LỜI CAM ĐOAN

Sau quá trình học tập tại trường Đại học công nghệ thông tin và truyền thông
Thái Nguyên, có sự kết hợp, vận dụng giữa lý thuyết và thực tế, em đã tìm hiểu
nghiên cứu và tập hợp các tài liệu để hoàn thành đồ án tốt nghiệp của mình.
Em xin cam đoan đồ án tốt nghiệp này là công trình do chính sức lực bản
thân em tự tìm hiểu, nghiên cứu và hoàn thành dưới sự hướng dẫn của thầy giáo
ThS. Trần Duy Minh. Em xin cam đoan đồ án này chưa từng được sử dụng để bảo
vệ ở bất cứ học vị nào.

Thái Nguyên, ngày...... tháng 06 năm
2016
Sinh viên

Lò Văn Long

1


LỜI CẢM ƠN
Lời đầu tiên, Em xin chân thành cảm ơn Trường Đại Học Công Nghệ
Thông Tin và Truyền Thông, Đại Học Thái Nguyên đã tạo điều kiện thuận lợi cho
phép em thực hiện đồ án Tốt nghiệp.
Đặc biệt, Em xin chân thành cảm ơn tới thầy ThS. Trần Duy Minh đã rất tận
tình hướng dẫn, chỉ bảo em trong suốt thời gian thực hiện đề tài vừa qua.
Em cũng xin chân thành cảm ơn tất cả các thầy, các cô trong bộ môn Mạng
và Truyền Thông và khoa Công nghệ thông tin đã luôn nhiệt tình nhắc nhở, đốc
thúc em làm việc chăm chỉ, thầy chỉ bảo và gửi em nhiều bài báo cáo để em tham
khảo và hoàn thành đề tài. Thầy đã có những góp ý về cả nội dung và trình bày để
em có thẻ hoàn thành báo cáo một cash tốt nhất.
Mặc dù em đã cố gắng, nhưng với trình độ còn hạn chế, trong quá trình làm

đề tài không tránh khỏi những thiếu sót. Em hy vọng sẽ nhận được những ý kiến
nhận xét, góp ý của các thầy cô giáo và bạn bè về những vấn đề được triển khai
trong đề tài.
Em xin chân thành cảm ơn !
Thái Nguyên, ngày...... tháng 06 năm
2016
Sinh viên

2


Lò Văn Long

MỤC LỤC
LỜI CAM ĐOAN 1
LỜI CẢM ƠN
MỤC LỤC

2

3

DANH MỤC HÌNH VẼ

5

DANH MỤC TỪ VIẾT TẮT

7


CHƯƠNG I. TỔNG QUAN VỀ ĐỀ TÀI 9
1.1. Tính cấp thiết của đề tài

9

1.2. Mục tiêu của đề tài 10
1.3. Đối tượng phần mềm nghiên cứu 10
1.4. Nội dung nghiên cứu đề tài 10
1.5. Bố cục luận văn

11

1.6. Các công trình nghiên cứu liên quan
CHƯƠNG II: CƠ SỞ LÝ THUYẾT

12

13

2.1. Tổng quan về vấn đề an ninh an toàn mạng máy tính.
2.1.1 Đe doạ an ninh từ đâu

13

2.1.2. Các giải pháp cơ bản đảm bảo an ninh.
2.2. Vấn đề bảo mật trong mạng máy tính.
3

16


15

13


2.2.1. Các vấn đề chung về bảo mật hệ thống và mạng.

16

2.2.2. Một số khái niệm và lịch sử bảo mật hệ thống.

17

2.2.3. Các loại lỗ hổng bảo mật và phương thức tấn công mạng chủ yếu.18
2.3. Tổng quan về hệ thống phát hiện xâm nhập
2.3.1. Lịch sử phát triển

22

2.3.2. Kiến trúc hệ thống của IDS/IPS
2.3.3. Phân loại IDS/IPS

22

23

28

CHƯƠNG III: KHẢO SÁT, ĐÁNH GIÁ HIỆN TRẠNG VÀ ĐÈ XUẤT GIẢI
PHÁP PHÁT HIỆN XÂM NHẬP CHO HỆ THỐNG MẠNG TẠI TRƯỜNG PHỔ

THÔNG DÂN TỘC NỘI TRÚ HUYỆN TUẦN GIÁO 33
3.1 Khảo sát thực tế

33

3.1.1 Giới thiệu về trường Phổ thông Dân tộc Nội trú huyện Tuần Giáo 33
3.1.2 Tình hình tổ chức trường Phổ thông Dân tộc Nội trú huyện Tuần Giáo
34
3.1.3 Cơ sở hạ tầng của Phổ thông Dân tộc Nội trú huyện Tuần Giáo

36

3.1.4 Khảo sát mô hình mạng của Phổ thông Dân tộc Nội trú huyện Tuần Giáo
37
3.2 Đặt vấn đề, đánh giá hiện trạng

41

3.3. Lựa chọn giải pháp và xây dựng quy trình phát hiện xâm nhập cho trường
Phổ thông Dân tộc Nội trú huyện Tuần Giáo – Điện Biên
3.3.1. Lựa chọn giải pháp

42

42

3.3.2. Thiết kế hệ thống mạng sử dụng IDS Snort 45
3.3.3. Thiết lập các luật trên Snort

47


CHƯƠNG IV: XÂY DỰNG VÀ CÀI ĐẶT CHƯƠNG TRÌNH MÔ PHỎNG
48
4.1. Mô hình triển khai

48

4.2. Xây dựng demo sử dụng IDS Snort cho hệ thống mạng trường Phổ thông
Dân tộc Nội trú huyện Tuần Giáo

49
4


4.2.1. Giám sát các thiết bị trong hệ thống mạng

49

4.2.2. Phát hiện attack gửi các gói tin đến server

53

4.2.3. Scan port 55
4.2.4. Phát hiện tấn công từ chối dịch vụ
KẾT LUẬN 58
1. Kết quả đạt được

59

2. Hướng phát triển của đề tài


60

TÀI LIỆU THAM KHẢO 61

5

56


DANH MỤC HÌNH VẼ

Hình 2.1 Hoạt động của hệ thống IDS/IPS

23

Hình 2.2 Cơ sở hạ tầng hệ thống IDS/IPS24
Hình 2.3 Hệ thống mẫu phát hiện xâm nhập

25

Hình 2.4 Thành phần của kiến trúc IDS 26
Hình 2.5 Các tác nhân tự trị cho việc phát hiện xâm nhập

28

Hình 2.6 Phân loại IDS/IPS29
Hình 2.7 Mô hình vị trí của HIDS/IPS trong hệ thống mạng

30


Hình 2.8 Mô hình vị trí NIDS/IPS trong một hệ thống mạng

31

Hình 3.1. Sơ đồ tổ chức của trường Phổ thông Dân tộc Nội trú huyện Tuần Giáo
35
Hình 3.2. Sơ đồ mặt bằng tầng 1 của nhà hiệu hộ

36

Hình 3.3. Sơ đồ mặt bằng tầng 2 của nhà hiệu hộ

36

Hình 3.4. Sơ đồ mặt bằng tầng 3 của nhà hiệu hộ

37

Hình 3.5: Sơ đồ logic hệ thống mạng trường PTDTNT huyện Tuần Giáo

37

Hình 3.6: Sơ đồ vật lý tầng 1 nhà hiệu bộ 38
Hình 3.7: Sơ đồ vật lý tầng 2 nhà hiệu bộ 38
Hình 3.8: Sơ đồ vật lý tầng 3 nhà hiệu bộ 39
Hình 3.9: Netfilter/iptables 44
Hình 3.10: Sơ đồ logic sử dụng IDS Snort áp dụng cho hệ thống mạng
trường Phổ thông Dân tộc Nội trú huyện Tuần Giáo
Hình 3.11: Sơ đồ vật lý tầng 1 nhà hiệu bộ


46

Hình 3.12: Sơ đồ vật lý tầng 2 nhà hiệu bộ

46

Hình 3.13: Sơ đồ vật lý tầng 3 nhà hiệu bộ

47

45

45

Hình 4.1: Mô hình mạng tổng quan sử dụng IDS Snort trong hệ thống mạng trường
6


PTDTNT huyện Tuần Giáo 48
Hình 4.2: Màn hình Cacti được tích hợp các tính năng theo dõi

49

Hình 4.3: Theo dõi hoạt động của Switch Cisco bằng giao diện

50

Hình 4.4: Theo dõi trạng thái các thiết bị 50
Hình 4.5: Các cảnh báo chi tiết trên Snort giao diện Web


51

Hình 4.6: Một số dịch vụ chạy trên 1 host52
Hình 4.7: Theo dõi trực quan lưu lượng mạng

52

Hình 4.8: Đồ thị lưu lượng kết nối mạng 53
Hình 4.9: Từ máy hacker ping đến máy chủ

53

Hình 4.10: Các file log được ghi lại server

54

Hình 4.11: Từ máy hacker tiến hành ping đến máy server
Hình 4.12: Từ máy hacker scan đến máy chủ

55

Hình 4.13: Các file log được ghi lại tại server

55

54

Hình 4.14: Máy hacker gửi các gói tin làm nghẽn hệ thống mạng.
Hình 4.15: Các file log được ghi lại server


7

57

56


DANH MỤC TỪ VIẾT TẮT
IDS

Intrusion Detection System

NIDS

Network-base Intrusion Detection System

HIDS

Host-base Intrusion Detection System

TCP

Transmission Control Protocol

UDP

User Datagram Protocol

DIDS


Distributed Intrusion Detection System

TTL

Time To Live

DOS

Deny of service

DDOS

Distribute deny of service

ICMP

Internet Control Message Protocol

RFC

Request for comment

PKI

Public Key Infrastructure

SDM

Security Device Manager


PIN

Pesonal Identification Number

SSL

Secure Sockets Layer

SMTP

Simple Mail Transfer Protocol
8


DNS

Domain Name System

SSH

Secure Shell

ACL

Access Control Lists

LỜI NÓI ĐẦU
Với sự phát triển nhanh chóng của mạng internet và đặt biệt là các công nghệ
mạng, kèm theo đó là vấn đề bảo vệ các tài nguyên thông tin trên mạng, tránh sự

mất mát, xâm phạm là việc cần thiết và cấp bách. Bảo mật mạng có thể hiểu là
cách bảo vệ, đảm bảo an toàn cho các thành phần mạng bao gồm dữ liệu, thiết bị,
cơ sở hạ tầng mạng và đảm bảo mọi tài nguyên trên mạng tránh được việc đánh
cắp thông tin, đồng thời tăng tính bảo mật thông tin cho mạng được cao hơn.
Vấn đề bảo mật, an toàn cho hệ thống mạng cần phải được đặt lên hàng đầu
trước khi đi xây dựng một hệ thống mạng cho người sử dụng. Vậy nên việc sử
dụng các thiết bị tường lửa trong các hệ thống mạng để đảm bảo an ninh, an toàn
mạng là rất cần thiết. Nhằm ngăn chặn các kết nối không mong muốn, giảm nguy
cơ mất kiểm soát hệ thống hoặc bị tấn công và lây nhiễm các chương trình và mã
độc hại.
Trong bài báo cáo này em xin được trình bày về vấn đề: Thiết kế và mô
9


phỏng hệ thống phát hiện xâm nhập cho trường Phổ thông Dân tộc Nội trú
huyện Tuần Giáo. Dù đã cố gắng rất nhiều trong quá trình tìm hiểu và viết báo
cáo, nhưng chắc chắn không thể tránh khỏi những sai lầm và thiếu sót. Em rất
mong nhận được những ý kiến đóng góp và chỉ bảo thêm của các thầy, cô giáo
giúp em hoàn thiện bài hơn.

10


CHƯƠNG I. TỔNG QUAN VỀ ĐỀ TÀI
 Tính cấp thiết của đề tài
Vào các thập niên 1960, 1980 và đến thập niên 1990, thuật ngữ mạng diện
rộng được phổ biến rộng rãi khởi đầu từ Bộ quốc phòng Hoa Kỳ sau đó thuật ngữ
mạng diện rộng - còn được gọi là WAN được biết đến rộng rãi trên toàn thế giới,
WAN được định nghĩa đơn giản bao gồm sự kết nối của các máy tính đơn lẻ trên
toàn thế giới dựa trên một giao thức kết nối được gọi là TCP/IP.

Ngày nay, mạng máy tính phát triển với tốc độ rất lớn và phạm vi của nó
không chỉ dừng lại ở đó mà tới thời điểm hiện nay việc cạn kiệt nguồn tài nguyên
địa chỉ mạng phiên bản 4 - địa chỉ IP là một bằng chứng cho thấy tốc độ phát triển
của mạng máy tính nhanh chóng và trở thành một môi trường tốt phục vụ cho các
hoạt động phát triển của nhân loại, song song với điều đó là sự phát triển mạnh mẽ
của khoa học công nghệ và hệ thống các tri thức liên quan đến mạng máy tính, các
thiết bị thông minh đã và đang ngày càng góp thêm phần phát triển mạnh mẽ và
vượt trội của hệ thống mạng trên toàn thế giới. Do vậy hệ thống mạng máy tính là
một phần tất yếu và vô cùng quan trọng của một quốc gia, một doanh nghiệp hay
đơn giản chỉ là một hộ gia đình nhỏ, chúng góp phần vào việc tạo nên những thành
công đặc biệt đối với hệ thống mạng quốc gia và hệ thống mạng của các doanh
nghiệp vì phần lớn các công việc ngày nay từ giao dịch đến trao đổi thông tin đều
dựa trên hệ thống mạng máy tính.
Sự phát triển mạnh của hệ thống mạng máy tính cũng là một vùng đất có
nhiều thuận lợi cho việc theo dõi và đánh cắp thông tin của các nhóm tội phạm tin
học, việc xâm nhập bất hợp pháp và đánh cắp thông tin của các doanh nghiệp đang
đặt ra cho thế giới vấn đề làm thế nào để có thể bảo mật được thông tin của doanh
nghiệp mình. Bảo mật thông tin hay an toàn an ninh mạng là những yếu tố được
11


quan tâm hàng đầu trong các doanh nghiệp. Đã có những doanh nghiệp thực hiện
việc thuê một đối tác thứ 3 với việc chuyên bảo mật hệ thống mạng và bảo mật
thông tin cho đơn vị mình, cũng có những doanh nghiệp đưa ra các kế hoạch tính
toán chi phí cho việc mua sản phẩm phần mềm để nhằm đáp ứng việc bảo mật của
đơn vị mình. Tuy nhiên đối với những giải pháp đó các doanh nghiệp đều phải
thực hiện cân đối về chính sách tài chính hằng năm với mục đích làm sao cho giải
pháp an toàn thông tin là tối ưu và có được chi phí rẻ nhất và đảm bảo thông tin
trao đổi được an toàn, bảo vệ thông tin của đơn vị mình trước những tấn công của
tội phạm công nghệ từ bên ngoài do vậy mà đề tài xây dựng hệ thống giám sát

mạng dựa trên mã nguồn mở được phát triển giúp được phần nào yêu cầu của các
doanh nghiệp về an toàn thông tin và bảo mật hệ thống mạng.
 Mục tiêu của đề tài
Đề tài được thực hiện nhằm mục đích:
Khảo sát các lỗ hổng bảo mật thông tin, các nguy cơ có thể mất an toàn
thông tin và các nguy cơ hệ thống mạng bị xâm nhập, tấn công.
Đề xuất giải pháp để giám sát hệ thống mạng bao gồm: phát hiện xâm
nhập, theo dõi các hoạt động của các thiết bị mạng như Router, Switch, Server ...
và một số dịch vụ mạng được sử dụng.
 Đối tượng phần mềm nghiên cứu
Đối tượng nghiên cứu trong bài đồ án là các chương trình phần mềm mã
nguồn mở bao gồm:
+ Các chương trình phần mềm mở phát hiện xâm nhập.
+ Các chương trình phần mềm mở phòng chống xâm nhập.

12


+ Các chương trình phần mềm mở giám sát lưu lượng của hệ thống mạng.
+ Các chương trình phần mềm mở giám sát thiết bị mạng và các dịch vụ mạng.
 Nội dung nghiên cứu đề tài
Đề tài tập trung nghiên cứu các vấn đề liên quan đến phát hiện xâm nhập trái
phép và giám sát lưu lượng mạng bao gồm;

+ Nghiên cứu các khả năng tấn công mạng.
+ Nghiên cứu các khả năng phát hiện xâm nhập trái phép hệ thống mạng.
+ Nghiên cứu các khả năng phòng chống một số các phương thức tấn công mạng.
+ Nghiên cứu các khả năng giám sát hoạt động các thiết bị mạng và dịch vụ
mạng trong toàn hệ thống mạng.
Từ những vấn đề nêu trên đề xuất mô hình giám sát các hoạt động của các

thiết bị mạng, phát hiện và phòng chống xâm nhập được tích hợp từ các chương
trình mã nguồn mở.
Tiến hành xây dựng mô phỏng việc cài đặt giải pháp giám sát hoạt động của
các thiết bị mạng, dịch vụ mạng và phát hiện, phòng chống xâm nhập trái phép dựa
trên cơ sở các chương trình mã nguồn mở.
Trong phần nội dung của bài đồ án tốt nghiệp này, em tập trung nghiên cứu
các chương trình phần mềm được cung cấp bằng mã nguồn mở để dựa vào các
phần mềm này em xây dựng giải pháp tổng thể việc theo dõi giám sát hệ thống

13


mạng, các dịch vụ mạng và các dấu hiệu bất thường trong hệ thống mạng nhằm
cung cấp cho người quản trị hệ thống mạng có cái nhìn tổng quan về phát hiện và
phòng chống xâm nhập mạng trái phép. Cụ thể, em đề xuất sử dụng chương trình
mã nguồn mở được cung cấp rộng rãi là Snort để thực nghiệm giải pháp. Tạo ra
một hệ thống giám sát mạng có khả năng phát hiện và cảnh báo những động thái
xâm nhập mạng trái phép, phòng chống tấn công mạng, giám sát hoạt động của các
thiết bị mạng trong đó có lưu lượng sử dụng trên thiết bị các thành phần phần cứng
trong thiết bị, các dịch vụ được sử dụng trong hệ thống mạng.
 Bố cục đồ án
Phần bố cục của luận văn được trình bày thành 4 chương.
Chương 1: Phần mở đầu. Khái quát chung về tính cấp thiết, mục tiêu của đề
tài, các đối tượng và nội dung phần mềm nghiên cứu.
Chương 2: Cở sở lý thuyết. Giới thiệu bao quát về vấn đề bảo mật mạng và
các vấn đề liên quan đến tấn công xâm nhập hệ thống mạng.
Chương 3: Khảo sát, đánh giá hiện trạng và đề xuất giải pháp phát hiện xâm
nhập hệ thống mạng tại trường phổ thông dân tộc nội trú huyện tuần giáo. Đánh
giá hiện trạng hệ thống mạng đang sử dụng, các trang thiết bị, cơ sở hạ tầng mạng
và đưa ra giải pháp giúp hệ thống mạng bảo mật tốt hơn, phát hiện các hành vi tấn

công mạng nhằm gây tắc nghẽn thông tin trên hệ thống mạng của trường phổ thông
dân tộc nội trú huyện tuần giáo.
Chương 4: Trong chương này em tập trung phát triển ứng dụng giám sát hệ
thống mạng bằng các chương trình mã nguồn mở, đề xuất mô hình mạng và cài đặt
mô phỏng dùng các chương trình mã nguồn mở đã nêu trong đề tài.

14


Đánh giá những mặt đạt được, kết luận và hướng phát triển thêm của đề tài.
 Các công trình nghiên cứu liên quan
 Báo cáo luận văn thạc sĩ kỹ thuật máy tính đề tài “Xây dựng hệ thống hỗ
trợ
giám sát mạng” tác giả Nguyễn Đăng Bảo Phúc - Đại học Đà Nẵng tháng
3/2012. Nội dung của luận văn tác giả hướng dẫn cách cài đặt và cấu hình chương
trình mã nguồn mở Nagios để theo dõi giám sát một hệ thống mạng kết hợp
Gammu để gửi tin nhắn đến quản trị mạng.
 Báo cáo tốt nghiệp kỹ sư đề tài “Nghiên cứu hệ thống giám sát quản trị
mạng trên nền tảng mã nguồn mở Nagios” bài đăng trên website
năm 2008. Nội dung của bài khóa luận tác giả cũng
tập trung vào việc hướng dẫn cài đặt và cấu hình chương trình theo dõi giám sát hệ
thống mạng dựa trên Nagios.
 Báo cáo nghiên cứu khoa học đề tài “Xây dựng hệ thống giám sát mạng
dựa trên mã nguồn mở” tác giả nhóm sinh viên Khoa Công nghệ thông tin Đại học
Đà Lạt năm 2010. Nội dung báo cáo là những tìm hiểu ban đầu về cách thức hoạt
động của chương trình Nagios và hướng dẫn cài đặt.
Báo cáo tốt nghiệp kỹ sư đề tài “ Nghiên cứu triển khai hệ thống giám sát
quản trị mạng trên nền tảng mã nguồn mở Nagios” tháng 5/2009 của tác giả
Phạm Hồng Khai, ngành Công nghệ thông tin Đại học Quốc gia Hà Nội. Nội
dung đề tài tác giả tập trung nghiên cứu mô hình giám sát mạng dựa trên

15


Nagios, khai thác các tính ưu việt của chương trình để cài đặt và đưa vào giám
sát hệ thống mạng và áp dụng Snort vào hệ thống.

CHƯƠNG II: CƠ SỞ LÝ THUYẾT

2.1. Tổng quan về vấn đề an ninh an toàn mạng máy tính.
2.1.1 Đe doạ an ninh từ đâu
Trong xã hội, cái thiện và cái ác luôn song song tồn tại như hai mặt không
tách rời, chúng luôn phủ định nhau. Có biết bao nhiêu người muốn hướng tới cái
chân thiện, cái tốt đẹp, thì cũng có không ít kẻ vì mục đích này hay mục đích khác
lại làm cho cái ác nảy sinh, lấn lướt cái thiện. Sự giằng co giữa cái thiện và cái ác
ấy luôn là vấn đề bức xúc của xã hội, cần phải loại trừ cái ác, thế nhưng cái ác lại
luôn nảy sinh theo thời gian. Mạng máy tính cũng vậy, có những người phải mất
biết bao nhiêu công sức nghiên cứu ra các biện pháp bảo vệ cho an ninh của tổ
chức mình, thì cũng lại có kẻ tìm mọi cách phá vỡ lớp bảo vệ đó với nhiều ý đồ
khác nhau.
Mục đích của người lương thiện là luôn muốn tạo ra các khả năng bảo vệ an
ninh cho tổ chức rất rõ ràng. Ngược lại, ý đồ của kẻ xấu lại ở nhiều góc độ, cung
bậc khác nhau. Có kẻ muốn phá vỡ lớp vỏ an ninh để chứng tỏ khả năng của mình,
để thoả mãn thói hư ích kỷ. Loại người này thường làm hại người khác bằng cách
phá hoại các tài nguyên trên mạng, xâm phạm quyền riêng tư hoặc bôi nhọ danh dự
của họ. Nguy hiểm hơn, có những kẻ lại muốn đoạt không các nguồn lợi của người
khác như việc lấy cắp các thông tin mật của các công ty, đột nhập vào ngân hàng
để chuyển trộm tiền... Bởi trên thực tế, hầu hết các tổ chức công ty tham gia vào

16



mạng máy tính toàn cầu đều có một lượng lớn các thông tin kết nối trực tuyến.
Trong lượng lớn các thông tin ấy, có các thông tin bí mật như: các bí mật thương
mại, các kế hoạch phát triển sản phẩm, chiến lược maketing, phân tích tài chính...
hay các thông tin về nhân sự, bí mật riêng tư... Các thông tin này hết sức quan
trọng, việc để lộ ra các thông tin cho các đối thủ cạnh tranh sẽ dẫn đến một hậu
quả hết sức nghiêm trọng.
Tuy nhiên, không phải bất cứ khi nào muốn những kẻ xấu cũng có thể thực
hiện được mục đích của mình. Chúng cần phải có thời gian, những sơ hở, yếu kém
của chính những hệ thống bảo vệ an ninh mạng. Và để thực hiện được điều đó,
chúng cũng phải có trí tuệ thông minh cộng với cả một chuỗi dài kinh nghiệm.
Còn để xây dựng được các biện pháp đảm bảo an ninh, đòi hỏi ở người xây
dựng cũng không kém về trí tuệ và kinh nghiệm thực tiễn. Như thế, cả hai mặt tích
cực và tiêu cực ấy đều được thực hiện bởi bàn tay khối óc của con người, không có
máy móc nào có thể thay thế được. Vậy, vấn đề an ninh an toàn mạng máy tính
hoàn toàn mang tính con người.
Ban đầu, những trò phá hoại chỉ mang tính chất là trò chơi của những người
có trí tuệ không nhằm mục đích vụ lợi, xấu xa. Tuy nhiên, khi mạng máy tính trở
nên phổ dụng, có sự kết nối của nhiều tổ chức, công ty, cá nhân với nhiều thông tin
bí mật, thì những trò phá hoại ấy lại không ngừng gia tăng. Sự phá hoại ấy đã gây
ra nhiều hậu quả nghiêm trọng, nó đã trở thành một loại tội phạm. Theo số liệu
thống kê của CERT (Computer Emegency Response Team) thì số lượng các vụ tấn
công trên Internet được thông báo cho tổ chức này là ít hơn 200 vào năm 1989,
khoảng 400 vào năm 1991, 1400 năm 1993 và 2241 năm 1994. Những vụ tấn công
này nhằm vào tất cả các máy tính có mặt trên Internet, từ các máy tính của các
công ty lớn như AT & T, IBM, các trường đại học, các cơ quan nhà nước, các nhà
băng... Những con số đưa ra này, trên thực tế chỉ là phần nổi của tảng băng. Một
phần lớn các vụ tấn công không được thông báo vì nhiều lý do khác nhau, như sự
mất uy tín, hoặc chỉ đơn giản là họ không hề biết mình bị tấn công.
17



Thực tế, đe doạ an ninh không chỉ ở bên ngoài tổ chức, mà bên trong tổ
chức vấn đề cũng hết sức nghiêm trọng. Đe doạ bên trong tổ chức xẩy ra lớn hơn
bên ngoài, nguyên nhân chính là do các nhân viên có quyền truy nhập hệ thống gây
ra. Vì họ có quyền truy nhập hệ thống nên họ có thể tìm được các điểm yếu của hệ
thống, hoặc vô tình họ cũng có thể phá hủy hay tạo cơ hội cho những kẻ khác xâm
nhập hệ thống.Và nguy hiểm hơn, một khi họ là kẻ bất mãn hay phản bội thì hậu
quả không thể lường trước được.
Tóm lại, vấn đề an ninh an toàn mạng máy tính hoàn toàn là vấn đề con
người và không ngừng gia tăng, nó có thể bị đe doạ từ bên ngoài hoặc bên trong tổ
chức. Vấn đề này đã trở thành mối lo ngại lớn cho bất kì chủ thể nào tham gia vào
mạng máy tính toàn cầu. Và như vậy, để đảm bảo việc trao đổi thông tin an toàn và
an ninh cho mạng máy tính, buộc các tổ chức đó phải triển khai các biện pháp bảo
vệ đảm bảo an ninh, mà trước hết là cho chính mình.

2.1.2. Các giải pháp cơ bản đảm bảo an ninh.
Như trên ta đã thấy, an ninh an toàn mạng máy tính có thể bị đe doạ từ rất
nhiều góc độ và nguyên nhân khác nhau. Đe doạ an ninh có thể xuất phát từ bên
ngoài mạng nội bộ hoặc cũng có thể xuất phát từ ngay bên trong tổ chức. Do đó,
việc đảm bảo an ninh an toàn cho mạng máy tính cần phải có nhiều giải pháp cụ
thể khác nhau. Tuy nhiên, tổng quan nhất có ba giải pháp cơ bản sau:
 Giải pháp về phần cứng.
 Giải pháp về phần mềm.
 Giải pháp về con người.
Đây là ba giải pháp tổng quát nhất mà bất kì một nhà quản trị an ninh nào
cũng phải tính đến trong công tác đảm bảo an ninh an toàn mạng máy tính. Mỗi
giải pháp có một ưu nhược điểm riêng mà người quản trị an ninh cần phải biết
phân tích, tổng hợp và chọn lựa để tạo khả năng đảm bảo an ninh tối ưu nhất cho
18



tổ chức mình.
Giải pháp phần cứng là giải pháp sử dụng các thiết bị vật lý như các hệ
thống máy chuyên dụng, cũng có thể là các thiết lập trong mô hình mạng (thiết lập
kênh truyền riêng, mạng riêng)... Giải pháp phần cứng thông thường đi kèm với nó
là hệ thống phần mềm điều khiển tương ứng. Đây là một giải pháp không phổ biến,
vì không linh hoạt trong việc đáp ứng với các tiến bộ của các dịch vụ mới xuất
hiện, và chi phí rất cao.
Khác với giải pháp phần cứng, giải pháp về phần mềm hết sức đa dạng.
Giải pháp phần mềm có thể phụ thuộc hay không phụ thuộc vào phần cứng. Cụ thể
các giải pháp về phần mềm như: các phương pháp xác thực, các phương pháp mã
hoá, mạng riêng ảo, các hệ thống bức tường lửa,... Các phương pháp xác thực và
mã hoá đảm bảo cho thông tin truyền trên mạng một cách an toàn nhất. Vì với cách
thức làm việc của nó, thông tin thật trên đường truyền được mã hoá dưới dạng mà
những kẻ“nhòm trộm” không thể thấy được, hoặc nếu thông tin bị sửa đổi thì tại
nơi nhận sẽ có cơ chế phát hiện sự sửa đổi đó. Còn phương pháp sửdụng hệ thống
bức tường lửa lại đảm bảo an ninh ở góc độ khác. Bằng cách thiết lập các luật tại
một điểm đặc biệt (thường gọi là điểm nghẹt) giữa hệ thống mạng bên trong (mạng
cần bảo vệ) với hệ thống mạng bên ngoài (mạng được coi là không an toàn về bảo
mật - hay là Internet), hệ thống bức tường lửa hoàn toàn có thể kiểm soát các kết
nối trao đổi thông tin giữa hai mạng. Với cách thức này, hệ thống tường lửa đảm
bảo an ninh khá tốt cho hệ thống mạng cần bảo vệ. Như thế, giải pháp về phần
mềm gần như hoàn toàn gồm các chương trình máy tính, do đó chi phí cho giải
pháp này sẽ ít hơn so với giải pháp về phần cứng.
Bên cạnh hai giải pháp trên, giải pháp về chính sách con người là một giải
pháp hết sức cơ bản và không thể thiếu được. Vì như phần trên đã thấy, vấn đề an
ninh an toàn mạng máy tính hoàn toàn là vấn đề con người, do đó việc đưa ra một
hành lang pháp lý và các quy nguyên tắc làm việc cụ thể là cần thiết.
Ở đây, hành lang pháp lý có thể gồm: các điều khoản trong bộ luật của nhà

19


nước, các văn bản dưới luật,... Còn các quy định có thể do từng tổ chức đặt ra cho
phù hợp với từng đặc điểm riêng. Các quy định có thể như: quy định về nhân sự,
việc sử dụng máy, sử dụng phần mềm,... Và như vậy, sẽ hiệu quả nhất trong việc
đảm bảo an ninh an toàn cho hệ thống mạng máy tính một khi ta thực hiện triệt để
giải pháp về chính sách con người.
Tóm lại, vấn đề an ninh an toàn mạng máy tính là một vấn đề lớn, nó yêu
cầu cần phải có một giải pháp tổng thể, không chỉ phần mềm, phần cứng máy tính
mà nó đòi hỏi cả vấn đề chính sách về con người. Và vấn đề này cần phải được
thực hiện một cách thường xuyên liên tục, không bao giờ triệt để được vì nó luôn
nảy sinh theo thời gian. Tuy nhiên, bằng các giải pháp tổng thể hợp lý, đặc biệt là
giải quyết tốt vấn đề chính sách về con người ta có thể tạo ra cho mình sự an toàn
chắc chắn hơn.
2.2. Vấn đề bảo mật trong mạng máy tính.
2.2.1. Các vấn đề chung về bảo mật hệ thống và mạng.
Đặc điểm chung của một hệ thống mạng là có nhiều người sử dụng chung và
phân tán về mặt địa lý nên việc bảo vệ tài nguyên (mất mát hoặc sử dụng không hợp
lệ) phức tạp hơn nhiều so với việc môi trường một máy tính đơn lẻ, hoặc một người sử
dụng.
Hoạt động của người quản trị hệ thống mạng phải đảm bảo các thông tin
trên mạng là tin cậy và sử dụng đúng mục đích, đối tượng đồng thời đảm bảo mạng
hoạt động ổn định không bị tấn công bởi những kẻ phá hoại. Nhưng trên thực tế là
không một mạng nào đảm bảo là an toàn tuyệt đối, một hệ thống dù được bảo vệ
chắc chắn đến mức nào thì cũng có lúc bị vô hiệu hóa bởi những kẻ có ý đồ xấu.

2.2.2. Một số khái niệm và lịch sử bảo mật hệ thống.
 Đối tượng tấn công mạng (intruder)
Đối tượng là những cá nhân hoặc tổ chức sử dụng những kiến thức về mạng

20


và các công cụ phá hoại (gồm phần cứng hoặc phần mềm) để dò tìm các điểm yếu
và các lỗ hổng bảo mật trên hệ thống, thực hiện các hoạt động xâm nhập và chiếm
đoạt tài nguyên trái phép.
Một số đối tượng tấn công mạng như:
Hacker: là những kẻ xâm nhập vào mạng trái phép bằng cách sử dụng các
công cụ phá mật khẩu hoặc khai thác các điểm yếu của thành phần truy nhập trên
hệ thống
Masquerader : Là những kẻ giả mạo thông tin trên mạng như giả mạo địa
chỉ IP, tên miền, định danh người dùng…
Eavesdropping: Là những đối tượng nghe trộm thông tin trên mạng, sử
dụng các công cụ Sniffer, sau đó dùng các công cụ phân tích và debug để lấy được
các thông tin có giá trị.
Những đối tượng tấn công mạng có thể nhằm nhiều mục đích khác nhau
như ăn cắp các thông tin có giá trị về kinh tế, phá hoại hệ thống mạng có chủ định,
hoặc có thể đó là những hành động vô ý thức…
 Các lỗ hổng bảo mật
Các lỗ hổng bảo mật là những điểm yếu trên hệ thống hoặc ẩn chứa trong
một dịch vụ mà dựa vào đó kẻ tấn công có thể xâm nhập trái phép vào hệ thống để
thực hiện những hành động phá hoại chiếm đoạt tài nguyên bất hợp pháp.
Có nhiều nguyên nhân gây ra những lỗ hổng bảo mật: có thể do lỗi của bản
thân hệ thống, hoặc phần mềm cung cấp hoặc người quản trị yếu kém không hiểu
sâu về các dịch vụ cung cấp…
Mức độ ảnh hưởng của các lỗ hổng tới hệ thống là khác nhau.Có lỗ hổng
chỉ ảnh hưởng tới chất lượng dịch vụ cung cấp, có lỗ hổng ảnh hưởng tới toàn bộ
hệ thống hoặc phá hủy hệ thống.
 Chính sách bảo mật
Chính sách bảo mật là tập hợp các quy tắc áp dụng cho những người tham

gia quản trị mạng, có sử dụng các tài nguyên và các dịch vụ mạng.
21


Đối với từng trường hợp phải có chính sách bảo mật khác nhau. Chính sách
bảo mật giúp người sử dụng biết trách nhiệm của mình trong việc bảo vệ các tài
nguyên trên mạng, đồng thời còn giúp cho nhà quản trị mạng thiết lập các biên pháp
đảm bảo hữu hiệu trong quá trình trang bị, cấu hình và kiểm soát hoạt động của hệ
thống và mạng.
2.2.3. Các loại lỗ hổng bảo mật và phương thức tấn công mạng chủ yếu.
 Các loại lỗ hổng
Có nhiều các tổ chức đã tiến hành phân loại các dạng lỗ hổng đặc biệt.
Theo bộ quốc phòng Mỹ các loại lỗ hổng được phân làm ba loại như sau:
 Lỗ hổng loại C: Cho phép thực hiện các hình thức tấn công theo DoS
(Denial of Services- Từ chối dịch vụ) Mức độ nguy hiểm thấp chỉ ảnh hưởng tới
chất lượng dịch vụ, làm ngưng trệ gián đoạn hệ thống, không làm phá hỏng dữ liệu
hoặc đạt được quyền truy cập bất hợp pháp.
DoS là hình thức tấn công sử dụng các giao thức ở tầng Internet trong bộ
giao thức TCP/IP để làm hệ thống ngưng trệ dẫn đến tình trạng từ chối người sử
dụng hợp pháp truy nhập hay sử dụng hệ thống.
Các dịch vụ có lỗ hổng cho phép các cuộc tấn công DoS có thể được nâng
cấp hoặc sửa chữa bằng các phiên bản mới hơn của các nhà cung cấp dịch vụ. Hiện
nay chưa có một biện pháp hữu hiệu nào để khắc phục tình trạng tấn công kiểu này
vì bản thân thiết kế ở tầng Internet (IP) nói riêng và bộ giao thức TCP/IP nói chung
đã ẩn chứa những nguy cơ tiềm tàng của các lỗ hổng loại này.
 Lỗ hổng loại B: Cho phép người sử dụng có thêm các quyền trên hệ
thống mà không cần kiểm tra tính hợp lệ dẫn đến mất mát thông tin yêu cầu
cần bảo mật. Lỗ hổng này thường có trong các ứng dụng trên hệ thống. Có
mức độ nguy hiểm trung bình.
Lỗ hổng loại B này có mức độ nguy hiểm hơn lỗ hổng loại C. Cho phép

người sử dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập không hợp

22


pháp. Những lỗ hổng loại này thường xuất hiện trong các dịch vụ trên hệ thống.
Người sử dụng local được hiểu là người đã có quyền truy nhập vào hệ thống với
một số quyền hạn nhất định. Một dạng khác của lỗ hổng loại B xảy ra với các
chương trình viết bằng mã nguồn C. Những chương trình viết bằng mã nguồn C
thường sử dụng một vùng đệm, một vùng trong bộ nhớ sử dụng để lưu trữ dữ liệu
trước khi xử lý.
Người lập trình thường sử dụng vùng đệm trong bộ nhớ trước khi gán một
khoảng không gian bộ nhớ cho từng khối dữ liệu. Ví dụ khi viết chương trình nhập
trường tên người sử dụng quy định trường này dài 20 ký tự bằng khai báo:Char
first_name; Khai báo này cho phép người sử dụng nhập tối đa 20 ký tự. Khi nhập
dữ liệu ban đầu dữ liệu được lưu ở vùng đệm. Khi người sử dụng nhập nhiều hơn
20 ký tự sẽ tràn vùng đệm. Những ký tự nhập thừa sẽ nằm ngoài vùng đệm khiến
ta không thể kiểm soát được. Nhưng đối với những kẻ tấn công chúng có thể lợi
dụng những lỗ hổng này để nhập vào những ký tự đặc biệt để thực thi một số lệnh
đặc biệt trên hệ thống. Thông thường những lỗ hổng này được lợi dụng bởi những
người sử dụng trên hệ thống để đạt được quyền root không hợp lệ. Để hạn chế
được các lỗ hổng loại B phải kiêm soát chặt chẽ cấu hình hệ thống và các chương
trình.
 Lỗ hổng loại A: Cho phép người ngoài hệ thống có thể truy cập bất hợp
pháp vào hệ thống. Có thể làm phá huỷ toàn bộ hệ thống. Loại lỗ hổng này có mức độ
rất nguy hiểm đe dọa tính toàn vẹn và bảo mật của hệ thống. Các lỗ hổng này thường
xuất hiện ở những hệ thống quản trị yếu kém hoặc không kiểm soát được cấu hình
mạng. Ví dụ với các web server chạy trên hệ điều hành Novell các server này có một
scripst là convert.bas chạy scripst này cho phép đọc toàn bộ nội dung các file trên hệ
thống.

Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có trên phần
mềm sử dụng, người quản trị nếu không hiểu sâu về dịch vụ và phần mềm sử dụng
có thể bỏ qua điểm yếu này. Vì vậy thường xuyên phải kiểm tra các thông báo của
23


các nhóm tin về bảo mật trên mạng để phát hiện những lỗ hổng loại này. Một loạt
các chương trình phiên bản cũ thường sử dụng có những lỗ hổng loại A như: FTP,
Gopher, Telnet, Sendmail, ARP, finger...
 Các hình thức tấn công mạng phổ biến
 Scanner
Scanner là một trương trình tự động rà soát và phát hiện những điểm yếu
về bảo mật trên một trạm làm việc cục bộ hoặc một trạm ở xa.Một kẻ phá hoại
sửdụng chương trình Scanner có thể phát hiện ra những lỗ hổng về bảo mật
trên một Server dù ở xa.
Cơ chế hoạt động là rà soát và phát hiện những cổng TCP/UDP được sử
dụng trên hệ thống cần tấn công và các dịch vụ sử dụng trên hệ thống đó.Scanner
ghi lại những đáp ứng trên hệ thống từ xa tương ứng với dịch vụ mà nó phát hiện
ra. Từ đó nó có thể tìm ra điểm yếu của hệ thống.
Những yếu tố để một Scanner hoạt động như sau:
+ Yêu cầu thiết bịvà hệ thống: Môi trường có hỗ trợTCP/IP
+ Hệ thống phải kết nối vào mạng Internet.
+ Các chương trình Scanner có vai trò quan trọng trong một hệ thống bảo
mật, vì chúng có khả năng phát hiện ra những điểm yếu kém trên một hệ thống
mạng.
 Password Cracker
Là một chương trình có khả năng giải mã một mật khẩu đã được mã hoá
hoặc có thể vô hiệu hoá chức năng bảo vệ mật khẩu của một hệ thống.
Một số chương trình phá khoá có nguyên tắc hoạt động khác nhau. Một số
chương trình tạo ra danh sách các từ giới hạn, áp dụng một số thuật toán mã hoá từ

kết quả so sánh với Password đã mã hoá cần bẻ khoá để tạo ra một danh sách khác
theo một logic của chương trình.
Khi thấy phù hợp với mật khẩu đã mã hoá, kẻ phá hoại đã có được mật khẩu

24


dưới dạng text. Mật khẩu text thông thường sẽ được ghi vào một file. Biện pháp
khắc phục đối với cách thức phá hoại này là cần xây dựng một chính sách bảo vệ
mật khẩu đúng đắn.
 Sniffer
Sniffer là các công cụ (phần cứng hoặc phần mềm)”bắt ”các thông tin lưu
chuyển trên mạng và lấy các thông tin có giá trị trao đổi trên mạng.
Sniffer có thể“bắt” được các thông tin trao đổi giữa nhiều trạm làm việc với
nhau. Thực hiện bắt các gói tin từ tầng IP trở xuống. Giao thức ở tầng IP được
định nghĩa công khai, và cấu trúc các trường header rõ ràng, nên việc giải mã các
gói tin này không khó khăn.
Mục đích của các chương trình sniffer đó là thiết lập chế độ promiscuous
(mode dùng chung) trên các card mạng ethernet - nơi các gói tin trao đổi trong
mạng - từ đó "bắt" được thông tin
Các thiết bị sniffer có thể bắt được toàn bộ thông tin trao đổi trên mạng là
dựa vào nguyên tắc broadcast (quảng bá) các gói tin trong mạng Ethernet.
Tuy nhiên việc thiết lập một hệ thống sniffer không phải đơn giản vì cần
phải xâm nhập được vào hệ thống mạng đó và cài đặt các phần mềm sniffer.
Đồng thời các chương trình sniffer cũng yêu cầu người sử dụng phải hiểu
sâu về kiến trúc, các giao thức mạng.
Việc phát hiện hệ thống bị sniffer không phải đơn giản, vì sniffer hoạt động
ở tầng rất thấp, và không ảnh hưởng tới các ứng dụng cũng như các dịch vụ hệ
thống đó cung cấp
Tuy nhiên việc xây dựng các biện pháp hạn chế sniffer cũng không quá khó

khăn nếu ta tuân thủ các nguyên tắc về bảo mật như:
+ Không cho người lạ truy nhập vào các thiết bị trên hệ thống
+ Quản lý cấu hình hệ thống chặt chẽ
+ Thiết lập các kết nối có tính bảo mật cao thông qua các cơ chế mã hoá.
 Trojans
25