Tải bản đầy đủ (.docx) (90 trang)
  1. Trang chủ
    2. >>
  2. Giáo Dục - Đào Tạo
    3. >>
  3. Cao đẳng - Đại học

Nghiên cứu các giải pháp nâng cao tính bảo mật cho hệ thống mạng LAN

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (6.24 MB, 90 trang )

MỤC LỤC


DANH MỤC CÁC HÌNH VẼ

DANH MỤC CÁC BẢNG BIỂU


Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính

THÔNG TIN KẾT QUẢ NGHIÊN CỨU
1. Thông tin chung
Tên đề tài: Nghiên cứu các giải pháp nâng cao tính bảo mật cho hệ thống mạng
LAN
Giảng viên hướng dẫn: Tiến Sĩ Diêm Công Hoàng
Sinh viên thực hiện: Nguyễn Trọng Thủy
Lớp: Mạng Máy Tính K57
Hệ đào tạo: Chính quy
Điện thoại: 01644396296
Email:
Thời gian thực hiện: năm 2017
2. Mục tiêu
Qua quá trình tìm hiểu, nghiên cứu và triển khai đề tài này cần giải quết được các
vấn đề sau:
 Nhận diện các phương thức tấn công mạng thường gặp
 Đề xuất các giải pháp nâng cao tính bảo mật cho hệ thống mạng LAN
 Mô hình mô phỏng triển khai các giải pháp bảo mật
3. Nội dung chính
Nội dung chính của đồ án này là quá trình nghiên cứu, tìm hiểu và thực hành để từ
đó đúc kết ra được những yếu tố đảm bảo tính bảo mật cho hệ thống mạng LAN:
 Hiểu rõ hơn khái niệm về hệ thống mạng LAN. Tìm hiểu chi tiết các yếu tố


trong mạng LAN về cả phần cứng lẫn phần mềm, từ đó có thể áp dụng vào giải
quyết các sự cố hệ thống thực tế.

Nguyễn Trọng Thủy

3

Lớp Mạng máy tính K57

3


Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính

 Nắm bắt được một số phương pháp tấn công hệ thống mạng thường gặp để có
được cách thức phòng chống, cách xử lý sự cố và khắc phục sau sự cố một
cách nhanh nhất. Giảm thiểu tối đa thiệt hại.
 Đề xuất giải pháp bảo mật toàn diện cho hệ thống mạng, cách thức triển khai
giải pháp. Và cụ thể là giải pháp Bảo mật theo chiều sâu (Defense in Depth)
4. Kết quả chính đạt được
Sau khi hoàn thành đồ án này, em đã nắm vững các bước để khiển khai một hệ
thống mạng an toàn, bảo mật trên nhiều lớp, có tính ứng dụng cao. Áp dụng đồ án này
vào thực tế, em hoàn toàn có thể triển khai được giải pháp bảo mật theo chiều sâu cho hệ
thống mạng của doanh nghiệp vừa và nhỏ.

Nguyễn Trọng Thủy

4

Lớp Mạng máy tính K57


4


Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính

MỞ ĐẦU
Điểm qua lại lịch sử loài người, ta sẽ thấy lịch sử loài người đã trải qua ba cuộc
cách mạng công nghiệp lớn, tác động to lớn làm thay đổi hoàn toàn cuộc sống của con
người. Cuộc cách mạng công nghiệp lần thức nhất là vào năm 1784, với sự xuất hiện của
cơ khí hóa gồm các máy móc chạy bằng thủy lực và hơi nước, thay thế cho sức người,
sức ngựa. Cuộc cách mạng công nghiệp lần thứ hai xuất hiện năm 1870, với sự xuất hiện
của dây chuyền sản xuất hàng loạt nhờ điện và động cơ điện. Đến năm 1969, cách mạng
công nghiệp lần thứ ba ra đời, đánh dấu kỷ nguyên của máy tính và tự động hóa, hay còn
gọi là cách mạng số hóa. Mặc dù ra đời khá muộn, nhưng những thay đổi từ cuộc cách
mạng công nghiệp thứ ba đã thay đổi hoàn toàn cách con người làm việc, sinh hoạt, tìm
hiểu và khám phá với thế giới. Nhờ sự trợ giúp của công nghệ số hóa, con người có thể
làm được những việc trước nay tưởng chừng không tưởng như: kết nối không biên giới
giữa các quốc gia; tạo ra kho tàng lưu trữ thông tin, kiến thức vô tận; ứng dụng thành tựu
để nâng cao chất lượng cuộc sống; hỗ trợ tích cực khả năng khám phá vũ trụ, du hành
không gian…Ở Việt Nam, do phải chịu nhiều khó khăn, thiếu thốn sau các cuộc chiến
tranh lớn nên phải chính thức tới năm 1997, cuộc cách mạng này mới bước đầu có mặt tại
Việt Nam bằng việc mạng Internet chính thức được đưa vào sử dụng. Dù đi sau trong
cuộc cách mạng công nghệ thông tin này, nhưng với bản tính cần cù, chịu khó, sẵn sàng
tiếp thu, học hỏi công nghệ mới của người Việt, công nghệ thông tin đã và đang len lỏi
vào từng lĩnh vực, hoạt động cơ bản của cuộc sống. Đảng và nhà nước đã nhận định,
công nghệ thông tin sẽ là yếu tố cốt lõi để phát triển đất nước toàn diện, thúc đẩy nền sản
xuất công nghiệp hóa, hiện đại hóa. Trước xu thế của thế giới đang dần bước sang cuộc
cách mạng công nghiệp lần thứ tư, cuộc cách mạng đánh dấu kỷ nguyên vạn vật kết nối
Internet, cuộc cách mạng mà mọi thứ từ điện thoại, tivi, tủ lạnh cho tới xe cộ, nhà của…

đều được kết nối tới Internet. Việt Nam đã và đang có những biện pháp tích cực để hòa
nhập kịp với thế giới trong cuộc cách mạng mới này. Dù gặp phải nhiều khó khăn, trở
ngại, nhưng với sự dẫn dắt của Đảng cùng sự ham học hỏi, tiếp thu của nhân dân Việt
Nam, em tin chúng ta sẽ làm chủ được cuộc cách mạng công nghệ 4.0 này.

Nguyễn Trọng Thủy

5

Lớp Mạng máy tính K57

5


Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính

Sự phát triển nhanh của công nghệ thông tin đưa chúng ta tới một thách thức mới.
Đó là thách thức bảo mật an toàn thông tin, dữ liệu. Có sự hỗ trợ của máy tính, khả năng
của con người là vô hạn. Bên cạnh những người tốt đang cố gắng tận dụng khả năng đó
để cuộc sống con người phát triển thì có những kẻ xấu, lợi dụng công nghệ thông tin để
phục vụ mục đích xấu. Chúng tấn công mạng máy tính đôi khi vì sự thể hiện bản hân,
hoặc vì mục đích tống tiền, làm giàu sai trái…Vì vậy, hơn lúc nào hết, các yếu tố bảo mật
an ninh mạng ngày càng được coi trọng. Trong phạm vi đồ án này, em sẽ chỉ ra những
điểm cốt lõi trong vấn đề bảo mật an ninh mạng. Từ đó, đề suất giải pháp an ninh mạng
đang được ứng dụng rộng rãi trên thế giới. Em hy vọng, những gì em trình bày trong đồ
án phần nào sẽ đưa ra cho thầy cô và các bạn thêm nhiều thông tin bổ ích.
Em xin cám ơn thầy cô và các bạn.

Nguyễn Trọng Thủy


6

Lớp Mạng máy tính K57

6


Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính

1

: TỔNG QUAN VỀ MẠNG LAN VÀ
CÁC VẤN ĐỂ BẢO MẬT

Trong chương đầu tiên này, chúng ta sẽ có cái nhìn tổng quan về quá trình hình thành,
phát triển và mức độ quan trọng của mạng máy tính trong quá trình phát triển của thế
giới. Bên cạnh đó, hiểu được các loại mạng máy tính cơ bản, hiểu được quá trình truyền
gói tin giữa các máy tính với nhau qua mạng, nắm được kiến trúc một hệ thống mạng
LAN, một số thiết bị mạng cơ bản mà chúng ta thương gặp, các vấn đề liên quan đến bảo
mật mạng,… Sau đây sẽ là nội dung chính của chương.
1

Lịch sử hình thành, quá trình phát triển của mạng máy tính

Như đã đưa ra ở phần mở đầu, xu thế toàn cầu hóa, phẳng hóa thế giới diễn ra mạnh
mẽ đã và đang tác động to lớn vào tất cả các ngành: từ kinh tế, công nghiệp, truyền thông
đến cả nông nghiệp. Nghiên cứu, phát triển mạng máy tính đã trở thành mục tiêu quan
trọng của bất kì quốc gia phát triển nào. Cùng nhìn lại quá trình hình thành và phát triển
của mạng máy tính để thấy được sự phát triển thần tốc của mạng máy tính và tầm quan
trọng của nó.

Xuất phát từ nhu cầu trao đổi thông tin, dữ liệu giữa các máy tính với nhau, khá nhiều
các nghiên cứu, dự án được đưa ra để đáp ứng nhu cầu này. Cột mốc quan trọng đầu tiên
trong lịch sử của mạng máy tính là năm 1969, khi cơ quan quản lý dự án nghiên cứu phát
triển ARPA thuộc bộ quốc phòng Mỹ liên kết 4 địa điểm đầu tiên vào tháng 7 năm 1969
để tạo ra mạng diện rộng đầu (WAN) đầu tiên trên thế giới, lấy tên là ARPANET.
Thời gian tiếp theo chứng kiến sự phát triển nhanh chóng của hệ thống máy tính các
nhân. Công nghệ phát triển, máy tính không còn là những cỗ máy khổng lồ, tiêu tốn
nhiều năng lượng, nặng nề…mà ngày càng nhỏ gọn hơn. Bên cạnh đó, mức giá để sở hữu
một chiếc máy tính cá nhân không còn là quá cao. Số lượng máy tính, ngày càng lớn, đòi
hỏi mạng máy tính cần phát triển nhanh để đáp ứng được nhu cầu.
Năm 1972, Ray Tomlinson phát minh ra E-mail để gửi thông điệp trên mạng. Từ đó
đến nay, dịch vụ này trở thành dịch vụ được sử dụng nhiều nhất, quan trọng nhất với hầu
hết người sử dụng máy tính.
Nguyễn Trọng Thủy

7

Lớp Mạng máy tính K57

7


Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính

Năm 1974, lần đầu tiên thuật ngữ “Internet” xuất hiện.
Tới năm 1986, mạng NSFnet chính thức được thiết lập, kết nối 5 trung tâm máy tính
lớn, tạo ra thời kì bùng nổ kết nối đầu tiên, chủ yếu là giữa các trường đại học. Hai mạng
NSF và ARPANET song song tồn tại theo cùng 1 giao thức, có kết nối với nhau.
Năm 1990, ARPNET dừng hoạt động nhưng các mạng do ARPANET và NSF tạo ra
vẫn được sử dụng vào mục đích dân dụng, làm tiền thân cho mạng internet ngày nay.

Nhiều tổ chức, cá nhân bắt đầu tổ chức kinh doanh trên mạng.
Sự bùng nổ lần thứ 2 của Internet vào năm 1991, khi Tim Berners Lee ở trung tâm
nghiên cứu nguyên tử Châu Âu (CERN) phát minh ra World Wide Web (www). Điều này
tạo ra một cú hích quan trọng, đưa mạng Internet trở nên dễ tiếp cận hơn, dễ sử dụng hơn
với tất cả mọi người.
Kể từ đó đến nay, chu kỳ phát triển nhảy vọt của số lượng thiết bị sử dụng mạng máy
tính ngày càng được rút ngắn lại, được thể hiện rõ qua hình sau.

Hình 1-1: Sự phát triển số lượng thiết bị sử dụng mạng qua các năm.

Nguyễn Trọng Thủy

8

Lớp Mạng máy tính K57

8


Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính

-

-

-

Máy tính cố định (Fixed Computing) từ 1995-2000: bạn phải tới nơi có máy tính để
sử dụng. Số lượng thiết bị gấp đôi cứ sau 13 năm, tới năm 2000 đạt 200 triệu thiết bị.
Thiết bị di động (Mobility/BYOD) từ 2000 – 2011: Các thiết bị di động phát triển,

bạn dễ dàng mang theo máy tính, điện thoại mọi nơi để truy cập vào mạng Internet.
Số lượng thiết bị gấp đôi sau mỗi 1,4 năm, đạt 10 tỷ thiết bị vào năm 2011. (dân số thế
giới năm 2011 là 7 tỷ người, trung bình mỗi người có hơn 1 thiết bị)
Kỷ nguyên Internet kết nối mọi vật (Internet of Things) từ 2011 đến nay: tốc độ gia
tăng thiết bị qua mỗi năm là không thể tính nổi (đạt 200 tỷ thiết bị vào năm 2016). Sự
ra đời, phát triển mạnh mẽ của các thiết bị di động khiến chúng ngày càng nhỏ gọn,
tiện lợi hơn. Tất cả mọi vật đều có thể kết nối với mạng Internet, từ các thiết bị nhỏ
gọi như smartphone, laptop, tablet,…tới oto, tivi, tủ lạnh hoặc thậm chí là cả căn nhà
của bạn. Sự tiện lợi mang lại cho bạn là vô cùng lớn lao, chỉ một vài thao tác nhỏ: bạn
có thể kiểm tra có ai đột nhập vào nhà mình; bật điện nước, tưới cây…
Dự đoán kỷ nguyên internet kết nối vạn vật (Internet of Everything) – 2020: các nhà
nghiên cứu dự báo, đây sẽ là bước phát triển tiếp theo của mạng máy tính. Nếu đạt
được tới mức này, tất cả mọi vật trên trái đất sẽ có thế kết nối với nhau.

Từ quá trình lịch sử, cho tới sự phát triển nhanh chóng của mạng máy tính, chúng ta
đã thấy được phần nào tầm quan trọng của mạng máy tính đối với cuộc sống. Vậy thực
sự, những lợi ích mà mạng máy tính mang lại cho chúng ta là gì?
2

Lợi ích của mạng máy tính

Với mạng máy tính, chúng ta tạo ra một thế giới mà ở đó, không có điều gì là giới hạn
với con người: không có biên giới về quốc gia; không bị cản trở bởi khoảng cách địa lý;
không bị giới hạn về điều kiện vật lý…Thông qua mạng máy tính, chúng ta thay đổi cách
thức giao tiếp, trao đổi thông tin với nhau. Không cần phải gặp trực tiếp với nhau, bạn
cũng có thể trao đổi ý tưởng của mình với bất kì ai trên thế giới và bất kì nơi nào trên thế
giới.

Nguyễn Trọng Thủy


9

Lớp Mạng máy tính K57

9


Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính

Hình 1-2: Cả thế giới trong tầm tay với mạng máy tính.
Thử tượng tượng một ngày, không còn mạng Internet, bạn không thể sử dụng các dịch
vụ như Google, YouTube, gọi video call, e-mail, Facebook, iTunes, game online…Cuộc
sống của ban sẽ bị xáo trộn tới mức nào? Thật chẳng khác nào trở về thời kì cổ đại đúng
không! Một số lợi ích của mạng Internet mà chúng ta có thể kể ra như sau:
-

-

-

Mở ra nhiều cách thức giải trí chưa từng có: ví dụ như đăng tải và chia sẻ những bức
ảnh của bạn, video và những trải nghiệm của bản thân bạn với bạn bè trên toàn thế
giới qua mạng xã hội. Xem video, xem phim hoặc truyền hình theo ý bạn muốn. Hay
chỉ đơng giản là chơi game online cùng mọi người.
Kiểm tra tài khoản ngân hàng, thanh toán hóa đơn.
Thay đổi cách mà chúng ta học tập: không cần giấy, bút, không cần đến giảng đường
hoặc thầy cô,… chỉ cần 1 chiếc máy tính hoặc điện thoại có Internet, bạn có thể học từ
bất kì ai trên thế giới bằng các khóa học online trên các trang web. Bạn có thể học bài
học nhiều lần mà không gặp khó khăn gì.
Thay đổi cách thức mà chúng ta làm việc.


Nguyễn Trọng Thủy

10

Lớp Mạng máy tính K57

10


Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính

-

Thay đổi cách giao tiếp của chúng ta: thông qua kết nối toàn cầu, bạn có thể kết nối
trực tiếp với bạn bè, người thân hoặc đồng nghiệp ở khoảng cách rất xa mà không bị
hạn chế bất cứ điều gì.
3

Phân loại mạng máy tính

Trước hết, mạng máy tính là các kết nối giữa các máy tính với nhau sao cho chúng có
thể chi sẻ được dữ liệu. Các mô hình mạng máy tính đều từ nền tảng này mà xây dựng,
mở rộng mô hình hoặc loại mô hình. Các cách phân loại chính thường gặp như:
-

Phân loại theo khoảng cách địa lý.
Phân loại theo kỹ thuật chuyển mạch.
Phân loại theo môi trường truy nhập.
Phân loại theo kiến trúc mạng.


Ngoài ra còn nhiều các phương pháp phân loại mạng máy tính khác, nhưng trong
phạm vi đồ án, em xin tập trung nghiên cứu về cách phân loại mạng theo khoảng cách địa
lý.
-

Mạng cục bộ (Local Area Networks - LAN): kết nối nhiều máy tính và thiết bị truyền
thông trên một diện tích nhất định, có thể là một văn phòng, 1 tòa nhà hay một trường
đại học,…. Đặc điểm chính của mạng LAN là có băng thông lớn, chay được các dụng
trực tuyến được kết nối thông qua mạng như các cuộc hội thảo, chiếu phim… Phạm vi
kết nối có giới hạn tương đối nhỏ, khoảng cách lớn nhất giữa các máy tính nối trong
mạng LAN có thể là vài chục km. Chi phí thấp và quản trị mạng LAN đơn giản.

Hình 1-3: Mô hình mạng LAN đơn giản.
Nguyễn Trọng Thủy

11

Lớp Mạng máy tính K57

11


Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính

-

-

Mạng đô thị (Metropolitan Area Network – Man): có kết nối giống như mô hình mạng

LAN nhưng lớn hơn. Mạng WAN kết nối các mạng LAN trên một diện tích rộng nhất
định ( ví dụ: một thành phố, một tỉnh) với nhau thông qua các phương tiện truyền dẫn,
cáp… Đối tượng khách hàng chủ yếu sử dụng mô hình này là các tổ chức, doanh
nghiệp có nhiều chi nhánh, bộ phận kết nối với nhau và có thể kết nối ra liên tỉnh,
quốc tế, các khu công nghiệp, khu thương mại lớn, công viên phần mềm, khu công
nghệ cao, khu đô thị mới, khu cao ốc văn phòng…Đặc điểm của mô hình mạng này là
chi phí cao, mức băng thông trung bình (đáp ứng được nhu cầu chạy các ứng dụng,
dịch vụ thương mại điện tử, ứng dụng trong hệ thống ngân hàng. Quản trị mạng MAN
khá phức tạp.
Mạng diện rộng (Wide Area Networks – WAN): mạng có phạm vi hoạt động lớn, vượt
qua biên giới quốc gia và lục địa. Thường được sử dụng ở công ty đa quốc gia…cụ
thể là mạng Internet. Mạng WAN là sự kết hợp giữa hai hoặc nhiều hơn hai mạng
LAN và MAN thông qua vệ tinh, cáp quang hoặc cáp điện thoại. Mạng WAN có thể
kế nối thành mạng riêng của một tổ chức, hay có thể kết nối qua nhiều hạ tầng mạng
công cộng và của các công ty viễn thông. Đặc điểm của mô hình mạng này là:
+ Băng thông thấp, kết nối yếu, dễ mất nên phù hợp với các ứng dụng: E-mail, Web…
+ Phạm vi hoạt động lớn, không giới hạn.
+ Chi phí cho mạng WAN là rất lớn.
+ Quản trị mạng WAN phức tạp.

Hình 1-4: Mô hình cơ bản của mạng WAN.

Nguyễn Trọng Thủy

12

Lớp Mạng máy tính K57

12



Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính

Mạng Internet chính là một trường hợp đặc biệt của mạng WAN, cung cấp các dịch vụ
toàn cầu như Mail, Web,…

Hình 1-5: Mô hình mạng Internet
4

So sánh 2 mô hình TCP/IP và OSI

Nhắc đến cơ chế truyền tin giữa các máy tính với nhau, thì 2 mô hình hay được nhắc
tới nhiều nhất là mô hình TCP/IP và OSI. Cả hai mô hình này đều mô tả cách thức truyền
tin từ các chương trình ứng dụng của một hệ thống máy tính này đến các chương trình
ứng dụng của một hệ thống khác thông qua các phương tiện truyền thông vật lý. Mô hình
OSI thường được dùng trong học tập và nghiên cứu nhiều hơn là triển khai thực thế. Còn
mô hình TCP/IP được sử dụng ở hầu hết các mạng máy tính trên thế giới.

Nguyễn Trọng Thủy

13

Lớp Mạng máy tính K57

13


Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính

Hình 1-6: So sánh hai mô hình OSI và TCP/IP

-

Hai mô hình này có khá nhiều điểm giống nhau.
Đều có cấu trúc kiểu phân lớp.
Đều có tầng ứng dụng, cho phép triển khai nhiều dịch vụ khác nhau như web, email,
voice cal…
Đều hoạt động được với các kỹ thuật chuyển mạch gói.
Bên cạnh đó cũng có những điểm khác nhau:

-

-

-

TCP/IP gộp lại lớp trình bày và lớp phiên vào trong lớp ứng dụng.
TCP/IP gộp lớp vật lý và liên kết dữ liệu ở mô hình OSI lại thành lớp truy cập mạng.
Mô hình OSI chỉ mang tính nghiên cứu, các mạng thông thường ít khi được xây dựng
dựa trên nó. Chính vì vậy, OSI là “kim chỉ nam” cho các loại viễn thông và công cụ
đắc lực nhất để tìm hiểu dữ liệu được gửi và nhận như thế nào.
Các giao thức TCP/IP là các chuẩn cơ sở cho Internet phát triển vì các giao thức chặt
chẽ của nó. Để đảm bảo tính tương thích là cao nhất giữa các mạng và sự tin cậy của
việc truyền tin, bộ giao thức TCP/IP được chi thành 2 phần riêng biệt: giao thức IP sử
dụng cho việc kết nối mạng và giao thức TCP đảm bảo việc truyền dữ liệu một cách
tin cậy.
Mô hình TCP/IP gọn nhẹ hơn mô hình tham chiếu OSI, đồng thời có những biến đổi
phù hợp thực tế hơn. Ví dụ: lớp Vận chuyển của mô hình OSI quy định việc truyền dữ
liệu phải đảm bảo độ tin cậy hoàn toàn. Tuy nhiên, một số ứng dụng mới phát triển
sau này như Voice over IP, Video Conference (hội nghị truyền hình),… đòi hỏi tốc độ
cao và cho phép bỏ qua một số lỗi nhỏ. Nếu vẫn áp dụng mô hình OSI vào thì độ trễ

trên mạng rất lớn và không đảm bảo chất lượng dịch vụ. Trong khi đó, mô hình

Nguyễn Trọng Thủy

14

Lớp Mạng máy tính K57

14


Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính

-

TCP/IP, ngoài giao thức chính của lớp Vận chuyển là TCP (Transmission Control
Protocol), còn cung cấp thêm giao thức UDP (User Datagram Protocol) để thích ứng
với các ứng dụng cần tốc độ cao.
Giao thức quan trọng nhất trong mô hình TCP/IP là TCP và UDP. TCP đảm bảo độ tin
cậy truyền thông bằng cách ép buộc máy nhận phải hồi báo cho máy gửi biết về
những segment nào đã nhận được, segment nào bị lỗi,… để máy gửi tiếp tục truyền
segment mới hay gửi lại segment bị lỗi. Các gói tin hồi báo này gọi tắt là ACK. Nếu
đường truyền bị lỗi quá nặng, các gói tin hồi báo này không đến được máy gửi thì sau
một khoảng thời gian quy định trước, segment sẽ được truyền lại, và nếu một segment
được truyền lại quá nhiều lần, TCP sẽ ngắt kết nối với máy nhận và dừng việc truyền
lại. UDP không có cơ chế tin cậy (hồi báo bằng ACK), nên việc kiểm soát độ tin cậy
phải do lớp Application đảm trách. Tuy nhiên, đối với các ứng dụng yêu cầu tốc độ
nhanh và chấp nhận tỷ lệ lỗi ở mức nào đó, sử dụng giao thức UDP là rất thích hợp do
không phải hồi báo ACK nhiều lần. Việc linh động sử dụng giao thức TCP hay UDP
trong các ứng dụng mạng phụ thuộc vào nhiều yếu tố như chất lượng đường truyền,

độ quan trọng của thông tin cần truyền,…
5

Kiến trúc hệ thống mạng LAN

1

Cấu trúc mô hình mạng phân cấp.

Trong thực tế, chúng ta thường được thấy các mô hình mạng LAN được thiết kế theo
mô hình phân cấp, bởi việc thiết kế phân cấp cho phép chúng ta thiết kế các đường mạng
mà sử dụng những chức năng chuyên môn kết hợp với một tổ chức có thử bậc. Việc thiết
kế mạng đơn giản là nhiệm vụ đòi hỏi phải xây dựng một mạng mà nó thỏa mãn nhu cầu
hiện tại và có thể phát triển tiếp theo nhu cầu ở tương lai. Mô hình phân cấp sử dụng các
lớp để đơn giản nhiệm vụ kết nối mạng, mỗi lớp có thể chỉ tập trung vào một chức năng
cụ thể, cho phép chúng ta lựa chọn các tính năng và các hệ thống thích hợp cho mỗi lớp.
Mô hình phân cấp áp dụng cho việc thiết kế cả mạng LAN.
Những lợi ích mà việc thiết kế mạng phân cấp mang lại:
-

Có khả năng mở rộng.
Dễ dàng triển khai.
Khắc phục lỗi.
Quản lý dễ dàng.

Nguyễn Trọng Thủy

15

Lớp Mạng máy tính K57


15


Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính

Mô hình mạng phân cấp chúng ta hiện thường thấy thường bao gồm 3 lớp:
-

Lớp mạng trung tâm ( Core Layer): Thiết bị chúng ta thường gặp ở lớp này là các
router lõi tốc độ cao. Tốc độ vận chuyển dữ liệu rất nhanh, liên kết với các mạng truy
cập và lớp mạng phân bố khác. Lớp này được ví như một trục đường cao tốc liên kết
các đường nhỏ với nhau. Bao gồm các đặc điểm:
+ Vận chuyển dữ liệu nhanh.
+ Độ tin cậy cao.
+ Có tính dự phòng.
+ Khả năng chịu lỗi.
+ Chính sách QoS ( chất lượng dịch vụ)

Hình 1-7: Lớp trung tâm
-

Lớp mạng phân bố (Distribution Layer): lớp này nằm giữa lớp mạng truy cập và lớp
mạng trung tâm, có thể có một số vai trò đáp ứng một số giao tiếp giúp giảm tải cho
lớp mạng trung tâm. Thiết bị mạng thường gặp ở lớp này là các router hoặc các switch
core. Lớp này thực thi các chức năng dưới đây:
+ Chính sách cơ sở kết nối.
+ Cân bằng tải.
+ Chính sách QoS.
+ Tập hợp các kết nối WAN, LAN.


Nguyễn Trọng Thủy

16

Lớp Mạng máy tính K57

16


Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính

+ Chức năng chọn lọc dữ liệu.
+ Xác định Broadcast và Multicast Domain.
+ Định tuyến giữa các VLAN với nhau.
+ Thuyên chuyển truyền thông. (ví dụ: giữa mạng Ethenet và Token Ring)
+ Phân phối định tuyến các Domain.
+ Phân chia ranh giới giữa định tuyến động và định tuyến tĩnh.
+ Route Summarizations.

Hình 1-8: Lớp mạng phân bố.
-

Lớp mạng truy cập (Access Layer): thiết bị thường gặp ở lớp này là Switch. Lớp
mạng truy cập được thiết kế cung cấp các cổng kết nối đến từng máy trạm trên cùng
một mạng, giúp người dùng kết nối với các tài nguyên trên mạng hoặc giao tiếp với
lớp mạng phân bố. Lớp này sử dụng các chính sách truy cập chống lại những kẻ xâm
nhập bất hợp pháp, mang đến các kết nối như: WAN, Frame Relay, Leased Lines. Lớp
truy cập đặc trưng bởi các phân đoạn mạng LAN. Microsegmentation sử dụng thiết bị
chuyển mạch LAN cung cấp băng thông cao cho nhóm làm việc bằng cách giảm số

lượng các thiết bị trên các phân đoạn Ethernet. Đặc tính của lớp truy cập bao gồm :
+ Chuyển mạch lớp 2.
+ Hiệu quả cao.

Nguyễn Trọng Thủy

17

Lớp Mạng máy tính K57

17


Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính

+ Bảo mật cổng.
+ Ngăn Broadcast.
+ Phân loại mức độ ưu tiên QoS.
+ Kiểm soát tốc độ.
+ Kiểm tra giao thức chuyển đổi địa chỉ Address Resolution Protocol (ARP).
+ Kiểm soát danh sách truy cập ảo (VACL).
+ Spanning tree.
+ Phân loại chính xác.
+ Power over Ethernet (PoE) và hỗ trợ VLAN cho VoIP.
+ Hỗ trợ VLAN.
1.1.1 Một số thiết bị mạng thường gặp
-

Bridge: là thiết bị mạng hoạt động ở lớp thứ 2 trong mô hình OSI (Data Link Layer).
Bridge được sử dụng để ghép nối 2 mạng để tạo thành một mạng lớn hơn (Ví dụ

Bridge dùng làm cầu nối giữa hai mạng Ethernet). Khi có một gói tin từ một máy tính
thuộc mạng này chuyển tới một máy tính thuộc mạng khác, Bridge sẽ sao chép lại gói
tin và và gửi nó tới mạng đích. Bridge là hoạt động trong suốt, các máy tính thuộc các
mạng khác nhau có thể gửi các thông tin với nhau đơn giản mà không cần biết sự có
mặt của Bridge. Bridge chỉ kết nối được những mạng cùng loại và sử dụng Bridge cho
những mạng tốc độ cao sẽ khó khăn nếu chúng nằm cách xa nhau.

Nguyễn Trọng Thủy

18

Lớp Mạng máy tính K57

18


Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính

Hình 1-9: Cách thức Bridge hoạt động.
-

Repeater: Đối với các mạng có phạm vi rộng, tín hiệu thường bị suy hao trên đường
truyền. Ở xa, tín hiệu thu được từ nguồn là rất yếu, vì vậy ta cấn các thiết bị có khả
năng khuếch đại tín hiệu, để có thể truyền tín hiệu đi xa. Repeater là thiết bị ở lớp 1
(Physical Layer) trong mô hình OSI. Repeater có vai trò khuếch đại tín hiệu vật lý ở
đầu vào và cung cấp năng lượng cho tín hiệu ở đầu ra để có thể đến được điểm xa hơn
trên mạng, đảm bảo thông tin được đến được thiết bị đích đầy đủ.

Hình 1-10: Repeater
-


Hub: là một thiết bị khá giống Repeater nhưng có nhiều cổng hơn (Hub có từ 4 đến 24
cổng). Với Hub, khi thông tin vào từ một cổng và sẽ được đưa đến tất cả các cổng

Nguyễn Trọng Thủy

19

Lớp Mạng máy tính K57

19


Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính

khác. Có 2 loại Hub là Active Hub và Smart Hub. Active Hub là loại Hub được dùng
phổ biến, được sử dụng để khuếch đại tín hiệu đến và lặp tín hiệu ra tại những cổng
còn lại, đảm bảo mức tín hiệu cần thiết. Smart Hub (Intelligent Hub) có chức năng
tương tự như Active Hub, nhưng có tích hợp thêm chip có khả năng tự động dò lỗi
(tìm và phát hiện lỗi trên mạng).

Hình 1-11: Smart Hub D-Link 8 cổng.
-

Switch: Chức năng chính của thiết bị này là liên kết nhiều thiết bị trong một mạng với
nhau. Switch lưu trữ thông tin của mạng thông qua các gói tin (packet) nó nhận được
từ các máy trong mạng và sử dụng các thông tin này để xây dựng bảng định tuyến.
Trong các giao tiếp dữ liệu, Switch thường có 2 chức năng chính là: chuyển các
khung dữ liệu từ nguồn đến đích, và xây dựng các bảng Switch. Switch hoạt động ở
tốc độ cao hơn nhiều so với Repeater và có thể cung cấp nhiều chức năng hơn như

khả năng tạo mạng LAN ảo (VLAN).

Hình 1-12: Switch Cisco 52 cổng.
-

Router: là thiết bị mạng ở lớp 3 trong mô hình OSI (Network Layer). Router kết nối
hai hay nhiều mạng khác dải địa chỉ IP với nhau. Router có thể kết nối với các loại
mạng khác lại với nhau, từ những Ethernet cục bộ tốc độ cao cho đến đường dây điện
thoại đường dài có tốc độ chậm. Tuy nhiên Router chậm hơn Bridge vì nó cần tính

Nguyễn Trọng Thủy

20

Lớp Mạng máy tính K57

20


Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính

toán nhiều hơn để tìm ra cách dẫn đường cho các gói tin, đặc biệt khi các mạng kết
nối với nhau không cùng tốc độ. Một mạng tốc độ cao có thể phát các gói tin nhanh
hơn nhiều so với một mạng chậm và có thể gây ra sự nghẽn mạng. Do đó, Router có
thể yêu cầu máy tính gửi các gói tin đến chậm hơn. Thường các Router đều được sử
dụng cùng chung một giao thức. Tuy nhiên, hầu như các loại router đang bán trên thị
trường đều có thể xử lý nhiều loại giao thức để đảm bảo tính tương thích cao, tuy
nhiên giá thành của các thiết bị này là khá cao.

Hình 1-13: Router có thể phát wifi.

1.2 Bảo mật trong mạng LAN

Hình 1-14: Bảo mật cho mạng LAN
Nguyễn Trọng Thủy

21

Lớp Mạng máy tính K57

21


Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính

Mạng máy tính phát triển nhanh chóng đi kèm những hệ lụy như khả năng bị các
hacker tay nghề cao tấn công, đánh cắp thông tin ngày càng nhiều. Các lỗ hổng bảo mật
được các hacker xấu khai thác triệt để và tinh vi hơn, gây thiệt hại nặng nề hơn.
Theo báo cáo an ninh mạng thường niên năm 2017 của Cisco, hơn 1/3 tổ chức từng bị
vi phạm an ninh trong năm 2016 chịu thiệt hại đáng kể do mất khách hàng, cơ hội và
doanh thu lên đến hơn 20%. Báo cáo đã khảo sát gần 3.000 giám đốc bảo mật (chief
security officer – CSO) và lãnh đạo điều hành hoạt động an ninh bảo mật của 13 quốc gia
trong Nghiên cứu tiêu chuẩn về các Khả năng An toàn bảo mật (Security Capabilities
Benchmark Study). Các giám đốc bảo mật cho rằng, hạn chế về ngân sách, khả năng
tương thích kém của các hệ thống, và sự thiếu hụt đội ngũ nhân viên được đào tạo bài bản
là những rào cản lớn nhất cho việc nâng cao hệ thống bảo mật.
Việt Nam không nằm ngoài phạm vi chịu ảnh hưởng đó. Vừa qua đã xảy ra khá nhiều
vụ các trang web của Việt Nam bị tin tặc tấn công, điển hình là Website của sân bay Tân
Sơn Nhất đã bị tin tặc tấn công, chiếm quyền và đánh cắp nhiều thông tin quan trọng.
Chính vì vậy, tính bảo mật trong mạng phải được đặt lên hàng đầu.


Các yêu cầu bảo mật cơ bản cho một mạng LAN bao gồm:
-

Đảm bảo an toàn tài sản thông tin (Information Assets): Bao gồm phần cứng, phần
mềm, dữ liệu yêu cầu cần được bảo vệ. Trong đó phần cứng bao gồm máy tính, máy
in, ổ đĩa..., thiết bị mạng: Router, Bridge, và Hub... Phần mềm bao gồm hệ điều hành,
hệ quản lý cơ sở dữ liệu, các phần mềm ứng dụng và các chương trình liên mạng... Dữ
liệu là các cơ sở dữ liệu của các chương trình ứng dụng, các file về thông tin, cấu hình
hệ thống, mạng...

-

Đảm bảo mục tiêu bảo mật (Security Goal) là duy trì ba đặc tính quan trọng của thông
tin là: tính bí mật, tính toàn vẹn và tính kịp thời (sẵn sàng).

-

Sự đe doạ hay các mối nguy hiểm (Threat or Risk): các mối đe doạ, nguy hiểm tới tài
sản thông tin là vô vàn, kể như: việc cháy trung tâm dữ liệu; các cracker/hacker xâm
nhập chỉnh sửa hay phá hủy trái phép các dữ liệu, thông tin về mạng..., người sử dụng
xoá nhầm file… Tất cả đều chứng tỏ rằng thông tin đã bị xâm phạm. Khi xảy ra sự cố
đó, thiệt hại là vô cùng to lớn cả về vật chất lẫn thời gian khắc phục.

Nguyễn Trọng Thủy

22

Lớp Mạng máy tính K57

22



Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính

-

-

-

Phương pháp bảo mật (Security Method): là: các bước, các công cụ, các kỹ thuật được
sử dụng để giúp tránh các mối đe doạ, hiểm họa xảy ra hoặc để giảm thiểu tổn thất,
thiệt hại thấp nhất đối với tài sản thông tin.
Luôn xây dựng hệ thống mạng mang tính dự phòng cao ( High Availablity) để đảm
bảo mạng vẫn hoạt động tốt trong trường hợp có sự cố. Ví dụ: sẽ có 2 Firewall cứng
chạy song song với nhau. Khi hệ thống hoạt động bình thường thì cả 2 sẽ cùng chạy
để giảm tải cho nhau, còn khi có sự cố ở Firewall bất kì nào thì hệ thống sẽ tự động
chuyển sang hoạt động trên Firewall còn lại vẫn hoạt động tốt.
Kẻ phá hoại có thể là bất kì ai từ bất kì đâu: có thể là một nhân viên trong hệ thống
hoặc một hacker tấn công từ bên ngoài vào các máy tính bảo mật kém,…chính vì vậy,
phải luôn sẵn sàng đối phó với mọi tình huống, mọi cuộc tấn công có thể xảy ra.
1.3 Tình hình an ninh mạng Việt Nam trong năm 2016

Theo thống kê của Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam, trong năm 2016,
có 134.375 sự cố tấn công mạng của cả 3 loại hình Phishing (lừa đảo), Malware (mã độc)
và Deface (thay đổi giao diện). So với năm 2015, số lượng vụ tấn công mạng năm 2016
nhiều gấp hơn 4,2 lần (năm 2015 là 31.585), trong đó, loại hình tấn công Phishing là
10.057 sự cố (gấp hơn 1,7 lần so với năm 2015), Malware là 46.664 sự cố (gấp gần 2,8
lần năm 2015) và Deface là 77.654 sự cố (gấp hơn 8,7 lần năm 2015).
Lần đầu tiền trong lịch sử, sân bay Nội Bài, Tân Sơn Nhất bị tin tặc tấn công.

Chiều 29/7/2016, hàng loạt màn hình hiển thị thông tin chuyến bay cùng hệ thống phát
thanh của sân bay Nội Bài, Tân Sơn Nhất bất ngờ bị tấn công. Trên các màn hình hiển thị
nội dung kích động, xuyên tạc về Biển Đông. Hệ thống phát thanh của sân bay cũng phát
đi những thông điệp tương tự. Cùng thời điểm, trên website của hãng hàng không quốc
gia Việt Nam (vietnamairlines.com) cũng bị thay đổi nội dung, đồng thời đăng tải thông
tin của hơn 400.000 thành viên Golden Lotus. Vụ tấn công sau đó được Vietnamairlines
và các cơ quan chức năng trong lĩnh vực ATTT phối hợp xử lý tốt. Nhưng đây là vụ tấn
công mạng nghiêm trọng vào hệ thống hạ tầng CNTT quan trọng của quốc gia và để lại
nhiều hệ lụy xấu.
841 máy chủ tại Việt Nam bị hacker rao bán quyền truy cập: Tháng 6/2016 Kaspersky
Lab đã tiến hành điều tra diễn đàn quốc tế xDedic (được điều hành bởi nhóm tội phạm
mạng nổi tiếng của Nga) - nơi mà tội phạm mạng có thể mua bán quyền truy cập vào các
Nguyễn Trọng Thủy

23

Lớp Mạng máy tính K57

23


Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính

máy chủ bị xâm nhập (chỉ với giá 6 USD cho mỗi quyền truy cập). Điều đáng nói là trong
số các máy bị rao bán có 841 máy chủ tại Việt Nam. Trong số các máy chủ bị rao bán
quyền truy cập, có nhiều máy chủ cấp quyền truy cập đến những trang web thương mại,
các dịch vụ và chạy nhiều phần mềm cài đặt dành cho việc gửi email trực tiếp, hoặc hoạt
động tài chính, kế toán. Đáng chú ý, chủ sở hữu của những máy chủ hợp pháp, là các cơ
quan, tổ chức chính phủ, tập đoàn và trường đại học danh tiếng... thường không biết rằng
hệ thống công nghệ thông tin đang bị tổn hại.

Hàng loạt các website, diễn đàn lớn trong nước bị tấn công: Các website bị tấn công
có thể kể đến: Vietnamworks.com, svvn.vn, athena.edu.vn và athena.com.vn…. Một
trong những mục tiêu của tin tặc là các website của công ty chuyên về ATTT, trong đó có
website của Trung tâm Đào tạo Quản trị mạng và An ninh mạng Athena. Tin tặc đã tấn
công và thay đổi giao diện trang chủ (deface) của đơn vị này vào ngày 4 và 5/8/2016.
Tấn công nhằm vào lĩnh vực tài chính: Điển hình cho các vụ tấn công vào lĩnh vực tài
chính là Ngân hàng TMCP Ngoại thương Việt Nam (Vietcombank). Tháng 8/2016, một
khách hàng của Vietcombank đã bị mất số tiền 500 triệu đồng qua giao dịch Internet
Banking. Nguyên nhân được xác định là do khách hàng đã truy cập vào một trang web
giả mạo qua điện thoại di động, khiến thông tin và mật khẩu của khách hàng đã bị đánh
cắp, sau đó tin tặc lợi dụng lấy cắp tiền trong tài khoản. Trước đó, Ngân hàng BIDV và
HSBC cũng được nhắc đến trong vụ việc liên quan chiếm thông tin tài khoản thẻ tín
dụng, sử dụng để quảng cáo cho Fanpage lạ trên Facebook, đặt phòng qua Agoda, mua
Game, sử dụng dịch vụ facebook với số tiền lên đến hàng chục triệu đồng…tất cả đã cho
chúng đã đưa ra một bức tranh về tình hình bất ổn của an ninh mạng năm 2016. Cùng với
quá trình đẩy mạnh ứng dụng CNTT và hướng tới thế giới kết nối IoT, xu hướng gia tăng
tấn công mạng là tất yếu. Bởi vậy, dự đoán được các nguy cơ về ATTT để có biện pháp
phòng ngừa phù hợp là trách nhiệm của chủ sở hữu và quản lý các hệ thống thông tin.
1.4 Một số phương pháp tấn công mạng thường gặp
1.4.1 Tấn công bị động (Passive Attack)
Tấn công bị động là kiểu tấn công không tác động trực tiếp vào thiết bị nào trên
mạng, không làm cho các thiết bị trên mạng biết được hoạt động của nó, vì thế kiểu tấn
công này nguy hiểm ở chỗ nó rất khó phát hiện. Tấn công bị động hay là nghe lén có lẽ là
một phương pháp tấn công đơn giản nhất nhưng vẫn rất hiệu quả. Tấn công bị động
Nguyễn Trọng Thủy

24

Lớp Mạng máy tính K57


24


Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính

không để lại một dấu vết nào chứng tỏ đã có sự hiện diện của kẻ tấn công trong mạng vì
khi thực hiện hành vi nghe trộm, kẻ tấn công không gửi bất kỳ gói tin nào mà chỉ lắng
nghe mọi dữ liệu lưu thông trên mạng.. Phương pháp này cho phép kẻ tấn công giữ
khoảng cách với mạng, không để lại dấu vết trong khi vẫn lắng nghe và thu nhập được
những thông tin quý giá.
Các phương thức thường được sử dụng trong tấn công bị động: nghe trộm
(Eavesdropping), phân tích luồng thông tin (Traffic Analysis). Dưới đây là một trong
nhiều phương pháp tấn công thường gặp:
1.4.1.1 Phương thức bắt gói tin ( Sniffing)

Hình 1-15: Phương thức tấn công Sniffing
Bắt gói tin là khái niệm cụ thể của khái niệm tổng quát “nghe trộm” (eavesdropping)
sử dụng trong mạng máy tính. Bắt gói tin có thể hiểu như là một phương thức lấy trộm
thông tin giữa hai thiết bị trao đổi thông tin với nhau. Tấn công kiểu bắt gói tin sẽ khó bị
phát hiện vì nó không thay đổi nội dung của gói tin mà chỉ thay đổi đường đi của gói.
Packet sniffers (kẻ bắt gói tin) sẽ khai thác những thông tin được truyền ở dạng clear
text như: Telnet, FTP, SNMP, POP, HTTP...Nhiều ứng dụng có thể bắt được cả mật mã đã
được băm (password hash: mật mã đã được mã hóa bằng nhiều thuật toán như MD4,
MD5, SHA…) truyền trên đoạn mạng không dây giữa client và server lúc client đăng
nhập vào.
Mức độ thiệt hại: Vì hầu như mọi thông tin trao đổi giữa người dùng với nhau đều bị
“nghe lén” sẽ dẫn tới sự mất an toàn thông tin nghiêm trọng, từ đó bị lộ những thông tin
quan trọng, gây thiệt hại lớn cho các cá nhân, tập thể.
Biện pháp phát hiện: thấy lưu lượng đường truyền cao hơn mức thông thường hoặc
cao đột biến

Nguyễn Trọng Thủy

25

Lớp Mạng máy tính K57

25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×