HỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THÔNG
----------------------------------
Phùng Thị Hải Yến
NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MẠNG LAN VÀ ỨNG
DỤNG TẠI TRƢỜNG ĐẠI HỌC ĐẠI NAM
LUẬN VĂN THẠC SĨ KỸ THUẬT
(Theo định hướng ứng dụng)
HÀ NỘI – 2018
HỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THÔNG
----------------------------------
Phùng Thị Hải Yến
NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MẠNG LAN VÀ ỨNG DỤNG TẠI
TRƢỜNG ĐẠI HỌC ĐẠI NAM
Chuyên ngành:
HỆ THỐNG THÔNG TIN
Mã số:
8480104
LUẬN VĂN THẠC SĨ KỸ THUẬT
(Theo định hƣớng ứng dụng)
NGƢỜI HƢỚNG DẪN KHOA HỌC
TS. VŨ VĂN THỎA
HÀ NỘI - 2018
i
LỜI CAM ĐOAN
Tôi cam đoan đề tài: “Nghiên cứu giải pháp bảo mật mạng LAN và ứng
dụng tại trường Đại học Đại Nam” là công trình nghiên cứu của riêng tôi dưới sự
hướng dẫn của TS. Vũ Văn Thỏa.
Các kết quả, phân tích, kết luận trong luận văn thạc sỹ này (ngoài phần được
trích dẫn) đều là kết quả làm việc của tác giả, các số liệu nêu trong luận văn là trung
thực và chưa từng được công bố trong bất kỳ công trình nào khác.
Nếu sai tôi xin hoàn toàn chịu trách nhiệm.
Hà Nội, ngày 02 tháng 11 năm 2017
Tác giả
Phùng Thị Hải Yến
ii
LỜI CẢM ƠN
Lời đầu tiên cho em xin gửi lời cảm ơn chân thành đến các thầy, cô giáo
thuộc Khoa CNTT, Khoa QT&ĐT sau đại học thuộc Học viện Công nghệ Bưu
chính viễn thông đã tận tình giảng dạy, truyền đạt các nội dung kiến thức, kinh
nghiệm quý báu trong suốt quá trình em theo học tại Học viện. Với những bài học
quý giá, sự kèm cặp, chỉ bảo và truyền thụ tâm huyết của các thầy, cô đã giúp cá
nhân em hoàn thiện hơn nữa hệ thống kiến thức chuyên ngành, phục vụ tốt hơn yêu
cầu công tác của đơn vị đồng thời nâng cao hơn vốn tri thức của bản thân.
Đặc biệt, em xin gửi lời cảm ơn trân thành tới thầy hướng dẫn khoa học TS.
Vũ Văn Thỏa, Khoa QT&ĐT sau đại học thuộc Học viện Công nghệ Bưu chính
viễn thông đã tâm huyết, tận tình chỉ bảo, hướng dẫn, cung cấp tài liệu và các nội
dung kiến thức quý báu, đồng thời có sự định hướng đúng đắn giúp em hoàn thành
được luận văn này.
Em cũng xin được bày tỏ sự cảm ơn sâu sắc tới gia đình, đồng nghiệp đã tạo
điều kiện, dành sự ủng hộ đối với bản thân em để có nhiều thời gian cho khóa học,
đạt được những kết quả khả quan trong quá trình học tập. Đồng thời xin chân thành
cảm ơn tập thể lớp Cao học Hệ thống thông tin – Đợt 1 năm 2016 đã đồng hành,
khích lệ và chia sẻ trong suốt quá trình học tập.
Trong quá trình thực hiện luận văn, mặc dù bản thân đã cố gắng, chủ động
trong việc sưu tầm tài liệu, củng cố kiến thức… tuy nhiên chắc chắn luận văn vẫn
còn nhiều thiếu sót. Em rất mong nhận được sự chỉ dạy, đóng góp tận tình của các
thầy, cô để luận văn của em được hoàn thiện hơn nữa và có tính ứng dụng cao hơn
trong thực tiễn.
Xin trân trọng cảm ơn!
Hà Nội, ngày 01 tháng 11 năm 2017
Học viên
Phùng Thị Hải Yến
iii
MỤC LỤC
LỜI CAM ĐOAN ............................................................................................. i
LỜI CẢM ƠN .................................................................................................. ii
MỤC LỤC ....................................................................................................... iii
DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT ................................. vi
DANH MỤC CÁC HÌNH ............................................................................. vii
MỞ ĐẦU .......................................................................................................... 1
1. Lý do chọn đề tài ...............................................................................................1
2. Tổng quan vấn đề nghiên cứu ..........................................................................2
3. Mục tiêu nghiên cứu của đề tài ........................................................................3
4. Đối tƣợng và phạm vi nghiên cứu của đề tài ..................................................3
5. Phƣơng pháp nghiên cứu của đề tài ................................................................3
6. Bố cục luận văn .................................................................................................4
Chƣơng 1. TỔNG QUAN VỀ MẠNG LAN VÀ CÁC YÊU CẦU BẢO
MẬT.................................................................................................................. 5
1.1 Tổng quan về công nghệ mạng LAN và các vấn đề liên quan ....................5
1.1.1 Giới thiệu chung .......................................................................................5
1.1.2 Các mô hình mạng LAN ..........................................................................8
1.2. Các mối đe dọa bảo mật và phƣơng thức tấn công mạng LAN ..............11
1.2.1. Các mối đe dọa bảo mật mạng LAN ....................................................11
1.2.2 Các phương thức tấn công mạng LAN .................................................12
1.3 Các yêu cầu bảo mật chung cho mạng LAN ..............................................13
1.3.1 Yêu cầu bảo mật về mạng.......................................................................13
1.3.2 Yêu cầu về bảo mật dữ liệu ....................................................................16
1.3.3 Yêu cầu về bảo mật người dùng.............................................................16
1.4 Tình hình triển khai mạng LAN tại Việt Nam và các vấn đề liên quan
đến bảo mật mạng LAN trong thực tế. .............................................................17
iv
1.4.1 Tình hình triển khai mạng LAN tại Việt Nam ......................................17
1.4.2 Vấn đề liên quan đến bảo mật mạng LAN trong thực tế ......................17
1.5 Kết luận chƣơng 1 .........................................................................................19
Chƣơng II: NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MẠNG LAN ......... 20
2.1 Giải pháp sử dụng hệ thống tƣờng lửa .......................................................20
2.1.2 Tường lửa Fortinet .................................................................................21
2.1.3 Tách hệ thống, tối ưu hóa tường lửa .....................................................22
2.2 Giải pháp sử dụng hệ thống phát hiện và ngăn chặn xâm nhập mạng
IDS/IPS.................................................................................................................24
2.2.1 Hệ thống phát hiện xâm nhập IDS ........................................................24
2.2.2 Hệ thống phòng chống xâm nhập (IPS) ...............................................26
2.3 Giải pháp sử dụng công nghệ VLAN ..........................................................30
2.3.1 Các miền quảng bá của mạng LAN ảo..................................................30
2.3.2 Phân loại VLAN .....................................................................................32
2.4 Giải pháp áp dụng công nghệ mạng riêng ảo (VPN) .................................33
2.4.1 Các đặc tính của VPN ............................................................................34
2.4.2 Các loại VPN ..........................................................................................34
2.4.3 Các giao thức trong VPN .......................................................................35
2.4.4 Các cách triển khai VPN trên thực tế ....................................................37
2.5 Giải pháp phân quyền truy cập dữ liệu ......................................................38
2.6 Các giải pháp phụ trợ quan trọng khác......................................................39
2.6.1 Phần mềm phòng chống Virus ..............................................................39
2.6.2 Giải pháp DLP (Data Loss Prevention) .................................................39
2.6.3 Xây dựng chính sách an ninh cho hệ thống .........................................42
2.7 Kết luận chƣơng 2 .........................................................................................45
Chƣơng III: ỨNG DỤNG TẠI TRƢỜNG ĐẠI HỌC ĐẠI NAM ............ 46
3.1 Khảo sát mạng nội bộ Đại Học Đại Nam (sau khi đã xin phép nhà trƣờng
và đƣợc sự đồng ý từ ban giám hiệu) ................................................................46
v
3.1.1 Mô hình kiến trúc, các chức năng và trang thiết bị mạng hiện có của
mạng LAN trường Đại học Đại Nam .............................................................46
3.1.2 Yêu cầu sử dụng .....................................................................................47
3.1.3 Hiện trạng các vấn đề liên quan đến bảo mật trong quá trình vận
hành, khai thác mạng nội bộ tại trường đại học Đại Nam ...........................48
3.2 Đề xuất các giải pháp bảo mật cho mạng nội bộ tại trƣờng đại học Đại
Nam ......................................................................................................................48
3.2.1 Giải pháp mạng ......................................................................................49
3.2.2 Giải pháp an toàn bảo mật dữ liệu ........................................................50
3.2.3 Giải pháp về người sử dụng ...................................................................51
3.3 Thử nghiệm và đánh giá một số giải pháp bảo mật đề xuất .....................51
3.3.1 Nội dung thử nghiệm .............................................................................51
3.3.2 Kết quả thử nghiệm và đánh giá ............................................................53
3.4 Kết luận chƣơng 3 .........................................................................................54
KẾT LUẬN .................................................................................................... 55
TÀI LIỆU THAM KHẢO ............................................................................ 56
PHỤ LỤC ....................................................................................................... 57
vi
DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT
Từ viết tắt
Tiếng Anh
Tiếng Việt
Công cụ quản lý quyền
GPO
Group Policy Object
DLP
Data Loss Prevention
Chống mất dữ liệu
DoS
Denial of Service
Tấn công từ chối dịch vụ
IDS
Intrucsion Detection System
IP
Internet Protocol
IPS
Intrusion Prevention Systems
IT
Information Technology
Công nghệ thông tin
LAN
Local Area Network
Mạng nội bộ
NIC
Network Interface Card
Card mạng
SSL
Secure Sockets Layer
người dùng
Hệ thống phát hiện xâm
nhập
Giao thức Internet
Hệ thống phòng chống
xâm nhập
Giao thức an ninh thông
tin
Giao thức điều khiển
TCP
Transmission Control Protocol
truyền thông tin trên
Internet
USB
Universal Serial Bus
Thiết bị lưu trữ ngoài
VLAN
Virtual LAN
Mạng LAN ảo
VPN
Virtual Private Network
Hệ thống mạng riêng ảo
vii
DANH MỤC CÁC HÌNH
Hình 1.1: Mô hình mạng LAN [8] ................................................................... 5
Hình 1.2: Các đặc trưng của Fast Ethernet, kiểu truyền và khoảng cách [11] . 7
Hình 1.3: Các đặc trưng của Giga-Ethernet, kiểu truyền và khoảng cách [11] 7
Hình 1.4: Mô hình mạng Peer to Peer [11] ....................................................... 9
Hình 1.5: Mô hình Client – Server [11] .......................................................... 10
Hình 2.1: Firewall bảo mật mạng LAN [13]................................................... 20
Hình 2.3: Sơ đồ hoạt động của IPS [7] ........................................................... 26
Hình 2.4: Miền quảng bá khi chưa chia VLAN [9] ........................................ 31
Hình 2.5: Miền quảng bá khi đã chia VLAN [9] ............................................ 31
Hình 2.6: Mô hình hệ thống VPN [13] ........................................................... 33
Hình 2.7: Các đặc tính của hệ thống VPN [13] .............................................. 34
Hình 2.8: Các giao thức trong VPN [13] ........................................................ 35
Hình 2.9: Vị trí hoạt động của IPSec .............................................................. 37
Hình 2.10: Sơ đồ triển khai Check Point DLP [13] ........................................ 41
Hình 3.1: Mô hình hoạt động của hệ thống mạng hiện tại trường Đại học Đại
Nam ................................................................................................................. 46
Hình 3.2: Hệ thống trường Đại học Đại Nam dự kiến sau khi áp dụng các giải
pháp bảo mật mạng ......................................................................................... 50
1
MỞ ĐẦU
1. Lý do chọn đề tài
Vấn đề an ninh mạng đang ngày càng trở nên nóng bỏng với hàng loạt vụ tấn
công nhằm vào mạng nội bộ có kết nối Internet của các cơ quan nhà nước và doanh
nghiệp. Những thông tin, dữ liệu quan trọng bị thất thoát dẫn đến những tổn thất
không thể tính được bằng tiền, nếu không muốn nói gây nguy hại đến “chủ quyền
số” của đất nước…
Ngày nay, các biện pháp an toàn thông tin cho máy tính cá nhân cũng như
các mạng nội bộ đã được nghiên cứu và triển khai. Tuy nhiên, vẫn thường xuyên có
các mạng bị tấn công, có các tổ chức bị đánh cắp thông tin,…gây nên những hậu
quả vô cùng nghiêm trọng. Những vụ tấn công này nhằm vào tất cả các máy tính có
mặt trên Internet, các máy tính của các công ty lớn như AT&T, IBM, các trường đại
học và các cơ quan nhà nước, các tổ chức quân sự, nhà băng,… Một số vụ tấn công
với quy mô khổng lồ (có tới 100.000 máy tính bị tấn công). Hơn nữa những con số
này chỉ là phần nổi của tảng băng chìm. Một phần rất lớn các vụ tấn công không
được thông báo vì nhiều lý do, trong đó có thể kể đến nỗi lo mất uy tín hoặc chỉ đơn
giản những người quản trị mạng không hề hay biết những vụ tấn công nhằm vào hệ
thống của họ. Không chỉ các vụ tấn công tăng lên nhanh chóng mà các phương pháp
tấn công cũng liên tục được hoàn thiện. Tại Việt Nam, các hệ thống mạng và
Website bị tấn công theo chiều hướng gia tăng: năm 2014 có hơn 1 nghìn Website
bị tấn công, năm 2015 hơn 2000 website bị tấn công và phát tán thư rác, năm 2016
website Vietnam Airlines bị hack lộ hơn 400.000 dữ liệu khách hàng. Đặc biệt, theo
thống kê của Microsoft, trong 5 nước đứng đầu toàn cầu về nguy cơ nhiễm mã độc
có 2 nước thuộc khu vực Đông Nam Á là Việt Nam và Indonesia. Đây là hai nước
có tỷ lệ nhiễm mã độc hơn 45% vào quý II/2016, gấp đôi so với mức trung bình
cùng kỳ (21%) của thế giới.
Vì vậy, việc kết nối mạng nội bộ của cơ quan tổ chức mình vào mạng
Internet mà không có các biện pháp đảm bảo an ninh thì cũng được xem là tự sát.
Từ nhu cầu phát triển, đòi hỏi các cơ quan, tổ chức phải kết nối vào mạng Internet
2
song vẫn phải đảm bảo an toàn thông tin trong quá trình kết nối. Bởi vậy, học viên
đã quyết định chọn đề tài: “NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MẠNG LAN
VÀ ỨNG DỤNG TẠI TRƯỜNG ĐẠI HỌC ĐẠI NAM”.
2. Tổng quan vấn đề nghiên cứu
LAN (viết tắt từ tên tiếng Anh Local Area Network - mạng cục bộ) là một hệ
thống mạng dùng để kết nối các máy tính trong một phạm vi nhỏ (nhà ở, phòng làm
việc, trường học, trong công ty…). Các máy tính trong mạng LAN có thể chia sẻ tài
nguyên với nhau, mà điển hình là chia sẻ tập tin, máy chủ Web, máy chủ Mail, máy
in, máy quét và một số thiết bị khác.
Một mạng LAN tối thiểu cần có máy chủ (server), các thiết bị ghép nối
(Repeater, Hub, Switch, Bridge), máy tính con (client), card mạng (Network
Interface Card – NIC) và dây cáp (cable) để kết nối các máy tính lại với nhau. Một
hình thức khác nữa của mạng LAN, mới xuất hiện trong những năm gần đây là
WLAN (Wireless LAN) – mạng LAN không dây.
Tốc độ mạng LAN ngày nay có thể lên đến 10 Mbps, 54Mbps, 100 Mbps, 1
Gbps, 10Gbps hay lên tới cả 100 Gbps.
Để xây dựng một hệ thống mạng LAN người ta dựa vào một số mô hình
mạng như: Star là mạng hình sao, Bus là mạng trục tuyến tính (Bus), Token Ring là
mạng được bố trí theo dạng xoay vòng khép kín. Mesh là mạng được sử dụng trong
các mạng có độ quan trọng cao mà không thể ngừng hoạt động.
Để xây dựng được một hệ thống tường lửa bảo vệ cho mạng LAN chúng ta
có nhiều giải pháp như sử dụng Firewall cứng của Cisco như ASA, Juniper như
RSX, Checkpoint, Fortigate hoặc dùng tường lửa của Microsoft như ISA, TMG…
nhưng chi phí rất đắt tiền. Chỉ những doanh nghiệp lớn mới có đủ kinh phí để trang
trải. Đa phần các doanh nghiệp còn lại đều không sử dụng Firewall hoặc chỉ sử
dụng phần mềm diệt Virus trên máy tính.
Các phần mềm diệt Virus thông thường có bản quyền thì phí cũng không hề
rẻ nhưng không phát hiện được các cuộc tấn công mạng trên quy mô diện rộng của
công ty. Ngoài ra khi xảy ra bị tấn công cũng không có biện pháp bảo vệ nhanh
3
chóng cho hệ thống. Dẫn tới công ty sẽ bị kiểm soát, gây ra thiệt hại rất lớn.
Đa phần hệ thống mạng LAN của các doanh nghiệp đều xây dựng theo mô
hình mạng hình Sao, dữ liệu ít được phân quyền quy cập, hệ thống máy chủ không
tách riêng với hệ thống máy người dùng. Khi xảy ra bị tấn công các Hacker sẽ dễ
dàng kiểm soát máy chủ và dữ liệu thông qua máy người dùng thông thường. Khi
truy cập từ ngoài Internet vào trong hệ thống toàn dùng phần mềm tự do như
Teamview, rất ít dùng hệ thống mạng riêng ảo (VPN) để truy cập.
Rất nhiều doanh nghiệp không có hệ thống phát hiện và ngăn chặn xâm nhập
mạng IDS/IPS, khi xảy ra sự cố bị tấn công sẽ không có cảnh báo kịp thời, không
theo dõi được trạng thái hoạt động một cách sớm nhất để đưa ra giải pháp bảo vệ.
Tóm lại, vấn đề an ninh an toàn mạng máy tính là một vấn đề lớn, nó yêu cầu
cần phải có một giải pháp tổng thể, không chỉ phần mềm, phần cứng máy tính mà
nó đòi hỏi cả vấn đề chính sách về con người. Và vấn đề này cần phải được thực
hiện một cách thường xuyên liên tục, không bao giờ triệt để được vì nó luôn nảy
sinh theo thời gian. Tuy nhiên, bằng các giải pháp tổng thể hợp lý, đặc biệt là giải
quyết tốt vấn đề chính sách về con người ta có thể tạo ra cho mình sự an toàn chắc
chắn hơn.
3. Mục tiêu nghiên cứu của đề tài
Mục tiêu nghiên cứu của luận văn là khảo sát các yêu cầu và giải pháp bảo
mật cho mạng LAN và đề xuất giải pháp bảo mật cho mạng nội bộ tại trường Đại
Học Đại Nam có khả năng triển khai áp dụng trong thực tế.
4. Đối tƣợng và phạm vi nghiên cứu của đề tài
Đối tượng nghiên cứu của luận văn là mạng LAN và các vấn đề liên quan
đến bảo mật mạng LAN.
Phạm vi nghiên cứu của luận văn là các giải pháp bảo mật mạng LAN và ứng
dụng cho mạng nội bộ tại trường đại học Đại Nam.
5. Phƣơng pháp nghiên cứu của đề tài
- Về mặt lý thuyết: Thu thập, khảo sát, phân tích các tài liệu và thông tin có
liên quan đến bảo mật mạng LAN.
4
- Về mặt thực nghiệm: Khảo sát thực tế tại Trường Đại học Đại Nam và đề
xuất các giải pháp bảo mật nội bộ của trường phù hợp.
6. Bố cục luận văn
Luận văn được trình bày trong 3 chương:
Chƣơng 1: TỔNG QUAN VỀ MẠNG LAN VÀ CÁC YÊU CẦU BẢO
MẬT
Nội dung chương 1 của luận văn sẽ khảo sát tổng quan về mạng LAN và các
các yêu cầu bảo mật đối với mạng LAN.
Chƣơng 2: NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MẠNG LAN
Chương 2 của luận văn sẽ tập trung nghiên cứu các giải pháp đảm bảo an
toàn và bảo mật cho mạng LAN.
Chƣơng 3: ĐỀ XUẤT CÁC GIẢI PHÁP BẢO MẬT CHO MẠNG NỘI
BỘ TẠI TRƢỜNG ĐẠI HỌC ĐẠI NAM.
Chương này sẽ nghiên cứu về hệ thống mạng nội bộ của trường Đại Học Đại
Nam và đề xuất ứng dụng các giải pháp bảo mật hệ thống mạng LAN đã nghiên cứu
trong chương 2 cho hệ thống mạng nội bộ của trường Đại học Đại Nam.
5
Chƣơng 1. TỔNG QUAN VỀ MẠNG LAN VÀ CÁC YÊU CẦU
BẢO MẬT
Chương 1 của luận văn sẽ khảo sát tổng quan các khía cạnh của công nghệ
mạng LAN và các vấn đề liên quan. Trên cơ sở nghiên cứu các nguy cơ đe dọa bảo
mật và phương thức tấn công mạng LAN, luận văn sẽ đề xuất các yêu cầu bảo mật
đối với mạng LAN. Luận văn cũng đề cập đến các vấn đề bảo mật mạng LAN trong
thực tế.
1.1 Tổng quan về công nghệ mạng LAN và các vấn đề liên quan
1.1.1 Giới thiệu chung
Mạng LAN là viết tắt của Local Area Network, dịch nghĩa là mạng máy tính
nội bộ, cho phép các máy tính trong cùng một đơn vị như doanh nghiệp, trường học,
tổ chức hành chính có thể kết nối với nhau để cùng nhau làm việc và chia sẻ dữ liệu
dựa trên nền Internet. Mạng LAN hữu ích vì nó cho phép những người sử dụng
dùng chung tài nguyên quan trọng như máy in, ổ CDROM, các phần mềm ứng dụng
và thông tin cần thiết khác.
Hính 1.1 mô tả mô hình một mạng LAN điển hình.
Hình 1.1: Mô hình mạng LAN [8]
6
Một mạng LAN tối thiểu cần phải có máy chủ (Server), các thiết bị ghép nối
( Switch, Router,…), máy trạm (Client), card mạng và dây cáp (hoặc Wifi) để kết
nối các máy tính lại với nhau. Thông thường, mạng LAN đều có một vài điểm truy
nhập vào mạng Internet. Do có sự giao tiếp với bên ngoài nên công tác bảo vệ an
ninh mạng đóng một vai trò quan trọng.
Các công nghệ trong mạng Lan bao gồm: công nghệ Ethernet, Fast-Ethernet,
Giga-Ethernet.
- Công nghệ Ethernet: Là một họ lớn và đa dạng gồm các công nghệ mạng
dựa khung dữ liệu dành cho mạng LAN. Ethernet định nghĩa một loạt các chuẩn nối
dây và phát tín hiệu cho tầng vật lý - đó là 2 phương tiện để truy nhập mạng tại
phần MAC của tầng liên kết dữ liệu, và một định dạng chung cho địa chỉ. Hiện nay
Ethernet đã được chuẩn hóa thành IEEE 802.3. Ethernet hỗ trợ băng thông đến
10Mbps. Cấu trúc mạng hình sao, hình thức nối cáp xoắn của Ethernet đã trở thành
công nghệ LAN được sử dụng rộng rãi từ thập kỷ 1990 đến nay. Gần đây, Wi-Fi,
dạng LAN không dây đã được chuẩn hóa bởi IEEE 802.11, được sử dụng bên cạnh
hoặc thay thế cho Ethernet trong nhiều cấu hình mạng.
- Công nghệ Fast-Ethernet: Thay vì phải đầu tư vào 1 công nghệ hoàn toàn
mới để tăng băng thông, nền công nghiệp networking đã cho ra 1 loại Ethernet tốc
độ cao dựa trên nền của Ethernet có sẵn trước đó. Fast Ethernet hoạt động với tốc
độ đến 100 Mbps và được định vào chuẩn 802.3 của IEEE. Cách mắc Ethernet, hoạt
động CSMA/CD, cũng như hoạt động của các giao thức lớp cao hơn được giữ
nguyên với Fast Ethernet. Kết quả của mạng lưới là có cùng Layer của đường net
link MAC nhập với 1 Layer vật lý mới (OSI Layer 1). Mạng Campus có thể dùng
Fast Ethernet để truy cập link và phân phối layer của switch nếu không xuất hiện
các link tốc độ cao khác. Các link này có thể hỗ trợ lưu lượng tập trung từ nhiều
đoạn Ethernet trong lớp truy cập. Fast Ethernet thường được dùng để kết nối trạm
làm việc của người dùng cuối đến switch truy cập lớp và cung cấp khả năng kết nối
nâng cao đến các server enterprise. Cáp cho Fast Ethernet có thể bao gồm cả UTP
(cáp xoắn đôi không bọc) hay cáp sợi.
7
Hình 1.2: Các đặc trƣng của Fast Ethernet, kiểu truyền và khoảng cách [11]
- Công nghệ Giga-Ethernet: Ta có thể mở rộng Fast-Ethernet về mặt độ lớn
với Gigabit Ethernet (hỗ trợ 1000 Mbps hay 1 Gbps) sử dụng cùng định dạng frame
IEEE 802.3 Ethernet trước đó. Khả năng mở rộng này cho phép các nhà thiết kế và
quản lý network nâng tầm về kiến thức và công nghệ sẵn có để cài đặt, di chuyển,
quản lý, và bảo hành mạng Gigabit Ethernet. Tuy nhiên, lớp vật lý đã được biến đổi
lại để tăng tốc độ truyền tải dữ liệu. 2 công nghệ đã được nhập chung để có cả ưu
điểm của cả 2: chuẩn IEEE 802.3 Ethernet và chuẩn ANSI X3T11 FibreChannel
(Cáp quang chuẩn X3T11 của Tổ chức Tiêu chuẩn Quốc gia Mỹ). IEEE 802.3 gồm
cơ sở định dạng frame, CSMA/CD, song công, và các đặc trưng khác của Ethernet.
Cáp sợi quang cung cấp nền tảng ASIC tốc độ cao, vật liệu quang, và cơ cấu mã
hóa/giải mã cùng tuần tự hóa. Chúng cho ra giao thức cuối cùng được định nghĩa là
IEEE 802.3z Gigabit Ethernet. Gigabit Ethernet hỗ trợ 1 vài loại cáp, được quy là
1000BASE-X. Bảng sau liệt kê các loại cáp cũng như đặc tính của chúng
Hình 1.3: Các đặc trƣng của Giga-Ethernet, kiểu truyền và khoảng cách [11]
8
Với mạng campus, ta có thể dùng Gigabit Ethernet để kết nối các thiết bị
riêng lẻ vào switch hay kết nối các switch với nhau.
1.1.2 Các mô hình mạng LAN
LAN có nhiều mô hình mạng, có thể kể đến 4 loại: Star, Bus, Token Ring,
Mesh.
- Star: là mô hình mạng hình sao. Tất cả các trạm được kết nối tới một thiết
bị trung tâm (Switch, Router, Hub,…) có nhiệm vụ nhận thông tin từ các máy trạm
và chuyển đến máy đích. Vai trò của thiết bị trung tâm là thiết lập các liên kết Point
to Point.
Ƣu điểm: Thiết lập mạng đơn giản, dễ cấu hình lại mạng (thêm, bớt máy
trạm), dễ kiểm soát và khắc phục sự cố, tận dụng tối đa đường truyền vật lý.
Nhƣợc điểm: Độ dài đường truyền kết nối một trạm với thiết bị trung tâm bị
hạn chế.
- Bus: là mô hình mạng theo trục tuyến tính. Máy chủ cũng như tất cả các
máy tính khác, các nút đều được nối vào 1 đường trục cáp chính, sử dụng ít dây cáp
nhất, hoạt động theo liên kết Point to Multipoint hay Broadcast.
Ƣu điểm: Dễ thiết kế, chi phí thấp.
Khuyết điểm: Tính ổn định kém, chỉ một nút mạng hỏng là toàn bộ mạng bị
ngừng hoạt động.
- Token Ring: là mô hình mạng được bố trí theo dạng xoay vòng khép kín.
Mạng hình vòng sử dụng thẻ bài, tín hiệu truyền kèm thẻ bài và chạy trên vòng theo
1 chiều duy nhất. Mỗi trạm của mạng sẽ kiểm tra thẻ bài, nếu đúng thì nó xử lý còn
không đúng sẽ chuyển tiếp đến trạm kế tiếp trên vòng. Như vậy tín hiệu được lưu
chuyển trên vòng theo một chuỗi liên tiếp các liên kết Point to Point giữa các điểm.
Ƣu điểm: có thể nới rộng, tổng đường dây cần thiết ít hơn so với Bus và Star
Nhƣợc điểm: Nếu bị ngắt ở một nút nào đó thì toàn bộ hệ thống cũng bị
ngừng.
- Mesh: là mô hình mạng nhện, được sử dụng trong các mạng có độ quan
trọng cao mà không thể ngừng hoạt động. Chẳng hạn trong các nhà máy điện
9
nguyên tử hoặc các mạng của an ninh, quốc phòng. Mỗi máy tính được nối với toàn
bộ các máy còn lại.
Ƣu điểm: Đảm bảo hệ thống luôn hoạt động, không bị ngắt dù xảy ra sự cố
tại 1 điểm nào đó
Nhƣợc điểm: Phức tạp, chi phí cao do tốn rất nhiều dây.
Ngoài ra còn một số mô hình mạng khác phân theo chức năng thành phần:
- Peer to Peer: Mạng ngang hàng (P2P) (Hình 1.4) là mạng mà trong đó hai
hay nhiều máy tính chia sẻ tập tin và truy cập các thiết bị như máy in mà không cần
đến máy chủ hay phần mềm máy chủ. Mạng ngang hàng thường được tổ chức thành
các nhóm làm việc workgroup. Mô hình này không có quá trình đăng nhập tập
trung, nếu đã đăng nhập vào mạng ta có thể sử dụng tất cả tài nguyên trên mạng.
Truy cập vào các tài nguyên phụ thuộc vào người đã chia sẻ các tài nguyên đó, do
vậy ta có thể phải biết mật khẩu để có thể truy nhập được tới các tài nguyên được
chia sẻ. Mạng P2P được tạo ra bởi hai hay nhiều máy tính được kết nối với nhau và
chia sẻ tài nguyên mà không phải thông qua một máy chủ dành riêng. Mạng P2P có
thể là kết nối tại chỗ – hai máy tính nối với nhau qua cổng USB để truyền tập tin.
P2P cũng có thể là cơ sở hạ tầng thường trực kết nối 5-6 máy tính với nhau trong
một văn phòng nhỏ bằng cáp đồng. Hay nó cũng có thể là một mạng có quy mô lớn
hơn nhiều, dùng các giao thức và ứng dụng đặc biệt để thiết lập những mối quan hệ
trực tiếp giữa người dùng trên internet.
Hình 1.4: Mô hình mạng Peer to Peer [11]
10
- Client - Server: Mô hình Client - Server cho mạng LAN mô tả trong hình
1.5 dưới đây.
Hình 1.5: Mô hình Client – Server [11]
Các máy trạm được nối với các máy chủ, nhận quyền truy nhập mạng và tài
nguyên mạng từ các máy chủ. Đối với Windows NT các máy được tổ chức thành
các miền (domain). An ninh trên các domain được quản lý bởi một số máy chủ đặc
biệt gọi là domain controller. Trên domain có một master domain controller được
gọi là PDC (Primary Domain Controller) và một BDC (Backup Domain
Controller) để đề phòng trường hợp PDC gặp sự cố. Mô hình phần mềm
Client/Server là mô hình giải pháp phần mềm cho việc khắc phục tình trạng quá tải
trên mạng và vượt qua những ngăn cách về sự khác nhau trong cấu trúc vật lý cũng
như hệ điều hành của các hệ thống máy tính khác nhau trên mạng. Mỗi phần mềm
xây dựng theo mô hình Client/Server sẽ được chia làm hai phần: phần hoạt động
trên máy phục vụ gọi là phần phía Server và phần hoạt động trên trạm làm việc gọi
là phần phía Client. Với mô hình này các trạm làm việc cũng được gọi là các Client
(hay máy Client) còn các máy phục vụ gọi là các Server. Nhiệm vụ của mỗi phần
được quy định như sau:
+ Phần phía Server quản lý các giao tiếp môi trường bên ngoài tại Server và
với các Client, tiếp nhận các yêu cầu dưới dạng các xâu ký tự (query string), phân
tích các query string, xử lý dữ liệu và gửi kết quả trả lời về phía các Client.
11
+ Phần phía Client tổ chức giao tiếp với người dùng, với môi trường bên
ngoài tại trạm làm việc và với phía Server, tiếp nhận yêu cầu của người dùng, thành
lập các query string gửi về phía Server, tiếp nhận kết quả và tổ chức trình diễn
chúng.
1.2. Các mối đe dọa bảo mật và phƣơng thức tấn công mạng LAN
Trong quá trình vận hành và khai thác mạng LAN, trong môi trường Internet
có rất nhiều nguy cơ đe dọa bảo mật mạng. Dưới đây, luận văn liệt kê một số mối
đe dọa điển hình đối với bảo mật mạng LAN.
1.2.1. Các mối đe dọa bảo mật mạng LAN
Mối đe dọa không có cấu trúc (Untructured threat) thường là những hành vi
xâm nhập mạng trái phép một cách đơn lẻ, không có tổ chức. Công cụ hack và
script có rất nhiều trên Internet. Vì thế bất cứ ai tò mò có thể tải chúng về và sử
dụng thử trên mạng nội bộ. Cũng có những người thích thú với việc xâm nhập vào
máy tính và các hành động vượt khỏi tầm bảo vệ. Hầu hết tấn công không có cấu
trúc đều được gây ra bởi Script Kiddies (những kẻ tấn công chỉ sử dụng các công cụ
được cung cấp, không có hoặc có ít khả năng lập trình) hay những người có trình độ
vừa phải. Hầu hết các cuộc tấn công đó vì sở thích cá nhân, nhưng cũng có nhiều
cuộc tấn công có ý đồ xấu. Những trường hợp đó sẽ có ảnh hưởng xấu đến hệ thống
và hình ảnh của các chủ thể sở hữu mạng LAN. Đôi khi, chỉ cần chạy một đoạn mã
độc là có thể phá hủy chức năng của mạng LAN.
Mối đe dọa có cấu trúc (Structured threat) là các hành động xâm nhập mạng
trái phép cố ý, có động cơ và kỹ thuật cao. Những kẻ tấn công này hoạt động độc
lập hoặc theo nhóm. Họ có kỹ năng phát triển và sử dụng các kỹ thuật hack phức
tạp nhằm xâm nhập vào mục tiêu. Động cơ của các cuộc tấn công này thì có rất
nhiều. Một số yếu tố thường thấy có thể vì tiền, hoạt động chính trị, tức giận hay
báo thù. Các tổ chức tội phạm, các đối thủ cạnh tranh hay các tổ chức sắc tộc có thể
thuê các chuyên gia để thực hiện các cuộc tấn công dạng structured threat. Các cuộc
tấn công này thường có mục đích từ trước, như để lấy được mã nguồn của đối thủ
cạnh tranh.
12
Cho dù động cơ là gì, thì các cuộc tấn công như vậy có thể gây hậu quả
nghiêm trọng cho mạng LAN. Một cuộc tấn công structured thành công có thể gây
nên sự phá hủy cho toàn hệ thống mạng LAN.
Mối đe dọa từ bên ngoài (External threat) là các cuộc tấn công được tạo ra
khi không có một quyền nào trong hệ thống. Người dùng trên toàn thế giới thông
qua Internet đều có thể thực hiện các cuộc tấn công như vậy vào mạng LAN.
Mối đe dọa từ bên ngoài là mối đe dọa mà các chủ sở hữu mạng LAN
thường phải bỏ nhiều tiền và thời gian để ngăn ngừa.
Mối đe dọa từ bên trong (Internal threat) được sử dụng để mô tả một kiểu
tấn công được thực hiện từ một người hoặc một tổ chức có một vài quyền truy cập
mạng LAN. Các cách tấn công từ bên trong được thực hiện từ một khu vực được tin
cậy trong mạng. Mối đe dọa này có thể khó phòng chống hơn vì các nhân viên có
thể truy cập mạng và dữ liệu bí mật của công ty. Mối đe dọa ở bên trong thường
được thực hiện bởi các nhân viên bất bình, muốn “quay mặt” lại với công ty. Đôi
khi các cuộc tấn công dạng có cấu trúc vào hệ thống được thực hiện với sự giúp đỡ
của người bên trong hệ thống.
1.2.2 Các phương thức tấn công mạng LAN
Phƣơng thức ăn cắp thống tin bằng Packet Sniffers
Đây là một chương trình ứng dụng bắt giữ được tất cả các các gói lưu chuyển
trên mạng (trên một collision domain). Sniffer thường được dùng cho
troubleshooting network hoặc để phân tích traffic. Tuy nhiên, do một số ứng dụng
gởi dữ liệu qua mạng dưới dạng clear text (telnet, FTP, SMTP, POP3,...) nên sniffer
cũng là một công cụ cho hacker để bắt các thông tin nhạy cảm như là username,
password, và từ đó có thể truy xuất vào các thành phần khác của mạng.
Phƣơng thức tấn công mật khẩu Password Attack
Các hacker tấn công password bằng một số phương pháp như: brute-force
attack, chương trình Trojan Horse, IP spoofing và packet sniffer. Mặc dù dùng
packet sniffer và IP spoofing có thể lấy được user account và password, nhưng
hacker lại thường sử dụng brute-force để lấy user account hơn.
13
Tấn công brute-force được thực hiện bằng cách dùng một chương trình chạy
trên mạng, cố gắng login vào các phần share trên server bằng phương pháp “thử và
sai” passwork.
Phƣơng thức tấn công bằng Mail Relay
Đây là phương pháp phổ biến hiện nay. Email server nếu cấu hình không
chuẩn hoặc Username/ password của user sử dụng mail bị lộ. Hacker có thể lợi
dụng email server để gửi mail gây ngập mạng , phá hoại hệ thống email khác. Ngoài
ra với hình thức gắn thêm các đoạn script trong mail hacker có thể gây ra các cuộc
tấn công Spam cùng lúc với khả năng tấn công gián tiếp đến các máy chủ Database
nội bộ hoặc các cuộc tấn công DoS vào một mục tiêu nào đó.
Phƣơng thức tấn công lớp ứng dụng
Tấn công lớp ứng dụng được thực hiện bằng nhiều cách khác nhau. Một
trong những cách thông dụng nhất là tấn công vào các điểm yếu của phần mềm như
sendmail, HTTP, hay FTP. Nguyên nhân chủ yếu của các tấn công lớp ứng dụng
này là chúng sử dụng những port cho qua bởi firewall. Ví dụ các hacker tấn công
Web server bằng cách sử dụng TCP port 80, mail server bằng TCP port 25.
Phƣơng thức tấn công Virus và Trojan Horse
Các nguy hiểm chính cho các workstation và end user là các tấn công virus
và ngựa thành Trojan (Trojan horse). Virus là một phần mềm có hại, được đính kèm
vào một chương trình thực thi khác để thực hiện một chức năng phá hại nào đó.
Trojan horse thì hoạt động khác hơn. Một ví dụ về Trojan horse là một phần mềm
ứng dụng để chạy một game đơn giản ở máy workstation. Trong khi người dùng
đang mãi mê chơi game, Trojan horse sẽ gởi một bản copy đến tất cả các user trong
address book. Khi user khác nhận và chơi trò chơi, thì nó lại tiếp tục làm như vậy,
gởi đến tất cả các địa chỉ mail có trong address book của user đó.
1.3 Các yêu cầu bảo mật chung cho mạng LAN
1.3.1 Yêu cầu bảo mật về mạng
Như mô tả tại hình 1.1, trong vận hành và khai thác mạng LAN sẽ phát sinh
các nguy cơ an ninh mạng ngày càng lớn. Không chỉ các kẻ tấn công khám phá ra
14
nhiều lỗ hổng bảo mật mà các công cụ và các kỹ thuật cần thiết để xâm nhập vào
một mạng cũng càng trở nên đơn giản hơn. Có sẵn những công cụ được tải về trên
Internet cho phép những người không có nhiều kiến thức về mạng cũng có thể thực
hiện các cuộc tấn công. Ngoài ra, việc thiết kế, cài đặt sử dụng các tài nguyên mạng
không đúng cách cũng góp phần tại ra các lỗ hổng trên mạng cho phép những người
có ý đồ xấu có thể xâm nhập vào hệ thống, thực hiện các thao tác phá hoại.
Cùng với sự phát triển của thời gian, các công cụ cho phép tấn công vào
mạng ngày càng trở nên phức tạp, khó lường còn yêu cầu về kiến thức để thực hiện
một hành vi tấn công vào mạng ngày càng thấp. Một người có thể không có nhiều
kiến thức về mạng cũng có thể thực hiện một cuộc tấn công thông qua một công cụ
được tải về từ trên mạng Internet.
Bảo mật và an ninh mạng đã trở thành vấn đề ưu tiên hàng đầu trong thiết kế
quản lý và vận hành mạng nhằm đảm bảo các các yêu cầu sau:
Yêu cầu về tính sẵn sàng của mạng: Mạng phải đảm bảo luôn sẵn sàng cung
cấp các dịch vụ cho người dùng mọi lúc, mọi nơi.
Yêu cầu về tính bền vững của mạng: Trong môi trường đầy những nguy cơ
mất an toàn mạng do người dùng giao tiếp với nhiều mạng công cộng và các
hệ thống khác nhau, mạng phải chống được các cuộc tấn công mạng như
DoS, DDoS, ….
Yêu cầu về độ tin cậy mạng: Trong quá trình hoạt động, mạng phải đảm bảo
các truy cập của người dùng là hợp pháp, tránh các rủi ro làm ảnh hưởng đến
an toàn mạng.
Để đáp ứng các yêu cầu trên, thông thường chu trình bảo mật mạng gồm bốn
giai đoạn: Bảo mật an ninh mạng (Secure); giám sát (Monitor); kiểm tra các lỗ hổng
trên mạng (Test); cải tiến (Improve). Xuyên suốt bốn giai đoạn này là quá trình áp
dụng các chính sách an ninh (Security Policy).
Chính sách an ninh được xem là các luật lệ chính thức được áp dụng trong
mạng qua đó bất kỳ ai khi truy nhập vào mạng đó cũng phải tuân theo. Hay nói cách
khác, chính sách bảo mật là một văn bản tổng kết các cách thức mà một tổ chức,
một doanh nghiệp, một cá nhân sẽ sử dụng nhằm bảo vệ tài nguyên mạng của mình.
Bốn giai đoạn của chu trình bảo mật mạng được mô tả như sau:
15
Giai đoạn bảo vệ an ninh mạng: là một phần trong các hoạt động quản trị
mạng của doanh nghiệp. Giai đoạn này là quá trình thiết lập các giải pháp an
ninh mạng nhằm ngăn chặn, phòng ngừa các hành động tấn công, các truy
nhập trái phép. Có thể đó chỉ là một hoạt động đơn giản như cấu hình bộ
định tuyến (router) không chấp nhận các dịch vụ, các truy nhập từ các địa
chỉ không được chứng thực hay phức tạp hơn là cấu hình các bức tường lửa
(Firewall), các hệ thống chứng thực (authentication), mã hóa (encryption)…
Các thao tác cài đặt, cấu hình này sẽ tuân theo các chính sách an ninh mà
doanh nghiệp lập ra. Các phương pháp sau thường được sử dụng nhằm thiết
lập bảo vệ an ninh mạng:
- Chứng thực: Là quá trình công nhận các cá nhân được quyền sử dụng từng
loại hình dịch vụ của mạng qua các dấu hiệu nhận dạng của cá nhân.
- Mã hóa: Là phương pháp nhằm đảm bảo truyền dữ liệu an toàn, tin cậy,
toàn vẹn, chính xác qua mạng. Dữ liệu trước khi gửi đi được mã hóa theo một thuật
toán nào đó và chỉ có bên nhận mới có thể giải mã được.
- Xây dựng tường lửa: Tường lửa là một tập hợp các chương trình liên kết
với nhau, được đặt tại các cửa ngõ vào/ra của mạng với chức năng bảo vệ các tài
nguyên của mạng trước các truy nhập từ bên ngoài.
- Thực hiện “vá lỗi” (vulnerability patching): là quá trình thực hiện xác minh
và khắc phục các lỗ hổng của mạng thông qua việc bổ sung các “bản vá”, là các
phần mềm có tính năng che lấp lỗ hổng của mạng.
Giai đoạn giám sát mạng: Sau khi đã thiết lập nên một hệ thống bảo vệ an
ninh mạng, điều cần thiết phải giám sát, theo dõi hoạt động của hệ thống bảo
vệ an ninh mạng trước các truy nhập từ bên ngoài vào mạng, nhằm bảo đảm
mạng vẫn còn được bảo vệ an toàn. Đây là quá trình phát hiện các vi phạm
đối với chính sách bảo mật, phát hiện xâm nhập và kiểm soát hệ thống, xác
nhận các thao tác thực hiện bảo vệ an ninh mạng trong giai đoạn 1.
Giai đoạn kiểm tra an ninh mạng: Sự phát triển của công nghệ kéo theo
những thay đổi không ngừng về cách thức tấn công xâm nhập mạng. Giai
đoạn này tìm kiếm những bất hợp lý trong việc xây dựng chính sách và hệ
thống bảo vệ mạng trước đó, tìm ra các điểm yếu mới của mạng mà các giai
16
đoạn trước không nhận ra thông qua các hành động tấn công thử vào các
điểm bảo mật của mạng.
Giai đoạn cải tiến: Các giai đoạn giám sát và kiểm tra cung cấp các thông
tin cần thiết để tiến hành nâng cấp, cải tiến mức độ bảo vệ an ninh mạng. Các
nhà quản trị mạng sử dụng các thông tin này cải tiến các giải pháp bảo vệ,
điều chỉnh các chính sách an ninh, bổ sung các điểm yếu trên mạng nhằm đối
phó với các nguy cơ mới.
Sau khi đã đưa ra những cải tiến, chu trình lại tiếp tục với giai đoạn bảo vệ
an ninh mạng với sự bổ sung mới. Chu trình được tiến hành liên tục nhằm đảm bảo
rằng mạng được bảo vệ một cách an toàn nhất.
1.3.2 Yêu cầu về bảo mật dữ liệu
Trong mạng LAN, người dùng thường xuyên truy cập các cơ sở dữ liệu để
làm việc nên dễ xảy ra các nguy cơ mất an toàn dữ liệu. Vì vậy, vấn đề bảo mật dữ
liệu phải đảm bảo các yêu cầu sau:
Yêu cầu về tính sẵn sàng của dữ liệu: Các dữ liệu dùng chung phải luôn
trong trạng thái đáp ứng mọi yêu cầu của người dùng mọi lúc, mọi nơi.
Yêu cầu về tính toàn vẹn dữ liệu: Các dữ liệu không bị chỉnh sửa, thay đổi
một cách bất hợp pháp.
Yêu cầu về bí mật dữ liệu: Các dữ liệu là tài sản quan trọng của đơn vị và cá
nhân phải được đảm bảo bí mật, không bị phát tán bất hợp pháp.
1.3.3 Yêu cầu về bảo mật người dùng
Người dùng hợp pháp của mạng LAN là người sử dụng các dịch vụ nhưng
đồng thời cũng là một tác nhân gây ra các rủi ro mạng.
Vì vậy, vấn đề bảo mật người dùng phải đảm bảo các yêu cầu sau:
Yêu cầu về tính hợp pháp: Người dùng hợp pháp phải được đảm bảo truy
cập mạng một cách thuận lợi, đáp ứng mọi yêu cầu hợp pháp của người dùng
mọi lúc, mọi nơi.
Yêu cầu về tính riêng tư: Các thông tin cá nhân, lịch sử truy cập mạng là các
thông tin riêng tư của người dùng phải được đảm bảo bí mật, không bị đánh
cắp hoặc phát tán bất hợp pháp.