Tải bản đầy đủ (.pdf) (75 trang)
  1. Trang chủ
    2. >>
  2. Kỹ thuật
    3. >>
  3. Điện - Điện tử - Viễn thông

TRIỀN KHAI FIREWALL THẾ HỆ MỚI BẢO VỆ HỆ THỐNG MẠNG DOANH NGHIỆP

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (4.44 MB, 75 trang )

HỌC VIỆN CƠNG NGHỆ BƢU CHÍNH VIỄN THƠNG
CƠ SỞ TẠI THÀNH PHỐ HỒ CHÍ MINH
KHOA VIỄN THƠNG II

-------------------

BÁO CÁO
ĐỒ ÁN TỐT NGHIỆP
CHUYÊN NGÀNH: KỸ THUẬT ĐIỆN TỬ TRUYỀN THÔNG
HỆ ĐẠI HỌC CHÍNH QUY
NIÊN KHĨA: 2014-2019

Đề tài:
BẢO VỆ HỆ THỐNG MẠNG DOANH NGHIỆP
BẰNG FIREWALL THẾ HỆ MỚI

Sinh viên thực hiện
MSSV
Lớp
Giáo viên hƣớng dẫn

:
:
:
:

LÊ VĂN TÀI
N14DCVT079
D14DCVT01-N
ThS. NGUYỄN XUÂN KHÁNH


TP.HCM – 12/2018


LỜI CẢM ƠN
Trong quá trình học tại trường Học Viện Cơng Nghệ Bưu Chính Viễn Thơng cơ
sở tại TP. HỒ CHÍ MINH chúng em đã nhận dược sự giảng dạy nhiệt tình và sự giúp
đỡ tận tâm của quý thầy trong khoa Điện Tử Viễn Thông.
Nhận thấy ở chúng em tuổi trẻ đầy nhiệt huyết, sự sáng tạo và cần cù nên quý
thầy không quản ngại giờ giấc sắp xếp công việc để dành thời gian và tâm sức cũng
như kinh nghiệm của mình để truyền đạt cho chúng em những kiến thức mà chúng em
còn đang mơ hồ thậm chí khơng biết gì. Nhờ đó chúng em biết được những hạn chế
của mình để khắc phục cũng như cố gắng hơn nữa.
Khơng chỉ có kiến thức về chun ngành, mà q thầy (cơ) với kinh nghiệm sống
của mình cũng đã truyền đạt cho chúng em kinh nghiệm sống mà chắc hẳn quý
thầy(cô) cũng đã đánh đổi phần nào mồ hơi và nước mắt để có được ,chúng em trân
trọng và sẽ cố gắng hoàn thiện bản thân để sống tốt mỗi ngày.
Chúng em cũng xin chân thành cảm ơn quý thầy trong khoa và bộ môn đã tạo
những điều kiện tốt nhất để chúng em được học tập, chuẩn bị những hành trang kiến
thức cho công việc sau này khi tốt nghiệp.
Trong đề tài này. Em cũng xin gửi lời cảm ơn chân thành tới thầy ThS. Nguyễn
Xuân Khánh đã hướng dẫn em hoàn thành đề tài này kịp thời hạn. Tuy nhiên với năng
lực và kiến thức còn hạn chế vì lý do chủ quan và khách quan, mặc dù em cũng đã cố
gắng nhưng cũng không thể tránh khỏi những sai sót, mong q thầy cơ và các bạn
đóng góp ý kiến để em rút kinh nghiệm và củng cố thêm kiến thức cho bản thân.
Sau cùng em khơng biết nói gì hơn là gửi tới q thầy lời cảm ơn sâu sắc và lời
chúc sức khỏe chân thành nhất.
Sinh viên thực hiện
Lê Văn Tài

i



MỤC LỤC
LỜI CẢM ƠN .................................................................................................................i
MỤC LỤC ..................................................................................................................... ii
MỤC LỤC HÌNH ẢNH................................................................................................iv
MỤC LỤC BẢNG....................................................................................................... vii
LỜI MỞ ĐẦU ................................................................................................................1
CHƢƠNG I: AN NINH MẠNG DOANH NGHIỆP .................................................2
1.1 Tổng quan về An ninh mạng doanh nghiệp..........................................................2
1.1.1 Tình hình an ninh mạng trên Thế giới và Việt Nam những năm gần đây......2
1.1.2 Mục tiêu và yêu cầu an ninh mạng.................................................................4
1.1.3 Các tính chất trong an tồn thơng tin mạng ...................................................5
1.2 Các lỗ hỏng và tác nhân, phương thức đe dọa An ninh mạng .............................. 6
1.2.1 Các lỗ hỏng an ninh tạo điều kiện cho các cuộc tấn cơng trên mạng ............6
1.2.2 Các chương trình và phần mềm phá hoại (Malwares) ...................................9
1.2.3 Các phương thức tấn công phổ biến ............................................................. 12
CHƢƠNG II: TỔNG QUAN VỀ FIREWALL VÀ CÁC CÔNG NGHỆ TRÊN
FIREWALL .................................................................................................................15
2.1 Tổng quan về Firewall: ........................................................................................15
2.1.1 Khái niệm: ....................................................................................................15
2.1.2 Mục đích của việc tạo ra bức tường lửa: ......................................................15
2.2 Phân loại Firewall ............................................................................................... 17
2.2.1 Firewall phần cứng .......................................................................................17
2.2.2 Firewall phần mềm .......................................................................................18
2.3 Chức năng và hạn chế của Firewall ....................................................................18
2.3.1 Chức năng của Firewall................................................................................18
2.3.2 Những hạn chế của Firewall.........................................................................19
2.4 Kiến trúc chung của Firewall..............................................................................19
2.5 Các cơng nghệ trên Firewall ...............................................................................21

2.5.1 Kiểm tra trạng thái gói tin (Statefull Packet Inspection-SPI) ......................21
2.5.2 Deep Packet Inspection (DPI) ......................................................................23
CHƢƠNG III: SONICWALL VÀ FIREWALL THẾ HỆ MỚI: NEXTGENERATION FIREWALL SONICWALL (NGFW) ...........................................25
ii


3.1 Tổng quan về SonicWALL.................................................................................25
3.1.1 Giới thiệu chung về SonicWALL ................................................................ 25
3.1.2 Tính năng và Giải pháp ................................................................................25
3.1.3 Sản phẩm của SonicWALL ..........................................................................26
3.2 Firewall thế hệ mới của SonicWALL (Next-Generation Firewall Firewall
SonicWALL-NGFW) .................................................................................................26
3.2.1 Tính năng vượt trội.......................................................................................27
3.2.2 Giới thiệu một số dòng sản phẩm Next-Generation Firewall SonicWALL 37
CHƢƠNG IV: DEMO SỬ DỤNG NGFW BẢO VỆ MẠNG DOANH NGHIỆP
VỪA VÀ NHỎ .............................................................................................................39
4.1

Mơ hình giả lập NGFW trên VMware Workstation: .......................................39

4.2

Chuẩn bị: ..........................................................................................................39

4.3

Thiết bị thứ nghiệm: .........................................................................................39

4.4


Giả định vấn đề: ............................................................................................... 40

4.5

Giải quyết vấn đề:............................................................................................. 42

4.6

Kết luận: ...........................................................................................................59

KẾT LUẬN ..................................................................................................................61
PHỤ LỤC .....................................................................................................................62
DANH MỤC TỪ VIẾT TẮT ......................................................................................66
TÀI LIỆU THAM KHẢO...........................................................................................67

iii


MỤC LỤC HÌNH ẢNH
Hình 1. 1: Cảnh báo hàng năm Cisco 2010-2013............................................................2
Hình 1. 2: Cuộc khảo sát thực tế về các mối đe doạ từ bên ngồi Thơng tin lấy từ
“Cisco 2016 Annual Security Report” ............................................................................2
Hình 1. 3: Các cuộc tấn cơng thành cơng trên các nền tảng mã hóa 2017-2018 ............3
Hình 1. 4: Số lượng malware gây ảnh hưởng đến các thiết bị IoT tăng chóng mặt theo
thời gian ...........................................................................................................................3
Hình 1. 5: Tính năng quan trọng cần được bảo đảm trong an ninh hệ thống ..................5
Hình 1. 6: Lỗ hổng từ việc kết nối internet và sử dụng dịch vụ đám mây ......................7
Hình 1. 7: Lỗ hổng từ việc truy cập từ xa .......................................................................8
Hình 1. 8: Các loại Malware..........................................................................................10
Hình 1. 9: Vịng đời cuộc tấn cơng APT .......................................................................12

Hình 1. 10: Tấn cơng xen giữa (Man-in-the-middle attack) .........................................13
Hình 1. 11: Tấn cơng phát lại ........................................................................................14
Hình 2. 1: Mơ hình cơ bản về việc sử dụng Firewall trong mạng .................................15
Hình 2. 2: Mơ hình Firewall cứng .................................................................................17
Hình 2. 3: Mơ hình Firewall mềm .................................................................................18
Hình 2. 4: Mơ tả luồng dữ liệu vào ra giữa internet và intranet ....................................19
Hình 2. 5: Kiến trúc 3 vùng cơ bản của Firewall ..........................................................19
Hình 2. 6: Cơng nghệ kiểm tra trạng thái gói tin (SPI) .................................................21
Hình 2. 7: Q trình kiểm tra trạng thái gói tin sử dụng SPI ........................................22
Hình 2. 8: Quá trình lọc Stateful Packet Inspection ......................................................23
Hình 3. 1: Logo của SonicWALL .................................................................................25
Hình 3. 2: Quá trình hình thành và phát triển SonicWALL ..........................................25
Hình 3.3: Sản phẩm SonicWALL .................................................................................26
Hình 3. 4: Tường lửa SonicWALL................................................................................26
Hình 3. 5: Công nghệ trên Firewall thế hệ mới SonicWALL (NGFW) ........................27
Hình 3. 6: Q trình lọc gói tin của IPS ........................................................................28
Hình 3. 7: Quá trình Anti-Virus ....................................................................................28
Hình 3. 8: Quá trình Anti-Spyware ...............................................................................29
Hình 3. 9: Quá trình CFS ............................................................................................... 30
Hình 3. 10: Cơng nghệ RFDPI ......................................................................................30

iv


Hình 3. 11: Kiểm tra gói tin với RFDPI ........................................................................31
Hình 3. 12: Kiến trúc đa lõi (Multi-Core Architecture) ................................................32
Hình 3. 13: Cơng nghệ DPI-SSL ...................................................................................33
Hình 3. 14: Q trình mã hóa SSL ................................................................................34
Hình 3. 15: Phân loại ứng dụng nhờ Application Identification & Control ..................34
Hình 3. 16: Dịch vụ Cloud phát hiện và chặn mối đe dọa zero-day tại Gateway .........35

Hình 3. 17: Cơng nghệ SSO tích hợp NGFW giúp quản lý người dùng đầu cuối ........36
Hình 3. 18: Quá trình CCAS .........................................................................................37
Hình 3. 19: Dải sản phẩm Firewall thế hệ mới SonicWALL (NGFW) ........................37
Hình 3. 20: Biểu đồ sắp xếp hiệu năng các dịng sản phẩm NGFW ............................. 38
Hình 4.1: Sơ đồ bảo vệ mạng doanh nghiệp vừa và nhỏ dùng NGFW .................................... 39
Hình 4.2: Thơng số NGFW NSv200 ........................................................................................ 40
Hình 4.3: Thơng tin đầy đủ Firewall NSv200 kèm thơng tin License các tính năng ............... 40
Hình 4.4: Thơng số cấu hình và địa chỉ IP tĩnh của WindowsXP-Bob .................................... 42
Hình 4.5: Thơng số cấu hình và địa chỉ IP tĩnh của WindowsXP-Sales .................................. 43
Hình 4.6: Thơng số cấu hình và địa chỉ IP tĩnh của WindowsXP-Product .............................. 43
Hình 4.7: Giao diện cài đặt thời gian, ngày tháng trên NSv200 ............................................... 44
Hình 4.8: Giao diện setup IP Gateway của Group Bob cho X2 ............................................... 44
Hình 4.9: Thơng tin Interface của Firewall NSv200 sau khi đã thiết lập IPGateway cho các
Group ........................................................................................................................................ 44
Hình 4.10: Giao diện cấu hình Gateway Anti-Virus ................................................................ 45
Hình 4.11: Cơ sở dữ liệu các nhóm Virus độc lập ................................................................... 46
Hình 4.12: Checkbox Gateway AV trong Network > Zones ................................................... 46
Hình 4.13: Cảnh bảo chặn khi tải 1 tệp có chưa Virus (1) ....................................................... 47
Hình 4.14: Cảnh bảo chặn khi tải 1 tệp có chưa Virus (2) ....................................................... 47
Hình 4.15: Cấu hình Bandwidth Object ................................................................................... 48
Hình 4.16: Tạo Rule từ X2 (Group Bob) tới WAN .................................................................. 49
Hình 4.17: Gắn Bandwith Object vừa tạo vào Rule từ X2 -> WAN ........................................ 49
Hình 4.18: Tốc độ mạng Group Bob trước và sau khi bị hạn chế ............................................ 50
Hình 4.19: PC WindowsXP-Bob được cấp full quyền (App giải trí, web đọc báo…) ............ 50
Hình 4.20: Giao diện cấu hình lịch trình .................................................................................. 51
Hình 4.21: Giao diện cấu hình App Control............................................................................. 51
Hình 4.22: Lọc App Facebook trên NSv200 ............................................................................ 52
Hình 4.23: Giao diện cấu hình chặn App Facebook ................................................................. 52
Hình 4.24: Check Zone App Control ....................................................................................... 52


v


Hình 4.25: Firewall chặn Facebook ở PC Group Sales ............................................................ 53
Hình 4.26: Cấu hình App control chặn app Youtube ............................................................... 53
Hình 4.27: Firewall chặn Youtube ở PC Group Sales .............................................................. 53
Hình 4.28: Nhờ Schedule “Nghỉ trưa” mà Group Sales được phép truy cập Facebook,
Youtube .................................................................................................................................... 54
Hình 4.29: Giao diện cấu hình Content Filter .......................................................................... 54
Hình 4.30: Giao diện cấu hình thêm CFS Policies mới............................................................ 55
Hình 4.31: Giao diện tạo profiles objects mới.......................................................................... 55
Hình 4.32: Giao diện thêm địa chỉ vào danh sách URL được cho phép (Allow) hay là cấm
(Forbidden) ............................................................................................................................... 56
Hình 4.33: Giao diện CFS Action ............................................................................................ 56
Hình 4.34: Giao diện cấu hình hồn chỉnh Content Filter chặn Web ....................................... 57
Hình 4.35: Group Sales bị chặn Web đọc báo trong giờ làm việc và được dùng trong giờ nghỉ
trưa ............................................................................................................................................ 57
Hình 4.36: Tốc độ Internet của Group Sales so với Bob đã bị bóp băng thơng ....................... 58
Hình 4 37: Tạo rule cho phép đường truyền Internet từ Port X4 đến Cổng WAN .................. 58
Hình 4.38: Quá trình tạo Rule Group Product cho phép truy cập Internet trong khung giờ nghỉ
trưa nhờ Schedule ..................................................................................................................... 59
Hình 4.39: PC Group Product chỉ sử dụng được Internet trong giờ nghỉ trưa ......................... 59

vi


MỤC LỤC BẢNG
Bảng 4. 1: Quyền hạn ba Group chính trong demo .......................................................41
Bảng 4. 2: Thơng tin ba Group chính trong demo .........................................................42
Bảng 4. 3: Kết quả Checklist .........................................................................................59


vii


LỜI MỞ ĐẦU

LỜI MỞ ĐẦU
Mạng máy tính ra đời đã đem lại nhiều lợi ích rất lớn cho nhu cầu đời sống con người,
nó là một trong những nhân tố hàng đầu góp phần vào sự phát triển nhanh chóng của cả thế
giới. Bên cạnh đó người sử dụng phải đối mặt với các hiểm họa do thông tin trên mạng của
họ bị tấn công. Những tác động bất hợp pháp lên thơng tin mới mục đích làm tổn thất, sai lạc,
lấy cắp các tệp lưu giữ tin, sao chép các thông tin mật, giả mạo người dùng được phép sử
dụng thơng tin trong mạng máy tính.
Đã có nhiều giải pháp bảo mật cho mạng máy tính được đưa ra như dùng các phần
mềm, chương trình để bảo vệ tài nguyên, tạo những tài khoản truy xuất mạng đòi hỏi có mật
khẩu … Nhưng những giải pháp đó chỉ bảo vệ một phần mạng máy tính mà thơi, một khi
những kẻ phá hoại mạng máy tính đã thâm nhập sâu hơn vào bên trong mạng thì có rất nhiều
cách để phá hoại hệ thống mạng. Vì vậy một yêu cầu đặt ra là phải có những cơng cụ để
chống sự xâm nhập mạng bất hợp pháp ngay từ bên ngoài mạng, đó chính là ngun nhân
dẫn tới sự ra đời của Firewall Tường lửa .
Hiện nay, dòng Next-Generation Firewall (NGFW) là nhóm thiết bị tường lửa mạnh mẽ
đến từ SonicWALL. Những thiết bị tường lửa thế hệ kế tiếp của SonicWALL luôn là bức tường
kiên cố ngăn chặn các mối đe dọa với hệ thống mạng nội bộ. Những dịch vụ đảm bảo hoàn
toản của NGFW cao cấp bao gồm hộp cát, đánh giá SSL, chống xâm nhập, chống Malware,
nhận biết phần mềm và lọc thơng tin... Do đó, NGFW sẽ là giải pháp bảo mật được nhiều
công ty lựa chọn để bảo vệ hạ tầng mạng của công ty mình trong hiện tại và tương lai.
Trên cơ sở đó, em quyết định chọn hướng nghiên cứu đồ án của mình là “Bảo vệ Hệ
thống mạng doanh nghiệp bằng Firewall thế hệ mới”
Mục đích của đồ án là tìm hiểu những vấn đề kỹ thuật cơ bản có liên quan đến việc xây
dựng và bảo vệ hệ thống mạng doanh nghiệp trên thiết bị Firewall SonicWALL

Bố cục của đồ án gồm 4 chương:

 Chương 1: An ninh mạng doanh nghiệp
 Chương 2: Tổng quan về Firewall và các công nghệ trên Firewall
 Chương 3: SonicWALL và Firewall thế hệ mới: Next-Generation Firewall SonicWALL
(NGFW)

 Chương 4: Demo sử dụng NGFW bảo vệ mạng doanh nghiệp vừa và nhỏ
Mặc dù nhận được rất nhiều sự giúp đỡ của thầy hướng dẫn, các thầy trong khoa viễn
thơng, nhưng đồ án vẫn cịn nhiều chỗ cần phải đầu tư phân tích kĩ. Vì vậy em mong nhận được
những phản hồi từ phía các Thầy. Em xin chân thành cảm ơn!
TP Hồ Chí Minh, ngày tháng 12 năm 2018
Sinh viên thực hiện
Lê Văn Tài

SVTH: LÊ VĂN TÀI

LỚP: D14CQVT01-N

1


CHƢƠNG I: AN NINH MẠNG DOANH NGHIỆP

CHƢƠNG I: AN NINH MẠNG DOANH NGHIỆP
1.1 Tổng quan về An ninh mạng doanh nghiệp
1.1.1 Tình hình an ninh mạng trên Thế giới và Việt Nam những năm gần đây

Hình 1.1: Cảnh báo hàng năm Cisco 2010-2013


Hình 1.2: Cuộc khảo sát thực tế về các mối đe doạ từ
bên ngồi Thơng tin lấy từ “Cisco 2016 Annual
Security Report”
 Một số thông tin an ninh trong nước những năm gần đây:
Trong Quý I/2016, Nitol dẫn đầu danh sách hoạt động của các mạng botnet, hoạt động
của mạng botnet này tăng từ 33.3% lên 44.4%, sự gia tăng tỉ lệ trên được là do hoạt động
botnet tại Hàn Quốc. Trong Quý này, biến thể Generic!BT được sử dụng trong các cuộc tấn
công từ 7,756 IP ở 52 quốc gia, chủ yếu ở Đông Âu. Phần lớn các hoạt động này bắt nguồn từ
Nga (52.6%) và Ukraine (26.6%) – Theo securitydaily.net

SVTH: LÊ VĂN TÀI

LỚP: D14CQVT01-N

2


CHƢƠNG I: AN NINH MẠNG DOANH NGHIỆP

Hình 1.3: Các cuộc tấn cơng thành cơng trên các nền tảng mã hóa 2017-2018
Theo các nhà nghiên cứu của Kaspersky Lab, tổng số phần mềm độc hại nhắm mục tiêu
đến các thiết bị thơng minh đã lên tới hơn 7.000, trong đó hơn một nửa số này xuất hiện vào
năm 2017. Với hơn 6 tỷ thiết bị thông minh đang được sử dụng trên toàn cầu, người dùng
ngày càng bị đe doạ từ phần mềm độc hại nhằm vào các thiết bị kết nối của họ.

Hình 1.4: Số lượng malware gây ảnh hưởng đến các thiết bị IoT tăng chóng mặt theo thời
gian
Theo Báo cáo an ninh website Q3/2018 của CyStack, trong quý 3 năm 2018 trên thế
giới đã có 129.722 website bị tin tặc tấn công và chiếm quyền điều khiển. Việt Nam đứng thứ


SVTH: LÊ VĂN TÀI

LỚP: D14CQVT01-N

3


CHƢƠNG I: AN NINH MẠNG DOANH NGHIỆP
19 trong danh sách này với 1.183 website bị tấn công. Báo cáo an ninh website là báo cáo
thống kê và phân tích tình hình tấn cơng website trên tồn thế giới, được thực hiện định kỳ
hàng quý bởi CyStack. Dữ liệu trong báo cáo này được trích xuất từ hệ thống CyStack Attack
Map (attacks.cystack.net) do CyStack nghiên cứu và phát triển.
Hệ thống giám sát virus của Bkav vừa phát hiện một loại mã độc gián điệp nằm vùng
nguy hiểm BrowserSpy. Loại mã độc này có khả năng theo dõi người dùng, lấy cắp thông tin
cá nhân, tài khoản ngân hàng, mật khẩu Gmail, Facebook… Tại Việt Nam, đã có hơn 560.000
máy tính bị theo dõi bởi BrowserSpy, số lượng này đang tiếp tục tăng nhanh. Đồng thời,
Bkav vừa phát đi cảnh báo đã có hơn 735.000 máy tính tại Việt Nam bị nhiễm virus đào tiền
ảo W32.CoinMiner.

1.1.2 Mục tiêu và yêu cầu an ninh mạng
1.1.2.1 Mục tiêu
An ninh mạng là tổng hợp các phương pháp, chính sách nhằm bảo vệ máy tính và hệ
thống mạng khỏi sự xâm nhập, đánh cắp thông tin, thay đổi cơ sở dữ liệu, phá hoại hệ thống
mà không được sự cho phép từ những người chủ quản. Việc phát triển ngày càng tăng của
mạng Internet do sự thuận tiện mà nó đem lại cho con người tuy nhiên cũng kéo theo nhiều
mối nguy hiểm rình rập của những hacker mạng. Đảm bảo cho người dùng được an toàn khi
làm việc trên mạng là mục tiêu hàng đầu của an ninh mạng:
+ Bảo đảm mạng nội bộ không bị xâm nhập trái phép.
+ Các tài liệu và thông tin quan trọng khơng bị rị rỉ và bị mất.
+ Các dịch vụ được thực hiện nhanh chóng khơng bị trì trệ hoặc khơng thực hiện.

+ Các cuộc mua bán trên mạng diễn ra đúng với yêu cầu người dùng.
+ Người dùng làm việc trên mạng không bị mạo danh, lừa đảo.

1.1.2.2 Yêu cầu
Hiện nay các biện pháp tấn công càng ngày càng nguy hiểm và tinh vi, sự đe doạ tới độ
an tồn thơng tin có thể đến từ nhiều nơi khác nhau theo nhiều cách khác nhau, vì vậy để đảm
bảo an tồn thơng tin cần có những u cầu như sau:
− Tính bí mật: Thơng tin phải đảm bảo tính bí mật và được sử dụng đúng đối tượng.
− Tính tồn vẹn: Thơng tin phải đảm bảo đầy đủ, ngun vẹn về cấu trúc, khơng mâu
thuẫn.
− Tính sẵn sàng: Thông tin phải luôn sẵn sàng để tiếp cận, để phục vụ theo đúng mục
đích và đúng cách.
− Tính chính xác: Thơng tin phải chính xác, tin cậy.
− Tính khơng khước từ (chống chối bỏ): Thơng tin có thể kiểm chứng được nguồn gốc
hoặc người đưa tin.

SVTH: LÊ VĂN TÀI

LỚP: D14CQVT01-N

4


CHƢƠNG I: AN NINH MẠNG DOANH NGHIỆP
1.1.3 Các tính chất trong an tồn thơng tin mạng

Hình 1.5: Tính năng quan trọng cần được bảo đảm trong
an ninh hệ thống
Năm 2002, Donn Parker đã đề xuất một mơ hình tương đường với tam giác CIA, được
gọi là 6 nhân tố cơ bản của thơng tin. Các nhân tố đo là: bí mật (confidentiality), sở hữu

(possession), toàn vẹn (integrity), xác thực (authenticity), sẵn sàng (availability) và tiện ích
(utility).
Một hệ thống mạng nếu hội tụ đủ 3 yếu tố trên thì vấn đề an ninh hạ tầng mạng được
đảm bảo tốt hơn. Sau đây sẽ là từng khía cạnh của tam giác CIA và một số tính chất khác
trong an tồn thơng tin mạng:

1.1.3.1 Tính bí mật của thơng tin (Confidentiality)
Một số loại thơng tin chỉ có giá trị đối với một đối tượng xác định khi chúng không
phổ biến cho các đối tượng khác. Tính bí mật của thơng tin là tính giới hạn về đối tượng được
quyền truy xuất đến thông tin. Đối tượng truy xuất có thể là con người, là máy tính hoặc phần
mềm, kể cả phần mềm phá hoại như virus, worm, spyware…
Ví dụ: các thơng tin về chính trị và qn sự ln được xem là các thông tin nhạy cảm
nhất đối với các quốc gia và được xử lý ở mức bảo mật cao nhất. Các thông tin về hoạt động
và chiến lược kinh doanh của doanh nghiệp, thơng tin cá nhân v.v… đều có nhu cầu được giữ
bí mật ở từng mức độ.

1.1.3.2 Tính tồn vẹn thông tin (Intergrity)
Đặc trưng này đảm bảo sự tồn tại nguyên vẹn của thông tin, loại trừ mọi sự thay đổi
thơng tin có chủ đích hoặc hư hỏng, mất mát thông tin do sự cố thiết bị hoặc phần mềm. Tính
tồn vẹn được xét trên 2 khía cạnh: tồn vẹn về nội dung và tồn vẹn về nguồn gốc.
Ví dụ: Một tờ báo đưa tin về một sự kiện vừa xảy ra tại một cơ quan quan trọng của
chính phủ, có ghi chú rằng nguồn tin từ người phát ngơn của cơ quan đó. Tuy nhiên, nếu tin
đó thật sự không phải do người phát ngôn công bố mà được lấy từ một kênh thông tin khác,
không xét đến việc nội dung thơng tin có đúng hay khơng, ta nói rằng nguồn gốc thơng tin đã
khơng được bảo tồn.

1.1.3.3 Tính khả dụng của thơng tin (Availability)
Tính khả dụng là một yêu cầu rất quan trọng của hệ thống, bởi vì một hệ thống tồn tại
nhưng khơng sẵn sàng cho sử dụng thì cũng giống như khơng tồn tại một hệ thống thông tin


SVTH: LÊ VĂN TÀI

LỚP: D14CQVT01-N

5


CHƢƠNG I: AN NINH MẠNG DOANH NGHIỆP
nào. Một hệ thống khả dụng là một hệ thống làm việc trôi chảy và hiệu quả, có khả năng phục
hồi nhanh chóng nếu có sự cố xảy ra.
Ví dụ: các thơng tin về quản lý nhân sự của một công ty được lưu trên máy tính, được
bảo vệ một cách chắc chắn bằng nhiều cơ chế đảm bảo thông tin không bị tiết lộ hay thay đổi.
Tuy nhiên, khi người quản lý cần những thơng tin này thì lại khơng truy xuất được vì lỗi hệ
thống. Khi đó, thơng tin hồn tồn khơng sử dụng được và ta nói tính khả dụng của thơng tin
khơng được đảm bảo.

1.1.3.4 Tính xác thực (Authenticity)
Trong hoạt động tính tốn, kinh doanh qua mạng và an tồn thơng tin, tính xác thực là
vơ cùng cần thiết để đảm bảo rằng dữ liệu, giao dịch, kết nối hoặc các tài liệu (tài liệu điện tử
hoặc tài liệu cứng) đều là thật (genuine). Nó cũng quan trọng cho việc xác nhận rằng các bên
liên quan biết họ là ai trong hệ thống.

1.1.3.5 Tính khơng thể chối cải
Khơng thể chối cãi có nghĩa rằng một bên giao dịch khơng thể phủ nhận việc họ đã thực
hiện giao dịch với các bên khác. Ví dụ: trong khi giao dịch mua hàng qua mạng, khi khách
hàng đã gửi số thẻ tín dụng cho bên bán, đã thanh tốn thành cơng, thì bên bán không thể phủ
nhận việc họ đã nhận được tiền, (trừ trường hợp hệ thống khơng đảm bảo tính an tồn thơng
tin trong giao dịch).

1.2 Các lỗ hỏng và tác nhân, phƣơng thức đe dọa An ninh mạng

1.2.1 Các lỗ hỏng an ninh tạo điều kiện cho các cuộc tấn công trên mạng
Trong thời đại công nghệ phát triển nhanh chóng và đa chiều như hiện nay, khơng một
hệ thống nào có thể đảm bảo an tồn tuyệt đối. Đặc biệt với yêu cầu phải thường xuyên tìm
kiếm, trao đổi thông tin qua Internet cũng như phải lưu trữ nhiều tài liệu nội bộ mang tính bí
mật và cạnh tranh thì hệ thống mạng doanh nghiệp ln là mục tiêu dễ bị tấn công nhất. Dưới
đây là một số lỗ hổng bảo mật thường bị khai thác trong hệ thống mạng doanh nghiệp:

1.2.1.1 Lỗ hỏng do xây dựng hệ thống chƣa tối ƣu
Lỗ hổng này là các lỗi khi xây dựng hệ thống. Khi xây dựng và thiết lập hệ thống mạng,
người thiết kế không lường trước những rủi ro như tuổi thọ hay công suất của các thiết bị
phần cứng hoặc khơng thực hiện các chính sách an tồn cần thiết, khơng ràng buộc trình tự
các bước truy cập dẫn đến hệ thống mạng dễ bị xâm nhập và tấn cơng. Chẳng hạn như một số
hệ thống chưa có cài đặt chế độ giám sát và cảnh báo làm xảy ra tình trạng mất mát dữ liệu
trong nhiều ngày thậm chí nhiều tháng mà người quản lý vẫn khơng nắm được tình hình, hay
việc cấu hình máy chủ cho phép cấp quyền truy cập vào hệ thống một cách dễ dàng thì việc
thất thốt dữ liệu hay làm lộ các thông tin nhạy cảm như mã nguồn, mật khẩu hay các thông
tin của khách hàng là rất dễ xảy ra.
Để tránh được tối đa những rủi ro có thể xảy ra, cần thiếp phải cài đặt bảo mật nhiều
tầng và chia quyền truy cập dữ liệu cho từng bộ phận, từng nhân viên, thiết lập chế độ giám
sát và cảnh báo để nắm bắt tình hình kịp thời, khéo léo cân bằng giữa hiệu quả của hệ thống

SVTH: LÊ VĂN TÀI

LỚP: D14CQVT01-N

6


CHƢƠNG I: AN NINH MẠNG DOANH NGHIỆP
và vấn đề bảo mật dữ liệu để có thể duy trì và phát triển hệ thống một cách bền vững.


1.2.1.2 Lỗ hỏng từ các phần mềm và ứng dụng
Các phần mềm và ứng dụng phiên bản cũ thường chứa nhiều lỗ hổng đã được phát hiện
và sửa chữa. Tuy nhiên, nếu người sử dụng không nâng cấp phiên bản mới, kẻ tấn công sẽ dễ
dàng lợi dụng những lỗ hổng đã đƣợc phát hiện này để tấn công vào hệ thống. Nguy hiểm
hơn là những phần mềm và ứng dụng được thiết kế và quảng bá từ những nguồn không đáng
tin cậy. Những phần mềm này thường chứa sẵn những lỗ hổng hoặc bị đính kèm những phần
mềm độc hại có thể phá hoại hệ thống mạng.
Ngay cả việc sử dụng và quá tin tưởng vào các phần mềm chống virus phiên bản cũ
cũng là cơ hội cho những kẻ tấn công. Phần mềm chống virus có thể là nền tảng vững chắc
cho hệ thống bảo mật của mạng doanh nghiệp, nhưng không thể chủ quan nghĩ rằng nó có khả
năng ngăn chặn mọi rủi ro. Các mối đe dọa ngày nay rất đa dạng, vì vậy việc phụ thuộc hồn
tồn vào phần mềm chống virus chẳng khác nào trốn tránh vũ khí hiện đại sau hàng rào thép
gai. Một phần mềm chống virus, thậm chí thuộc loại tốt nhất cũng khơng thể đảm bảo khỏi
việc bị khai thác các lỗ hổng zero-day (lỗ hổng chưa được công bố và khắc phục), tấn cơng hệ
thống, gian lận trực tuyến (phishing), tấn cơng dị mật khẩu (bruteforcing) nhƣ nhiều mối đe
doạ khác.
Vì vậy, việc sử dụng các phần mềm và ứng dụng bản quyền, luôn cập nhật thông tin và
nâng cấp phiên bản cũ là việc làm hết sức cần thiết.

1.2.1.3 Lổ hỏng từ việc kết nối Internet và dịch vụ đám mây
Việc kết nối với Internet là một mối đe dọa tiềm tàng đối với hệ thống mạng. Các phần
mềm độc hại có thể tự động cài đặt khi người dùng click vào một đường link khi đọc một
email giả mạo hay khi tải về một file dữ liệu khơng an tồn. Những kẻ tấn cơng cũng có thể
đánh cắp các tài khoản và dữ liệu bằng cách đánh lừa người dùng điền các thông tin vào một
trang web giả mạo. Từ đây chúng có thể chiếm quyền điều khiển hệ thống hoặc truy cập từ xa
nhằm đánh cắp thông tin của doanh nghiệp.

Hình 1.6: Lỗ hổng từ việc kết nối internet và sử dụng
dịch vụ đám mây

Việc sử dụng dịch vụ điện toán đám mây chưa xác thực cũng tồn tại nhiều rủi ro. Các

SVTH: LÊ VĂN TÀI

LỚP: D14CQVT01-N

7


CHƢƠNG I: AN NINH MẠNG DOANH NGHIỆP
nhà cung cấp dịch vụ này đảm bảo họ có khả năng phịng thủ bất khả xâm phạm, vì vậy chúng
ta cảm thấy an tâm hơn. Tuy nhiên vẫn có một số vấn đề khơng thể tránh khỏi: Trước hết,
khơng ai biết chính xác những giải pháp an ninh mà nhà cung cấp dịch vụ điện tốn đám mây
đang sử dụng, khơng ai đảm bảo có tồn quyền kiểm sốt dữ liệu khi đang sử dụng cơ sở hạ
tầng của một bên khác (ví dụ: liệu có một bản sao lớn dự phịng ở một nơi nào khác hay
không). Và một trong những nguy cơ đã được xác nhận là có những phần mềm mã độc từ hạ
tầng đám mây lây lan vào hệ thống mạng của doanh nghiệp.

1.2.1.4 Lỗ hổng từ việc truy cập thiết bị từ xa
Cùng với sự phát triển của các kết nối Internet băng thơng rộng và máy tính/ thiết bị cá
nhân, người ta có thể làm việc tại bất cứ đâu như: ở nhà, khách sạn, sân bay, quán cafe
Internet, trên đường đi công tác…vào bất cứ thời gian nào. Phương thức làm việc mới có thể
giúp tăng hiệu suất làm việc của nhận viên, giảm chi phí, nhưng các tổ chức và doanh nghiệp

Hình 1.7: Lỗ hổng từ việc truy cập từ xa
lại phải đối đầu với nguy cơ thất thốt thơng tin cũng như mất an toàn của hệ thống.
Các thiết bị truy cập cá nhân thường khơng có sự giám sát của các chun gia CNTT
nên thường có cấu hình khơng phù hợp trong việc chia sẻ file hay in ấn, gây nên những nguy
cơ như lộ thông tin quan trọng đối với bạn cùng phòng, vợ con. Những người làm việc
từ xa thường sử dụng các hệ điều hành và các ứng dụng chưa được cập nhật mới nhất, ngay cả

các phần mềm diệt virus cũng khơng được cập nhật. Vì vậy các thiết bị này dễ bị nhiễm virus
và các chương trình phá hoại hơn các thiết bị ở trong công ty. Việc phát hiện, làm sạch các
cũng thường mất nhiều thời gian hơn.

1.2.1.5 Lỗ hỏng từ các thiết bị di động
Ngày nay, thiết bị di động cá nhân ngày càng phổ biến, chúng không chỉ thực hiện một
nhiệm vụ nghe gọi mà nó cịn chứa các thức khác như: ứng dụng, tài liệu, thông tin được lưu

SVTH: LÊ VĂN TÀI

LỚP: D14CQVT01-N

8


CHƢƠNG I: AN NINH MẠNG DOANH NGHIỆP
trữ, hình ảnh, sở thích, email và hầu hết những thứ này đều cho phép truy cập khơng hạn chế.
Do đó, các thiết bị di động này rất dễ bị những kẻ tấn công truy cập trái phép, sử dụng và sửa
đổi dữ liệu.
Nguy cơ đầu tiên phải kế đến là việc người dùng khơng có khả năng hoặc khó có thể
nhận thức được đâu là ứng dụng bản quyển chính hãng và đâu là ứng dụng giả mạo. Cùng với
đó là việc sử dụng số lượng lớn ứng dụng khơng được kiểm sốt, phân quyền chặt chẽ trong
thiết bị di động sẽ gây ra khó khăn trong việc đảm bảo an tồn thơng tin. Thông thường, thiết
bị như iOS và Android được cấu hình chỉ cho phép cài đặt những ứng dụng được cung cấp từ
Apple Store hoặc Google Play để đảm bảo an toàn cho người sử dụng. Tuy nhiên với những
thiết bị iOS, người dùng thường thực hiện Jaibreak để có thể can thiệp sâu hơn vào hệ điều
hành và cài đặt những ứng dụng khơng có nguồn gốc từ Apple Store. Với những thiết bị
Android còn dễ dàng hơn khi người dùng có thể cài đặt ứng dụng từ nguồn khác bằng cách
thay đổi cấu hình trong phần thiết lập một cách dễ dàng.
Nguy cơ tiếp theo là thiết bị di động ln ln tìm kiếm và kết nối tới Internet (người

dùng không tắt chế độ Wifi sau mỗi lần sử dụng). Nếu khơng có sự can thiệp của người sử
dụng, thiết bị di động sẽ kết nối tới các mạng Internet có những đặc điểm của mạng Internet
được biết đến trước đây, điều đó có nghĩa rằng nếu người nào đó có thể mạo danh một mạng
Internet đã biết (mạng Internet của quán cafe, khách sạn nổi tiếng) sẽ làm cho các thiết bị di
động kết nối tới nó. Khi đó, kẻ tấn cơng có thể điều hướng người dùng tới một trang web giả
mạo để đánh cắp thông tin hoặc một trang web có chứa mã khai thác nhằm cài đặt mã độc lên
thiết bị người sử dụng.

1.2.1.6 Lỗ hỏng từ ngƣời sử dụng
Kẻ tấn cơng có thể liên lạc với một người quản trị hệ thống, giả làm một người sử
dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệ thống để
thực hiện các phương pháp tấn công khác. Với kiểu tấn công này không một thiết bị nào có
thể ngăn chặn một cách hữu hiệu, và chỉ có một cách giáo dục người sử dụng mạng nội bộ về
những yêu cầu bảo mật để đề cao cảnh giác với những hiện tượng đáng nghi.
Ngoài ra, việc đặt mật khẩu q dễ, tự vơ hiệu hố các tính năng bảo mật của hệ thống
khi cài đặt các phần mềm và ứng dụng mới hay việc sử dụng và công khai các dữ liệu của cá
nhân, tập thể lên các mạng xã hội cũng là những nguy cơ tạo điều kiện cho các cuộc tấn cơng
mạng.
Nói chung yếu tố con người là một điểm yếu trong bất kỳ một hệ thống bảo vệ nào, và
chỉ có sự giáo dục cộng với tinh thần hợp tác từ phía người sử dụng có thể nâng cao đƣợc độ
an tồn của hệ thống bảo vệ.

1.2.2 Các chƣơng trình và phần mềm phá hoại (Malwares)
Malware (một từ ghép giữa 2 từ malicious và software) là một phần mềm độc hại (mã
độc) được tạo ra từ hệ thống do các tin tặc hay những người thích đùa tạo ra nhằm chiếm dữ
liệu, phá hoại máy tính, đào những thơng tin quan trọng. Tùy vào mục đích của các hacker mà
có các loại malware với mức độ nguy hiểm khác nhau. Với cấp độ đơn giản chỉ là hack hệ

SVTH: LÊ VĂN TÀI


LỚP: D14CQVT01-N

9


CHƢƠNG I: AN NINH MẠNG DOANH NGHIỆP
thống, các ứng dụng nhỏ lẻ nhằm hù dọa, đến việc tấn cơng tồn bộ hệ thống máy tính, chiếm
quyền kiểm sốt và lây lan sang các máy tính khác để tống tiền.
Mối nguy hiểm Malwares có thể được mơ tả dưới dạng:


Viruses máy tính



Adware – phần mềm quảng cáo



Spyware, Keylogger – phần mềm ăn cắp thông tin nhạy cảm



Ransomware – phần mềm tống tiền



Trojan horses




Bot, Zombies, Botnes…

Hình 1.8: Các loại Malware

1.2.2.1 Virus
Virus là một chương trình phần mềm (mã độc) độc hại tấn cơng hệ thống mạng máy
tính bằng cách sao chép chính nó và lây nhiễm tất cả các máy tính được nó kết nối vào.
Chúng có thể thay thế tồn bộ file chương trình thay vì chỉ ký sinh vào chương trình. Ngồi
ra, virus cịn có thể xóa file và cơng khai sự hiện diện của nó, chiếm bộ nhớ hệ thống và gây
sự cố. Các nguồn phổ biến nhất để lây nhiễm virus là ổ đĩa USB, Internet và file đính kèm
trong email của bạn. Một số mẫu virus máy tính gần đây gồm W32.Sens.A, W32.Sality.AM,
và W32.Dizan.F. Hầu hết những phần mềm chống virus tốt sẽ gỡ bỏ virus khi chúng được
đăng ký.

1.2.2.2 Adware
Adware là một loại phần mềm độc hại tải xuống hoặc hiển thị pop-up quảng cáo trên
thiết bị của người dùng. Thông thường, Adware không lấy cắp dữ liệu từ hệ thống, nhưng nó
buộc người dùng phải xem những quảng cáo mà họ không muốn trên hệ thống. Một số hình
thức quảng cáo cực kì gây khó chịu cho người dùng đó là tạo ra pop-up trên trình duyệt mà
khơng thể đóng lại được

1.2.2.3 Spyware - Keylogger
Phần mềm gián điệp (Spyware) là loại phần mềm chuyên thu thập các thơng tin từ các
máy chủ (thơng thường vì mục đích thương mại) qua mạng Internet mà khơng có sự nhận biết

SVTH: LÊ VĂN TÀI

LỚP: D14CQVT01-N


10


CHƢƠNG I: AN NINH MẠNG DOANH NGHIỆP
và cho phép của chủ máy. Phần mềm gián điệp cũng thu thập tin tức về địa chỉ thư điện tử và
ngay cả mật khẩu cũng như là số thẻ tín dụng.
Keylogger là trình theo dõi thao tác bàn phím ghi lại tất cả các phím mà người dùng
nhấn vào, bao gồm email, các tài liệu và password đã nhập cho mục đích nhất định. Vì chức
năng mang tính vi phạm vào riêng tư của người khác này nên các trình keylogger được xếp
vào nhóm các phần mềm gián điệp. Keylogger phát triển cao hơn nó khơng những ghi lại thao
tác bàn phím mà cịn ghi lại cả các hình ảnh hiển thị trên màn hình (screen) bằng cách chụp
(screen-shot) hoặc quay phim (screen-capture) thậm chí cịn ghi nhận cách con
trỏ chuột trên máy tính di chuyển.

1.2.2.4 Bot, Zombies, Botnet
“Bot” được các hacker tạo ra để thực hiện một số lệnh dùng để chiếm quyền điều
khiển của máy bị nhiễm Bot. Một thiết bị bị nhiễm Bot thì sẽ được gọi là “Zombies”, một tập
hợp nhiều Zombies sẽ được gọi là “Botnets”. “Bot” được các hacker tạo ra để thực hiện một
số lệnh dùng để chiếm quyền điều khiển của máy bị nhiễm Bot. Một thiết bị bị nhiễm Bot thì
sẽ được gọi là “Zombies”, một tập hợp nhiều Zombies sẽ được gọi là “Botnets”.

1.2.2.5 Ransomware
Ransomware là một mã độc (phần mềm) tống tiền hay còn được gọi là virus tống tiền.
Ransomware thường xuất hiện ở những trường hợp: yêu cầu bạn mua phiên bản đầy đủ của
một phần mềm, ứng dụng chống virus hợp pháp (bị lừa tưởng bởi Ransomware) trước khi nó
có thể làm sạch sẽ hệ thống cho bạn; mã độc mã hóa tồn bộ dữ liệu và thơng tin cá nhân và
xóa đi vĩnh viễn nếu user khơng trả một số tiền để nhận “key” giải mã và lấy lại dữ liệu.

1.2.2.6 Trojan Horse
Trojan" hay còn được được gọi "Trojan horse". "Trojan" là một chương trình phần

mềm ác tính có tác dụng điều tra thông tin của người khác. Để làm được điều đó thì cần phải
có được địa chỉ IP Adresse của Victim và tất nhiên cũng cần 1 port được mở rồi, chỉ có như
vậy thì, mới đủ nhu cầu để đáp ứng nhu cầu truy cập vào PC của người khác. Ví dụ Bạn nhận
được tin nhắn với nội dung như: Bạn sẽ có cơ hội trúng 1 chiếc xe Sh, chỉ cần bạn tải tập tin
ABC này về ( ABC chính là phần mềm virus chúng đã đổi tên ).
Kẻ viết ra Trojan có thể lợi dụng cửa sau này để biến hệ thống của bạn trở thành một
thành viên trong mạng Botnet, sử dụng kết nối Internet của bạn để thực hiện các hoạt động bất
hợp pháp, tải về các chương trình malware khác hay bất cứ điều gì khác mà chúng muốn.

1.2.2.7 Mối đe dọa liên tục nâng cao (Advanced Persistent Threat -APT)
Advanced Persistent Threat là thuật ngữ để chỉ những mối nguy hiểm chưa được phát
hiện. Đây là một trong những loại nguy hiểm thuộc hàng cao nhất, vì nó là những mối nguy
hiểm được tạo ra nhằm vào những cuộc tấn công có chủ đích mang tính chất lâu dài nhắm vào
các tổ chức cao cấp, chính phủ hoặc các cơng ty tầm cỡ quốc tế. Hậu quả của các cuộc tấn
công này rất lớn:
 Bị đánh cắp tài sản trí tuệ (ví dụ bí mật thương mại hoặc bằng sáng chế…).

SVTH: LÊ VĂN TÀI

LỚP: D14CQVT01-N

11


CHƢƠNG I: AN NINH MẠNG DOANH NGHIỆP
 Thông tin

nhạy cảm bị xâm nhập (ví dụ dữ liệu các nhân và nhân viên…).
 Cơ sở hạ tầng quan trọng của tổ chức bị phá hủy (ví dụ cơ sở dữ liệu, máy chủ quản
trị…).

 Chiếm

đoạt toàn bộ tên miền của tổ chức
“Vịng đời” của một cuộc tấn cơng APT được mơ tả theo ba giai đoạn chính như sau,
mỗi giai đoạn có thể có nhiều bước:

Hình 1.9: Vịng đời cuộc tấn công APT
Thông thường, APT lợi dụng những lỗ hỏng của chương trình, phần mềm (hệ thống)
chưa được vá lỗi để tấn công đồng loạt vào hệ thống mạng (Zero day attack). Những mối
nguy hiểm này rất khó để phát hiện vì chưa bao giờ xuất hiện nên rất khó để ngăn chặn, chỉ
tới khi hệ thống bị tê liệt thì lúc đó người dung mới biết đến sự tồn tại của nó, nhưng lúc đó
thì đã q muộn.
Một ví dụ điển hình là một con viruses tên là Stuxnet đã từng xâm nhập vào hệ thống
hạt nhân của Iran và đã từng đánh sập và gây tê liệt hệ thống trước khi bị phát hiện.

1.2.3 Các phƣơng thức tấn công phổ biến
1.2.3.1 Tấn công từ chối dịch vụ DoS (Denial of Service) và Tấn công từ chối dịch
vụ phân tán DDoS (Distributed Denial of Service)
Đây là kiểu tấn cơng có sự khác biệt với các kiểu tấn công khác, bởi vì khơng nhằm
vào mục đích chiếm quyền truy xuất vào hệ thống để ăn cắp thông tin mà chỉ nhằm vào mục
đích ngăn chặn hoạt động bình thường của hệ thống, đặc biệt là các hệ thống phục vụ trên
mạng công cộng như Web Server, Mail Server…
Tấn công kiểu này rất dễ thực hiện bởi vì chúng tận dụng các điểm yếu của giao thức,
các sơ hở về bảo mật của hệ thống (cấu hình Firewall), các lỗ hổng của phần mềm, sự hạn chế
của tài nguyên như băng thông hệ thống, năng lực của máy chủ (CPU,RAM,…) hay dựa vào
lưu lượng mạng được phép lưu thông của hệ thống do đó từ chối dịch vụ rất khó loại bỏ trong

SVTH: LÊ VĂN TÀI

LỚP: D14CQVT01-N


12


CHƢƠNG I: AN NINH MẠNG DOANH NGHIỆP
hệ thống mạng. Tấn công từ chối dịch vụ thường được thực hiện thông qua mạng Internet,
nhưng cũng có thể xuất phát từ bên trong nội bộ hệ thống dưới dạng các tác động của phần
mềm độc như Trojan, Worm.
Có hai kỹ thuật thường dùng đế gây ra tấn công từ chối dịch vụ là:
Ping of death: gửi các gói tin liên tục với số lượng các gói dữ liệu ICMP đến một
mạng nào đó, chiếm tồn bộ băng thơng kết nối và do đó gây tắc nghẽn mạng.
Buffer-overflow: tấn cơng vào các máy chủ bằng cách nạp dữ liệu vượt quá giới hạn
của bộ đệm (buffer) trên máy chủ, gây ra lỗi hệ thống.
Tấn công từ chối dịch vụ phân tán DDoS (Distributed Denial of Service) là phương thức
tấn công dựa trên nguyên tắc của DoS nhưng có mức độ nguy hiểm cao hơn do huy động
nhiều máy tính cùng tấn cơng vào một hệ thống duy nhất. Các máy tính này xuất phát từ
nhiều nguồn khác nhau.
Ở hình thức tấn cơng này, kẻ tấn cơng sẽ huy động nhiều máy tính trên mạng tham gia
từ chối dịch vụ phân tán bằng cách cài đặt phần mềm điều khiển từ xa lên các máy tính này.
Sau đó, kẻ tấn cơng sẽ sử dụng các máy tính này đồng loạt tấn cơng từ chối dịch vụ vào mục
tiêu trên hệ thống, gây cho mục tiêu khơng hoạt động bình thường được.

1.2.3.2 Tấn cơng giả danh (Spoofing Acttack)
Đây là một dạng tấn công bằng cách giả danh một đối tượng khác (một người sử dụng,
một máy tính với một địa chỉ IP xác định hoặc một phần mềm nào đó) để thực hiện các hành
vi như là giả danh địa chỉ e-mail của một người khác để gửi mail đến một người thứ ba, có thể
giả danh địa chỉ IP của máy khác để gửi dữ liệu với IP nguồn khơng phải của mình đến máy
tính khác, hoặc cũng có thể là giả danh một phần mềm như phần mềm Logon trên máy tính để
ăn cắp thông tin của phần mềm bị giả danh.


1.2.3.3 Tấn công xen giữa (Man-in-the-middle attack)
Đây là phương thức tấn công bằng cách xen vào giữa một thủ tục đang diễn ra, thường
xảy ra trên mạng IP, nhưng cũng có thể xảy ra trong nội bộ một máy tính.
Trên mạng, kẻ tấn cơng bằng một cách nào đó xen vào một kết nối, đặc biệt ở giai đoạn
thiết lập kết nối giữa người dùng với máy chủ, và thơng qua đó nhận được những thông tin
quan trọng của người dùng. Tấn công xen giữa đặc biệt phổ biến trên mạng không dây

Hình 1.10: Tấn cơng xen giữa (Man-in-the-middle attack)

SVTH: LÊ VĂN TÀI

LỚP: D14CQVT01-N

13


CHƢƠNG I: AN NINH MẠNG DOANH NGHIỆP
(wireless network) do đặc tính dễ xâm nhập của mơi trường khơng dây.
Cịn trên một máy tính, tấn cơng dạng này có thể được thực hiện dưới dạng một
chương trình thu thập thơng tin ẩn (Key-Logger), chương trình này sẽ âm thầm chặn bắt tất cả
những thông tin mà người dùng nhập vào từ bàn phím, trong đó có thể sẽ có nhiều thơng tin
quan trọng.

1.2.3.4 Tấn cơng mật khẩu
Là hình thức truy xuất trái phép vào hệ thống bằng cách dò mật khẩu. Có hai kỹ thuật
dị mật khẩu phổ biến:
 Dị tuần tự (Brute Force Attack): dò mật khẩu bằng cách thử lần lượt các tổ hợp
ký tự, thông thường việc này được thực hiện tự động bằng phần mềm. Mật khẩu
càng dài thì số lần thử càng lớn và do đó khó bị phát hiện hơn. Ngồi ra để ngăn
chặn việc thử mật khẩu nhiều lần, một số hệ thống ngắt kết nối nếu liên tiếp

nhận được mật khẩu sai sau một số lần nào đó.
 Dị theo tự điển (Dictionary Attack): thử lần lượt các mật khẩu mà người sử
dụng thường dùng. Để cho dơn giản, người sử dụng thường có thói quen nguy
hiểm là dùng những thơng tin dễ nhớ để làm mật khẩu, ví dụ như tên mình, ngày
sinh, số điện thoại,… một số hệ thống hạn chế nguy cơ này bằng cách định ra
các chính sách về mật khẩu (Password Policy), quy định độ khó tối thiểu của
mật khẩu, ví dụ mật khẩu phải khác với những thông tin liên quan đến cá nhân
người sử dụng, phải bao gồm cả chữ hoa và chữ thường, chữ cái và các mẫu tự
khác chữ cái,…

1.2.3.5 Tấn công phát lại
Trong phương thức tấn cơng này, các gói dữ liệu lưu thơng trên mạng được chặn bắt
và sau đó phát lại (Replay). Trong môi trường mạng, thông tin xác thực giữa người dùng và
máy chủ được truyền đi trên mạng. Đây là nguồn thông tin thường bị tấn công nhất. Nếu khi
phát lại, máy chủ chấp nhận thơng tin này thì máy tấn cơng có khả năng truy xuất vào máy
chủ với quyền của người dùng trước đó.

Hình 1.11: Tấn cơng phát lại

SVTH: LÊ VĂN TÀI

LỚP: D14CQVT01-N

14


CHƢƠNG II: TỔNG QUAN VỀ FIREWALL VÀ CÁC CÔNG NGHỆ TRÊN
FIREWALL

2 CHƢƠNG II: TỔNG QUAN VỀ FIREWALL VÀ CÁC

CÔNG NGHỆ TRÊN FIREWALL
2.1 Tổng quan về Firewall:
2.1.1 Khái niệm:
Tường lửa (Firewall) là một thuật ngữ dùng mô tả những thiết bị hay phần mềm có
nhiệm vụ lọc những thơng tin đi vào hay đi ra một hệ thống mạng hay máy tính theo những
quy định đã được cài đặt trước đó để bảo vệ một mạng máy tính chống lại sự truy nhập bất
hợp pháp từ các (mạng) máy tính khác. Firewall bao gồm các cơ cấu nhằm:
+ Ngăn chặn truy nhập bất hợp pháp.
+ Cho phép truy nhập sau khi đó kiểm tra tính xác thực của thực thể u cầu truy
nhập.
+ Quản lý thiết bị người dùng
Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một doanh nghiệp,
tổ chức, ngành hay một quốc gia, và Internet. Vai trị chính là bảo mật thơng tin, ngăn chặn sự
truy nhập khơng mong muốn từ bên ngồi (Internet) và cấm truy nhập từ bên trong (Intranet) tới
một số địa chỉ nhất định trên Internet.
Nhìn chung bức tường lửa có những thuộc tính sau:
+ Thơng tin giao lưu được theo hai chiều.
+ Chỉ những thông tin thoả mãn nhu cầu bảo vệ cục bộ mới được đi qua.
+ Bản thân bức tường lửa khơng địi hỏi q trình thâm nhập.

2.1.2 Mục đích của việc tạo ra bức tƣờng lửa:
*Tại sao cần Firewall?
Nếu máy tính của chúng ta khơng được bảo vệ bởi tường lửa, khi kết nối Internet, tất cả
các giao thơng ra vào mạng đều được cho phép, vì thế hacker, trojan, virus có thể truy cập và
lấy cắp thơng tin cá nhân của chúng ta trên máy tính.

Hình 2.1: Mơ hình cơ bản về việc sử dụng Firewall trong mạng

SVTH: LÊ VĂN TÀI


LỚP: D14CQVT01-N

15


CHƢƠNG II: TỔNG QUAN VỀ FIREWALL VÀ CÁC CÔNG NGHỆ TRÊN
FIREWALL
Mục tiêu của việc sử dụng tường lửa là tạo ra những kết nối an toàn từ vùng mạng bên
trong ra bên ngồi hệ thống, cũng như đảm bảo khơng có những truy cập trái phép từ bên
ngồi vào những máy chủ và thiết bị bên trong hệ thống mạng.
Chức năng chính của Firewall là kiểm sốt luồng thơng tin từ giữa Intranet và Internet.
Cụ thể là:
+ Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet).
+ Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào
Intranet).
+ Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.
+ Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.
+ Kiểm soát người sử dụng và việc truy nhập của người sử dụng.
+ Kiểm sốt nội dung thơng tin thơng tin lưu chuyển trên mạng.
 Xác thực quyền truy cập
Firewall có thể xác thực quyền truy cập bằng nhiều cơ cấu xác thực khác nhau. Thứ
nhất, Firewall có thể yêu cầu Username và Password của người dùng khi người dùng truy cập
(thường được biết đến như là Extended Authentication hoặc XAUTH). Sau khi Firewall xác
thực xong người dùng, Firewall cho phép người dùng thiết lập kết nối và sau đó khơng hỏi
Username và Password lại cho các lần truy cập sau (thời gian Firewall hỏi lại Username và
Password phụ thuộc vào cách cấu hình của người quản trị). Thứ hai, Firewall có thể xác thực
người dùng bằng Certificates và Public key. Thứ ba, Firewall có thể dùng Pre-shared keys
(PSKs) để xác thực người dùng.
 Hoạt động nhƣ một thiết bị trung gian
Khi user thực hiện kết nối trực tiếp ra bên ngoài sẽ đối mặt với vô số nguy cơ về bảo

mật như bị virus tấn công, nhiễm mã độc hại… do đó việc có một thiết bị trung gian đứng ra
thay mặt user bên trong để thực hiện kết nối ra bên ngoài là cần thiết để đảm bảo an toàn.
Firewall được cấu hình để thực hiện chức năng này và Firewall được ví như một proxy trung
gian.
 Bảo vệ tài nguyên
Nhiệm vụ quan trọng nhất của một Firewall là bảo vệ tài nguyên khỏi các mối đe dọa
bảo mật. Việc bảo vệ này được thực hiện bằng cách sử dụng các quy tắc kiểm soát truy cập,
kiểm tra trạng thái gói tin, dùng application proxies hoặc kết hợp tất cả để bảo vệ tài nguyên
khỏi bị truy cập bất hợp pháp hay bị lạm dụng. Tuy nhiên, Firewall không phải là một giải
pháp toàn diện để bảo vệ tài nguyên của chúng ta.
 Ghi nhận và báo cáo các sự kiện
Ta có thể ghi nhận các sự kiện của Firewall bằng nhiều cách nhưng hầu hết các Firewall
sử dụng hai phương pháp chính là syslog và proprietaty logging format. Bằng cách sử dụng
một trong hai phương pháp này, chúng ta có thể dễ dàng báo cáo các sự kiện xẩy ra trong hệ
thống mạng.

SVTH: LÊ VĂN TÀI

LỚP: D14CQVT01-N

16


CHƢƠNG II: TỔNG QUAN VỀ FIREWALL VÀ CÁC CÔNG NGHỆ TRÊN
FIREWALL
2.2 Phân loại Firewall
2.2.1 Firewall phần cứng
Điển hình là các tường lửa mạng, thiết bị mở rộng này được đặt giữa máy tính hoặc
mạng và cáp hoặc modem DSL. Nhiều hãng và nhà cung cấp dịch vụ Internet (ISP) đưa ra các
thiết bị “router” trong đó cũng bao gồm các tính năng tường lửa. Tường lửa phần cứng được

sử dụng có hiệu quả trong việc bảo vệ nhiều máy tính mà vẫn có mức bảo mật cao cho một máy
tính đơn. Nếu chúng ta chỉ có một máy tính phía sau tường lửa, hoặc nếu chúng ta chắc chắn
rằng tất cả các máy tính khác trên mạng được cập nhật các bản vá miễn phí về virus, worm và
các mã nguy hiểm khác thì chúng ta khơng cần mở rộng sự bảo vệ của một phần mềm tường
lửa. Tường lửa phần cứng có ưu điểm trong việc phân chia các thiết bị đang chạy trên hệ điều
hành riêng, vì vậy chúng cung cấp khả năng chống lại các tấn công.Một số loại Firewall cứng
như: Cisco, Fortinet, SonicWALL, ASA, Juniper…

 Đặc điểm của Firewall cứng:
 Hoạt động ở tầng Network và tầng Transport
 Tốc độ xử lý
 Tính bảo mật cao
 Tính linh hoạt thấp
 Khả năng nâng cấp thấp.
 Khơng kiểm tra được nội dung gói tin
Tuy nhiên hiện nay cũng có rất nhiều những Firewall cứng có thể tích hợp nhiều chức
năng. Ngoài làm chức năng tường lửa bảo mật, chúng cịn kém theo các module khác như
Routing, VPN…

Hình 2.2: Mơ hình Firewall cứng

SVTH: LÊ VĂN TÀI

LỚP: D14CQVT01-N

17


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×