. Những kẻ xâm nhập tìm mọi cách giành được
những thông tin này và từ xa truy nhập vào hệ thống. Nhiệm vụ bảo mật và bảo
vệ vì vậy mà rất nặng nề và khó đoán định trước. Do đó, song song với việc
phát triển và khai thác các dịch vụ trên Internet, rất cần nghiên cứu giải quyết
vấn đề đảm bảo an ninh trên mạng cũng như an ninh trong tổ chức.
Nhận ra yêu cầu cấp bách đó, trong thời gian làm đồ án tốt nghiệp, em
đã tìm hiểu và nghiên cứu về an ninh mạng và các giải pháp đảm bảo an toàn
cho mạng, đặc biệt quan tâm tới các giải pháp an toàn của Cisco. Cụ thể, em đã
khảo sát và phân tích hiện trạng của hệ thống mạng của bưu điện tỉnh Phú Thọ.
Từ đó, tìm ra những điểm yếu về an toàn mạng trong hệ thống mạng của bưu
điện cần được thay đổi. Và đồ án “ Xây dựng hệ thống an ninh mạng cho
bưu điện tỉnh Phú Thọ sử dụng thiết bị an ninh PIX firewall ” góp phần
giải quyết vấn đề an ninh mạng trong các tổ chức, doanh nghiệp. Đồ án bao
gồm các nội dung sau:
Chương 1: Giới thiệu về an ninh mạng

Chương 2: Các chính sách và kế hoạch an ninh mạng
Chương 3: Thiết bị an ninh PIX Firewall
Chương 4: Thiết kế mạng an toàn dùng PIX cho bưu điện tỉnh Phú Thọ

4


CHƯƠNG 1
GIỚI THIỆU VỀ AN NINH MẠNG

1.1 Sự cần thiết của an ninh mạng
An ninh mạng luôn là vấn đề quan tâm của cá nhân cũng như doanh
nghiệp có ứng dụng IT. Bởi nó giữ an toàn thông tin trong không gian mạng.
Không gian mạng máy tính gồm các thành phần cơ bản: con người, thiết bị
công nghệ, dữ liệu thông tin, môi trường pháp lý… Nguy cơ mất an toàn thông
tin sẽ đến từ bất cứ thành phần nào.
Bản chất Internet là không an toàn, các kỹ thuật của tội phạm mạng
ngày càng cao và tinh vi hơn. Thông tin càng phát triển thì nguy cơ tổn thất do
các hiểm họa trên mạng máy tính ngày càng lớn. Với tốc độ phát triển của công
nghệ thông tin như hiện nay thì thiệt hại do mất an toàn mạng sẽ tăng vô cùng
nhanh và sẽ ảnh hưởng nghiêm trọng đến sự phát triển kinh tế - xã hội nếu
công tác đảm bảo an ninh mạng không được triển khai đúng mức. Do vậy, vấn
đề đặt ra ở đây là khả năng đảm bảo an ninh mạng là một trong những yếu tố
sống còn.
Để giải quyết vấn đề trên, giải pháp được đưa ra là sử dụng thiết bị
tường lửa ( firewall ), công nghệ này giúp cho các doanh nghiệp khả thi hơn
trong bảo mật thông tin của mình khi truy cập Internet.
Các doanh nghiệp đã phải chi trả những khoản tiền lớn cho các công
việc như: kết nối thông tin giữa người quản lý và hệ thống tài nguyên, giữa hệ
thống tài nguyên của doanh nghiệp với đối tác của doanh nghiệp, kết nối giữa

hệ thống bán hàng tự động tới người mua hàng sử dụng hệ thống, tạo ra môi
trường thương mại điện tử giữa doanh nghiệp và khách hàng…Do vậy công
nghệ bảo mật sử dụng thiết bị tường lửa trở nên quan trọng và yêu cầu cần thiết
phải có các chức năng chính là dò tìm, chứng thực, cho phép sử dụng tài
nguyên hay ngăn cấm sử dụng tài nguyên...
Ngày nay những yêu cầu đặt ra cho hệ thống bảo mật bao gồm :
 Người sử dụng chỉ có thể thực thi những quyền lợi được cấp phép.
 Người sử dụng chỉ có được những thông tin, dữ liệu được cho phép.

5


 Người sử dụng không thể phá hủy dữ liệu, thông tin hay những ứng
dụng mà hệ thống sử dụng.

Hình 1.0. Mô hình bức tường lửa giữa mạng nội bộ và Internet.

1.2 Các nguy cơ tiềm ẩn trong an ninh mạng
Việc phân tích các rủi ro có thể xác định được các mối nguy cơ đối với
mạng, tài nguyên mạng và dữ liệu mạng. Mục đích của việc làm này là xác
định các thành phần của mạng, đánh giá tầm quan trọng của mỗi thành phần và
sau đó áp dụng mức độ bảo mật phù hợp.
Xác định tài sản trong mạng
Trước khi thực thi bảo mật cho mạng, các thành phần riêng trong mạng
cần được xác định. Mỗi cơ quan hay tổ chức nên tiến hành kiểm kê tài sản tồn
tại trong mạng của mình.Các tài sản đó bao gồm cả các thiết bị mạng và các
điểm cuối ( endpoint ) như host, server.
Đánh giá những điểm yếu trong hệ thống
Các thành phần của mạng máy tính luôn luôn đứng trước nguy cơ bị tấn
công từ những kẻ xấu. Nguyên nhân có thể do sự yếu kém về công nghệ, về các

cấu hình hoặc do chính sách an ninh chưa thỏa đáng. Tuy nhiên, có thể hạn chế
hay khống chế các cuộc tấn công này bằng nhiều phương thức khác nhau như:

6


sử dụng phần mềm, cấu hình lại thiết bị mạng, hoặc là triển khai các biện pháp
đối phó ( Firewall, phần mềm Anti-virus ).
Xác định các mối đe dọa
Một lời đe dọa là một sự kiện mang lại lợi thế cho các cuộc tấn công
mạng máy tính và là nguyên nhân của các tác động không tốt trên mạng. Vì
vậy, việc xác định các mối đe dọa tiềm ẩn trong mạng là rất quan trọng, các
cuộc tấn công liên quan cần được lưu ý để hạn chế, giảm bớt mức độ nguy
hiểm.

1.3 Các mối đe dọa và tấn công mạng máy tính
1.3.1 Các mối đe dọa mạng máy tính
Có 4 mối đe dọa chính đối với sự an toàn của mạng máy tính

Hình 1.1. Các mối đe dọa mạng máy tính

Các mối đe dọa không có cấu trúc - Unstructured Threats
Đây là những lời đe dọa của những cá nhân thiếu kinh nghiệm trong
việc sử dụng những công cụ hack sẵn có, ví dụ như các kịch bản hay công cụ
crack mật khẩu. Các mối đe dọa không có cấu trúc chỉ được thực thi với chủ ý

7


kiểm tra và thử thách kĩ năng của một hacker có thể gây ra những thiệt hại

nghiêm trọng cho môt công ty hay tổ chức.
Các mối đe dọa có cấu trúc - Structured Threats
Các mối đe dọa có cấu trúc được tạo ra bởi các hacker khá thành thạo về
công nghệ. Những người này nắm được những nguy cơ của hệ thống, có khả
năng hiểu và phát triển những đoạn mã hay những kịch bản phục vụ cho các
cuộc tấn công vào mạng. Họ có kinh nghiệm sử dụng những kĩ xảo hết sức tinh
vi để thâm nhập vào cơ quan, tổ chức, doanh nghiệp.
Các mối đe dọa bên ngoài - External Threats
Các mối đe dọa bên ngoài xuất hiện từ những cá nhân hay tổ chức làm
việc bên ngoài một công ty hay tổ chức nào đó. Họ không được phép truy nhập
vào hệ thống mạng máy tính của công ty, tổ chức đó. Họ làm theo cách của họ
để xâm nhập vào trong hệ thống mạng, chủ yếu từ Internet và các dịch vụ truy
nhập quay số ( dialup ).
Các mối đe dọa bên trong - Internal Threats
Các mối đe dọa bên trong xảy ra khi một ai đó được phép truy nhập vào
hệ thống mạng với một tài khoản trên Server hoặc là truy nhập vật lý tới mạng.
Theo các báo cáo của tổ chức FBI, việc truy nhập và sử dụng sai tài khoản
chiếm từ 60% đến 80%.
1.3.2 Các cuộc tấn công mạng máy tính
Có 4 kiểu tấn công chính vào mạng máy tính.

Hình 1.2. Các kiểu tấn công vào mạng máy tính

8


Sự thăm dò – Reconnaisance
Sự thăm dò là quá trình khám phá trái phép, dựa vào đó lập sơ đồ các hệ
thống, các dịch vụ và tìm ra những điểm không an toàn (dễ bị tấn công ). Thăm
dò cũng được biết đến như việc thu thập thông tin và trong hầu hết trường hợp

nó luôn được thực hiện trước khi truy nhập thật sự hay trước một cuộc tấn công
DoS( Denial of Service ). Thăm dò là một cái gì đó tương tự như việc một tên
trộm nhưng trong vai người hàng xóm đột nhập vào nhà để tìm cách phá hoại.
Truy nhập - Access
Truy nhập hệ thống là khả năng mà một kẻ xâm nhập bất hợp pháp
giành được quyền truy nhập tới thiết bị nào đó trong mạng trong khi hắn không
hề có tài khoản hay mật khẩu.
Cấm các dịch vụ (DoS) - Denial of Service
Đây là kiểu tấn công làm tê liệt hệ thống, làm mất khả năng cung cấp
dịch vụ (Denial of Service - DoS) không cho hệ thống thực hiện được các chức
năng mà nó được thiết kế. Kiểu tấn công này rất khó ngăn chặn bởi chính
những phương tiện dùng để tổ chức tấn công lại chính là những phương tiện
dùng để làm việc và truy cập thông tin trên mạng. Một thí dụ về trường hợp có
thể xảy ra là một người trên mạng sử dụng chương trình đẩy ra những gói tin
yêu cầu về một trạm nào đó. Khi nhận được gói tin, trạm luôn luôn phải xử lý
và tiếp tục thu các gói tin đến sau cho đến khi bộ đệm đầy, dẫn tới tình trạng
những nhu cầu cung cấp dịch vụ của các máy khác đến trạm không được phục
vụ.
Điều đáng sợ là các kiểu tấn công DoS chỉ cần sử dụng những tài
nguyên giới hạn mà vẫn có thể làm ngưng trệ dịch vụ của các site lớn và phức
tạp. Do vậy loại hình tấn công này còn được gọi là kiểu tấn công không cân
xứng (asymmetric attack). Chẳng hạn như kẻ tấn công chỉ cần một máy tính PC
thông thường với một modem tốc độ chậm vẫn có thể tấn công làm ngưng trệ
các máy tính mạnh hay những mạng có cấu hình phức tạp.

9


Worms, Virus và Trojan Horses
Worm ( sâu máy tính ) là một loại virus máy tính chuyên tìm kiếm mọi

dữ liệu trong bộ nhớ hoặc trong đĩa, làm thay đổi bất kỳ dữ liệu nào mà nó gặp.
Hành động thay đổi này có thể là chuyển các ký tự thành các con số hoặc là
trao đổi các byte được lưu trữ trong bộ nhớ. Những dữ liệu bị hỏng thường
không khôi phục được.
Virus hay chương trình virus là một chương trình máy tính được thiết kế
dưới dạng một trò chơi khăm hay một sự phá hoại ngầm. Chúng có thể tự lây
lan bằng cách gắn vào các chương trình khác và tiến hành các thao tác vô ích,
vô nghĩa, đôi khi là phá hoại. Giống như virus ở người, tác hại của virus máy
tính có thể chưa phát hiện được trong vòng vài ngày hay vài tuần. Trong thời
gian đó, mọi đĩa đưa vào hệ thống máy đều mang theo một bản sao ẩn của virus
đó-các đĩa này đều bị nhiễm virus. Khi virus phát tác chúng gây nhiều hậu quả
nghiêm trọng: từ những thông báo sai lệch đến những tác động làm lệch lạc khả
năng thực hiện của phần mềm hệ thống hoặc xóa sạch mọi thông tin trên đĩa
cứng.
Trojan Horse ( con ngựa thành Troa ) là một chương trình xuất hiện để
thực hiện chức năng có ích, đồng thời có chứa các mã hoặc các lệnh ẩn gây
hỏng đối với hệ máy đang chạy nó.
Các phần mềm nguy hiểm trên được cài đặt vào các máy tính nhằm phá
hủy, hư hại hệ thống hoặc ngăn chặn các dịch vụ, các truy nhập tới mạng. Bản
chất và mức độ nguy hiểm của những mối đe dọa này thay đổi theo thời gian.
Những virus đơn giản từ những năm 80 đã trở nên phức tạp hơn và là những
virus phá hủy, là công cụ tấn công hệ thống trong những năm gần đây. Khả
năng tự lan rộng của “sâu máy tính” đem lại những mối nguy hiểm mới, chẳng
hạn như Slammer, Blaster hay những cuộc tấn công DoS. Nếu như trước đây
chúng cần tới vài ngày hay vài tuần để tự lan rộng thì ngày nay chúng có thể
lan rộng trên toàn thế giới chỉ trong vòng vài phút. Một ví dụ là “sâu” Slammer
bắt đầu từ tháng 01/2003, đã nhân rộng trên toàn thế giới chỉ dưới 10 phút.
Người ta cho rằng các thế hệ tiếp theo của virus có thể tấn công chỉ trong vài
giây. Những loại “sâu máy tính” và virus này có thể làm được nhiều nhiệm vụ
10



khác nữa, không chỉ đơn thuần là phá hủy tài nguyên mạng, chúng còn được sử
dụng để phá hủy những thông tin đang truyền trên mạng hoặc xóa ổ cứng. Vì
vậy trong tương lai sẽ có một mối đe dọa rất lớn ảnh hưởng trực tiếp tới cơ sở
hạ tầng của hệ thống mạng.
1.4 Một số ví dụ về tấn công mạng
“Sâu máy tính”
Các kiểu tấn công của “sâu máy tính” được phân tích ra như sau:
 Tính nguy hiểm: “Sâu máy tính” có khả năng tự cài đặt chúng trên một
hệ thống dễ bị tấn công.
 Cơ chế lan truyền: Sau khi được truy nhập vào thiết bị, “sâu máy tính”
sẽ nhân bản và chọn những đích mới để tấn công.
 Mức độ tấn công: Khi một thiết bị bị ảnh hưởng của “sâu máy tính”, kẻ
xấu tấn công vào máy tính giống như một người dùng ưu tiên. Thậm chí
những kẻ này còn có thể tăng mức độ quyền hạn của chúng tới người
quản trị.
Điển hình “sâu máy tính” là những chương trình kín đáo tấn công vào hệ
thống và cố gắng thành công với những hệ thống có nhiều điểm yếu, dễ tấn
công. “Sâu máy tính” sao chép chương trình của nó từ những máy đang bị tấn
công tới những hệ thống mới để bắt đầu lại chu trình.

Hình 1.3. Tấn công của “sâu máy tính”

11


Để giảm nhẹ ảnh hưởng của “sâu máy tính” đòi hỏi sự cần mẫn của các
nhân viên trên từng phần của hệ thống và của người quản trị mạng. Sự phối
hợp giữa người quản trị hệ thống, kỹ sư mạng và hoạt động bảo mật sẽ có tác

dụng hiệu quả đối với các sự cố do “sâu máy tính”.
Các cuộc tấn công thăm dò
Tấn công thăm dò bao gồm các kiểu sau
 Packet sniffers
 Port scan
 Ping sweeps
 Internet information queries

Hình 1.4. Các kiểu tấn công thăm dò

Trong đó:
Packet Sniffers: Là dạng tấn công dùng một phần mềm để đặt cạc mạng
của bạn vào mode promiscuous (chế độ tạp). Đối với dạng này thì attacker có
thể khai thác các thông tin dạng plaintext (có thể đọc được).
Vd: Telnet, SNMP, POP, HTTP, FTP. Đối với yahoo mặc dầu có dùng HTTPs

12


nhưng chỉ sử dụng lúc chứng thực username + password. Nhưng gửi dữ liệu đi
bằng dạng HTTP cho đỡ hao tài nguyên nên vẫn sniffer được.
Ping Sweeps: là dùng tool để quét xem trong dãy IP đó IP nào sống,
chết dựa vào ICMP echo request và ICMP echo reply.
Port Scan: cũng cách thức tương tự là dùng tool để quét xem trong dãy
port (TCP/UDP) trên một host nào đó có đang ở trạng thái lắng nghe hay
không. Dùng để detect (dò tìm )các services gì đang chạy trên host đó.
Internet Information Queries : Dạng này thì chỉ đơn giản dùng google
hoặc các trang web để tìm thông các tin như: Ai là chủ sở hữu của trang web,
dãy IP đó, host đó đang được đặt ở đâu. Sau khi đã có range IP của đối tượng
thì dùng ping sweep tìm ra host sống, port scan để tìm hiểu thêm các dịch vụ có

thể chạy trên host đó.
Kẻ tấn công có thể xác định một cách dễ dàng vùng địa chỉ IP được
đăng ký bởi một cơ quan hay tổ chức nào đó. Lệnh ping sẽ cho hắn biết địa chỉ
IP nào đang tồn tại. Sau đó, hắn sử dụng “port scanner” để xác định các dịch vụ
mạng nào hay cổng nào đang được kích hoạt trên những địa chỉ IP đó. Sử dụng
port scan và ping sweep, kẻ tấn công có thể thu được những thông tin sau:
 Xác định tất cả các dịch vụ trên mạng
 Xác định các host và các thiết bị khác trên mạng
 Xác định hệ điều hành của mạng
 Xác định những điểm không an toàn, dễ tấn công của mạng
Nghe trộm trên mạng cũng là một nguy cơ cần được phòng ngừa. Việc
làm này tương tự như là lắng nghe một cuộc hội thoại nhưng với biểu hiện là
do thám, rình rập. Những thông tin thu được từ nghe trộm sẽ được sử dụng cho
các cuộc tấn công vào mạng. Một ví dụ về dữ liệu dễ bị nghe trộm là chuỗi giao
tiếp (community strings ). Chuỗi này ở dạng không mã hóa ( văn bản đơn thuần
). Kẻ xấu có thể nghe trộm những truy vấn SNMP và thu thập dữ liệu có giá trị
trên cấu hình thiết bị mạng.
Một phương thức chủ yếu để nghe trộm trên mạng là nắm bắt được giao
thức TCP/IP hoặc các gói giao thức khác và giải mã nội dung bằng cách phân
tích giao thức hay các tiện ích tương tự. Có hai cách nghe trộm phổ biến:
13


Thu thập thông tin: Kẻ nghe trộm xác định tên người dùng, mật khẩu
hoặc thông tin có trong các gói tin giống như số thẻ tín dụng hay các thông tin
bí mật của cá nhân.
Ăn trộm thông tin: Nghe trộm trên mạng có thể dẫn tới sự ăn trộm
thông tin. Việc lấy trộm thông tin xảy ra khi dữ liệu được truyền từ mạng này
sang mạng khác. Kẻ xấu sẽ lấy trộm dữ liệu từ những máy tính nối mạng nhờ
việc kiếm được các truy nhập không được phép.

Công cụ để thực hiện nghe trộm là:
 Công cụ phân tích mạng hoặc phân tích giao thức
 Công cụ “bắt” các gói tin trên các máy tính nối mạng
Để chống lại các cuộc nghe trộm, có 3 phương pháp hiệu quả sau đây:
 Thi hành và giám sát trực tiếp những chính sách ngăn chặn việc sử dụng
các giao thức dễ dàng cho việc nghe trộm.
 Sử dụng mã hóa cho những dữ liệu cần được bảo mật mà không gây sức
ép quá sức lên tài nguyên hệ thống hay người dùng.
 Sử dụng những mạng chuyển đổi.

14


CHƯƠNG 2
CÁC CHÍNH SÁCH VÀ KẾ HOẠCH AN NINH MẠNG

Có một chính sách an ninh mạng đúng đắn và hiệu quả để có thể bảo vệ
các thông tin, các tài nguyên của một công ty, tổ chức nói riêng hay của một
bộ, ngành, của một quốc gia nói chung là vấn đề hết sức quan trọng. Nếu như
các tài nguyên và thông tin mà công ty đó có trên mạng là đáng được bảo vệ thì
một chính sách an ninh mạng là đáng được thực hiện. Hầu hết các cơ quan đều
có các thông tin nhạy cảm và các bí mật cạnh tranh trên mạng máy tính của họ,
chúng cũng cần được bảo vệ khỏi sự phá hoại theo cùng một cách như bảo vệ
các tài sản giá trị khác của công ty đó.
Chính sách an ninh được hiểu là những phát biểu hình thức của những
quy tắc mà theo đó những người có quyền truy nhập vào các công nghệ, tài sản,
và thông tin của một tổ chức nào đó phải tuân theo. Chính sách an ninh cũng có
thể chỉ đơn giản là những quy tắc sử dụng chấp nhận được đối với tài nguyên
mạng hay là vài trăm trang trình bày chi tiết mọi phần tử của kết nối và các
chính sách có liên quan.

2.1 Bàn luận về an ninh mạng và Cisco
Phần lớn những rắc rối về an ninh mạng xảy ra do người quản trị hệ
thống không thực thi những biện pháp đối phó có thể và kẻ tấn công đã khai
thác những sơ suất này. Bởi vậy, vấn đề đặt ra không chỉ là phải thừa nhận
công nghệ còn nhiều bất cập và tìm ra giải pháp đối phó mà còn là xác định
biện pháp đúng chỗ, đúng mức độ.
“Bánh lái an ninh” là một quá trình liên tục, một hướng tiếp cận có hiệu
quả, đẩy mạnh việc tái kiểm tra và tái sử dụng những biện pháp an toàn được
cập nhật liên tục.

15


Hình 2.0. “Bánh lái an ninh”
Để bắt đầu quá trình với “bánh lái an ninh”, trước tiên phải có sự phát
triển của một chính sách an ninh cho phép ứng dụng các biện pháp an toàn.
Một chính sách an ninh cần thực hiện những nhiệm vụ sau:
 Xác định các vấn đề cần bảo mật của tổ chức
 Xác định cơ sở hạ tầng của mạng với sơ đồ hiện tại và thống kê tài sản
 Xác định các nguồn tài nguyên quan trọng cần phải bảo vệ, ví dụ như
các quá trình nghiên cứu và phát triển, tài chính, tài nguyên con
người…Việc làm này được gọi là phân tích rủi ro.
Chính sách an ninh phát triển sẽ làm cơ sở cho quá trình “bánh lái an
ninh”. Quá trình này gồm bốn bước, đó là:
 Bước 1: bảo mật
 Bước 2: theo dõi
 Bước 3: kiểm tra
 Bước 4: cải tiến
2.2 Bảo vệ và quản lý các điểm cuối
Các máy tính và server cần được bảo vệ khi chúng tham gia vào mạng.

Phần mềm chống virus, firewall và dò tìm xâm nhập là những công cụ hữu ích
được sử dụng để đảm bảo an toàn cho các máy, server.

16


Bức tường lửa cá nhân
Máy tính cá nhân kết nối Internet thông qua kết nối quay số, DSL, hoặc
cáp modem cũng có thể bị nguy hiểm như những mạng lớn. Bức tường lửa cá
nhân cư trú trên máy tính của người dùng và cố gắng ngăn chặn các cuộc tấn
công. Một số phần mềm đóng vai trò bức tường lửa cá nhân là McAfee,
Norton, Symatec, Zone Labs…
Phần mềm kháng virus – Antivirus
Cài đặt phần mềm kháng virus để bảo vệ hệ thống tránh khỏi sự tấn
công của virus đã biết. Các phần mềm này có thể phát hiện hầu hết virus và
nhiều ứng dụng của chương trình Trojan horse, ngăn chặn chúng phát tán trên
mạng.
2.3 Bảo vệ và quản lý mạng
Firewall trên nền trang thiết bị (Appliance-based Firewalls)
Firewall trên nền trang thiết bị được thiết kế với nền tảng không có ổ
cứng. Điều này cho phép quá trình Boot nhanh hơn, kiểm tra giao thông ở tốc
độ dữ liệu bậc cao và giảm nhẹ thất bại. Giải pháp của Cisco bao gồm một IOS
Firewall được tích hợp và một thiết bị PIX chuyên dụng. Đặc tính của IOS
Firewall có thể được cài đặt và cấu hình trên Router của Cisco. PIX là một giải
pháp bảo mật phần cứng và phần mềm cung cấp công nghệ lọc gói và proxy
server.
Một số nhà cung cấp Firewall trên nền trang thiết bị là Juniper, Nokia,
Symatec, Watchguard và Nortel Networks. Đối với những mạng trong phạm vi
gia đình thì thích hợp với Linksys, Dlink, Netgear, SonicWALL.
Firewall trên nền server

Giải pháp Firewall trên nền server chạy trên hệ điều hành mạng như
UNIX, NT hay WIN2K, Novell. Nó là giải pháp mà kết hợp một firewall, điều
khiển truy nhập và những đặc điểm của mạng riêng ảo trong một gói.Ví dụ về
các giải pháp trên là Microsoft ISA Server, Linux, Novell, BorderManager,
Checkpoint Firewall-1.

17


Mức độ bảo mật của Firewall trên nền server có thể nhỏ hơn của
Firewall trên nền trang thiết bị.

Mạng riêng ảo VPN
Một mạng riêng ảo là bất kỳ mạng máy tính nào được xây dựng trên một
mạng công cộng và được phân chia sử dụng cho các cá nhân riêng lẻ.
FrameRelay, X25 và ATM được xem là các VPN lớp 2 trong mô hình OSI.
Những dạng khác của VPN là các IP VPN, được xem là các VPN lớp 3.
Về căn bản, có 3 dạng khác nhau của VPN mà doanh nghiệp sử dụng
 Remote-access VPNs (VPN theo điều khiển truy cập từ xa)
 Site-to-site extranet and intranet VPNs
 Campus VPNs

Hình 2.1. VPN theo điều khiển truy cập từ xa

Hình 2.2. VPN theo kiểu điểm – điểm

18


2.4 Kiến trúc an ninh

Mạng tự bảo vệ của Cisco
Chiến lược “mạng tự bảo vệ của Cisco” cho phép các tổ chức sử dụng
những sự đầu tư của họ trong định tuyến, chuyển mạch, wireless…để tạo ra
một hệ thống giúp họ phát hiện, ngăn chặn và thích nghi với những mối đe dọa
an ninh đã biết và chưa biết trước.
Chiến lược này gồm 3 hệ thống, mỗi hệ thống có một mục đích riêng
 Kết nối an toàn: Truyền tải các ứng dụng một cách an toàn qua các môi
trường mạng khác nhau.
 Phòng ngừa mối đe dọa: Bảo vệ chống lại những lời đe dọa biết trước và
không biết trước.
 Sự tin tưởng và các giải pháp định danh: Hỗ trợ ngữ cảnh định danh
được yêu cầu cho sự tin tưởng và cho phép.
2.5 An ninh căn bản trên Router
2.5.1 Điều khiển truy nhập các thiết bị mạng
Cấu hình bảo mật là rất cần thiết để bảo vệ các truy nhập tới Router và
Switch.Vì Router và Switch là các hệ thống mở nên nếu một người dùng bất kỳ
có các đặc quyền truy nhập thì họ rất dễ dàng cấu hình lại các thiết bị này. Do
đó người quản trị cần phải điều khiển truy nhập để ngăn chặn các truy nhập
không hợp pháp.
Cổng Console
Cổng console của một thiết bị IOS có đặc quyền đặc biệt. Nếu tín hiệu
“Break” và “Ctrl - Break” được gửi tới cổng console trong những giây đầu tiên
của quá trình reboot thì thủ tục khôi phục mật khẩu sẽ được dùng để điều khiển
hệ thống. Kẻ tấn công có thể ngắt nguồn điện hoặc phá hủy hệ thống. Khi đó
những người truy nhập tới cổng console qua một thiết bị đầu cuối, một modem
hay một vài thiết bị khác có thể điều khiển hệ thống ngay cả khi họ không truy
nhập vật lý tới nó hay không có khả năng truy nhập bình thường.
Do đó bất kỳ modem hay thiết bị mạng nào truy nhập tới cổng console
phải được bảo vệ ở những mức độ giống nhau. Ở mức nhỏ nhất, bất kỳ modem
19



nào cũng nên yêu cầu người sử dụng quay số để cung cấp một mật khẩu cho sự
truy nhập, và mật khẩu modem cần được quản lý cẩn thận.
Truy nhập chung
Phụ thuộc vào phiên bản và cấu hình, phần mềm Cisco IOS có thể hỗ trợ
các kết nối thông qua Telnet, rlogin, SSH và các giao thức như LAT, MOP,
X.29 và V.120.
Cách tốt nhất để bảo vệ hệ thống là tạo ra các điều khiển thích hợp áp
dụng trên tất cả các đường, bao gồm các đường vty và tty. Người quản trị phải
đảm bảo rằng các đăng nhập trên các đường phải được điều khiển, sử dụng một
số cơ chế xác thực.
Việc đăng nhập có thể được ngăn chặn hoàn toàn trên bất kỳ đường nào
bằng cách cấu hình trên Router lệnh login và no password. Đây là những lệnh
mặc định cho các đường vty. Có rất nhiều cách để cấu hình mật khẩu và các
dạng chứng thực người dùng trên đường vty và tty.
Điều khiển TTYs và thiết bị đầu cuối không đồng bộ AUX thì ít phổ
biến, nhưng chúng vẫn tồn tại trong một số cài đặt. Mặc dù các thiết bị đầu cuối
an toàn về mặt vật lý, nhưng Router vẫn cần được cấu hình để yêu cầu người
dùng trên các thiết bị đầu cuối không đồng bộ đăng nhập trước khi sử dụng hệ
thống. Đa số các cổng tty trên những Router hiện đại được nối tới modem
ngoài hoặc được hỗ trợ bởi các modem tích hợp.
Điều khiển VTYs
Bất kỳ đường vty nào cũng nên được cấu hình để chấp nhận những kết
nối với những giao thức thật sự cần thiết. Để thực hiện việc này, dùng lệnh
transport input. Ví dụ, một đường vty chỉ cho phép các phiên Telnet sẽ dùng
câu lệnh transport input telnet, trong khi một vty cho phép Telnet và SSH sẽ có
câu lệnh cấu hình transport input telnet SSH.
Thông thường một thiết bị Cisco có 5 đường vty. Khi tất cả các đường
này được sử dụng thì không có kết nối từ xa nào được thiết lập. Điều này tạo cơ

hội cho 1 cuộc tấn công DoS. Nếu kẻ tấn công có thể mở các phiên từ xa tới tất

20


cả các đường vty của hệ thống thì người quản trị hợp pháp có thể không đăng
nhập được.
Một cách để hạn chế hoạt động này là cấu hình lênh ip access-class trên
đường vty cuối cùng của hệ thống. Đường vty cuối cùng sẽ được hạn chế, chỉ
chấp nhận những kết nối từ một trạm quản trị đơn, trong khi các đường vty còn
lại có thể chấp nhận kết nối từ bất kỳ địa chỉ IP nào trong mạng.
2.5.2 Cấu hình từ xa sử dụng SSH (Secure Shell)
Phần mềm Cisco IOS hỗ trợ truy nhập từ xa qua các phiên Telnet.
Telnet cho phép kết nối tới Router ở xa sử dụng TCP cổng 23. Tuy nhiên,
phương thức này không có tính bảo mật cao vì giao thông qua nó ở dạng clear
text. SSH thay thế Telnet, cho phép quản trị Router ở xa với những kết nối có
tính riêng tư cao và các phiên toàn vẹn. Về mặt chức năng, các kết nối này
tương tự các kết nối Telnet, điểm khác ở chỗ chúng được mã hóa. Với cơ chế
mã hóa, chứng thực, SSH cho phép giao tiếp an toàn ngay trên những mạng
không an toàn.

Hình 2.3. Các thành phần của SSH
Hiện nay có 2 phiên bản SSH, đó là SSH version 1(SSHv1) và SSH
version 2(SSHv2). SSH được giới thiệu trong nền/ ảnh hệ điều hành IOS theo
trình tự sau:
 SSHv1 server bắt đầu trong 12.1.(1)T
 SSH v1 client bắt đầu trong 12.1.(3)T
 SSH v1 đường truy nhập đầu cuối bắt đầu trong 12.2.(2)T
 SSH v2 được giới thiệu trong 12.3(4)T


21


Các Router của Cisco có khả năng tương tự SSH client và SSH server.
Mặc định cả hai chức năng này được cho phép trên Router khi có SSH.
SSH client
SSH client trong phần mềm Cisco IOS làm việc một cách công khai và
thương mại với SSH server sẵn có. SSH client hỗ trợ mật mã DES, DES 3 vòng
và chứng thực mật khẩu. Sự chứng thực người dùng được tiến hành giống một
phiên Telnet tới Router.
SSH server
Khi chức năng của SSH server được phép trên Cisco Router hay thiết bị
khác, SSH client có thể tạo kết nối mã hóa an toàn tới Router hay thiết bị đó.
Mặc định, khi SSH được cho phép trên một Cisco Router, nó đóng cả vai trò
của client và server. Đặc tính CSP (Secure Copy Protocol) của SSH cũng cho
phép chuyển đổi an toàn các file ảnh và file cấu hình.
2.5.3 Mật khẩu Router
Có 2 sơ đồ bảo vệ mật khẩu trong phần mềm Cisco IOS, đó là:
 Kiểu 7, sử dụng thuật toán mã hóa xác định. Mã hóa kiểu 7 thì sử dụng
các lệnh: enable password, username, line password.
 Kiểu 5, sử dụng hàm băm MD5, hiệu quả mạnh hơn kiểu 7 và được
Cisco khuyến cáo nên dùng thay cho kiểu 7 khi có thể.
Để bảo vệ mức thực thi đặc quyền (privileged EXEC), sử dụng lệnh
enable secret. Không nên đặt mật khẩu người dùng hay mật khẩu trên các
đường giống mật khẩu bí mật ở mức thực thi đặc quyền.
Để tạo tài khoản cá nhân, sử dụng lệnh username. Tài khoản này sẽ
được bảo vệ ở mức đặc quyền cao hơn bằng lệnh enable secret password.
Phần mềm Cisco IOS cho phép thay đổi tuần tự khởi động của Router,
đưa Router vào chế độ ROMMON. Khi Router ở trong chế độ này, bất kỳ ai
cũng có thể chọn và gõ mật khẩu bí mật mới sử dụng thủ tục khôi phục mật

khẩu. Thủ tục này nếu được thực hiện đúng sẽ không làm thay đổi cấu hình
Router. Điều này dẫn tới một nguy cơ tiềm ẩn, bất kỳ ai có thể truy nhập vật lý

22


vào cổng console của Router đều có thể vào ROMMON, thiết đặt lại mật khẩu
bí mật và tìm hiểu cấu hình Router.
Có thể giảm nhẹ nguy cơ này bằng cách sử dụng lệnh no service
password-recovery ở chế độ cấu hình toàn cục. Khi dùng lệnh này, tất cả các
truy nhập tới chế độ ROMMON bị vô hiệu hóa. Nếu bộ nhớ Flash của Router
không chứa ảnh phần mềm Cisco IOS phù hợp thì không thể sử dụng lệnh
ROMMON XMODEM để load một ảnh flash mới. Để sửa Router, yêu cầu phải
có ảnh IOS mới trên Flash SIMM hoặc trên card PCMCIA.
2.5.4 Các tài khoản và các chế độ đặc quyền của Router
Cisco IOS cung cấp 16 mức đặc quyền khác nhau, đánh số từ 0 đến 15.
Chế độ người dùng (user EXEC) chạy ở mức đặc quyền 1, chế độ đặc quyền
(privileged EXEC) chạy ở mức 15.
Khi sử dụng các chế độ đặc quyền nên nhớ:
 Không sử dụng lệnh username để tạo lập tài khoản ở mức1, thay vào đó
sử dụng lệnh enable secret để tạo mật khẩu cho mức.
 Cẩn thận với việc di chuyển quá nhiều truy nhập, đó có thể là nguyên
nhân gây ra những lỗ hổng trong hệ thống.
 Cẩn thận với việc di chuyển bất kỳ thành phần nào của câu lệnh
configure, một người dùng đang viết câu lệnh truy nhập, họ có thể lợi
dụng điều này để thu được các mức truy nhập lớn hơn.
Các tài khoản
Trước tiên, mỗi người quản trị có một tài khoản đăng nhập vào Router.
Khi người quản trị đăng ký một tên sử dụng và thay đổi cấu hình, sẽ có một
thông điệp được sinh ra chứa tên của tài khoản đăng nhập đã sử dụng. Tài

khoản đăng nhập tạo bởi lệnh username được đăng ký ở mức đặc quyền 1 và
bắt buộc phải có mật khẩu. Khi người quản trị không sử dụng Router nữa và
muốn xóa tài khoản, dùng lệnh no username.
2.5.5 Các dịch vụ mạng IOS
Cisco Router hỗ trợ một số lượng lớn các dịch vụ mạng ở lớp 2,3,4 và 7.
Một vài trong số các dịch vụ này là các giao thức tầng ứng dụng, cho phép
người dùng và các quá trình xử lý trên máy kết nối tới Router. Mặt khác, những

23


dịch vụ này cũng có thể bị hạn chế hoặc vô hiệu hóa để cải thiện độ an toàn mà
không ảnh hưởng đến hoạt động của Router.
Việc dừng một dịch vụ mạng trên một Router không ngăn cản Router đó
hỗ trợ một mạng, nơi mà giao thức đó đang được dùng.
Trong nhiều trường hợp, Cisco IOS hỗ trợ việc ngắt một dịch vụ trọn
vẹn và hạn chế truy nhập tới các đoạn mạng riêng hoặc tới tập các máy tính.
Nếu một phần của đoạn mạng cần một thiết bị nào đó nhưng phần còn lại của
mạng không cần thiết bị đó thì đặc tính hạn chế được thực thi để giới hạn phạm
vi của dịch vụ.
Bắt đầu bằng lệnh show proc trên Router, sau đó tắt những dịch vụ và
điều kiện không cần thiết. Dưới đây là các dịch vụ gần như bị tắt và các câu
lệnh tương ứng để vô hiệu hóa chúng.
 Các dịch vụ nhỏ như echo, discard và chargen: no service tcp-smallservers hoặc no service udp-small-servers
 BOOTP: no ip bootp server
 Finger : no service finger
 HTTP: no ip http server
 SNMP: no ip snmp server
Dùng các câu lệnh sau để vô hiệu hóa các dịch vụ như dịch vụ chỉ cho
phép các gói tin nhất định qua Router, dịch vụ gửi các gói tin đặc biệt hay dịch

vụ cho phép cấu hình từ xa:
 CDP: no cdp run
 Cấu hình từ xa: no service configure
 Định tuyến nguồn: no ip source-route
 Định tuyến phân lớp: no ip classless
Các cổng trên Router sẽ được an toàn hơn bằng cách sử dụng các câu
lệnh nhất định trong chế độ cấu hình cổng. Một số câu lệnh hay dùng là: no
shutdown, no ip directed-broadcast, no ip proxy-arp.

24


2.5.6 Chứng thực giao thức định tuyến và lọc cập nhật
Một Router không được bảo vệ hay một miền định tuyến là những cái
đích dễ dàng cho bất kỳ kẻ tấn công nào. Chẳng hạn, kẻ tấn công gửi các gói
cập nhật định tuyến sai đến Router, hắn có thể phá hỏng bảng định tuyến một
cách dễ dàng bằng việc định tuyến lại giao thông mạng theo ý của hắn. Chìa
khóa để ngăn ngừa kiểu tấn công này là bảo vệ các bảng định tuyến khỏi sự
thay đổi không hợp lệ và nguy hiểm.
Có 2 hướng tiếp cận để bảo vệ các bảng định tuyến:
 Chỉ sử dụng định tuyến tĩnh: Cách này chỉ phù hợp với các mạng nhỏ, vì
người định tuyến sẽ phải cấu hình từng tuyến đường một cách thủ công.
 Chứng thực bảng định tuyến cập nhật: Bằng cách sử dụng giao thức
định tuyến có chứng thực, người quản trị mạng có thể ngăn cản các cuộc
tấn công dựa vào những thay đổi định tuyến trái phép. Việc xác nhận
các cập nhật định tuyến sẽ đảm bảo các thông điệp cập nhật là có nguồn
gốc hợp pháp. Những thông điệp giả mạo sẽ tự động bị xóa bỏ.
Tuy nhiên, việc chứng thực giao thức định tuyến rất dễ bị nghe trộm và
kẻ xấu sẽ bắt trước các cập nhật định tuyến. Giải pháp đưa ra là chứng thực
MD5, có tác dụng ngăn chặn những thông điệp định tuyến sai hay những lời

giới thiệu không đáng tin của những kẻ có nguồn gốc không rõ ràng.
Phần mềm Cisco IOS hỗ trợ chứng thực MD5 cho các giao thức định
tuyến sau: OSPF, RIPv2, Enhanced IGRP, BGP.

25