Tải bản đầy đủ (.docx) (45 trang)
  1. Trang chủ
    2. >>
  2. Kỹ Thuật - Công Nghệ
    3. >>
  3. Kĩ thuật Viễn thông

BẢO mật MẠNG máy TÍNH và FIREWALL (có code)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.1 MB, 45 trang )

ĐỒ ÁN TỐT NGHIỆP

BẢO MẬT MẠNG MÁY TÍNH VÀ FIREWALL


ĐỒ ÁN TỐT NGHIỆP
Trang 2/50

MỤC LỤC

Bảo mật mạng máy tính và Firewall


ĐỒ ÁN TỐT NGHIỆP
Trang 3/50

DANH MỤC CÁC HÌNH VẼ

DANH MỤC CÁC TỪ VIẾT TẮT

LAN

LOCAL AREA NETWORK

WAN

WIDE AREA NETWORK

GAN

GLOBAL AREA NETWORK



MAN

METROPOLITAN AREA NETWORK

OSI

OPEN SYSTEMS INTERCONECTION

IP

INTERNET PROTOCOL

DHCP

DYNAMIC HOST CONFIGURATION PROTOCOL

DNS

DOMAIN NAME SYSTEMS

VPN

VIRTUAL PRIVATE NETWORK

IDS

INSTRUSION DETECTION SYSTEM

IPS


INSTRUSION PREVENTION SYSTEM

HTTP

HYPERTEXT TRANSFER PROTOCOL

HTTPS

HYPERTEXT TRANSFER PROTOCOL SECURE

Bảo mật mạng máy tính và Firewall


ĐỒ ÁN TỐT NGHIỆP
Trang 4/50

CHƯƠNG 1.

TỔNG QUAN ĐỀ TÀI.

1.1 Giới thiệu đề tài
Ngày nay, máy tính và mạng máy tính đóng vai trò không thể thiếu trong cuộc sống,
bất kỳ lĩnh vực, ngành nghề, công việc nào thì máy tính và mạng máy tính cũng
đóng một vai trò rất quan trọng.
Cùng với sự phát triển của mạng máy tính, thì vấn đề bảo mật thông tin, ngăn chặn
sự xâm nhập, đánh cắp dữ liệu máy tính, dữ liệu thông tin cá nhân cũng rất quan
trọng. Vì lý do đó, việc làm thể nào để bảo vệ người dùng, dữ liệu là nhiệm vụ quan
trọng của các nhà quản trị mạng mà bất kỳ cá nhân tổ chức sử dụng mạng đều phải
quan tâm.


-

1.2 Nhiệm vu đề tài
Tìm hiểu về mạng máy tính, các chuẩn hóa mạng, nguyên lý hoạt động của

-

mô hình OSI, mô hình TCP/IP.
Các ứng dụng trong mạng internet.
Các giao thức bảo mật, các kiểu tấn công, mức độ bảo mật.
Tìm hiểu về hệ thống phát hiện và ngăn ngừa xâm nhập IDS/IPS.
Tìm hiểu về firewall.
Mô phỏng, xây dựng hệ thống firewall trên GNS3 nhằm ngăn chặn các truy

-

nhập bất hợp pháp và cho phép truy nhập sau khi xác thực.
Kiểm tra hệ thống và viết báo cáo, đánh giá ưu nhược điểm của hệ thống.

Bảo mật mạng máy tính và Firewall


ĐỒ ÁN TỐT NGHIỆP
Trang 5/50

1.3 Mục đích
Cũng cố các kiến thức về mạng căn bản, các ứng dụng, thuật ngữ, những tính năng
của các công cụ bảo mật.
Hiểu rõ các cuộc tấn công của các hình thức khác nhau để xây dựng, đề phòng xâm

phạm bất hợp pháp.
Nắm rõ về nguyên lý hoạt động của một firewall, IDS/IPS, ASDM cisco.

CHƯƠNG 2.

TỔNG QUAN VỀ MẠNG MÁY TÍNH.

1.4 Giới thiệu
1.1.1 Khái niệm
Mạng máy tính là sự kết nối của các máy tính lại với nhau thông qua các đường
truyền vật lý theo một kiến trúc nào đó nhằm thu thập, trao đổi hoặc chia sẽ dữ liệu
cho nhiều người sử dụng.
Các đường truyền vật lý thường là:
-

Đường dây điện thoại.
Cáp đồng trục.
Sóng vô tuyến điện từ.
Cáp quang.

Mạng máy tính gồm 3 phần chính:
-

Máy tính.
Các thiết bị mạng.
Phầm mềm mạng cho phép thực hiện truy cập và trao đổi thông tin.

-

1.1.2 Mục đích của việc kết nối các máy tính thành mạng.

Chia sẽ tài nguyên dữ liệu: người dùng có quyền truy nhập, khai thác và sử
dụng dữ liệu chung của mạng (thường là các server).

-

Lưu trữ, bảo vệ dữ liệu: một mạng máy tính có thể cho phép dữ liệu tự động
lưu trữ tới một trung tâm nào đó trong mạng đồng thời cung cấp một tài
khoản và mật khẩu cho từng đối tượng sử dụng , hạn chế việc mất mát thông
tin ngoài ý muốn.

Bảo mật mạng máy tính và Firewall


ĐỒ ÁN TỐT NGHIỆP
Trang 6/50

1.5 Phân loại
1.1.3 Phân loại theo khoảng cách địa lý và quy mô.
Mạng máy tính được phân loại dựa trên khoảng. cách địa lý giữ các máy tính trong
mô hình mạng.
Người ta phân ra các loại mạng như sau:

HÌNH 2- 1: PHÂN LOẠI MẠNG THEO KHOẢNG CÁCH ĐỊA LÝ[1].
1.1.1.1Mạng toàn cầu (GAN)
Mạng được kết nối với quy mô toàn câu. Thông thường . được thực hiện qua mạng
viễn thông và vệ tinh.
1.1.1.2Mạng diện rộng (WAN)
Làm mạng được kết nối trên phạm vi một quốc gia hay. giữa các quốc gia. Thông
thường được kết nối thông qua mạng viễn thông. Nhiều mạng WAN kết nối với
nhau tạo thành một mạng GAN.

Mạng WAN gồm tập hợp các máy thường gọi chung là. máy lưu trữ (host), hay có
tên là máy chủ, máy đầu cuối (end system). Các máy tính được nối với nhau bởi các
mạng truyền thông con, hay mạng con (subnet). Nhiệm vụ của các mạng con là
truyền tải thông điệp từ máy chủ này sang máy chủ khác.

Bảo mật mạng máy tính và Firewall


ĐỒ ÁN TỐT NGHIỆP
Trang 7/50

1.1.1.3Mạng đô thị (MAN)
Mạng thường được thiết lập trong phạm vi một đô thị, có bán kính tối đa khoảng
100 km. Kết nối với nhau thông qua đường truyền băng. thông tốc độ cao ( 50 -100
Mbps). Ngày nay người ta có thể dùng kỹ thuật cáp quang (Fiber optical) để truyền
tín hiệu, vận tốc có thể lên tới 10Gbps.
Mạng MAN có thể hỗ trợ chung vận chuyển dữ liệu. và đàm thoại, hay cả truyền
hình.
1.1.1.4Mạng cục bộ (LAN)
Mạng cục bộ là sự kết nối của một nhóm máy tính. trong một phạm vi nhất định,
thường là văn phòng hoặc một tòa nhà.
Mạng cục bộ thường có những đặc trưng sau:
-

Đặc trưng về địa lý
Tốc độ đường truyền.
Độ tin cậy.
Đặc trưng về quản lý.

1.1.4 Phân loại theo mô hình mạng

1.1.1.5Mạng hình sao
Tất cả các trạm trong mạch được kết nối với. một thiết bị trung tâm có nhiệm vụ
nhận và truyền dữ liệu tới trạm đích.
-

Ưu điểm: Thiết lập đơn giản, dễ dàng. thêm bớt, dễ dàng kiểm soát và khắc

-

phục sự cố, tận dụng tối đa tốc độ đường truyền vật lý.
Nhược điểm: Độ dài đường truyền bị giới hạn.

HÌNH 2- 2: MÔ HÌNH MẠNG HÌNH SAO[1].
1.1.1.6Mạng hình vòng
Bảo mật mạng máy tính và Firewall


ĐỒ ÁN TỐT NGHIỆP
Trang 8/50

Trên mạng hình vòng, các tín hiệu được . truyền theo một chiều duy nhất. Mỗi trạm
được kết nối với vòng thông qua một bộ chuyển tiếp có nhiệm vụ truyền nhận dữ
liệu đến trạm kế tiếp trên vòng. Như vậy tín hiệu được lưu chuyển trên vòng theo
một chuỗi các liên kết điểm – điểm.
Để tăng độ tin cậy ta có thể lắp thêm . vòng dự phòng cho mạng. Nếu vòng chính
gặp sự cố thì sử dụng vòng dự phòng.
Ưu điểm và nhược điểm của mạng hình vòng cũng giống như mạng hình sao, tuy
nhiên đòi hỏi giao thức truy nhập phức tạp hơn.

HÌNH 2- 3: MÔ HÌNH MẠNG VÒNG[1].

1.1.1.7Mạng dạng Bus
Các thiết bị chia chung nhau. 1 đường truyền ( đường bus). Đường truyền chính
được giới hạn 2 đầu bằng 2 đầu nối đặc biệt gọi là Terminator. Mỗi trạm được nối
với trục chính qua một đầu mối chữ T ( T- connector) hoặc một thiết bị thu phát
(transceive).
-

Ưu điểm: Dễ thiết kế, chi phí thấp.

-

Nhược điểm: Tính ổn định kém, chỉ một nốt mạng hỏng là toàn bộ ngừng
hoạt động.

Bảo mật mạng máy tính và Firewall


ĐỒ ÁN TỐT NGHIỆP
Trang 9/50

HÌNH 2- 4: MÔ HÌNH MẠNG BUS[1].
1.1.1.8Mạng dạng kết hợp.
Ngoài các dạng cơ bản, ta có thể kết hợp 2 hay nhiều dạng lại với nhau nhằm tận
dụng những ưu điểm và khắc phục nhược điểm của từng loại mạng riêng.

HÌNH 2- 5: MÔ HÌNH MẠNG DẠNG KẾT HỢP [1].
1.1.5 Phân loại theo giao thức và hệ điều hành mạng sử dụng.
Người ta phân giao thức mạng thành 2 loại: mạng ICP/IP và mạng NETBIOS.
Tuy nhiên cách phân loại trên không phổ biến và chỉ áp dụng trên mạng cục bộ.
1.1.1.9Mạng khách/chủ ( client/ server)


Bảo mật mạng máy tính và Firewall


ĐỒ ÁN TỐT NGHIỆP
Trang 10/50

HÌNH 2- 6: MÔ HÌNH DẠNG KHÁCH/CHỦ[1].
Trong mạng có những máy chuyên phục vụ với những mục đích khác nhau. Các
máy phục vụ tối ưu hóa những yêu cầu của các máy khách hàng.
-

Máy phục vụ tập tin/ in ấn.
Máy phục vụ chương trình ứng dụng.
Máy phục vụ thư tín, truyền thông.


Một trong những ưu điểm quan trọng của mô hình này là có tính bảo mật cao, dễ
quản lý, sử dụng.
1.1.1.10 Mạng ngang hàng ( peer to peer)

Bảo mật mạng máy tính và Firewall


ĐỒ ÁN TỐT NGHIỆP
Trang 11/50

HÌNH 2- 7: MÔ HÌNH DẠNG PER TO PER[1].

Mọi máy tính trong hệ thống đều có chức năng như nhau, không có phân cấp bậc.

Mỗi máy tính kiêm luôn vài. trò máy phục vụ và máy khách hàng. Mô hình này yêu
cầu mạng với quy mô nhỏ, không có tính bảo mật cao. Như nhóm làm việc…

-

1.1.6 Phân loại theo kỹ thuật chuyển mạch
Chuyển mạch kênh.

-

Chuyển mạch thông báo.
Chuyển mạch gói.
1.6 Các dịch vụ mạng

1.1.7 DNS
1.1.1.11 Giới thiệu
Là hệ thống phân giải tên miền, được phát minh vào năm 1984. Nó cho phép một
thiết lập tương ứng giữa tên miền và địa chỉ IP.
Hệ thống tên miền bao. gồm rất nhiều cơ sỡ dữ liệu chứa các địa chỉ IP và các tên
miền tương ứng của nó. Mỗi tên miền được phân giãi thành 1 địa chỉ IP cụ thể và
ngược lại.
Ví dụ: địa chỉ IP của facebook.com: 31.13.95.36

Bảo mật mạng máy tính và Firewall


ĐỒ ÁN TỐT NGHIỆP
Trang 12/50

Hệ thống tên miền được sắp xếp theo cấu trúc phân cấp. Mức cao nhất là root (ký

hiệu là “.”). Tổ chức. quản lý hệ thống tên miền là The Internet Coroperation for
Assigned Names and Numbers. Tổ chức này quản lý mức cao nhất của hệ thống tên
miền do đó nó có thể cung cấp tên miền cho các cấp thấp hơn.
Dưới cấp root là Top – Level- Domain, bao gồm:
-

.com : được dùng cho mục đích thương mại.
.edu : được dùng cho mục đích giáo dục.
.gov : được dùng cho các tổ chức chính phủ.
.mil : dùng cho các tổ chức quân sự.
.org : dùng cho các tổ chức khác.
.et : dùng cho các tổ chức liên quan tới mạng máy tính.
.int : dùng cho các tổ chức quốc tế.
.tennuoc: ví dụ .vn, .us, .uk.

HÌNH 2- 8: SƠ ĐỒ TÊN MIỀN[2].
1.1.1.12 Hoạt động của DNS
Giả sử người dùng muốn truy cập vào trang www.24h.com.vn.
-

Đầu tiên, trình duyệt trên thiết bị người dùng gửi yêu cầu tìm kiếm với địa
chỉ truy cập. 24h.com.vn tới máy chủ quản lý tên miền cục bộ thuộc mạng
của nó.

Bảo mật mạng máy tính và Firewall


ĐỒ ÁN TỐT NGHIỆP
Trang 13/50


Máy chủ này kiểm tra cơ sở dữ liệu và ứng với tên miền đó, nó chuyển thành
-

địa chỉ IP tương ứng.
Trong trường hợp máy chủ tên miền không có cơ sỡ dự liệu về tên miền này
nó sẽ hỏi lên các máy chủ ở tên miền cao nhất (root). Máy chủ ở mức root sẽ

-

chỉ cho tên. miền cục bộ địa chỉ của máy chủ quản lý tên miền có đuôi .vn.
Máy chủ có đuôi .vn sẽ gửi địa chỉ IP trong cơ sở dữ liệu của mình cho tên

-

miền cục bộ.
Máy chủ tên miền cục bộ chuyển thông tin tìm được đến người dùng.
Người sử dụng địa chỉ IP này sẽ được kết nối đến sever có địa chỉ trang web
24h.com.vn.

HÌNH 2- 9: CÁCH HOẠT ĐỘNG CỦA DNS[2].
1.1.8 DHCP
1.1.1.13 Giới thiệu
Dynamic Host Configuration Protocol. là dịch vu cho phép việc đơn giản hóa việc
cấp IP. Các máy chủ đóng vài trò cung cấp IP tự động cho các máy con, đảm bảo
các máy có thể liên lạc với nhau.

Bảo mật mạng máy tính và Firewall


ĐỒ ÁN TỐT NGHIỆP

Trang 14/50

Việc sử dụng DHCP đảm bảo việc cấu hình địa chỉ IP chính xác và an toàn, tránh
trùng, sai, giảm công sức quản trị.
1.1.1.14 Nguyên lý hoạt động
DHCP hoạt động dựa trên mô hình server/ client. Quá trình tương tác được diễn ra
như sau:

HÌNH 2- 10: NGUYÊN LÝ HOẠT ĐỘNG DHCP[2].
-

Đầu tiên, khi máy client. khởi động, máy sẽ gửi Broadcast gói tin DHCP
DISCOVERY, yêu cầu máy server phục vụ. gói tin này chứa địa chỉ MAC

-

của client.
Máy server ghi nhận và kiểm tra nếu còn địa chỉ IP sẽ gửi 1 gói OFFER, kèm

-

subnet mark, gateway.
Máy client sẽ gửi tiếp 1 gói tin REQUEST đến máy chủ được chọn để yêu

-

cầu cấp IP.
Máy chủ được chọn sẽ gửi tin ACK kèm địa chỉ IP và các thông số cần thiết:

-


lease duration…
Hoàn tất quá trính xin và cấp phát IP.
1.1.9 Dịch vụ web

Bảo mật mạng máy tính và Firewall


ĐỒ ÁN TỐT NGHIỆP
Trang 15/50

Dịch vụ Web (HTTP) là giao thức cơ bản mà www sử dụng, xác đinh các thông
điệp được định dạng và truyền tải ra sao.
Khi muốn truy cập vào một trang web, người dùng nhập Web URL vào trình duyệt
web, HTTP truyền tải các file từ 1 web server đến trình duyệt của người dùng.
HTTP sử dụng giao thực TCP/IP. HTTP hoạt động ở port 80.
1.1.10 VPN
VPN (Virtual Private Network) . là một mạng riêng ảo, dùng để kết nối với nhiều
người dùng từ xa, hay các mạng khác thông qua kết nối thực trên mạng công cộng
internet, dùng để gửi hay nhận dữ liệu trên một đường truyền riêng ảo được thiết lập
để đảm bảo tính an toàn và bảo mật.
VPN tạo ra đường ống hay đường. hầm (turnel) bảo mật trao đổi riêng giữa bên
nhận và bên gửi với cơ chế mã hoá dữ liệu, tương tự như kết nối Point To Point trên
mạng riêng. Bên gửi mã hoá che giấu dữ liệu, chỉ cung cấp thông tin về đường đi tới
đích nhanh chóng thông qua mạng internet, đó là gói dữ liệu (header).
Nếu có bị lấy đi gói dữ liệu packet trên mạng công cộng bởi hacker cũng không đọc
được nội dung. Sự liên kết dữ liệu. mã hoá và được đóng gói gọi là kết nối VPN.
Đường kết nối VPN gọi là VPN turnel hay là đường hầm , đường ống VPN.

HÌNH 2- 11: MÔ HÌNH MỘT VPN [4].


Bảo mật mạng máy tính và Firewall


ĐỒ ÁN TỐT NGHIỆP
Trang 16/50

CHƯƠNG 3.

CHUẨN HÓA MẠNG MÁY TÍNH, MÔ HÌNH OSI, TCP/IP

1.7 Vấn đề chuẩn hóa mạng máy tính
Sự phát triển sớm của. mạng máy tính diễn ra rất hỗn loạn theo nhiều cách khác
nhau. Đòi hỏi cần phát triển và đề ra những tiêu chuẩn chung.
Vì lý do đó, hội đồng tiêu chuẩn quốc tế là ISO đã xây dựng nên mô hình tham
chiếu cho việc kết nối các hệ thống mở OSI.
Có 2 loại chuẩn hóa mạng máy tính đó là:
-

Các chuẩn chính thức do các tổ chức chuẩn quốc gia và quốc tế ban hành.
Các chuẩn thực tiễn do các hãng sản xuất, các tổ chức người sử dụng xây
dựng.
1.8 Mô hình OSI 7 lớp.

1.1.11 Giới thiệu
Vấn đề không tương. thích giữa các mạng máy tính khác nhau đã làm trở ngại cho
sự tương tác giữa người dùng sử dụng các mạng khác nhau.
Do đó tổ chức tiêu. chuẩn hóa quốc tế đã xây dựng mô hình tham chiếu cho việc kết
nối các hệ thống mở OSI (Open Systems Interconnection). Mô hình OSI
do tổ chức ISO đưa ra vào năm 1977 chia các số liệu truyền 2 host

thành 7 lớp.
1.1.12 Các lớp và chức năng từng lớp
1.1.1.15 Lớp vật lý
Định nghĩa các thủ tục cơ, điện, quang như các loại cáp được sử dụng, các kỹ thuật
điều chế trên đường truyền,… Nhiệm vụ của lớp vật lý là đảm bảo truyền được các
bit nhị phân qua môi trường vật lý.
1.1.1.16 Lớp liên kết
Định nghĩa cách thức đóng gói dữ liệu cho phù hợp với đường truyền. Lớp liên kết
quy định cách thức dữ liệu truyền từ các lớp trên truy nhập vào đường truyền vật lý
đồng thời thực hiện các tác vụ tương tác ở lớp cao hơn.
Bảo mật mạng máy tính và Firewall


ĐỒ ÁN TỐT NGHIỆP
Trang 17/50

1.1.1.17 Lớp mạng
Nhiệm vụ chính của lớp mạng là định tuyến đường đi tối ưu nhất từ điểm này đến
điểm kia. Thiết bị chính của lớp mạng thường là các router. Lớp mạng sử dụng địa
chỉ phục vụ cho các tác vụ định tuyến gọi là địa chỉ logic.
1.1.1.18 Lớp giao vận
Trong khi các lớp trên chịu trách nhiệm để dữ liệu đến đích thì lớp giao vận phải
quản lý hoạt động truyền dữ liệu và thực hiện truyền dữ liệu ( host- to- host hoặc
end- to- end) đảm bảo hiệu quả nhất.
1.1.1.19 Lớp phiên
Liên kết giữa 2 thực thể có nhu cầu trao đổi dữ liệu ( ví dụ giữa người dùng và một
máy tính ở xa) gọi là 1 phiên làm việc. Lớp phiên chịu trách nhiệm thiết lập, duy trì,
giãi phóng các session. Cụ thể là xác định các thông số như tốc độ truyền, số bit
trong 1 byte, kiểm tra lỗi… đảm bảo đồng bộ số liệu bằng các lệnh kiểm tra lại và
lưu trong bộ nhớ đệm. Khi gặp sự cố, có thể thực hiện lại phiên làm việc.

1.1.1.20 Lớp trình bày
Nhiệm vụ chính của lớp trình bày là thông dịch để hai ứng dụng ở hai host đang
truyền thông có thể hiểu được nhau. Ngoài ra lớp trình bày còn chứa các thư viện
người dùng, thư viện tiện ích, ví dụ như các dạng tệp, tệp nén….
1.1.1.21 Lớp ứng dụng
Cung cấp giao diện tương tác trực tiếp cho người dùng. Là phương tiện để người
dùng truy nhập vào môi trường OSI cũng như khai thác tài nguyên mạng.

-

1.1.13 Quá trình truyền dữ liệu và nguyên tắc hoạt động
Các lớp dưới cung cấp dịch vụ trực tiếp cho các lớp trên. Các lớp trên sẽ gửi
yêu cầu xuống lớp dưới và nhận lại kết quả, các lớp trên không cần biết hoạt
động cụ thể xảy ra ở các lớp dưới.

-

Các lớp ngang hàng trên 2 host tương tác trực tiếp với nhau. Tuy nhiên dữ
liệu trao đổi giữa hai thực thể ngang hàng này để đến đươc với nhau phải
thông qua hoạt động của các lớp dưới của nó.
Quá trình truyền dữ liệu trong mô hinh OSI sẽ đi từ các lớp trên xuống các
lớp dưới thông qua đường truyền vật lý tới đầu host kia và truyền ngược lại
từ lớp dưới lên các lớp trên.

Bảo mật mạng máy tính và Firewall


ĐỒ ÁN TỐT NGHIỆP
Trang 18/50


-

Đóng gói và mở gói dữ liệu: Mỗi giao thức truyền dữ liệu của các lớp này
đều quy định gói tin mà chúng sử dụng để đóng gói dữ liệu cần truyền. các
gói này được gọi là các đơn vị thông tin (PDU).
Các PDU gồm 2 phần là header và data. Header là phần quản lý thông tin của

-

gói còn data là phần dữ liệu thật sự của gói tin.
Khi các PDU của các giao thức đi từ lớp trên xuống lớp dưới, chúng được
đóng gói thành các data của lớp dưới và được thêm header của giao thức lớp

-

dưới. Cứ đi xuống một lớp, một header mới lại được thêm vào.
Đơn vị dữ liệu của các lớp:
• Các lớp ứng dụng, trình bày, lớp phiên: data.
• Lớp vận chuyển: segment.
• Lớp mạng: packet.
• Lớp dữ liệu: frame.
• Lớp vật lý: bit.

Bảo mật mạng máy tính và Firewall


ĐỒ ÁN TỐT NGHIỆP
Trang 19/50

HÌNH 3- 1: QUÁ TRÌNH TRUYỀN DỮ LIỆU CỦA MÔ HÌNH OSI[1].


1.9 Mô hình TCP/IP
1.1.14 Giới thiệu
Bên cạnh mô hình OSI, mô hình phân lớp khác cũng được sử dụng rộng rãi là mô
hình TCP/IP hay còn gọi là mô hình chồng giao thức.
Khác với mô hình OSI, mô hình TCP/IP được chia thành 4 lớp: Application,
Transport, Internet và Network Access.

1.1.15 Các lớp.

HÌNH 3- 2: OSI VÀ TCP/IP [1].
Tương tự như hình. Các lớp trong mô hình TCP/IP được đơn giản hóa so với mô
hình OSI. Các chức năng của các lớp cũng tương tự.

-

1.1.16 Một số ứng dụng của TCP/IP
FTP: chạy trên nền giao thức TCP cho phép truyền các file ASCII hoặc nhị
phân theo 2 chiều.

-

HTTP/ HTTPS: giao thức web.
DNS: giao thức phân giãi tên miền.

Bảo mật mạng máy tính và Firewall


ĐỒ ÁN TỐT NGHIỆP
Trang 20/50


-

SNMP: là một ứng dụng chạy trên miền UDP, cho phép quản lý và giám sát

-

các thiết bị từ xa.
SMTP: giao thức dùng phân phối thư điện tử.
Telnet: cho phép truy cập từ xa để cấu hình thiết bị.
.v.v…

CHƯƠNG 4.

TỔNG QUAN VỀ BẢO MẬT

1.10 Định nghĩa về bảo mật mạng
Bảo mật mạng là sự đảm bảo an toàn cho hệ thống mạng trước những hoạt động
nhằm tấn công vào hệ thống mạng từ bên trong và bên ngoài. Như xâm nhập trái
phép sử dụng tài nguyên, ăn cắp thông tin, các hoạt động phá hoại tài nguyên mạng
và cơ sỡ dữ liệu của hệ thống.
Vấn đề bảo mật luôn là vấn đề bức thiết khi xây dựng một hệ thống mạng. Khi
nghiên cứu một hệ thống mạng chúng ta cần kiểm soát vấn đề bảo mật ở các mức
độ sau:
-

Mức mạng: ngăn chặn kẻ xâm nhập bất hợp pháp vào hệ thống mạng.
Mức server: ngăn quyền truy nhập, các cơ chế bảo mật, quá trình nhận dạng

-


người dùng, phân quyền truy cập, cho phép các tác vụ.
Mức cơ sở dữ liệu: kiểm soát ai, . kiểm soát thế nào, với mỗi cơ sở dữ liệu.
Mức mật mã: mã hóa toàn bộ file dữ liệu theo một phương thức nào đó và

-

chỉ cho phép người có quyền hạn mới có thể sử dụng được dữ liệu.
Một hệ thống được thiết lập từ 3 hệ thống sau:
Hệ thống thông tin quản lý.
Hệ thống trợ giúp quyết định.
Hệ thống thông tin tác nghiệp.
Trong đó hệ thống quản lý thông tin đóng vai trò trung gian với chức năng
thu thập , xử lý, truyền tin.

-

1.1.17 Các yếu tố cần quan tâm
Còn người: Khi nghiên cứu đến vấn đề bảo mật cần quan tâm xem ai tham
gia vào hệ thống mạng, và vai trò của người đó trong hệ thống.

Bảo mật mạng máy tính và Firewall


ĐỒ ÁN TỐT NGHIỆP
Trang 21/50

-

Kiến trúc mạng: Nhu cầu sử dụng, hạ tầng, mức độ bảo mật là những yếu tố


-

rất quan trọng khi thiết kế một hệ thống mạng.
Phần cứng, phần mềm: tác dụng, mức độ bảo mật, tính tương thích giữa phần
cứng và phần mềm là yếu tố rất quan trọng, góp phần lớn trong việc xây
dựng nên hệ thống bảo mật an toàn.

-

1.1.18 Các yếu tố cần được bảo vệ
Dữ liệu: bao gồm tất các dữ liệu người dùng, dữ liệu hệ thống…

-

Quyền truy nhập hay quản trị hệ thống: đảm bảo những người không có thẩm

-

quyền truy nhập vào hệ thống với tất cả mục đích.
Bảo vệ tài nguyên sử dụng mạng: đảm bảo hệ thống hoạt động tốt, bảo vệ
quyền lợi người sử dụng mạng.
1.11

Các mức độ bảo mật

HÌNH 4- 1:CÁC MỨC ĐỘ BẢO MẬT[4].

1.1.19 Quyền truy cập


Bảo mật mạng máy tính và Firewall


ĐỒ ÁN TỐT NGHIỆP
Trang 22/50

Đây là lớp bảo vệ sâu nhất nhằm kiểm soát tài nguyên mạng, kiểm soát ở mức độ
file và quyền hạn của người sử dụng do nhà quản trị quyết định: only read, only
write…
1.1.20 Đăng nhập, mật khẩu.
Đây là lớp bảo vệ truy nhập thông tin . ở mức độ hệ thống, múc độ này rất phổ biến
vì ít tốn kém và dễ sử dụng. Nhà quản trị cung cấp cho mỗi người dụng một
usename/password, và kiểm soát thông qua tài khoảng đó. Mỗi lần muốn truy nhập
người sử dụng chỉ cần nhập. usename/password hệ thống thấy hợp lệ sẽ cho phép
quyền truy cập.
1.1.21 Mã hóa dữ liệu
Người ta thực hiện mã hóa dữ liệu ở bên phát theo một cách nào đó, khi nhận được
dữ liệu bên thu sẽ giãi mã chính xác bằng cách sử dụng khóa mã hóa do bên phát
cung cấp.
1.1.22 Bảo vệ vật lý
Đây là lớp bảo vệ bên ngoài, ví dụ như nghiêm cấm các hành vi đến trạm máy bằng
các biện pháp dùng ổ khóa hay cài đặt báo động khi có xậm nhập đến trạm máy.
Một cách khác, có thể quan lý người dùng bằng cách chỉ được phép truy nhập khi
sử dụng mạng local của công ty.
1.1.23 Tường lửa ( Firewall)
Sử dụng phần mền hoặc phần cứng ngăn chặn xâm nhập bất hợp pháp trong hệ
thống mạng, ngoài ra tường lửa có thể lọc các gói tin và cho phép gửi đi hoặc nhận
vào. Phương pháp này được dùng nhiều trong mạng liên internet.

CHƯƠNG 5.


HỆ THỐNG IDS (INSTRUSION DETECTION SYSTEM) VÀ
IPS ( INSTRUSION PREVENTION SYSTEM)

1.12

Giới thiệu

1.1.24 Hệ thống phát hiện xâm nhập IDS
Bảo mật mạng máy tính và Firewall


ĐỒ ÁN TỐT NGHIỆP
Trang 23/50

Là hệ thống phát hiện đột nhập và xung đột dựa vào thu lượm các gói tin lưu thông
trên mạng và phân tích các gói tin để phát hiện những dấu hiệu khả nghi, qua đó
ghi nhận và thông báo đến người. quản trị mạng.
Nhược điểm của IDS là không thể ngăn chặn được xâm nhập ngay lập tức mà cần
phải thông qua người quản trị.
1.1.25 Hệ thống phát hiện và ngăn chặn xâm nhập IPS.
Thế hệ sau của IDS, IPS khắc phục nhược điểm của IDS. Ngày nay, các hệ thống để
hướng tới sử dụng IPS nhờ những đặc tính vượt trội hơn của nó. Ngoài ra có thể
ngắt chế độ ngăn chặn xâm nhập. và hoạt động như một IDS.
Tóm lại, IDS/IPS là một thiết bị chuyên dụng có khả năng đọc và phân tích nội
dung các file log trên bộ định tuyến, tường lửa, máy chủ có thể lắng nghe các thông
tin truyền trong hệ thống. Ngoài. ra IDS/IPS còn có một cơ sở dữ liệu để lưu trữ các
dấu hiệu tấn công đã biết, và sử dụng nó để so sánh đánh giá các hoạt động nhằm
đưa ra phản ứng kịp thời.
Khi một hoạt động nào đó khớp với một trong các dấu hiệu tấn công IDS/IPS sẽ có

cơ chế đưa ra các phản ứng như ra lệnh tường lửa ngắt kết nối, shutdown máy
chủ…
1.1.26 Nguyên lý hoạt động

Bảo mật mạng máy tính và Firewall


ĐỒ ÁN TỐT NGHIỆP
Trang 24/50

HÌNH 5- 1: MÔ HÌNH MỘT IPS/IDS [5].
IPS nằm trên đường đi. của mạng Local ra môi trường Internet. Trong khi IDS nằm
được gắn với 1 SW nằm trên đường đi của mạng. Khi có xập nhập từ môi trường
ngoài, firewall có nhiệm vụ cho phép hoặc ngăn chặn các gói tin.
Lúc này, vì nằm trên đường đi của dữ liệu IPS có thể ngăn cản trực tiếp khi phát
hiện các gói tin đi vào. có dấu hiệu tấn công.
Đối với IDS, vì không nằm trên đường truyền nên nó chỉ có thể ngăn chặn sau khi
phát hiện được tấn công. Nó ngăn chặn bằng cách gửi TCP reset về source bị tấn
công. Vì môi trường SW không thể bắt được gói packet, nên yêu cầu SW phải hỗ
trợ chức năng monitor port thì IDS mới monitor trafic trong mạng được.
1.13 Phân loại theo phạm vi
Cũng như tường lửa, IDS/IPS có thể là thiết bị phần cứng hoặc phần mềm. Tuy
nhiên chúng đều được phân loại theo 3 dạng như sau:
-

Network-based IDS/IPS : IDS/IPS dùng cho toàn mạng.
Host-based IDS/IPS: IDS/IPS dùng cho thiết bị (thường là máy chủ).

-


Application-based IDS/IPS: IDS/IPS dùng cho ứng dụng.

Bảo mật mạng máy tính và Firewall


ĐỒ ÁN TỐT NGHIỆP
Trang 25/50

1.1.27 Network-based IDS/IPS
Là loại kiểm soát mọi biểu hiện bất thường hoạt động của mạng và tìm kiếm các
dấu hiệu tấn công.
Ưu điểm:
-

Chỉ kiểm soát toàn bộ hệ thống mạng với chỉ một hoặc một vài thiết bị, giảm

-

chi phí.
Dễ cấu hình và tương thích với hệ thống.

Nhược điểm:
-

Phản ứng lại các cuộc tấn công chậm.
Đối với hệ thống mạng có lưu lượng mạng rất cao. N-IDS/IPS có thể bỏ sót
các dấu hiệu tấn công do không thể kiểm soát và phân tích đầy đủ lưu lượng

-


mạng.
Không có khả năng phân tích các thông tin được mã hóa, và nhận biết các
cuộc tấn công thành công hay thất bại.

1.1.28 Host-based IDS/IPS
Hoạt động trên từng. thiết bị, kiểm soát hoạt động các tệp tin lưu chuyển trên hệ
thống để phát hiện xâm nhập.
Ưu điểm:
-

Kiểm soát một. cách chi tiết hơn N-IDS/IPS, có thể xác định tiến trình hay

-

người dùng nào có liên quan đến những hoạt động không tốt với hệ thống.
Hỗ trợ các cuộc. tấn công mà N-IDS/IPS có thể đã bỏ sót. Có thể hoạt động ở

-

môi trường mạng có băng thông lớn.
Có thể phân tích các gói tin đã được mã hóa, bằng cách sử dụng Host-based

encryption.
Nhược điểm:
-

Phạm vi hoạt động nhỏ, nếu dùng nhiều H-IDS/IPS sẽ rất tốn chi phí, khả

-


năng quản lý tập trung kém.
H-IDS/IPS thường là phần mềm được cài trên máy tính nên việc hoạt động

-

của nó có thể gây tốn thời gian, tài nguyên máy tính.
Thậm chí hacker có thể khai thác H-IDS/IPS để tấn công DOS cục bộ.
1.1.29 Application-based IDS/IPS

Bảo mật mạng máy tính và Firewall


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×