LỜI NÓI ĐẦU
Công nghệ thông tin ngày nay được ứng dụng vào tất cả các lĩnh vực của
cuộc sống. Có thể thấy máy tính và mạng internet là thành phần không thể thiếu
của hầu hết các công ty, trở thành công cụ hỗ trợ đắc lực cho công việc hàng
ngày và các giao dịch.
Tuy nhiên, sự phát triển này cũng kèm theo vấn đề an ninh máy tính đang
ngày càng trở nên nóng bỏng. Tội phạm máy tính là một trong những hành vi
phạm tội có tốc độ phát triển nhanh nhất trên toàn hành tinh. Vì vậy, việc xây
dựng một nền an ninh máy tính, thiết kế và quản trị mạng đảm bảo và có khả
năng kiểm soát rủi do liên quan đến việc sử dụng máy tính trở thành đòi hỏi
không thể thiếu ở nhiều lĩnh vực.
Kịp thời nắm bắt xu hướng này, trong thời gian làm đồ án thực tập tốt
nghiệp em đã lựa chọn đề tài “Thiết kế mạng an toàn sử dụng PIX firewall
cho trường Cao đẳng cơ khí luyện kim”. Đồ án đề cập đến các nguy cơ cũng
như sự cần thiết của an ninh mạng, các đặc trưng và cấu hình cơ bản PIX
firewall. Và cuối cùng là ứng dụng PIX firewall thiết kế mô hình mạng cho
trường Cao đẳng cơ khí luyện kim.

1


MỤC LỤC
LỜI NÓI ĐẦU ..............................................................................................................1
LỜI CẢM ƠN ............................................................... Error! Bookmark not defined.
LỜI CAM ĐOAN ......................................................... Error! Bookmark not defined.
MỤC LỤC ....................................................................................................................2
CHƯƠNG 1 ..................................................................................................................4
TÌM HIỂU VỀ AN NINH MẠNG VÀ CHÍNH SÁCH AN NINH.................................4
1. Sự cần thiết của an ninh mạng ...............................................................................4
2. Nhận diện các nguy cơ tiềm ẩn trong an ninh mạng ...............................................5
3. Các mối đe dọa và tấn công mạng máy tính ...........................................................6

3.1. Unstructured Threats (Các mối đe dọa không có cấu trúc)...............................6
3.2. Structured Threats (Các mối đe dọa có cấu trúc) .............................................6
3.3. External Threats (Các mối đe dọa bên ngoài) ..................................................7
3.4. Internal Threats (Các mối đe dọa bên trong)....................................................7
4. Các cách thức tấn công mạng máy tính ..................................................................7
4.1 Sự thăm dò - Reconnaisance ............................................................................7
4.2 Truy nhập - Access ..........................................................................................8
4.3. Cấm các dịch vụ (DoS) - Denial of Service .....................................................8
4.4. Worms, Virus và Trojan Horses ......................................................................9
5. Chính sách an ninh ..............................................................................................10
5.1 The Security Wheel (bánh xe an ninh)............................................................10
5.2 Bảo vệ và quản lý các điểm cuối ....................................................................14
5.3. Bảo vệ và quản lý mạng ................................................................................16
CHƯƠNG 2 ................................................................................................................20
TƯỜNG LỬA CISCO PIX FIREWALL .....................................................................20
I. Firewall và các kỹ thuật firewall...........................................................................20
1. Firewall ...............................................................................................................20
2. Các kỹ thuật tường lửa.........................................................................................20
2.1. Kỹ thuật packet filtering................................................................................21
2.1. Kỹ thuật Proxy Server...................................................................................22
2.3. Kỹ thuật stateful packet filtering ...................................................................23
II. Tổng quan về PIX Firewall .................................................................................23
III. Các dòng PIX Firewall và nguyên tắc hoạt động. ...............................................24
1. Các dòng PIX Firewall ........................................................................................24
2. Nguyên tắc hoạt động của PIX Firewall ...............................................................28
IV. Các lệnh duy trì thông thường của PIX Firewall ................................................30
1. Các chế độ truy cập .............................................................................................30
2. Các lệnh duy trì thông thường của PIX Firewall ..................................................31
2.1. Lệnh enable ..................................................................................................31
2.2. Lệnh enable password...................................................................................31

2.3. Lệnh write.....................................................................................................32
2.4. Lệnh telnet ....................................................................................................32
2.5. Lệnh hostname và ping .................................................................................34
2.6. Lệnh show ....................................................................................................35
2.7. Lệnh name ....................................................................................................35
CHƯƠNG 3 ................................................................................................................37
CẤU HÌNH, DỊCH CHUYỂN ĐỊA CHỈ VÀ ĐIỀU KHIỂN TRUY CẬP TRONG PIX
FIREWALL ................................................................................................................37
I. Các lệnh cấu hình cơ bản PIX Firewall.................................................................37

2


1. Lệnh nameif.....................................................................................................37
2. Lệnh interface ..................................................................................................38
3. Lệnh ip addresss ..............................................................................................39
4. Lệnh nat...........................................................................................................39
5. Lệnh global......................................................................................................40
6. Lệnh route .......................................................................................................41
II. Dịch chuyển địa chỉ trong PIX Firewall ..............................................................42
1. Tổng quan về NAT ..............................................................................................42
1.1. Mô tả NAT ...................................................................................................42
1.2. Nat control....................................................................................................43
2. Các kiểu NAT......................................................................................................44
2.1 Dynamic NAT ...............................................................................................44
2.2. PAT ..............................................................................................................45
2.3. Static NAT....................................................................................................45
2.3. Static PAT ....................................................................................................45
3. Cấu hình Nat Control...........................................................................................46
4. Sử dụng Dynamic NAT và PAT ..........................................................................46

5. Sử dụng lệnh Static NAT .....................................................................................51
6. Sử dụng Static PAT .............................................................................................52
III. ACCESS LIST ..................................................................................................52
1. Tổng quan về access list ......................................................................................52
1.1. Thứ tự các ACE ............................................................................................53
1.2. Access Control Implicit Deny .......................................................................53
1.3. Địa chỉ IP được sử dụng cho access list khi sử dụng NAT .............................53
2. Cấu hình access list..............................................................................................55
2.1. Câu lệnh access – list. ...................................................................................55
2.2. Câu lệnh access – group ................................................................................56
CHƯƠNG 4 ................................................................................................................57
THIẾT KỆ MẠNG AN TOÀN CHO TRƯỜNG .........................................................57
CAO ĐẲNG CƠ KHÍ LUYỆN KIM SỬ DỤNG PIX FIREWALL .............................57
I. Khảo sát hệ thống mạng hiện tại và các yêu cầu cần nâng cấp. .............................57
1. Hiện trạng hệ thống .............................................................................................57
2. Đánh giá hiệu năng và mức an toàn của hệ thống.................................................58
3. Các yêu cầu nâng cấp hệ thống mạng hiện tại của trường.....................................59
II. Thiết kế hệ thống mạng sử dụng thiết bị PIX firewall. .........................................60
1. Sơ đồ thiết kế hệ thống mới. ................................................................................60
2. Cấp phát địa chỉ ...................................................................................................62
3. Cấu hình mô phỏng hệ thống ...............................................................................64
3.1. Các phần mềm được sử dụng cho cấu hình mô phỏng .......................................64
3.2. Các câu lệnh cấu hình .......................................................................................66
4. Kiểm tra cấu hình ................................................................................................73
KẾT LUẬN.................................................................................................................75
TÀI LIỆU THAM KHẢO ...........................................................................................76

3



CHƯƠNG 1
TÌM HIỂU VỀ AN NINH MẠNG VÀ CHÍNH SÁCH AN NINH
1. Sự cần thiết của an ninh mạng
An ninh mạng là vấn đề cần thiết bởi vì Internet là một mạng của các
mạng có mối liên hệ với nhau không có ranh giới. Vì lý do này mà mạng của các tổ
chức có thể được sử dụng và cũng có thể bị tấn công từ bất kỳ một máy tính nào
trên thế giới. Khi một công ty sử dụng Internet trong kinh doanh, các nguy cơ mới
sẽ phát sinh từ những người mà không cần thiết phải truy cập đến tài nguyên máy
tính của công ty thông qua môi trường vật lý.
Trong một nghiên cứu gần đây của Computer Security Institute (CIS),
70% các tổ chức bị mất mát thông tin do vấn đề an ninh mạng có lỗ thủng và 60%
trong số đó nguyên nhân là do chính trong nội bộ công ty của họ.
Cùng với sự phát triển của máy tính, mạng LAN và mạng Internet, hệ thống
mạng ngày nay càng được mở rộng. Khi thương mại điện tử và nhiều ứng dụng trên
Internet phát triển, việc tìm ra các phương thức an toàn thông tin là điều vô cùng
quan trọng, kèm theo đó là khả năng tìm và nhận dạng những mối nguy hiểm gây
hại cho hệ thống thông tin. Hơn nữa sự phát triển của thế giới mạng di động và
mạng không dây đã đánh dấu những bước tiến vượt bậc trong thế giới công nghệ
thông tin, loại bỏ những mô hình cũ đồng thời yêu cầu có những giải pháp bảo mật
linh hoạt hơn, hiệu quả hơn.
Việc sử dụng máy tính đã trở nên phổ biến, số lượng máy tính ngày càng
tăng, hệ thống mạng LAN theo đó cũng tăng theo, mạng toàn cầu Internet được sử
dụng rộng rãi kéo theo đó là sự xuất hiện những nguy cơ mới về bảo mật, khó kiểm
soát hơn. Để giải quyết những nguy cơ này, giải pháp được đưa ra là sử dụng thiết
bị tường lửa (firewall), công nghệ này giúp cho các doanh nghiệp khả thi hơn trong
bảo mật thông tin của mình khi truy cập Internet.
Ngày nay những yêu cầu đặt ra cho hệ thống bảo mật bao gồm :
 Người sử dụng chỉ có thể thực thi những quyền lợi được cấp phép.
 Người sử dụng chỉ có được những thông tin, dữ liệu được cho phép.


4


 Người sử dụng không thể phá hủy dữ liệu, thông tin hay những ứng dụng mà
hệ thống sử dụng.
2. Nhận diện các nguy cơ tiềm ẩn trong an ninh mạng
Việc phân tích các rủi ro có thể xác định được các mối nguy cơ đối với
mạng, tài nguyên mạng và dữ liệu mạng. Mục đích của việc làm này là xác định các
thành phần của mạng, đánh giá tầm quan trọng của mỗi thành phần và sau đó áp
dụng mức độ bảo mật phù hợp.
+ Asset Identification (nhận diện tài sản trong mạng)
Trước khi ta tiến hành bảo mật cho mạng, cần phải xác định các thành phần
có trong mạng. Mỗi cơ quan hay tổ chức nên tiến hành kiểm kê tài sản tồn tại trong
mạng của mình.Các tài sản đó bao gồm cả các thiết bị mạng và các điểm cuối (
endpoint) như host, server.
+ Vulnerability Assenssment ( đánh giá các lỗ hổng hệ thống )
Các thành phần của mạng máy tính luôn luôn đứng trước nguy cơ bị tấn công
từ những kẻ xấu. Nguyên nhân có thể do sự yếu kém về công nghệ, về các cấu hình
hoặc do chính sách an ninh chưa thỏa đáng. Tuy nhiên, có thể hạn chế hay khống
chế các cuộc tấn công này bằng nhiều phương thức khác nhau như: sử dụng phần
mềm, cấu hình lại thiết bị mạng, hoặc là triển khai các biện pháp đối phó (Firewall,
phần mềm Anti-virus ).
+ Threat Identification ( nhận diện các mối đe dọa )
Một lời đe dọa là một sự kiện mang lại lợi thế cho các cuộc tấn công mạng
máy tính và là nguyên nhân của các tác động không tốt trên mạng. Vì vậy, việc xác
định các mối đe dọa tiềm ẩn trong mạng là rất quan trọng, các cuộc tấn công liên
quan cần được lưu ý để hạn chế, giảm bớt mức độ nguy hiểm.

5



3. Các mối đe dọa và tấn công mạng máy tính
Có 4 mối đe dọa chính đối với an ninh mạng

Hình 1. Các mối đe dọa đối với an ninh mạng
3.1. Unstructured Threats (Các mối đe dọa không có cấu trúc)
Mối đe dọa không có cấu trúc thông thường là những cá nhân thiếu kinh
nghiệm sử dụng các công cụ đơn giản, sẵn có trên Internet. Một số người thuộc
dạng này có động cơ là mục đích phá hoại, nhưng phần lớn có động cơ là trổ tài trí
óc và rất tầm thường. Phần lớn họ không phải là những người tài giỏi hoặc là những
attacker có kinh nghiệm, nhưng họ có những động cơ thúc đẩy, mà những động cơ
đó đều quan trọng.
3.2. Structured Threats (Các mối đe dọa có cấu trúc)
Mối đe dọa có cấu trúc bao gồm các attacker, những người có động cơ cao
hơn và có kỹ thuật thành thạo hơn. Thông thường họ hiểu biết về thiết kế hệ thống
mạng và những chỗ có thể tấn công, và họ có thể hiểu cũng như tạo ra các đoạn mã
để thâm nhập vào những hệ thống mạng này

6


3.3. External Threats (Các mối đe dọa bên ngoài)
Mối đe dọa từ bên ngoài là những cá nhân, tổ chức làm việc ở bên
ngoài công ty.Họ không có quyền truy cập đến hệ thống mạng hoặc hệ thống máy
tính của công ty. Họ làm việc theo cách thức của họ để vào trong mạng chính từ
mạng Internet hoặc mạng quay số truy cập vào servers
3.4. Internal Threats (Các mối đe dọa bên trong)
Mối đe dọa từ bên trong xảy ra khi một số người có quyền truy cập đến hệ
thống mạng thông qua một tài khoản trên một server hoặc truy cập trực tiếp thông
qua môi trường vật lý. Thông thường những người này đang có bất bình với những

thành viên hiện tại hoặc trước đó hoặc bất bình với giám đốc công ty hoặc các chính
sách của công ty.
4. Các cách thức tấn công mạng máy tính
Có 4 cách thức tấn công mạng máy tính

Hình 2. Các kiểu tấn công vào mạng máy tính
4.1 Sự thăm dò - Reconnaisance
Thăm dò là một hình thức tính toán, khám phá bất hợp pháp hệ thống,
các dịch vụ hoặc những điểm dễ bị tấn công nhất. Nó còn được biết đến như là việc

7


thu thập thông tin. Trong hầu hết các trường hợp nó xảy ra trước so với các hành
động truy xuất hợp pháp khác hoặc là tấn công theo kiểu DoS. Kẻ thâm nhập đầu
tiên sẽ quét mạng đích để xác định các địa chỉ IP còn hoạt động. Sau khi hoàn thành
việc này, tin tặc sẽ quyết định các dịch vụ hoặc các cổng được kích hoạt trên các địa
chỉ IP này. Từ những thông tin này, tin tặc tính toán để quyết định ứng kiểu của ứng
dụng và phiên bản cũng như là kiểu và phiên bản của hệ điều hành đang chạy trên
host đích.
4.2 Truy nhập - Access
Truy cập là một hình thức vượt qua giới hạn để xử lý dữ liệu trái phép, truy
cập hệ thống hoặc tiến vào chế độ đặc quyền. Truy tìm dữ liệu trái phép thông
thường là việc đọc, ghi, sao chép hoặc gỡ bỏ các files mà nó không thể được sử
dụng bởi những kẻ thâm nhập. Truy cập hệ thống là khả năng của kẻ thâm nhập
dành quyền truy cập vào một máy mà nó không được phép truy cập (ví dụ như kẻ
thâm nhập không có tài khoản hoặc mật khẩu). Nhập hoặc truy cập vào hệ thống mà
nó không có quyên truy cập thông thường bao gồm việc chạy các hack, các đoạn
kịch bản hoặc các công cụ để khai thác các lỗ hổng của hệ thống hoặc các ứng
dụng.

Một dạng khác của tấn công theo kiểu truy cập là tiến tới chế độ đặc quyền.
Việc này được thực hiện bởi những người sử dụng hợp pháp với quyền truy cập
thấp hoặc đối với những kẻ thâm nhập có quyền truy cập thấp. Mục đích là để thu
thập thông tin hoặc thực thi các thủ tục mà nó không được phép ở cấp độ truy cập
hiện tại.
Trong một vài trường hợp kẻ thâm nhập chỉ muốn dành quyền truy cập mà
không muốn lấy cắp thông tin – đặc biệt khi động cơ là sự tranh tài về trí tuệ, tò mò
hoặc là do không biết gì.
4.3. Cấm các dịch vụ (DoS) - Denial of Service
Đây là kiểu tấn công làm tê liệt hệ thống, làm mất khả năng cung cấp dịch vụ
(Denial of Service - DoS) không cho hệ thống thực hiện được các chức năng mà nó
được thiết kế. Kiểu tấn công này rất khó ngăn chặn bởi chính những phương tiện
dùng để tổ chức tấn công lại chính là những phương tiện dùng để làm việc và truy

8


cập thông tin trên mạng. Một thí dụ về trường hợp có thể xảy ra là một người trên
mạng sử dụng chương trình đẩy ra những gói tin yêu cầu về một trạm nào đó. Khi
nhận được gói tin, trạm luôn luôn phải xử lý và tiếp tục thu các gói tin đến sau cho
đến khi bộ đệm đầy, dẫn tới tình trạng những nhu cầu cung cấp dịch vụ của các máy
khác đến trạm không được phục vụ.
Điều đáng sợ là các kiểu tấn công DoS chỉ cần sử dụng những tài nguyên
giới hạn mà vẫn có thể làm ngưng trệ dịch vụ của các site lớn và phức tạp. Do vậy
loại hình tấn công này còn được gọi là kiểu tấn công không cân xứng (asymmetric
attack). Chẳng hạn như kẻ tấn công chỉ cần một máy tính PC thông thường với một
modem tốc độ chậm vẫn có thể tấn công làm ngưng trệ các máy tính mạnh hay
những mạng có cấu hình phức tạp.
4.4. Worms, Virus và Trojan Horses
Worm (sâu máy tính) là một loại virus máy tính chuyên tìm kiếm mọi dữ liệu

trong bộ nhớ hoặc trong đĩa, làm thay đổi bất kỳ dữ liệu nào mà nó gặp. Hành động
thay đổi này có thể là chuyển các ký tự thành các con số hoặc là trao đổi các byte
được lưu trữ trong bộ nhớ. Những dữ liệu bị hỏng thường không khôi phục được.
Virus hay chương trình virus là một chương trình máy tính được thiết kế mà
có thể tự lây lan bằng cách gắn vào các chương trình khác và tiến hành các thao tác
vô ích, vô nghĩa, đôi khi là phá hoại. Khi virus phát tác chúng gây nhiều hậu quả
nghiêm trọng: từ những thông báo sai lệch đến những tác động làm lệch lạc khả
năng thực hiện của phần mềm hệ thống hoặc xóa sạch mọi thông tin trên đĩa cứng.
Trojan Horse (con ngựa thành Troa) là một chương trình xuất hiện để thực
hiện chức năng có ích, đồng thời có chứa các mã hoặc các lệnh ẩn gây hỏng đối với
hệ máy đang chạy nó.
Các phần mềm nguy hiểm trên được cài đặt vào các máy tính nhằm phá hủy,
hư hại hệ thống hoặc ngăn chặn các dịch vụ, các truy nhập tới mạng. Bản chất và
mức độ nguy hiểm của những mối đe dọa này thay đổi theo thời gian. Những virus
đơn giản từ những năm 80 đã trở nên phức tạp hơn và là những virus phá hủy, là
công cụ tấn công hệ thống trong những năm gần đây. Khả năng tự lan rộng của “sâu
máy tính” đem lại những mối nguy hiểm mới. Như trước đây chúng cần tới vài ngày
hay vài tuần để tự lan rộng thì ngày nay chúng có thể lan rộng trên toàn thế giới chỉ
9


trong vòng vài phút. Một ví dụ là “sâu” Slammer bắt đầu từ tháng 01/2003, đã nhân
rộng trên toàn thế giới chỉ dưới 10 phút. Người ta cho rằng các thế hệ tiếp theo của
virus có thể tấn công chỉ trong vài giây. Những loại “sâu máy tính” và virus này có
thể làm được nhiều nhiệm vụ khác nữa, không chỉ đơn thuần là phá hủy tài nguyên
mạng, chúng còn được sử dụng để phá hủy những thông tin đang truyền trên mạng
hoặc xóa ổ cứng. Vì vậy trong tương lai sẽ có một mối đe dọa rất lớn ảnh hưởng
trực tiếp tới cơ sở hạ tầng của hệ thống mạng.
5. Chính sách an ninh
Những nguy cơ đe dọa hệ thống mạng không thể bị loại trừ hay ngăn chặn

hoàn toàn. Tuy nhiên, việc đánh giá và quản lý ảnh hưởng của những nguy cơ trên
sẽ góp phần giảm thiểu số lượng cuộc tấn công và những thiệt hại kèm theo chúng.
Mức độ rủi ro chấp nhận được phụ thuộc vào khả năng của từng doanh nghiệp.
Một chính sách an ninh là thành phần quan trọng trong việc quyết định nguy
cơ này được quản lý như thế nào. Chính sách an ninh được hiểu là những phát biểu
hình thức của những quy tắc mà theo đó những người có quyền truy nhập vào các
công nghệ, tài sản, và thông tin của một tổ chức nào đó phải tuân theo.
5.1 The Security Wheel (bánh xe an ninh)

An ninh mạng cần phải là một tiến trình liên tục được xây dựng dựa trên các
chính sách an ninh. Một chính sách an ninh liên tục mang lại hiệu quả lớn nhất bởi

10


vì nó xúc tiến quá trình tái áp dụng và tái kiểm tra các cập nhật bảo mật dựa trên cơ
sở liên tục. Tiến trình an ninh liên tục này tiêu biểu cho Security Wheel.
Để bắt đầu tiến trình liên tục này cần phải tạo một chính sách an ninh mà nó
cho phép bảo mật các ứng dụng. Một chính sách an ninh cần phải thực hiện những
nhiệm vụ sau:
 Nhận dạng mục đích bảo mật của tổ chức
 Tài liệu về tài nguyên cần bảo vệ.
 Nhận dạng cơ sở hạ tầng mạng với sơ đồ hiện tại và một bản tóm tắt.
Để tạo hoặc thực thi một chính sách an ninh có hiệu quả, cần phải xác định
cái mà ta muốn bảo vệ và bảo vệ nó như thế nào. Cần phải có hiểu biết vể các điểm
yếu hệ thống mạng và cách mà người ta có thể khai thác nó. Cũng cần phải hiểu về
các chức năng thông thường của hệ thống vì thế mà chúng ta phải biết là chúng ta
cần cái gì và nó cũng giống với cách mà các thiết bị thông thường được sử dụng.
Cuối cùng là cân nhắc đến an ninh về mặt vật lý của hệ thống mạng và cách bảo vệ
nó. Việc truy xuất về mặt vật lý đến một máy tính, router, hoặc tường lửa có thể

mang lại cho người sử dụng khả năng tổng điều khiển trên toàn bộ thiết bị.
Sau chính sách an ninh được phát triển thì nó phải phù hợp với bánh xe an
ninh ở phía trên - bốn bước kế tiếp của Security Wheel cần dựa vào:
Bước 1: Bảo mật hệ thống: bước này bao gồm việc cung cấp các thiết bị bảo mật
như tường lửa, hệ thống chứng thực, mã hóa,…với mục đích là ngăn chặn sự truy
cập trái phép đến hệ thống mạng. Đây chính là điểm mà các thiết bị tường lửa bảo
mật của Cisco có hiệu quả nhất.
Bước 2: Theo dõi hệ thống mạng về các vi phạm và sự tấn công chống lại chính
sách bảo mật của công ty. Các vi phạm có thể xảy ra từ bên trong vành đai an ninh
của mạng do sự phẫn nộ của những người lao động hoặc là từ bên ngoài do các
attacker. Việc kiểm tra mạng với hệ thống phát hiện sự xâm nhập thời gian thực như
là Cisco Secure Intruction Detection System ( hệ thống phát hiện sự thâm nhập bảo
mật của Cisco) có thể đảm bảo các thiết bị bảo mật trong bước 1 được cấu hình
đúng.
Bước 3: Kiểm tra hiệu quả của hệ thống bảo mật. Sử dụng thiết bị quét bảo mật của
Cisco ( Cisco Secure Scanner) để nhận dạng tình trạng an toàn của mạng.

11


Bước 4: Hoàn thiện an ninh của công ty. Sưu tầm và phân tích các thông tin từ các
pha kiểm tra, thử nghiệm để hoàn thiện hơn
Cả bốn bước – Bảo mật, theo dõi, kiểm tra và hoàn thiện – cần được lặp đi lặp lại
liên tục và cần phải kết hợp chặt chẽ với các phiên bản cập nhật chính sách an ninh
của công ty
5.1.1. Bảo mật hệ thống

Bảo mật mạng bằng cách áp dụng các chính sách an ninh và thực thi các chính sách
an ninh dưới đây:
 Chứng thực: chỉ đem lại quyền truy cập của người sử dụng

 Mã hóa: Ẩn các luồng nội dung nhằm ngăn cản sự phát hiện không mong
muốn đối với các cá nhân có âm mưu phá hoại hoặc cá nhân trái phép
 Tường lửa: Lọc các lưu lượng mạng chỉ cho phép các lưu lượng và dịch vụ
hợp pháp truyền qua
 Vá lỗi: Áp dụng việc sửa chữa hoặc xử lý để dừng quá trình khai thác các lỗ
hổng được phát hiện. Công việc này bao gồm việc tắt các dịch vụ không cần
thiết trên mỗi hệ thống, chỉ cho vài dịch vụ được phép chạy, gây khó khăn
cho việc truy cập của attacker.
Ngoài ra chúng ta cần phải thực thi các giải pháp an ninh mặt vật lý để ngăn cản
việc truy cập trái phép mặt vật lý đến hệ thống mạng

12


5.1.2. Theo dõi sự an toàn

Viểm theo dõi hệ thống mạng đối với sự xâm nhập trái phép và các cuộc tấn
công chống lại chính sách an ninh của công ty. Các cuộc tấn công này có thể xảy ra
trong vành đai an ninh của hệ thống mạng từ những người lao động có âm mưu
hoặc từ bên ngoài hệ thống mạng. Việc kiểm tra hệ thống mạng cũng cần thực hiện
với các thiết bị phát hiện sự xâm nhập thời gian thực như là Cisco Secure Intrusion
Detection System (CSIDS). Những thiết bị này trợ giúp bạn trong việc phát hiện ra
các phần trái phép và nó cũng có vai trò như là một hệ thống kiểm tra – cân bằng
(check – balance system) để đảm bảo rằng các thiết bị trong bước 1 của Security
Wheel được cấu hình và làm việc đúng đắn.
5.1.3. Kiểm tra

13



Việc kiểm tra là cần thiết. Bạn có thể có một hệ thống an ninh mạng tinh vi
nhất, nhưng nếu nó không làm việc thì hệ thống mạng của bạn có thể bị tấn công.
Điều này giải thích tại sao bạn cần phải kiểm tra, chạy thử các thiết bị trong bước 1
và bước 2 để đảm bảo chúng thực hiện đúng chức năng. Cisco Secure Scanner (thiết
bị quét bảo mật của Cisco) được thiết kế để đánh giá độ bảo mật của hệ thống mạng
5.1.4. Hoàn thiện

Pha hoàn thiện của Security Wheel bao gồm việc phân tích dữ liệu được tổng
hợp từ hai pha kiểm tra và chạy thử nghiệm. Kỹ thuật phát triển và hoàn thiện nó
phục vụ cho chính sách an ninh của chúng ta và nó bảo mật cho pha trong bước 1.
Nếu muốn duy trì hệ thống mạng được bảo mật thì cần phải lặp lại chu trình của
Security Wheel bởi vì lỗ hổng và nguy cơ bị xâm phạm của hệ thống mạng luôn
được tạo ra hàng ngày.
5.2 Bảo vệ và quản lý các điểm cuối
5.2.1 Công nghệ và các thành phần an ninh cơ bản trên host và server
Các máy tính và server cần được bảo vệ khi chúng tham gia vào mạng. Phần
mềm chống virus, firewall và dò tìm xâm nhập là những công cụ hữu ích được sử
dụng để đảm bảo an toàn cho các máy, server.
Device hardening
Khi một hệ điều hành mới được cài đặt trên máy tính, các thiết đặt về bảo
mật là những giá trị mặc định. Trong phần lớn trường hợp, những mức độ bảo mật
này là chưa đủ. Các hệ điều hành nên áp dụng một số bước đơn giản sau:

14


 Nên thay đổi ngay tên người dùng và mật khẩu.
 Hạn chế những truy nhập vào tài nguyên hệ thống, chỉ cho phép những cá
nhân có quyền hợp pháp truy nhập.
 Bất kỳ dịch vụ hay ứng dụng nào không cần thiết nên tắt đi và gỡ bỏ cài đặt

khi có thể.
Bức tường lửa cá nhân
Máy tính cá nhân kết nối Internet thông qua kết nối quay số, DSL, hoặc cáp
modem cũng có thể bị nguy hiểm như những mạng lớn. Bức tường lửa cá nhân cư
trú trên máy tính của người dùng và cố gắng ngăn chặn các cuộc tấn công. Một số
phần mềm đóng vai trò bức tường lửa cá nhân là McAfee, Norton, Symatec, Zone
Labs…
Phần mềm kháng virus – Antivirus
Cài đặt phần mềm kháng virus để bảo vệ hệ thống tránh khỏi sự tấn công của
virus đã biết. Các phần mềm này có thể phát hiện hầu hết virus và nhiều ứng dụng
của chương trình Trojan horse, ngăn chặn chúng phát tán trên mạng.
Những “miếng vá” hệ điều hành
Một cách hiệu quả để giảm nhẹ ảnh hưởng của “sâu máy tính” và những biến
thể của nó là sửa chữa tất cả các hệ thống đã bị xâm phạm. Đây là điều rất khó đối
với những hệ thống người dùng không kiểm soát được và càng khó khăn hơn nếu
những hệ thống này là kết nối từ xa tới mạng thông qua mạng riêng ảo (VPN) hay
server truy nhập từ xa (RAS). Việc điều hành nhiều hệ thống đòi hỏi tạo ra một ảnh
phần mềm chuẩn mà được triển khai trên những hệ thống mới hay những hệ thống
đã được nâng cấp. Những ảnh này có thể không lưu trữ sự sửa chữa mới nhất và quá
trình liên tục làm lại ảnh sẽ làm tốn thời gian quản trị.
Dò tìm và ngăn chặn xâm nhập
Dò tìm xâm nhập là khả năng phát hiện ra các cuộc tấn công vào một mạng,
gửi những ghi chép tới nơi quản lý và cung cấp cơ chế phòng ngừa sau:
Ngăn chặn xâm nhập là khả năng ngăn cản các cuộc tấn công vào một mạng
và cung cấp những cơ chế phòng ngừa sau:
15


 Dò tìm: xác định các cuộc tấn công nguy hiểm trên mạng và tài nguyên trên
máy

 Ngăn chặn: dừng lại các cuộc tấn công bị phát hiện
 Phản ứng: phòng ngừa hệ thống trước các cuộc tấn công trong tương lai.
5.2.2 Quản lý máy tính cá nhân (PC)
Kiểm kê máy và bảo trì
Những người có trách nhiệm nên duy trì các cuộc kiểm kê chi tiết tất cả các
máy tính trên mạng như các trạm làm việc, server, laptop…Có thể kiểm kê số serial
của máy; kiểu phần cứng, phần mềm được cài đặt, tên các cá nhân được nhận phản
hồi từ máy. Khi các thành phần phần cứng, phần mềm hoặc các thiết bị lưu trữ được
thay thế thì quá trình kiểm kê cũng phải cập nhật những thay đổi. Một việc làm cần
thiết nữa là đào tạo những người làm trong tổ chức để họ có thể giữ an toàn cho
máy.
Cập nhật phần mềm kháng virus
Khi virus mới hoặc những ứng dụng mới dạng chương trình “những chú
ngựa thành Troa” được phát hiện, doanh nghiệp cần cập nhật phần mềm kháng virus
mới nhất và phiên bản mới nhất của ứng dụng.
Để quá trình quét virus thành công, nên hoàn thành những việc sau:
 Quét những file thường dùng trong máy
 Cập nhật danh sách virus và các dấu hiệu
 Theo dõi thường xuyên những cảnh báo từ những máy scanner
5.3. Bảo vệ và quản lý mạng
5.3.1 Các thành phần và công nghệ cơ sở của an ninh mạng
Firewall trên nền trang thiết bị (Appliance-based Firewalls)
Firewall trên nền trang thiết bị được thiết kế với nền tảng không có ổ cứng.
Điều này cho phép quá trình Boot nhanh hơn, kiểm tra giao thông ở tốc độ dữ liệu
bậc cao và giảm nhẹ thất bại. Giải pháp của Cisco bao gồm một IOS Firewall được
tích hợp và một thiết bị PIX chuyên dụng. Đặc tính của IOS Firewall có thể được

16



cài đặt và cấu hình trên Router của Cisco. PIX là một giải pháp bảo mật phần cứng
và phần mềm cung cấp công nghệ lọc gói và proxy server.
Một số nhà cung cấp Firewall trên nền trang thiết bị là Juniper, Nokia,
Symatec, Watchguard và Nortel Networks. Đối với những mạng trong phạm vi gia
đình thì thích hợp với Linksys, Dlink, Netgear, SonicWALL.
Firewall trên nền server
Giải pháp Firewall trên nền server chạy trên hệ điều hành mạng như UNIX,
NT hay WIN2K, Novell. Nó là giải pháp mà kết hợp một firewall, điều khiển truy
nhập và những đặc điểm của mạng riêng ảo trong một gói.Ví dụ về các giải pháp
trên là Microsoft ISA Server, Linux, Novell, BorderManager, Checkpoint Firewall1.
Mức độ bảo mật của Firewall trên nền server có thể nhỏ hơn của Firewall
trên nền trang thiết bị.
Mạng riêng ảo VPN
Một mạng riêng ảo là bất kỳ mạng máy tính nào được xây dựng trên một
mạng công cộng và được phân chia sử dụng cho các cá nhân riêng lẻ. FrameRelay,
X25 và ATM được xem là các VPN lớp 2 trong mô hình OSI. Những dạng khác của
VPN là các IP VPN, được xem là các VPN lớp 3.
Về căn bản, có 3 dạng khác nhau của VPN mà doanh nghiệp sử dụng
 Remote-access VPNs
 Site-to-site extranet and intranet VPNs
 Campus VPNs

Hình 2.6. Remote-access VPNs
17


Hình 2.7. Site-to-site extranet and intranet VPNs
Sự tin cậy và định danh
Định danh được xem là sự nhận dạng đúng đắn, chính xác các user, các máy
tính, các ứng dụng, các dịch vụ và tài nguyên. Các công nghệ chuẩn này cho phép

nhận ra các giao thức chứng thực như Remote Access Dial-In User Service
(RADIUS), Terminal Access Controller Access Control System Plus (TACACS+),
Kerberos và công cụ OTP (one time password). Một số công nghệ mới như chứng
thực số, thẻ thông minh…ngày càng đóng vai trò quan trọng trong giải pháp định
danh.
5.3.2. Quản lý an ninh mạng
Mục đích của quản lý an ninh mạng là điều khiển việc truy nhập tài nguyên
mạng. Nó ngăn chặn sự phá hoại mạng máy tính và những người dùng trái phép
truy nhập những thông tin nhạy cảm. Ví dụ, một hệ thống quản lý an ninh có thể
theo dõi việc đăng ký vào tài nguyên mạng và từ chối những truy nhập có mã truy
nhập không thích hợp.
Hệ thống quản lý an ninh mạng làm việc bằng cách phân chia tài nguyên
mạng thành những khu vực được phép và khu vực không được phép.
Hệ thống này thực thi một số chức năng như sau:
 Định nghĩa tài nguyên mạng “nhạy cảm”.
 Quyết định sơ đồ giữa các tài nguyên đó với các thiết đặt của người dùng.

18


 Theo dõi các điểm truy cập tới những tài nguyên đó và khóa những truy nhập
không hợp lệ.
Cấu trúc điển hình của một hệ thống quản lý an ninh gồm một trạm quản lý
làm nhiệm vụ theo dõi và quản lý các thiết bị như Router, Firewall, các thiết bị
VPN, bộ cảm biến IDS. Phần mềm “Giải pháp quản lý an ninh” (VMS) là một ví
dụ. VMS bao gồm một tập các ứng dụng trên nền Web để cấu hình, theo dõi, gỡ rối
cho VPNs, firewall…
Ngoài ra, Cisco còn cung cấp miễn phí thiết bị quản lý GUI để cấu hình, theo
dõi các Firewall đơn, bộ cảm biến IDS hoặc Router.
Sự kiểm soát

Sự kiểm soát an ninh là rất cần thiết để xác định và theo dõi những chính
sách an ninh đối với một cơ sở hạ tâng mạng có được thực hiện đúng hay không.
Việc đăng ký và theo dõi các sự kiện sẽ giúp phát hiện ra bất kỳ hành vi nào bất
bình thường.
Để kiểm tra hiệu lực của cơ sở hạ tầng an ninh, sự kiểm soát an ninh phải
được thực thi thường xuyên và tại nhiều vị trí khác nhau. Nên kiểm soát việc cài đặt
các hệ thống mới, phương pháp phát hiện những hành động nguy hiểm, sự xuất hiện
của những vấn đề đặc biệt, ví dụ như các cuộc tấn công DoS.
Việc hiểu được quá trình vận hành của hệ thống, biết được những hành vi
nào là đúng – không đúng và sử dụng thành thạo các thiết bị sẽ giúp các tổ chức
phát hiện ra các vấn đề về an ninh mạng. Những sự kiện không bình thường là
những dấu hiệu cảnh báo, góp phần ngăn chặn kẻ xấu trước khi chúng phá hủy hệ
thống. Công cụ kiểm soát an ninh có thể giúp các doanh nghiệp, các tổ chức phát
hiện, ghi chép và theo dõi những sự kiện bất thường đó.

19


CHƯƠNG 2
TƯỜNG LỬA CISCO PIX FIREWALL
I. Firewall và các kỹ thuật firewall
1. Firewall

Theo cách định nghĩa thông thường thì tường lửa là một phần tạo nên vật
liệu chống cháy, được thiết kế để ngăn cản sự lan rộng của lửa từ một phần đến
phần khác. Nó cũng có thể được sử dụng để cách ly một phần với phần khác.
Khi áp dụng thuật ngữ tường lửa cho mạng máy tính, một tường lửa là một hệ thống
hoặc một nhóm hệ thống yêu cầu một chính sách điều khiển việc truy cập giữa hai
hoặc nhiều hơn hai mạng.
2. Các kỹ thuật tường lửa


20


Tường lửa hoạt động dựa trên một trong ba kỹ thuật sau:
 Packet filtering – Giới hạn thông tin truyền sang một mạng dựa trên thông tin
header của gói tin.
 Proxy Server – Yêu cầu sự kết nối chuyển tiếp giữa một client bên trong của
tường lửa và mạng Internet
 Stateful packet filtering – Kết hợp tốt nhất hai kỹ thuật packet filtering và
proxy server
2.1. Kỹ thuật packet filtering

Một tường lửa có thể sử dụng packet filtering để giới hạn thông tin đi vào một
mạng hoặc thông tin di chuyển từ một đoạn mạng này sang một đoạn mạng khác.
Packet filtering sử dụng danh sách điều khiển truy cập (ACLs), nó cho phép một
tường lửa xác nhận hay phủ nhận việc truy cập dựa trên kiểu của gói tin và các biến
khác.
Phương pháp này có hiệu quả khi một mạng được bảo vệ nhận gói tin từ một mạng
không được bảo vệ khác. Bất kỳ gói tin nào được gửi đến một mạng đã được bảo vệ
và không đúng với các tiêu chuẩn được định nghĩa bởi ACLs đều bị hủy.
Những có một số vấn đề với packet filtering
 Các gói tin bất kỳ có thể được gửi đi mà nó phù hợp với các tiêu chuẩn của
ACL thì sẽ đi qua được bộ lọc
 Các gói tin có thể đi qua được bộ lọc theo từng đoạn
 ACL phức tạp là rất khó thực thi và duy trì một cách đúng đắn
 Một số dịch vụ không thể lọc
21



2.2. Kỹ thuật Proxy Server

Một Proxy server là một thiết bị tường lửa mà nó quyết định một gói tin tại
lớp cao hơn của mô hình OSI. Thiết bị này có giá trị ẩn dữ liệu bằng cách yêu cầu
người sử dụng giao tiếp với một hệ thống bảo mật có nghĩa là một proxy. Người sử
dụng dành quyền truy cập đến một mạng bằng cách đi qua một tiến trình, tiến trình
đó sẽ thiết lập một trạng thái phiên, chứng thực người dùng và chính sách cấp
quyền. Điều này có nghĩa là người sử dụng kết nối đến các dịch vụ bên ngoài thông
qua chương trình ứng dụng (proxies) đang chạy trên cổng dùng để kết nối đến vùng
không được bảo vệ phía ngoài
Tuy nhiên cũng có những vấn đề với Proxy server bởi bì nó:
 Tạo một cùng lỗi chung, nó có nghĩa là nếu cổng vào mạng bị sập thì sau đó
toàn bộ mạng cũng bị sập theo
 Nó rất khó để thêm các dịch vụ mới vào tường lửa
 Thực thi các ứng suất chậm

22


2.3. Kỹ thuật stateful packet filtering

Stateful packet filtering là một phương pháp được sử dụng bởi thiết bị tường
lửa PIX của Cisco. Kỹ thuật này duy trì trạng thái phiên đầy đủ. Mỗi khi một kết
nối TCP/UDP được thiết lập cho các kết nối vào hoặc ra. Thông tin này được tập
hợp trong bảng Stateful session flow.
Bảng stateful session flow chứa địa chỉ nguồn và đích, số cổng, thông tin số thứ tự
TCP và thêm thông tin các cờ cho mỗi kết nối TCP/UDP kết hợp với các phiên đó.
Thông tin này tạo nên các đối tượng kết nối và do đó các gói tin vào và ra được so
sánh với lưu lượng phiên trong bảng stateful session flow. Dữ liệu được phép qua
tường lửa chỉ khi nếu một kết nối thích hợp tồn tại đánh giá tính hợp pháp đi qua

của dữ liệu đó
Phương pháp này có hiệu quả bởi vì:
 Nó làm việc trên các gói tin và các kết nối
 Nó hoạt động ở mức cao hơn so với packet filtering hoặc sử dụng proxy
 Nó ghi dữ liệu trong một bảng cho mỗi kết nối. Bảng này như là một điểm
tham chiếu để xác định gói tin có thuộc về một kết nối đang tồn tại hay
không hoặc là từ một nguồn trái phép
II. Tổng quan về PIX Firewall
PIX firewall là một yếu tố chính trong toàn bộ giải pháp an ninh end-to-end
của Cisco. PIX Firewall là một giải pháp an ninh phần cứng và phần mềm chuyên
dụng và mức độ bảo mật cao hơn mà không ảnh hưởng đến sự thực thi của hệ thống

23


mạng. Nó là một hệ thống được lai ghép bởi vì nó sử dụng cả hai kỹ thuật packet
filtering và proxy server
PIX Firewall cung cấp các đặc tính và các chứ năng sau:
 Apdaptive Security Algorithm (ASA) – thực hiện việc điều khiển các kết nối
stateful thông qua PIX Firewall
 Cut – through proxy – Một người sử dụng phải dựa trên phương pháp chứng
thực của các kết nối vào và ra cung cấp một hiệu suất cải thiện khi so sánh
nó với proxy server
 Stateful failover – PIX Firewall cho phép bạn cấu hình hai đơn vị PIX
Firewall trong một topo mà có đủ sự dư thừa
 Stateful packet filtering – Một phương pháp bảo mật phân tích các gói dữ
liệu mà thông tin nằm trải rộng sang một bảng. Để một phiên được thiết lập
thông tin về các kết nối phải kết hợp được với thông tin trong bảng
PIX Firewall có thể vận hành và mở rộng cấp độ được với các ISPes, các ISPec bao
gồm một lưới an ninh và các giao thức chứng thực như là Internet Key Exchange

(IKE) và Public Key Infrastructure (PKI). Các máy clients ở xa có thể truy cập một
cách an toàn đến mạng của công ty thông qua các ISPs của họ
III. Các dòng PIX Firewall và nguyên tắc hoạt động.
1. Các dòng PIX Firewall

24


PIX 501

Hình 3.1. PIX 501
 Kích cỡ 1.0 x 6.25 x 5.5 inches và 0.75 pounds
 Được thiết kế cho các văn phòng nhỏ, tốc độ an toàn cao, trên những môi
trường trải rộng.
 Thông lượng là 60 Mbps đối với dữ liệu text
 Hỗ trợ 1 cổng 10/100BASE-T Ethernet và 1 switch 4 cổng
 Thông lượng VPN
 3 Mbps 3DES
 4.5 Mbps 128-bit AES
 Kết nối 10 mạng VPN ngang hàng đồng thời
PIX 506E

Hình 3.2. PIX 506E
Là giải pháp bảo mật cho các văn phòng ở xa, các chi nhánh công ty và các
mạng doanh nghiệp nhỏ, trung bình.
Một số đặc điểm của PIX 506E như sau:
 Kích cỡ 8 x 12 x 17 inches
 Bộ nhớ Flash 8 Mb
 Hỗ trợ 2 cổng 10/100 BASE-T, 2 VLANs
 Hỗ trợ chuẩn Ipsec

 Thông lượng là 100 Mbps đối với dữ liệu text
25