Các biện pháp dự phòng chống tấn công trong mạng internet
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.33 MB, 92 trang )
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
--------------------------------------NGUYỄN ĐỨC TRỤ
CÁC BIỆN PHÁP DỰ PHÒNG CHỐNG TẤN CÔNG TRONG
MẠNG INTERNET
CHUYÊN NGÀNH KỸ THUẬT ĐIỆN TỬ
LUẬN VĂN THẠC SĨ KỸ THUẬT
KỸ THUẬT ĐIỆN TỬ
NGƯỜI HƯỚNG DẪN KHOA HỌC : TS. LÊ DŨNG
Hà Nội – Năm 2014
i
MỤC LỤC
MỤC LỤC ...................................................................................................................ii
LỜI CAM ĐOAN ........................................................................................................ iv
DANH MỤC HÌNH VẼ ............................................................................................... v
DANH MỤC TỪ VIẾT TẮT ...................................................................................... vi
LỜI NÓI ĐẦU ............................................................................................................ 1
Chương 1 Tổng quan về mạng máy tính ...................................................................... 4
1.1
Giới thiệu về mạng máy tính. .......................................................................... 4
1.2
Các mạng máy tính ngày nay. .......................................................................... 4
1.2.1
Mạng LAN – Local Area Network. ........................................................... 4
1.2.2
Mạng MAN Metropolitan Area Network. ................................................ 6
1.2.3
Mạng WAN ( wide area network). ............................................................ 7
1.2.4
Mạng internet.......................................................................................... 10
Chương 2 Các phương pháp dự phòng đảm bảo an toàn trong mạng core-internet. .. 11
2.1
Các mục tiêu của việc dự phòng đảm bảo an toàn mạng ................................ 11
2.1.1
Đảm bảo tính bảo mật ............................................................................. 11
2.1.2
Đảm bảo tính toàn vẹn dữ liệu ................................................................ 12
2.1.3
Đảm bảo tính sẵn sàng của hệ thống ....................................................... 12
2.1.4
Tấn công một hệ thống mạng .................................................................. 12
2.1.5
Các bước tiến hành của một tin tặc ( Hacker) .......................................... 13
2.2
Các phương án dự phòng đảm bảo an toàn mạng ........................................... 14
2.2.1
Thiết kế dự phòng phần cứng .................................................................. 14
2.2.2
Dự phòng mềm ....................................................................................... 16
2.3
Các nguy cơ về bảo mật trong mạng Core –internet....................................... 21
Chương 3 Các cách phòng chống tấn công trong mạng Core-internet triển khai tại các
nhà cung cấp dịch vụ ( ISP) trong nước ...................................................................... 22
3.1
Cấu hình chống tấn công ARP snoofing ........................................................ 22
3.1.1
Giao thức ARP........................................................................................ 22
ii
3.1.2
Quá trình chuyển bản tin trong giao thức ARP. ....................................... 23
3.1.4
Các đặc điểm cơ bản của giao thức ARP ................................................. 24
3.1.5
Các hình thức tấn công ARP ................................................................... 25
3.1.6
Các cách phòng chống tấn công ARP...................................................... 27
3.1.7
Thực nghiệm lấy thông tin password của thiết bị khi đăng nhập trong LAN
33
3.2
Tấn công làm tràn bảng MAC (CAM) ........................................................... 37
3.2.2
Nguyên lý ............................................................................................... 37
3.2.3
Cấu hình ................................................................................................. 39
3.3
Cấu hình CPU defend ( Device Security)....................................................... 41
3.3.1
Giới thiệu................................................................................................ 41
3.3.2
Mục đích của DS ( device security )........................................................ 42
3.3.3
Nguyên lý hoạt động ............................................................................... 42
3.3.4 Cấu hình trên thiết bị Huawei sử dụng trong mạng METRO internet........... 44
3.4
Cấu hình bảo mật dùng mã hóa MD5 cho giao thức mạng ............................. 50
3.4.1
Giới thiệu................................................................................................ 50
3.4.2
Cấu hình mã hóa cho giao thức ............................................................... 52
3.5
Ngăn chặn truy cập với access-list ................................................................. 67
3.6
Cấu hình theo dõi traffic để phát hiện tấn công trên mạng IP ......................... 71
3.6.1
Cấu hình trên thiết bị Cisco S6509 với IOS cũ ........................................ 71
3.6.2
Cấu hình trên IOS XR ( mới ) thiết bị ASR9K, Cisco CRS-3 .................. 73
3.7
Phòng chống tấn công DDoS trên mạng core ................................................. 74
3.8
Kiểm tra thực tế tấn công ARP trong mạng Viettel ........................................ 82
KẾT LUẬN ................................................................................................................ 85
TÀI LIỆU THAM KHẢO .......................................................................................... 86
iii
LỜI CAM ĐOAN
Trước hết, tôi xin gửi lời cảm ơn chân thành tới tập thể các thầy cô trong Viện Điện tử
viễn thông, trường Đại học Bách Khoa Hà Nội đã tạo ra một môi trường tốt để tôi học
tập và nghiên cứu. Tôi cũng xin cảm ơn các thầy cô trong Viện Đào tạo sau đại học đã
quan tâm đến khóa học này, tạo điều kiện cho các học viên có điều kiện thuận lợi để
học tập và nghiên cứu. Và đặc biệt tôi xin gửi lời cảm ơn sâu sắc đến thầy giáo TS. Lê
Dũng, đã tận tình hướng dẫn và sửa chữa cho nội dung của luận văn này.
Tôi xin cam đoan rằng nội dung của luận văn này hoàn toàn do tôi tìm hiểu, nghiên cứu
và viết ra. Tất cả đều được tôi thực hiện cẩn thận, có sự góp ý và sửa chữa của giáo
viên hướng dẫn.
Tôi xin chịu trách nhiệm với tất cả nội dung trong luận văn này.
Tác giả
Nguyễn Đức Trụ
iv
DANH MỤC HÌNH VẼ
Hình 1-1 Sơ đồ mạng LAN đơn giản ............................................................................ 5
Hình 1-2 Sơ đồ mạng MAN của một khu vực thực tế ................................................... 7
Hình 1-3 Mô hình mạng WAN trong thực tế ................................................................ 8
Hình 2-1 Mô hình mạng core-ip ................................................................................. 15
Hình 2-2 mô hình mạng triển khai dự phòng theo kiểu Ring ....................................... 16
Hình 3-1 Định dạng gói tin ARP ................................................................................ 22
Hình 3-2 Kiểm tra bảng ánh xạ ARP IP-MAC ............................................................ 25
Hình 3-3 Mô hình mạng tấn công MITM .................................................................... 27
Hình 3-4 xây dựng mô hình chứng thực kiểu client-server .......................................... 28
Hình 3-5 mô hình mạng tấn công trong LAN.............................................................. 34
Hình 3-6 Kết quả truy cập địa chỉ modem 192.168.1.1 ............................................... 35
Hình 3-7 Khởi chạy cain & abel ................................................................................ 36
Hình 3-8 Kết quả của khởi chạy ................................................................................. 36
Hình 3-9 Quá trình tấn công MAC flooding ............................................................... 38
Hình 3-10 Mô hình nguyên lý hoạt động DS .............................................................. 42
Hình 3-11 Nguyên lý thực thi bảo đảm an toàn thiết bị .............................................. 43
Hình 3-12 Kết quả thực tế kiểm tra CPU-defend ........................................................ 46
Hình 3-13 kết quả CPU-defend ................................................................................... 47
Hình 3-14 kết quả CPU-Defend .................................................................................. 48
Hình 3-15 kết quả CPU-Defend .................................................................................. 49
Hình 3-15 Kết quả CPU-Defend ................................................................................. 50
Hình 3-16 Mô hình giả lập kiểm tra mã hóa trên mạng 2 router .................................. 52
Hình 3-17 Kiểm tra ospf neighbor trên R1 .................................................................. 61
Hình 3-18 Kiểm tra ospf neighbor trên R2 .................................................................. 62
Hình 3-19 Bản tin bắt gói với Wireshark khi chưa mã hóa ......................................... 64
Hình 3-20 kiểm tra thông tin OSPF với mã hóa MD5 ................................................. 66
Hình 3-21 kết quả bắt gói tin khi đã mã hóa ............................................................... 67
Hình 3-22 Mô hình kết nối server netflow trên mạng IP ............................................. 74
Hình 3-23 quá trình bắt tay 3 bước trong TCP/IP ........................................................ 76
Hình 3-24 Mô hình kết nối của IDC ........................................................................... 78
Hình 3-25 kết quả theo dõi traffic khi IDC bị tấn công ............................................... 79
Hình 3-26 sơ đồ đấu nối khách hàng tới nhà cung cấp dịch vụ .................................... 82
v
DANH MỤC TỪ VIẾT TẮT
Từ viết tắt
Từ tiếng anh
ISP
Internet Service Provider
LAN
Local Are Network
WAN
Wide Are Network
MAN
Metropolitan Area Network
ARP
Address Resolution Protocol
MAC Adress
Media access controll address
CPU
Control Processing unit
MITM
Man-in-the-midle
OSPF
Open Shortest Path First
IP
Internet protocol
IOS
Internet operation system
CAM
Content Address Memory
ACL
Access-control-list
VLAN
Virtual LAN
DDoS
Distributed denial of service
Core-ip
Core internet protocol network
Modem
Modulation- Demodulation
DS
Device Security
PC
Personal Computer
GSM
Global System for Mobile Communications
TCP
Tranmission Control Protocol
vi
Luận văn
Các biện pháp dự phòng chống tấn công trong mạng internet
LỜI NÓI ĐẦU
Khoa học công nghệ ngày một phát triển và có ảnh hưởng to lớn tới đời sống
sinh hoạt và văn hóa của con người, đặc biệt là công nghệ thông tin truyền thông,
nó ảnh hưởng trực tiếp đến mỗi chúng ta, đến cách mà con người nói chuyện,
làm việc với nhau, ngày nay mạng máy tính phát triển cùng công nghệ không
dây các hệ thống mạng GSM 2G,3G ngày càng bùng nổ mỗi người mỗi nhà đều
có một cái PC, và điện thoại di động, hàng ngày chúng ta dùng đó để trao đổi tin
tức và công việc, dùng điện thoại máy tính để thanh toán tiền điện nước, học phí
cho con cái, hay mua đồ dùng sinh hoạt hàng ngày. Với việc hoạt động dịch vụ
trên mạng internet ngày càng cao việc đảm bảo tin cậy của hệ thống, chống lại
các cuộc tấn công ( thường làm mất uy tín doanh nghiệp, và đánh cắp thông tin
khách hàng) là vô cùng quan trọng.
Vậy việc đảm bảo cho hệ thống mạng được an toàn và thông suốt đóng góp lớn
vào sự phát triển của các doanh nghiệp, đảm bảo lòng tin của khách hàng, và
cũng là cách tốt nhất để phát triển.
Do vậy em chọn đề tài “ Các biện pháp dự phòng chống tấn công trong mạng
internet “. Nội dung bao gồm 3 phần chính.
Chương 1 : Tổng quan về mạng máy tính.
Chương 2 : Các phương pháp dự phòng đảm bảo an toàn trong mạng
core- internet.
Chương 3 : Các cách phòng chống tấn công trong mạng core-internet triển khai
tại các nhà cung cấp dịch vụ (ISP) trong nước.
Nguyễn Đức Trụ
Page 1
Luận văn
Các biện pháp dự phòng chống tấn công trong mạng internet
Đứng dưới vai trò nhà cung cấp dịch vụ, và đang thực hiện các biện pháp đảm
bảo an toàn trong mạng core-internet nên trong đề tài này chỉ đưa ra các phương
pháp đảm bảo trong mạng core thuộc bộ phận truyền tải mạng IP cho tất cả các
dịch vụ khác.
Chương 1 Trình bày một cách tổng quan về mạng máy tính ngày nay, mục đích
là đưa ra các khái niệm, ví dụ như mạng LAN, WAN,MAN,Internet.
Chương 2 Trình bày về các nguyên lý cơ bản về dự phòng, đảm bảo an toàn
mạng lưới trong hệ thống mạng, dự phòng về vật lý như về thiết bị, tuyến cáp, về
các điều kiện, các điều kiện đảm bảo tính toàn vẹn dữ liệu, bảo mật hệ thống,
tính sẵn sàng chống tấn công, thế nào là tấn công một hệ thống và các bước mà
kẻ tấn công thường sử dụng.
Chương 3 Nội dung chính của đề tài được trình bày trong chương này là các
phương pháp mà nhà mạng đã triển khai để chống tấn công đảm bảo an toàn
mạng lưới, trình bày về các hình thức tấn công ARP, và giải pháp, các tin tặc lợi
dụng lỗ hổng của việc bắt tay 3 bước trong giao thức TCP/IP, và một số bài thực
hành mô phỏng kẻ tấn công có thể lấy cắp thông tin trong mạng LAN, trình bày
mô phỏng về cấu hình mã hóa bảo mật giao thức OSPF với mã hóa MD5.
Trình bày về cấu hình DS ( Device Security) cấu hình CPU defend trên router
core của Huawei đang được triển khai tại Vietnam, Cấu hình theo dõi traffic dựa
trên Netflow của Cisco.
và trình bày một số trường hợp kiểm tra giúp các đối tác ngăn chặn tấn công kịp
thời, kiểm tra nguyên nhân gây ra lỗi dịch vụ trên hệ thống mạng Metro của
Nguyễn Đức Trụ
Page 2
Luận văn
Các biện pháp dự phòng chống tấn công trong mạng internet
Viettel. Như giúp IDC chặn tấn công DDoS từ quốc tế, Kiểm tra nguyên nhân
gây lỗi dịch vụ 3G ở Cần thơ.
Đề tài thực hiện trong thời gian ngắn nên không thể đưa ra tất cả phương pháp
đang dùng hiện nay, các ví dụ cũng chỉ dùng lại ở một giao thức là OSPF, còn
nhiều giao thức công nghệ IP khách như BGP,VPN-MPSL,ISIS, Ipsec các giao
thức bảo vệ vòng ring của Huawei như RRPP bảo vệ layer2.
Đề tài chỉ thực hiện trong mạng core-ip các dịch vụ chỉ ở layer 3-4 lớp Network
và lớp transport, do vậy chỉ có thể giới hạn ngăn chặn tấn công người dùng dựa
vào địa chỉ IP, MAC, do vậy vẫn không thể phân tích được các gói tin bên trong
khách hàng, không kiểm soát được nội dung, việc Lan truyền mã độc, virus… do
vậy để giải quyết vấn đề này trong thời gian tới sẽ nghiên cứu thêm về hệ thông
firewall faf hệ thống quản lý băng thông như SCE, Allot… có thể phân tích gói
tin đến lớp 7 nên có thể kiểm soát tối đa dịch vụ khách hàng.
Trân trọng !
Nguyễn Đức Trụ
Page 3
Luận văn
Các biện pháp dự phòng chống tấn công trong mạng internet
Chương 1 Tổng quan về mạng máy tính
1.1 Giới thiệu về mạng máy tính.
Mạng máy tính là tập hợp tất cả các máy tính( mà ngày nay là các thiết bị có thể kết nối
với nhau như điện thoại,camera, máy in…) kết nối với nhau trao đổi giữ liệu với nhau.
Ngày nay kết nối mạng có một vai trò rất quan trọng nó giúp mọi người khắp nơi có
thể kết nối trao đổi thông tin với nhau một cách nhanh chóng và thuận tiện, giúp chúng
ta có thể gọi điện, chuyển thư điện tử, gửi ảnh, truyền video, thanh toán tiền điện,
nước, chuyển khoản ngân hàng, nhìn thấy những lợi ích như thế cũng đồng nghĩa với
những thách thức mà chúng ta phải đối mặt như việc đánh cắp thông tin, việc tấn công
các server, máy chủ làm tê liệt các dịch vụ của khách hàng, đây đang là một vấn đền
hết sức bức bách cần sự phối hợp của người dùng cùng các nhà cung cấp dịch vụ ( ISP
). Trước khi đi vào vấn đề này chúng ta hãy xem quan tổng quan về các loại mạng máy
tính ngày nay.
1.2
Các mạng máy tính ngày nay.
Tùy thuộc vào phạm vi, mức độ, tích chất mà người ta chia mạng máy tính ra làm
nhiều loại mạng khác nhau, nhưng nhìn chung xét về phạm vi hoạt động thì có thể chia
thành các mạng sau:
Mạng LAN – Local Area Network.
Mạng MAN – Metropolitan Area Network
Mạng WAN- Wide Area Network
Mạng Internet- gọi là mạng của mạng ( kết nối mọi mạng với nhau).
1.2.1 Mạng LAN – Local Area Network.
Xét về phạm vi hoạt động thì mạng LAN là mạng có quy mô nhỏ nhất trong tất cả các
loại. thường được hiểu là mạng các máy tính ( thiết bị kết nối) kết nối với nhau trong
Nguyễn Đức Trụ
Page 4
Luận văn
Các biện pháp dự phòng chống tấn công trong mạng internet
một phạm vi nhỏ. Và các thiết bị trong mạng thường đều được kết nối đến một thiết bị
tập trung đó là Switch. Đây cũng là thiết bị chính dóng vai trò kết nối trong mạng, do
vậy việc bảo đảm an toàn dữ liệu trong mạng Lan cũng đều được thiết lập trên thiết bị
này là chính. Ta có mô hình cơ bản sau:
internet
Modem
Máy trạm 1
Switch
`
`
Máy trạm 1
Máy trạm 2
`
Máy trạm 3
`
Máy trạm 4
`
Máy trạm 5
LAN 1
Hình 1-1 Sơ đồ mạng LAN đơn giản
Mạng LAN thì thường được giới hạn trong hộ gia đình, trong một phòng ban, trong
lớp. nhưng do nhu cầu ngày nay việc kết nối giữ các phòng ban, và tiết kiệm tài nguyên
nên hiện nay người ta hay xây dựng mạng LAN ảo ( Virtual LAN) , ở đây trên Switch
sẽ được cấu hình để phân chia nhóm kết nối.
Nguyễn Đức Trụ
Page 5
Luận văn
Các biện pháp dự phòng chống tấn công trong mạng internet
1.2.2 Mạng MAN Metropolitan Area Network.
Mạng MAN thường được gọi là mạng đô thị là sự kết hợp của nhiều mạng LAN lại với
nhau, nhưng ngày nay mạng MAN còn được hiểu là một mạng băng rộng, kết nối trong
phạm vi một vùng, một khu vực rộng lớn hơn rất nhiều, thực hiện được điều này là do
sự phát triển của công nghệ truyền dẫn, màn ngày nay đang sử dụng là truyền dẫn
quang .
Mạng MAN bây giờ là mạng tích hợp đa dịch vụ các nhà cung cấp dịch vụ ISP trong
nước như Viettel, FPT, VTN đều xây dựng mạng MAN làm nền tảng chuyển dữ liệu
cho các dịch vụ như 3G, IPTV, FTTX, ADSL, Cầu truyền hình…
Ví dụ về một mô hình mạng MAN.
Nguyễn Đức Trụ
Page 6
Luận văn
Các biện pháp dự phòng chống tấn công trong mạng internet
DNG_P2_NE5000E_NTH02
DNG_T640_NTH01_RE0
DNG_T640_NTH02_RE0
CORE_PS-2_CX600-8
MPBN
DCN
Internet
PS SGSN
IPBN
PS
DN-SW35
IGW
DNG_S650
9 _NTH03
DNG_S650
9 _NTH04
DN-SW36
PS-GGSN
CORE_PS-1_CX600-8
DNG_P1_T1600_NTH01
RCNH01-12
CV5_NTH01
1 x1
2GE
CV6_NTH02
E
0G
E
0G
1x
e
0G
10
G
e
1
1x
1 x1
CT_
QTI0
1
CV6_NTH01
CV5_NTH01
4xGe
1x
10
1x
GE
Ge
1x
10
0
1x1
Ge
CT_
QTI0
2
CT_
QNM
01
Ge
10
CT_K
TM02
1x
1x10Ge
1x10Ge
0G
e
1x 1
0G
e
1x
1
1x
10
1x10Ge
Ge
1x10
1x10Ge
Ge
1x10Ge
G
e
Ge
10
Ge
10
1x
1x10
Ge
1x10
1x10Ge
E
0G
G
e
1
1x
E
0G
GE
1x10Ge
1x1
1x10
1x10
Ge
1x
10
CT_
QNM
02
CT_
QNI0
1
CT_K
TM01
CT_D
CN02
CT_D
CN01
CT_
QNI0
2
CT_B
DH01
CT_B CT_PCT_PCT_K CT_K CT_N CT_N CT_B CT_B AGG_D AGG_
DH02 YN01YN02HA01 HA02 TN01 TN02 TN01 TN02 NG01 DNG0
2
CT_TTCT_TT
H01 H02
CT1 CT2
GLIT GLIV
TM
13
CT1D CT2D
LKTT LKV1
M
5
CT_L CT_L
DG01 DG02
Hình 1-2 Sơ đồ mạng MAN của một khu vực thực tế
Về thiết bị thì trong mạng MAN hay còn gọi là mạng METRO thì sử dụng các bộ
định tuyến ( router) và chuyển mạch ( switch) Các quận huyện thì dùng các switch
chuyển mạch, và tập trung vào các Switch core đi qua bộ định tuyến và kết nối với
các dịch vụ khác.
Mạng METRO internet.
1.2.3 Mạng WAN ( wide area network).
Nguyễn Đức Trụ
Page 7
Luận văn
Các biện pháp dự phòng chống tấn công trong mạng internet
Mạng WAN là mạng thường được sử dụng trong các doanh nghiệp, có phạm vi kết nối
lớn là mạng kết nối nhiều mạng nhỏ( mạng LAN) hay mạng thông tin băng rộng (
mạng MAN) dạng phổ biến hơn của mạng WAN chính là mạng internet ngày nay,
mạng WAN kết nối các chi nhánh, các trung tâm, các doanh nghiệp với nhau.
Một tập hợp các thiết bị chuyển mạch ( switch) và bộ định tuyến ( router) kết nối với
nhau tạo nên mạng WAN. Và sử dụng các mạng truyền dẫn như PSTN,ISDN, ATM,
FrameRelay, Tvcable, Cáp quang, Viba, vệ tinh. Hoặc wimax
Dùng nhiều giao thức khách nhau ( MPLSVPN, IPSec….)
Sử dụng các Gateway.
Dùng mạng WiMax.
SYSTEM
DNG
SYSTEM
HNI
HNI_930
3_GVM0
1_301
Trục 2B – 1C
HNI_S53
28_PVN_
01
DNG_S53
28_NTH_
01
Trục 2B
Trục 2B - 1C
SYSTEM
HHT
FW Office
PE_Services_1
Stack
PLM
SYSTEM
PLM
FW DCN
HCM_SSG550_HHT02_01
HCM_SSG550_HHT01_02
HCM_SSG550_HHT02_02
SW OFFICE
HCM_S3560_HHT
02_01
HCM_S5
328_PL
M01_301
Stack
HHT
HCM_SSG550_HHT01_01
CHDL
Trục 2B - 1C
OSPF Area
0
HCM_S5
328_HH
TN3_201
DNG_S53
28_NTH_
02
SW OFFICE
PLM_S3550_PLM
01_01
Hình 1-3 Mô hình mạng WAN trong thực tế
Nguyễn Đức Trụ
Page 8
Luận văn
Các biện pháp dự phòng chống tấn công trong mạng internet
Các yêu cầu chính được cần được xem xét khi thiết kế mạng diện rộng:
Phân tích các yêu cầu mạng:
Loại các ứng dụng, lưu lượng truyền tải, và mô hình truyền tải
Dự phòng và sao lưu cần thiết
Đặc điểm của mạng lưới và các ứng dụng hiện có:
Công nghệ được sử dụng
Địa chỉ của máy chủ, máy chủ, thiết bị đầu cuối, và các node mạng đầu cuối
khác
Xây dựng mạng WAN và thiết kế mạng lưới chi nhánh:
Chọn công nghệ WAN sử dụng để đáp ứng được các yêu cầu đặt ra
Chọn các thành phần phần cứng và phần mềm để hỗ trợ các yêu cầu đặt ra
Mạng ứng dụng và các yêu cầu kết nối có ảnh hưởng đến thiết kế WAN
Thiết kế mạng WAN :
Mạng WAN được thiết kế dự trên yêu cầu về ứng dụng, địa lý, và các dịch của nhà
cung cấp, dựa vào các yêu câu dự phòng khác nhau, về kinh phí đầu tư mà có thể xậy
dựng mạng.
Mạng hình Sao ( star)
Mạng Lưới ( Mesh)
Dạng kết hợp ( Mesh- Star) đảm bảo tính dự phòng cao.
Nguyễn Đức Trụ
Page 9
Luận văn
Các biện pháp dự phòng chống tấn công trong mạng internet
Ngày nay việc các doanh nghiệp triển khai mạng WAN rất đơn giản không tốn nhiều
chi phí đầu tư, bởi vì họ sử dụng công nghệ VPN triển khai trên nền tảng phần cứng
của nhà cung cấp dịch vụ, nhiều doanh nghiệp có thể dùng trung cơ sở hạ tầng mà
không lo lắng nhiều đến vấn đề kinh phí và bảo mật.
Ưu điểm :
Triển khai nhanh
Bảo mật cao ( do thiết bị đầu cuối được mã hóa)
Giá thành rẻ ( do dùng chung)
Nhược điểm phụ thuộc vào các ISP, nhưng hiện nay có nhiều nhà cung cấp dịch vụ
khác nhau, do vậy vấn đề này không còn quan trọng.
1.2.4 Mạng internet.
Ngày nay mạng internet được hiểu là mạng kết nối tất cả các máy tính, các thiết bị kết
nối khác trên toàn thế giới với nhau, là mạng của mạng, nó kết nối các mạng khác với
nhau. Các kết nối quốc tế sử dụng là kế nối quang tốc độ cao.
Nguyễn Đức Trụ
Page 10
Luận văn
Các biện pháp dự phòng chống tấn công trong mạng internet
Chương 2 Các phương pháp dự phòng đảm bảo an toàn trong mạng coreinternet.
Nhờ sự phát triển không ngừng của khoa học công nghệ và nhu cầu trao đổi thông tin
của con người ngày càng cao đã làm công nghệ thông tin truyền thông phát triển một
cách nhanh, mạnh, rộng rãi trễn toàn thế giới. Chính nhu cầu của con người đã đặt ra
nhưng yêu cầu thách thức đối với việc thiết kế mạng ngày nay, một mạng tốt có nghĩa
là kết nối mọi lúc mọi nơi, đảm bảo tính dự phòng cao, có khả năng chống lại thiên tai,
hỏa hoạn, và các tại nạn bất ngời xảy ra, do vậy một mạng an toàn ngày nay đời hỏi
phải có tính dự phòng cao, vậy dự phòng ở đây ta hiểu theo 2 nghĩa là dự phòng về:
Phần cứng ( dự phòng node mạng, dự phòng truyền dẫn, dự phòng băng
thông…).
Phần mền (logic) ( dự phòng về giao thức, dự phòng về khai báo, dự phòng
về chống tấn công…).
Vậy trước khi đi vào phần này chúng ta đi tìm hiều các mục tiêu của việc đảm bảo an
toàn mạng lưới, thông tin.
2.1
Các mục tiêu của việc dự phòng đảm bảo an toàn mạng
2.1.1 Đảm bảo tính bảo mật
Các dữ liệu mật là được hiểu là các dữ liệu riêng của mỗi tổ chức cá nhân mà không
được tiết lộ cho các đối tác, đối thủ cạnh tranh biết. Sự riêng tư này có thể xem cả về
mặt vật lý và logic, nhằm mục đích ngăn cản sự truy nhập trái phép từ bên ngoài. Một
mạng cung có tính bảo mật sẽ thực hiện các việc như:
Dùng các cơ chế và thiết bị bảo mật như firewall, accesslist để ngăn chặn các
truy cập bất hợp pháp.
yêu cầu các thông tin chứng thực truy cập như username, password. Ví dụ ta
muốn truy cập vào hệ thống thông tin nhân sự, hệ thống vật tư của công ty.
Ta đều phải xác thực.
Nguyễn Đức Trụ
Page 11
Luận văn
Các biện pháp dự phòng chống tấn công trong mạng internet
Mã hóa luồng dữ liệu riêng. Ví dụ các tài liệu của công ty khi được gửi đi
trên internet đều được dùng phần mền mã hóa riêng mà chỉ người trong công
ty mới có thể xem được.
2.1.2 Đảm bảo tính toàn vẹn dữ liệu
Một hệ thống tốt là hệ thống đẩm bảo tính toàn vẹn dữ liệu có nghĩa là các tư liệu được
đảm bảo không bị mất mát, thay đổi, hoạch di chuyển trước các cuộc tấn công. Ví dụ
về vi phạm tính toàn vẹn.
Chặn và thay đổi nội dung một phiên giao dịch điện tử.
Thay đổi nội dung bảng ghi của hệ thống nhà trạm, vật tư, hệ thống tính cước
thuê bao.
thay đổi nội dung website công ty.
thay đổi các tài liệu thiết kế….
2.1.3 Đảm bảo tính sẵn sàng của hệ thống
Tính sẵn sàng của hệ thống là khả năng đảm bảo trạng thái hoạt động của hệ thống, là
khả năng truy cập được dữ liệu, chẳng hạn như một node mạng bị down, một server,
một trạm BTS, một NodeB bị down thì khách hàng có mất dịch vụ không
Để tiếp tục phần này ta phải tìm hiểu thế nào là tấn công một hệ thống mạng và các
phương pháp khách nhau và người dùng có thể bị hacker xâm nhập hệ thống máy tính,
server…
2.1.4 Tấn công một hệ thống mạng
Vậy để xập nhập vào hệ thống, có thể cả về phần cứng và phần mền thì kẻ xâp nhập
phải tìm ra các điểm yếu của hệ thống bởi vì chúng không thể tấn công vào nơi mà
đang vững trãi không có sở hở hoặc là sẽ tốn rất nhiều công sức để thực hiện. vậy đó là
gì .
Lỗ hổng bảo mật một kẻ phá hoại muốn tấn công vào các hệ thống chúng sẽ cố gắng
tìm ra các lỗ hổng ví dụ các chương trình chạy trên máy tính bị nhiễm virus, các
Nguyễn Đức Trụ
Page 12
Luận văn
Các biện pháp dự phòng chống tấn công trong mạng internet
website khách hàng hay truy cập, lỗi an toàn của trình duyệt, hay trong các giao thức
mạng hoặc một hệ thống cung cấp điện cho các server, các router, và khi có kế hoạch
chúng ta phải tìm ra các loại sau:
Các lỗi bảo mật vật lý, điện, hỏa hoạn, động đất, lũ lụt, gió, ánh sáng, núi
lửa..
Các điểm yếu trong hệ thống thiết kế.
Điểm yếu trong giao thức.
Trong các script thực thi.
Trong cấu hình tham số
Các chương trình độc hại.
Về con người.
2.1.5 Các bước tiến hành của một tin tặc ( Hacker)
Bước 1:tìm hiểu về hệ thống bằng cách trinh thám. Bước này cũng được gọi
là “footprinting”, hacker sẽ tìm hiểu tất cả các thông tin về hệ thống, chẳng
hạn như tên miền, khoảng IP address được sử dụng của công ty đối thủ.
Haker có thể sử dụng phương thức quét port để thấy các port đang mở trên hệ
thống
Bước 2: xác định ứng dụng được sử dụng trên hệ thống, chẳng hạn như hệ
điều hành. Hacker có thể sử dụng các công cụ khác nhau để thử kết nối vào
hệ thống, và làm mọi cách để chúng chấp nhận, để sau đó có thể nhìn thấu hệ
điều hành của hệ thống bên trong.
Bước 3: giành lấy quyền truy cập hệ thống. Social engineering là một trong
những phương thức phổ biến để lấy được bộ chứng thực đăng nhập. Ví dụ
như một DNS public cung cấp nội dung thông tin của tên miền một công ty.
Một hacker có thể dùng thông tin này làm người quản trị hệ thống tin mình để
họ tiết lộ thông tin về hệ thống. Chẳng hạn như hacker có thể giả vờ như một
nhà cung cấp dịch vụ hoặc một thành viên thuộc chính phủ. Cách tiếp cận này
gọi là pretexting.
Bước 4: đăng nhập bằng bộ chứng thực lấy được, và tiến hành leo thang đặc
quyền. Ví dụ hacker có thể cài một con Trojan để leo thang đặc quyền.
Nguyễn Đức Trụ
Page 13
Luận văn
Các biện pháp dự phòng chống tấn công trong mạng internet
Bước 5: thu thập thêm các username và password. Với quyền đã có, hacker
có thể sử dụng để tạo ra một danh sách các username và password.
Bước 6: tạo một “back door”. Truy cập vào hệ thống bằng một bộ chứng thực
hợp lệ để hacker không phải thường xuyên lặp lại các bước trên để truy cập
vào hệ thống. Password có thể hết hạn và tài khoản có thể bị khóa. Do đó,
hacker sẽ nạp một back door, là một phương thức lấy quyền điều khiển hệ
thống bằng cách vượt qua những phương thức bảo mật thông thường.
Bước 7: sử dụng hệ thống. Sau khi một hacker lấy được quyền điều khiển hệ
thống, hắn có thể thu thập thông tin bảo mật của hệ thống. Hoặc hacker cũng
có thể thay đổi dữ liệu của hệ thống, dùng hệ thống bị điều khiển làm bàn đạp
tấn công các hệ thống khác.
Để xâm nhập một hệ thống tin tặc có thể dùng các công cụ khác nhau nhưng nhìn
chung đều phải thông qua các bước dưới đây:
2.2
Các phương án dự phòng đảm bảo an toàn mạng
2.2.1 Thiết kế dự phòng phần cứng
Việc đảm bảo tính dự phòng của thiết bị là vô cùng quan trọng, trong thiết kế thường
các node mạng được bảo vệ 1+1 có nghĩ là 1 node mà xảy ra sự cố thì không mất dịch
vụ, và bảo vệ 1+1 về kết nối. ngoài ra băng thông của kết nối dự phòng cũng phải
được đảm bảo bằng băng thông đang sử dụng.
Với mạng đấu theo kiểu fullmesh.
Nguyễn Đức Trụ
Page 14
Luận văn
Các biện pháp dự phòng chống tấn công trong mạng internet
P1_DNG
P2_DNG
10Ge
10Ge
10Ge
10Ge
10Ge
P1_HCM
10Ge
P1_HNI
P2_HNI
P1_HCM
Hình 2-1 Mô hình mạng core-ip
Giả sử ta xây dựng một mô hình mạng core như trên thì để đảm bảo tính an toàn và
kinh tế thì ta thường xây dựng mạng được bảo vệ về node và link kết nối , với mạng
trên ta chia thành 2 mặt là mặt P1 và mặt P2 mỗi mặt đều đấu fullmesh, và không đấu
các mặt liên vùng với nhau ( ở đây giả sử mạng ta chia thành 3 vùng Hà Nội ( HNI),
Đà Nẵng ( DNG), Hồ Chí Minh ( HCM) ở đây ta chỉ xét phần cord do phần này sẽ chịu
tải nhiều nhất và chi phí kết nối là lớn nhất ( khoảng cách xa).
Với cách xây dựng như trên khi mặt 1 chết thì ta thấy mặt 2 vậy chạy bình thường đảm
bảo dung lượng kết nối và không ảnh hưởng đến dịch vụ.
Với trường hợp mạng kết nối theo kiểu vòng Ring .
Nguyễn Đức Trụ
Page 15
Luận văn
Các biện pháp dự phòng chống tấn công trong mạng internet
SRT1_1
SRT2_1
SRT3_1
SRT4_1
Core_1
Core_2
SRT1_2
SRT2_2
SRT3_2
SRT4_2
SRT5_2
Hình 2-2 mô hình mạng triển khai dự phòng theo kiểu Ring
Thông thường với các node mạng phần access ( phần kết nối với khách hàng) nhà cung
cập dịch vụ thường đấu kiểu Ring để đảm bảo tính dự phòng và đỡ tốn kém chi phí
triển khai. Như trong sơ đồ ta thấy các router site được kết nối với nhau thành Ring và
kết cuối tại các core. Để đảm bảo tính dự phòng thì năng lực của các thiết bị là một
điều quan trọng. Việc này đòi hỏi nhà thiết kế phải có chuyên môn vững vàng cộng
với kinh nghiệm trong việc triển khai, vì khi một mạng được xây dựng nên nó phải
đảm bảo tính sẵn sàng mở rộng cao, để đảm bảo điều kiện phát triển.
Trong một mạng ngoài các thiết bị định tuyến và chuyển mạch ra còn các thiết bị bảo
vệ khác như firewall, và các Tổng đài, các server dịch vụ, và để bảo vệ chính các node
mạng thì nguồn điện cung cấp cho nó cũng giữ vai tro quan trọng nên ngoài việc cung
cấp nguồn điện còn có các UPS để dự phòng, và các thiết bị được đặt ở nơi có độ an
toàn cao.
2.2.2 Dự phòng mềm
Nguyễn Đức Trụ
Page 16
Luận văn
Các biện pháp dự phòng chống tấn công trong mạng internet
Nhiệm vụ quan trọng khi triển khai mạng chính là dự phòng mền hay còn gọi là bảo
mật mức logic.
Tác vụ cứng rắn nhất khi triển khai bảo mật đó là bảo mật mức logic. Chúng ta nói
rằng nó có khả năng giữ tất cả những người không có thẩm quyền tránh xa hệ thống
mạng.
Chúng ta có thể kết luận rằng bảo mật tốt nhất là làm chậm hoặc ngăn cản một cuộc tấn
công bằng cách thử đi vào hệ thống tìm thấy lỗ hổng bảo mật và ngăn chặn trước khi
chúng xảy ra. Việc làm này rất khó khăn và tốn nhiều thời gian trong suốt quá trình
kiểm tra bảo mật nên thật sự nó không đáng để thử.
Password
Bảo mật bằng password là cách hay được sử dụng để bảo mật mức logic. Sự định
danh một password cho phép hệ thống nhận ra user khi nào muốn đăng nhập vào hệ
thống. Điều quan trọng là tạo ra một luật cho user noi theo, khi họ chọn password:
Bắt buộc thay đổi thường lệ, và user không được phép sử dụng lại password
cũ.
Giới hạn số kí tự tối thiểu.
Sử dụng các kí tự đặc biệt và con số.
Dùng hỗn hợp cả chữ hoa và chữ thường.
Hầu hết hệ điều hành mạng đều cho phép network administrator đặt những ràng buộc
trong việc lựa chọn password, bắt người dùng phải làm theo. Điều quan trọng là chọn
một từ mới. Nhiều người chọn password như tên người thân trong gia đình, số điện
thoại… Rất dễ dàng để tìm ra những password được đặt như vậy trong mạng LAN. Bởi
vì hầu hết mọi người sử dụng password là những từ thông thường, nên có thể sử dụng
một từ điển để phá vỡ việc chứng thực bằng password này. Một qui tắc vàng là không
Nguyễn Đức Trụ
Page 17
Luận văn
Các biện pháp dự phòng chống tấn công trong mạng internet
bao giờ chọn một từ thông thường, nhưng chúng ta có thể trộn ngẫu nhiên nhiều từ lại
với nhau, ví dụ như “MKQTTBM”. Những từ ngẫu nhiên này có thể là từ viết tắt của
một câu có nghĩa (Mật Khẩu Quan Trọng Trong Bảo Mật) để có thể nhớ chúng một
cách dễ dàng. Những loại password này khó phá. Nhưng tốt hơn là dùng một password
với những kí tự đặc biệt và con số.
Người sử dụng phải từ bỏ cách chọn password thông thường của họ. Nhiệm vụ của
system administrator là tạo ra thói quen cho người dùng làm theo những yêu cầu đã
được chỉ ra ở trên. Nếu không chỉ ra những lí do phải đặt password như ở trên thì rất
khó bắt người dùng thực hiện với thái độ hợp tác.
Nếu một người lạ có được một password, người đó sẽ có khả năng đăng nhập vào
mạng, và sau đó thì rất đơn giản để sử dụng các tài nguyên khác. Đây là lí do mà tại
sao system administrator phải giám sát quá trình chọn password của người dùng. Có
một phần mềm có thể kiểm tra các từ khác nhau trên những password của file và thử
phá vỡ một số lượng lớn các password trong file. Phương thức này được gọi là
password cracking. Với hệ thống UNIX có sẵn nhiều chương trình phần mềm miễn phí
mà cả hacker và system admin có thể sử dụng. Phương thức này có thể sử dụng những
bộ từ điển rất cải tiến. Chúng chứa từ của nhiều ngôn ngữ khác nhau, và kết hợp giữa
từ và số. Nếu việc dò password này được thực hiện một cách đều đặn, thì tài khoản của
user với password sẽ có thể bị phá vỡ bằng thuật toán loại trừ, và việc bảo mật
password cần phải cải tiến mạnh mẽ hơn.
Gõ sai password hiển nhiên có thể xảy ra. Người dùng có thể quên password mới. Do
đó quan trọng là phải chắc rằng password không quá khó để user có thể vào lại hệ
thống. Nhưng nếu một lần nữa, nếu password bị gõ sai thì phải có những phản ứng
ngược trở lại của hệ thống. Những phản ứng của hệ thống vào việc gõ sai password vài
lần có thể nằm trong những loại sau:
Nguyễn Đức Trụ
Page 18
Luận văn
Các biện pháp dự phòng chống tấn công trong mạng internet
Timeout period – user phải chờ một khoảng thời gian trước khi nhập vào lại
một password. Điều này sẽ làm chậm khả năng của kẻ xâm nhập. Thời gian
time out có thể được kích hoạt sau vài lần thử nhập password không thành
công của user.
Deactivation of user – nếu một user quên password, tài khoản của user sẽ bị
khóa lại cho đến khi người dùng liên hệ với system admin và kích hoạt lại tài
khoản của user. Dạng phản ứng này có thể thực thi sau một hay một vài lần
đăng nhập thất bại.
False logon là một dạng phản ứng của hệ thống rất hữu dụng cho những mục
tiêu có nguy cơ bị thâm nhập cao. Trong trường hợp này, người xâm nhập sẽ
được phép logon mặc dù nhập sai password. Việc logon này chỉ cho truy cập
vào những vùng rất hạn chế, và system admin sẽ được thông báo rằng có kẻ
xâm nhập hệ thống. Điều này đảm bảo rằng kẻ xâm nhập sẽ bị tìm ra và bị xử
lí.
Login security
Chúng ta nói đến bảo mật mức logic cũng có thể đặt giới hạn dựa trên thời điểm user
truy cập vào hệ thống. Người dùng có thể bị cấm truy cập vào những thời gian cố
định nào đó, chẳng hạn như ngoài giờ hành chính. Điều này làm giảm khả năng bị
xâm nhập. Việc hạn chế xâm nhập có thể:
Giới hạn số lần đăng nhập đồng thời của một tài khoản – bằng cách này,
người sử dụng có thể được thông báo rằng một kẻ xâm nhập đang ở trong tài
khoản của mình. Bất lợi của phương pháp này là nó chỉ hữu dụng khi có hai
hay nhiều người truy cập vào bằng cùng một tài khoản cùng một lúc.
Giới hạn người dùng chỉ có thể đăng nhập vào hệ thống tại những máy nhất
định - cách này sẽ làm giảm khả năng làm việc độc lập của người dùng.
Nguyễn Đức Trụ
Page 19
