Giải pháp an ninh mạng trong quản lý mạng truyền tải IP

MỤC LỤC

MỤC LỤC...............................................................................1
..................................................................................................1
DANH MỤC HÌNH ẢNH......................................................2
LỜI NÓI ĐẦU.........................................................................3
THUẬT NGỮ VIẾT TẮT.....................................................4
CHƯƠNG 1 GIỚI THIỆU CHUNG.....................................5
1.1 CƠ SỞ QUẢN LÝ MẠNG
5
1.1.1 Chi phí ngắt dịch vụ...............................................................................................................................5
1.1.2 Kích cỡ và độ phức tạp của mạng..........................................................................................................5
1.1.3 Giám sát hiệu suất..................................................................................................................................6
1.1.4 Đối phó với các trang thiết bị tinh xảo..................................................................................................6
1.2 QUÁ TRÌNH QUẢN LÝ MẠNG
6
1.2.1 Tổ chức OSI trong quản lý mạng...........................................................................................................7
1.2.2 Các chức năng quản lý mạng lưới........................................................................................................11

CHƯƠNG 2 AN NINH MẠNG TCP/IP............................13
2.1 AN NINH ĐỊNH TUYẾN
13
2.1.1 Sự cần thiết an ninh truy cập................................................................................................................13
2.1.2 Truy cập định tuyến..............................................................................................................................14
2.1.3 Truy cập Telnet.....................................................................................................................................14
2.1.4 Truy cập TFTP......................................................................................................................................16
2.1.5 Bảng điều khiển và đầu cuối ảo...........................................................................................................17
2.1.6 Truyền file (tệp)....................................................................................................................................19
2.1.7 An ninh bên trong bộ định tuyến..........................................................................................................19

2.1.8 Phạm vi phòng vệ bổ sung....................................................................................................................21
2.3 SỬ DỤNG DỊCH VỤ BỨC TƯỜNG LỬA (PROXY)
21
2.3.1 Những giới hạn danh sách truy cập.....................................................................................................22
2.3.2 Các dịch vụ proxy.................................................................................................................................23
2.3.3 Các dịch vụ proxy ICMP......................................................................................................................25
2.3.4 Hạn chế.................................................................................................................................................26
2.3.5 Ví dụ hoạt động....................................................................................................................................27

KẾT LUẬN............................................................................33

SVTH: Phạm Công Thắng_CCVT06B

1


Giải pháp an ninh mạng trong quản lý mạng truyền tải IP

DANH MỤC HÌNH ẢNH

HÌNH 2.1................................................................................17
HÌNH 2.2...............................................................................20
HÌNH 2.3...............................................................................24
HÌNH 2.4 SỬ DỤNG KỸ THUẬT CẤU HÌNH MÀN
HÌNH CHẶN BỨC TƯỜNG LỬA ĐỂ KHÓA TẤT CẢ
LỆNH FTP PUT....................................................................27
HÌNH 2.5...............................................................................28
HÌNH 2.6 SỬ DỤNG KỸ THUẬT CẤU HÌNH MÀN
HÌNH ADD ALERT CHẶN BỨC TƯỜNG LỬA..............29
HÌNH 2.7 SỬ DỤNG KỸ THUẬT CẤU HÌNH MÀN

HÌNH CHẶN BỨC TƯỜNG LỬA ĐỂ BIÊN TẬP DỊCH
VỤ MẠNG HTTP.................................................................30
HÌNH 2.8 SỬ DỤNG CẤU HÌNH HIỂN THỊ KỸ THUẬT
BIÊN TẬP DỊCH VỤ CHẶN BỨC TƯỜNG LỬA ĐỂ CÀI
ĐẶT MỘT CHUỖI QUI TẮT KHỐNG CHẾ ĐẾN HTTP
................................................................................................31

SVTH: Phạm Công Thắng_CCVT06B

2


Giải pháp an ninh mạng trong quản lý mạng truyền tải IP

LỜI NÓI ĐẦU
Gần ba mươi năm qua bộ giao thức TCP/IP đã được đưa vào sử dụng và phát
triển, nó bắt đầu từ việc nghiên cứu của Bộ Quốc phòng Mỹ về thủ tục truyền dẫn của
mạng máy tính trong học viện, các cơ quan chính phủ, các doanh nghiệp, và của người
dùng ở Mỹ. Mạng truyền dẫn sử dụng bộ giao thức TCP/IP trong phạm vi từ mạng nội
hạt (nhỏ) văn phòng trong nhà đến một mạng rộng lớn đó là mạng Internet. Vài năm
gần đây việc sử dụng giao thức TCP/IP đã phát triển nhanh, nhờ đó nó hỗ trợ trong
nhiều ứng dụng mới.
Trong tiểu luận này em tập trung nghiên cứu 2 vấn đề cơ bản đó là:
● Nghiên cứu chung về quản lý mạng TCP/IP
● An ninh mạng TCP/IP (security)

SVTH: Phạm Công Thắng_CCVT06B

3



Giải pháp an ninh mạng trong quản lý mạng truyền tải IP
THUẬT NGỮ VIẾT TẮT

SNMP

Simple Network Managerment Protocol

RMON

Remote Moniter

IOS

International Organization for Standardization

OSI

Open System Interconnection

DSUs

Digital Service Units

CSUs

Channel Service Units

MIB


Managing Information Base

HTTP

Trial File Transfer Protocol

TFTP

Trivial File Transfer Program

TCP

Transmission Control Protocol

UDP

User Datagram Protocol

IANA

Internet Assigned Number Authority

ICMP

Internet Control Message Protocol

OSPF

Open shortest Patch First


IGRP

Interior Gateway Routing Protocol

OSPF

Open Shortest Path First

SMTP

Simple Mail Transport Protocol

FTP
S-HTTP

File Transfer Protocol
Secure Hypertext Transfer Protocol

SSL

Secure Sockets Layer

NAT

Network Address Translation

PAT

Port Address Translate


SVTH: Phạm Công Thắng_CCVT06B

4


Giải pháp an ninh mạng trong quản lý mạng truyền tải IP

CHƯƠNG 1 GIỚI THIỆU CHUNG

1.1 CƠ SỞ QUẢN LÝ MẠNG
Như đã đề cập ở trên, hiện nay việc sử dụng bộ giao thức TCP/IP đã phát triển
đồng thời cả hai lĩnh vực dung lượng và ứng dụng truyền tải dữ liệu. Ngày nay nhiều
nhà kinh doanh phụ thuộc rất nhiều vào các trang Web của họ để bán hàng, nhà kinh
doanh có thể đạt được doanh thu lớn vài triệu đô la trên một ngày, một nhà kinh doanh
dịch vụ khác cung cấp các dịch vụ truyền fax chi phí thấp cho hàng trăm ngàn khách
hàng ở nhiều nơi trên thế giới và hàng triệu doanh nghiệp và hàng chục triệu người
tiêu dùng, trong lĩnh truyền thư do thư điện tử có nhiều ưu điểm như tốc độ truyền dẫn
nhanh và không mất tin nên người dùng sử dụng thư điện tử nhiều hơn là sử dụng thư
truyền thống của dịch vụ bưu chính khi truyền tin ở nhiều quốc gia khác nhau.
Tốc độ tăng trưởng trong việc sử dụng giao thức TCP/IP làm cho cả hai, người
sử dụng dịch vụ Internet và nhà quản lý mạng phụ thuộc rất nhiều vào bộ giao thức
TCP/IP để thực hiện những công việc bình thường hàng ngày của họ.
1.1.1 Chi phí ngắt dịch vụ
Như đã đề cập ở trên ưu điểm mạng Internet mang lại cho người sử dụng rất
lớn, do vậy khi mạng bị lỗi nhỏ dẫn đến mạng sẽ bị gián đoạn điều này sẽ mang lại hậu
quả nghiêm trọng cho người dùng. Lấy ví dụ, khi kết nối Internet không thành công
đối với các nhà doanh nghiệp sẽ không gởi và nhận được các thư điện tử và không thể
truy cập mạng để mua hoặc đặt hàng trực tuyến trên mạng. Mất một thông tin điều này
đồng nghĩa với việc doanh thu của doanh nghiệp có thể thiệt hại hàng ngàn hoặc thậm
chí hàng triệu đô trong thời gian mạng bị gián đoạn. Do vậy các phương pháp phát

hiện lỗi và chuẩn đoán lỗi một cách nhanh chóng của nhân viên điều hành mạng có thể
làm giảm bớt thiệt hại cho doanh nghiệp. Trong môi trường truyền thông ngày nay các
lĩnh vực cần quan tâm đó là kích cỡ và độ phức tạp của mạng, các chi phí, hiệu quả
vận hành và khả năng tìm hiểu đủ thông tin để tận dụng ưu điểm của giao thức .
1.1.2 Kích cỡ và độ phức tạp của mạng
Do nhu cầu trao đổi thông tin của người dùng ngày càng tăng, để đáp ứng nhu
cầu sử dụng của người dùng đòi hỏi kích cỡ của mạng phải lớn hay độ phức tạp của
mạng cao, đồng thời chi phí hoạt động của mạng ngày càng lớn. Điều này tạo nên
động lực thúc đẩy sự phát triển của mạng, tuy nhiên để mạng hoạt động tốt đòi hỏi khả
năng mạng truyền dẫn phải tốt, đồng thời phải có thiết bị giám sát tập trung trên mạng.
Trạm trung tâm cung cấp các giải pháp cũng như kỹ thuật nhằm thực hiện việc thay
SVTH: Phạm Công Thắng_CCVT06B

5


Giải pháp an ninh mạng trong quản lý mạng truyền tải IP
đổi cấu hình mạng cũng như tạo ra các cảnh báo khi phát hiện lỗi trên mạng. Nhờ có
giao thức quản lý mạng SNMP (Simple Network Managerment Protocol) và giao
thức giám sát từ xa RMON (Remote Moniter) của bộ giao thức TCP/IP làm cho việc
quản lý mạng đơn giản hơn và ít tốn kém nhân lực. Tuy nhiên để hiệu quả sử dụng
mạng cao đòi hỏi nhân viên quản trị mạng phải có sự hiểu biết nhất định về các khái
niệm và giao thức truyền thông.
1.1.3 Giám sát hiệu suất
Thông qua việc sử dụng các giao thức quản lý của bộ giao thức TCP/IP có thể
giám sát được hiệu suất và năng lực của mạng. Một vấn đề liên quan là làm thế nào để
hiệu suất sử dụng chi phí quản lý mạng tốt nhất, hiệu suất cao nhất khi chi phí cho
quản lý mạng thấp nhất mà vẫn đảm bảo được việc quản lý mạng. Vì vậy việc quản lý
mạng tốt sẽ mang lại năng lực và hiệu suất sử dụng mạng cao trong khi chi phí cho
mạng thấp.

1.1.4 Đối phó với các trang thiết bị tinh xảo
Với việc sử dụng bộ giao thức TCP/IP mạng Internet ngày càng phát triển
nhanh chóng, các thiết bị sử dụng trên mạng được lắp đặt và truy cập càng nhiều. Ví
dụ có rất nhiều bộ định tuyến có khả năng số hóa tín hiệu thoại. Đối phó với các thiết
bị tinh xảo có khả lấy trộm thông tin trên mạng, đòi hỏi nhân viên quản trị mạng được
đào tạo có trình độ cao, được coi là một khía cạnh quan trọng của quản lý mạng. Hiện
nay có rất nhiều sản phẩm quản lý mạng ẩn bên trong các sản phẩm truyền thông
mạng, với 1 giao diện đồ họa người dùng có khả năng truy cập dễ dàng bằng lệnh điều
khiển do nhân viên quản trị viết ra để điều khiển sự hoạt động của thiết bị. Như vậy,
sản phẩm quản lý mạng hiện đại giúp đỡ chúng ta đối phó với các thiết bị tinh xảo.
Sự tin cậy của mạng
Hiệu ứng lỗi mạng
Kích cỡ và độ phức tạp của mạng
Đối phó với sự tinh vi của thiết bị mạng
Cân bằng hiệu suất và năng lực mạng
Chính sách chi phí hoạt động
Bảng 1.1 tóm tắt các lý do chủ yếu tại sao mạng TCP/IP phải được quản lý
1.2 QUÁ TRÌNH QUẢN LÝ MẠNG
Quản lý mạng là một quá trình giống như nhiều hoạt động phổ biến khác trong
đó chắc chắn người quản lý mạng sẽ gặp nhiều khó khăn. Dưới đây là những hạn chế
trong quá trình quản lý.
Quản lý mạng là một quá trình (mà nhân viên quản trị mạng) sử dụng phần
cứng và phần mềm theo dõi tình trạng của các thành phần và khả năng truyền dẫn
SVTH: Phạm Công Thắng_CCVT06B

6


Giải pháp an ninh mạng trong quản lý mạng truyền tải IP
mạng, câu hỏi cuối cùng là làm thế nào để cải thiện hiệu suất sử dụng của mạng, đồng

thời phải kết hợp việc quản trị mạng với việc hướng dẫn nhà cung cấp dịch vụ và
người dùng trên mạng. Điều này có nghĩa là nhân viên quản trị mạng phải có kiến thức
về bộ giao thức TCP/IP và hiểu được quá trình hình thành và thủ tục gởi và nhận các
gói tin.
Vai trò, cách sử dụng, các thành phần cấu tạo của gói tin và các khái niệm đặc
trưng của mạng. Thứ nhất khi truyền tín hiệu thoại và tín hiệu fax bằng bộ giao thức
TCP/IP trên mạng bao giờ cũng có sai số nhất định. Thứ hai nó liên quan đến việc sử
dụng phần cứng và phần mềm để kiểm tra , thiết bị cầu nối và bộ định tuyến của mạng,
thiết bị và khả năng truyền dẫn, dữ liệu và kênh dữ liệu của các thành phần mạng. Chú
ý rằng nhân viên quản lý mạng có thể can thiệp và hổ trợ đến người sử dụng mạng,
nhà cung cấp dịch vụ các yếu tố chuyên môn liên quan đến mạng. Ngoài ra sau khi thu
thập các yêu cầu, các ý kiến liên quan đến mạng từ người dùng và nhà cung cấp dịch
vụ nhân viên quản trị mạng sẽ nghiên cứu và cải tạo mạng theo hướng tốt hơn. Đồng
thời họ thường đưa ra các giải pháp để cải thiện hiệu suất sử dụng cũng như giảm bớt
hiện tượng rớt mạch. Các phương pháp để cải thiện hiệu suất thông tin có thể là thay
đổi cấu hình mạng hiện tại hoặc nghiên cứu cách thức tổ chức mạng theo các yêu cầu
mà họ đưa ra. Cuối cùng hiệu suất của công việc quản lý mạng phải được nhân viên
quản trị mạng nắm bắt tất cả như: giám sát và đưa ra tiến trình phát triển mạng, tính
toán lại mạng để đảm bảo tính hợp lý giữa chi phí đầu tư để mạng phát triển với hiệu
suất sử dụng mạng cao nhất. Thực ra các vấn đề đưa ra trên có thể tùy chọn để đảm
bảo rằng người dùng hợp lệ mới truy cập vào mạng và các nhân viên quản lý mạng cục
bộ (mạng LAN), các nhà quản lý mạng cần phải quan tâm đến vấn đề an ninh mạng.
1.2.1 Tổ chức OSI trong quản lý mạng
Dựa trên cơ sở trước đó, chúng ta có thể chia nhỏ các công việc liên quan đến
quản lý và chức năng mạng. Trong thực tế, điều này đã được thực hiện theo chuẩn
quốc tế IOS (International Organization for Standardization) của tổ chức OSI
(Open System Interconnection). Trong đó mô hình tổ chức OSI đã định nghĩa 5
chức năng (hoặc các qui tắc) quản lý mạng được chỉ định trong bảng 1.2.
Quản lý cấu hình / thay đổi
Quản lý lỗi / sự cố

Quản lý hiệu suất / tốc độ tăng trưởng
Quản lý an ninh / truy cập
Quản lý tài khoản / chi phí
Bảng 1.2 Tổ chức OSI trong quản lý mạng

SVTH: Phạm Công Thắng_CCVT06B

7


Giải pháp an ninh mạng trong quản lý mạng truyền tải IP
Quản lý cấu hình hoặc quản lý mạng bao gồm quá trình theo dõi khả năng thay
đổi các tham số khác nhau của các thiết bị trên mạng. Các tham số đó có thể được cài
đặt, thiết lập lại hoặc đơn giản là để đọc và hiển thị. Đối với mạng phức tạp có hàng
trăm hoặc hàng ngàn thiết bị và truyền dẫn, việc sử dụng các SNMP và RMON sẽ dễ
dàng hơn cho việc điều khiển mạng từ một điểm hoặc từ một vài vị trí quản lý mạng.
Tuy nhiên, trên thực tế nền tảng SNMP và RMON có phạm vi từ một hệ thống quản lý
mạng máy tính cơ sở đến máy tính nhỏ và hệ thống máy trạm. Trong thực tế, hầu hết
các hệ thống sẽ bao gồm thiết bị có khả năng tự động tìm ra và hiển thị vị trí của
mạng, ngoài ra nó còn cung cấp cho người sử dụng khả năng đọc và có thể thay đổi
các tham số thiết bị, cũng như hiển thị một loạt các thông số của đường truyền. không
giống như các thiết trên các tham số có thể được hiển thị và thiết lập lại, thiết bị truyền
dẫn được kiểm soát bởi một hoặc nhiều hãng truyền thông và điều chỉnh các thông số
này thường là điều khiển hoạt động người sử dụng mạng đầu cuối.
Mặc dù hệ thống quản lý mạng có nhiều ưu điểm, nhưng tổ chức hệ thống quản
lý mạng không phải ở đâu cũng có. Điều này bởi vì là SNMP và RMON được phát
triển chủ yếu như là một thiết bị giám sát và cảnh báo, và cũng vì vài hạn chế là yếu tố
bảo mật không được tích hợp cho phép thay đổi các tham số các bộ định tuyến, DSUs,
CSUs và các thiết bị mạng khác. Thay vào đó, nhiều tổ chức duy trì một số hệ thống,
trong đó một số hệ thống nhà cung cấp có thể được sử dụng để kiểm soát các thiết bị.

Ngoài ra, một số thiết bị có thể được kiểm soát đơn giản từ màn hình hiển thị.
Trong kết luận ban đầu của chúng ta với việc thảo luận về cấu hình hoặc thay
đổi quản lý, cần lưu ý rằng lĩnh vực quản lý mạng này phụ thuộc vào các tham số cài
đặt cơ sở dữ liệu và hiểu biết ý nghĩa của chúng. Cơ sở dữ liệu này bao gồm các thông
tin được ghi trên thẻ 3* 5 inch, trang đánh máy, hoặc files được lưu trữ trong máy tính.
Bất kể phương tiện truyền thông được sử dụng để lưu trữ thông tin, cơ sở dữ liệu
giống như một kho thông tin có thể được sử dụng để xác định lựa chọn, thay thế, cũng
như triển khai thực hiện thay đổi cấu hình và cách thức hoạt động của mạng lưới.
Quản lý lỗi/sự cố
Vấn đề quản lý lỗi là quá trình nhằm phát hiện, đăng nhập và thẻ, vấn đề tách
biệt, dấu vết và hoàn thành cho quyết định một kết quả không bình thường. Vì bạn
phải biết rằng một sự cố tồn tại, thứ nhất là một trong những bước quan trọng nhất
trong quản lý lỗi là phát hiện tình trạng không bình thường. Điều này có thể hoàn
thành bằng một số phương pháp, bao gồm từ việc thiết lập các ngưỡng trên một hệ
thống quản lý mạng để phát ra các loại hình cảnh báo hoặc điều kiện báo động khi
vượt quá cho người sử dụng và khách hàng gọi một kỹ thuật kiểm soát trung tâm để
báo cáo các vấn đề. Sau khi một vấn đề đã được phát hiện, nhiều tổ chức sẽ có một
SVTH: Phạm Công Thắng_CCVT06B

8


Giải pháp an ninh mạng trong quản lý mạng truyền tải IP
giới hạn trước điều hành thủ tục mà tình trạng này được ghi chép trong một đăng nhập,
nếu xác định đại diện cho một vấn đề chính đáng, được phân công một vé sự cố cho
phép theo dõi quá trình giải quyết sự cố.
Điều quan trọng để hiểu rằng nhiều sự cố liên quan các cuộc gọi đến một trung
tâm kiểm soát kỹ thuật được giải quyết ngay lập tức . Các cuộc gọi có thể yêu cầu
nhân viên trung tâm kiểm soát kỹ thuật đến từ một vài phút đến vài giờ kiểm tra cài đặt
thiết bị, xem hình ảnh hiển thị để kiểm tra tình trạng của các thiết bị từ xa và hỏi người

dùng những cài đặt phần mềm và phần cứng liên quan hoặc thực hiện các chức năng
khác để giải quyết sự cố mà không hành động. Các cuộc gọi hoặc báo động khác có
thể dẫn đến việc cấp của một thẻ sự cố đòi hỏi hành động trên một phần của nhà cung
cấp dịch vụ thông tin hoặc sự giúp đỡ của nhà cung cấp dịch vụ. Bất kể mức độ của sự
cố, đăng nhập ban đầu bao gồm một cố gắng để xác định nguyên nhân của tình huống
không bình thường và xác định hành động thích hợp cho các chỉnh sửa. Vấn đề tách
biệt có thể bao gồm một thảo luận đơn giản với một người dùng đầu cuối, kiểm tra
chẩn đoán thiết bị và đường truyền hoặc mở rộng nghiên cứu. Sau khi nguyên nhân
gây ra sự cố được cô lập có thể tổ chức với người dùng chỉnh sửa, chẳng hạn như
không thể chấp nhận mức độ hiệu quả trên một mạch hoặc một lỗi thiết bị không kết
nối đến nhà cung cấp dịch vụ tổ chức mạng của bạn đang sử dụng. Vì vậy, ngoài việc
tìm kiếm sự trợ giúp thích hợp, một bước quan trọng của các quá trình quản lý lỗi là để
dấu vết cả bên trong và bên ngoài nhân viên trong nổ lực của họ để hướng tới sửa đúng
lỗi . Rất nhiều lần, lỗi quản lý sẽ đòi hỏi vé tuổi sự cố để được chuyển cấp để nhận
được . Tại các lần, lặp đi lặp lại các cuộc gọi đến một nhà cung cấp hay nhà cung cấp
dịch vụ thông tin để theo dõi sự tiến bộ của một sự cố thẻ có thể bộc lộ rằng các thẻ đã
được đóng lại. Mặc dù chúng tôi hy vọng rằng các lý nhà cung cấp dịch vụ hoặc nhà
cung cấp đóng sự cố và không có ý quên để thông báo cho chúng tôi những giải
quyết , chúng tôi sống trong một thế giới chưa hoàn hảo, trong đó một một thẻ sự cố
có thể không cố ý bị đóng cửa mà không giải quyết vấn đề. Vì vậy, nó là rất quan trọng
đối với các dấu sự cố, bao gồm cả thẻ sự có trạng thái.
Trong khi việc giải quyết của một điều kiện không bình thường có thể xuất hiện
những công việc sau đó trong quá trình quản lý lỗi, trong thực té nó có thể yêu cầu
hiệu suất của cấu hình hoặc thay đổi công việc quản lý. Ví dụ, nếu trong một điều kiện
không bình thường do bởi việc thực hiện thay đổi định tuyến,việc giải quyết sự có thể
thay đổi cấu hình định tuyến trở về trạng thái ban đầu với điều kiện bình thường của
nó . Điều này giải thích bên trong quan hệ giữa các chức năng của các lĩnh vực quản lý
mạng.

SVTH: Phạm Công Thắng_CCVT06B


9


Giải pháp an ninh mạng trong quản lý mạng truyền tải IP
Quản lý hiệu suất/tăng trưởng
Quản lý hiệu suất hoặc độ tăng trưởng bao gồm những công việc đòi hỏi đánh
giá việc sử dụng thiết bị quản lý mạng và khả năng truyền dẫn và điều chỉnh chúng
như yêu cầu. Công việc thực hiện có thể phạm vi từ quan sát thiết bị hiển thị để thu
thập các thông tin thống kê vào một cơ sở dữ liệu có thể được sử dụng đến các xu
hướngdự án sử dụng . Bất kể phương pháp được sử dụng, mục tiêu của quản lý hiệu
suất và tăng trưởng là để đảm bảo đủ khả năng tồn tại để hỗ trợ thông tin người dùng
cuối cùng yêu cầu. Do đó, một thuật ngữ thường được sử dụng cho quản lý hiệu suất
hay tăng trưởng là năng lực lập kế hoạch.
Một trong những chi tiết thú vị bên ngoài của năng lực lập kế hoạch phối hợp
phản ứng lại của sự cố người dùng cuối. Nếu tổ chức mạng của bạn không đủ khả
năng, người dùng cuối khiếu nại sẽ thường xảy ra bất cứ khi nào thời gian phản hồi lâu
hoặc người dùng nhận một tín hiệu bận khi cố gắng truy cập mạng từ xa. Ngược lại,
bạn sẽ không bao giờ nhận khiếu nại người dùng cuối mà họ luôn luôn nhận được một
thời gian phản hồi tốt hoặc không bao giờ nhận một tín hiệu bận và rằng mạng có quá
nhiều năng lực. Điều này có nghĩa là quá nhiều khả năng sẽ yêu cầu công nhận nhân
viên quản lý mạng và nó là phận sự nhân viên để kiểm tra các tiềm năng cho cả hai thu
hẹp hoặc mở rộng mạng.
Một loạt các công cụ có thể được sử dụng cho quá trình quản lý hiệu suất hoặc
tăng trưởng, bao gồm các hoá đơn thanh toán của nhà cung cấp dịch vụ ,hệ thống quản
lý mạng, chẳng hạn như các ứng dụng tiện ích Ping và Traceroute.Hoá đơn thanh toán
nhà cung cấp dịch vụ có thể hiển thị đường dây gọi vào hoặc đường dây cho thuê nối
vào nhà cung cấp dịch vụ Internet .Hệ thống quản lý mạng có thể cung cấp thông tin
về việc sử dụng nội hạt và mạng từ xa và mạng lưới hoạt động và sử dụng khác nhau
của thiết bị quản lý mạng. Việc sử dụng Ping, Tracerouter và các chương trình tiện ích

khác có thể chỉ thị một thiết bị hoạt động cũng như ngắt thiết bị.
Quản lý an ninh /truy cập
Quản lý an ninh hoặc truy cập mô tả cài đặt các công việc mà đảm bảo rằng chỉ
cho phép nhân viên có thể sử dụng mạng. Ngoài ra, một số tổ chức có thể yêu cầu ẩn
các nội dung của dữ liệu, đặc biệt là khi sử dụng Internet như là một mạng riêng ảo. Vì
vậy, nhiệm vụ và chức năng liên quan đến quản lý an ninh có thể bao gồm xác nhận
các người dùng, mật mã của dữ liệu, quản lý và phân phối khóa mật mã, bảo trì và
kiểm tra an ninh của các bản ghi, cấu hình danh sách truy cập bộ định tuyến và việc
triển khai thực hiện những tính năng frewall khác nhau bao gồm các dịch vụ proxy và
phát hiện xâm nhập và phát báo động.
SVTH: Phạm Công Thắng_CCVT06B

10


Giải pháp an ninh mạng trong quản lý mạng truyền tải IP
Tương tự với quản lý an ninh truy cập các nhiệm vụ và chức năng biện pháp
phòng chống vi rút, các thủ tục hoạt động và lập kế hoạch triển khai thực hiện khi cần
thiết của phương pháp khôi phục thảm họa. Mặc dù nhà quản lý mạng không thể thực
hiện các nhiệm vụ trước sự tấn công để đảm bảo rằng nhân viên không được hoặc phát
những fles đáng ngờ qua mạng, các nhà quản lý có thể công khai các phương pháp
kiểm tra phần mềm không biết cũng như các thủ tục đi theo liên quan đến việc phân
phối phạm vi phần mềm chung thu được từ những trang web chia sẻ phần mềm.
Quản lý thanh toán/chi phí
Ngoài ra để bảo đảm sự sinh, tử vong và thuế, bạn cũng có thể mong đợi câu
châm ngôn cũ 'không có bữa ăn trưa miễn phí' là cơ bản đúng sự thật. Một trong những
quy trình quản lý mạng như vậy, bao gồm việc nhận đúng thông tin vào đúng thời
điểm, trong đó cung cấp một cơ sở cho các thiết lập các chi phí chăm sóc của tài
nguyên mạng. Công việc liên quan tới quản lý thanh toán toán hoặc chi phí bao gồm
việc đưa ra các trang thiết bị, các loại truyền dẫn, việc hòa giải và các hoá đơn ghi ,

các tính toán giảm giá và các chi phí khấu hao, các chứng từ chi phí cá nhân chi phí
nhân đến hoạt động mạng, sự thuyết minh các thuật toán để tính tỉ lệ cước đến người
dùng và định kỳ xem xét các phương pháp thanh toán để bảo đảm công bằng và hợp lý
các chi phí hóa đơn trên cơ sở người sử dụng mạng.
Quá trình quản lý thanh toán có thể yêu cầu những nỗ lực của một nhóm
chuyên gia tại các tổ chức lớn. Đối với các tổ chức vừa và nhỏ ,các nỗ lực bao gốm
quản lý kế toán có thể vẫn là đáng kể, đặc biệt khi so với các điều cần thiết để thực
hiện chức năng quản lý mạng lưới. Nhiều tổ chức tập trung vốn đầu tư chi phí các
thông tin hoặc thêm chi phí cho việc sử dụng xử lý dữ liệu của họ. Trong khi điều này
chắc chắn sẽ giảm bớt các công việc liên quan tới quản lý thanh toán, các chức năng
quản lý chi phí khác, bao gồm cả ngân sách, kiểm tra ảnh hưởng của thuế dựa trên sự
thay đổi cấu trúc của mạng lưới, và thẩm tra sự đúng đắn của người bán và hóa đơn
của nhà cung cấp dịch vụ. Những chức năng quản lý chi phí và thanh toán là một phần
quan trọng trong quản lý mạng dù có người dùng hoặc các tổ chức cơ quan hay không.
1.2.2 Các chức năng quản lý mạng lưới
Mặc dù quản lý mạng theo khuôn OSI là thông minh, nó không phải là tất cả,
bao gồm hai phím khu vực chức năng mà chỉ là một phần kín đáo trong khuôn OSI là
đủ quan trọng để điều chỉnh nhận dạng của họ như là thực thể riêng biệt là quản lý tài
sản và hoạch định hoặc hỗ trợ quản lý.

SVTH: Phạm Công Thắng_CCVT06B

11


Giải pháp an ninh mạng trong quản lý mạng truyền tải IP
Quản lý tài sản
Quản lý tài sản là tập hợp các công việc liên quan đến sự thuyết minh và thu hồi
các hồ sơ của thiết bị, điều kiện thuận lợi và nhân sự. Hồ sơ thiết bị có thể bao gồm
một hoặc nhiều cơ sở dữ liệu thông tin-bao gồm các thiết bị được sử dụng trong mạng,

các thông số cài đặt, dữ liệu nhà sản xuất và số điện thoại để gọi cho bảo trì, và thông
tin tương tự. Hồ sơ thiết bị có thể hệ thống quản lý mạng hiện có, có thể bổ sung thêm
thông tin nhận được từ hệ thống quản lý mạng hoặc có thể là hệ thống quản lý mạng
hoàn toàn độc lập .Hồ sơ khả năng truyền dẫn có thể đơn giản bao gồm số các mạch
điện và điểm liên lạc của nhà cung cấp dịch vụ hoặc chúng có thể chứa các thông tin
bổ sung như mong đợi hoặc bảo đảm mức độ hiệu quả và kết quả theo dõi của thời kỳ
trước đó .Sau đó bao gồm người sử dụng cuối lưu ý xu hướng phát triển, trong đó có
thể bao gồm sự hư hỏng chất lượng mạch địện.

SVTH: Phạm Công Thắng_CCVT06B

12


Giải pháp an ninh mạng trong quản lý mạng truyền tải IP

CHƯƠNG 2 AN NINH MẠNG TCP/IP
2.1 AN NINH ĐỊNH TUYẾN
Một bộ định tuyến mô tả một phần trong hầu hết các loại mạng cũng như thiết
bị truyền thông đầu tiên được sử dụng để truyền dữ liệu giữa các mạng. Được hiểu
theo cách thông thường, nó mô tả nhiều kế hoạch thiết bị mạng truyền thông. Khi thay
đổi cấu hình của bộ định tuyến (cố ý hoặc không cố ý) có thể đều ảnh hưởng đến trạng
thái hoạt động của nó và ảnh hưởng đến tổ chức mạng. Một điều nữa nếu bảng định
tuyến hoặc các tham số khác nhau thay đổi, nó có thể làm thay đổi tổ chức dữ liệu để
gởi đến vị trí nơi mà thông tin có thể ghi và đọc bởi bộ phận thứ 3. Điều này rất quan
trọng để hiểu rằng tại sao người ta có thể truy cập và điều khiển bộ định tuyến, và từng
bước tạo ra độ an toàn cho thiết bị mạng truyền thông.
Trong phần này chúng tôi sẽ xem xét và thảo luận các phương pháp truy cập
định tuyến trong cả hai thuật ngữ chung và riêng. Thảo luận truy cập định tuyến của
chúng ta trong thuật ngữ chung sẽ áp dụng đến các sản phẩm được sản xuất bởi nhiều

nhà cung cấp khác nhau. Tuy nhiên, khi trở về sự chú ý đến phương pháp truy cập cụ
thể và các phương pháp chúng tôi có thể sử dụng an ninh truy cập đến bộ định tuyến,
chúng tôi sẽ tổng hợp bổ sung cụ thể chi tiết ứng dụng đến các bộ định tuyến do hệ
thống Cisco sản xuất . Mặc dù ví dụ các phương pháp cụ thể để bảo vệ truy cập đến
các bộ định tuyến trong phần này được định hướng theo định tuyến Cisco, nhưng trên
thực tế các bộ định tuyến được sản xuất bởi nhiều nhà cung cấp khác nhau nhưng đều
có những khả năng tương tự nhau. Nếu tổ chức mạng của bạn sử dụng các bộ định
tuyến được sản xuất bởi nhiều hãng khác nhau, bạn có thể kiểm tra chức năng an ninh
truy cập của bộ định tuyến đó và các lệnh cụ thể được hổ trợ bởi bộ định tuyến đến
một hoặc nhiều chức năng an ninh truy cập để cho phép, không cho phép và bảo vệ
truy cập đến thiết bị dựa vào tài liệu hướng dẫn sử dụng cụ thể của nhà cung cấp bộ
định tuyến.
2.1.1 Sự cần thiết an ninh truy cập
Khi xem xét đến an ninh định tuyến, hầu hết người ta nghĩ đến những danh sách
truy cập định tuyến. Những danh sách truy cập định tuyến này được dùng để thiết lập
những giới hạn khi truyền dữ liệu thông qua các cổng của bộ định tuyến và được xem
xét để mô tả phạm vi phòng thủ mạng đầu tiên. Mặc dầu danh sách truy cập định tuyến
là vô cùng quan trọng về khía cạnh an ninh mạng, tác giả xem xét chúng để thực tế mô
tả phạm vi phòng thủ thứ hai của mạng. Điều này bởi vì khả năng truy cập và cấu hình
bộ định tuyến trình bày trong phạm vi phòng thủ đầu tiên của mạng. Nếu khác hơn là
SVTH: Phạm Công Thắng_CCVT06B

13


Giải pháp an ninh mạng trong quản lý mạng truyền tải IP
người được chỉ rõ đạt được khả năng truy cập và thay đổi cấu hình tổ chức định tuyến,
điều này có nghĩa là bất kỳ danh sách truy cập đã trình bày trước đây có thể được thay
đổi hoặc loại bỏ - trong hiệu ứng cắt bỏ cách bảo vệ mạng đã trình bày trước. Tương tự
như người nông dân xây dựng một chuồng gà hình ba chiều, khi ra về vô tình để cửa

đóng hờ, do thiếu sót trong bảo vệ nên để mất loại động vật quí giá cũng như trong tổ
chức định tuyến nếu bảo vệ không tốt có thể người khác truy cập đến tài nguyên
mạng . Điều này giải thích tại sao chúng tôi sẽ thảo luận an ninh truy cập định tuyến
trong phần này trước khi thảo luận lại danh sách truy cập định tuyến trong phần thứ
hai.
Khi khảo sát sâu hơn vào trong truy cập định tuyến, chúng tôi lưu ý đến vài
phương pháp tục ngữ chặn cửa vào ra đến thiết bị truyền thông này. Trên thực tế, một
phương pháp chúng ta trao đổi gồm việc sử dụng một danh sách truy cập định tuyến
bằng một kỹ thuật điều khiển đến bộ định tuyến để chắc chắn xác định trước địa chỉ IP.
Tuy nhiên, trước khi làm điều đó, chúng ta phải khóa cổng ra vào ,điều này phải làm
xong trước khi sử dụng khả năng danh sách truy cập định tuyến. Như vậy, sử dụng
danh sách truy cập được xem lại ở một phạm vi phòng thủ thứ hai.
2.1.2 Truy cập định tuyến
Mục đích của việc thảo luận này là, thuật ngữ truy cập định tuyến mô tả khả
năng của một người kết nối với một bộ định tuyến và truy cập vào hệ điều hành của
nó. Hầu hết các bộ định tuyến bao gồm một hoặc nhiều cổng nối tiếp được lắp vào các
thiết bị cho phép đầu cuối hay máy tính cá nhân, một loại đầu cuối cụ thể truy cập đến
bộ định tuyến. Đầu cuối truy cập này có thể kết nối trực tiếp bằng cáp hoặc đường dẫn
thông tin từ xa. Sau đó được hoàn thành thông qua người sử dụng modem hoặc DSU
được kết nối đến một cổng nối tiếp bộ định tuyến. Mặc dù sử dụng kết nối cổng nối
tiếp là phương pháp đầu tiên được sử dụng ở hầu hết các tổ chức cung cấp truy cập đến
hệ điều hành một bộ định tuyến để cho phép cấu hình thiết bị, nhưng nó không phải là
phương pháp truy cập duy nhất. Cộng thêm các phương pháp được hổ trợ bởi nhiều bộ
định tuyến gồm truy cập Telnet và sử dụng giao thức HTTP (Trial File Transfer
Protocol) để lưu trữ và truyền tải hình ảnh hệ thống, các tệp cấu hình giữa bộ định
tuyến và máy trạm.
2.1.3 Truy cập Telnet
Telnet cung cấp khả năng truy cập một thiết bị từ xa bao gồm một bộ định tuyến
như thể thiết bị đầu cuối môt chương trình máy khách Telnet được kết nối trực tiếp đến
thiết bị từ xa. Telnet truy cập đến bộ định tuyến có thể xảy ra từ phía trước hay phía

sau bộ định tuyến, thuật ngữ phía trước được sử dụng dựa vào truy cập đến bộ định
tuyến thông qua mạng diện rộng (mạng WAN) kết nối từ một vị trí trạm trên mạng
SVTH: Phạm Công Thắng_CCVT06B

14


Giải pháp an ninh mạng trong quản lý mạng truyền tải IP
khác không trực tiếp nối đến cổng bộ định tuyến cụ thể, trong khi thuật ngữ phía sau
đề cập đến một một vị trí trạm trên một mạng kết nối trực tiếp đến cổng bộ định tuyến
mạng nội bộ (mạng LAN). Điều này nghĩa là truy cập Telnet đến một bộ định tuyến có
thể xảy ra từ một thiết bị nội bộ trên tổ chức mạng nội bộ hoặc nếu bộ định tuyến được
kết nối đến Internet, từ bất kỳ thiết bị đầu cuối trên thế giới có truy cập Internet. Điều
này cũng có nghĩa là, bất kỳ vị trí máy khách hoạt động chương trình Telnet, nhà điều
hành chương trình chỉ cần biết địa chỉ IP của giao tiếp mạng của bộ định tuyến để bắt
đầu một phiên kết nối Telnet đến bộ định tuyến và truy cập đến thiết bị. Nếu nhân viên
điều hành của máy khách Telnet thực hiện một kết nối đến bộ định tuyến nhân viên
điều hành sẽ nhận được một nhắc nhở, chẳng hạn như:
Tên định tuyến> hay
Xác định người dùng truy cập
Mật khẩu:
Ở đây tên định tuyến mô tả tên một tổ chức được chỉ định bộ định tuyến, trong
khi mật khẩu mô tả nhắc nhở nhập mật khẩu thích hợp để truy cập vào bộ định tuyến.
Hình 2.1 minh họa việc sử dụng một máy khách Telnet sẵn sàng dùng dưới Windows
95 và Windows 98 đến hàng triệu người để truy cập một bộ định tuyến có địa chỉ IP là
205.131.176.1. Trong ví dụ minh hoạ của Hình 2.1 bộ định tuyến gián đoạn kết nối sau
ba lần thử đăng nhập không thành công. Tuy nhiên, tin tặc có thể ngay lập tức thử lại
nhiều hơn ba lần. Với việc sử dụng một tập lệnh và một từ điển điện tử, điều đó trở
thành một công việc tương đối đơn giản cho người ta bẻ khóa mật khẩu (crack)
chương trình Telnet để truy cập vào khả năng cấu hình bộ định tuyến. Vì vậy, điều

quan trọng để chọn mật khẩu đó là không những không có trong từ điển mà còn không
mô tả các điều nhỏ trong các từ của từ điển, chẳng hạn như dog7, từ một tin tặc có thể
lập trình lặp đi lặp lại nhiều từ cho một tấn công thành công suốt thời gian.
Cần lưu ý rằng nhiều tổ chức có một chính sách địa chỉ IP, ở đó chúng chỉ định
chỉ thấp cho giao tiếp bộ định tuyến. Ví dụ, nếu địa chỉ mạng IP thuộc lớp C là
205.123.124.0, chúng có thể chỉ định 205.123.456.1 bằng một địa chỉ giao tiếp từ
mạng 205 đến bộ định tuyến. Nhiều tổ chức đã sử dụng việc sắp xếp địa chỉ chung
này, thông thường sẽ rất là dễ dàng để xác định địa chỉ của bộ định tuyến cho Telnet
tiếp theo. Ở điểm này trong lúc nhân viên điều hành máy khách cho phép truy cập trực
tiếp tất cả cấu hình bộ định tuyến và kiểm soát bộ định tuyến. Bằng việc mở rộng một
tập lệnh giả với việc sử dụng một từ điển điện tử, nhiều tin tặc biết cấu hình nhiều bộ
định tuyến do các nhà sản xuất cài đặt mật khẩu mặc định truy cập Telnet. Điều này
thật không may cho các tổ chức mạng, tốt hơn họ không bao giờ sử dụng mật khẩu
mặc định. Điều này là do các mật khẩu có trong danh sách trong hướng dẫn sử dụng
SVTH: Phạm Công Thắng_CCVT06B

15


Giải pháp an ninh mạng trong quản lý mạng truyền tải IP
bộ định tuyến của nhà cung cấp, những mật khẩu này có thể mua với giá 29,95 đô la
hoặc cho truy cập miễn phí thông qua World Wide Web. Điều này có nghĩa là hầu như
không có giới hạn số người có khả năng để khám phá các mật khẩu mặc định cần thiết
để truy cập vào một bộ định tuyến thông qua một kết nối Telnet. Nếu các bộ định
tuyến mà quản trị viên không thể thay đổi mật khẩu mặc định truy cập Telnet hay
không đặt thêm bất kỳ hạn chế khi truy cậpTelnet thì bất kỳ người nào có kiến thức về
địa chỉ IP của giao tiếp bộ định tuyến có thể được truy cập vào thiết bị.
2.1.4 Truy cập TFTP
Hầu hết các bộ định tuyến có hai loại bộ nhớ: Bộ nhớ truy cập ngẫu nhiên
(RAM) và bộ nhớ không bay hơi. Không giống như bộ nhớ RAM, nội dung của nó bị

xoá hoàn toàn khi mất nguồn, nội dung của bộ nhớ không bay hơi không bị xóa. Khi
cấu hình, bộ nhớ định tuyến không bay hơi thường được sử dụng để lưu trữ hình ảnh
của bộ nhớ bộ định tuyến cũng như sao lưu dự phòng hoặc thay thế cấu hình định
tuyến. Bởi vì bộ định tuyến không chứa đĩa mềm hoặc không có ổ đĩa cứng, khả năng
của chúng lưu trữ nhiều hơn vài cấu hình thay đổi bị giới hạn. Điều này có nghĩa là các
quản trị viên đòi hỏi khả năng lưu trữ dự phòng hoặc thay thế cấu hình bộ định tuyến
vượt ra ngoài khả năng giới hạn bộ nhớ không bay hơi tiêu biểu của bộ định tuyến làm
như vậy trên máy trạm và sử dụng chương trình TFTP (Trivial File Transfer
Program) để tải và lưu các hình ảnh hệ thống bộ định tuyến và các tập tin cấu hình.
Điều này cũng có nghĩa là nếu được phép truy cập TFTP, tùy theo cách thức hỗ trợ
truy cập TFTP của bộ định tuyến, nó có thể cho phép cá nhân không được quyền tạo ra
cấu hình dữ liệu khi sử dụng bộ định tuyến, dẫn đến vi phạm bảo mật hoặc không
được định trước môi trường hoạt động.
Bây giờ chúng ta đánh giá các phương pháp chính có thể được sử dụng để truy
cập vào bộ định tuyến, chúng ta quay về các phương pháp được sử dụng là bảo vệ truy
cập hoặc khóa cửa ra vào dựa trên phương pháp truy cập. Điều này sẽ cung cấp cho
chúng ta khả năng làm nó khó khăn đối với những người được phép truy cập bộ định
tuyến và giành được khả năng xem và thay đổi các cấu hình thiết bị. Trong khi làm
điều đó, chúng ta sẽ thảo luận về một số lệnh định tuyến các hệ thống Cisco.

SVTH: Phạm Công Thắng_CCVT06B

16


Giải pháp an ninh mạng trong quản lý mạng truyền tải IP

Hình 2.1
Hình 2.1 Qua việc sử dụng máy khách Telnet bao gồm hàng triệu bản sao của
Windows 95 và Windows 98, tin tặc có thể truy cập vào khả năng cấu hình định tuyến

kết nối vào Internet.
2.1.5 Bảng điều khiển và đầu cuối ảo
Sau khi bạn mở gói bộ định tuyến và bắt đầu quá trình cài đặt của nó, điều này
vô cùng quan trọng là xem xét cách thức truy cập vào cấu hình thiết bị. Nếu bạn cho
phép thay đổi cấu hình từ một kết nối trực tiếp thiết bị đầu cuối, bạn cần đảm bảo
Telnet và TFTP được phép truy cập. Trong môi trường định tuyến của Cisco, bạn có
thể truy cập cấu hình từ bàn điều khiển và đầu cuối ảo thông qua việc sử dụng ‘dòng’
lệnh. Dòng lệnh này theo định dạng sau:
dòng [loại từ khoá]dòng đầu tiên [dòng cuối]
Ở đây thông tin trong dấu ngoặc đơn mô tả tùy chọn. Các loại từ khóa nhập vào
có thể được nhập vào bảng điều khiển là 'aux' hoặc 'vty'. Bảng điều khiển nhập mô tả
một đường dây đầu cuối và thiết bị nối cáp trực tiếp đến một cổng trên bộ định tuyến.
So sánh, aux được sử dụng để chỉ thị đường dây phụ, cho phép bạn định rõ quyền truy
cập thông qua một cổng trên bộ định tuyến được kết nối với một CSU, DSU hoặc
modem, cho phép truyền thông nối tiếp từ xa. Tùy chọn thứ ba, vty, mô tả kết nối đầu
cuối ảo với truy cập bảng điều khiển từ xa. Lưu ý rằng khi nhập dòng lệnh, dòng lệnh
SVTH: Phạm Công Thắng_CCVT06B

17


Giải pháp an ninh mạng trong quản lý mạng truyền tải IP
đầu tiên và cuối cùng mô tả một số áp dụng kề nhau đến thiết bị cụ thể và có thể được
trình bà và liên kết với một đường dây.
Khi cấu hình truy cập thông qua việc sử dụng dòng lệnh. Điều đó rất quan trọng
để xem xét liên kết một mật khẩu với thiết bị mà bạn cho phép truy cập. Thậm chí nếu
bạn có kế hoạch cho phép truy cập vào một bộ định tuyến thông qua thiết bị đầu cuối
kết nối cáp trực tiếp trong một trung tâm kiểm soát kỹ thuật an toàn, mỗi tình huống
xảy ra sẽ chứng minh mật khẩu bảo vệ. Trong trường hợp mà người dùng là quen
thuộc, một trung tâm kiểm soát kỹ thuật của mạng chính được một nhóm người theo

dõi kết quả. phần còn lại của nhóm của trung tâm kiểm soát kỹ thuật giám sát tình
trạng của mạng lưới bằng hình ảnh hiển thị, điều quan tâm bắt đầu với một cáp nối
trực tiếp đầu cuối đến một bộ định tuyến và các chức năng bằng hộp thoại của bộ định
tuyến. Không biết nhập vào cái gì, các nhóm theo dõi nhập vào một dấu hỏi (?), các
kết quả đó được trong hiển thị các lệnh bộ định tuyến. Trong khoảng thời gian ngắn,
người theo dõi này quản lý cấu hình bộ định tuyến, trong khi phần còn lại của nhóm
nghe lời chỉ dẫn bởi người quản lý trung tâm. Không cần thiết để nói, nếu một mật
khẩu trước đó đã được liên kết với đầu cuối truy cập, mất cấu hình bộ định tuyến trước
và tàn phá kết quả nó tạo ra là không thể.
Trong môi trường bộ định tuyến của Cisco, bạn có thể kết hợp một mật khẩu
với một phương pháp truy cập từ xa. Để làm được như vậy, bạn nên sử dụng mật khẩu
lệnh. Ví dụ:
Dòng điều khiển
Mật khẩu Bugs4bny
Bảng điều khiển truy cập bị khóa cho đến khi người điều hành bảng điều khiển
trả lời mật khẩu bugs4bny tại dấu nhắc bởi bộ định tuyến.
Mật khẩu của hãng Cisco có thể lên tới 80 ký tự. Các mật khẩu này thường
được kết hợp bất kỳ của các chữ cái, chữ số và các khoảng trắng. Trong lúc này các
quản trị viên định tuyến được quyền điều khiển và thay đổi các mật khẩu đó, đồng thời
mật khẩu này giới hạn người sử dụng truy cập vào bộ định tuyến. Điều này bởi vì khi
lựa chọn một mật khẩu thường dựa vào một số lượng lớn con số và chữ cái khác nhau
đồng thời trộn lẫn chúng lại với nhau. Khi sử dụng mật khẩu loại này chắc chắn sẽ khó
đoán và tránh được sự tấn công, đồng thời mật khẩu này cũng gây khó khăn cho quản
trị viên định tuyến nhập mật khẩu vào không chính xác. Nếu nhập sai ba lần, bộ định
tuyến của Cisco sẽ khóa. Vì vậy, khi lựa chọn một mật khẩu, điều quan trọng là phải
ghi nhớ một số nguyên tắc mật khẩu. Trước tiên, mật khẩu phải sử dụng hỗn hợp các
ký tự chữ và số để tránh bớt các nguy cơ tấn công . Thứ hai, khi xây dựng cấu trúc một
SVTH: Phạm Công Thắng_CCVT06B

18



Giải pháp an ninh mạng trong quản lý mạng truyền tải IP
mật khẩu hãy nhớ rằng càng mở rộng độ dài của mật khẩu thì càng làm tăng khả năng
xảy ra lỗi khi nhập mật khẩu. Nói chung, mật khẩu dài từ 10 đến 15 ký tự là đủ nếu
mật khẩu được cấu tạo từ liên kết giữa chữ viết tắt và một chuỗi các số.
2.1.6 Truyền file (tệp)
Chúng ta nhận thấy rằng, trước đây các giao thức truyền tệp thường (Trivial
File Transfer Protocol) thường được hỗ trợ bởi bộ định tuyến như là một kỹ thuật cho
phép hình ảnh hệ thống và các file cấu hình được lưu trữ trên trạm làm việc. Trong
môi trường bộ định tuyến của Cisco, cho phép tải các file cấu hình mạng khi khởi
động lại bộ định tuyến, chúng ta phải xác định lệnh dịch vụ cấu hình là mặc định và vô
hiệu hoá khả năng này. Nếu khả năng này được kích hoạt, bộ định tuyến sẽ phát tín
hiệu qua TFTP đọc một tin nhắn yêu cầu và trạm đầu tiên đáp ứng sẽ có file với một
tên cụ thể dựa vào cấu hình của bộ định tuyến được truyền qua mạng.
2.1.7 An ninh bên trong bộ định tuyến
Một khi đã đạt được quyền truy cập vào một bộ định tuyến, hệ điều hành của
thiết bị có thể cung cấp thêm khả năng bảo vệ, bạn có thể sử dụng thêm cho việc bảo
mật truy cập bộ định tuyến. Trong bộ định tuyến của Cisco lệnh phiên dịch trong hệ
điều hành được gọi tắt là Exec. Exec có hai mức truy cập: người dùng và đặc quyền.
Mức truy cập của người dùng cho phép người dùng sử dụng một số lệnh trong
các lệnh bộ định tuyến, ví dụ như lệnh cho phép mở danh sách các kết nối bộ định
tuyến, lệnh cung cấp tên đến một kết nối logic và lệnh hiển thị số liệu thống kê liên
quan đến hoạt động của bộ định tuyến. Mức truy cập đặc quyền bao gồm tất cả các
lệnh truy cập của người dùng cũng như các lệnh ảnh hưởng đến các hoạt động của bộ
định tuyến, chẳng hạn như lệnh về cấu hình, lệnh này cho phép nhân viên quản trị
mạng đặt lại cấu hình của bộ định tuyến, tải lại lệnh, lệnh tạm dừng hoạt động của thiết
bị và tải lại cấu hình của thiết bị và các lệnh tương tự có liên quan thiết thực đến tình
trạng làm việc của thiết bị.
Quyền của người được truy cập vào chế độ hoạt động đặc quyền của bộ định

tuyến Cisco nhận được khả năng điều khiển trực tiếp các hoạt động bộ định tuyến,
mức truy cập này có thể được bảo vệ bằng mật khẩu. Vì vậy, khi cài đặt bộ định tuyến
của Cisco, điều quan trọng khi sử dụng lệnh về cấu hình của bộ định tuyến thường sử
dụng mật khẩu. Ví dụ, để chỉ định mật khẩu power4you với mức lệnh đặc quyền, bạn
nên sử dụng mật khẩu lệnh cho phép như sau:
cho phép mật khẩu power4you
Tương tự mật khẩu kết hợp với một dãy nối tiếp tại thiết bị đầu cuối, mật khẩu
chỉ định đến lệnh đặc quyền là trường hợp nhạy cảm, mật khẩu có thể chứa bất kỳ hỗn
SVTH: Phạm Công Thắng_CCVT06B

19


Giải pháp an ninh mạng trong quản lý mạng truyền tải IP
hợp của ký tự chữ cái và chữ số, mật khẩu này tối đa đến 80 ký tự. Do đó, bằng cách
đặt một mật khẩu trên cổng nối tiếp, hoặc trên bất kỳ các kết nối đầu cuối ảo cũng như
trên các lệnh đặc quyền của bộ định tuyến, bạn bảo vệ cả hai truy cập vào các bộ định
tuyến giống như việc sử dụng các lệnh truy cập đặc quyền.

Hình 2.2
Hình 2.2 minh họa cấu hình xử lý ban đầu của bộ định tuyến và chỉ định mật
khẩu. Lưu ý rằng sau giao diện bộ định tuyến được hiển thị và một tên (BigMac) đã
được nhập vào bộ định tuyến, bạn sẽ được nhắc nhở để nhập ba mật khẩu. Mật khẩu
thứ nhất gọi tắt là cho phép bí mật, là một mật mã bí mật được sử dụng thay vì mật
khẩu cho phép. Thứ hai là mật khẩu cho phép là mật khẩu được sử dụng nơi không cần
bảo mật và khi sử dụng phần mềm cũ và một số hình ảnh khởi động. Thứ ba, mật khẩu
là mật khẩu đầu cuối ảo. Sau khi các mật khẩu đã được nhập vào, bộ định tuyến sẽ
nhắc bạn nhập dữ liệu cấu hình đặc trưng chỉ là một phần trong số đó được hiển thị
trong hình 2.2. Việc nhập mật khẩu được hiển thị trong hình 2.2 là minh họa cho mục
đích và phạm vi mô tả cấu tạo mật khẩu được đề cập trong phần này.


SVTH: Phạm Công Thắng_CCVT06B

20


Giải pháp an ninh mạng trong quản lý mạng truyền tải IP
2.1.8 Phạm vi phòng vệ bổ sung
Nếu bạn cần cung cấp một hoặc cho nhiều người dùng trên một mạng với cấu
hình của mạng gồm một hoặc nhiều bộ định tuyến, bạn có thể bổ sung thêm một lớp
bảo vệ mật khẩu ngoài. Để làm như vậy, bạn có thể lập trình một hoặc nhiều danh sách
truy cập bộ định tuyến. Mặc dù việc sử dụng danh sách truy cập vào định tuyến là
được ẩn, chúng ta có thể tóm tắt một số lưu ý rằng mật khẩu ngoài đại diện cho các
chọn lựa cho phép hoặc từ chối để áp dụng cho các địa chỉ Internet. Điều này có nghĩa
là nếu bạn có thể xác định địa chỉ IP của các trạm, điều này sẽ cung cấp cấu hình hoạt
động một hoặc nhiều bộ định tuyến thông qua việc nối mạng, bạn có thể sử dụng danh
sách truy cập của bộ định tuyến để hạn chế truy cập Telnet cho mỗi bộ định tuyến đến
một hoặc nhiều địa chỉ cụ thể IP. Điều này có nghĩa là không những nhà điều hành đầu
cuối cần phải biết chính xác mật khẩu để truy cập vào bộ định tuyến thích hợp mà họ
còn biết thêm vị trí xác định trước của bộ định tuyến trên mạng. Bằng cách kết hợp
bảo vệ mật khẩu bộ định tuyến với mật khẩu bảo vệ đặc quyền của chế độ điều hành
để hạn chế truy cập vào cấu hình của bộ định tuyến thông qua việc sử dụng một hoặc
nhiều danh sách truy cập để khóa quyền truy cập vào bộ định tuyến.
2.3 SỬ DỤNG DỊCH VỤ BỨC TƯỜNG LỬA (PROXY)
Bằng việc sử dụng giao thức TCP/IP được mở rộng trong những năm 1990 với
sự tăng trưởng sử dụng Internet, các tổ chức bắt đầu nhận ra rằng một mối đe dọa đối
với an ninh mạng khi mạng của họ được kết nối vào Internet. Khi hội viên học viện,
chính phủ và các mạng lưới thương mại được nối vào Internet, chúng đã trở thành chủ
đề để tấn công không giới hạn người dùng máy tính nằm ở khắp nơi trên thế giới.
Danh sách truy cập bộ định tuyến cung cấp một kỹ thuật cho phép hoặc không cho

phép luồng các gói thông qua cổng bộ định tuyến dựa vào địa chỉ IP nguồn, IP đích và
loại dữ liệu ứng dụng được biểu diễn dưới dạng số cổng.Tổ chức bắt đầu nhận ra rằng
bản thân danh sách truy cập định tuyến không đủ ngăn chặn để ngăn cản nhiều loại
hoạt động không mong muốn đến máy chủ cư trú đằng sau bộ định tuyến. Một giải
pháp được trình bày cung cấp mức an ninh cao hơn đến tổ chức mạng là sử dụng một
bức tường lửa sử dụng năng lực dịch vụ proxy nằm đằng sau bộ định tuyến, dịch vụ
proxy là tiêu điểm của phần này.
Trong phần này đầu tiên chúng ta xem ngắn gọn hoạt động danh sách truy cập
định tuyến và vài giới hạn của nó.Sử dụng thông tin này như là một cơ sở,rồi chúng ta
sẽ mô tả và thảo luận nhiều loại hoạt động khác nhau của dịch vụ tường lửa proxy và
chúng có thể sử dụng như thế nào để thu được một mức bảo vệ mạng nâng cao.

SVTH: Phạm Công Thắng_CCVT06B

21


Giải pháp an ninh mạng trong quản lý mạng truyền tải IP
2.3.1 Những giới hạn danh sách truy cập
Hầu hết các bộ định tuyến chứa một khả năng lọc gói được tạo thành bằng cách
mã hóa một hoặc nhiều phát biểu vào trong một vấn đề được dựa vào một danh sách
truy cập, sau đó áp dụng danh sách truy cập đến một giao diện định tuyến. Các phát
biểu danh sách truy cập gồm các tham số được định giá ngược lại các giá trị trong
trường gói đã định dạng tại lớp 3 và 4 trong mô hình tham khảo kết nối hệ thống mở
OSI của tổ chức chuẩn quốc tế ISO. Trong môi trường giao thức TCT/IP điều này
nghĩa là một danh sách truy cập đầu tiên hoạt động bằng việc kiểm tra địa chỉ IP nguồn
và đích trong một gói và số cổng được chứa trong gói mà được định nghĩa ứng dụng
đang được vận chuyển trong gói đã định dạng ở lớp 3 và 4 của mô hình tham khảo
ISO.
Một chìa khóa giới hạn kết hợp với việc sử dụng danh sách truy cập là sự thật

mà chúng là trong hiệu ứng che với khía cạnh đến hoạt động đang được cho phép.
Những kết quả này từ danh sách truy cập định tuyến không có khả năng nhìn xa hơn
vào trong các nội dung của một gói và xác định hoạt động có hại có xảy ra hay không
và nếu vậy, ngược lại dừng hoạt động hoặc phát ra một tin nhắn báo động thích hợp
đến một hoặc nhiều người trong dạng tín hiệu âm thanh , tin nhắn thư, trang báo động
hoặc kết hợp các kỹ thuật như vậy.
Minh họa tiềm năng giới hạn của danh sách truy cập định tuyến xem xét ứng
dụng giao thức vận chuyển tệp FTP (File Transfer Protocol) phổ biến dùng để truyền
tệp giữa các máy chủ. Khi sử dụng danh sách truy cập định tuyến ,bạn có thể cho phép
hoặc từ chối các phiên ftp dựa trên địa chỉ IP nguồn hoặc địa chỉ IP đích được chứa
trong mỗi gói thông tin ftp vận chuyển. Tin rằng tổ chức của bạn vận hành một ftp
server hổ trợ truy cập ẩn danh,cho phép bất cứ ai nối đến Internet để truy cập và lấy lại
thông tin từ ftp server, một sự kiện tương đối chung trên Internet. Chúng ta hãy cho
thêm rằng tổ chức của bạn có số tệp lớn trên server có khả năng tải dữ liệu. Điều này
có nghĩa người ta có thể cố ý hoặc không cố ý sử dụng lệnh ftp mget(multiple get) để
lấy lại một số tệp lớn với một dòng lệnh vào ftp. Trên thực tế nếu người ta truy cập, ftp
server của tổ chức bạn đưa ra lệnh mget sử dụng dấu hoa thị (*) trong tên tệp(file) hoạt
động wildcard và vị trí tệp mở rộng được tạo thành từ dòng lệnh mget *.* rồi lệnh này
đưa đến trong ftp server của tổ chức bạn tải xuống mọi tệp trong thư mục, sau đó đến
người dùng đầu xa. Nếu tổ chức của bạn có số tệp lớn, dữ liệu lưu trữ tập hợp vài
gigabytes và tốc độ kết nối vào Internet thấp, chẳng hạn 56 kbps,64 kbps hoặc kết nối
T1, sử dụng một lệnh mget *.* có thể liên kết ra ngoài dùng kết nối Internet nhiều giờ
và nhiều ngày. Nếu tổ chức của bạn hoạt đông một word wide web server cũng như
một ftp server và cung cấp truy cập Internet đến nhân viên qua một đường dây truy
SVTH: Phạm Công Thắng_CCVT06B

22


Giải pháp an ninh mạng trong quản lý mạng truyền tải IP

cập, sử dụng mget trên cơ sở cố ý xem xét để mô tả được đơn giản nhưng phương
pháp từ chối dịch vụ tấn công hiệu quả (DOS). Loại tấn công này là hoàn toàn hợp
pháp,như người ta thuê lệnh mget đang thực hiện một vận hành hoàn toàn hợp lệ,thậm
chí thông qua kết quả vận hành có thể liên kết kết nối tổ chức của bạn đến Internet cho
nhiều giờ hoặc thậm chí nhiều ngày. Một cách tương tự, cho phép người ta có khả
năng tải dữ liệu đến ftp server của tổ chức bạn nghĩa là chúng có thể xem xét sử dụng
mget ngược lại.,đó là lệnh mput. Thông qua sử dụng mput với wildcard, chúng có thể
cài đặt thiết bị 286 cũ và bơm nhiều gigabyte dữ liệu đến ftp server của bạn, cản trở
phần chia về đường dây truy cập Internet của tổ chức bạn. Thừa nhận rằng cần nghiên
cứu hoạt động lớp ứng dụng và cung cấp các tổ chức với khả năng điều khiển ứng
dụng dẫn đến phát triển khả năng dịch vụ proxy với bức tường lửa.
2.3.2 Các dịch vụ proxy
Các dịch vụ proxy mô tả thuật ngữ có đặc điểm chung kết hợp với việc sử dụng
proxy server. Proxy server thông thường được thực hiện như một khối mã hóa phần
mềm trên bức tường lửa và hổ trợ một hoăc nhiều ứng dụng cho các hành động phục
vụ như một vật trung gian hoặc proxy giữa một yêu cầu và phục vụ hiện tại cái mà
cung cấp yêu cầu phục vụ .Khi đã thực hiện trong cách này,tất cả yêu cầu cho ứng
dụng định rõ được xem xét đầu tiên bằng dịch vụ hoạt động proxy trên proxy
server.Nếu dịch vụ proxy được cấu hình trước cho phép hoặc không cho phép một
hoặc nhiều chức năng ứng dụng với ứng dụng TCP/IP định rõ thì dịch vụ proxy xem
xét nội dung mỗi gói tin và có thể một chuỗi gói tin và so sánh nội dung đến cấu hình
dịch vụ proxy. Nếu nội dung của gói tin hoặc chuỗi gói tin biểu thị một hoạt động định
rõ được cho phép bởi cấu hình của dịch vụ proxy thì dịch vụ cho phép gói tin chảy đến
server thích hợp. Ngược lại gói tin ngay lập tức gửi đến một ít thùng lớn trong bầu trời
hoặc có thể phép. Server tạo ra tin nhắn cảnh báo và một báo động hoặc tin nhắn cảnh
báo đến quản trị bức tường lửa hoặc người có trách nhiệm khác .
Để minh họa việc sử dụng dịch vụ proxy, chúng ta quay trở lại ví dụ truy cập
ftp server của chúng ta. Một dịch vụ ftp proxy chung cho phép quản trị bức tường lửa
cho phép hoặc làm mất hiệu lực các lệnh ftp khác nhau. Sử dụng chức năng này, quản
trị bức tường lửa có thể điều khiển khả năng người dùng ftp để đưa ra các loại lệnh ftp

khác nhau, chẳng hạn như mget và mput.
Trong môi trường Microsoft Window bạn có thể sử dụng mget kiểu luồng hoăc
kiểu tương tác lẫn nhau.Liên quan nữa, ftp sẽ nhắc nhở bạn thông qua việc sử dụng
dấu hỏi(?) là tệp kế tiếp sẽ được truyền hoặc không được truyền. Một ví dụ sử dụng
mget được minh họa trong hình 2.5. Chú ý rằng bằng sự nhập vào đơn giản một sự
điều khiển trở lại là nhắc nhở? bên cạnh tệp được truyền. Vì vậy ,nó dễ dàng liên hệ
SVTH: Phạm Công Thắng_CCVT06B

23


Giải pháp an ninh mạng trong quản lý mạng truyền tải IP
cho một tin tặc ghi một mã đến luồng tệp khi sử dụng mget dưới kiểu tương tác lẫn
nhau của Window và ano-brain dưới kiểu luồng của nó.
Nếu bạn quen với cách trong ftp server được cấu hình,bạn hầu như chắc chắn
nhận ra rằng quản trị ftp server được giới hạn chỉ định đọc và/hoặc viết cho phép đến
danh mục và có thể, tùy theo hệ thống hoạt động được dùng đến các tệp trong một
danh mục cho người sử dụng ẩn danh hoặc không ẩn danh, sau đó một thuật ngữ
thường biểu thị người có một tài khoảng trên server. Tuy nhiên ,không có kỹ thuật mà
tác giả này có nhận thức cho phép một quản trị ftp server hoặc một quản trị định tuyến
cho phép chọn lựa hoặc làm mất hiệu lực các lệnh ftp riêng lẻ. Vì vậy, một dịch vụ ftp
proxy cung cấp quản trị server ftp với một khả năng nâng cao đáng kể được sử dụng
để cấu hình khả năng và chức năng dịch vụ ftp mà những người sử dụng khác có thể
truy cập.

Hình 2.3
Hình 2.5 Sử dụng mget dưới windows NT đòi hỏi một trả lời đến mỗi tệp nhắc
nhở, có thể một điều khiển trở lại.
Khả năng thuê dịch vụ proxy là dựa vào sử dụng vị trí bức tường lửa nằm giữa
một bộ định tuyến và mạng server được nối đến một mạng LAN đằng sau bộ định

tuyến.Vì vậy,loại dịch vụ proxy đó có thể được cung cấp chỉ giới hạn bởi nhu cầu của
một tổ chức và chương trình của các chương trình bức tường lửa.Vài loại dịch vụ
proxy phổ biến nữa gồm dịch vụ proxy đầu cuối xa Tenet , TN3720 ,Hypertext
Transport Protocol(HTTP),dịch vụ proxy ftp đã thảo luận trước đó và dịch vụ proxy
ICMP.Sau đây mô tả một loại dịch vụ proxy đặc biệt và xứng đáng thảo luận kỹ lưỡng
vì nâng cao khả năng an ninh, nó chắc chắn cung cấp những gì chống lại các loại tấn
công của tin tặc.

SVTH: Phạm Công Thắng_CCVT06B

24


Giải pháp an ninh mạng trong quản lý mạng truyền tải IP
2.3.3 Các dịch vụ proxy ICMP
Giao thức tin nhắn điều khiển Internet ICMP (Internet Control Message
Protocol) mô tả mmột giao thức lớp 3 trong giao thức TCP/IP. ICMP quen với truyền
tin nhắn lỗi cũng như các câu hỏi trạng thái và trả lời những câu hỏi đó. Những gói
ICMP được tạo thành bằng việc sử dụng một tiêu đề giao thức Internet IP chứa một số
thích hợp trong trường loại (Type) của nó .
Mặc dầu sử dụng ICMP là đầu tiên được định hướng theo vận chuyển tin nhắn
lỗi giữa thiết bị hoạt động giao thức TCT/IP và vận chuyển đến người sử dụng
mạng,giao thức cũng được sử dụng phổ biến bởi nhiều cá nhân mà hầu như không biết
chắc chắn rằng chúng đang sử dụng gói truyền dẫn ICMP.
Hai trong các loại gói ICMP phổ biến là yêu cầu phản hồi(Echo Request) và
yêu cầu trả lời ( Response Request), loại được biết đến hầu hết mọi người là hoạt động
Ping hoặc ứng dụng. Ứng dụng Ping được thực hiện trên một giao thức TCP/IP định
rõ, một người dùng tiêu biểu vào tên lệnh ứng dụng Ping tiếp theo tên máy chủ (host)
hoặc địa chỉ IP máy chủ và một hoặc nhiều tham số tùy chọn mà các tham số đó ảnh
hưởng đến cách hoạt động của Ping.

Sử dụng Ping với ý định ban đầu như một kỹ thuật cho phép người dùng xác
định một máy chủ từ xa là hoạt động và sử dụng giao thức TCP/IP. Ping một máy chủ
ở xa một gói yêu cầu phản hồi (Echo Request ) ICMP kết quả máy chủ ở xa gửi lại một
gói trả lời (Echo Response ) ICMP nếu máy chủ ở xa nhận được, sẵn sàng hoạt động
và thực hiện chức năng TCT/IP. Lý do sử dụng Ping cũng lưu ý nếu một máy chủ ở xa
nhận được và Ping timeout nghĩa là máy chủ ở xa không hoạt động ,một hoặc nhiều
thiết bị truyền thông trong đường dẫn đến máy chủ xa có thể bị rớt mạch.Tuy nhiên
,hầu hết các trường hợp Ping mô tả phương pháp xử lý sự cố đầu tiên dùng khi nó xuất
hiện mà một máy chủ không trả lời câu hỏi.
Bổ sung thêm rằng một máy chủ sẵn sàng đón nhận và sẵn sàng hoạt động ,sử
dụng Ping cung cấp thông tin liên quan quanh độ ngắt vòng trễ đến máy chủ từ xa. Kết
quả thông tin này từ ứng dụng Ping trên việc cài đặt đồng hồ khởi đầu và ghi nhớ thời
gian cho đến khi nhận được một câu trả lời hoặc thời gian không làm gì xảy ra và thu
được câu không trả lời. Thời gian giữa truyền Ping và nhận một câu trả lời mô tả gói
tin thời gian trễ trọn vòng và cung cấp thông tin quí giá là tại sao một hoạt động phụ
thuộc thời gian như sản phẩm thoại trên IP (VoIP).
Khi thời gian đầu bạn Ping một đích sử dụng tên máy chủ,giao tức của bạn có
thể phải thực hiện một hoạt động giả pháp địa chỉ để xác định địa chỉ IP cần cho định
tuyến trực tiếp chính xác gói tin đến đúng đích của nó, ảnh hưởng thêm một sự trễ. Do
đó, hầu hết thực hiện Ping bằng mặt định phát ra giữa từ ba đến năm gói yêu cầu liên
tục phản hồi. Tuy nhiên, một vài thực hiện của Ping cho phép người dùng đặt một tùy
SVTH: Phạm Công Thắng_CCVT06B

25