Tải bản đầy đủ (.doc) (74 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Xây dựng giải pháp bảo mật mạng không dây bằng phương pháp xác thực radius server

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.86 MB, 74 trang )

LỜI CẢM ƠN
Trước tiên em xin gửi lời cảm ơn chân thành tới các thầy cô giáo trong
khoa Công nghệ thông tin trường Đại học Công nghệ thông tin và truyền thông
nói chung, bộ môn mạng và truyền thông nói riêng đã tận tình truyền đạt, giảng
dạy cho em những kiến thức, kinh nghiệm quý báu trong suốt các năm học tập và
rèn luyện tại trường.
Đặc biệt em xin gửi lời cảm ơn đến cô giáo Phạm Bích Trà, bộ môn các hệ
thông thông tin đã tận tình hướng dẫn, trực tiếp chỉ bảo em trong suốt thời gian
làm đồ án tốt nghiệp. Trong thời gian làm việc với cô, em không những tiếp thu
thêm nhiều kiến thức bổ ích mà còn học được tinh thần làm việc, thái độ nghiên
cứu khoa học nghiêm túc, hiệu quả. Đây là những điều rất cần thiết cho em trong
quá trình học tập và công tác sau này.
Sau cùng xin gửi lời cảm ơn chân thành tới gia đình, các anh chị, bạn bè
đã động viên, đóng góp ý kiến và giúp đỡ em trong quá trình học tâp, nghiên cứu
và hoàn thành đề tài này.

Thái Nguyên, tháng 06, năm 2012
Sinh viên
Nguyễn Thế Yên

1


LỜI CAM ĐOAN
Em xin cam đoan đồ án là sản phẩm của sự tìm tòi, nghiên cứu các tài liệu
một cách nghiêm túc dưới sự hướng dẫn của giáo viên hướng dẫn. Nội dung đồ
án không có sự sao chép ở các đồ án khác mà có ý tưởng, sự sáng tạo của bản
thân. Nếu có thông tin sai lệch e xin hoàn toàn chịu trách nhiệm trước hội đồng
và nhà trường.

Sinh viên


Nguyễn Thế Yên

MỤC LỤC
2


DANH MỤC HÌNH ẢNH

DANH MỤC TỪ VIẾT TẮT

Từ viết tắt

Nghĩa tiếng anh

Nghĩa tiếng Việt

RADIUS
ACL

Remote Authentication
Dial-In User Service
Access Control List

PKI

Public Key Infrastructure

IDS

AP


Intrusion Detection
System
Institute of Electrical and
Electronics Engineers
Access Point

Xác thực người dùng sử
dụng dịch vụ từ xa
Danh sách điều khiển
truy nhập
Cơ sở hạ tầng khóa công
khai
Hệ thống phát hiện xâm
nhập
Hiệp hội kỹ sư điện và
điện tử
Điểm truy cập

BSS

Basic Service Sets

Mạng cơ sở

ESS

Extended Service Set

Mạng mở rộng


SSID

Services Set Indentifier

WEP

Wired Equivalen Privacy

IPsec

Internet Protocol Security

Nhận dạng và thiết lập
dịch vụ
Bảo mật tương đương
mạng có dây
Các giao thức bảo mật

IEEE

3


MIC

Message Integity Check

AES


Advanced Encryption
Stadar
Wi-Fi Protected Access

WPA
NIST
TACACS
DES

National Institute of
Standards and
Technology
Terminal Access
Controller Access
Control System
Digital Encryption
Standanrd

Kiểm tra tính nguyên vẹn
của tin báo
Tiêu chuẩn mã hóa tiên
tiến
Giao thức bảo mật mạng
không dây theo chuẩn
802.11i
Viện tiêu chuẩn và công
nghệ
Hệ thống điều khiển truy
cập thiết bị đầu cuối
Tiêu chuẩn kỹ thuật số

hóa

LỜI NÓI ĐẦU
Với sự phát triển nhanh chóng của mạng internet và đặt biệt là các công
nghệ mạng, kèm theo đó là vấn đề bảo vệ các tài nguyên thông tin trên mạng,
tránh sự mất mát, xâm phạm là việc cần thiết và cấp bách. Bảo mật mạng có thể
hiểu là cách bảo vệ, đảm bảo an toàn cho các thành phần mạng bao gồm dữ liệu,
thiết bị, cơ sở hạ tầng mạng và đảm bảo mọi tài nguyên trên mạng tránh được
việc đánh cắp thông tin, đồng thời tăng tính bảo mật thông tin cho mạng được
cao hơn.
Vấn đề bảo mật luôn làm đau đầu các nhà sản xuất, các tổ chức và cá nhân
người sử dụng. Các nhà quản trị mạng ngày nay phải điều khiển việc truy cập
cũng như giám sát thông tin mà người dùng đầu cuối đang thao tác. Những việc
làm đó có thể đưa đến thành công hay thất bại của công ty. Và AAA là cách thức
tốt nhất để giám sát những gì mà người dùng đầu cuối có thể làm trên mạng một
cách bảo mật và tiện lợi. Chúng ta có thể xác thực (authentication) người dùng,
cấp quyền (authorization) cho người dùng, cũng như kiểm toán để tập hợp được
thông tin như thời gian bắt đầu hay kết thúc của người dùng (accounting).

4


Vì vậy, em đã lựa chọn đề tài ‘’Xây dựng giải pháp bảo mật mạng không
dây bằng phương pháp xác thực RADIUS SERVER’’ để làm đồ án tốt
nghiệp.
Trong quá trình làm đồ án chắc chắn không tránh khỏi thiếu sót. Mong các
thầy cô và các bạn đóng góp ý kiến để đồ án được hoàn thiện hơn. Em xin chân
thành cảm ơn!

Thái Nguyên, tháng 06 năm 2012

Nguyễn Thế Yên

CHƯƠNG I
TỔNG QUAN AN NINH MẠNG VÀ MẠNG KHÔNG DÂY
1.1 Mục tiêu của việc bảo mật
Việc phát triển ngày càng cao của mạng Internet đã đem lại rất nhiều sự
thuận tiện cho con người. Tuy nhiên nó cũng mang lại rất nhiều mối nguy hiểm
từ các hacker. Đảm bảo cho người dùng và hệ thống mạng hoạt động một cách an
toàn là mục tiêu hàng đầu của việc bảo mật:
 Đảm bảo cho mạng nội bộ không bị xâm nhập trái phép.
 Các tài liệu và thông tin quan trọng không bị đánh cắp.
 Các dịch vụ được thực hiện một cách nhanh chóng, không bị ngưng trệ
hoặc không được thực hiện.
 Người dung làm việc trên mạng không bị mạo danh, lừa đảo…
1.2 Một số nguy cơ và các hình thức tấn công trên mạng
a) Một số nguy cơ
5


Những nguy cơ bảo mật đe dọa mất mát dữ liệu nhạy cảm luôn là mối lo
ngại của những doanh nghiệp vừa và nhỏ. Sau đây là 10 nguy cơ bảo mật được
đánh giá là nguy hiểm nhất mà các doanh nghiệp phải đối mặt.
 Nhân viên bất mãn với công ty
Trong một số doanh nghiệp vừa và nhỏ, những dữ liệu kinh doanh quan
trọng hay thông tin khách hàng thường được giao phó cho một cá nhân. Điều
này tạo nên tình trạng "lệ thuộc quyền hạn" nguy hiểm. Khi cá nhân đó bất mã vì
một lý do nào đó với công ty và ban điều hành công ty. Lúc này vấn đề chỉ còn là
thời gian và quyền hạn kiểm soát thông tin của cá nhân đó mà thôi.
 Không có kế hoạch xử lý rủi ro
Hệ thống máy tính, mạng của doanh nghiệp luôn phải đối mặt với nhiều

nguy cơ bảo mật, từ việc hư hỏng vật lý cho đến các trường hợp bị tấn công từ tin
tặc hay virus đều có khả năng gây tổn hại cho dữ liệu. Khá nhiều doanh nghiệp
vừa và nhỏ thiếu hẳn chính sách phản ứng với việc thất thoát dữ liệu hay kế
hoạch khắc phục sự cố. Đại đa số đều lúng túng và bắt đầu các hoạt động mang
tính ứng phó.
 Những thiết lập mặc định không được thay đổi
Tin tặc hiện nay thường dùng các tập tin chứa đựng hàng trăm ngàn tài
khoản mặc định (username và password) của các thiết bị kết nối mạng để dò tìm
quyền hạn truy xuất khả năng đăng nhập vào hệ thống mạng. Nếu các tài khoản,
thiết lập mặc định không được thay đổi, tin tặc sẽ dễ dàng chiếm quyền điểu
khiển tài nguyên mạng.
 Môi trường mạng tại nhà không an toàn
Đối với một vài doanh nghiệp nhỏ, các nhân viên thường đem máy tính
xách tay (laptop) của mình đến văn phòng để làm việc. Trong môi trường mạng
tại gia đình, chế độ bảo mật thường rất kém hay thậm chí không có những thiết
lập bảo vệ. Do đó, những chiếc laptop của nhân viên có thể là nguồn gốc phát tán
virus, malware hay trở thành zombie trung gian để tin tặc tấn công vào hệ thống
mạng của doanh nghiệp.
 Thiếu cảnh giác với mạng công cộng
Một thủ đoạn chung tin tặc hay sử dụng để dẫn dụ những nạn nhân là đặt
một thiết bị trung chuyển wireless access-point không cài đặt mật khẩu

6


(unsecured) rồi gán một cái nhãn như "Mạng Wi-Fi miễn phí" và ngồi chờ những
kết nối rơi vào bẫy. Tin tặc sẽ dùng các công cụ thâu tóm gói dữ liệu mạng giúp
nhận biết cả những văn bản hay bất kỳ những gì mà nhân viên doanh nghiệp gõ
rồi gửi ra ngoài.
 Mất mát thiết bị di động

Rất nhiều doanh nghiệp, thậm chí gần đây còn có cả một vài hãng lớn bị
thất thoát dữ liệu quan trọng do mất cắp máy tính xách tay, thất lạc điện thoại di
động hay các đĩa flash USB lưu trữ. Dữ liệu trong các thiết bị này thường ít được
mã hóa hay bảo vệ bằng mật khẩu, rất dễ dàng xử lý một khi đã sở hữu chúng.
 Lỗi từ máy chủ web
Hiện còn khá nhiều doanh nghiệp không coi trọng việc đặt website của
mình tại máy chủ nào, mức độ bảo mật ra sao. Do đó, website kinh doanh của
doanh nghiệp sẽ là mồi ngon của các đợt tấn công SQL Injection hay botnet.
 Duyệt web tràn lan
Không phải nhân viên văn phòng nào cũng đủ am hiểu tường tận về
những hiểm họa rình rập trên mạng Internet như malware, spyware, virus,
trojan... Họ cứ vô tư truy cập vào các website không xác định hoặc bị dẫn dụ
click vào những website được tin tặc chào đón và thế là máy tính của nhân viên
sẽ là cánh cửa giúp tin tặc xâm nhập vào trong mạng của doanh nghiệp.
 Email chứa những mã độc
Những cuộc giội bom thư rác sẽ làm tràn ngập hộp thư của bạn với những
tiêu đề hấp dẫn hay các lời mời chào kinh doanh... chỉ một cú nhấp chuột sai lầm
thì ngay lập tức máy tính sẽ tải về các đoạn mã độc làm tiền đề cho hàng loạt
phần mềm độc hại đi sau xâm nhập vào máy tính.
 Không vá lỗi bảo mật
Hơn 90% các cuộc tấn công vào hệ thống mạng đều cố gắng khai thác các
lỗi bảo mật đã được biết đến. Mặc dù các bản vá lỗi vẫn thường xuyên được
những hãng sản xuất cung cấp ngay sau khi lỗi được phát hiện nhưng một vài
doanh nghiệp lại không coi trọng việc cập nhật lỗi thường nhật dẫn đến việc các
lỗi bảo mật mở toang cổng chào đón những cuộc tấn công.
b) Một số hình thức tấn công
Trong khoa học máy tính, virus máy tính (thường được người sử dụng gọi
tắt là virus) là những chương trình hay đoạn mã được thiết kế để tự nhân bản và

7



sao chép chính nó vào các đối tượng lây nhiễm khác (file, ổ đĩa, máy tính ..).
Trước đây, virus thường được viết bởi một số người am hiểu về lập trình muốn
chứng tỏ khả năng của mình nên thường virus có các hành động như: cho một
chương trình không hoạt động đúng, xóa dữ liệu, làm hỏng ổ cứng,... hoặc gây ra
những trò đùa khó chịu. Những virus mới được viết trong thời gian gần đây
không còn thực hiện các trò đùa hay sự phá hoại đối máy tính của nạn nhân bị lây
nhiễm nữa, mà đa phần hướng đến việc lấy cắp các thông tin cá nhân nhạy cảm
(các mã số thẻ tín dụng) mở cửa sau cho tin tặc đột nhập chiếm quyền điều khiển
hoặc các hành động khác nhằm có lợi cho người phát tán virus. Chiếm trên 90%
số virus đã được phát hiện là nhắm vào hệ thống sử dụng hệ điều hành họ
Windows chỉ đơn giản bởi hệ điều hành này được sử dụng nhiều nhất trên thến
giới. Do tính thông dụng của Windows nên các tin tặc thường tập trung hướng
vào chúng nhiều hơn là các hệ điều hành khác. (Cũng có quan điểm cho rằng
Windows có tính bảo mật không tốt bằng các hệ điều hành khác (như Linux) nên
có nhiều virus hơn, tuy nhiên nếu các hệ điều hành khác cũng thông dụng như
Windows hoặc thị phần các hệ điều hành ngang bằng nhau thì cũng lượng virus
xuất hiện có lẽ cũng tương đương nhau).
 Virus
Một virus máy tính được thiết kế để tấn công một máy tính và thường phá
các máy tính khác và các thiết bị mạng. Một virus thường có thể là một tập tin
đính kèm trong e-mail, và chọn các tập tin đính kèm có thể gây ra các mã thực thi
để chạy và tái tạo virus. Một virus phải được thực hiện hoặc chạy trong bộ nhớ
để chạy và tìm kiếm các chương trình khác hoặc máy chủ để lây nhiễm và nhân
rộng. Như tên của nó, virus cần một máy chủ như là một bảng tính hoặc e-mail
để đính kèm, lây nhiễm, và nhân rộng. Có một số hiệu ứng chung của vi rút. Một
số virus lành tính, và chỉ cần thông báo cho nạn nhân của họ rằng họ đã bị nhiễm
bệnh. Các virus ác tính tạo ra sự hủy hoại bằng cách xóa các tập tin và nếu không
thì gây ra lỗi cho các máy tính bị nhiễm có chứa tài sản kỹ thuật số, chẳng hạn

như hình ảnh, tài liệu, mật khẩu, và các bản báo cáo tài chính.

8


 Worm
Worm là một chương trình phá hoại quét các điểm yếu hoặc lỗ hổng bảo
mật trên các máy tính khác để khai thác các điểm yếu và nhân rộng.Worm có thể
tái tạo độc lập và rất nhanh chóng.
Worm khác với virus trong hai cách chính:
Virus cần một máy chủ để đính kèm và thực hiện, và sâu không yêu cầu một
máy chủ.Virus và sâu thường gây ra các loại khác nhau của sự hủy diệt. Virus,
một khi chúng đang cư trú trong bộ nhớ, thường xóa và sửa đổi các tập tin quan
trọng trên máy tính bị nhiễm bệnh. Tuy nhiên, Worms có xu hướng mạng trung
tâm hơn so với máy tính trung tâm. Worms có thể tái tạo một cách nhanh chóng
bằng cách bắt đầu kết nối mạng để nhân rộng và gửi số lượng lớn dữ liệu. Worms
cũng có thể chứa một hành khách mang theo, hoặc trọng tải dữ liệu, mà có thể
giao một máy tính mục tiêu cho các trạng thái của một zombie. Zombie là một
máy tính có bị xâm phạm và hiện đang được kiểm soát bởi những kẻ tấn công
mạng. Zombies thường được sử dụng để khởi động các cuộc tấn công mạng
khác. Một bộ sưu tập lớn các zombie dưới sự điều khiển của kẻ tấn công được
gọi là một "botnet". Botnets có thể phát triển được khá lớn. Botnet được xác định
đã lớn hơn 100.000 máy tính zombie.
 Trojan horse
Là phần mềm nguy hại tìm cách ngụy trang chính nó như là một ứng dụng
đáng tin cậy như là một trò chơi hoặc trình bảo vệ màn hình. Một khi người dùng
tin cậy cố gắng để truy cập những gì có vẻ là một trò chơi vô thưởng vô phạt
hoặc trình bảo vệ màn hình, các Trojan có thể bắt đầu các hoạt động gây tổn hại
như xóa các tập tin hoặc định dạng lại một ổ đĩa cứng. Trojan thường không tự
sao chép.Những kẻ tấn công mạng cố gắng sử dụng các ứng dụng phổ biến,

chẳng hạn như iTunes của Apple, để triển khai một Trojan. Ví dụ, một cuộc tấn
công mạng sẽ gửi một e-mail với một liên kết có mục đích để tải về một bài hát
iTunes miễn phí. Trojan này sau đó sẽ bắt đầu một kết nối đến một máy chủ web

9


bên ngoài và bắt đầu một cuộc tấn công một khi người dùng cố gắng để tải về các
bài hát miễn phí rõ ràng.
 Từ chối dịch vụ
Một cuộc tấn công từ chối dịch vụ (DoS) là một cuộc tấn công mạng có kết
quả trong việc từ chối dịch vụ bằng một ứng dụng yêu cầu như là một máy chủ
web. Có một vài cơ chế để tạo ra một cuộc tấn công DoS. Các phương pháp đơn
giản nhất là tạo ra một lượng lớn những gì xuất hiện để được giao thông mạng
hợp lệ. Đây là loại tấn công DoS mạng cố gắng để làm nghẽn các ống dẫn lưu
lượng truy cập mạng để sử dụng hợp lệ không thể có được thông qua kết nối
mạng. Tuy nhiên, loại DoS thông thường cần phải được phân phối bởi vì nó
thường đòi hỏi nhiều hơn một nguồn để tạo ra các cuộc tấn công.Một cuộc tấn
công DoS lợi dụng thực tế là hệ thống mục tiêu như các máy chủ phải duy trì
thông tin trạng thái và có thể có kích thước bộ đệm và dự kiến nội dung gói tin
mạng cho các ứng dụng cụ thể. Một cuộc tấn công DoS có thể khai thác lỗ hổng
này bằng cách gửi các gói có giá trị kích cỡ và dữ liệu mà không như mong đợi
của các ứng dụng nhận được.Một số loại tấn công DoS tồn tại, bao gồm các cuộc
tấn công Teardrop và Ping of Death, mà gửi các gói thủ công mạng khác nhau từ
những ứng dụng dự kiến và có thể gây ra sụp đổ các ứng dụng và máy chủ.
Những cuộc tấn công DoS trên một máy chủ không được bảo vệ, chẳng hạn như
một máy chủ thương mại điện tử, có thể gây ra các máy chủ bị lỗi và ngăn chặn
người dùng bổ sung thêm hàng vào giỏ mua sắm của họ.
 Spyware
Spyware là một lớp các ứng dụng phần mềm có thể tham gia vào một cuộc

tấn công mạng. Spyware là một ứng dụng cài đặt và vẫn còn để ẩn trên máy tính
hoặc máy tính xách tay mục tiêu. Một khi các ứng dụng phần mềm gián điệp đã
được bí mật cài đặt, phần mềm gián điệp bắt thông tin về những gì người dùng
đang làm với máy tính của họ. Một số thông tin bị bắt bao gồm các trang web
truy cập, e-mail gửi đi, và mật khẩu sử dụng. Những kẻ tấn công có thể sử dụng

10


các mật khẩu và thông tin bắt được để đi vào được mạng để khởi động một cuộc
tấn công mạng.
Ngoài việc được sử dụng để trực tiếp tham gia vào một cuộc tấn công mạng,
phần mềm gián điệp cũng có thể được sử dụng để thu thập thông tin có thể được
bán một cách bí mật. Thông tin này, một lần mua, có thể được sử dụng bởi một
kẻ tấn công khác đó là "khai thác dữ liệu" để sử dụng trong việc lập kế hoạch cho
một cuộc tấn công mạng khác.
 Phishing
Phishing là một kiểu tấn công mạng thường bắt đầu bằng cách gửi e-mail để
người dùng không nghi ngờ. Các e-mail lừa đảo cố gắng để trông giống như một
thư điện tử hợp pháp từ một tổ chức được biết đến và đáng tin cậy như là một
trang web ngân hàng, thương mại điện tử. E-mail giả này cố gắng thuyết phục
người dùng rằng một việc gì đó đã xảy ra, chẳng hạn như hoạt động đáng ngờ về
tài khoản của họ, và người sử dụng phải thực hiện theo các liên kết trong e-mail
và đăng nhập vào trang web để xem thông tin người dùng của họ. Các liên kết
trong e-mail này thường là một bản sao giả của ngân hàng hoặc trang web
thương mại điện tử thực sự và các tính năng tương tự nhìn-và-cảm nhận các trang
web thực sự. Các cuộc tấn công lừa đảo được thiết kế để lừa người dùng cung
cấp thông tin có giá trị như tên người dùng và mật khẩu của họ.
 Tấn công dựa vào yếu tố con người
Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả làm một

người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình
đối với hệ thống, hoặc thậm chí thay đổi một số cấu hình của hệ thống để thực
hiện các phương pháp tấn công khác.Với kiểu tấn công này không một thiết bị
nào có thể ngăn chặn một cách hữu hiệu, và chỉ có một cách giáo dục người sử
dụng mạng nội bộ về những yêu cầu bảo mật để đề cao cảnh giác với những hiện
tượng đáng nghi. Nói chung yếu tố con người là một điểm yếu trong bất kỳ một

11


hệ thống bảo vệ nào, và chỉ có sự giáo dục cộng với tinh thần hợp tác từ phía
người sử dụng có thể nâng cao được độ an toàn của hệ thống bảo vệ.
1.3 Một số chính sách an ninh và các công nghệ kỹ thuật bảo mật
a) Một số chính sách an ninh
 Các chính sách an ninh văn bản
Mục tiêu của một chính sách an ninh là xác định những gì cần phải được bảo
vệ, những người có trách nhiệm bảo vệ, và trong một số trường hợp như thế nào
bảo vệ sẽ xảy ra. Chức năng này cuối cùng thường tách ra thành một tài liệu thủ
tục độc lập như lọc nguồn, lọc đích, hoặc quản lý truy. Tóm lại, các chính sách
bảo mật đơn giản và chính xác nên vạch ra những yêu cầu cụ thể, quy tắc, và
mục tiêu đó phải được đáp ứng, để cung cấp một phương pháp đo lường của đặc
điểm an ninh được chứng thực của tổ chức.
Để giúp đảm bảo rằng các chính sách bảo mật sẽ làm được điều này, suy nghĩ
của tường lửa trong điều khoản của các lớp bảo mật, với mỗi lớp có một lĩnh vực
cụ thể của hoạt động. Hình 1-1 minh họa các lớp của tường lửa. Như hình bên
dưới cho thấy, các bức tường lửa được chia thành bốn thành phần riêng biệt.

Hình 1-1 Minh họa các lớp của tường lửa
Tại trung tâm là các lớp toàn vẹn vật lý của tường lửa, mà chủ yếu là liên
quan tới các quyền truy cập vật lý vào tường lửa, để đảm bảo quyền truy cập vật

lý vào thiết bị, chẳng hạn như thông qua một kết nối cứng là cổng console.

12


Lớp tiếp theo là cấu hình tường lửa tĩnh, mà chủ yếu là liên quan tới truy
cập vào các phần mềm tường lửa được cấu hình tĩnh đang chạy (ví dụ, các hệ
điều hành PIX và cấu hình khởi động). Tại lớp này, chính sách bảo mật cần tập
trung vào việc xác định các hạn chế sẽ được yêu cầu để hạn chế truy cập quản trị,
bao gồm cả bản cập nhật phần mềm thực hiện và cấu hình tường lửa.
Lớp thứ ba là cấu hình tường lửa động, trong đó bổ sung các cấu hình tĩnh
bằng việc có liên quan tới cấu hình động của tường lửa thông qua việc sử dụng
các công nghệ như giao thức định tuyến, lệnh ARP, giao diện và tình trạng thiết
bị, kiểm toán, nhật ký, và các lệnh tránh. Mục tiêu của chính sách an ninh tại
điểm này là để xác định các yêu cầu xung quanh những gì các loại cấu hình động
sẽ được cho phép.
Cuối cùng là lưu lượng mạng qua tường lửa, mà là thực sự những gì mà
tường lửa tồn tại để bảo vệ tài nguyên. Lớp này là có liên quan tới chức năng như
ACL và thông tin dịch vụ proxy. Các chính sách an ninh ở lớp này có trách
nhiệm xác định các yêu cầu như chúng liên quan đến lưu lượng đi qua tường lửa.
 Chính sách quản lý truy cập
Chính sách quản lý truy cập tồn tại để xác định các phương pháp cho phép
và cách truy cập quản lý tường lửa. Chính sách này có xu hướng giải quyết sự
toàn vẹn vật lý tường lửa và lớp bảo mật cấu hình tường lửa tĩnh. Các chính sách
quản lý truy cập cần phải định nghĩa cho cả hai giao thức quản lý từ xa và cục bộ
sẽ được cho phép, cũng như đó người dùng có thể kết nối với tường lửa và có
quyền truy cập để thực hiện những tác vụ.
 Chính sách lọc
Thay vì định nghĩa bộ quy tắc thực tế tường lửa sẽ sử dụng, các chính sách
lọc cần phải chỉ và xác định chính xác các loại lọc mà phải được sử dụng và nơi

lọc được áp dụng. Chính sách này có xu hướng để giải quyết cấu hình tường lửa
tĩnh và chi tiết trong lớp lưu lượng mạng qua tường lửa. Ví dụ, một chính sách
lọc tốt cần phải yêu cầu cả hai lối vào và đi ra bộ lọc được thực hiện với các bức

13


tường lửa. Các chính sách lọc cũng cần xác định các yêu cầu chung trong việc
kết nối mạng cấp độ bảo mật và nguồn khác nhau.
 Chính sách định tuyến
Các chính sách định tuyến cần phải có một phần có quy định cụ thể bao
gồm một tường lửa trong các cơ sở hạ tầng định tuyến và định nghĩa các phương
thức trong đó các định tuyến sẽ xảy ra. Chính sách này có xu hướng để giải quyết
các lớp cấu hình tường tĩnh lửa và cấu hình động tường lửa. Trong hầu hết
trường hợp, các chính sách định tuyến nên ngăn cấm firewall một cách rõ ràng từ
việc chia sẻ bảng định tuyến mạng nội bộ với bất kỳ nguồn bên ngoài. Tương tự
như vậy, các chính sách định tuyến cần xác định các trường hợp trong đó các
giao thức định tuyến động và tuyến đường tĩnh là phù hợp. Các chính sách cũng
nên xác định bất kỳ cơ chế bảo mật giao thức cụ thể cần phải được cấu hình.
 Chính sách Remote access / VPN
Các chính sách remote-access/VPN cũng cần xác định các giao thức sẽ
được sử dụng: IP Security (IPsec), Layer 2 Tunneling Protocol (L2TP), hoặc
Point-to-Point Tunneling Protocol (PPTP). Trong hầu hết trường hợp, IPsec được
sử dụng riêng biệt. Giả sử IPsec, chính sách remote-access/VPN cần phải yêu cầu
sử dụng của các preshared keys, chứng thực mở rộng, với việc sử dụng giấy
chứng nhận, mật khẩu một lần, và Public Key Infrastructure (PKI) cho môi
trường an toàn nhất. Tương tự như vậy, các chính sách remote-access/VPN nên
xác định những khách hàng sẽ được sử dụng (có nghĩa là, trong xây dựngMicrosoft VPN Client, Cisco Secure VPN Client, vv).
Cuối cùng, các chính sách remote-access/VPN cần xác định các loại truy cập và
các nguồn lực sẽ được cung cấp để kết nối từ xa và các loại kết nối từ xa sẽ được

cho phép.
 Chính sách giám sát / ghi nhận

14


Một trong những yếu tố quan trọng nhất đảm bảo rằng một tường lửa cung
cấp mức bảo mật được mong đợi là thực hiện một hệ thống giám sát tường lửa.
Chính sách giám sát / ghi nhận xác định các phương pháp và mức độ giám sát sẽ
được thực hiện. Tối thiểu, các chính sách giám sát / ghi nhận cần cung cấp một
cơ chế để theo dõi hiệu suất của tường lửa cũng như sự xuất hiện của tất cả các
sự kiện liên quan đến an ninh và các mục đăng nhập. Chính sách này có xu
hướng để giải quyết các lớp cấu hình tường lửa tĩnh.
Chính sách giám sát / ghi nhận cũng nên xác định cách các thông tin phải được
thu thập, duy trì, và báo cáo. Trong nhiều trường hợp, thông tin này có thể được
sử dụng để xác định các yêu cầu quản lý của bên thứ ba và các ứng dụng theo dõi
như CiscoWorks, NetIQ Security Manager, hoặc Kiwi Syslog Daemon.
 Chứng thực người dùng
Là quá trình thiết lập tính hợp lệ của người dùng trước khi truy cập thông
tin trong hệ thống. Loại chứng thực thường được sử dụng nhiều nhất đó là User
name / Password. Kiểu chứng thực này username/password được giữ nguyên
dạng chuyển đến Server.

Hình 1-2 Chứng thực bằng user và password
Tuy nhiên giải pháp này xuất hiện vấn đề đó là dễ bị đánh cắp user name và
password trong khi chuyển lên server. Để khắc phục vấn đề này ta phải đặt mật
khẩu dài tối thiểu là tám kí tự, bao gồm chữ cái, số, biểu tượng, không nên đặt
cùng password ở nhiều nơi…
b) Công nghệ và kỹ thuật bảo mật
 Bảo mật bằng Firewall


15


Là một hàng rào giữa hai mạng máy tính, nó bảo vệ mạng này tránh khỏi sự
xâm nhập từ mạng kia, đối với những doang nghiệp cỡ vừa là lớn thì việc sử
dụng firewall là rất cần thiết, chức năng chính là kiểm soát luồng thông tin giữa
mạng cần bảo vệ và Internet thông qua các chính sách truy cập đã được thiết lập.
Firewall có thể là phần cứng, phần mềm hoặc cả hai. Tất cả đều có chung
một thuộc tính là cho phép xử lý dựa trên địa chỉ nguồn, bên cạnh đó nó còn có
các tính năng như dự phòng trong trường hợp xảy ra lỗi hệ thống.

Hình 1-3 Mô hình tổng quát firewall
Do đó việc lựa chọn firewall thích hợp cho một hệ thống không phải là dễ
dàng. Các firewall đều phụ thuộc trên một môi trường, cấu hình mạng, ứng dụng
cụ thể. Khi xem xét lựa chọn một firewall cần tập trung tìm hiểu tập các chức
năng của firewall như tính năng lọc địa chỉ, gói tin..
 Bảo mật bằng VPN
VPN là một mạng riêng ảo được kết nối thông qua mạng công cộng cung
cấp cơ chế bảo mật trong một môi trường mạng không an toàn. Đặc điểm của
VPN là dữ liệu trong quá trình truyền được mã hóa, người sử dụng đầu xa được
chứng thực, VPN sử dụng đa giao thức như IPSec, SSL nhằm tăng thêm tính bảo
mật của hệ thống, bên cạnh đó tiết kiệm được chi phí trong việc triển khai.

16


Hình 1-4 Bảo mật bằng VPN

 Bảo mật bằng IDS

IDS (Intrusion Detection System) là hệ thống phát hiện xâm nhập, hệ thống
bảo mật bổ sung cho firewall với công nghệ cao tương đương với hệ thống
chuông báo động được cấu hình để giám sát các điểm truy cập có thể theo dõi,
phát hiện sự xâm nhập của các attacker. Có khả năng phát hiện ra các đoạn mã
độc hại hoạt động trong hệ thống mạng và có khả năng vượt qua được firewall .
Có hai dạng chính đó là network based và host based.

Hình 1-5 Hệ thống chống xâm nhập IDS
 Bảo mật ứng dụng


Hệ thống thư điện tử
Thư điện tử hay email là một hệ thống chuyển nhận thư từ qua các mạng
máy tính là một phương tiện thông tin rất nhanh. Một mẫu thông tin (thư từ) có
thể được gửi đi ở dạng mã hoá hay dạng thông thường và được chuyển qua các

17


mạng máy tính đặc biệt là mạng Internet. Nó có thể chuyển mẫu thông tin từ một
máy nguồn tới một hay rất nhiều máy nhận trong cùng lúc.
Ngày nay, email chẳng những có thể truyền gửi được chữ, nó còn có thể
truyền được các dạng thông tin khác như hình ảnh, âm thanh, phim, và đặc biệt
các phần mềm thư điện tử kiểu mới còn có thể hiển thị các email dạng sống động
tương thích với kiểu tệp HTML.

Hình 1-6 Thư điện tử
Lợi ích của thư điện tử như tốc độ di chuyển cao, chi phí rẻ và tiện lợi. Tuy
nhiên có những vấn đề về bảo mật, spam mail, sự lây lan của virus, trojan..
Web traffic: Sử dụng giao thức bảo mật SSL/TSL để mã hóa thông tin giữa

Client và Server, hoạt động tầng Transport, sử dụng mã hóa không đối xứng và
MD5, sử dụng Public Key để chứng thực và mã hóa giao dịch giữa Client và
Server và TSL bảo mật tốt hơn.
Vấn đề đặt ra là trong quá trình chứng thực cả Client và Server đều phải cần triển
khai PKI, ảnh hưởng đến Performance, việc triển khai tiềm tàng một số vấn đề:
phương thức triển khai, cấu hình hệ thống, lựa chọn phần mềm.
Web Client: Trong mô hình client/server, máy client là một máy trạm mà
chỉ được sử dụng bởi 1 người dùng với để muốn thể hiện tính độc lập cho nó.
Các điểm yếu của Client như JavaScript, ActiveX, Cookies, Applets.

18


Web Server: Server cung cấp và điều khiển các tiến trình truy cập vào tài
nguyên của hệ thống. Vai trò của server như là một nhà cung cấp dịch vụ cho các
clients yêu cầu tới khi cần, các dịch vụ như cơ sở dữ liệu, in ấn, truyền file, hệ
thống... Các lỗi thường xảy ra trong WEB Server: lỗi tràn bộ đệm, CGI/ Server
Script và HTTP, HTTPS.
1.4 Tổng quan về mạng không dây
1.4.1 Một số đặc điểm của mạng không dây
 Mạng không dây là gì ?
Mạng LAN không dây viết tắt là WLAN (Wireless Local Area Network)
hay WIFI (Wireless Fidelity), là một mạng dùng để kết nối hai hay nhiều máy
tính với nhau mà không sử dụng dây dẫn. WLAN dùng công nghệ trải phổ, sử
dụng sóng vô tuyến cho phép truyền thông giữa các thiết bị trong một vùng nào
đó gọi là Basic Service Set.
Đây là một giải pháp có rất nhiều ưu điểm so với kết nối mạng có dây
(wireline) truyền thống. Người dùng vẫn duy trì kết nối với mạng khi di chuyển
trong vùng phủ sóng.
 Lịch sử hình thành và phát triển

Năm 1990, công nghệ WLAN lần đầu tiên xuất hiện, khi những nhà sản
xuất giới thiệu những sản phẩm hoạt động ở băng tần 900 Mhz. Các giải pháp
này (không có sự thống nhất của các nhà sản xuất) cung cấp tốc độ truyền dữ liệu
1Mbs, thấp hơn rất nhiều so với tốc độ 10 Mbs của hầu hết các mạng sử dụng cáp
lúc đó.
Năm 1992, các nhà sản xuất bắt đầu bán những sản phẩm WLAN sử dụng
băng tần 2.4GHz. Mặc dù những sản phẩm này có tốc độ truyền cao hơn nhưng
chúng vẫn chỉ là những giải pháp riêng của mỗi nhà sản xuất và không được
công bố rộng rãi. Sự cần thiết cho việc thống nhất hoạt động giữa các thiết bị ở
những dãy tần số khác nhau dẫn đến một số tổ chức bắt đầu phát triển ra những
chuẩn mạng không dây.
19


Năm 1997, IEEE (Institute of Electrical and Electronics Engineers) đã
thông qua sự ra đời của chuẩn 802.11, và được biết đến với tên WIFI (Wireless
Fidelity) cho các mạng WLAN.
Năm 1999, IEEE thông qua sự bổ sung cho chuẩn 802.11 là chuẩn
802.11a và 802.11b (định nghĩa ra những phương pháp truyền tín hiệu). Và các
thiết bị WLAN dựa trên chuẩn 802.11b đã nhanh chóng trở thành công nghệ
không dây nổi trội.
Năm 2003, IEEE công bố thêm sự cải tiến là chuẩn 802.11g, chuẩn này cố
gắng tích hợp tốt nhất các chuẩn 802.11a, 802.11b và 802.11g. Sử dụng băng tần
2.4Ghz cho phạm vi phủ sóng lớn hơn.
Năm 2009, IEEE cuối cùng cũng thông qua chuẩn WIFI thế hệ mới
802.11n sau 6 năm thử nghiệm. Chuẩn 802.11n có khả năng truyền dữ liệu ở tốc
độ 300Mbps hay thậm chí cao hơn.
 Ưu điểm của WLAN
 Sự tiện lợi: Mạng không dây cung cấp giải pháp cho phép người sử
dụng truy cập tài nguyên trên mạng ở bất kì nơi đâu trong khu vực

WLAN được triển khai (khách sạn, trường học, thư viện…). Với sự
bùng nổ của máy tính xách tay và các thiết bị di động hỗ trợ wifi như
hiện nay, điều đó thật sự rất tiện lợi.
 Khả năng di động: Với sự phát triển vô cùng mạnh mẽ của viễn thông
di động, người sử dụng có thể truy cập internet ở bất cứ đâu. Như:
Quán café, thư viện, trường học và thậm chí là ở các công viên hay vỉa
hè. Người sử dụng đều có thể truy cập internet miễn phí.
 Tính hiệu quả: Người sử dụng có thể duy trì kết nối mạng khi họ di
chuyển từ nơi này tới nơi khác.
 Triển khai: Rất dễ dàng cho việc triển khai mạng không dây, chúng ta
chỉ cần một đường truyền ADSL và một AP là được một mạng WLAN
đơn giản. Với việc sử dụng cáp, sẽ rất tốn kém và khó khăn trong việc
triển khai ở nhiều nơi trong tòa nhà.

20


 Khả năng mở rộng: Mở rộng dễ dàng và có thể đáp ứng tức thì khi có
sự gia tăng lớn về số lượng người truy cập.
 Nhược điểm
Bên cạnh những thuận lợi mà mạng không dây mang lại cho chúng ta thì
nó cũng mắc phải những nhược điểm. Đây là sự hạn chế của các công nghệ nói
chung.
 Khả năng bảo mật: Đây có thể nói là nhược điểm lớn nhất của mạng
WLAN, bởi vì phương tiện truyền tín hiệu là song và môi trường
truyền tín hiệu là không khí nên khả năng một mạng không dây bị tấn
công là rất lớn.
 Phạm vi phủ sóng: Như ta đã biết chuẩn IEEE 802.11n mới nhất hiện
nay cũng chỉ có thể hoạt động ở phạm vi tối đa là 150m, nên mạng
không dây chỉ phù hợp cho một không gian hẹp.

 Độ tin cậy: Do phương tiện truyền tín hiệu là sóng vô tuyến nên việc bị
nhiễu, suy giảm…là điều không thể tránh khỏi. Điều này gây ảnh
hưởng đến hiệu quả hoạt động của mạng.
 Tốc độ: Tốc độ cao nhất hiện nay của WLAN có thể lên đến 600Mbps
nhưng vẫn chậm hơn rất nhiều so với các mạng cáp thông thường (có
thể lên đến hàng Gbps).
1.4.2 Cơ sở hạ tầng mạng WLAN
 Cấu trúc cơ bản của WLAN
Cấu trúc cơ bản của WLAN gồm 4 thành phần cơ bản: Distribution
system, Access point, Wireless medium, Station.
Distribution system(hệ thống phân phối): Đây là một thành phần logic sử
dụng để điều phối thông tin đến các station đích.Chuẩn 802.11 không đặc tả
chính xác kỹ thuật cho DS.
Access Point: chức năng chính chủa AP là mở rộng mạng. Nó có khả năng
chuyển đổi các frame dữ liệu trong 802.11 thành các frame thông dụng để có thể
sử dụng trong mạng khác.

21


Wireless Medium(tầng liên lạc vô tuyến): Chuẩn 802.11 sử dụng tần liên
lạc vô tuyến để chuyển đổi các frame dữ liệu giữa các máy trạm với nhau.
Station(các máy trạm): Đây là các thiết bị ngoại vi có hỗ trợ kết nối vô
tuyến như: laptop, PDA, Palm…

Hình 1-7 Cấu trúc cơ bản của WLAN
 Thiết bị dành cho WLAN
 Wireless Access Point(AP): Là thiết bị có nhiệm vụ cung cấp cho các
client một điểm truy cập vào mạng.


Hình 1-8 Thiết bị Wireless Access Point
 Các chế độ hoạt động của AP: Access Ponit có 3 chế độ hoạt động
chính, đó là:

22


Chế độ gốc(Root mode): Root mode được sử dụng khi AP kết nối với
mạng backbone có dây thông qua giao diện có dây (thường là Ethernet) của nó.
Hầu hết các AP đều hoạt động ở chế độ mặc định là root mode.

Hình 1-9 AP hoạt động ở Root Mode
Chế độ cầu nối(bridge mode): Trong bridge mode, AP hoạt động hoàn
toàn như cầu mối không dây. Với chế độ này, máy khách (client) sẽ không kết
nối trực tiếp với AP, nhưng thay vào đó, AP dùng để nối hai hay nhiều đoạn
mạng có dây lại với nhau. Hiện nay, hầu hết các thiết bị AP đều hỗ trợ chế độ
bridge.

Hình 1-10 Chế độ cầu nối
Chế độ lặp (Repeater mode): Ở chế độ Repeater, sẽ có ít nhất hai thiết bị
AP, một root AP và một AP hoạt động như một Repeater không dây. AP trong

23


Repeater mode hoạt động như một máy khách khi kết nối với root AP và hoạt
động như một AP khi kết nối với máy khách.

Hình 1-11 Chế độ lặp
 Wireless Router

Ngày nay, với sự tiến bộ của công nghệ và kỹ thuật, sự ra đời của thiết bị
đa năng Wireless Router với sự kết hợp chức năng cửa ba thiết bị là Wireless
Accesspoint, Ethernet Switch và Router.

Hình 1-12 Wireless Router

24


 Wireless NICs: Là thiết bị được client dung để kết nối vào AP.

Hình 1-13 Wireless NICs
 Mô hình mạng WLAN
 Mô hình mạng độc lập(Ad-hoc)
Mạng IBSSs (Independent Basic Service Set) hay còn gọi là mạng ad-hoc,
trong mô hình mạng ad-hoc các client liên lạc trực tiếp với nhau mà không cần
thông qua AP nhưng phải ở trong phạm vi cho phép. Mô hình mạng nhỏ nhất
trong chuẩn 802.11 là 2 máy client liên lạc trực tiếp với nhau. Thông thường mô
hình này được thiết lập bao gồm một số client được cài đặt dùng chung mục đích
cụ thể trong khoảng thời gian ngắn .Khi mà sự liên lạc kết thúc thì mô hình IBSS
này cũng được giải phóng.

Hình 1-14 Mô hình mạng Ad-hoc

 Mô hình mạng cơ sở(BSSs)
25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×