Tải bản đầy đủ

Kiểm soát an ninh mạng máy tính và ứng dụng

i

LỜI CẢM ƠN
Lời đầu tiên tôi xin bày tỏ lòng biết ơn chân thành tới PGS.TS Trịnh Nhật
Tiến đã tận tình hướng dẫn, giúp đỡ để tôi có thể hoàn thành đề tài nghiên cứu này.
Tôi gửi lời cảm ơn tới các thầy, cô giáo Trường Đại học Công nghệ Thông
tin và Truyền thông - Đại học Thái Nguyên đã truyền đạt cho tôi những kiến thức
chuyên đề, là cơ sở để tôi tiếp cận các kiến thức khoa học cơ bản và kiến thức
chuyên ngành công nghệ thông tin. Tôi xin bày tỏ lòng biết ơn đối với các thầy cô
giáo Phòng Quản lý đào tạo sau đại học đã tạo điều kiện để tôi có được thời gian
học tập và nghiên cứu tốt nhất.
Tôi cũng đặc biệt muốn cảm ơn Sở Thông tin và Truyền thông và các sở,
ban, ngành của tỉnh Tuyên Quang đã tạo điều kiện thuận lợi, giúp đỡ tôi trong quá
trình tìm hiểu, nghiên cứu thực tế tại địa phương; cảm ơn sự giúp đỡ của gia đình,
bạn bè và các đồng nghiệp trong thời gian qua.
Mặc dù đã cố gắng rất nhiều, song do điều kiện về thời gian và kinh nghiệm
thực tế còn nhiều hạn chế nên không tránh khỏi thiếu sót. Vì vậy, tôi rất mong nhận
được ý kiến góp ý của các thầy cô cũng như bạn bè, đồng nghiệp.
Tôi xin chân thành cảm ơn!
Thái Nguyên, tháng 7 năm 2014
Nguyễn Thanh Tùng



ii

LỜI CAM ĐOAN
Tôi là Nguyễn Thanh Tùng, học viên lớp cao học khoá 2012-2014 ngành
CNTT, chuyên ngành Khoa học máy tính. Tôi xin cam đoan luận văn "Kiểm soát an
ninh mạng máy tính và ứng dụng" là do tôi nghiên cứu, tìm hiểu dưới sự hướng dẫn
của PGS.TS.Trịnh Nhật Tiến. Tôi xin chịu trách nhiệm về lời cam đoan này.
Thái Nguyên, tháng 7 năm 2014
Tác giả

Nguyễn Thanh Tùng
Lớp Cao học KHMT 2012-2014


iii

MỤC LỤC
LỜI CẢM ƠN ..........................................................................................................i
LỜI CAM ĐOAN ....................................................................................................ii
MỤC LỤC ............................................................................................................ iii
DANH MỤC HÌNH VẼ .......................................................................................... v
MỞ ĐẦU ................................................................................................................ 1
Chương 1. VẤN ĐỀ AN NINH MẠNG MÁY TÍNH .............................................. 3
1.1. TỔNG QUAN VỀ HẠ TẦNG MẠNG MÁY TÍNH ..................................... 3
1.1.1. Khái niệm mạng máy tính ....................................................................... 3
1.1.2. Các thiết bị kết nối mạng ......................................................................... 4
1.1.3. Các hình thức kết nối mạng ..................................................................... 4
1.1.4. Phân loại mạng máy tính ......................................................................... 6
1.2. CÁC HIỂM HOẠ TRÊN MẠNG MÁY TÍNH ........................................... 10
1.2.1. Xem trộm thông tin ............................................................................... 11
1.2.2. Mạo danh .............................................................................................. 11
1.2.3. Vi phạm Tính bí mật thông tin .............................................................. 11
1.2.4. Vi phạm Tính toàn vẹn thông tin ........................................................... 12
1.2.5. Sự can thiệp của Tin tặc (Hacker) ......................................................... 12
1.2.6. Vi phạm Tính toàn vẹn mã .................................................................... 12
1.2.7. Tấn công “Từ chối dịch vụ” .................................................................. 12
1.3. NGUYÊN NHÂN CỦA CÁC HIỂM HOẠ TRÊN MẠNG MÁY TÍNH ..... 13
1.3.1. Do Dùng chung tài nguyên mạng MT.................................................... 13

1.3.2. Do Sự phức tạp của hệ thống mạng MT ................................................ 13
1.3.3. Do Ngoại vi không giới hạn của mạng MT ............................................ 13
1.3.4. Do có Nhiều điểm tấn công ................................................................... 13
1.4. MỘT SỐ VẤN ĐỀ BẢO VỆ HỆ THỐNG VÀ MẠNG .............................. 13
1.4.1. Các vấn dề chung về bảo vệ hệ thống và mạng ...................................... 13
1.4.2. Một số khái niệm và lịch sử bảo vệ hệ thống ......................................... 14
1.4.3. Các loại lỗ hổng bảo vệ và phương thức tấn công mạng chủ yếu .......... 15
1.5. KẾT LUẬN CHƯƠNG ............................................................................... 18
Chương 2. KIỂM SOÁT AN NINH MẠNG MÁY TÍNH ..................................... 19
2.1. KIỂM SOÁT TRUY NHẬP MẠNG MÁY TÍNH ....................................... 19
2.1.1. Hiểm họa về an toàn đối với hệ thống máy tính ..................................... 19
2.1.2. Phương thức thực hiện các cuộc tấn công .............................................. 20
2.1.3. Các hình thức ngăn chặn và kiểm soát lối vào ra thông tin .................... 21


iv

2.1.4. Sử dụng mật khẩu một cách an toàn ...................................................... 25
2.2. KIỂM SOÁT VÀ XỬ LÝ CÁC “LỖ HỔNG” THIẾU AN NINH TRONG
MẠNG MÁY TÍNH .......................................................................................... 28
2.2.1. Khái niệm “lỗ hổng” trong ATTT ......................................................... 28
2.2.2. Phân loại lỗ hổng theo mức nguy hiểm .................................................. 28
2.2.3. “Lỗ hổng” trong hệ thống mạng ............................................................ 28
2.2.4. Xử lý các lỗ hổng thiếu an ninh bằng các phương pháp bảo vệ .............. 29
2.3. KIỂM SOÁT VÀ PHÒNG CHỐNG CÁC DẠNG "TẤN CÔNG" VÀO
MẠNG MÁY TÍNH .......................................................................................... 32
2.3.1. Tấn công trên mạng ............................................................................... 32
2.3.2. Phòng chống các dạng tấn công vào mạng máy tính .............................. 33
2.4. MỘT SỐ CÔNG CỤ BẢO VỆ MẠNG MÁY TÍNH................................... 36
2.4.1. Tường lửa.............................................................................................. 36
2.4.2. Mạng riêng ảo ....................................................................................... 38
2.5. KẾT LUẬN CHƯƠNG ............................................................................... 43
Chương 3. ỨNG DỤNG MÃ NGUỒN MỞ CẤU HÌNH CÁC GÓI LỌC TIN ...... 44
3.1. BÀI TOÁN THỰC TẾ ................................................................................ 44
3.1.1. Khảo sát nhu cầu ................................................................................... 44
3.1.2. Mô hình................................................................................................. 44
3.1.3. Giải pháp ............................................................................................... 45
3.2. CÀI ĐẶT CẤU HÌNH CÁC GÓI LỌC TIN................................................ 45
3.2.1. Firewall IPtable trên Redhat .................................................................. 45
3.2.2. Cấu hình Iptable ................................................................................... 51
3.2.3. Ứng dụng Iptables làm IP Masquerading ............................................... 54
3.2.4. Ứng dụng IPTABLES làm NAT........................................................... 62
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN.............................................................. 73
TÀI LIỆU THAM KHẢO ..................................................................................... 74


v

DANH MỤC CÁC CHỮ VIẾT TẮT

Viết tắt

Tiếng Anh

ATTT

Tiếng Việt

HTTP

Hypertext Transfer Protocol

HTTPS

Hypertext Transfer Protocol Secure

IP
LAN

Internet Protocol
Local Area Network

An toàn thông tin
Giao thức cấu hình động
máy chủ
Hệ thống tên miền
Giao thức truyền tập tin
Mạng toàn cầu
Giao diện người dùng đồ
họa
Hệ điều hành
Giao thức truyền tải siêu
văn bản
Là một sự kết hợp
giữa giao thức HTTP
và giao thức bảo mật SSL
hay TLS.
Giao thức Internet
Mạng nội bộ

MAN

Metropolitan Area Network

Mạng đô thị

DNS
FTP
GAN

Dynamic Host Configuration
Protocol
Domain Name System
File Transfer Protocol
Global Area Network

GUI

Graphical User Interface

DHCP

HĐH

MT

Máy tính

OSI

Open Systems Interconnection
Reference Model

TCP

Transmission Control Protocol

WAN

Wide Area Network

Mô hình tham chiếu kết
nối các hệ thống mở
Giao thức Điều Khiển
Truyền Thông
Mạng diện rộng


vi

DANH MỤC HÌNH VẼ
Số hiệu hình vẽ

Tên hình vẽ

Hình 1.1

Kết nối hình sao

Hình 1.2

Kết nối dạng đường thẳng

Hình 1.3

Kế nối dạng đường tròn

Hình 1.4

Kết nối vệ tinh

Hình 1.5

Xem trộm thông tin

Hình 1.6

Mạo danh

Hình 1.7

Sửa nội dung thông tin

Hình 2.1

Hacker

Hình 2.2

Mật khẩu là cách thức bảo vệ cơ bản nhất

Hình 2.3

Sử dụng và cất giữ mật khẩu một cách an toàn

Hình 2.4

Mô hình mạng đa nền tảng

Hình 2.5

Tường lửa cứng

Hình 2.6

Tường lửa mềm

Hình 2.7

Mạng riêng ảo

Hình 2.8

Truy nhập từ xa

Hình 2.9

Đặc trưng của máy khách VPN

Hình 3.1

Mô hình tường lửa bảo vệ mạng

Hình 3.2

Đường đi của packet

Hình 3.3

Mô hình kết nối máy Linux và Anybox

Hình 3.4

Mô hình kết nối máy Linux với mạng nội bộ và Internet


1

MỞ ĐẦU
1. Lý do chọn đề tài
Hiện nay các cơ quan, tổ chức đều có hệ thống mạng máy tính riêng kết nối
với mạng Internet và ứng dụng nhiều tiện ích CNTT trong công tác chuyên môn,
nghiệp vụ. Việc làm này đã góp phần tích cực trong quản lý, điều hành, kết nối,
quảng bá và là chìa khoá thành công cho sự phát triển chung của họ. Trong các hệ
thống mạng máy tính đó có chứa rất nhiều các dữ liệu, các thông tin quan trọng liên
quan đến hoạt động của các cơ quan, tổ chức. Điều này hấp dẫn, thu hút các kẻ tấn
công. Công nghệ về máy tính và mạng máy tính liên tục phát triển và thay đổi, các
phần mềm mới liên tục ra đời mang đến cho con người nhiều tiện ích hơn, lưu trữ
được nhiều dữ liệu hơn, tính toán tốt hơn, sao chép và truyền dữ liệu giữa các máy
tính nhanh chóng thuận tiện hơn,....Nhưng bên cạnh đó, hệ thống mạng vẫn còn tồn
tại nhiều lỗ hổng, các nguy cơ về mất an toàn thông tin. Các vụ xâm nhập mạng lấy
cắp thông tin nhạy cảm cũng như phá hủy thông tin diễn ra ngày càng nhiều, thủ
đoạn của kẻ phá hoại ngày càng tinh vi.
Vấn đề an ninh mạng máy tính đã được biết đến khá nhiều trên thế giới và
hiện nay cũng đã có rất nhiều phương pháp kiểm soát an ninh mạng máy tính. Tuy
nhiên, ở địa phương hiện nay, vấn đề an ninh mạng máy tính vẫn chưa được nhận
thức một cách đầy đủ. Từ đó tôi lựa chọn đề tài "Kiểm soát an ninh mạng máy tính
và ứng dụng" là cơ sở nghiên cứu chính của luận văn này.
2. Đối tượng và phạm vi nghiên cứu
Đối tượng nghiên cứu:
Nghiên cứu các phương pháp kiểm soát an ninh mạng máy tính (Kiểm soát
truy nhập mạng máy tính; kiểm soát và xử lý các "lỗ hổng" thiếu an ninh trong
mạng máy tính; kiểm soát và phòng chống các dạng "tấn công" vào mạng máy
tính).
Phạm vi nghiên cứu:
Nghiên cứu về tường lửa và mạng riêng ảo. Ứng dụng tường lửa mã nguồn
mở cài đặt thử nghiệm chương trình.


2

3. Những nội dung nghiên cứu chính
Chương 1. Vấn đề an ninh mạng máy tính
Nội dung chương này nêu tổng quan về mạng máy tính, các hiểm hoạ trên
mạng máy tính và nguyên nhân của các hiểm hoạ.
Chương 2. Kiểm soát an ninh mạng máy tính
Nội dung chương này trình bày các phương pháp kiểm soát an ninh mạng
máy tính.
Chương 3. Ứng dụng mã nguồn mở để cấu hình các gói lọc tin
Giới thiệu về mô hình mạng máy tính tại địa phương và ứng dụng tường lửa
nguồn mở để kiểm soát an ninh mạng.


3

Chương 1. VẤN ĐỀ AN NINH MẠNG MÁY TÍNH
1.1. TỔNG QUAN VỀ HẠ TẦNG MẠNG MÁY TÍNH
1.1.1. Khái niệm mạng máy tính
1.1.1.1. Định nghĩa
Mạng máy tính là một tập hợp các máy tính được nối với nhau bởi môi
trường truyền (đường truyền) theo một cấu trúc nào đó và thông qua đó các máy
tính trao đổi thông tin qua lại cho nhau.
Môi trường truyền là hệ thống các thiết bị truyền dẫn có dây hay không dây
dùng để chuyển các tín hiệu điện tử từ máy tính này đến máy tính khác. Các tín hiệu
điện tử đó biểu thị các giá trị dữ liệu dưới dạng các xung nhị phân (on – off). Tất cả
các tín hiệu được truyền giữa các máy tính đều thuộc một dạng sóng điện từ. Tùy
theo tần số của sóng điện từ có thể dùng các môi trường truyền vật lý khác nhau để
truyền các tín hiệu. Ở đây môi trường truyền được kết nối có thể là dây cáp đồng
trục, cáp xoắn, cáp quang, dây điện thoại, sóng vô tuyến … Các môi trường truyền
dữ liệu tạo nên cấu trúc của mạng. Hai khái niệm môi trường truyền và cấu trúc là
những đặc trưng cơ bản của mạng máy tính.
1.1.1.2. Các thành phần cơ bản trong mạng máy tính
1/. Đường truyền vật lý
Đường truyền vật lý dùng để chuyển các tín hiệu điện tử giữa các máy tính.
Các tín hiệu điện tử đó biểu thị các giá trị dữ liệu dưới dạng các xung nhị phân (on off).
Các tín hiệu được truyền giữa các máy tính đều thuộc một dạng sóng điện từ
nào đó, chải từ các tần số radio tới sóng cực ngắn (viba) và tia hồng ngoại.
Tuỳ theo tần số của sóng điện từ có thể dùng các đường truyền vật lý khác
nhau để truyền các tín hiệu.
2/. Kiến trúc mạng
Kiến trúc mạng thể hiện cách kết nối các máy tính với nhau, cách kết nối các
máy tính được gọi là hình trạng (Topology) của mạng. Khi phân loại theo Topo
người ta phân loại thành mạng hình sao, tròn, tuyến tính ...


4

Tập hợp các quy tắc, quy ước mà tất cả các thực thể tham gia truyền thông
trên mạng được gọi là giao thức (Protocol) của mạng. Phân loại theo giao thức mà
mạng sử dụng người ta phân loại thành mạng TCPIP, NETBIOS ...
1.1.2. Các thiết bị kết nối mạng
1.1.2.1. Thiết bị chuyển mạch
Thực hiện chuyển tiếp dữ liệu giữa các thiết bị đầu cuối được kết nối trong
mạng. Nó có khả năng kết nối được nhiều segment lại với nhau tuỳ thuộc vào số
cổng (port) của nó.
1.1.2.2. Thiết bị dồn/tách kênh
Thực hiện kết nối nhiều thiết bị cuối có tốc độ trao đổi dữ liệu thấp, trên
cùng một đường truyền có dung lượng cao.
1.1.2.3. Các bộ tập trung
Thực hiện kết nối các thiết bị cuối.
1.1.2.4. Hệ thống truyền dẫn
Kết nối vật lý các thiết bị mạng máy tính với các thiết bị cuối.
Dữ liệu của các ứng dụng được truyền dưới dạng tín hiệu điện tử trên các hệ
thống truyền dẫn. Tín hiệu điện tử có thể ở dạng số hoá, hay ở dạng tương tự.
1.1.3. Các hình thức kết nối mạng
1.1.3.1. Kết nối Điểm - Điểm
1/. Kết nối hình sao

Hình 1.1 Kết nối hình sao


5

Kết nối hình sao bao gồm một trung tâm và các nút thông tin. Các nút thông
tin là các trạm đầu cuối, các máy tính và các thiết bị khác của mạng. Trung tâm của
mạng điều phối mọi hoạt động trong mạng với các chức nǎng cơ bản là:
- Xác định cặp địa chỉ gửi và nhận được phép chiếm tuyến thông tin và liên
lạc với nhau.
- Cho phép theo dõi và sử lý sai trong quá trình trao đổi thông tin.
- Thông báo các trạng thái của mạng...
2/. Kết nối theo đường tròn
Kết nối dạng này, bố trí theo dạng xoay vòng, đường dây cáp được thiết kế
làm thành một vòng khép kín, tín hiệu chạy quanh theo một chiều nào đó. Các nút
truyền tín hiệu cho nhau mỗi thời điểm chỉ được một nút mà thôi. Dữ liệu truyền đi
phải có kèm theo địa chỉ cụ thể của mỗi trạm tiếp nhận.
3/. Kết nối theo hình cây
Dữ liệu được truyền từ thiết bị cuối này đến thiết bị cuối khác theo hình cây.
4/. Kết nối toàn phần
Mỗi thiết bị cuối được kết nối với các thiết bị cuối còn lại.
1.1.3.2. Kết nối quảng bá
1/. Kết nối theo dạng đường thẳng
Các thiết bị cuối dùng chung một đường truyền. Tại một thời điểm chỉ có
một thiết bị cuối được phát số liệu, các thiết bị còn lại có thể thu số liệu.
ES

ES

ES

Hình 1.2 Kết nối dạng đường thẳng


6

2/. Kết nối theo dạng đường tròn
+ Về mặt vật lý, như kết nối điểm - điểm.
+ Về mặt thực hiện kết nối, có thuật toán kiểm soát truy nhập mạng dạng
đường tròn đảm bảo phương thức kết nối quảng bá: Tại một thời điểm chỉ có một
thiết bị cuối được phát số liệu, các thiết bị còn lại có thể thu số liệu.
ES

ES

ES

ES

Hình 1.3 Kế nối dạng đường tròn

3/. Kết nối vệ tinh
Một trạm vệ tinh thu phát số liệu với một nhóm các trạm mặt đất.

ES

ES

ES

Hình 1.4 Kết nối vệ tinh
1.1.4. Phân loại mạng máy tính
1.1.4.1. Phân loại mạng theo khoảng cách địa lý
Phân loại mạng theo khoảng cách địa lý là cách phân loại phổ biết và thông
dụng nhất. Theo cách phân loại này ta có các loại mạng sau:


7

1/. Mạng cục bộ
Mạng được cài đặt trong một phạm vi nhỏ (trong một toà nhà, một trường
học, ...); khoảng cách tối đa giữa các máy tính chỉ vài km trở lại.
2/. Mạng đô thị
Mạng được cài đặt trong phạm vi một đô thị hoặc một trung tâm kinh tế - xã
hội; khoảng cách tối đa giữa các máy tính khoảng vài chục km trở lại.
3/. Mạng diện rộng
Mạng trải rộng trong phạm vi một quốc gia, hoặc một nhóm các quốc gia.

Mạng WAN kết nối các mạng LAN.
4/. Mạng toàn cầu
Mạng trải rộng toàn cầu. Mạng Internet là ví dụ điển hình của mạng GAN.
Mạng "Internet" được xem như một "mạng của các mạng" hay một liên kết
mạng có tính toàn cầu.
1.1.4.2. Phân loại mạng theo hình trạng mạng
Phân loại mạng theo theo hình trạng của mạng ta có các loại sau:
1/. Mạng hình sao
Mạng hình sao có tất cả các trạm được kết nối với một thiết bị trung tâm có
nhiệm vụ nhận tín hiệu từ các trạm và chuyển đến trạm đích. Tùy theo yêu cầu
truyền thông trên mạng mà thiết bị trung tâm có thể là hub, switch, router hay máy
chủ trung tâm. Vai trò của thiết bị trung tâm là thiết lập các liên kết Point - to Point.
- Ưu điểm: Thiết lập mạng đơn giản, dễ dàng cấu hình lại mạng (thêm, bớt
các trạm), dễ dàng kiểm soát và khắc phục sự cố, tận dụng được tối đa tốc độ truyền
của đường truyền vật lý.
- Khuyết điểm: Độ dài đường truyền nối một trạm với thiết bị trung tâm bị
hạn chế (bán kính khoảng 100m với công nghệ hiện nay).


8

2/. Mạng tuyến tính
Tất cả các trạm phân chia trên một đường truyền chung (bus). Đường truyền
chính được giới hạn hai đầu bằng hai đầu nối đặc biệt gọi là terminator. Mỗi trạm
được nối với trục chính qua một đầu nối chữ T (T-connector) hoặc một thiết bị thu
phát (transceiver).
Mô hình mạng Bus hoạt động theo các liên kết Point - to - Multipoint hay
Broadcast.
- Ưu điểm: Dễ thiết kế và chi phí thấp.
- Khuyết điểm: Tính ổn định kém, chỉ một nút mạng hỏng là toàn bộ mạng bị
ngừng hoạt động.
3/. Mạng hình tròn
Trên mạng hình vòng (chu trình) tín hiệu được truyền đi trên vòng theo một
chiều duy nhất. Mỗi trạm của mạng được nối với nhau qua một bộ chuyển tiếp
(repeater) có nhiệm vụ nhận tín hiệu rồi chuyển tiếp đến trạm kế tiếp trên vòng.
Như vậy tín hiệu được lưu chuyển trên vòng theo một chuỗi liên tiếp các liên kết
Point - to - Point giữa các repeater.
- Ưu điểm: Mạng hình vòng có ưu điểm tương tự như mạng hình sao.
- Nhược điểm: Một trạm hoặc cáp hỏng là toàn bộ mạng bị ngừng hoạt động,
thêm hoặc bớt một trạm khó hơn, giao thức truy nhập mạng phức tạp.
4/. Mạng kết hợp
• Kết hợp hình sao và tuyến tính
Cấu hình mạng dạng này có bộ phận tách tín hiệu (splitter) giữ vai trò thiết bị
trung tâm, hệ thống dây cáp mạng cấu hình là Star Topology và Linear Bus
Topology.
Lợi điểm của cấu hình này là mạng có thể gồm nhiều nhóm làm việc ở cách
xa nhau, ARCNET là mạng dạng kết hợp Star Bus Network. Cấu hình dạng này đưa
lại sự uyển chuyển trong việc bố trí đường dây tương thích dễ dàng đối với bất cứ
toà nhà nào.
• Kết hợp hình sao và vòng


9

Cấu hình dạng kết hợp Star Ring Network, có một “thẻ bài” liên lạc (Token)
được chuyển vòng quanh một cái HUB trung tâm. Mỗi trạm làm việc được nối với
HUB - là cầu nối giữa các trạm làm việc và để tǎng khoảng cách cần thiết.
1.1.4.3. Phân loại mạng theo giao thức của mạng
Bộ giao thức TCP/IP được phát triển bởi trụ sở nghiên cứu các dự án cấp cao
của bộ quốc phòng Mỹ (DARPA) cho hệ thống chuyển mạch gói, là họ các giao
thức cùng làm việc với nhau để cung cấp phương tiện truyền thông liên mạng. Nó
gồm có 4 tầng và có các chức năng tương đồng với các tầng trong mô hình OSI:
- Network Access Layer (Tầng truy cập mạng) tương ứng hai tầng Physical
và Data Link trong mô hình OSI.
- Internet Layer tương ứng với tầng Network trong mô hình OSI.
- Transport (Host to Host) Layer tương ứng với tầng Transport trong mô hình
OSI.
- Application Layer tương ứng với ba tầng trên của mô hình OSI (Session,
Presentasion và Application).
1.1.4.4. Phân loại mạng theo phương pháp truyền thông tin
Các hệ thống chuyển mạch có ý nghĩa đặc biệt quan trọng đối với việc truyền
thông dữ liệu trong hệ thống mạng.
1/. Mạng chuyển mạch kênh
Khi có hai trạm cần trao đổi thông tin với nhau thì giữa chúng sẽ được thiết
lập một “kênh” cố định và được duy trì cho đến khi một trong hai bên ngắt kết nối.
Dữ liệu chỉ được truyền theo con đường cố định này. Kỹ thuật chuyển mạch kênh
được sử dụng trong các kết nối ATM (Asynchronous Transfer Mode) và Dial-up
ISDN (Integrated Services Digital Networks). Ví dụ về mạng chuyển mạch kênh là
mạng điện thoại.
Ưu điểm: Kênh truyền được dành riêng trong suốt quá trình giao tiếp do đó
tốc độ truyền dữ liệu được bảo đảm. Điều này là đặc biệt quan trọng đối với các ứng
dụng thời gian thực như audio và video.
Phương pháp chuyển mạch kênh có hai nhược điểm chính:


10

- Phải tốn thời gian để thiết lập đường truyền cố định giữa hai trạm.
- Hiệu suất sử dụng đường truyền không cao, vì có lúc trên kênh không có dữ
liệu truyền của hai trạm kết nối, nhưng các trạm khác không được sử dụng kênh
truyền này.
2/. Mạng chuyển mạch thông báo
Không giống chuyển mạch kênh, chuyển mạch thông báo không thiết lập liên
kết dành riêng giữa hai trạm giao tiếp mà thay vào đó mỗi thông báo được xem như
một khối độc lập bao gồm cả địa chỉ nguồn và địa chỉ đích. Mỗi thông báo sẽ được
truyền qua các trạm trong mạng cho đến khi nó đến được địa chỉ đích, mỗi trạm
trung gian sẽ nhận và lưu trữ thông báo cho đến khi trạm trung gian kế tiếp sẵn sàng
để nhận thông báo sau đó nó chuyển tiếp thông báo đến trạm kế tiếp, chính vì lý do
này mà mạng chuyển mạch thông báo còn có thể được gọi là mạng lưu và chuyển
tiếp (Store and Forward Network). Một ví dụ điển hình về kỹ thuật này là dịch vụ
thư điện tử (e-mail), nó được chuyển tiếp qua các trạm cho đến khi tới được đích
cần đến.
3/. Mạng chuyển mạch gói
Kỹ thuật này được đưa ra nhằm tận dụng các ưu điểm và khắc phục những
nhược điểm của hai kỹ thuật trên, đối với kỹ thuật này các thông báo được chia
thành các gói tin (packet) có kích thước thay đổi, mỗi gói tin bao gồm dữ liệu, địa
chỉ nguồn, địa chỉ đích và các thông tin về địa chỉ các trạm trung gian. Các gói tin
riêng biệt không phải luôn luôn đi theo một con đường duy nhất, điều này được gọi
là chọn đường độc lập (independent routing).
1.2. CÁC HIỂM HOẠ TRÊN MẠNG MÁY TÍNH [1]
Ngày nay khi sử dụng mạng máy tính có rất nhiều loại hiểm hoạ xảy ra, vậy
hiểm hoạ xuất hiện từ đâu?
Qua tìm hiểu ta thấy mạng máy tính có một số hiểm hoạ sau:


11

1.2.1. Xem trộm thông tin
Đây là hành động tin tặc chặn bắt thông tin lưu thông trên Mạng máy tính.
Chúng ta hãy lấy một bối cảnh sau: có ba nhân vật tên là Alice, Bob và
Trudy, trong đó Alice và Bob thực hiện trao đổi thông tin với nhau, còn Trudy là kẻ
xấu, đặt thiết bị can thiệp vào kênh truyền tin giữa Alice và Bob.
Trong trường hợp này Trudy chặn các thông điệp Alice gửi cho Bob, và
xem được nội dung của thông điệp.

Hình 1.5 Xem trộm thông tin
1.2.2. Mạo danh
Là hành động giả mạo một cá nhân hay một tiến trình hợp pháp, để nhận
được thông tin trực tiếp từ Mạng máy tính. Thường xảy ra trên mạng máy tính diện
rộng.
Với trường hợp này Trudy giả là Alice gửi thông điệp cho Bob. Bob không
biết điều này và nghĩ rằng thông điệp là của Alice.

Hình 1.6 Mạo danh
1.2.3. Vi phạm Tính bí mật thông tin
- Do chuyển sai địa chỉ đích.
- Do lộ thông tin trên đường truyền tại các bộ đệm, bộ chuyển mạch, bộ định
tuyến, các cổng, các máy chủ trung chuyển trên toàn mạng MT.


12

1.2.4. Vi phạm Tính toàn vẹn thông tin
Trong quá trình truyền tin, Tin tặc có thể sửa nội dung thông tin, hay do bị
nhiễu.
Trong trường hợp này, Trudy chặn các thông điệp Alice gửi cho Bob và
ngăn không cho các thông điệp này đến đích. Sau đó Trudy thay đổi nội dung của
thông điệp và gửi tiếp cho Bob. Bob nghĩ rằng nhận được thông điệp nguyên bản
ban đầu của Alice mà không biết rằng chúng đã bị sửa đổi.
1.2.5. Sự can thiệp của Tin tặc
Ngoài khả năng thực hiện các tấn công gây ra các hiểm hoạ trên, Tin tặc có
thể phát triển công cụ tìm kiếm các điểm yếu khác trên mạng MT và sử dụng chúng
theo mục đích riêng.

Hình 1.7 Sửa nội dung thông tin
1.2.6. Vi phạm Tính toàn vẹn mã
Là sự phá hoại mã khả thi, thường là cố ý nhằm xoá hoặc cài lại chương trình
trên máy chủ.
1.2.7. Tấn công “Từ chối dịch vụ”
Có thể do kết nối vào mạng bị sai lệch, hay do cố ý phá hoại, đưa vào các
thông báo giả làm gia tăng luồng tin (yêu cầu) vào một nút mạng, do đó nút mạng
này không đáp ứng được nhiều yêu cầu tại cùng một thời điểm.


13

1.3. NGUYÊN NHÂN CỦA CÁC HIỂM HOẠ TRÊN MẠNG MÁY TÍNH
1.3.1. Do Dùng chung tài nguyên mạng MT
Do dùng chung tài nguyên mạng MT, nên nhiều yêu cầu có thể truy nhập đến
các bộ phận kết nối mạng hơn tại các máy tính đơn lẻ, dẫn đến tình trạng quá tải.
1.3.2. Do Sự phức tạp của hệ thống mạng MT
Trên mạng MT có thể có nhiều Hệ điều hành (HĐH) khác nhau cùng hoạt
động, vì vậy HĐH mạng kiểm soát mạng thường phức tạp hơn HĐH trên một máy
tính. Sự phức tạp trên sẽ hạn chế sự An toàn thông tin trên mạng MT.
1.3.3. Do Ngoại vi không giới hạn của mạng MT
Tính chất mở rộng của mạng MT làm cho biên giới của mạng MT cũng bất
định. Một máy chủ có thể là một nút trên hai mạng khác nhau, vì vậy các tài nguyên
trên một mạng cũng có thể được người dùng của một mạng khác truy nhập tới. Đây
là một kẽ hở trong an ninh mạng MT.
1.3.4. Do có Nhiều điểm tấn công
Trong một máy đơn, các kiểm soát truy nhập sẽ bảo đảm ATTT trong Bộ xử
lý. Khi một dữ liệu lưu trên máy chủ cách xa người dùng, thì có thể bị các máy khác
đọc được trong quá trình sử dụng mạng MT.
1.4. MỘT SỐ VẤN ĐỀ BẢO VỆ HỆ THỐNG VÀ MẠNG
1.4.1. Các vấn đề chung về bảo vệ hệ thống và mạng [4]
Đặc điểm chung của một hệ thống mạng là có nhiều người sử dụng chung và
phân tán về mặt địa lý nên việc bảo vệ tài nguyên (mất mát hoặc sử dụng không hợp
lệ) phức tạp hơn nhiều so với việc môi trường một máy tính đơn lẻ, hoặc một người
sử dụng.
Trên thực tế là không một mạng nào đảm bảo là an toàn tuyệt đối, một hệ
thống dù được bảo vệ chắc chắn đến mức nào thì cũng có lúc bị vô hiệu hóa bởi
những kẻ có ý đồ xấu.
Trong nội dung đề tài là tìm hiểu về các phương pháp bảo mật cho mạng
LAN. Trong nội dung về lý thuyết của đề tài em xin trình bày về một số khái niệm
sau:


14

1.4.2. Một số khái niệm và lịch sử bảo vệ hệ thống
1.4.2.1. Đối tượng tấn công mạng
Đối tượng là những cá nhân hoặc tổ chức sử dụng những kiến thức về mạng
và các công cụ phá hoại (gồm phần cứng hoặc phần mềm) để dò tìm các điểm yếu
và các lỗ hổng bảo mật trên hệ thống, thực hiện các hoạt động xâm nhập và chiếm
đoạt tài nguyên trái phép.
Một số đối tượng tấn công mạng như:
Hacker: là những kẻ xâm nhập vào mạng trái phép bằng cách sử dụng các
công cụ phá mật khẩu hoặc khai thác các điểm yếu của thành phần truy nhập trên hệ
thống.
Masquerader: Là những kẻ giả mạo thông tin trên mạng như giả mạo địa chỉ
IP, tên miền, định danh người dùng…
Eavesdropping: Là những đối tượng nghe trộm thông tin trên mạng, sử dụng
các công cụ Sniffer, sau đó dùng các công cụ phân tích và debug để lấy được các
thông tin có giá trị.
Những đối tượng tấn công mạng có thể nhằm nhiều mục đích khác nhau như
ăn cắp các thông tin có giá trị về kinh tế, phá hoại hệ thống mạng có chủ định, hoặc
có thể đó là những hành động vô ý thức…
1.4.2.2. Các lỗ hổng bảo mật
Các lỗ hổng bảo mật là những điểm yếu trên hệ thống hoặc ẩn chứa trong
một dịch vụ mà dựa vào đó kẻ tấn công có thể xâm nhập trái phép vào hệ thống để
thực hiện những hành động phá hoại chiếm đoạt tài nguyên bất hợp pháp.
Có nhiều nguyên nhân gây ra những lỗ hổng bảo mật: Có thể do lỗi của bản
thân hệ thống, hoặc phần mềm cung cấp hoặc người quản trị yếu kém không hiểu
sâu về các dịch vụ cung cấp ...
1.4.2.3. Chính sách bảo mật
Chính sách bảo mật là tập hợp các quy tắc áp dụng cho những người tham
gia quản trị mạng, có sử dụng các tài nguyên và các dịch vụ mạng.
Đối với từng trường hợp phải có chính sách bảo mật khác nhau. Chính sách
bảo mật giúp người sử dụng biết trách nhiệm của mình trong việc bảo vệ các tài


15

nguyên trên mạng, đồng thời còn giúp cho nhà quản trị mạng thiết lập các biên pháp
đảm bảo hữu hiệu trong quá trình trang bị, cấu hình và kiểm soát hoạt động của hệ
thống và mạng.
1.4.3. Các loại lỗ hổng và phương thức tấn công mạng chủ yếu
1.4.3.1. Các loại lỗ hổng
Có nhiều các tổ chức đã tiến hành phân loại các dạng lỗ hổng đặc biệt. Theo
bộ quốc phòng Mỹ các loại lỗ hổng được phân làm ba loại như sau:
- Lỗ hổng loại C: Cho phép thực hiện các hình thức tấn công theo DoS
(Denial of Services - Từ chối dịch vụ) Mức độ nguy hiểm thấp chỉ ảnh hưởng tới
chất lượng dịch vụ, làm ngưng trệ gián đoạn hệ thống, không làm phá hỏng dữ liệu
hoặc đạt được quyền truy cập bất hợp pháp.
DoS là hình thức tấn công sử dụng các giao thức ở tầng Internet trong bộ
giao thức TCP/IP để làm hệ thống ngưng trệ dẫn đến tình trạng từ chối người sử
dụng hợp pháp truy nhập hay sử dụng hệ thống.
Các dịch vụ có lỗ hổng cho phép các cuộc tấn công DoS có thể được nâng
cấp hoặc sửa chữa bằng các phiên bản mới hơn của các nhà cung cấp dịch vụ. Hiện
nay chưa có một biện pháp hữu hiệu nào để khắc phục tình trạng tấn công kiểu này
vì bản thân thiết kế ở tầng Internet (IP) nói riêng và bộ giao thức TCP/IP nói chung
đã ẩn chứa những nguy cơ tiềm tàng của các lỗ hổng loại này.
- Lỗ hổng loại B: Cho phép người sử dụng có thêm các quyền trên hệ thống
mà không cần kiểm tra tính hợp lệ dẫn đến mất mát thông tin yêu cầu cần bảo mật.
Lỗ hổng này thường có trong các ứng dụng trên hệ thống. Có mức độ nguy hiểm
trung bình.
Lỗ hổng loại B này có mức độ nguy hiểm hơn lỗ hổng loại C. Cho phép
người sử dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập không hợp
pháp.
Một dạng khác của lỗ hổng loại B xảy ra với các chương trình viết bằng mã
nguồn C. Những chương trình viết bằng mã nguồn C thường sử dụng một vùng
đệm, một vùng trong bộ nhớ sử dụng để lưu trữ dữ liệu trước khi xử lý. Người lập


16

trình thường sử dụng vùng đệm trong bộ nhớ trước khi gán một khoảng không gian
bộ nhớ cho từng khối dữ liệu.
- Lỗ hổng loại A: Cho phép người ngoài hệ thống có thể truy cập bất hợp
pháp vào hệ thống. Có thể làm phá huỷ toàn bộ hệ thống. Loại lỗ hổng này có mức
độ rất nguy hiểm đe dọa tính toàn vẹn và bảo mật của hệ thống. Các lỗ hổng này
thường xuất hiện ở những hệ thống quản trị yếu kém hoặc không kiểm soát được
cấu hình mạng. Ví dụ với các web server chạy trên hệ điều hành Novell các server
này có một scripst là convert.bas chạy scripst này cho phép đọc toàn bộ nội dung
các file trên hệ thống.
Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có trên phần
mềm sử dụng, người quản trị nếu không hiểu sâu về dịch vụ và phần mềm sử dụng
có thể bỏ qua điểm yếu này. Vì vậy thường xuyên phải kiểm tra các thông báo của
các nhóm tin về bảo mật trên mạng để phát hiện những lỗ hổng loại này. Một loạt
các chương trình phiên bản cũ thường sử dụng có những lỗ hổng loại A như: FTP,
Gopher, Telnet, Sendmail, ARP, finger...
1.4.3.2. Các hình thức tấn công mạng phổ biến
1/. Tự động rà soát
Scanner là một trương trình tự động rà soát và phát hiện những điểm yếu về
bảo mật trên một trạm làm việc cục bộ hoặc một trạm ở xa. Một kẻ phá hoại sử
dụng chương trình Scanner có thể phát hiện ra những lỗ hổng về bảo mật trên một
Server dù ở xa.
Cơ chế hoạt động là rà soát và phát hiện những cổng TCP/UDP được sử
dụng trên hệ thống cần tấn công và các dịch vụ sử dụng trên hệ thống đó. Scanner
ghi lại những đáp ứng trên hệ thống từ xa tương ứng với dịch vụ mà nó phát hiện ra.
Từ đó nó có thể tìm ra điểm yếu của hệ thống. Những yếu tố để một Scanner hoạt
động như sau:
Yêu cầu thiết bị và hệ thống: Môi trường có hỗ trợ TCP/IP Hệ thống phải kết
nối vào mạng Internet.
Các chương trình Scanner có vai trò quan trọng trong một hệ thống bảo mật,
vì chúng có khả năng phát hiện ra những điểm yếu kém trên một hệ thống mạng.


17

2/. Giải mã mật khẩu
Giải mã mật khẩu là một chương trình có khả năng giải mã một mật khẩu đã
được mã hoá hoặc có thể vô hiệu hoá chức năng bảo vệ mật khẩu của một hệ thống.
Một số chương trình phá khoá có nguyên tắc hoạt động khác nhau. Một số
chương trình tạo ra danh sách các từ giới hạn, áp dụng một số thuật toán mã hoá từ
kết quả so sánh với mật khẩu đã mã hoá cần bẻ khoá để tạo ra một danh sách khác
theo một logic của chương trình.
Khi thấy phù hợp với mật khẩu đã mã hoá, kẻ phá hoại đã có được mật khẩu
dưới dạng text. Mật khẩu text thông thường sẽ được ghi vào một file.
Biện pháp khắc phục đối với cách thức phá hoại này là cần xây dựng một
chính sách bảo vệ mật khẩu đúng đắn.
Sniffer là các công cụ (phần cứng hoặc phần mềm) ”bắt”các thông tin lưu
chuyển trên mạng và lấy các thông tin có giá trị trao đổi trên mạng.
3/. Bắt các thông tin
Sniffer có thể “bắt” được các thông tin trao đổi giữa nhiều trạm làm việc với
nhau. Thực hiện bắt các gói tin từ tầng IP trở xuống. Giao thức ở tầng IP được định
nghĩa công khai, và cấu trúc các trường header rõ ràng, nên việc giải mã các gói tin
này không khó khăn.
Mục đích của các chương trình sniffer đó là thiết lập chế độ promiscuous
(mode dùng chung) trên các card mạng ethernet - nơi các gói tin trao đổi trong
mạng - từ đó "bắt" được thông tin.
Các thiết bị sniffer có thể bắt được toàn bộ thông tin trao đổi trên mạng là
dựa vào nguyên tắc broadcast (quảng bá) các gói tin trong mạng Ethernet.
Tuy nhiên việc thiết lập một hệ thống sniffer không phải đơn giản vì cần phải
xâm nhập được vào hệ thống mạng đó và cài đặt các phần mềm sniffer.
Đồng thời các chương trình sniffer cũng yêu cầu người sử dụng phải hiểu sâu
về kiến trúc, các giao thức mạng. Việc phát hiện hệ thống bị sniffer không phải đơn
giản, vì sniffer hoạt động ở tầng rất thấp, và không ảnh hưởng tới các ứng dụng
cũng như các dịch vụ hệ thống đó cung cấp.


18

Tuy nhiên việc xây dựng các biện pháp hạn chế sniffer cũng không quá khó
khăn nếu ta tuân thủ các nguyên tắc về bảo mật như:
- Không cho người lạ truy nhập vào các thiết bị trên hệ thống.
- Quản lý cấu hình hệ thống chặt chẽ.
- Thiết lập các kết nối có tính bảo mật cao thông qua các cơ chế mã hoá.
1.5. KẾT LUẬN CHƯƠNG
Chương 1 đã trình bày tổng quan về mạng máy tính, các hiểm hoạ trên mạng
máy tính. Như đã nêu ở trên, các hiểm hoạ trên mạng máy tính có nhiều nguyên
nhân khác nhau. Dựa vào đó, có thể đưa ra các phương pháp kiểm soát, ngăn chặn,
phòng chống cho mạng máy tính.
Vấn đề đặt ra là làm thế nào để kiểm soát được an ninh mạng để từ đó đề ra
được các phương pháp phòng chống, ngăn chặn hiệu quả? Trong chương tiếp theo,
luận văn sẽ đi sâu vào phân tích các phương pháp kiểm soát mạng máy tính.


19

Chương 2. KIỂM SOÁT AN NINH MẠNG MÁY TÍNH
2.1. KIỂM SOÁT TRUY NHẬP MẠNG MÁY TÍNH
2.1.1. Hiểm họa về an toàn đối với hệ thống máy tính
Chúng ta sẽ đề cập tới các mối hiểm hoạ trên Internet mà người dùng máy
tính thông thường hay một mạng máy tính cục bộ có thể gặp phải như virus máy
tính, thư điện tử (email) không được chứng thực, và các hình thức tấn công của tội
phạm máy tính (tin tặc).
Một thực tế đáng buồn là có nhiều cá nhân sử dụng Internet mang chủ ý phá
hoại máy tính và gây hiểm hoạ cho những người sử dụng khác. Các cá nhân này còn
được gọi chung là kẻ tấn công (hacker, cracker). Các biện pháp mà họ sử dụng
thường thông qua email, virus, hay các tấn công trực tiếp vào các máy chủ của các
nhà cung cấp dịch vụ.

Hình 2.1 Hacker đa phần đều là người am hiểu về máy tính
Các kẻ tấn công đa phần là những kẻ có kỹ năng lập trình cao. Họ tạo ra các
chương trình virus, các chương trình chạy không đúng luật trong hệ thống máy tính,
và đánh lừa hệ thống mạng với các thông tin nguy hiểm. Một vài nhóm khác được
gọi là “nghệ sĩ của những bất lương” (scam artist) sử dụng Interrnet cho các hoạt
động thương mại gian lận như đánh cắp số thẻ tín dụng (credit card), và các thông
tin cá nhân.


Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay

×