CHAPTER 2: Network Security and The Cisco PIX Firewall



Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN

1
Chương 2
AN NINH MẠNG
VÀ THIẾT BỊ TƯỜNG LỬA PIX CỦA CISCO

Tổng quan
Chương này bao gồm các chủ đề sau:
 Nội dung
 An ninh mạng
 Cisco AVVID và sự an toàn
 Tổng kết
2.1 Nội dung
Sau khi hoàn thành chương này, bạn có thể thực hiện được những nhiệm vụ sau:

 Đưa ra lý do cho việc cần thiết phải đảm bảo an ninh mạng
 Định nghĩa thế nào là bẻ khóa máy tính và mô tả 4 mối đe dọa chính liên kết
với hành động đó
 Định nghĩa 4 cách thức cơ bản để ngăn chặn các mối đe dọa trong an ninh
mạng
 Mô tả 3 phương pháp chính để ngăn chặn sự tấn công trong các mạng máy
tính ngày nay
 Mô tả mục đích của Security Whell
 Mô tả kiến trúc của Cisco AVVID
 Mô tả SAFE framework
2.2 An ninh mạng

Phần này sẽ giải thích an ninh mạng là gì và tại sao lại cần phải đảm bảo an ninh
mạng.
CHAPTER 2: Network Security and The Cisco PIX Firewall



Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN

2



An ninh mạng là vấn đề cần thiết bởi vì Internet là một mạng của các mạng có mối
liên hệ với nhau không có ranh giới. Vì lý do này mà mạng của các tổ chức có thể
được sử dụng và cũng có thể bị tấn công từ bất kỳ một máy tính nào trên thế giới.
Khi một công ty sử dụng Internet trong kinh doanh, các nguy cơ mới sẽ phát sinh từ
những người mà không cần thiết phải truy cập đến tài nguyên máy tính của công ty
thông qua môi trường vật lý.
Trong một nghiên cứu gần đây của Computer Security Institute (CIS), 70% các tổ
chức bị mất mát thông tin do vấn đề an ninh mạng có lỗ thủng và 60% trong số đó
nguyên nhân là do chính trong công ty của họ.

CHAPTER 2: Network Security and The Cisco PIX Firewall



Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN

3




Có 4 mối đe dọa chính đối với an ninh mạng
 Mối đe dọa không cấu trúc
 Mối đe dọa có cấu trúc
 Mối đe dọa từ bên ngoài
 Mối đe dọa từ bên trong

Mối đe dọa không có cấu trúc thông thường là những cá nhân thiếu kinh
nghiệm sử dụng các công cụ đơn giản, sẵn có trên Internet. Một số người thuộc
dạng này có động cơ là mục đích phá hoại, nhưng phần lớn có động cơ là trổ tài trí
óc và rất tầm thường. Chúng được biết đến như là Script kiddies. Phần lớn họ không
phải là những người tài giỏi hoặc là những hacker có kinh nghiệm., nhưng họ có
những động cơ thúc đẩy, mà những động cơ đó đều quan trọng.
Mối đe dọa có cấu trúc bao gồm các hacker - những người có động cơ cao
hơn và có kỹ thuật thành thạo hơn. Thông thường họ hiểu biết về thiết kế hệ thống
mạng và những chỗ có thể tấn công, và họ có thể hiểu cũng như tạo ra các đoạn mã
để thâm nhập vào những hệ thống mạng này
Mối đe dọa từ bên ngoài là những cá nhân, tổ chức làm việc ở bên ngoài
công ty.Họ không có quyền truy cập đến hệ thống mạng hoặc hệ thống máy tính của
CHAPTER 2: Network Security and The Cisco PIX Firewall



Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN

4
công ty. Họ làm việc theo cách thức của họ để vào trong mạng chính từ mạng
Internet hoặc mạng quay số truy cập vào servers
Mối đe dọa từ bên trong xảy ra khi một số người có quyền truy cập đến hệ

thống mạng thông qua một tài khoản trên một server hoặc truy cập trực tiếp thông
qua môi trường vật lý. Thông thường những người này đang có bất bình với những
thành viên hiện tại hoặc trước đó hoặc bất bình với giám đốc công ty.


Có 3 cách thức tấn công mạng:
 Tấn công theo kiểu thăm dò: Một kẻ xâm nhập cố gắng khai phá và xây dựng
sơ đồ hệ thống, các dịch vụ và các điểm có thể tấn công.
 Tấn công theo kiểu truy cập: Một kẻ xâm nhập tấn công mạng hoặc hệ thống
để lấy dữ liệu, giành quyền truy cập hoặc cố gắng tiến tới chế độ truy cập đặc
quyền
 Tấn công kiểu DoS: Một kẻ xâm nhập tấn công mạng, phá hủy hoặc làm
hỏng hệ thống máy tính, hoặc không cho phép bạn và những người khác truy
cập vào hệ thống mạng của bạn và các dịch vụ khác
2.2.1 Tấn công theo kiểu thăm dò
CHAPTER 2: Network Security and The Cisco PIX Firewall



Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN

5
Thăm dò là một hình thức tính toán, khám phá bất hợp pháp hệ thống, các
dịch vụ hoặc những điểm dễ bị tấn công nhất. Nó còn được biết đến như là việc thu
thập thông tin. Trong hầu hết các trường hợp nó xảy ra trước so với các hành động
truy xuất hợp pháp khác hoặc là tấn công theo kiểu DoS. Kẻ thâm nhập đầu tiên sẽ
quét mạng đích để xác định các địa chỉ IP còn hoạt động. Sau khi hoàn thành việc
này, tin tặc sẽ quyết định các dịch vụ hoặc các cổng được kích hoạt trên các địa chỉ
IP này. Từ những thông tin này, tin tặc tính toán để quyết định ứng kiểu của ứng
dụng và phiên bản cũng như là kiểu và phiên bản của hệ điều hành đang chạy trên

host đích.
Thăm dò cũng tương tự như một kẻ trộm có phạm vi hoạt động ra ngoài một láng
giềng đối với những ngôi nhà có khả năng bị tấn công mà chúng có thể xâm nhập
vào bên trong. Giống như một biệt thự bỏ hoang, một cánh cửa chính dễ dàng mở
hoặc một cửa sổ. Trong nhiều trường hợp kẻ chộm kẻ trộm đã đi xa trước khi tiếng
động cánh cửa phát ra. Nhưng để khám phá những dịch vụ có thể tấn công được họ
có thể phải mạo hiểm vào khoảng thời gian sau đó khi mà lúc đó có thể có ai đó
phát hiện.
2.2.2. Tấn công theo kiểu truy cập
Truy cập là một hình thức vượt qua giới hạn để xử lý dữ liệu trái phép, truy
cập hệ thống hoặc tiến vào chế độ đặc quyền. Truy tìm dữ liệu trái phép thông
thường là việc đọc, ghi, sao chép hoặc gỡ bỏ các files mà nó không thể được sử
dụng bởi những kẻ thâm nhập. Đôi khi nó cũng thật đơn giản cũng giống như việc
tìm kiếm các thư mục chia sẻ trong Window 9x hoặc NT hoặc các thư mục đã được
xuất dạng NFS trong hệ thống UNIX với việc đọc hoặc đọc và ghi dữ liệu được
thực hiện bởi bất cứ ai. Kẻ thâm nhập sẽ không gặp bất cứ vấn đề gì đối với các file
dữ liệu và thậm chí là không bao giờ, dễ dàng truy xuất các thông tin mang tính
riêng tư cao và hoàn toàn không bị bảo vệ bởi những cặp mắt soi mói, đặc biệt kẻ
tấn công là người sử dụng nội bộ
CHAPTER 2: Network Security and The Cisco PIX Firewall



Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN

6
Truy cập hệ thống là khả năng của kẻ thâm nhập dành quyền truy cập vào
một máy mà nó không được phép truy cập (ví dụ như kẻ thâm nhập không có tài
khoản hoặc mật khẩu). Nhập hoặc truy cập vào hệ thống mà nó không có quyên truy
cập thông thường bao gồm việc chạy các hack, các đoạn kịch bản hoặc các công cụ

để khai thác các lỗ hổng của hệ thống hoặc các ứng dụng
Một dạng khác của tấn công theo kiểu truy cập là tiến tới chế độ đặc quyền.
Việc này được thực hiện bởi những người sử dụng hợp pháp với quyền truy cập
thấp hoặc đối với những kẻ thâm nhập có quyền truy cập thấp. Mục đích là để thu
thập thông tin hoặc thực thi các thủ tục mà nó không được phép ở cấp độ truy cập
hiện tại. Trong nhiều trường hợp điều này bao gồm việc dành quyền truy cập gốc
trong hệ thống UNIX để cài đặt sniffer để ghi lại tất cả những lưu lượng mạng được
truyền qua, như là username và password có thể được sử dụng để truy cập đến các
đích khác.
Trong một vài trường hợp kẻ thâm nhập chỉ muốn dành quyền truy cập mà
không muốn lấy cắp thông tin – đặc biệt khi động cơ là sự tranh tài về trí tuệ, tò mò
hoặc là do không biết gì.
2.2.3. Tấn công theo kiểu DoS
DoS là khi một kẻ tấn công vô hiệu hóa hoặc làm hỏng mạng, hệ thống hoặc
các dịch vụ với mục đích để ngăn cản các dịch vụ dành cho người sử dụng. Nó
thường bao gồm việc phá hủy hệ thống hoặc làm hệ thống chậm xuống và không
thể sử dụng. Nhưng Dos cũng có thể dễ dàng xóa sạch hoặc làm hỏng các thông tin
cần thiết cho kinh doanh. Trong hầu hết các trường hợp thực thi việc tấn công chỉ
đơn giản là bao gồm chạy hack, các kịch bản hoặc các công cụ. Kẻ tấn công không
cần phải truy cập đến đích trước bởi vì tất cả những việc đó thường đòi hỏi một
phương pháp để đạt được. Vì những lý do này và bởi vì khả năng phá hoại lớn nên
Dos đặc biệt làm lo sợ đối với người điều hành các web site thương mại.
CHAPTER 2: Network Security and The Cisco PIX Firewall



Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN

7


An ninh mạng cần phải là một tiến trình liên tục được xây dựng dựa trên các
chính sách an ninh. Một chính sách an ninh liên tục mang lại hiệu quả lớn nhất bởi
vì nó xúc tiến quá trình tái áp dụng và tái kiểm tra các cập nhật bảo mật dựa trên cơ
sở liên tục. Tiến trình an ninh liên tục này tiêu biểu cho Security Wheel.
Để bắt đầu tiến trình liên tục này bạn cần phải tạo một chính sách an ninh mà
nó cho phép bảo mật các ứng dụng. Một chính sách an ninh cần phải thực hiện
những nhiệm vụ sau:
 Nhận dạng mục đích bảo mật của tổ chức
 Tài liệu về tài nguyên cần bảo vệ.
 Nhận dạng cơ sở hạ tầng mạng với sơ đồ hiện tại và một bản tóm tắt.
Để tạo hoặc thực thi một chính sách an ninh có hiệu quả, bạn cần phải xác định cái
mà bạn muốn bảo vệ và bảo vệ nó như thế nào. Bạn cần phải có hiểu biết vể các
điểm yếu hệ thống mạng và cách mà người ta có thể khai thác nó. Bạn cũng cần
phải hiểu về các chức năng thông thường của hệ thống vì thế mà bạn phải biết là
bạn cần cái gì và nó cũng giống với cách mà các thiết bị thông thường được sử
dụng. Cuối cùng là cân nhắc đến an ninh về mặt vật lý của hệ thống mạng và cách
bảo vệ nó. Việc truy xuất về mặt vật lý đến một máy tính, router, hoặc tường lửa có
thể mang lại cho người sử dụng khả năng tổng điều khiển trên toàn bộ thiết bị.
Sau chính sách an ninh được phát triển thì nó phải phù hợp với bánh xe an ninh ở
phía trên - bốn bước kế tiếp của Security Wheel cần dựa vào:
CHAPTER 2: Network Security and The Cisco PIX Firewall



Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN

8
Bước 1: Bảo mật hệ thống: bước này bao gồm việc cung cấp các thiết bị bảo mật
như tường lửa, hệ thống chứng thực, mã hóa,…với mục đích là ngăn chặn sự truy
cập trái phép đến hệ thống mạng. Đây chính là điểm mà các thiết bị tường lửa bảo

mật của Cisco có hiệu quả nhất.
Bước 2: kiểm tra hệ thống mạng về các vi phạm và sự tấn công chống lại chính
sách bảo mật của công ty. Các vi phạm có thể xảy ra từ bên trong vành đai an ninh
của mạng do sự phẫn nộ của những người lao động hoặc là từ bên ngoài do các
hacker. Việc kiểm tra mạng với hệ thống phát hiện sự xâm nhập thời gian thực như
là Cisco Secure Intruction Detection System ( hệ thống phát hiện sự thâm nhập bảo
mật của Cisco) có thể đảm bảo các thiết bị bảo mật trong bước 1 được cấu hình
đúng.
Bước 3: Thử nghiệm để kiểm tra hiệu quả của hệ thống bảo mật. Sử dụng thiết bị
quét bảo mật của Cisco ( Cisco Secure Scanner) để nhận dạng tình trạng an toàn của
mạng.
Bước 4: Hoàn thiện an ninh của công ty. Sưu tầm và phân tích các thông tin từ các
pha kiểm tra, thử nghiệm để hoàn thiện hơn
Cả bốn bước – Bảo mật, kiểm tra, thử nghiệm và hoàn thiện – cần được lặp đi lặp
lại liên tục và cần phải kết hợp chặt chẽ với các phiên bản cập nhật chính sách an
ninh của công ty
CHAPTER 2: Network Security and The Cisco PIX Firewall



Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN

9

Bảo mật mạng bằng cách áp dụng các chính sách an ninh và thực thi các chính sách
an ninh dưới đây:
 Chứng thực: chỉ đem lại quyền truy cập của người sử dụng
 Mã hóa: Ẩn các luồng nội dung nhằm ngăn cản sự phát hiện không mong
muốn đối với các cá nhân có âm mưu phá hoại hoặc cá nhân trái phép
 Tường lửa: Lọc các lưu lượng mạng chỉ cho phép các lưu lượng và dịch vụ

hợp pháp truyền qua
 Vá lỗi: Áp dụng việc sửa chữa hoặc xử lý để dừng quá trình khai thác các lỗ
hổng được phát hiện. Công việc này bao gồm việc tắt các dịch vụ không cần
thiết trên mỗi hệ thống, chỉ cho vài dịch vụ được phép chạy, gây khó khăn
cho việc truy cập của hacker.

Chú ý: Nhớ rằng cần phải thực thi các giải pháp an ninh mặt vật lý để ngăn cản việc truy
cập trái phép mặt vật lý đến hệ thống mạng