HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG
---------------------------------------

IT

Nguyễn Mạnh Hùng

PT

PHÁT HIỆN VÀ PHỊNG CHỐNG
XÂM NHẬP TRÁI PHÉP MẠNG MÁY TÍNH

Chun ngành: Truyền dữ liệu và mạng máy tính
Mã số: 60.48.15

TĨM TẮT LUẬN VĂN THẠC SĨ

HÀ NỘI - 2013


Luận văn được hồn thành tại:
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG

Người hướng dẫn khoa học: PGS.TSKH HỒNG ĐĂNG HẢI
(Ghi rõ học hàm, học vị)

Phản biện 1: ……………………………………………………………………………

IT

Phản biện 2: …………………………………………………………………………..

Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ Bưu
Vào lúc:

PT

chính Viễn thơng

....... giờ ....... ngày ....... tháng ....... .. năm ...............

Có thể tìm hiểu luận văn tại:

- Thư viện của Học viện Cơng nghệ Bưu chính Viễn thơng


1

MỞ ĐẦU
Hiện nay hầu hết các cơ quan, tổ chức, doanh nghiệp đều có hệ thống mạng máy tính
riêng kết nối với mạng Internet và ứng dụng nhiều tiện ích CNTT vào các hoạt động sản xuất
kinh doanh. Việc làm này đã góp phần tích cực trong quản lý, điều hành, kết nối, quảng bá và
là chìa khố thành cơng cho sự phát triển chung của họ và cộng đồng. Trong các hệ thống
mạng máy tính đó có chứa rất nhiều các dữ liệu, các thông tin quan trọng liên quan đến hoạt
động của các cơ quan, tổ chức, doanh nghiệp. Điều này hấp dẫn, thu hút các kẻ tấn cơng.
Cơng nghệ về máy tính và mạng máy tính liên tục phát triển và thay đổi, các phần mềm mới
liên tục ra đời mang đến cho con người nhiều tiện ích hơn, lưu trữ được nhiều dữ liệu hơn,
tính toán tốt hơn, sao chép và truyền dữ liệu giữa các máy tính nhanh chóng thuận tiện
hơn,....Nhưng bên cạnh đó, hệ thống mạng vẫn còn tồn tại nhiều lỗ hổng, các nguy cơ về mất
an tồn thơng tin. Các vụ xâm nhập mạng lấy cắp thông tin nhạy cảm cũng như phá hủy thông
tin diễn ra ngày càng nhiều, thủ đoạn của kẻ phá hoại ngày càng tinh vi. Việc làm thế nào để


IT

có thể phát hiện ra máy tính hoặc mạng máy tính của mình đang bị xâm nhập trái phép, cũng
như cách phòng và chống xâm nhập trái phép hiệu quả, luôn là mong muốn của tất cả những
ai làm CNTT nói chung cũng như người sử dụng máy tính nói riêng.
Nắm bắt được xu thế và sự quan tâm đó, cộng với niềm đam mê cá nhân trong lĩnh lực

PT

tìm hiểu bảo mật và hệ thống, học viên đã chọn đề tài: “Phát hiện và phòng chống xâm nhập
trái phép mạng máy tính” với mong muốn tìm hiểu một cách hệ thống về các nguy cơ tiềm ẩn
về xâm nhập trái phép vào mạng máy tính, cũng như các cách thức cần thiết để đối phó với
vấn đề này.

Cấu trúc của luận văn, ngoài phần mở đầu và phần kết luận có các chương chính sau
đây:

Chương 1. Tổng quan về xâm nhập mạng máy tính
Nội dung chương này nêu khái niệm về vấn đề xâm nhập mạng máy tính, các kỹ thuật
tấn cơng và xâm nhập trái phép mạng máy tính cùng với hậu quả của nó.
Chương 2. Phương pháp và hệ thống phát hiện xâm nhập mạng máy tính.
Nội dung chương trình bày về các phương pháp phát hiện xâm nhập mạng máy tính;
Hệ thống phát hiện xâm nhập trái phép mạng máy tính.
Chương 3. Phịng chống và ngăn chặn xâm nhập mạng máy tính
Nội dung chương gồm: Các biện pháp kỹ thuật phòng chống xâm nhập; Các hệ thống
phát hiện và ngăn chặn xâm nhập mạng.
Chương 4. Mơ hình thử nghiệm
Giới thiệu về mơi trường thử nghiệm, xây dựng kịch bản, cài đặt phần mềm mô phỏng
và thực hiện các bài thử nghiệm, đánh giá và đưa ra kết luận.



2

Chương 1. TỔNG QUAN VỀ XÂM NHẬP MẠNG MÁY TÍNH
1.1.

Khái quát về vấn đề xâm nhập trái phép mạng máy tính.
Xâm nhập trái phép mạng máy tính là hành vi đột nhập vào mạng (tấn công mạng) để

truy cập, thao tác hoặc lạm dụng một số tài sản có giá trị trên mạng. Việc lạm dụng có thể dẫn
đến kết quả hoặc khiến cho tài sản trong mạng trở nên không đáng tin cậy hoặc không sử
dụng được. Hầu hết các cuộc tấn cơng xâm nhập mạng máy tính chỉ với mục tiêu phá huỷ hệ
thống bảo mật của hệ thống theo những phương thức cụ thể. Ví dụ một số cuộc tấn công nhằm
đọc, đánh cắp các thông tin nhưng không thay đổi thành phần nào trong hệ thống; Một số
cuộc tấn công lại tắt hoặc ngưng sử dụng thành phần nào đó trong hệ thống; Hoặc những cuộc
tấn cơng khác thì có khả năng chiếm tồn quyền điều khiển hệ thống hoặc phá huỷ hệ thống.
Chung quy lại chúng thường gây nên ba tổn thương đến bảo mật hệ thống: tính bí mật, tính
tồn vẹn và tính khả dụng của thông tin hoặc hệ thống thông tin.

1.2.

Một số kỹ thuật xâm nhập mạng máy tính.

IT

1.2.1. Xâm nhập qua lỗ hổng lớp vật lý

Một số lỗ hổng về lớp này có thể thấy ở đây gồm: Lỗi nguồn điện; Lỗi mơi trường
kiểm sốt). Trộm cắp dữ liệu và phần cứng;Thiệt hại vật chất hoặc phá huỷ dữ liệu và phần

cứng;Thay đổi trái phép môi trường chức năng hệ thống; gián đoạn các liên kết vật lý;....

PT

1.2.2. Xâm nhập qua lớp 2

a. Đầu độc ARP (ARP Poisoning)

Tấn công đầu độc ARP (ARP poisoning) là cách cố gắng truyền tải thông tin sai vào
trong bảng ARP. Gói tin được gửi bởi máy bị nhiễm độc sẽ không được gửi đúng địa chỉ đích
mà đến một địa chỉ IP được chỉ định bởi các thơng tin ARP giả mạo. Mục đích chính của
phương pháp này là gắn kết địa chỉ MAC của kẻ giả mạo với địa chỉ IP của một máy bị tấn
công, khiến cho bất kỳ lưu lượng truy cập tới máy có IP đó sẽ được gửi tới kẻ tấn cơng thay
vì gửi đến đúng đích hợp pháp.

b. Giả mạo địa chỉ MAC (MAC Spoofing)
MAC Spoofing liên quan đến kỹ thuật thay đổi địa chỉ MAC. MAC Spoofing được
thực hiện gồm cả lý do khơng chính đáng như việc chiếm danh tính máy tính khác và cả lý
do chính đáng như việc tạo ra các kết nối không dây với một mạng.

c. Đánh tràn địa chỉ MAC (Mac Flooding)
Kiểu tấn công làm tràn bảng CAM (MAC flooding) dựa vào điểm yếu của thiết bị
chuyển mạch: bảng CAM chỉ chứa được một số hữu hạn các ánh xạ và các ánh xạ này không
tồn tại mãi mãi trong bảng CAM. Sau một khoảng thời gian nào đó, thường là 300s, nếu địa


3
chỉ này khơng được dùng thì nó sẽ bị gỡ bỏ khỏi bảng. Khi bảng CAM được điền đầy, tất cả
thông tin đến sẽ được gửi đến tất cả các cổng của nó trừ cổng nó nhận được. Chức năng của
switch khi đó khơng khác một HUB.

Hậu quả của kiểu tấn cơng này có thể thay đổi qua việc thực thi, địa chỉ MAC hợp lệ
sẽ đẩy ra khỏi bảng CAM khiến cho một số lượng đáng kể khung tin bị tràn ra ngoài các cổng.

d. Làm cạn kiệt DHCP (DHCP Exhaustion / Starvation)
Về cơ bản, đây là cách kẻ tấn công yêu cầu máy chủ DHCP cung cấp không chỉ một
mà nhiều địa chỉ IP cho đến khi kết sạch, khơng cịn địa chỉ IP để cung cấp cho người dùng
khác. Việc vét cạn địa chỉ IP làm cho các bộ định tuyến khơng cịn địa chỉ IP cung cấp cho
người dùng, việc này đồng nghĩa rằng các máy trạm sẽ không thể kết nối mạng. Kẻ tấn công
chạy các chương trình DHCP cung cấp địa chỉ IP từ các bộ định tuyến/ gateway giả, ngăn
chặn các yêu cầu nội mạng từ máy tính của người dùng, cho phép người dùng sử dụng máy
chủ DHCP giả để kết nối ra bên ngoài.

IT

e. Máy chủ DHCP giả mạo (Rouge DHCP Server)
Máy chủ DHCP không yêu cầu xác thực trong quá trình cấp phát địa chỉ IP cho DHCP
client và các DHCP client không cần biết địa chỉ IP của DHCP server trong quá trình xin cấp
địa chỉ IP. Lợi dụng kẽ hở này, kẻ tấn cơng có thể xây dựng một máy chủ DHCP giả mạo

PT

nhằm mục đích cung cấp một địa chỉ Gateway IP giả mạo (của kẻ tấn cơng hoặc một máy tính
nào đó được đặt dưới sự kiểm soát của chúng) cho DHCP client. Việc này cho phép kẻ tấn
cơng xem trộm nội dung gói tin.

f. Giả mạo nút mạng ẩn (Hidden Node Attack)
g. Giả mạo điểm truy nhập không dây (Fake access point attack)
1.2.3. Xâm nhập thông qua lớp 3
a. Giả mạo IP (IP Spoofing)


Giả mạo IP hoặc giả mạo địa chỉ IP (IP addresss spoofing/IP spoofing) là khởi tạo gói
tin IP với một nguồn địa chỉ IP giả mạo nhằm mục đích che giấu danh tính thực của người
gửi hoặc mạo nhận một hệ thống máy tính nào đó.

b. Qt/Chuyển đổi IP (IP Scan/Sweep)
Qt ICMP (Internet control message protocol scanning) là quá trình gửi một yêu cầu
ICMP hoặc ping cho tất cả các host trên mạng để xác định những host đang tồn tại và trả lời
ping. Lợi ích của qt ICMP là có thể quét đồng thời tất cả các máy, do đó nhanh chóng qt
được tồn bộ mạng.

c. Tấn cơng định tuyến (RIP Attacks)
Tấn cơng định tuyến có thể sử dụng bộ định tuyến giả mạo, nghĩa là bộ định tuyến trái


4
phép được triển khai và thay đổi nó phù hợp với nhu cầu của kẻ tấn công. Một bộ định tuyến
giả mạo có thể là một máy tính đang chạy một hệ điều hành phổ biến, với một bộ cài đặt phần
mềm định tuyến. Ngồi ra, kẻ tấn cơng có thể xen các cập nhật định tuyến lậu vào mạng bằng
các gói cơng cụ thủ cơng, như là Nemesis, Spoof, hoặc IRPAS. Kẻ tấn cơng có thể tiếm quyền
một bộ định tuyến bằng cách khai thác một lỗ hổng trong quá trình định tuyến dữ liệu. Kết
quả cuối cùng của bất kỳ cuộc tấn công định tuyến nào là chuyển hướng lưu lượng truy nhập
trên mạng.

1.2.4. Xâm nhập thông qua lớp 4
a. Quét UDP (UDP scans)
Quét UDP là kỹ thuật gửi một gói tin UDP cho các cổng đích khác nhau. Nếu cổng
đích đáp ứng bằng một thơng điệp "ICMP port unreachable ", có nghĩa là cổng đã đóng, khơng
thể truy nhập. Ngược lại, nếu không nhận được thông điệp trên, ta có thể suy ra cổng mở ! Độ
chính xác của kỹ thuật này tùy thuộc nhiều vào yếu tố có liên quan đến việc sử dụng các tài


IT

nguyên mạng và hệ thống. Ngoài ra, quét UDP là một quá trình diễn ra chậm, nếu như muốn
quét một thiết bị có sử dụng tính năng lọc gói tin q nặng.

b. Quét TCP (TCP scans)

Quét TCP được xây dựng dựa trên cơ chế bắt tay 3 bước của TCP (TCP three−way

PT

−handshake). Kết nối TCP yêu cầu three−way −handshake trước khi kết nối được tạo và
truyền dữ liệu giữa người gửi và người nhận.

Kẻ tấn cơng có thể ngăn cản việc phát hiện bằng cách sử dụng cờ thay vì hồn thành
một kết nối TCP thơng thường. Trên gói TCP/UDP có 16 bit dành cho Port Number điều đó
có nghĩa nó có từ 1 – 65535 port. Khơng một kẻ tấn cơng nào lại scan tồn bộ các port trên
hệ thống, chúng chỉ scan những port hay sử dụng nhất (thường chỉ từ 1... 1024). ACK Scan:
dạng Scan này nhằm mục đích tìm những Access Controll List trên Server. Client cố gắng kết
nối tới Server bằng gói ICMP nếu nhận được gói tin là “Host Unreachable” thì client sẽ hiểu
port đó trên server đã bị lọc.

c. Tấn công TCP “SYN”
Kẻ tấn công gửi các yêu cầu (request ảo) TCP SYN tới máy chủ bị tấn cơng. Để xử lý
lượng gói tin SYN này hệ thống cần tốn một lượng bộ nhớ cho kết nối. Khi có rất nhiều gói
SYN ảo tới máy chủ và chiếm hết các yêu cầu xử lý của máy chủ.

d. Tấn công giả mạo SSL (SSL Man-in-the-Middle Attacks)
Tấn cơng SSL Man-in-the-middle nhằm mục đích gây tổn hại cho các phiên SSL, có
nghĩa là kẻ tấn cơng cố gắng để thấy các thơng điệp đã mã hóa dưới dạng văn bản gốc. Khi

việc này được thực hiện, kẻ tấn cơng có thể đảm nhận vai trị gateway. Sau đó giả mạo DNS


5
(DNS spoofing) được thực hiện, kẻ tấn công không chỉ hành động đơn giản như một gateway
giả mạo, mà sẽ hoạt động như máy chủ web mong muốn đối với nạn nhân. Nếu tất cả điều
này được thực hiện, sau đó kẻ tấn cơng sẽ xử lý một phiên mã hóa với máy chủ thực, và một
phiên riêng rẽ với nạn nhân. Vì thế thơng điệp bất kỳ được gửi hoặc được nhận sẽ kết dừng
lại ở văn bản gốc của kẻ tấn công.

e. Đánh cắp phiên TCP (TCP Session Hijacking)
TCP Session Hijacking là quá trình chiếm lấy một phiên TCP đang hoạt động, nhằm
mục đích vượt qua q trình chứng thực để truy cập bất hợp lệ vào thông tin hoặc dịch vụ của
một hệ thống máy tính. Quá trình chứng thực chỉ xuất hiện khi bắt đầu một phiên TCP, kẻ tấn
cơng có thể giành quyền truy cập vào máy tính.

1.2.5. Xâm nhập thơng qua lớp cao
Kẻ tấn cơng có thể xâm nhập thơng qua các ứng dụng ở lớp cao hơn. Tuy nhiên, nội

1.3.

Tóm tắt chương

IT

dung này vượt quá phạm vi của bài luận văn này.
Chương 1 đã trình bày khái niệm xâm nhập mạng, các kỹ thuật tấn công xâm nhập
mạng. Như đã nêu ở trên, các kỹ thuật xâm nhập mạng có thể được thực hiện thông qua lỗ
hổng bảo mật tại các lớp từ vật lý đến lớp cao. Dựa vào đó, có thể đưa ra các biện pháp rà


PT

quét lỗ hổng bảo mật, phát hiện tấn công và đưa ra các biện pháp ngăn chặn, phòng chống
xâm nhập trái phép.

Vấn đề đặt ra là làm thế nào để phát hiện ra xâm nhập mạng trái phép để từ đó đề ra
được các biện pháp phòng chống, ngăn chặn hiệu quả? Trong chương tiếp theo, luận văn sẽ
đi sâu vào phân tích kỹ thuật phát hiện xâm nhập mạng máy tính, tập trung chủ yếu vào việc
bắt các dấu hiệu tấn công hoặc dấu hiệu bất thường để phát hiện tấn công xâm nhập.

Chương 2. PHƯƠNG PHÁP VÀ HỆ THỐNG PHÁT HIỆN XÂM
NHẬP MẠNG MÁY TÍNH
2.1.

Phương pháp phát hiện xâm nhập mạng máy tính

2.1.1. Khái niệm “Phát hiện xâm nhập”
Phát hiện xâm nhập là tập hợp các kỹ thuật và phương pháp được sử dụng trong quá
trình theo dõi các sự kiện bất thường đáng nghi ngờ xảy ra trên một hệ thống máy tính hoặc
mạng, từ đó phân tích tìm ra các dấu hiệu sự cố có thể xảy ra, đó là các vi phạm hoặc các mối


6
đe dọa sắp xảy ra xâm phạm chính sách bảo mật máy tính.
Xâm nhập trái phép được hiểu là sự cố gắng tìm mọi cách để xâm hại đến tính tồn
vẹn, tính sẵn sàng, tính tin cậy hay là sự cố gắng vượt qua các cơ chế bảo mật của hệ thống
máy tính hay mạng đó. Kẻ xâm nhập trái phép có thể là kẻ đột nhập từ bên ngồi hệ thống
máy tính, hệ thống mạng hoặc cũng có thể là một người dùng hợp pháp trong hệ thống máy
tính, hệ thống mạng đó.


2.1.2. Hiện tượng và các dấu hiệu nhận biết khi máy tính bị xâm nhập
Có nhiều cuộc tấn công hoạt động trong chế độ nền, âm thầm, không để lại bất kỳ dấu
vết đặc biệt nào hoặc khơng gây hậu quả trên chính máy người dùng, ví dụ các chương trình
đánh cắp thơng tin người dùng, thì rất khó nhận biết nếu khơng có các cơng cụ đặc biệt hỗ
trợ. Tuy nhiên cũng có một số kiểu thâm nhập, tấn công gây ra những hậu quả, hiện tượng có
thể nhận biết được.

2.2.

Hệ thống phát hiện xâm nhập trái phép mạng máy tính.

IT

2.2.1. Giới thiệu về hệ thống phát hiện xâm nhập

Một hệ thống phát hiện xâm nhập (IDS-Intrusion Detection System) là một thiết bị
phần cứng hoặc phần mềm theo dõi hệ thống mạng, có chức năng giám sát lưu thông mạng,
tự động theo dõi các sự kiện xảy ra trên một hệ thống mạng máy tính, phân tích để phát hiện

PT

ra các vấn đề liên quan đến an ninh, bảo mật và đưa ra cảnh báo. Một số hệ thống phát hiện
xâm nhập cịn có thể ngăn chặn các nỗ lực xâm nhập nhưng điều này là không bắt buộc đối
với một hệ thống giám sát. Khác với tường lửa, IDS không thực hiện các thao tác ngăn chặn
truy xuất mà chỉ theo dõi các hoạt động trên mạng để tìm ra các dấu hiệu của tấn công và cảnh
báo.

2.2.2. Phân loại IDS
a. NIDS – Hệ thống IDS dựa trên mạng


Phần lớn các IDS thương mại là ở dạng Network-based. NIDS (Network-based IDS)
thường bao gồm một tập hợp các cảm biến được đặt tại các điểm khác nhau trong mạng.

b. IDS dựa trên máy chủ
HIDS sử dụng các chương trình phần mềm cài đặt trên một máy chủ. HIDS hoạt động
thu thập thông tin từ bên trong một hệ thống máy tính cá nhân như quan sát tất cả các hoạt
động hệ thống, các file log và những lưu lượng mạng thu thập được.

c. IDS dựa trên ứng dụng
AIDS là một bộ phận đặc biệt về IDS dựa trên máy chủ để phân tích các sự kiện xảy
ra trong một ứng dụng phần mềm.

d. IDS dựa trên dấu hiệu


7
Signature-based IDS là hệ sử dụng định nghĩa trừu tượng để mô tả về tấn công gọi là
dấu hiệu. Dấu hiệu bao gồm một nhóm các thơng tin cần thiết để mô tả kiểu tấn công.

e. IDS dựa trên thống kê sự bất thường
Statistical-Anomaly-based-IDS hay behavior-based-IDS tự động phát hiện sai lệch của
các mẫu được học từ hành vi bình thường của người dùng và kích hoạt báo động khi hoạt
động xâm nhập xảy ra. Các hệ IDS dựa trên hành vi học bình thường hoặc dự kiến hành vi
của hệ thống hay người dùng và dự kiến một xâm nhập có thể được phát hiện bởi việc quan
sát độ lệch từ tiêu chí này.

2.2.3. Kiến trúc và thành phần của IDS.
 Bộ phận thu thập phân tích gói tin:
Bộ phận này có nhiệm vụ lấy tất cả các gói tin đi đến mạng.
 Bộ phận phát hiện gói tin:

Trong bộ phận phát hiện gói tin có một thành phần quan trọng đó là bộ cảm biến. Vai
trị của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu khơng tương thích đạt được từ

IT

các sự kiên liên quan đến hệ thống bảo vệ, vì vậy có thể phát hiện được các hành động nghi
ngờ.
 Bộ phận xử lý (phản ứng):
Khi có dấu hiệu của sự tấn công hoặc thâm nhập, thành phần phát hiện tấn cơng sẽ gửi

PT

tín hiệu báo hiệu đến thành phần phản ứng. Lúc đó thành phần phản ứng sẽ kích hoạt tường
lửa thực hiện chức năng ngăn chặn cuộc tấn công hay cảnh báo tới người quản trị.

2.2.4. Cơ chế hoạt động của IDS.

 Phát hiện dựa trên sự bất thường: công cụ này thiết lập một hiện trạng các hoạt động
bình thường và sau đó duy trì một hiện trạng hiện hành cho một hệ thống. Khi hai yếu
tố này xuất hiện sự khác biệt, nghĩa là đã có sự xâm nhập.
 Phát hiện thông qua giao thức (Protocol):Tương tự như việc phát hiện dựa trên dấu
hiệu, nhưng nó thực hiện một sự phân tích theo chiều sâu của các giao thức được xác
định cụ thể trong gói tin.
 Phát hiện nhờ quá trình tự học: Kỹ thuật này bao gồm hai bước. Khi bắt đầu thiết lập,
hệ thống phát hiện tấn công sẽ chạy ở chế độ tự học và tạo ra một hồ sơ về cách cư xử
của mạng với các hoạt động bình thường. Sau thời gian khởi tạo, hệ thống sẽ chạy ở
chế độ làm việc, tiến hành theo dõi, phát hiện các hoạt động bất thường của mạng bằng
cách so sánh với hồ sơ đã thiết lập.



8
2.3.

Tóm tắt chương
Nội dung chương 2 trình bày khái niệm về “phát hiện xâm nhập” trái phép mạng máy

tính, nêu các hiện tượng và các dấu hiệu nhận biết khi máy tính bị xâm nhập và giới thiệu hệ
thống phát hiện xâm nhập trái phép mạng máy tính (IDS).
Như đã trình bày, hệ thống IDS có chức năng tự động theo dõi các sự kiện xảy ra trên
một hệ thống mạng máy tính, phân tích để phát hiện ra các vấn đề liên quan đến an ninh,
bảo mật và đưa ra cảnh báo.

Chương 3. PHÒNG CHỐNG VÀ NGĂN CHẶN XÂM NHẬP MẠNG
MÁY TÍNH
3.1.

Một số biện pháp kỹ thuật phịng chống xâm nhập điển hình

3.1.1. Tường lửa (Firewall)

IT

Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái
phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn từ
bên ngoài vào mạng cũng như những kết nối không hợp lệ từ bên trong ra tới một số địa chỉ
nhất định trên Internet. Firewall thực hiện việc lọc bỏ những địa chỉ không hợp lệ dựa theo

PT

các quy tắc hay chỉ tiêu định trước. Cũng có thể hiểu Firewall là một cơ chế để bảo vệ mạng

tin tưởng khỏi các mạng không tin tưởng. Thông thường Firewall được đặt giữa mạng bên
trong (Intranet) của một công ty, tổ chức, nghành hay một quốc gia, và Internet.
Firewall có thể là hệ thống phần cứng, phần mềm hoặc kết hợp cả hai.

a. Chức năng của Firewall

Firewall dùng để kiểm sốt và thiết lập cơ chế điều khiển luồng thơng tin giữa nội bộ
mạng và bên ngoài.

 Cho phép hoặc cấm các dịch vụ truy nhập ra ngoài mạng.
 Cho phép hoặc cấm các dịch vụ truy nhập từ mạng ngoài và trong mạng.
 Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.
 Kiểm soát địa chỉ truy nhập, cấm hoặc cho phép địa chỉ truy nhập.
 Kiểm soát người dùng và việc truy nhập của người dùng.
 Kiểm sốt nội dung thơng tin lưu chuyển trên mạng.

b. Thành phần của Firewall
Firewall có thể có các thành phần sau:
 Bộ lọc gói tin (Packet filtering router):
 Cổng lọc ứng dụng (Application level gateway hay proxy server):
 Cổng mạch (Circuit level gateway):


9
 Kiểm sốt nội dung gói tin tại nhiều lớp (Stateful Muliplayer Inspection):

c. Nguyên lý hoạt động của Firewall
Firewall hoạt động với giao thức TCP/IP. Vì giao thức này làm việc theo thuật toán
chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng (các dịch vụ chạy trên các giao
thức telnet, SNMP, DNS, SNTP, NFS…) thành các gói dữ liệu rồi gán cho các gói này những

địa chỉ có thể nhận dạng, tái lập lại ở đích cần đến, các địa chỉ được lưu trong phần đầu của
gói tin (Header) và Firewall sẽ dựa và Header của gói tin để lọc.
Bộ lọc gói tin có khả năng cho phép hay từ chối mỗi gói tin mà nó nhận được. Nó kiểm
tra tồn bộ dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong các luật lệ của
lọc gói tin hay khơng. Nếu thỏa mãn, gói tin đó được chuyển qua, ngược lại, gói tin sẽ bị hủy.
Việc kiểm sốt các cổng sẽ cho phép Firewall kiểm soát một số loại kết nối nhất định mới
được vào mạng cục bộ.
Do việc kiểm tra dựa trên Header của các gói tin nên bộ lọc khơng kiểm sốt được nội
động với ý đồ xấu của Hacker.

IT

dung thơng tin của gói tin đó. Vì vậy các gói tin chuyển qua vẫn có thể mang theo những hành

d. Các chế độ hoạt động của Firewall
 Chế độ Route/NAT:

PT

 Chế độ trong suốt (Transparent):

e. Các dạng của Firewall

 Mơ hình firewall ở mức mạng:

 Firewall hoạt động dựa trên cổng lớp ứng dụng:

3.1.2. Hệ thống Proxy Server.
a. Khái niệm Proxy Server


Một Proxy Server là một máy chủ (một máy tính hoặc một chương trình ứng dụng)
đóng vai trị trung gian cho các yêu cầu giữa người dùng tìm kiếm tài nguyên với hệ thống
máy chủ dịch vụ hoặc kết nối truy nhập/ truy xuất mạng và Internet. Khi các máy khách áp
dụng Proxy Server, nếu muốn truy nhập Internet hoặc các dịch vụ mạng từ máy chủ ứng dụng
khác, nó phải thơng qua Proxy Server.

b. Chức năng của Proxy Server
Chức năng quan trọng của Proxy server là tường lửa (firewall) và lọc ứng dụng
(filtering).
Đối với hệ thống mạng lớn, Proxy server đóng vai trị quản lý mọi truy nhập vào ra
trong mạng, cho phép hoặc không một yêu cầu hay đáp ứng từ nội bộ trong mạng ra ngoài
hoặc ngược lại. Proxy Server làm cho việc sử dụng băng thơng có hiệu quả do chúng có thể
quản lý được các hoạt động của người dùng. Nên có thể giới hạn thông tin nào được dùng và


10
không được dùng tránh việc nghẽn bằng thông.
Một chức năng khác của hệ thống Proxy Server là Caching, lưu trữ tạm thời nội dung
các trang web có thể cải thiện chất lượng dịch vụ của một mạng theo 3 cách. Thứ nhất, nó có
thể bảo tồn băng thơng mạng, tăng khả năng mở rộng. Tiếp đến, có thể cải thiện khả năng đáp
trả cho các máy khách. Ví dụ, với một HTTP proxy cache, Web page có thể load nhanh hơn
trong trình duyệt web.

3.1.3. Tạo đường hầm (Tunneling)
Kỹ thuật tạo đường hầm (tunneling) là cách dùng hệ thống mạng trung gian (thường
là Internet hoặc Extranet) để kết nối logic điểm – điểm, từ máy tính này đến máy tính qua hệ
thống mạng. Kỹ thuật này cho phép mã hóa và tiếp nhận đối với tồn bộ gói tin IP. Các cổng
bảo mật sử dụng kỹ thuật này để cung cấp các dịch vụ bảo mật thay cho các thực thể khác
trên mạng. Phương thức này đã được áp dụng trong mạng riêng ảo VPN. Dữ liệu được chia
nhỏ thành các khung hoặc các gói theo giao thức truyền thơng sẽ được bọc thêm một lớp


IT

header chứa thông tin định tuyến giúp các gói tin có thể truyền qua các hệ thống mạng trung
gian theo những tuyến đường truyền ngầm riêng (tunnel – đường hầm). Khi đã đến đích, các
khung hoặc gói tin sẽ được tách bỏ lớp header và chuyển đến các máy trạm đích cuối cùng.
Việc thiết lập đường hầm đòi hỏi máy trạm và máy chủ phải sử dụng cùng một giao thức

PT

(tunnel protocol).

3.1.4. Thiết bị kiểm soát nội dung SCM (Secure Content Management)
a. Khái niệm và tầm quan trọng của thiết bị kiểm soát nội dung
Secure Content Management (SCM) là một thiết bị mạng chuyên dụng được đặt sau
tường lửa và trên một vùng mạng để bảo vệ cho tồn bộ hệ thộng phía sau.
Thiết bị SCM phân tích sâu vào nội dung của dữ liệu, ví dụ tệp tin đính kèm, email
hay những tệp dữ liệu được tải về qua các giao thức HTTP, FTP,… để tìm Virus/Spam,
Spyware, Keyloggerm Phishing,…Khi phát hiện được phần tử phá hoại như trên, thiết bị sẽ
phản ứng bằng cách ngăn chặn (block), loại bỏ và cảnh báo cho người quản trị mạng. Thiết
bị SCM thường được sử dụng chuyên biệt cho việc kiểm sốt các dịng dữ liệu quan trọng
như SMTP, POP3, HTTP, FTP…

b. Cơ chế hoạt động của bộ quản lý nội dung SCM
SCM kiểm soát truy nhập tới các website dựa trên tiêu chí đã xác định trước.


Ngăn chăn website hay giám sát nội dung:
Giải pháp quản lý bảo mật nội dung sử dụng một trong hai phương pháp cơ bản: Ngăn


chặn trang web (Site blocking) hoặc Giám sát nội dung (Content Monitoring).
 Site blocking:


11
Phương pháp này quản lý nội dung sử dụng các bộ lọc danh sách URL hoặc dựa trên
nội dung URL, để xác định và ngăn chặn nội dung website. Một số giải pháp dựa trên danh
sách trắng chỉ cho phép truy nhập tới các website có trong danh sách đó. Giải pháp sử dụng
danh sách đen chỉ cho phép truy nhập vào tất cả các website, ngoại trừ các website có trong
danh sách đen.
Hạn chế của phương pháp Site Blocking là nó chỉ tập trung vào truy nhập dựa trên
HTTP, mà khơng chặn được tin nhắn tức thời, tệp đính kèm email, các ứng dụng ngang hàng
và các ứng dụng khác có chứa các mối đe dọa an ninh.
 Content Monitoring:
Cấp độ cơ bản nhất của Content Monitoring sử dụng phương pháp ngăn chặn bằng từ
khóa (keyword-blocking). Thay vì ngăn chặn URL, nó so sánh các từ khóa dữ liệu vào một
thư viện mà người dùng đã định nghĩa một từ hoặc cụm từ. Khi một trong các từ hoặc cụm từ
bị chặn được phát hiện phù hợp, thì giải pháp lọc hoặc chặn dữ liệu, hoặc trong một số trường

IT

hợp là đóng ứng dụng được thực thi. Có vấn đề với phương pháp này là vơ tình ngăn chặn
các website hợp pháp dựa trên thực tế là chúng có chứa các từ khóa phù hợp với từ bị chặn.


Giải pháp kiến trúc:

 Giải pháp máy trạm (Client solutions): giải pháp phần mềm máy trạm bao gồm một

PT


giao diện quản lý và một cơ sở dữ liệu của các website bị chặn;
 Giải pháp độc lập (Sandalone solutions): giải pháp này bao gồm các máy chủ cơ sở dữ
liệu chuyên dụng để xác định các chính sách và một gateway riêng biệt hoặc firewall
để thi hành các chính sách quản lý nội dung.
 Giải pháp tích hợp: giải pháp tích hợp tăng cường quản lý và xử lý trong một gateway
duy nhất hoặc tường lửa. Tuy nhiên, khi gateway hoặc firewall cũng được sử dụng cho
các dịch vụ như chống virus và phịng chống xâm nhập, hiệu suất có thể bị ảnh hưởng.

c. Đánh giá các giải pháp:
Tùy thuộc vào mức độ bảo vệ, thực hiện và quản lý yêu cầu, khách hàng ở cố định nên
lựa chọn giữa giải pháp độc lập và giải pháp tích hợp. Cả hai lựa chọn có thể kết hợp quản lý
nội dung Internet với các kỹ thuật bảo vệ động để quản lý truy nhập và bảo đảm mạng chống
lại một loạt các đe dọa từ virus, phần mềm gián điệp (spyware), sâu máy tính (worm), tin
nhắn tức thời và các ứng dụng ngang hàng.
 SCM và tường lửa:
Lọc nội dung được tích hợp trên một tường lửa là một giải pháp quản lý nội dung hiệu
quả và lý tưởng cho các tổ chức có mạng cỡ vừa và nhỏ. Phương án này tích hợp cơng nghệ
tường lửa hiện có, hoặc được cài đặt đồng thời vào một giải pháp tường lửa mới. Một dịch vụ


12
điển hình sẽ cung cấp một cập nhật liên tục cập, toàn diện cơ sở dữ liệu của hàng triệu trang
web, tên miền và địa chỉ IP.
 Các công cụ độc lập:
Đối với các doanh nghiệp lớn hơn và môi trường doanh nghiệp địi hỏi phải có khả
năng kiểm sốt nội dung tồn diện hơn, một cơng cụ lọc nội dung độc lập tối đa hóa việc bảo
vệ mạng bất kỳ, trước các mối đe dọa phức tạp từ Internet ngày nay. Mặc dù nó địi hịi việc
mua thiết bị phần cứng bổ sung, nhưng việc dễ dàng cài đặt và sử dụng tạo nên sự hấp dẫn
của giải pháp này. Thiết bị có thể được thêm vào mạng hiện tại mà khơng cần phải cấu hình

lại thiết bị phần cứng và phần mềm hiện có.

3.2.

Hệ thống phát hiện và ngăn chặn xâm nhập

3.2.1. Giới thiệu về hệ thống phát hiện và ngăn chặn xâm nhập
Hệ thống phòng chống xâm nhập (IPS – Intrusion Prevention System) hay còn gọi là
Hệ thống phát hiện và phòng chống xâm nhập (IDPS – Intrusion Detection and Prevention

IT

System) là các thiết bị an ninh mạng để theo dõi phát hiện các hoạt động độc hại trong mạng
và hệ thống máy tính, xác định khi một cuộc tấn công bắt đầu và thực hiện các biện pháp đối
phó thích hợp, cố gắng ngăn chặn sự xâm nhập và cảnh báo sự cố. Hơn nữa, IDPS cũng có
thể nhận ra các hoạt động do thám - điều mà có thể là dấu hiệu của một cuộc tấn công sắp

PT

diễn ra, ngăn chặn chúng và báo cáo cho quản trị viên an ninh mạng – người mà sau đó có thể
cho phép kiểm sốt an ninh hoặc chống lại các cuộc tấn cơng. Ví dụ khi mã độc thực hiện
qt cổng để xem có thể tấn cơng được hay khơng.
Ngồi ra IDPS cịn được sử dụng cho các mục đích khác, chẳng hạn như xác định chính
sách bảo mật, ghi lại các mối đe dọa, ngăn chặn riêng rẽ các vi phạm chính sách bảo mật...
IDPS đã trở thành một sự bổ sung cần thiết cho cơ sở hạ tầng an ninh của gần như tất cả các
tổ chức.

3.2.2. Thành phần và kiến trúc của IDPS
a. Các thành phần điển hình
 Bộ cảm biến/tác tử: các bộ cảm biến/tác tử theo dõi và phân tích các hoạt động.

 Máy chủ quản lý: một máy chủ quản lý là một thiết bị tập trung tiếp nhận thông tin từ các
cảm biến hoặc các tác tử và quản lý chúng.
 Máy chủ cơ sở dữ liệu: Một máy chủ cơ sở dữ liệu là một kho lưu trữ thông tin sự kiên
được ghi lại bởi các bộ cảm biến, các tác tử, và/hoặc các máy chủ quản lý.
 Giao diện điều khiển (Console): là một chương trình cung cấp giao diện cho người dùng
IDPS và quản trị viên.

b. Kiến trúc mạng
Các thành phần của IDPS có thể được kết nối với nhau thông qua mạng chuẩn của một


13
tổ chức hoặc thông qua một mạng riêng biệt được thiết kế đúng để quản lý phần mềm an ninh,
được biết đến như một mạng giám sát.

3.2.3. Khả năng bảo mật
a. Khả năng thu thập thông tin
Một số công nghệ IDPS cung cấp các khả năng thu thập thông tin, chẳng hạn như thu
thập thông tin về máy chủ hoặc các mạng từ hoạt động được quan sát.

b. Khả năng đăng nhập
Các trường dữ liệu được sử dụng phổ biến bởi IDPS bao gồm ngày giờ sự kiện, kiểu
sự kiện, tầm quan trọng (ví dụ: mức độ ưu tiên, mức độ nghiêm trọng, tác động, tự tin), và
hành động phòng ngừa được thực hiện (nếu có).

c. Khả năng phát hiện
Các công nghệ IDPS thường kết hợp kỹ thuật phát hiện, hỗ trợ phát hiện chính xác hơn

d. Khả năng ngăn chặn


IT

và linh hoạt. Các kiểu của sự kiện được phát hiện và độ chính xác của phát hiện thay đổi rất
nhiều tùy thuộc vào kiểu công nghệ IDPS.
IDPS thường cho phép xác định cấu hình khả năng ngăn chặn đối với từng loại cảnh
báo. Điều này thường bao gồm việc kích hoạt hoặc vơ hiệu hóa phịng chống, xác định loại
khả năng phòng ngừa nên được sử dụng. Một số cảm biến IDPS có một chế độ học hoặc mơ

PT

phỏng ngăn chặn tất cả các hành động phòng ngừa.

3.2.4. Phân loại IDPS

3.2.4.1. Network – based IDPS (NIDPS)

Một NIDPS giám sát lưu lượng mạng cho các phân đoạn mạng riêng biệt hoặc các thiết
bị và phân tích mạng, chuyển vận, và các giao thức ứng dụng để xác định các hoạt động đáng
ngờ.

3.2.4.2. Network behavior analysis (NBA)
Một hệ thống phân tích các hành vi mạng (NBA) kiểm tra lưu lượng mạng hoặc số liệu
thống kê về lưu lượng để xác định lưu lượng bất thường.

3.2.4.3. Host-based IDPS (HIDPS – IDPS dựa trên máy chủ)
HIDPS giám sát các đặc tính của một máy đơn nhất và các sự kiện hoạt động đáng ngờ
xảy ra bên trong máy đó. Các kiến trúc mạng cho HIDPS thường đơn giản, các tác tử triển
khai cho host hoặc các máy chủ quan trọng, giao tiếp qua mạng thay vì sử dụng mạng quản
lý riêng.
Kỹ thuật phát hiện của HIDPS sử dụng phân tích mã, phân tích lưu lượng mạng, lọc

lưu lượng mạng, giám sát tệp tin hệ thống, phân tích các đăng nhập và theo dõi cấu hình mạng.
Điều này có thể rất hiệu quả trong việc ngăn chặn cả các cuộc tấn công đã được biết hoặc


14
chưa biết trước đây.
HIDPS có một số hạn chế. Một số kỹ thuật phát hiện thực hiện định kỳ theo giờ hoặc
một vài lần một ngày, để xác định những sự kiện đã xảy ra, gây ra sự chậm trễ đáng kể trong
xác định các sự kiện và ảnh hưởng đến hiệu suất máy.

3.3.

Tóm tắt chương
Tồn bộ nội dung chương 3 tập trung chủ yếu vào vấn đề phòng chống và ngăn

chặn xâm nhập trái phép mạng máy tính, trong đó có nêu một số biện pháp kỹ thuật
phịng chống xâm nhập điển hình và đặc biệt giới thiệu hệ thống phát hiện và ngăn
chặn xâm nhập (Tiếng Anh: Intrusion Detection and Prevention System). Đây là một
thiết bị an ninh mạng có chức năng theo dõi phát hiện các hoạt động độc hại xảy ra
trong hệ thống mạng máy tính, đưa ra cảnh báo phịng chống hoặc có thể xác định khi
nào một cuộc tấn công bắt đầu và thực hiện các biện pháp đối phó thích hợp, ngăn chặn

IT

tấn cơng.

Chương 4. MƠ PHỎNG THỬ NGHIỆM TẤN CƠNG XÂM NHẬP
MẠNG

PT


4.1. Môi trường thử nghiệm

4.1.1. Giới thiệu công cụ mô phỏng NeSSi2.

NeSSi2 là một công cụ mô phỏng mạng do TU Berlin (CHLB Đức) mới phát triển.
NeSSi2 cho phép mô phỏng thế hệ tấn công tự động dựa trên profile, phân tích lưu lượng và
hỗ trợ cho các thuật tốn phát hiện sử dụng cho nghiên cứu an ninh và các mục đích đánh giá.
NeSSi2 đã được thử nghiệm thành cơng cho các thuật toán phát hiện xâm nhập, tiến hành phân
tích an ninh mạng.
NeSSi2 cung cấp hỗ trợ rộng rãi các kịch bản ứng dụng phức tạp trên đỉnh một mô
phỏng tin cậy của ngăn xếp giao thức TCP/IP. Mạng mơ phỏng được mơ hình hóa để phản
ánh cấu trúc liên kết mạng trong thế giới thực bởi sự hỗ trợ mơ hình hóa lớp mạng con và các
loại nút khác nhau với các khả năng sử dụng khác. NeSSi2 tuân thủ một mẫu thiết kế kiểu môđun. Các kịch bản tấn công phổ biến đặc biệt được hỗ trợ và có thể được mơ phỏng, các kịch
bản sâu lây lan và các cuộc tấn công DDoS dựa trên botnet là hai trong số các kịch bản ví dụ
được hỗ trợ bởi NeSSi2. Ngoài ra, các profile tùy chỉnh thể hiện các hành vi nút có thể được
áp dụng trong mô phỏng.

4.1.2. Các thành phần của NeSSi2
a. Giao diện người dùng đồ họa (Graphical User Interface):


15
Giao diện người dùng đồ họa của NeSSi2 là thành phần cho phép người dùng tạo và
thay đổi tất cả các thành phần cần thiết cho một mô phỏng. Kết quả của các mơ phỏng hồn
thành có thể được hình dung ở đây.
Các thành phần mô phỏng trong giao diện người dùng:
 Lập dự án mô phỏng (NeSSi2 project):
Một NeSSi2 Project bao gồm một tệp tin mạng duy nhất trong một thư mục gốc, nơi
mà các thông tin về topo đang được lưu trữ vào. Cấu trúc liên kết mạng mơ tả các thơng tin

tĩnh được chứa trong mạng (ví dụ, các nút, thuộc tính của chúng và kết nối với nhau...). Các
mạng dựa trên nền IP, thêm các thông tin, như băng thông cho các liên kết hoặc MTU cho
các giao diện mạng, được lưu trữ.
 Hồ sơ (Profile):
Profile được sử dụng cho các ứng dụng được triển khai trên các nút trong mạng. Đây
là bước đầu tiên của việc tạo ra thông tin hành vi động cho một mô phỏng. Khi tạo profile,
trong thời gian chạy mô phỏng.
 Kịch bản mô phỏng (Scenarios):

IT

người dùng cần thêm các ứng dụng cho nó. Ứng dụng tạo thành hành vi thực tế của một nút

Để triển khai profile vào các nút trong một mạng, người dùng cần phải tạo ra một kịch

PT

bản, bước thứ hai là tạo ra các thông tin hành vi động cho một mô phỏng. Một kịch bản về cơ
bản là một bản đồ của các nút trong cấu trúc liên kết mạng và các profile đã được triển khai
vào các nút này.

 Phiên mô phỏng (Sessions):

Để mô phỏng một kịch bản, một phiên làm việc đã được tạo ra, phiên chứa tất cả các
thành phần tạo ra trước đó cùng với thơng tin bổ sung cho các kịch bản sẽ được mô phỏng.
 Mẫu dữ liệu (Templates):

Khi tạo các topology mạng, NeSSi2 cung cấp một loạt các nút có thể được đặt vào
mạng. Ý tưởng của Templates là người dùng có thể tạo ra các mẫu bổ sung.


b. Phần mềm nền của mô phỏng (Simulation Backend)
Sau khi một phiên được gửi để thi hành, phần mềm nền phân tích các thơng số phiên
(sự kiện đăng nhập, bao nhiêu tiến trình chạy được thực thi, v.v…), tạo ra một môi trường mô
phỏng tương ứng, thiết lập các kết nối cơ sở dữ liệu và lập biểu mô phỏng để chạy càng sớm
càng tốt các nguồn lực xử lý cần thiết có sẵn.

c. Các tính năng của NeSSi2
 Tạo lưu lượng mô phỏng (Traffic Generation)
Lưu lượng mạng dưới dạng các gói IP, với phần tiêu đề và thân, có thể được tạo ra bởi


16
cách thức khác nhau. Thực thi ngăn xếp giao thức TCP/IP, các tính năng một mơ-đun lớp ứng
dụng NeSSi2 dựa trên tiêu chuẩn triển khai Java socket. NeSSi2 kết hợp một số giao thức
mức ứng dụng (HTTP, SMTP, v.v…) và hỗ trợ các giao thức định tuyến tĩnh hoặc động mà
có thể được lựa chọn bởi người dùng.
 Ngăn xếp giao thức và Socket-based API
Đối với quản lý lỗi, TTL và checksum tiêu đề được hỗ trợ và giao thức ICMP được
thực thì để thơng báo lỗi.
 Đặc tính an ninh
NeSSi2 tập trung trong khuôn khổ an ninh mạng và đánh giá thuật tốn. NeSSi2 tập
trung mơ phỏng các lưu lượng mạng qua các profile nút, một mơ hình thực hiện song song,
mô phỏng các sự kiện rời rạc và trực quan.
d. Đánh giá mô phỏng
NeSSi2 cho phép mô phỏng các tình huống bảo mật khác nhau. Các thành phần đánh

IT

giá chính trong NeSSi2 xem các thống kê để hình dung các sự kiện mô phỏng đã được ghi lại.
Các biểu đồ này linh hoạt và có thể cấu hình theo nhiều cách. Hàng loạt các sự kiện được ghi

lại có thể được hển thị như biểu đồ vùng, thanh hoặc dịng, hơn nữa có thể xếp chồng hoặc/và
cộng dồn. Mặt khác, cơ chế phát lại cho các mô phỏng đã được ghi, cho phép người dùng

PT

xem lại toàn bộ các mô phỏng, theo các sự kiện xảy ra.

4.1.3. Cài đặt phần mềm mô phỏng NeSSi2
a. Yêu cầu chung cho việc cài đặt NeSSi 2:
b. Tải và cài đặt NeSSi2
c. Cấu hình NeSSi2
d. Khởi động NeSSi2
4.1.4. Cài đặt giao diện người dùng NeSSi2
Giao diện người dùng NeSSi2 là cần thiết để tạo topo mạng, hồ sơ, kịch bản,
phiên và quản và giám sát mô phỏng đang chạy.
a. Tải và cài đặt
b. Cấu hình
c. Khởi động giao diện người dùng NeSSi 2
4.1.5. Cơ sở dữ liệu NeSSi2
NeSSi2 dùng một cơ sở dữ liệu để ghi lại một cấu trúc liên kết (topology) mạng, các
kịch bản và thông tin phiên cho hoạt động mơ phỏng. Trong thời gian một mơ phỏng chạy,
nó ghi các sự kiện mô phỏng được lựa chọn vào cơ sở dữ liệu.
 Tải về và cài đặt

4.2. Mô phỏng vấn đề phát hiện và phòng chống xâm nhập mạng máy tính trên
phần mềm NeSSi2


17
4.2.1. Xây dựng mơ hình mạng mơ phỏng, kiến trúc và thành phần


Hình 4 – 3: Sơ đồ mạng mơ phỏng.

Dựa trên mơ hình mạng thực tế tại Đài Dịch vụ khách hàng – VDC1, tác giả xây dựng
như sau:

IT

mô hình mạng mơ phỏng trên phần mềm NeSSi2 với kiến trúc mạng và các thành phần cụ thể

4.2.2. Quy trình thực hiện các bước mô phỏng với phần mềm NeSSi 2
Quy trình tạo và chạy mơ phỏng trên phần mềm NeSSi2 được mô tả qua sơ đồ và các

PT

bước cụ thể như sau:
Khởi đầu

Khởi tạo
kịch bản

Khởi tạo một
dự án NeSSi2

Khởi tạo
phiên

Khởi tạo
mạng
Chạy mơ

phỏng

Khởi tạo
profile

Kết thúc

Hình 4 – 4: Sơ đồ quy trình tạo và chạy mơ phỏng với NeSSi 2

4.2.3. Thiết lập mơ hình mơ phỏng cụ thể với phần mềm NeSSi2
a. Khởi động phần mềm mô phỏng
Khởi động phần mềm NeSSi2 đã được cài đặt trên máy thử nghiệm.

b. Thiết lập dự án mạng mô phỏng (Project)
Khởi tạo một dự án NeSSi2, chứa tồn bộ các thơng tin về cấu trúc liên kết, hồ sơ, kịch
bản, phiên… Tiếp đó, khởi tạo một subnet → thêm vào các thành phần như kiến trúc mạng
dự kiến mô phỏng.
Dưới đây là quy trình thiết lập một mạng cần mơ phỏng trong phần mềm NeSSi2.


18

Hình 4 – 5: Sơ đồ quy trình thiết lập một dự án trong NeSSi2

IT

Thiết lập các thành phần của mạng mô phỏng cụ thể gồm:
− Access Router: bộ định tuyến và tập trung kết nối trong các mạng LAN.
− Internet PE Router: bộ định tuyến biên của nhà cung cấp dịch vụ Internet, kết nối ra
Internet.

− Insite Client 1 và 2: máy trạm trong nội mạng.
− Remote Client: máy trạm truy nhập từ xa qua mạng Internet.

PT

− E-mail Sever: máy chủ dịch vụ email.
− Web Server: máy chủ dịch vụ web.
− Database Server: máy chủ cơ sở dữ liệu.

− Application server: máy chủ chạy các ứng dụng dịch vụ khác.
− Insite Attacker 1 và 2: kẻ tấn công từ bên trong mạng LAN.
− Outsite Attacker: kẻ tấn công từ bên ngồi mạng LAN, thơng qua kết nối Internet.
− Firewall: tường lửa.
− Internet: mạng Internet.

c. Thiết lập hồ sơ (Profile)
Dưới đây là quy trình thiết lập một hồ sơ (profile) cho mạng cần mô phỏng.


19
Hình 4 – 6: Sơ đồ thiết lập một hồ sơ trong NeSSi2

Hồ sơ (Profile) phục vụ cho mô phỏng cụ thể gồm:
− Thiết lập profile ứng dụng Echo client có tên “Echo client” cho các máy trạm.
+ Mục “Application on profile”: ấn định thuộc tính “Echo client” với các tham số:
 Echo Server port: 7
 Echo client: 8
− Thiết lập profile ứng dụng Echo Server có tên “Echo Server” cho các máy chủ.
+ Mục “Application on profile”: ấn định thuộc tính “Echo Server” với các tham số:
 Server port: 7

− Thiết lập một profile của ứng dụng Web service có tên “Web Normal” cho các máy
trạm hoạt động ở trạng thái bình thường (gồm Remote_client và Insite_client) với các
thuộc tính:
+

Mục “Application on profile”: gồm các thuộc tính “Web-services client”.
giá trị “Web Client”

IT

 Web-services client: trong mục “Configuration for Web-Services Client” đặt
− Thiết lập một profile ứng dụng Web Service có tên “Web server” cho Máy chủ dịch vụ
Web (Web Server).

Mục “Application on profile”: gồm các thuộc tính “Web-Services Server”.

PT

+

− Thiết lập một profile ứng dụng Web Service có tên “Web Spam” cho các máy tấn công
(gồm Ousite_Attacker và Insite Attacker).
+

Mục “Application on profile”: chọn giá trị Web-services client
 Web-services client: trong “Configuration for Web-Services Client” chọn
“Spam Attacker”

− Thiết lập một profile ứng dụng Firewall có tên “Firewall” chỉ dành cho việc ngăn chặn
tấn công web:

+

Mục “Application on profile”: gồm các thuộc tính “Firewall Application”.
 Firewall Application: trong mục “Configuration for Firewall Applcation” chọn
giá trị “Filter port” = [80], và tích chọn đầy đủ các mục “Process Incoming
Packets” và “Packets should be handled inline” và “Process Outgoing Packets”

d. Thiết lập kịch bản (scenario)
Dưới đây là quy trình thiết lập một kịch bản cho mạng cần mô phỏng.


20

Hình 4 – 7: Sơ đồ thiết lập một kịch bản trong NeSSi2

Các kịch bản cụ thể cho mạng cần mô phỏng gồm:
 Kịch bản 1: Khi mạng hoạt động ở trạng thái bình thường, firewall chưa được kích hoạt.

IT

Bước 1. Thiết lập profile “Web Normal” và “Echo Client” cho 3 máy trạm :
Insite_Client1, Insite_Client2, Remote_Client.
Bước 2. Thiết lập profile “Web Server” và “Echo Server” cho máy chủ Web Server.
Bước 3. Các máy tấn công và các Server khác ở trạng thái khơng được kích hoạt.



PT

Bước 4. Chạy chương trình.

Bước 5. Quan sát và ghi lại kết quả.

Bước 6. Phân tích và đánh giá.
Kịch bản 2: Khi mạng hoạt động ở trạng thái các máy trạm bị tấn công spam web,
firewall chưa được kích hoạt.
Bước 1. Thiết lập thêm các profile “Web Spam” và “Echo Client” cho 3 máy tấn công
“Outsite_Attacker” và “Insite_Attacker 1” và “Insite_Attacker 2”.
Bước 2. Thiết lập profile “Web Server” và “Echo Server” cho máy chủ Web Server.
Bước 3. Các máy trạm Insite_Client1, Insite_Client2, Remote_Client đặt ở trạng
thái khơng được kích hoạt.
Bước 4. Chạy chương trình.
Bước 5. Quan sát và ghi lại kết quả.



Bước 6. Phân tích và đánh giá.
Kịch bản 3: Khi mạng hoạt động ở trạng thái các máy trạm bị tấn công spam web,
firewall đã được kích hoạt.
Bước 1. Giữ nguyên các thiết lập mạng đã được cấu hình ở kịch bản 2.
Bước 2. Thiết lập thêm profile “Firewall” cho thiết bị Firewall.
Bước 3. Chạy chương trình.


21
Bước 4. Quan sát và ghi lại kết quả.
Bước 5. Phân tích và đánh giá.

e. Thiết lập phiên (Session)

IT


Dưới đây là quy trình thiết lập một kịch bản cho mạng cần mơ phỏng.

Hình 4 – 8: Sơ đồ thiết lập một phiên trong NeSSi2

Các phiên cụ thể cho mạng cần mơ phỏng gồm:
− Phiên thứ nhất có tên “Trang thai binh thuong (Firewall chua duoc kich hoat)” để chạy

PT

mô phỏng kịch bản 1 với giá trị “Number of ticks” trong mục “Configuration for Fix
Run Length” bằng 20000.
− Phiên thứ hai có tên “Trang thai bi tan cong (Firewall chua duoc kich hoat)” để chạy mô
phỏng kịch bản 2 với giá trị “Number of ticks” trong mục “Configuration for Fix Run
Length” bằng 20000.
− Phiên thứ ba có tên “Trang thai bi tan cong (Firewall da duoc kich hoat)” để chạy mô
phỏng kịch bản 3 với giá trị “Number of ticks” trong mục “Configuration for Fix Run
Length” bằng 20000.

f. Thực hiện chạy mơ phỏng

Hình 4 – 9: Sơ đồ chạy mơ phỏng trong NeSSi2

 Kịch bản 1: Khi mạng ở trạng thái bình thường, Firewall chưa kích hoạt
Lưu lượng mạng trên kết nối tới Web Server:


22

Hình 4 – 12: Lưu lượng mạng trên kết nối tới Web Server.


− HTTP Packets sent: ≈ 28000; Packets sent: 26000; IPv4 Packets sent: ≈ 12000.

IT

Giải thích sơ đồ:
− Trục hoành (Tick): là đại lượng thể hiện thời gian một mô phỏng được thực hiện trong
NeSSi2.
− Trục tung (Amount): là mức độ lưu lượng đo được trong quá trình thực hiện mơ phỏng.
− HTTP packets sent: số lượng gói tin của ứng dụng Web Services.
− IPv4 packets sent: các loại gói tin khác.

PT

− Packets Sent: các gói Echo.

Kịch bản 2: Trạng thái mạng bị tấn cơng, Firewall chưa được kích hoạt.
Lưu lượng mạng trên kết nối tới Web Server:

Hình 4 – 15: Lưu lượng mạng trên kết nối tới Web Server khi bị tấn công.

− HTTP Packets sent: > 60000; Packets sent: 45000; IPv4 Packets sent: 30000.


Kịch bản 3: Khi mạng bị tấn cơng, Firewall đã được kích hoạt.


23
Lưu lượng mạng trên kết nối tới Web Server:


Hình 4 – 18: Lưu lượng mạng Firewall-Web Server khi Firewall được kích hoạt.

− Packets sent: 24000.

4.3. Phân tích đánh giá

IT

− IPv4 Packets sent: 10000.
 Khi Firewall chưa được kích hoạt:

PT

− So sánh kết quả hình 4 – 10 và hình 4 – 13; hình 4 – 12 và hình 4 – 15 cho thấy, cùng
một khoảng thời gian như nhau, cùng cấu trúc liên kết và số lượng thiết bị mạng như
nhau, nhưng lưu lượng của máy trạm và máy chủ Web Server ở kịch bản 2 tăng đột
biến so với kịch bản 1 (ví dụ lưu lượng HTTP tới Web Server ở kịch bản 1 là xấp xỉ
28000, kịch bản 2 là lớn hơn 60000). Ngoài ra các lưu lượng khác (IPv4 Packets sent,
Packets sent) cũng tăng. Điều đó chứng tỏ môi trường mạng trong kịch bản 2 đã bị tấn
cơng.
 Khi Firewall được kích hoạt:
− Hình 4 – 18: lưu lượng ứng dụng web (HTTP packets) trên kết nối tới Web Server
trong kịch bản 3 bị triệt tiêu. Chứng tỏ lưu lượng spam web từ các máy tấn công đã
được Firewall ngăn chặn thành cơng.
− So sánh hình 4 – 18 và hình 4 – 12 ta thấy lưu lượng IPv4 packets sent và Packets sent
tương đương nhau. Chứng tỏ các lưu lượng này không bị Firewall ngăn chặn. Điều này
đúng với cấu hình profile của Firewall.
 Kết luận: kết quả mô phỏng trên đây đã thể hiện rõ sự khác biệt về tình trạng mạng khi ở
trạng thái bình thường và khi bị tấn cơng, vai trị ngăn chặn tấn công của Firewall. Tuy
nhiên do những hạn chế của phần mềm mô phỏng, kết quả mô phỏng mới chỉ miêu tả ở

giới hạn một số thông số của mạng như một số ít giao thức, số lượng gói tin, lưu lượng
mà chưa thể hiện được các thông số quan trọng khác như tần suất sử dụng CPU, RAM,
độ trễ gói tin, jitter,…các giao thức và ứng dụng mạng quan trọng khác.