Chương 2

An toàn cho
các thiết bị mạng
• Các điểm truy nhập trên tầng 1
• Các điểm truy nhập trên tầng 2
• Các điểm truy nhập trên tầng 3
• Các điểm truy nhập trên tầng 4
trở lên
Bộ môn HTMT&TT

14/05/2010

1


Mục tiêu
• Cung cấp cho người học một cái nhìn tổng quan về cách
thức để đảm bảo an toàn cho các thiết bị mạng hoạt
động trên các tầng khác nhau của mô hình OSI.
• Sau khi hoàn tất chương, sinh viên có những khả năng:
▫ Xác định được các điểm truy nhập của hệ thống mạng.
▫ Hiểu được các điểm yếu của đường truyền mạng.
▫ Mô tả được các điểm yếu của switch, bridge và access point;
▫ Trình bày được các điểm yếu của router, Server truy cập từ xa và
tường lửa trên tầng 3.
▫ Phân biệt được các điểm yếu của proxy server, máy trạm, máy
chủ và thiết bị lưu trữ ngoài.
▫ Trình bày được những cách thức để bảo vệ được các thiết bị
trên.
Bộ môn MMT&TT

14/05/2010

2


Phần 1

Các điểm truy cập
trên tầng 1
• Khái niệm
• Cáp đồng: cáp đồng trục, cáp xoắn
• Cáp quang
• Mạng không dây
• Modem
Bộ môn HTMT&TT

14/05/2010

3


Các điểm truy cập trên tầng 1
• Khái niệm
Các
Các điểm
điểm truy
truy nhập
nhập (access
(access points)
points) là

là nơi
nơi người
người
dùng
dùng hợp
hợp lệ
lệ và
và cả
cả không
không hợp
hợp lệ
lệ truy
truy cập
cập vào
vào
mạng
mạng để
để truy
truy xuất
xuất các
các tài
tài nguyên
nguyên trên
trên mạng.
mạng.

Những
Những vấn
vấn đề
đề an

an toàn
toàn trên
trên tầng
tầng vật
vật lý:
lý:
•• Các
Các loại
loại cáp
cáp
•• Mạng
Mạng không
không dây
dây
•• Modem
Modem

Bộ môn MMT&TT

14/05/2010

4


Các điểm truy cập trên tầng 1
• Cáp đồng trục

Cách
Cách 11
Gắn

Gắn trực
trực tiếp
tiếp 11 T-connector
T-connector
vào
vào đâu
đâu đó
đó trên
trên cáp,
cáp, sau
sau đó
đó
đặt
đặt thiết
thiết bị
bị nghe
nghe lén
lén vào
vào

Dễ
Dễ bị
bị phát
phát hiện
hiện vì
vì khi
khi lắp
lắp
thiết
thiết bị

bị sẽ
sẽ làm
làm gián
gián đoạn
đoạn
hoạt
hoạt động
động của
của mạng
mạng
Bộ môn MMT&TT

Cách
Cách 22
Dùng
Dùng vòi
vòi quỉ
quỉ (vampire
(vampire tab)
tab) gắn
gắn
trực
trực tiếp
tiếp vào
vào đường
đường cáp,
cáp, xuyên
xuyên
qua
qua các

các vỏ
vỏ bọc
bọc và
và tiếp
tiếp xúc
xúc đến
đến
đường
đường trục
trục chính
chính của
của cáp
cáp

Khó
Khó phát
phát hiện
hiện nhưng
nhưng vẫn
vẫn
có
có thể
thể dò
dò tìm
tìm ra
ra
14/05/2010

Cách
Cách 33

Dùng
Dùng 11 thiết
thiết bị
bị cảm
cảm ứng
ứng
bao
bao xung
xung quanh
quanh đường
đường
cáp,
cáp, thu
thu nhận
nhận và
và khuyếch
khuyếch
đại
đại các
các tín
tín hiệu
hiệu ítít ỏi
ỏi nhận
nhận
được
được khi
khi tín
tín hiệu
hiệu di
di

chuyển
chuyển bên
bên trong.
trong.

Không
Không phát
phát hiện
hiện được
được

Cách
Cách bảo
bảo vệ
vệ
•• Cô
Cô lập
lập đường
đường cáp
cáp
•• Không
Không cho
cho tiếp
tiếp xúc
xúc
trực
trực tiếp
tiếp với
với cáp.
cáp.

5


Các điểm truy cập trên tầng 1
• Cáp xoắn đôi (UTP – STP)

Cách thâm nhập vào cũng chỉ là gắn trực tiếp
vào các switch hoặc qua các patch-panel
Cô
Cô lập
lập các
các đường
đường kết
kết nối
nối chính
chính đến
đến hệ
hệ thống
thống cáp:
cáp:
•• Tách
Tách riêng
riêng các
các switch
switch trung
trung tâm
tâm vào
vào phòng
phòng quản
quản trị

trị mạng
mạng
•• Gắn
Gắn các
các tủ
tủ có
có khóa
khóa để
để bảo
bảo vệ
vệ các
các switch
switch và
và các
các patch-panel
patch-panel
Bộ môn MMT&TT

14/05/2010

6


Các điểm truy cập trên tầng 1
• Cáp quang
Khó
Khó bị
bị xâm
xâm nhập
nhập bằng

bằng
cách
cách gắn
gắn trộm
trộm các
các thiết
thiết
bị
bị nghe
nghe lén
lén trực
trực tiếp
tiếp vào
vào
đường
đường cáp.
cáp.

•• Điểm
Điểm yếu
yếu của
của hệ
hệ thống
thống cáp
cáp quang
quang là
là
các
các đầu
đầu nối

nối (connector)
(connector)
•• Có
Có thể
thể chèn
chèn vào
vào mối
mối nối
nối 11 bộ
bộ chia
chia
(splitter)
(splitter) và
và nghe
nghe lén
lén các
các tín
tín hiệu
hiệu tại
tại đây.
đây.

Vì
Vì phải
phải đi
đi kèm
kèm với
với các
các bộ
bộ thu

thu phát
phát tín
tín hiệu
hiệu
nên
nên dễ
dễ dàng
dàng bị
bị để
để phát
phát hiện
hiện

Bộ môn MMT&TT

14/05/2010

7


Các điểm truy cập trên tầng 1
• Mạng không dây – Hồng ngoại

Giới
Giới hạn
hạn của
của hồng
hồng ngoại
ngoại chính
chính là

là
bắt
bắt buộc
buộc 22 thiết
thiết bị
bị phải
phải “nhìn
“nhìn thấy
thấy
nhau”
nhau” (line
(line of
of sigh)
sigh) và
và khoảng
khoảng cách
cách
giữa
giữa 22 thiết
thiết bị
bị cũng
cũng phải
phải gần
gần nhau
nhau

Bộ môn MMT&TT

xâm
xâm nhập

nhập hay
hay
nghe
nghe lén
lén sẽ
sẽ rất
rất
khó
khó khăn
khăn

14/05/2010

8


Các điểm truy cập trên tầng 1
• Mạng không dây – Sóng radio

•• Wireless
Wireless LAN
LAN hiện
hiện đang
đang được
được dùng
dùng rộng
rộng rãi
rãi trong
trong cuộc
cuộc sống.

sống.
•• Mạng
Mạng không
không dây
dây dùng
dùng sóng
sóng radio
radio (RF)
(RF) này
này rất
rất không
không an
an toàn
toàn
vì
vì trong
trong phạm
phạm vi
vi phủ
phủ sóng,
sóng, ai
ai cũng
cũng có
có thể
thể nhận
nhận được
được tín
tín hiệu.
hiệu.


Cài
Cài đặt
đặt cơ
cơ chế
chế bảo
bảo mật
mật cho
cho mạng
mạng không
không dây:
dây:
•• Cài
Cài khóa
khóa (key)
(key) theo
theo 22 cách
cách chính
chính là
là WEP
WEP và
và WPA
WPA
để
để mã
mã hóa
hóa dữ
dữ liệu.
liệu.

Bộ môn MMT&TT


14/05/2010

9


Các điểm truy cập trên tầng 1
• Modem
Các
Các hệ
hệ thống
thống phục
phục vụ
vụ cho
cho kết
kết nối
nối bằng
bằng
Modem
Modem (RAS
(RAS –– Remote
Remote Acces
Acces Service)
Service)
thông
thông thường
thường được
được cấu
cấu hình
hình khá

khá an
an toàn
toàn

Nguy cơ: lắp Modem vào 1 hệ thống
máy tính đặt tại cơ quan. Dùng 1
chương trình gọi là War Dialer để kết
nối (gọi đến) Modem này và xâm
nhập vào máy tính đang gắn trực
tiếp vào Modem.

•• Giới
Giới hạn
hạn sử
sử dụng
dụng Modem
Modem
•• Cấu
Cấu hình
hình Modem
Modem chỉ
chỉ cho
cho
phép
phép hướng
hướng gọi
gọi đi
đi
Bộ môn MMT&TT


14/05/2010

10


Phần 2

Các điểm truy cập
trên tầng 2
• Khái niệm
• Bridge và switch
• Wireless Access Point

Bộ môn HTMT&TT

14/05/2010

11


Các điểm truy cập trên tầng 2
• Khái niệm
Các
Các thiết
thiết bị
bị trên
trên tầng
tầng 22 bắt
bắt đầu
đầu

đã
đã có
có 11 mức
mức độ
độ “thông
“thông minh”
minh”
nhất
nhất định
định như
như chúng
chúng có
có thể
thể ghi
ghi
nhận
nhận được
được địa
địa chỉ
chỉ vật
vật lý
lý của
của
thiết
thiết bị
bị mạng
mạng và
và chuyển
chuyển dữ
dữ liệu

liệu
đi
đi dựa
dựa trên
trên các
các địa
địa chỉ
chỉ vật
vật lý
lý này
này
(MAC
(MAC address).
address).

Những
Những vấn
vấn đề
đề an
an toàn
toàn trên
trên tầng
tầng 22 bao
bao gồm:
gồm:
•• Bridge
Bridge và
và Switch
Switch
•• Wireless

Wireless Access
Access Point
Point

Bộ môn MMT&TT

14/05/2010

12


Các điểm truy cập trên tầng 2
• Cầu nối (Bridge) và bộ chuyển mạch (switch)
•• Switch
Switch là
là một
một thiết
thiết bị
bị mạng
mạng an
an
toàn
toàn hơn
hơn Hub
Hub
•• Mỗi
Mỗi cổng
cổng của
của switch
switch chỉ

chỉ có
có thể
thể
nhận
nhận được
được đúng
đúng thông
thông tin
tin của
của
riêng
riêng mình
mình và
và thông
thông tin
tin quảng
quảng bá
bá

3Com
3Com gọi
gọi là
là
RAP
RAP (Roving
(Roving
Analysis
Analysis Port)
Port)


Khai thác tính năng SPAN
Bộ môn MMT&TT

SPAN
SPAN (Switched
(Switched Port
Port Analyzer)
Analyzer)
•• Là
Là 11 tính
tính năng
năng được
được người
người quản
quản trị
trị mạng
mạng
dùng
dùng trong
trong khắc
khắc phục
phục sự
sự cố.
cố.
•• Copy
Copy tất
tất cả
cả các
các gói
gói đi

đi vào
vào và
và đi
đi ra
ra 11 hoặc
hoặc
nhiều
nhiều cổng
cổng gửi
gửi đến
đến 11 cổng
cổng đặc
đặc biệt
biệt nào
nào đó.
đó.
Nếu
Nếu có
có được
được tài
tài khoản
khoản quản
quản trị
trị switch,
switch,
hacker
hacker có
có thể
thể lợi
lợi dụng

dụng tính
tính năng
năng SPAN
SPAN
để
để nghe
nghe lén
lén trên
trên mạng
mạng switch.
switch.
14/05/2010

13


Các điểm truy cập trên tầng 2
• Cầu nối (Bridge) và bộ chuyển mạch (switch)
Tấn
Tấn công
công switch
switch bằng
bằng cách
cách giả
giả mạo
mạo ARP
ARP
•• Kẻ
Kẻ xâm
xâm nhập

nhập sẽ
sẽ gửi
gửi gói
gói ARP
ARP đến
đến Client1
Client1 với
với
địa
địa chỉ
chỉ nguồn
nguồn là
là địa
địa chỉ
chỉ IP
IP của
của Client2
Client2 nhưng
nhưng
với
với địa
địa chỉ
chỉ MAC
MAC của
của mình
mình (Intruder).
(Intruder).
•• Tương
Tương tự,
tự, kẻ

kẻ xâm
xâm nhập
nhập cũng
cũng sẽ
sẽ gửi
gửi gói
gói ARP
ARP
đến
đến Client2
Client2 với
với địa
địa chỉ
chỉ nguồn
nguồn là
là địa
địa chỉ
chỉ IP
IP của
của
Client1
Client1 nhưng
nhưng với
với địa
địa chỉ
chỉ MAC
MAC của
của mình.
mình.
•• Khi

Khi đó,
đó, Client1
Client1 và
và Client2
Client2 đều
đều lưu
lưu trữ
trữ trong
trong
ARP
ARP Cache
Cache của
của mình
mình IP
IP của
của nhau
nhau nhưng
nhưng với
với
MAC
MAC của
của kẻ
kẻ xâm
xâm nhập.
nhập.
•• Do
Do đó,
đó, khi
khi Client1
Client1 và

và Client2
Client2 gửi
gửi dữ
dữ liệu
liệu cho
cho
nhau
nhau đều
đều đi
đi qua
qua máy
máy của
của kẻ
kẻ xâm
xâm nhập
nhập mà
mà
không
không hề
hề hay
hay biết.
biết.

Bộ môn MMT&TT

14/05/2010

14



Các điểm truy cập trên tầng 2
• Wireless Access Point
Hacker có thể dò tìm và kết nối
vào 1 Access Point để gia nhập
vào 1 mạng WLAN không được
mã hóa mà không cần phải có
bất kỳ tài khoản nào.

Cài
Cài đặt
đặt khóa
khóa có
có độ
độ dài
dài lớn
lớn (chẳng
(chẳng
hạn
hạn 128
128 bits)
bits) và
và thường
thường xuyên
xuyên thay
thay
đổi
đổi khóa
khóa để
để tránh
tránh bị

bị tấn
tấn công.
công.

Bộ môn MMT&TT

Cấu
Cấu hình
hình các
các cơ
cơ chế
chế bảo
bảo mật
mật tại
tại Access
Access
Point
Point
•• Ẩn
Ẩn đi
đi định
định danh
danh của
của mạng
mạng (hide
(hide SSID).
SSID).
•• Cài
Cài đặt
đặt khóa

khóa (key)
(key) cho
cho mạng.
mạng.
•• Tạo
Tạo bộ
bộ lọc
lọc MAC
MAC (filter)
(filter) chỉ
chỉ cho
cho phép
phép các
các thiết
thiết bị
bị
trong
trong danh
danh sách
sách cho
cho trước
trước tham
tham gia
gia vào
vào mạng.
mạng.
14/05/2010

15



Phần 3

Các điểm truy cập
trên tầng 3
• Khái niệm
• Router
• Remote Access Server
• Layer 3 Firewall
Bộ môn HTMT&TT

14/05/2010

16


Các điểm truy cập trên tầng 3
• Khái niệm
Các
Các thiết
thiết bị
bị trên
trên tầng
tầng 33
•• Vạch
Vạch đường
đường cho
cho các
các gói
gói tin

tin
•• Sử
Sử dụng
dụng địa
địa chỉ
chỉ luận
luận lý
lý
•• Có
Có nhiều
nhiều các
các cơ
cơ chế
chế bảo
bảo mật
mật
để
để chứng
chứng thực
thực người
người dùng
dùng và
và
điều
điều khiển
khiển lưu
lưu thông
thông trên
trên mạng
mạng


Những
Những vấn
vấn đề
đề an
an toàn
toàn trên
trên tầng
tầng 33 bao
bao gồm:
gồm:
•• Bộ
Bộ định
định tuyến
tuyến (Router)
(Router)
•• Máy
Máy chủ
chủ phục
phục vụ
vụ từ
từ xa
xa (Remote
(Remote Access
Access Server)
Server)
•• Tường
Tường lửa
lửa trên
trên tầng

tầng 33 (Layer
(Layer 33 firewall)
firewall)

Bộ môn MMT&TT

14/05/2010

17


Các điểm truy cập trên tầng 3
• Router
Router
Router dùng
dùng để
để tìm
tìm
đường
đường đi
đi tốt
tốt nhất
nhất
cho
cho các
các gói
gói tin,
tin, có
có
khả

khả năng
năng ngăn
ngăn
được
được broadcast.
broadcast.

Router
Router cung
cung cấp
cấp một
một số
số tính
tính năng
năng bảo
bảo mật:
mật:
•• Danh
Danh sách
sách điều
điều khiển
khiển truy
truy cập
cập (ACL):
(ACL): cho
cho phép
phép chặn
chặn gói
gói
tin

tin dựa
dựa theo
theo địa
địa chỉ,
chỉ, loại
loại dịch
dịch vụ
vụ (cổng).
(cổng).
•• Lọc
Lọc gói
gói tin
tin dựa
dựa theo
theo loại
loại gói
gói hay
hay nội
nội dung
dung gói.
gói.
•• Quality
Quality of
of Service
Service (QoS):
(QoS): điều
điều khiển
khiển lưu
lưu thông
thông trên

trên mạng
mạng
dựa
dựa theo
theo độ
độ ưu
ưu tiên
tiên của
của dịch
dịch vụ.
vụ.

Bộ môn MMT&TT

14/05/2010

18


Các điểm truy cập trên tầng 3
• Router
Router
Router có
có thể
thể bị
bị tấn
tấn công
công thông
thông
qua

qua đường
đường Telnet
Telnet (dùng
(dùng để
để cấu
cấu
hình
hình thiết
thiết bị
bị từ
từ xa
xa qua
qua cổng
cổng 23)
23) vì
vì
mật
mật khẩu
khẩu không
không được
được mã
mã hóa.
hóa.

Tấn
Tấn công
công tính
tính năng
năng vạch
vạch đường

đường động
động (dynamic
(dynamic routing)
routing)
•• Giả
Giả mạo
mạo địa
địa chỉ
chỉ của
của 11 router
router trong
trong mạng
mạng
•• Gửi
Gửi các
các thông
thông tin
tin vạch
vạch đường
đường cho
cho router
router mục
mục tiêu
tiêu

Cách
Cách ngăn
ngăn ngừa
ngừa
•• Dùng

Dùng giao
giao thức
thức vạch
vạch đường
đường có
có mã
mã hóa
hóa
•• Cài
Cài đặt
đặt chứng
chứng thực
thực trong
trong giao
giao thức
thức vạch
vạch đường
đường

Bộ môn MMT&TT

14/05/2010

19


Các điểm truy cập trên tầng 3
• Server truy cập từ xa (RAS)
Cung
Cung cấp

cấp kết
kết nối
nối cho
cho
những
những người
người dùng
dùng ở
ở xa
xa
thông
thông qua
qua đường
đường điện
điện
thoại
thoại (dial-up)
(dial-up) hay
hay VPN.
VPN.

Những
Những cách
cách chứng
chứng thực
thực thông
thông dụng
dụng là:
là:
•• PAP

PAP (Password
(Password Authentication
Authentication Protocol)
Protocol)
oo Truyền
Truyền mật
mật khẩu
khẩu dạng
dạng Plain-Text
Plain-Text trên
trên đường
đường truyền
truyền =>
=> không
không an
an toàn
toàn
•• SPAP
SPAP (Shiva
(Shiva hay
hay Secure
Secure PAP):
PAP): an
an toàn
toàn hơn
hơn PAP
PAP vì
vì có
có sử
sử dụng

dụng mã
mã hóa.
hóa.
•• CHAP
CHAP (Challenge
(Challenge Handshake
Handshake Authentication
Authentication Protocol)
Protocol) và
và MS-CHAP
MS-CHAP (Microsoft
(Microsoft CHAP)
CHAP)
oo An
An toàn
toàn hơn
hơn vì
vì có
có mã
mã hóa
hóa và
và không
không truyền
truyền mật
mật khẩu
khẩu trên
trên đường
đường truyền.
truyền.
•• EAP

EAP (Extensible
(Extensible Authentication
Authentication Protocol)
Protocol)
oo Kết
Kết hợp
hợp với
với phương
phương pháp
pháp chứng
chứng thực
thực thứ
thứ 33 như
như smartcard,
smartcard, sinh
sinh trắc
trắc học.
học.
•• Chứng
Chứng thực
thực tập
tập trung
trung (qua
(qua RADIUS):
RADIUS): an
an toàn
toàn và
và hiệu
hiệu quả
quả hơn.

hơn.
Bộ môn MMT&TT

14/05/2010

20


Các điểm truy cập trên tầng 3
• Server truy cập từ xa (RAS)

Mandatory callback
• Chỉ kết nối đến Server từ 1 số điện thoại cho trước.
• Chứng thực 2 chiều: sau khi chứng thực thành
công, Server sẽ kết nối ngược lại Client.
• Chỉ thích hợp với người dùng cố định.
RAS
RAS cho
cho phép
phép người
người quản
quản trị
trị cài
cài đặt
đặt các
các tính
tính năng
năng
bảo
bảo mật

mật để
để điều
điều khiển
khiển đúng
đúng loại
loại giao
giao thức
thức đang
đang sử
sử
dụng
dụng =>
=> khóa
khóa các
các giao
giao thức
thức khác
khác để
để giảm
giảm băng
băng
thông
thông và
và giảm
giảm nguy
nguy cơ
cơ tấn
tấn công.
công.


Bộ môn MMT&TT

14/05/2010

21


Các điểm truy cập trên tầng 3
• Tường lửa (Firewall)
Firewall
Firewall sẽ
sẽ ngăn
ngăn chặn
chặn truy
truy cập
cập trái
trái phép
phép
từ
từ bên
bên ngoài
ngoài vào
vào bên
bên trong
trong mạng
mạng và
và khóa
khóa
người
người dùng

dùng bên
bên trong
trong mạng
mạng truy
truy cập
cập các
các
tài
tài nguyên
nguyên nguy
nguy hại
hại bên
bên ngoài
ngoài mạng.
mạng.

Firewall
Firewall được
được chia
chia thành
thành 33 dạng
dạng chính:
chính:
•• Lọc
Lọc gói:
gói: hoạt
hoạt động
động trên
trên tầng
tầng 33

•• Lọc
Lọc nội
nội dung:
dung: hoạt
hoạt động
động trên
trên tầng
tầng ứng
ứng dụng
dụng
•• Duyệt
Duyệt tất
tất cả
cả trạng
trạng thái:
thái: hoạt
hoạt động
động trên
trên tất
tất cả
cả các
các tầng
tầng

Bộ môn MMT&TT

14/05/2010

22



Các điểm truy cập trên tầng 3
• Firewall trên tầng 3
Firewall
Firewall lọc
lọc gói
gói được
được cấu
cấu hình
hình để
để
từ
từ chối
chối hay
hay cho
cho phép
phép truy
truy cập
cập từ
từ
(hoặc
(hoặc đến)
đến) 11 địa
địa chỉ
chỉ IP
IP xác
xác định
định
hoặc
hoặc 11 cổng

cổng cho
cho trước
trước
22 cơ
cơ chế
chế thực
thực hiện:
hiện:
•• Mặc
Mặc nhiên
nhiên cho
cho phép
phép (allow
(allow by
by default)
default)
•• Mặc
Mặc nhiên
nhiên cấm
cấm (deny
(deny by
by default)
default)

Mặc
Mặc nhiên
nhiên cấm
cấm là
là chính
chính

sách
sách bảo
bảo mật
mật tốt
tốt hơn
hơn

Bộ môn MMT&TT

14/05/2010

23


Các điểm truy cập trên tầng 3
• Firewall trên tầng 3
Các
Các router
router mạnh
mạnh hiện
hiện nay
nay gần
gần như
như đều
đều có
có
tùy
tùy chọn
chọn hỗ
hỗ trợ

trợ loại
loại firewall
firewall lọc
lọc gói
gói

Những ưu điểm của Firewall trên tầng 3
• Tốc độ nhanh: vì chỉ cần kiểm tra header của gói
• Dễ sử dụng: các rule định nghĩa rõ ràng.
• Trong suốt (Transparency) với các thiết bị mạng và người dùng
Những hạn chế của Firewall trên tầng 3
• Khó mở riêng 1 cổng cho 1 ứng dụng.
• Không quan tâm đến nội dung gói: bỏ sót gói độc hại

Bộ môn MMT&TT

14/05/2010

24


Phần 4

Các điểm truy cập
trên tầng 4 và cao hơn
• Khái niệm
• Proxy Server
• Máy trạm
• Máy chủ
Bộ môn HTMT&TT


14/05/2010

25