Nghiên cứu một số giải pháp bảo đảm an
ninh mạng, thử nghiệm áp dụng cho
trung tâm tích hợp dữ liệu tỉnh tuyên
quang
Biên tập bởi:
Đinh Việt Hải
Nghiên cứu một số giải pháp bảo đảm an
ninh mạng, thử nghiệm áp dụng cho
trung tâm tích hợp dữ liệu tỉnh tuyên
quang
Biên tập bởi:
Đinh Việt Hải
Phiên bản trực tuyến:
http://voer.edu.vn/c/5ad3fdec
MỤC LỤC
1. Tổng quan về an toàn hệ thống thông tin
2. Một số giải pháp nhằm đảm bảo an toàn an ninh mạng và bảo mật dữ liệu
Tham gia đóng góp
1/17
Tổng quan về an toàn hệ thống thông tin
Nguy cơ đe doạ an ninh, an toàn thông tin
Nguy cơ mất an toàn thông tin do nhiều nguyên nhân, đối tượng tấn công đa dạng…
Thiệt hại từ những vụ tấn công mạng là rất lớn, đặc biệt là những thông tin thuộc lĩnh
vực kinh tế, an ninh, quốc phòng… Do đó, việc xây dựng hàng rào kỹ thuật để ngăn
chặn những truy cập trái phép trở thành nhu cầu cấp bách trong các hoạt động truyền
thông.
Theo số liệu thống kê về hiện trạng bảo mật mới nhất công bố của Symantec, Việt Nam
đứng thứ 11 trên toàn cầu về các hoạt động đe dọa tấn công mạng. Những xu hướng đe
dọa bảo mật ngày càng gia tăng nổi bật hiện nay mà các tổ chức tại Việt Nam cần quan
tâm là: tấn công có chủ đích cao cấp, các mối đe dọa trên thiết bị di động, những vụ tấn
công độc hại và mất cắp dữ liệu. Thực tế, nguy cơ mất an ninh anh toàn mạng máy tính
Yếu tố thứ ba là danh tiếng một khi dữ liệu bị đánh cắp thì việc nghi ngờ nhau trong tổ
chức là điều không tránh khỏi, vì vậy sẽ ảnh hưởng đến danh tiếng của tổ chức rất nhiều.
Sau đây là một số phương thức bảo đảm an toàn, bảo mật thông tin, dữ liệu:
Mật mã (Cryptography): là việc thực hiện chuyển đổi dữ liệu theo một quy tắc nào đó
thành dạng mới mà kẻ tấn công không nhận biết được.
Xác thực (Authentication): là các thao tác để nhận dạng người dùng, nhận dạng client
hay server…
Ủy quyền (Authorization): chính là việc phân định quyền hạn cho mỗi thành phần đã
đăng nhập thành công vào hệ thống. Quyền hạn này là các quyền sử dụng dịch vụ, truy
cập dữ liệu…
Kiểm toán (Auditing): là các phương pháp để xác định được client đã truy cập đến dữ
liệu nào và bằng cách nào.
An toàn hệ thống và an toàn dữ liệu
Đối tượng tấn công mạng.
Là đối tượng sử dụng kỹ thuật về mạng để dò tìm các lỗ hổng bảo mật trên hệ thống để
thực hiện xâm nhập và chiếm đoạt thông tin bất hợp pháp.
Các đối tượng tấn công mạng:
Hacker: Xâm nhập vào mạng trái phép bằng cách sử dụng các công cụ phá mật khẩu
hoặc khai thác các điểm yếu của hệ thống.
3/17
Masquerader: Giả mạo thông tin, địa chỉ IP, tên miền, định danh người dùng…
Eavesdropping: Là đối tượng nghe trộm thông tin trên mạng để lấy cắp thông tin.
Các lỗ hổng trong bảo mật và phương thức tấn công mạng.
Là những điểm yếu trên hệ thống mà dựa vào đó đối tượng tấn công có thể xâm nhập
trái phép vào hệ thống.
Các loại lỗ hổng trong bảo mật:
• Lỗ hổng loại C: Cho phép thực hiện hình thức tấn công theo kiểu DoS (Denial
of Services – Từ chối dịch vụ) làm ảnh hưởng tới chất lượng dịch vụ, ngưng
trệ, gián đoạn hệ thống, nhưng không phá hỏng dữ liễu hoặc đoạt được quyền
truy cập hệ thống.
hacker khai thác tình trạng tràn bộ đệm này thì họ có thể làm cho hệ thống bị tê
liệt hoặc làm cho hệ thống mất khả năng kiểm soát.
• Nghe trộm: Các hệ thống trao đổi thông tin qua mạng đôi khi không được bảo
mật tốt và lợi dụng điều này, hacker có thể truy cập vào data paths để nghe
trộm hoặc đọc trộm luồng dữ liệu truyền qua.
Hacker nghe trộm sự truyền đạt thông tin, dữ liệu sẽ chuyển đến sniffing hoặc
snooping. Nó sẽ thu thập những thông tin quan trọng về hệ thống như một
packet chứa password và username của một ai đó.
• Kỹ thuật giả mạo địa chỉ: Thông thường, các mạng máy tính nối với Internet
đều được bảo vệ bằng tường lửa (fire wall). Tường lửa có thể hiểu là cổng duy
nhất mà người đi vào nhà hay đi ra cũng phải qua đó và sẽ bị “điểm mặt”.
Tường lửa hạn chế rất nhiều khả năng tấn công từ bên ngoài và gia tăng sự tin
tưởng lẫn nhau trong việc sử dụng tài nguyên chia sẻ trong mạng nội bộ.
Sự giả mạo địa chỉ nghĩa là người bên ngoài sẽ giả mạo địa chỉ máy tính của
mình là một trong những máy tính của hệ thống cần tấn công. Họ tự đặt địa chỉ
IP của máy tính mình trùng với địa chỉ IP của một máy tính trong mạng bị tấn
công. Nếu như làm được điều này, hacker có thể lấy dữ liệu, phá hủy thông tin
hay phá hoại hệ thống.
• Kỹ thuật chèn mã lệnh:Một kỹ thuật tấn công căn bản và được sử dụng cho một
số kỹ thuật tấn công khác là chèn mã lệnh vào trang web từ một máy khách bất
kỳ của người tấn công.
Kỹ thuật chèn mã lệnh cho phép người tấn công đưa mã lệnh thực thi vào phiên
làm việc trên web của một người dùng khác. Khi mã lệnh này chạy, nó sẽ cho
phép người tấn công thực hiện nhiều hành vi như giám sát phiên làm việc trên
trang web hoặc có thể toàn quyền điều khiển máy tính của nạn nhân. Kỹ thuật
tấn công này thành công hay thất bại tùy thuộc vào khả năng và sự linh hoạt
của người tấn công.
• Tấn công vào hệ thống có cấu hình không an toàn:Cấu hình không an toàn cũng
là một lỗ hổng bảo mật của hệ thống. Các lỗ hổng này được tạo ra do các ứng
dụng có các thiết lập không an toàn hoặc người quản trị hệ thống định cấu hình
một hệ thống nào đó, họ có thể thay đổi dữ liệu này mà không quan tâm
đến người gửi và người nhận nó.
◦ Password-base Attact: Thông thường, hệ thống khi mới cấu hình có
username và password mặc định. Sau khi cấu hình hệ thống, một số
admin vẫn không đổi lại các thiết lập mặc định này. Đây là lỗ hổng giúp
những người tấn công có thể thâm nhập vào hệ thống bằng con đường
hợp pháp. Khi đã đăng nhập vào, hacker có thể tạo thêm user, cài
backboor cho lần viếng thăm sau.
◦ Identity Spoofing: Các hệ thống mạng sử dụng IP address để nhận biết
sự tồn tại của mình. Vì thế địa chỉ IP là sự quan tâm hàng đầu của
những kẻ tấn công. Khi họ tấn công vào bất cứ hệ thống nào, họ đều
biết địa chỉ IP của hệ thống mạng đó. Thông thường, những kẻ tấn công
giả mạo IP address để xâm nhập vào hệ thống và cấu hình lại hệ thống,
sửa đổi thông tin, …
Chính sách bảo mật
Chính sách bảo mật là tập hợp các quy tắc áp dụng cho những người tham gia quản trị
mạng, có sử dụng các tài nguyên và các dịch vụ mạng.
6/17
Một số giải pháp nhằm đảm bảo an toàn an
ninh mạng và bảo mật dữ liệu
2.1. Thực trạng mất an ninh an toàn mạng
Trong hệ thống mạng, vấn đề an toàn và bảo mật thông tin đóng một vai trò hết sức quan
trọng. An toàn thiết bị, an toàn dữ liệu, tính bí mật, tin cậy (Condifidentislity), tính xác
thực (Authentication), tính toàn vẹn (Integrity), không thể phủ nhận (Non repudiation),
khả năng điều khiển truy nhập (Access Control), tính khả dụng, sẵn sàng (Availability)
2.2. Nghiên cứu một số giải pháp đảm bảo an ninh mạng
2.2.1. Công nghệ tường lửa (FireWall)
• Firewall mềm
Đặc điểm: Là những Firewall dưới dạng phần mềm được cài đặt trên Server.
Hình 2.2: Minh họa Firewall mềm
phương pháp phát hiện các cuộc tấn công xâm nhập:
- Dò tìm sự lạm dụng (Missuse Detection): Phương pháp này phân tích các hoạt động
của hệ thống, tìm kiếm dựa trên các dấu hiệu tấn công, tức là các sự kiện giống các mẫu
tấn công đã biết.
Ưu điểm: phát hiện các cuộc tấn công nhanh và chính xác, không đưa ra các cảnh báo
sai làm giảm khả năng hoạt động của mạng, giúp người quản trị xác định các lỗ hổng
bảo mật trong hệ thống của mình.
Nhược điểm: Không phát hiện được các tấn công không có trong mẫu, các tấn công
mới. Do đó hệ thống phải luôn cập nhật các mẫu tấn công mới.
Modul phản ứng:
8/17
Khi có dấu hiệu của sự tấn công hoặc xâm nhập thì modul phát hiện tấn công sẽ gửi tín
hiệu thông báo đến modul phản ứng. Khi đó, modul phản ứng sẽ kích hoạt Firewall thực
hiện chức năng ngăn chặn cuộc tấn công. Tại đây nếu chỉ đưa ra các cảnh báo tới người
quản trị và dừng lại ở đó thì hệ thống này được gọi là hệ thống phòng thủ bị động.
Một số kĩ thuật ngăn chặn:
- Chấm dứt phiên làm việc (Terminate Session): Hệ thống IPS gửi các gói tin reset thiết
lập lại cuộc giao tiếp tới Client và Server. Kết quả cuộc giao tiếp sẽ được bắt đầu lại và
cuộc tấn công bị ngừng lại.
Nhược điểm: thời gian gửi gói tin reset là quá chậm so với cuộc tấn công; phương pháp
này không hiệu quả với các giao thức hoạt động trên UDP như DNS; các gói reset phải
có trường Sequence number đúng thì server mới chấp nhận: Cảnh báo tức thì (Realtime
Alerting), Tạo ra bản ghi log (Log packet).
Ba modul trên hoạt động tuần tự tạo nên IPS hoàn chỉnh. IPS được xem là thành công
nếu chúng hội tụ được các yếu tố như thực hiện nhanh, chính xác, đưa ra các thông báo
hợp lý, phân tích được toàn bộ thông lượng, ngăn chặn thành công và có chính sách
quản lí mềm.
Những hạn chế của IDS /IPS.
So với Firewall, IDS/ IPS đã thể hiện được nhiều tính năng ưu việt. Nó không chỉ có khả
năng phát hiện ra các cuộc tấn công, mà còn chống lại các cuộc tấn công này một cách
sai làm giảm khả năng hoạt động của mạng, giúp người quản trị xác định các lỗ hổng
bảo mật trong hệ thống của mình.
Nhược điểm: Không phát hiện được các tấn công không có trong mẫu, các tấn công
mới. Do đó hệ thống phải luôn cập nhật các mẫu tấn công mới.
Modul phản ứng:
Khi có dấu hiệu của sự tấn công hoặc xâm nhập thì modul phát hiện tấn công sẽ gửi tín
hiệu thông báo đến modul phản ứng. Khi đó, modul phản ứng sẽ kích hoạt Firewall thực
hiện chức năng ngăn chặn cuộc tấn công. Tại đây nếu chỉ đưa ra các cảnh báo tới người
quản trị và dừng lại ở đó thì hệ thống này được gọi là hệ thống phòng thủ bị động.
Một số kĩ thuật ngăn chặn:
- Chấm dứt phiên làm việc (Terminate Session): Hệ thống IPS gửi các gói tin reset thiết
lập lại cuộc giao tiếp tới Client và Server. Kết quả cuộc giao tiếp sẽ được bắt đầu lại và
cuộc tấn công bị ngừng lại.
10/17
Nhược điểm: thời gian gửi gói tin reset là quá chậm so với cuộc tấn công; phương pháp
này không hiệu quả với các giao thức hoạt động trên UDP như DNS; các gói reset phải
có trường Sequence number đúng thì server mới chấp nhận: Cảnh báo tức thì (Realtime
Alerting), Tạo ra bản ghi log (Log packet).
Ba modul trên hoạt động tuần tự tạo nên IPS hoàn chỉnh. IPS được xem là thành công
nếu chúng hội tụ được các yếu tố như thực hiện nhanh, chính xác, đưa ra các thông báo
hợp lý, phân tích được toàn bộ thông lượng, ngăn chặn thành công và có chính sách
quản lí mềm.
Những hạn chế của IDS /IPS.
So với Firewall, IDS/ IPS đã thể hiện được nhiều tính năng ưu việt. Nó không chỉ có khả
năng phát hiện ra các cuộc tấn công, mà còn chống lại các cuộc tấn công này một cách
hữu hiệu. Tuy vậy hệ thống này vẫn còn những hạn chế sau:
Các sản phẩm IPS không thể nhận biết được trạng thái tầng ứng dụng (chỉ có thể nhận
biết được các dòng thông tin trên tầng mạng). Do vậy các cuộc tấn công trên tầng ứng
dụng sẽ không bị phát hiện và ngăn chặn.
Những hạn chế của IDS /IPS.
• Ưu điểm của VLAN
Lợi ích của VLAN là cho phép người quản trị mạng tổ chức mạng theo logic chứ không
theo vật lý nữa. Nhờ đó những công việc sau thực hiện dễ dàng hơn:
Có tính linh động cao: di chuyển máy trạm trong LAN dễ dàng.
Thêm máy trạm vào LAN dễ dàng: Trên một switch nhiều cổng, có thể cấu hình VLAN
khác nhau cho từng cổng, do đó dẽ dàng kết nối thêm các máy tính với các VLAN.
Tiết kiệm băng thông của mạng: do VLAN có thể chia nhỏ LAN thành các đoạn (là
một vùng quản bá). Khi một gói tin buảng bả, nó sẽ được truyền đi chỉ trong một
LAN duy nhất, không truyền đi ở các VLAN khác nên giảm lưu lượng quảng bá,
tiết kiệm băng thông đường truyền.
• Ứng dụng của VLAN
Sử dụng VLAN để tạo ra các LAN khác nhau của nhiều máy tính cùng văn phòng.
Sử dụng VLAN để tạo mạng dữ liệu ảo (Virtual Data Network - VAN).
12/17
Các loại VLAN
Có 3 loại thành viên VLAN để xác định và kiểm soát việc xử lý các gói dữ liệu: VLAN
dựa trên cổng (port based VLAN), VLAN theo địa chỉ MAC (MAC address based
VLAN), VLAN theo giao thức (protocol based VLAN).
Bảo mật tối đa giữa các VLAN, gói dữ liệu không “rò rỉ” sang các miền khác, dễ
dàng kiểm soát qua mạng.
Cấu hình VLAN
• Cấu hình VLAN cơ bản
Chúng ta có thể xây dựng VLAN cho mạng từ đầu cuối, đến đầu cuối hoặc theo
giới hạn địa lý.
Hình 2.6: VLAN từ đầu cuối – đến – đầu cuối
Một VLAN từ đầu cuối – đến đầu cuối có các đặc điểm sau:
Người dùng được phân nhóm VLAN hoàn toàn không phụ thuộc vào vị trí vật lý, chỉ
phụ thuộc vào chức năng công việc của nhóm.
Mọi users trong một VLAN đều có chung tỉ lệ giao thông là: 80% giao thông bên trong
và 20% giao thông bên ngoài VLAN.
Remote-Access: Hay cũng được gọi là Virtual Private Dial-up Network (VPDN), đây
là dạng kết nối Remote-Access VPN áp dụng cho các cơ quan mà các nhân viên có nhu
cầu kết nối tới mạng riêng (private network) từ các địa điểm từ xa.
Intranet/ Internal VPN: Trong một số tổ chức, quá trình truyền dữ liệu giữa một số bộ
phận cần bảo đảm tính riêng tư, không cho phép những bộ phận khác truy cập. Hệ thống
Intranet VPN có thể đáp ứng tình huống này.
2.2.3.2. Các giai đoạn của kết nối VPN
Để cung cấp kết nối giữa các máy tính, các gói thông tin được bao bọc bằng một header
có chứa những thông tin định tuyến, cho phép dữ liệu có thể gửi từ máy truyền qua môi
trường mạng chia sẻ và đến được máy nhận, như truyền trên các đường ống riêng được
gọi là tunnel.
Mã hoá kênh thông tin VPN
14/17
Khi truyền các gói tin, chúng ta cần phải áp dụng các cơ chế mã hóa và chứng thực để
bảo mật.
SSL (Secure Socket Layer),- IPSec (IP Security Tunnel Mode, PPTP (Point to Point
Tunneling Protocol), L2TP (Layer 2 Tunneling Protocol).
2.2.3.5. Bảo đảm an toàn thông tin
Xác thực, xác nhận và quản lý tài khoản (AAA - Authentication, Authorization,
Accounting): AAA được sử dụng để tăng tính bảo mật trong truy nhập từ xa của VPN.
Mã hoá dữ liệu (Enencryption): Đây là quá trình mật mã dữ liệu khi truyền đi khỏi máy
tính theo một quy tắc nhất định và máy tính đầu xa có thể giải mã được.
Hình 2.12: Hệ thống mã hoá máy tính
- Mã hoá sử dụng khoá riêng (Symmetric-key encryption): Nhược điểm chính của
phương pháp này là khóa được truyền trên môi trường mạng nên tính bảo mật không
cao. Ưu điểm là tốc độ mã hóa và giải mã rất nhanh.
- Mã hoá sử dụng khoá công khai(Public-key encryption): Hệ Public-key encryption sử
dụng một tổ hợp khoá riêng và khoá công cộng để thực hiện mã hoá, giải mã.
Các tiêu chuẩn mã hóa dữ liệu: Đưa ra bởi NIST (National Institute of Standard and
Technology, US). DES là một thuật toán khối với kích thước khối 64 bit và kích thước
Với sự hỗ trợ của Quỹ Việt Nam, Thư viện Học liệu Mở Việt Nam (VOER) đã trở thành
một cổng thông tin chính cho các sinh viên và giảng viên trong và ngoài Việt Nam. Mỗi
ngày có hàng chục nghìn lượt truy cập VOER (www.voer.edu.vn) để nghiên cứu, học
tập và tải tài liệu giảng dạy về. Với hàng chục nghìn module kiến thức từ hàng nghìn
tác giả khác nhau đóng góp, Thư Viện Học liệu Mở Việt Nam là một kho tàng tài liệu
khổng lồ, nội dung phong phú phục vụ cho tất cả các nhu cầu học tập, nghiên cứu của
độc giả.
Nguồn tài liệu mở phong phú có trên VOER có được là do sự chia sẻ tự nguyện của các
tác giả trong và ngoài nước. Quá trình chia sẻ tài liệu trên VOER trở lên dễ dàng như
đếm 1, 2, 3 nhờ vào sức mạnh của nền tảng Hanoi Spring.
Hanoi Spring là một nền tảng công nghệ tiên tiến được thiết kế cho phép công chúng dễ
dàng chia sẻ tài liệu giảng dạy, học tập cũng như chủ động phát triển chương trình giảng
dạy dựa trên khái niệm về học liệu mở (OCW) và tài nguyên giáo dục mở (OER) . Khái
niệm chia sẻ tri thức có tính cách mạng đã được khởi xướng và phát triển tiên phong
bởi Đại học MIT và Đại học Rice Hoa Kỳ trong vòng một thập kỷ qua. Kể từ đó, phong
trào Tài nguyên Giáo dục Mở đã phát triển nhanh chóng, được UNESCO hỗ trợ và được
chấp nhận như một chương trình chính thức ở nhiều nước trên thế giới.
17/17
Copyright: Tài liệu đại học ©