Tải bản đầy đủ (.docx) (89 trang)
  1. Trang chủ
    2. >>
  2. Thể loại khác
    3. >>
  3. Tài liệu khác

Nghiên cứu giải pháp bảo mật mạng LAN và ứng dụng tại trường Đại học Đại Nam

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.73 MB, 89 trang )

1

LỜI CAM ĐOAN
Tôi cam đoan đề tài: “Nghiên cứu giải pháp bảo mật mạng LAN và ứng
dụng tại trường Đại học Đại Nam” là công trình nghiên cứu của riêng tôi dưới sự
hướng dẫn của TS. Vũ Văn Thỏa.
Các kết quả, phân tích, kết luận trong luận văn thạc sỹ này (ngoài phần được
trích dẫn) đều là kết quả làm việc của tác giả, các số liệu nêu trong luận văn là trung
thực và chưa từng được công bố trong bất kỳ công trình nào khác.
Nếu sai tôi xin hoàn toàn chịu trách nhiệm.

Hà Nội, ngày 02 tháng 11 năm 2017
Tác giả

Phùng Thị Hải Yến


2

LỜI CẢM ƠN
Lời đầu tiên cho em xin gửi lời cảm ơn chân thành đến các thầy, cô giáo
thuộc Khoa CNTT, Khoa QT&ĐT sau đại học thuộc Học viện Công nghệ Bưu
chính viễn thông đã tận tình giảng dạy, truyền đạt các nội dung kiến thức, kinh
nghiệm quý báu trong suốt quá trình em theo học tại Học viện. Với những bài học
quý giá, sự kèm cặp, chỉ bảo và truyền thụ tâm huyết của các thầy, cô đã giúp cá
nhân em hoàn thiện hơn nữa hệ thống kiến thức chuyên ngành, phục vụ tốt hơn yêu
cầu công tác của đơn vị đồng thời nâng cao hơn vốn tri thức của bản thân.
Đặc biệt, em xin gửi lời cảm ơn trân thành tới thầy hướng dẫn khoa học TS.
Vũ Văn Thỏa, Khoa QT&ĐT sau đại học thuộc Học viện Công nghệ Bưu chính
viễn thông đã tâm huyết, tận tình chỉ bảo, hướng dẫn, cung cấp tài liệu và các nội
dung kiến thức quý báu, đồng thời có sự định hướng đúng đắn giúp em hoàn thành


được luận văn này.
Em cũng xin được bày tỏ sự cảm ơn sâu sắc tới gia đình, đồng nghiệp đã tạo
điều kiện, dành sự ủng hộ đối với bản thân em để có nhiều thời gian cho khóa học,
đạt được những kết quả khả quan trong quá trình học tập. Đồng thời xin chân thành
cảm ơn tập thể lớp Cao học Hệ thống thông tin – Đợt 1 năm 2016 đã đồng hành,
khích lệ và chia sẻ trong suốt quá trình học tập.
Trong quá trình thực hiện luận văn, mặc dù bản thân đã cố gắng, chủ động
trong việc sưu tầm tài liệu, củng cố kiến thức… tuy nhiên chắc chắn luận văn vẫn
còn nhiều thiếu sót. Em rất mong nhận được sự chỉ dạy, đóng góp tận tình của các
thầy, cô để luận văn của em được hoàn thiện hơn nữa và có tính ứng dụng cao hơn
trong thực tiễn.
Xin trân trọng cảm ơn!
Hà Nội, ngày 01 tháng 11 năm 2017
Học viên
Phùng Thị Hải Yến


3

MỤC LỤC


4

DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT

Từ viết tắt

Tiếng Anh


Tiếng Việt
Công cụ quản lý quyền

GPO

Group Policy Object

DLP

Data Loss Prevention

Chống mất dữ liệu

DoS

Denial of Service

Tấn công từ chối dịch vụ

IDS

Intrucsion Detection System

IP

Internet Protocol

IPS

Intrusion Prevention Systems


IT

Information Technology

xâm nhập
Công nghệ thông tin

LAN

Local Area Network

Mạng nội bộ

NIC

Network Interface Card

Card mạng

SSL

Secure Sockets Layer

TCP

Transmission Control Protocol

người dùng


Hệ thống phát hiện xâm
nhập
Giao thức Internet
Hệ thống phòng chống

Giao thức an ninh thông
tin
Giao thức điều khiển
truyền thông tin trên
Internet

USB

Universal Serial Bus

Thiết bị lưu trữ ngoài

VLAN

Virtual LAN

Mạng LAN ảo

VPN

Virtual Private Network

Hệ thống mạng riêng ảo



5

DANH MỤC CÁC HÌNH

MỞ ĐẦU
1. Lý do chọn đề tài
Vấn đề an ninh mạng đang ngày càng trở nên nóng bỏng với hàng loạt vụ tấn
công nhằm vào mạng nội bộ có kết nối Internet của các cơ quan nhà nước và doanh
nghiệp. Những thông tin, dữ liệu quan trọng bị thất thoát dẫn đến những tổn thất
không thể tính được bằng tiền, nếu không muốn nói gây nguy hại đến “chủ quyền
số” của đất nước…
Ngày nay, các biện pháp an toàn thông tin cho máy tính cá nhân cũng như
các mạng nội bộ đã được nghiên cứu và triển khai. Tuy nhiên, vẫn thường xuyên có
các mạng bị tấn công, có các tổ chức bị đánh cắp thông tin,…gây nên những hậu
quả vô cùng nghiêm trọng. Những vụ tấn công này nhằm vào tất cả các máy tính có
mặt trên Internet, các máy tính của các công ty lớn như AT&T, IBM, các trường đại
học và các cơ quan nhà nước, các tổ chức quân sự, nhà băng,… Một số vụ tấn công
với quy mô khổng lồ (có tới 100.000 máy tính bị tấn công). Hơn nữa những con số
này chỉ là phần nổi của tảng băng chìm. Một phần rất lớn các vụ tấn công không
được thông báo vì nhiều lý do, trong đó có thể kể đến nỗi lo mất uy tín hoặc chỉ đơn
giản những người quản trị mạng không hề hay biết những vụ tấn công nhằm vào hệ
thống của họ. Không chỉ các vụ tấn công tăng lên nhanh chóng mà các phương pháp
tấn công cũng liên tục được hoàn thiện. Tại Việt Nam, các hệ thống mạng và
Website bị tấn công theo chiều hướng gia tăng: năm 2014 có hơn 1 nghìn Website bị
tấn công, năm 2015 hơn 2000 website bị tấn công và phát tán thư rác, năm 2016
website Vietnam Airlines bị hack lộ hơn 400.000 dữ liệu khách hàng. Đặc biệt, theo
thống kê của Microsoft, trong 5 nước đứng đầu toàn cầu về nguy cơ nhiễm mã độc
có 2 nước thuộc khu vực Đông Nam Á là Việt Nam và Indonesia. Đây là hai nước



6

có tỷ lệ nhiễm mã độc hơn 45% vào quý II/2016, gấp đôi so với mức trung bình
cùng kỳ (21%) của thế giới.
Vì vậy, việc kết nối mạng nội bộ của cơ quan tổ chức mình vào mạng
Internet mà không có các biện pháp đảm bảo an ninh thì cũng được xem là tự sát.
Từ nhu cầu phát triển, đòi hỏi các cơ quan, tổ chức phải kết nối vào mạng Internet
song vẫn phải đảm bảo an toàn thông tin trong quá trình kết nối. Bởi vậy, học viên
đã quyết định chọn đề tài: “NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MẠNG LAN
VÀ ỨNG DỤNG TẠI TRƯỜNG ĐẠI HỌC ĐẠI NAM”.
2. Tổng quan vấn đề nghiên cứu
LAN (viết tắt từ tên tiếng Anh Local Area Network - mạng cục bộ) là một hệ
thống mạng dùng để kết nối các máy tính trong một phạm vi nhỏ (nhà ở, phòng làm
việc, trường học, trong công ty…). Các máy tính trong mạng LAN có thể chia sẻ tài
nguyên với nhau, mà điển hình là chia sẻ tập tin, máy chủ Web, máy chủ Mail, máy
in, máy quét và một số thiết bị khác.
Một mạng LAN tối thiểu cần có máy chủ (server), các thiết bị ghép nối
(Repeater, Hub, Switch, Bridge), máy tính con (client), card mạng (Network
Interface Card – NIC) và dây cáp (cable) để kết nối các máy tính lại với nhau. Một
hình thức khác nữa của mạng LAN, mới xuất hiện trong những năm gần đây là
WLAN (Wireless LAN) – mạng LAN không dây.
Tốc độ mạng LAN ngày nay có thể lên đến 10 Mbps, 54Mbps, 100 Mbps, 1
Gbps, 10Gbps hay lên tới cả 100 Gbps.
Để xây dựng một hệ thống mạng LAN người ta dựa vào một số mô hình
mạng như: Star là mạng hình sao, Bus là mạng trục tuyến tính (Bus), Token Ring là
mạng được bố trí theo dạng xoay vòng khép kín. Mesh là mạng được sử dụng trong
các mạng có độ quan trọng cao mà không thể ngừng hoạt động.
Để xây dựng được một hệ thống tường lửa bảo vệ cho mạng LAN chúng ta
có nhiều giải pháp như sử dụng Firewall cứng của Cisco như ASA, Juniper như
RSX, Checkpoint, Fortigate hoặc dùng tường lửa của Microsoft như ISA, TMG…

nhưng chi phí rất đắt tiền. Chỉ những doanh nghiệp lớn mới có đủ kinh phí để trang


7

trải. Đa phần các doanh nghiệp còn lại đều không sử dụng Firewall hoặc chỉ sử
dụng phần mềm diệt Virus trên máy tính.
Các phần mềm diệt Virus thông thường có bản quyền thì phí cũng không hề
rẻ nhưng không phát hiện được các cuộc tấn công mạng trên quy mô diện rộng của
công ty. Ngoài ra khi xảy ra bị tấn công cũng không có biện pháp bảo vệ nhanh
chóng cho hệ thống. Dẫn tới công ty sẽ bị kiểm soát, gây ra thiệt hại rất lớn.
Đa phần hệ thống mạng LAN của các doanh nghiệp đều xây dựng theo mô
hình mạng hình Sao, dữ liệu ít được phân quyền quy cập, hệ thống máy chủ không
tách riêng với hệ thống máy người dùng. Khi xảy ra bị tấn công các Hacker sẽ dễ
dàng kiểm soát máy chủ và dữ liệu thông qua máy người dùng thông thường. Khi
truy cập từ ngoài Internet vào trong hệ thống toàn dùng phần mềm tự do như
Teamview, rất ít dùng hệ thống mạng riêng ảo (VPN) để truy cập.
Rất nhiều doanh nghiệp không có hệ thống phát hiện và ngăn chặn xâm nhập
mạng IDS/IPS, khi xảy ra sự cố bị tấn công sẽ không có cảnh báo kịp thời, không
theo dõi được trạng thái hoạt động một cách sớm nhất để đưa ra giải pháp bảo vệ.
Tóm lại, vấn đề an ninh an toàn mạng máy tính là một vấn đề lớn, nó yêu cầu
cần phải có một giải pháp tổng thể, không chỉ phần mềm, phần cứng máy tính mà
nó đòi hỏi cả vấn đề chính sách về con người. Và vấn đề này cần phải được thực
hiện một cách thường xuyên liên tục, không bao giờ triệt để được vì nó luôn nảy
sinh theo thời gian. Tuy nhiên, bằng các giải pháp tổng thể hợp lý, đặc biệt là giải
quyết tốt vấn đề chính sách về con người ta có thể tạo ra cho mình sự an toàn chắc
chắn hơn.
3. Mục tiêu nghiên cứu của đề tài
Mục tiêu nghiên cứu của luận văn là khảo sát các yêu cầu và giải pháp bảo
mật cho mạng LAN và đề xuất giải pháp bảo mật cho mạng nội bộ tại trường Đại

Học Đại Nam có khả năng triển khai áp dụng trong thực tế.
4. Đối tượng và phạm vi nghiên cứu của đề tài
Đối tượng nghiên cứu của luận văn là mạng LAN và các vấn đề liên quan
đến bảo mật mạng LAN.


8

Phạm vi nghiên cứu của luận văn là các giải pháp bảo mật mạng LAN và ứng
dụng cho mạng nội bộ tại trường đại học Đại Nam.
5. Phương pháp nghiên cứu của đề tài
- Về mặt lý thuyết: Thu thập, khảo sát, phân tích các tài liệu và thông tin có
liên quan đến bảo mật mạng LAN.
- Về mặt thực nghiệm: Khảo sát thực tế tại Trường Đại học Đại Nam và đề
xuất các giải pháp bảo mật nội bộ của trường phù hợp.
6. Bố cục luận văn
Luận văn được trình bày trong 3 chương:
Chương 1: TỔNG QUAN VỀ MẠNG LAN VÀ CÁC YÊU CẦU BẢO
MẬT
Nội dung chương 1 của luận văn sẽ khảo sát tổng quan về mạng LAN và các
các yêu cầu bảo mật đối với mạng LAN.
Chương 2: NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MẠNG LAN
Chương 2 của luận văn sẽ tập trung nghiên cứu các giải pháp đảm bảo an
toàn và bảo mật cho mạng LAN.
Chương 3: ĐỀ XUẤT CÁC GIẢI PHÁP BẢO MẬT CHO MẠNG NỘI
BỘ TẠI TRƯỜNG ĐẠI HỌC ĐẠI NAM.
Chương này sẽ nghiên cứu về hệ thống mạng nội bộ của trường Đại Học Đại
Nam và đề xuất ứng dụng các giải pháp bảo mật hệ thống mạng LAN đã nghiên cứu
trong chương 2 cho hệ thống mạng nội bộ của trường Đại học Đại Nam.



9

Chương 1. TỔNG QUAN VỀ MẠNG LAN VÀ CÁC YÊU CẦU
BẢO MẬT
Chương 1 của luận văn sẽ khảo sát tổng quan các khía cạnh của công nghệ
mạng LAN và các vấn đề liên quan. Trên cơ sở nghiên cứu các nguy cơ đe dọa bảo
mật và phương thức tấn công mạng LAN, luận văn sẽ đề xuất các yêu cầu bảo mật
đối với mạng LAN. Luận văn cũng đề cập đến các vấn đề bảo mật mạng LAN trong
thực tế.
1.1 Tổng quan về công nghệ mạng LAN và các vấn đề liên quan
1.1.1 Giới thiệu chung
Mạng LAN là viết tắt của Local Area Network, dịch nghĩa là mạng máy tính
nội bộ, cho phép các máy tính trong cùng một đơn vị như doanh nghiệp, trường học,
tổ chức hành chính có thể kết nối với nhau để cùng nhau làm việc và chia sẻ dữ liệu
dựa trên nền Internet. Mạng LAN hữu ích vì nó cho phép những người sử dụng
dùng chung tài nguyên quan trọng như máy in, ổ CDROM, các phần mềm ứng dụng
và thông tin cần thiết khác.
Hính 1.1 mô tả mô hình một mạng LAN điển hình.

Hình 1.1: Mô hình mạng LAN [8]


10

Một mạng LAN tối thiểu cần phải có máy chủ (Server), các thiết bị ghép nối
( Switch, Router,…), máy trạm (Client), card mạng và dây cáp (hoặc Wifi) để kết
nối các máy tính lại với nhau. Thông thường, mạng LAN đều có một vài điểm truy
nhập vào mạng Internet. Do có sự giao tiếp với bên ngoài nên công tác bảo vệ an
ninh mạng đóng một vai trò quan trọng.

Các công nghệ trong mạng Lan bao gồm: công nghệ Ethernet, Fast-Ethernet,
Giga-Ethernet.
- Công nghệ Ethernet: Là một họ lớn và đa dạng gồm các công nghệ mạng
dựa khung dữ liệu dành cho mạng LAN. Ethernet định nghĩa một loạt các chuẩn nối
dây và phát tín hiệu cho tầng vật lý - đó là 2 phương tiện để truy nhập mạng tại
phần MAC của tầng liên kết dữ liệu, và một định dạng chung cho địa chỉ. Hiện nay
Ethernet đã được chuẩn hóa thành IEEE 802.3. Ethernet hỗ trợ băng thông đến
10Mbps. Cấu trúc mạng hình sao, hình thức nối cáp xoắn của Ethernet đã trở thành
công nghệ LAN được sử dụng rộng rãi từ thập kỷ 1990 đến nay. Gần đây, Wi-Fi,
dạng LAN không dây đã được chuẩn hóa bởi IEEE 802.11, được sử dụng bên cạnh
hoặc thay thế cho Ethernet trong nhiều cấu hình mạng.
- Công nghệ Fast-Ethernet: Thay vì phải đầu tư vào 1 công nghệ hoàn toàn
mới để tăng băng thông, nền công nghiệp networking đã cho ra 1 loại Ethernet tốc
độ cao dựa trên nền của Ethernet có sẵn trước đó. Fast Ethernet hoạt động với tốc
độ đến 100 Mbps và được định vào chuẩn 802.3 của IEEE. Cách mắc Ethernet, hoạt
động CSMA/CD, cũng như hoạt động của các giao thức lớp cao hơn được giữ
nguyên với Fast Ethernet. Kết quả của mạng lưới là có cùng Layer của đường net
link MAC nhập với 1 Layer vật lý mới (OSI Layer 1). Mạng Campus có thể dùng
Fast Ethernet để truy cập link và phân phối layer của switch nếu không xuất hiện
các link tốc độ cao khác. Các link này có thể hỗ trợ lưu lượng tập trung từ nhiều
đoạn Ethernet trong lớp truy cập. Fast Ethernet thường được dùng để kết nối trạm
làm việc của người dùng cuối đến switch truy cập lớp và cung cấp khả năng kết nối
nâng cao đến các server enterprise. Cáp cho Fast Ethernet có thể bao gồm cả UTP
(cáp xoắn đôi không bọc) hay cáp sợi.


11

Hình 1.2: Các đặc trưng của Fast Ethernet, kiểu truyền và khoảng cách [11]


- Công nghệ Giga-Ethernet: Ta có thể mở rộng Fast-Ethernet về mặt độ lớn
với Gigabit Ethernet (hỗ trợ 1000 Mbps hay 1 Gbps) sử dụng cùng định dạng frame
IEEE 802.3 Ethernet trước đó. Khả năng mở rộng này cho phép các nhà thiết kế và
quản lý network nâng tầm về kiến thức và công nghệ sẵn có để cài đặt, di chuyển,
quản lý, và bảo hành mạng Gigabit Ethernet. Tuy nhiên, lớp vật lý đã được biến đổi
lại để tăng tốc độ truyền tải dữ liệu. 2 công nghệ đã được nhập chung để có cả ưu
điểm của cả 2: chuẩn IEEE 802.3 Ethernet và chuẩn ANSI X3T11 FibreChannel
(Cáp quang chuẩn X3T11 của Tổ chức Tiêu chuẩn Quốc gia Mỹ). IEEE 802.3 gồm
cơ sở định dạng frame, CSMA/CD, song công, và các đặc trưng khác của Ethernet.
Cáp sợi quang cung cấp nền tảng ASIC tốc độ cao, vật liệu quang, và cơ cấu mã
hóa/giải mã cùng tuần tự hóa. Chúng cho ra giao thức cuối cùng được định nghĩa là
IEEE 802.3z Gigabit Ethernet. Gigabit Ethernet hỗ trợ 1 vài loại cáp, được quy là
1000BASE-X. Bảng sau liệt kê các loại cáp cũng như đặc tính của chúng


12

Hình 1.3: Các đặc trưng của Giga-Ethernet, kiểu truyền và khoảng cách [11]

Với mạng campus, ta có thể dùng Gigabit Ethernet để kết nối các thiết bị
riêng lẻ vào switch hay kết nối các switch với nhau.
1.1.2 Các mô hình mạng LAN
LAN có nhiều mô hình mạng, có thể kể đến 4 loại: Star, Bus, Token Ring,
Mesh.
- Star: là mô hình mạng hình sao. Tất cả các trạm được kết nối tới một thiết
bị trung tâm (Switch, Router, Hub,…) có nhiệm vụ nhận thông tin từ các máy trạm
và chuyển đến máy đích. Vai trò của thiết bị trung tâm là thiết lập các liên kết Point
to Point.
Ưu điểm: Thiết lập mạng đơn giản, dễ cấu hình lại mạng (thêm, bớt máy
trạm), dễ kiểm soát và khắc phục sự cố, tận dụng tối đa đường truyền vật lý.

Nhược điểm: Độ dài đường truyền kết nối một trạm với thiết bị trung tâm bị
hạn chế.
- Bus: là mô hình mạng theo trục tuyến tính. Máy chủ cũng như tất cả các
máy tính khác, các nút đều được nối vào 1 đường trục cáp chính, sử dụng ít dây cáp
nhất, hoạt động theo liên kết Point to Multipoint hay Broadcast.
Ưu điểm: Dễ thiết kế, chi phí thấp.
Khuyết điểm: Tính ổn định kém, chỉ một nút mạng hỏng là toàn bộ mạng bị
ngừng hoạt động.
- Token Ring: là mô hình mạng được bố trí theo dạng xoay vòng khép kín.
Mạng hình vòng sử dụng thẻ bài, tín hiệu truyền kèm thẻ bài và chạy trên vòng theo
1 chiều duy nhất. Mỗi trạm của mạng sẽ kiểm tra thẻ bài, nếu đúng thì nó xử lý còn
không đúng sẽ chuyển tiếp đến trạm kế tiếp trên vòng. Như vậy tín hiệu được lưu
chuyển trên vòng theo một chuỗi liên tiếp các liên kết Point to Point giữa các điểm.
Ưu điểm: có thể nới rộng, tổng đường dây cần thiết ít hơn so với Bus và Star
Nhược điểm: Nếu bị ngắt ở một nút nào đó thì toàn bộ hệ thống cũng bị
ngừng.


13

- Mesh: là mô hình mạng nhện, được sử dụng trong các mạng có độ quan
trọng cao mà không thể ngừng hoạt động. Chẳng hạn trong các nhà máy điện
nguyên tử hoặc các mạng của an ninh, quốc phòng. Mỗi máy tính được nối với toàn
bộ các máy còn lại.
Ưu điểm: Đảm bảo hệ thống luôn hoạt động, không bị ngắt dù xảy ra sự cố
tại 1 điểm nào đó
Nhược điểm: Phức tạp, chi phí cao do tốn rất nhiều dây.
Ngoài ra còn một số mô hình mạng khác phân theo chức năng thành phần:
- Peer to Peer: Mạng ngang hàng (P2P) (Hình 1.4) là mạng mà trong đó hai
hay nhiều máy tính chia sẻ tập tin và truy cập các thiết bị như máy in mà không cần

đến máy chủ hay phần mềm máy chủ. Mạng ngang hàng thường được tổ chức thành
các nhóm làm việc workgroup. Mô hình này không có quá trình đăng nhập tập
trung, nếu đã đăng nhập vào mạng ta có thể sử dụng tất cả tài nguyên trên mạng.
Truy cập vào các tài nguyên phụ thuộc vào người đã chia sẻ các tài nguyên đó, do
vậy ta có thể phải biết mật khẩu để có thể truy nhập được tới các tài nguyên được
chia sẻ. Mạng P2P được tạo ra bởi hai hay nhiều máy tính được kết nối với nhau và
chia sẻ tài nguyên mà không phải thông qua một máy chủ dành riêng. Mạng P2P có
thể là kết nối tại chỗ – hai máy tính nối với nhau qua cổng USB để truyền tập tin.
P2P cũng có thể là cơ sở hạ tầng thường trực kết nối 5-6 máy tính với nhau trong
một văn phòng nhỏ bằng cáp đồng. Hay nó cũng có thể là một mạng có quy mô lớn
hơn nhiều, dùng các giao thức và ứng dụng đặc biệt để thiết lập những mối quan hệ
trực tiếp giữa người dùng trên internet.


14

Hình 1.4: Mô hình mạng Peer to Peer [11]

- Client - Server: Mô hình Client - Server cho mạng LAN mô tả trong hình
1.5 dưới đây.

Hình 1.5: Mô hình Client – Server [11]

Các máy trạm được nối với các máy chủ, nhận quyền truy nhập mạng và tài
nguyên mạng từ các máy chủ. Đối với Windows NT các máy được tổ chức thành
các miền (domain). An ninh trên các domain được quản lý bởi một số máy chủ đặc
biệt gọi là domain controller. Trên domain có một master domain controller được
gọi là PDC (Primary Domain Controller) và một BDC (Backup Domain
Controller) để đề phòng trường hợp PDC gặp sự cố. Mô hình phần mềm



15

Client/Server là mô hình giải pháp phần mềm cho việc khắc phục tình trạng quá tải
trên mạng và vượt qua những ngăn cách về sự khác nhau trong cấu trúc vật lý cũng
như hệ điều hành của các hệ thống máy tính khác nhau trên mạng. Mỗi phần mềm
xây dựng theo mô hình Client/Server sẽ được chia làm hai phần: phần hoạt động
trên máy phục vụ gọi là phần phía Server và phần hoạt động trên trạm làm việc gọi
là phần phía Client. Với mô hình này các trạm làm việc cũng được gọi là các Client
(hay máy Client) còn các máy phục vụ gọi là các Server. Nhiệm vụ của mỗi phần
được quy định như sau:
+ Phần phía Server quản lý các giao tiếp môi trường bên ngoài tại Server và
với các Client, tiếp nhận các yêu cầu dưới dạng các xâu ký tự (query string), phân
tích các query string, xử lý dữ liệu và gửi kết quả trả lời về phía các Client.
+ Phần phía Client tổ chức giao tiếp với người dùng, với môi trường bên
ngoài tại trạm làm việc và với phía Server, tiếp nhận yêu cầu của người dùng, thành
lập các query string gửi về phía Server, tiếp nhận kết quả và tổ chức trình diễn
chúng.
1.2. Các mối đe dọa bảo mật và phương thức tấn công mạng LAN
Trong quá trình vận hành và khai thác mạng LAN, trong môi trường Internet
có rất nhiều nguy cơ đe dọa bảo mật mạng. Dưới đây, luận văn liệt kê một số mối đe
dọa điển hình đối với bảo mật mạng LAN.
1.2.1. Các mối đe dọa bảo mật mạng LAN
Mối đe dọa không có cấu trúc (Untructured threat) thường là những hành vi
xâm nhập mạng trái phép một cách đơn lẻ, không có tổ chức. Công cụ hack và
script có rất nhiều trên Internet. Vì thế bất cứ ai tò mò có thể tải chúng về và sử
dụng thử trên mạng nội bộ. Cũng có những người thích thú với việc xâm nhập vào
máy tính và các hành động vượt khỏi tầm bảo vệ. Hầu hết tấn công không có cấu
trúc đều được gây ra bởi Script Kiddies (những kẻ tấn công chỉ sử dụng các công cụ
được cung cấp, không có hoặc có ít khả năng lập trình) hay những người có trình độ

vừa phải. Hầu hết các cuộc tấn công đó vì sở thích cá nhân, nhưng cũng có nhiều
cuộc tấn công có ý đồ xấu. Những trường hợp đó sẽ có ảnh hưởng xấu đến hệ thống


16

và hình ảnh của các chủ thể sở hữu mạng LAN. Đôi khi, chỉ cần chạy một đoạn mã
độc là có thể phá hủy chức năng của mạng LAN.
Mối đe dọa có cấu trúc (Structured threat) là các hành động xâm nhập mạng
trái phép cố ý, có động cơ và kỹ thuật cao. Những kẻ tấn công này hoạt động độc
lập hoặc theo nhóm. Họ có kỹ năng phát triển và sử dụng các kỹ thuật hack phức
tạp nhằm xâm nhập vào mục tiêu. Động cơ của các cuộc tấn công này thì có rất
nhiều. Một số yếu tố thường thấy có thể vì tiền, hoạt động chính trị, tức giận hay
báo thù. Các tổ chức tội phạm, các đối thủ cạnh tranh hay các tổ chức sắc tộc có thể
thuê các chuyên gia để thực hiện các cuộc tấn công dạng structured threat. Các cuộc
tấn công này thường có mục đích từ trước, như để lấy được mã nguồn của đối thủ
cạnh tranh.
Cho dù động cơ là gì, thì các cuộc tấn công như vậy có thể gây hậu quả
nghiêm trọng cho mạng LAN. Một cuộc tấn công structured thành công có thể gây
nên sự phá hủy cho toàn hệ thống mạng LAN.
Mối đe dọa từ bên ngoài (External threat) là các cuộc tấn công được tạo ra
khi không có một quyền nào trong hệ thống. Người dùng trên toàn thế giới thông
qua Internet đều có thể thực hiện các cuộc tấn công như vậy vào mạng LAN.
Mối đe dọa từ bên ngoài là mối đe dọa mà các chủ sở hữu mạng LAN
thường phải bỏ nhiều tiền và thời gian để ngăn ngừa.
Mối đe dọa từ bên trong (Internal threat) được sử dụng để mô tả một kiểu
tấn công được thực hiện từ một người hoặc một tổ chức có một vài quyền truy cập
mạng LAN. Các cách tấn công từ bên trong được thực hiện từ một khu vực được tin
cậy trong mạng. Mối đe dọa này có thể khó phòng chống hơn vì các nhân viên có
thể truy cập mạng và dữ liệu bí mật của công ty. Mối đe dọa ở bên trong thường

được thực hiện bởi các nhân viên bất bình, muốn “quay mặt” lại với công ty. Đôi
khi các cuộc tấn công dạng có cấu trúc vào hệ thống được thực hiện với sự giúp đỡ
của người bên trong hệ thống.
1.2.2 Các phương thức tấn công mạng LAN
Phương thức ăn cắp thống tin bằng Packet Sniffers


17

Đây là một chương trình ứng dụng bắt giữ được tất cả các các gói lưu chuyển
trên mạng (trên một collision domain). Sniffer thường được dùng cho
troubleshooting network hoặc để phân tích traffic. Tuy nhiên, do một số ứng dụng
gởi dữ liệu qua mạng dưới dạng clear text (telnet, FTP, SMTP, POP3,...) nên sniffer
cũng là một công cụ cho hacker để bắt các thông tin nhạy cảm như là username,
password, và từ đó có thể truy xuất vào các thành phần khác của mạng.
Phương thức tấn công mật khẩu Password Attack
Các hacker tấn công password bằng một số phương pháp như: brute-force
attack, chương trình Trojan Horse, IP spoofing và packet sniffer. Mặc dù dùng
packet sniffer và IP spoofing có thể lấy được user account và password, nhưng
hacker lại thường sử dụng brute-force để lấy user account hơn.
Tấn công brute-force được thực hiện bằng cách dùng một chương trình chạy
trên mạng, cố gắng login vào các phần share trên server bằng phương pháp “thử và
sai” passwork.
Phương thức tấn công bằng Mail Relay
Đây là phương pháp phổ biến hiện nay. Email server nếu cấu hình không
chuẩn hoặc Username/ password của user sử dụng mail bị lộ. Hacker có thể lợi
dụng email server để gửi mail gây ngập mạng , phá hoại hệ thống email khác. Ngoài
ra với hình thức gắn thêm các đoạn script trong mail hacker có thể gây ra các cuộc
tấn công Spam cùng lúc với khả năng tấn công gián tiếp đến các máy chủ Database
nội bộ hoặc các cuộc tấn công DoS vào một mục tiêu nào đó.

Phương thức tấn công lớp ứng dụng
Tấn công lớp ứng dụng được thực hiện bằng nhiều cách khác nhau. Một
trong những cách thông dụng nhất là tấn công vào các điểm yếu của phần mềm như
sendmail, HTTP, hay FTP. Nguyên nhân chủ yếu của các tấn công lớp ứng dụng này
là chúng sử dụng những port cho qua bởi firewall. Ví dụ các hacker tấn công Web
server bằng cách sử dụng TCP port 80, mail server bằng TCP port 25.
Phương thức tấn công Virus và Trojan Horse


18

Các nguy hiểm chính cho các workstation và end user là các tấn công virus
và ngựa thành Trojan (Trojan horse). Virus là một phần mềm có hại, được đính kèm
vào một chương trình thực thi khác để thực hiện một chức năng phá hại nào đó.
Trojan horse thì hoạt động khác hơn. Một ví dụ về Trojan horse là một phần mềm
ứng dụng để chạy một game đơn giản ở máy workstation. Trong khi người dùng
đang mãi mê chơi game, Trojan horse sẽ gởi một bản copy đến tất cả các user trong
address book. Khi user khác nhận và chơi trò chơi, thì nó lại tiếp tục làm như vậy,
gởi đến tất cả các địa chỉ mail có trong address book của user đó.
1.3 Các yêu cầu bảo mật chung cho mạng LAN
1.3.1 Yêu cầu bảo mật về mạng
Như mô tả tại hình 1.1, trong vận hành và khai thác mạng LAN sẽ phát sinh
các nguy cơ an ninh mạng ngày càng lớn. Không chỉ các kẻ tấn công khám phá ra
nhiều lỗ hổng bảo mật mà các công cụ và các kỹ thuật cần thiết để xâm nhập vào
một mạng cũng càng trở nên đơn giản hơn. Có sẵn những công cụ được tải về trên
Internet cho phép những người không có nhiều kiến thức về mạng cũng có thể thực
hiện các cuộc tấn công. Ngoài ra, việc thiết kế, cài đặt sử dụng các tài nguyên mạng
không đúng cách cũng góp phần tại ra các lỗ hổng trên mạng cho phép những người
có ý đồ xấu có thể xâm nhập vào hệ thống, thực hiện các thao tác phá hoại.
Cùng với sự phát triển của thời gian, các công cụ cho phép tấn công vào

mạng ngày càng trở nên phức tạp, khó lường còn yêu cầu về kiến thức để thực hiện
một hành vi tấn công vào mạng ngày càng thấp. Một người có thể không có nhiều
kiến thức về mạng cũng có thể thực hiện một cuộc tấn công thông qua một công cụ
được tải về từ trên mạng Internet.
Bảo mật và an ninh mạng đã trở thành vấn đề ưu tiên hàng đầu trong thiết kế
quản lý và vận hành mạng nhằm đảm bảo các các yêu cầu sau:
• Yêu cầu về tính sẵn sàng của mạng: Mạng phải đảm bảo luôn sẵn sàng cung
cấp các dịch vụ cho người dùng mọi lúc, mọi nơi.
• Yêu cầu về tính bền vững của mạng: Trong môi trường đầy những nguy cơ
mất an toàn mạng do người dùng giao tiếp với nhiều mạng công cộng và các
hệ thống khác nhau, mạng phải chống được các cuộc tấn công mạng như
DoS, DDoS, ….


19

• Yêu cầu về độ tin cậy mạng: Trong quá trình hoạt động, mạng phải đảm bảo
các truy cập của người dùng là hợp pháp, tránh các rủi ro làm ảnh hưởng đến
an toàn mạng.
Để đáp ứng các yêu cầu trên, thông thường chu trình bảo mật mạng gồm bốn
giai đoạn: Bảo mật an ninh mạng (Secure); giám sát (Monitor); kiểm tra các lỗ hổng
trên mạng (Test); cải tiến (Improve). Xuyên suốt bốn giai đoạn này là quá trình áp
dụng các chính sách an ninh (Security Policy).
Chính sách an ninh được xem là các luật lệ chính thức được áp dụng trong
mạng qua đó bất kỳ ai khi truy nhập vào mạng đó cũng phải tuân theo. Hay nói cách
khác, chính sách bảo mật là một văn bản tổng kết các cách thức mà một tổ chức,
một doanh nghiệp, một cá nhân sẽ sử dụng nhằm bảo vệ tài nguyên mạng của mình.
Bốn giai đoạn của chu trình bảo mật mạng được mô tả như sau:
• Giai đoạn bảo vệ an ninh mạng: là một phần trong các hoạt động quản trị
mạng của doanh nghiệp. Giai đoạn này là quá trình thiết lập các giải pháp an

ninh mạng nhằm ngăn chặn, phòng ngừa các hành động tấn công, các truy
nhập trái phép. Có thể đó chỉ là một hoạt động đơn giản như cấu hình bộ
định tuyến (router) không chấp nhận các dịch vụ, các truy nhập từ các địa chỉ
không được chứng thực hay phức tạp hơn là cấu hình các bức tường lửa
(Firewall), các hệ thống chứng thực (authentication), mã hóa (encryption)…
Các thao tác cài đặt, cấu hình này sẽ tuân theo các chính sách an ninh mà
doanh nghiệp lập ra. Các phương pháp sau thường được sử dụng nhằm thiết
lập bảo vệ an ninh mạng:
- Chứng thực: Là quá trình công nhận các cá nhân được quyền sử dụng từng
loại hình dịch vụ của mạng qua các dấu hiệu nhận dạng của cá nhân.
- Mã hóa: Là phương pháp nhằm đảm bảo truyền dữ liệu an toàn, tin cậy,
toàn vẹn, chính xác qua mạng. Dữ liệu trước khi gửi đi được mã hóa theo một thuật
toán nào đó và chỉ có bên nhận mới có thể giải mã được.
- Xây dựng tường lửa: Tường lửa là một tập hợp các chương trình liên kết
với nhau, được đặt tại các cửa ngõ vào/ra của mạng với chức năng bảo vệ các tài
nguyên của mạng trước các truy nhập từ bên ngoài.


20

- Thực hiện “vá lỗi” (vulnerability patching): là quá trình thực hiện xác minh
và khắc phục các lỗ hổng của mạng thông qua việc bổ sung các “bản vá”, là các
phần mềm có tính năng che lấp lỗ hổng của mạng.
• Giai đoạn giám sát mạng: Sau khi đã thiết lập nên một hệ thống bảo vệ an
ninh mạng, điều cần thiết phải giám sát, theo dõi hoạt động của hệ thống bảo
vệ an ninh mạng trước các truy nhập từ bên ngoài vào mạng, nhằm bảo đảm
mạng vẫn còn được bảo vệ an toàn. Đây là quá trình phát hiện các vi phạm
đối với chính sách bảo mật, phát hiện xâm nhập và kiểm soát hệ thống, xác
nhận các thao tác thực hiện bảo vệ an ninh mạng trong giai đoạn 1.
• Giai đoạn kiểm tra an ninh mạng: Sự phát triển của công nghệ kéo theo

những thay đổi không ngừng về cách thức tấn công xâm nhập mạng. Giai
đoạn này tìm kiếm những bất hợp lý trong việc xây dựng chính sách và hệ
thống bảo vệ mạng trước đó, tìm ra các điểm yếu mới của mạng mà các giai
đoạn trước không nhận ra thông qua các hành động tấn công thử vào các
điểm bảo mật của mạng.
• Giai đoạn cải tiến: Các giai đoạn giám sát và kiểm tra cung cấp các thông
tin cần thiết để tiến hành nâng cấp, cải tiến mức độ bảo vệ an ninh mạng. Các
nhà quản trị mạng sử dụng các thông tin này cải tiến các giải pháp bảo vệ,
điều chỉnh các chính sách an ninh, bổ sung các điểm yếu trên mạng nhằm đối
phó với các nguy cơ mới.
Sau khi đã đưa ra những cải tiến, chu trình lại tiếp tục với giai đoạn bảo vệ
an ninh mạng với sự bổ sung mới. Chu trình được tiến hành liên tục nhằm đảm bảo
rằng mạng được bảo vệ một cách an toàn nhất.
1.3.2 Yêu cầu về bảo mật dữ liệu
Trong mạng LAN, người dùng thường xuyên truy cập các cơ sở dữ liệu để
làm việc nên dễ xảy ra các nguy cơ mất an toàn dữ liệu. Vì vậy, vấn đề bảo mật dữ
liệu phải đảm bảo các yêu cầu sau:


Yêu cầu về tính sẵn sàng của dữ liệu: Các dữ liệu dùng chung phải luôn

trong trạng thái đáp ứng mọi yêu cầu của người dùng mọi lúc, mọi nơi.
• Yêu cầu về tính toàn vẹn dữ liệu: Các dữ liệu không bị chỉnh sửa, thay đổi
một cách bất hợp pháp.


21

• Yêu cầu về bí mật dữ liệu: Các dữ liệu là tài sản quan trọng của đơn vị và cá
nhân phải được đảm bảo bí mật, không bị phát tán bất hợp pháp.

1.3.3 Yêu cầu về bảo mật người dùng
Người dùng hợp pháp của mạng LAN là người sử dụng các dịch vụ nhưng
đồng thời cũng là một tác nhân gây ra các rủi ro mạng.
Vì vậy, vấn đề bảo mật người dùng phải đảm bảo các yêu cầu sau:


Yêu cầu về tính hợp pháp: Người dùng hợp pháp phải được đảm bảo truy

cập mạng một cách thuận lợi, đáp ứng mọi yêu cầu hợp pháp của người dùng
mọi lúc, mọi nơi.
• Yêu cầu về tính riêng tư: Các thông tin cá nhân, lịch sử truy cập mạng là các
thông tin riêng tư của người dùng phải được đảm bảo bí mật, không bị đánh
cắp hoặc phát tán bất hợp pháp.
Các yêu cầu bảo mật mạng LAN về mạng, về dữ liệu và người dùng đều có
tầm quan trọng và phải được xem xét thấu đáo trong quá trình xây dựng, thiết kế,
vận hành và khai thác mạng nội bộ.
1.4 Tình hình triển khai mạng LAN tại Việt Nam và các vấn đề liên quan
đến bảo mật mạng LAN trong thực tế.
1.4.1 Tình hình triển khai mạng LAN tại Việt Nam
Ngày nay ở Việt Nam, các tổ chức, doanh nghiệp đều sử dụng, triển khai
mạng LAN bên trong hệ thống của họ. Hệ thống mạng nội bộ giúp gia tăng khả
năng trao đổi dữ liệu giữa các nhân viên, các ban ngành với nhau, làm gia tăng khả
năng làm việc và hoạt động một cách hiệu quả. Tuy nhiên, với nhu cầu trao đổi
thông tin, bắt buộc các cơ quan, tổ chức phải kết nối tới mạng Internet. Khi thực
hiện kết nối mạng nội bộ của cơ quan, doanh nghiệp, tổ chức với mạng toàn cầu, an
toàn và bảo mật thông tin là một vấn đề cấp bách được đặt ra. Internet có những kỹ
thuật cho phép mọi người truy cập, khai thác và chia sẻ thông tin với nhau. Nhưng
nó cũng là nguy cơ chính dẫn đến thông tin dễ bị hư hỏng hay bị phá hủy hoàn toàn.
Sở dĩ có lí do đó là vì việc truyền thông tin qua mạng Internet hiện nay chủ yếu sử
dụng giao thức TCP/IP. TCP/IP cho phép các thông tin từ máy tính này tới máy tính

khác phải đi qua một loạt các máy tính trung gian hoặc các mạng riêng biệt trước


22

khi nó tới được đích. Chính vì vậy, giao thức TCP/IP đã tạo cơ hội cho bên thứ ba
có thể thực hiện các hành động gây mất an toàn thông tin trong khi thực hiện việc
truyền thông tin trên mạng. Thực tế, số vụ tấn công từ bên ngoài vào các cơ quan, tổ
chức, trường học,.. đang ngày một tăng lên với quy mô khổng lồ. Nếu chúng ta
không có đưa ra các giải pháp khắc phục, hậu quả và tổn thất sẽ vô cùng nặng nề.
1.4.2 Vấn đề liên quan đến bảo mật mạng LAN trong thực tế
Trong năm 2017 tính tới thời điểm hiện tại, Việt Nam đã hứng chịu rất nhiều
các vụ tấn công mạng nội bộ và để lại rất nhiều hậu quả nặng nề. Chỉ riêng quý 1
năm 2017, Việt Nam đã có gần 7700 sự cố tấn công mạng nội bộ tại Việt Nam. Đến
giữa tháng 9 số lượng các sự cố tấn công mạng nội bộ đã lên đến gần 10000 (số liệu
của trung tâm ứng cứu khẩn cấp máy tính Việt Nam – VNCERT). Chi tiết thì theo
số liệu cho biết có 1762 sự cố website lừa đảo, 4595 sự cố phát tán mã độc và 3607
sự cố tấn công thay đổi giao diện.
Nổi bật nhất trong năm 2017 có lẽ là cuộc tấn công của mã độc có tên
Wannacry vào hồi tháng 5/2017. Khi tấn công Wannacry sẽ mã hóa các dữ liệu bên
trong mạng nội bộ và người dùng hay các công ty, tổ chức cần phải trả một khoản
phí mới có thể lấy lại được dữ liệu của họ. Cuộc tấn công quy mô lớn này đã ảnh
hưởng đến 74 quốc gia trong đó có Việt Nam. Chỉ vài giờ lây lan Việt Nam đã có
đến hơn 200 Doanh nghiệp bị nhiễm loại mã độc này. Theo Kaspersky thì Việt Nam
là một trong 20 nước có thiệt hại nặng nề nhất do cuộc tấn công Wannacry gây ra.
Ngoài ra còn nhiều vụ tấn công nổi bật khác như cuộc tấn công của các
hacker U15 vào mạng nội bộ, ở đây là website các cảng hàng không ở Việt Nam
(Sân bay Tân Sơn Nhất, Đà Nẵng, Phú Quốc, Rạch Giá, Tuy Hòa) làm thay đổi giao
diện các trang web, tấn công này khiến nhiều người nghi ngờ đây là “sự cố Vietnam
Airlines” lần thứ 2. Hay vụ Hacker đã tấn công vào hệ thống mạng nội bộ của Uber,

đánh cắp dữ liệu cá nhân của 57 triệu khách hàng và lái xe của các nước mà Uber
đang đặt trụ sở và hoạt động, trong đó có Việt Nam.
Các thông tin và số liệu trên cho thấy một thực trạng đáng buồn về bảo mật
hệ thống tại Việt Nam hiện nay. Các hệ thống mạng khả năng bảo mật còn thấp,


23

chưa có firewall, các phiên bản hệ điều hành đang sử dụng còn cũ, không update
dẫn đến tình trạng có rất nhiều lỗ hổng bảo mật, dễ dàng bị tấn công và đánh cắp
thông tin, để lại rất nhiều tổn thất. Theo báo cáo chỉ số an toàn thông tin trung bình
của tất cả các nhóm doanh nghiệp, tổ chức ở Việt Nam chỉ đạt 54.2% là mức trung
bình. Trong đó nhóm các doanh nghiệp, tổ chức thuộc lĩnh vực tài chính ngân hàng
đạt chỉ số 59.9% và nhóm các doanh nghiệp khác là 31.1%. Nhìn chung các doanh
nghiệp, tổ chức ở Việt Nam đang lơ là, thiếu cảnh giác trong việc bảo mật hệ thống
an ninh mạng và điều này sẽ là khe hở để tội phạm mạng lợi dụng để tấn công.
Các dạng tấn công hiện nay rất đa dạng. Có thể liệt kê một số như: mã độc
tống tiền, tấn công các lỗ hổng hệ thống website, tấn công đánh cắp dữ liệu,… So
với các năm trước thì tội phạm mạng tấn công ngày càng thông minh và tinh vi hơn,
có sự chuẩn bị với thời gian dài , mức độ nguy hiểm không chỉ đánh cắp thông tin
mà còn mang tính phá hủy dữ liệu, lừa đảo, tống tiền người dùng. Hiện nay, an toàn
thông tin trên thế giới cũng như ngay tại Việt Nam có những diễn biến phức tạp, các
vụ tấn công mạng không chỉ đe dọa trực tiếp đến hoạt động và tài sản của cá nhân,
doanh nghiệp mà còn ảnh hưởng đến cả hệ thống hạ tầng mạng của cả một quốc gia.
Từ tình hình trên, việc đảm bảo an toàn thông tin cũng như xây dựng hệ
thống có tính bảo mật cao cho mạng LAN tại Việt Nam và trên toàn thế giới đang
ngày càng trở nên cấp thiết hơn bao giờ hết.
1.5 Kết luận chương 1
Trong chương 1, luận văn đã nghiên cứu tổng quan về công nghệ mạng LAN
và các nguy cơ đe dọa bảo mật mạng LAN. Từ đó, luận văn đã đề xuất các yêu cầu

bảo mật cho mạng LAN, cũng như các vấn đề liên quan đến bảo mật mạng LAN
trong thực tế.
Trên cơ sở các nội dung đã trình bày trong chương 1, các giải pháp bảo mật
mạng LAN đáp ứng các yêu cầu đề ra sẽ được nghiên cứu trong chương 2 của luận
văn..


24

Chương II: NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MẠNG
LAN
Trong chương 2 luận văn nghiên cứu các giải pháp bảo mật mạng LAN
nhằm đáp ứng các yêu cầu về bảo mật mạng, bảo mật dữ liệu và bảo mật người
dùng.
2.1 Giải pháp sử dụng hệ thống tường lửa
2.1.1 Giới thiệu chung
Một trong các giải pháp bảo mật mạng LAN nhằm tránh các cuộc tấn công từ
bên ngoài hay ngăn chặn truy cập các trang web từ bên trong là sử dụng tường lửa
(Firewall). Hình 2.1 dưới đây mô tả một mạng LAN có sử dụng tường lửa.

Hình 2.1: Firewall bảo mật mạng LAN [13]

Tường lửa (firewall) là rào chắn mà một số cá nhân, tổ chức, doanh nghiệp,
cơ quan nhà nước lập ra nhằm ngăn chặn các truy cập thông tin không mong muốn
từ ngoài vào hệ thống mạng nội bộ cũng như ngăn chặn các thông tin bảo mật nằm
trong mạng nội bộ xuất ra ngoài Internet mà không được cho phép.
Firewall là một công cụ hoạt động ở ranh giới giữa bên trong là mạng LAN
với hệ thống Internet bên ngoài. Firewall cung cấp cơ chế phòng thủ từ vành đai.
Nó hạn chế việc truyền thông của hệ thống với những kẻ xâm nhập tiềm tàng và
làm giảm rủi ro cho hệ thống. Đây là một công cụ không thể thiếu trong một giải

pháp bảo mật tổng thể.
Nhiệm vụ cơ bản của tường lửa là kiểm soát truyền thông dữ liệu giữa hai
vùng có độ tin cậy khác nhau. Các vùng tin cậy (zone of trust) điển hình bao gồm:


25

mạng Internet (vùng không đáng tin cậy) và mạng LAN (một vùng có độ tin cậy
cao). Mục đích cuối cùng là cung cấp kết nối có kiểm soát giữa các vùng với độ tin
cậy khác nhau thông qua việc áp dụng một chính sách an ninh và mô hình kết nối
dựa trên nguyên tắc quyền tối thiểu (principle of least privilege).
Tường lửa là một thiết bị phần cứng và/hoặc một phần mềm. Cấu hình đúng
đắn cho các tường lửa đòi hỏi kỹ năng của người quản trị hệ thống. Việc này yêu
cầu hiểu biết đáng kể về các giao thức mạng và về an ninh máy tính. Những lỗi nhỏ
có thể biến tường lửa thành một công cụ an ninh vô dụng.
Có hai loại tường lửa thông dụng là tường lửa bảo vệ để bảo vệ an ninh cho
máy tính cá nhân hay mạng cục bộ, tránh sự xâm nhập, tấn công từ bên ngoài và
tường lửa ngăn chặn thường do các nhà cung cấp dịch vụ Internet thiết lập và có
nhiệm vụ ngăn chặn không cho máy tính truy cập một số trang web hay máy chủ
nhất định, thường dùng với mục đích kiểm duyệt Internet.
Trên thị trường có rất nhiều loại Firewall nhưng hiện nay Firewall cứng
Fortinet đang được các doanh nghiệp tin dùng vì có khả năng bảo mật mạnh cũng
như dễ dàng sử dụng. Dưới đây, luận văn sẽ khảo sát chi tiết về hệ thống Firewall
cứng Fortinet
2.1.2 Tường lửa Fortinet
Sản phẩm FortiGate của Fortinet là thiết bị tường lửa Unified Thread
Management - hợp nhất các cơ chế ngăn chặn và phòng ngừa các nguy cơ và hiểm
họa của mạng các tổ chức, công ty, bao gồm các chức năng:
- Bảo mật kết nối:
+ Stateful Firewall: Ngăn chặn các truy cập trái phép, phân vùng truy cập.

+ IPsec & SSL VPN: Cung cấp các kết nối bảo mật đến những tài nguyên
đặc biệt.
- Tích hợp bảo mật cho ứng dụng và nội dung số:
+ Intrusion Prevention: Ngăn chặn việc khai thác các lỗ hổng bảo mật; thấu
hiểu các giao thức, kiểm soát tốt hơn các ứng dụng.


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×