HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
ĐINH PHƯƠNG NAM
ĐỀ XUẤT GIẢI PHÁP BẢO MẬT MẠNG CỤC BỘ TẠI
TRƯỜNG ĐẠI HỌC HẢI DƯƠNG
LUẬN VĂN THẠC SĨ KỸ THUẬT
HÀ NỘI – 2014
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
ĐINH PHƯƠNG NAM
ĐỀ XUẤT GIẢI PHÁP BẢO MẬT MẠNG CỤC BỘ TẠI
TRƯỜNG ĐẠI HỌC HẢI DƯƠNG
CHUYÊN NGÀNH : HỆ THỐNG THÔNG TIN
MÃ SỐ: 60.48.01.04 (Hệ thống thông tin)
LUẬN VĂN THẠC SĨ KỸ THUẬT
NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS. TRẦN ĐÌNH QUẾ
HÀ NỘI – 2014
LỜI CẢM ƠN
Lời đầu tiên em xin gửi lời cảm ơn đến toàn thể các Thầy, Cô giáo Học viện
Công nghệ Bưu chính Viễn thông đã tận tình chỉ bảo em trong suốt thời gian học
tập tại Nhà trường.
Em xin gửi lời cảm ơn sâu sắc đến PGS.TS. Trần Đình Quế, người đã trực
tiếp hướng dẫn, tạo mọi điều kiện thuận lợi và tận tình chỉ bảo cho em trong suốt
thời gian làm luận văn tốt nghiệp.
Bên cạnh đó, để hoàn thành luận văn này, em cũng đã nhận được rất nhiều sự
giúp đỡ, những lời động viên quý báu của các bạn bè, gia đình và đồng nghiệp. Em
xin chân thành cảm ơn.
Tuy nhiên, do thời gian hạn hẹp, mặc dù đã nỗ lực hết sức mình, nhưng chắc
rằng luận văn này khó tránh khỏi thiếu sót. Em rất mong nhận được sự thông cảm
và chỉ bảo tận tình của quý Thầy cô và các bạn.
HỌC VIÊN
Đinh Phương Nam
i

2.3.2. Các công cụ bảo mật hệ thống 16
2.3.2.1. Firewall 16
2.3.2.2. Chữ ký điện tử 19
2.3.2.3. Bảo mật trong IEEE 802.11 20
2.3.2.4. WLAN VPN 24
2.3.2.5. Lọc 25
2.3.2.6. Nguyên lý RADIUS Server 27
iii
2.3.2.7. Phương thức chứng thực mở rộng EAP 29
2.4. Kết luận 31
CHƯƠNG 3. GIẢI PHÁP BẢO MẬT 32
3.1. Vai trò của của mạng LAN trong giáo dục 32
3.2. Phân tích, đánh giá hiện trạng mạng cục bộ của
Trường Đại học Hải Dương 34
3.3. Đề xuất thực thi bảo mật mạng cục bộ tại Trường Đại
học Hải Dương 36
3.3.1. Đề xuất mô hình mạng LAN mới 36
3.3.2. Các bước thực thi bảo mật hệ thống 39
3.3.3. Thiết lập chế độ bảo mật cho hệ thống mạng 40
3.4. Kết luận 57
KẾT LUẬN 58
PHỤ LỤC 60
TÀI LIỆU THAM KHẢO 64
iv
Danh mục các từ viết tắt
STT Từ viết tắt Tên đầy đủ
1 ACL Access control lists
2 AES Advanced Encryption Standard
3 AH Authentication Header
4 AP Access Point

34 PKI Public Key Infrastructure
35 PSK Pre-sharing Key
36 RADIUS Remote Authentication Dial-In User Service
37 RTS Request To Send
38 SSID Service Set ID
39 STA Station
40 TACACS Terminal Access Controller Access Control System
41 TCP Transmission Control Protocol
42 TKIP Temporal Key Integrity Protocol
vi
43 UDP User Datagram Protocol
44 UNII Unlicense National Information Infrastructure
45 VPN Virtual Private Network
46 WAN Wide Area Network
47 WEP Wired Equivalent Privacy
48 WLAN Wireless Local Area Network
49 WPA Wi-Fi Protected Access
Danh mục các bảng
Số hiệu bảng Tên bảng Trang
Bảng 3.1. Các thông số của Router Cisco 1941/K9 38
Bảng 3.2. Các thông số của WAP610N 38
Danh mục các hình vẽ
Số hiệu
hình vẽ
Tên hình vẽ Trang
2.1 Mô hình bảo vệ LAN bằng Firewall 16
2.2 Mô hình sử dụng firewall phần cứng 17
2.3 Mô hình sử dụng Firewall phần mềm 17
2.4 Mô hình Packet-Filtering Router 18
2.5 Mô hình Screened Host Firewall 18

3.13 Tùy chọn thiết đặt setting cho Domain Profile 45
3.14 Tùy chon thiết đặt Logging cho Domain Profile 46
3.15 Thẻ IPsec Settings 46
3.16 Tùy chọn Key Exchange 47
3.17 Tùy chọn Data Protection 48
3.18 Tùy chọn Integrity Algorithms 48
3.19 Tùy chọn Integrity and Encryption Algorithms 49
3.20 Tùy chọn chứng thực 49
3.21 Chọn cài đặt RADIUS server for 802.1X 50
3.22 Chọn bảo mật các kết nối không dây 51
3.23 Tạo một entry máy khách RADIUS mới 51
3.24 Thêm các nhóm người dùng 52
3.25 Thiết lập VLAN 52
3.26 Thiết lập chế độ bảo mật WPA2 Enteprise cho AP 53
3.27 Thiết lập bảo mật trên máy khách 53
3.28 Cấu hình các thuộc tính PEAP 54
3.29 Cửa sổ đăng nhập 54
1
MỞ ĐẦU
Hiện đại-tiện ích-đa năng là những ưu điểm vượt trội khi nói về máy tính.
Chính vì lẽ đó mà ở bất kỳ đâu từ những gia đình, đến các công ty, những trường
học, bệnh viện hay bất cứ một môi trường kinh doanh nào cũng đều có sự xuất hiện
của máy tính.
Khi xã hội càng phát triển con người càng cần đến thông tin và chia sẻ thông
tin. Chính điều này đã tạo cơ hội cho chiếc máy tính phát huy hết những tiện ích
vốn có của mình. Một chiếc máy tính đơn lẻ đã làm nên bao điều kỳ diệu và khi kết
nối các máy tính lại với nhau thành một hệ thống thì điều kỳ diệu đó còn được nhân
lên rất nhiều lần.
Có lẽ nhờ hiểu rõ được tầm quan trọng và những ưu điểm vượt trội của hệ
thống mạng máy tính mà số lượng các công ty, doanh nghiệp, trường học… thiết

Một mạng LAN phải có khả năng nối các máy tính có công suất tính toán
khác nhau, chạy các hệ điều hành khác nhau và với các thủ tục truyền thông khác
nhau. Chương trình ứng dụng chạy trên máy tính, cùng với công suất tính toán của
nó, sẽ xác định dải thông (Bandwidth) cần thiết mà mạng LAN phải đảm bảo cho
nó để người sử dụng phải thấy là mạng phản ứng đủ nhanh.
Mạng Campus (khu Đại học) trước đây được dùng để chỉ mạng của một
trường Đại học, nhưng ngày nay nó có ý nghĩa rộng hơn. Campus là bất kỳ tổ chức
nào với một số tòa nhà nằm trên một diện tích do tổ chức đó kiểm soát, có nghĩa là
ta có thể nối các tòa nhà đó với nhau bằng cáp riêng của tổ chức. Với nghĩa đó,
Campus có thể là các Nhà máy, Văn phòng, các tòa nhà của cơ quan, các trường
Đại học, .v.v…
1.2. Quá trình phát triển của mạng cục bộ
1.2.1. Mạng LAN nối dây
Trong nhiều năm qua, LAN đã trở thành một công cụ có ý nghĩa chiến lược
trong hoạt động của hầu như mọi tổ chức, nhất là các Doanh nghiệp, đơn vị. Mạng
3
LAN được phát triển từ thủa ban đầu là để chia sẻ tài nguyên như Máy in và Đĩa
cứng, tiếp đến là việc hỗ trợ cấu trúc khách/chủ (Clien/Server), rồi đến mạng Doanh
nghiệp và ngày nay là mạng đa dịch vụ số.
Vào những năm 60 và 70 của thế kỷ XX, cấu trúc mạng chiếm ưu thế là cấu
trúc phân lớp, với công suất tính toán được tập trung ở máy tính lớn (Main Flame),
còn các Terminal thì không có công suất xử lý (Terminal câm).
Vào những năm 80, cùng với sự xuất hiện của PC, người sử dụng thấy rằng
họ có thể thỏa mãn một phần lớn nhu cầu tính toán của họ mà không cần tới máy
tính lớn. Việc tính toán và xử lý độc lập ngày càng phát triển và vai trò xử lý tập
trung ngày càng giảm dần. Sau đó, LAN và các tiêu chuẩn cho phép nối các máy
tính khác nhau để cùng hoạt động vì lợi ích chung đã xuất hiện.
Sau đây là một số mốc lịch sử:
- Năm 1979, truyền số liệu dạng đơn giản.
- Năm 1980, chuẩn Ethernet đầu tiên ra đời.

10Mb/s đến 10 Gigabit/s. Trong các kiểu Ethernet thì kiểu sử
dụng cáp xoắn đôi là thông
dụng nhất. Hiện nay có khoảng 85% mạng LAN sử dụng
công nghệ Ethernet.
Năm 1980, Xerox, tập đoàn Intel và tập đoàn Digital Equipment đưa ra tiêu
chuẩn Ethernet 10 Mbps (Tiêu chuẩn DIX).
IEEE (Institute of Electrical and Electronics Engineers, Inc - Viện công nghệ
điện và điện tử) đưa ra tiêu chuẩn về Ethernet đầu tiên vào năm 1985 với tên gọi
"IEEE 802.3 Carrier Sense Multiple Access with Collision Detection Access
Method and Physical Layer Specifications".
Gần đây, với các phương tiện truyền dẫn và công nghệ mới, công nghệ
Ethernet đã ngày càng phát triển và đạt được tốc độ trao đổi số liệu đến 10 Gigabit
5
trên giây.
Thành phần mạng Ethernet bao gồm:
- Data Terminal Equipment: Các thiết bị truyền và nhận dữ liệu Data Terminal
Equipments thường là máy tính, Workstation, File Server, Print Server
- Data Communication Equipment: Là các thiết bị kết nối mạng cho phép
nhận và chuyển khung trên mạng. Data Communication Equipment có thể là các thiết
bị độc lập như Repeter, Switch, Router hoặc các khối giao tiếp thông tin như Card
mạng, Modem
- Interconnecting Media: Cáp xoắn đôi, cáp đồng (mỏng/dày), cáp quang.
Những đặc điểm cơ bản của Ethernet
- Cấu hình truyền thống: Bus đường thẳng/ Star
- Cấu hình khác: Star bus
- Kỹ thuật truyền: Base band
- Phương pháp truy nhập: CSMA/CD.
- Quy cách kỹ thuật: IEEE 802.3.
- Vận tốc truyền 10Mbps, 100Mbps 10Gbps
- Loại cáp: Cáp đồng trục mảnh, cáp đồng trục dày, cáp xoắn đôi, cáp quang

BASE-FX dùng cho cáp quang, 100 BASE-T4 dùng cho cáp UTP 4 đôi (Four
Twisted Pairs).
10BROAD36: Dùng Broadband, tốc độ 10Mb/s, cáp đồng trục 75 Ohm,
phạm vi cáp 1800 m (lên tới 3600m trong cấu hình cáp đôi), sử dụng topo dạng BUS
1.2.2. Mạng LAN không dây (WLAN)
a. Khái niệm Wireless Lan
WLAN là một loại mạng máy tính nhưng việc kết nối giữa các thành phần
trong mạng không sử dụng các loại cáp như một mạng thông thường, môi trường
7
truyền thông của các thành phần trong mạng là không khí. Các thành phần trong
mạng sử dụng sóng điện từ để truyền thông với nhau.
b. Các chuẩn mạng WireLess Lan
Chuẩn 802.11
Năm 1997, Viện kỹ sư điện và điện tử (IEEE- Institute of Electrical and
Electronics Engineers) đưa ra chuẩn mạng nội bộ không dây (WLAN) đầu tiên –
được gọi là 802.11 [6] theo tên của nhóm giám sát sự phát triển của chuẩn này. Lúc
này, 802.11 sử dụng tần số 2,4GHz và dùng kỹ thuật trải phổ trực tiếp (Direct-
Sequence Spread Spectrum-DSSS) nhưng chỉ hỗ trợ băng thông tối đa là 2Mbps –
tốc độ khá chậm cho hầu hết các ứng dụng. Và do đó, các sản phẩm chuẩn không
dây này không còn được sản xuất nữa.
Chuẩn 802.11b
Từ tháng 6 năm 1999, IEEE bắt đầu mở rộng chuẩn 802.11 ban đầu và tạo ra
các đặc tả kỹ thuật cho 802.11b. Chuẩn 802.11b hỗ trợ băng thông lên đến 11Mbps,
ngang với tốc độ Ethernet thời bấy giờ. Đây là chuẩn WLAN đầu tiên được chấp
nhận trên thị trường, sử dụng tần số 2,4 GHz. Chuẩn 802.11b sử dụng kỹ thuật điều
chế khóa mã bù (Complementary Code Keying - CCK) và dùng kỹ thuật trải phổ
trực tiếp giống như chuẩn 802.11 nguyên bản. Với lợi thế về tần số (băng tần
nghiệp dư ISM 2,4GHz), các hãng sản xuất sử dụng tần số này để giảm chi phí sản
xuất. Nhưng khi đấy, tình trạng "lộn xộn" lại xảy ra, 802.11b có thể bị nhiễu do lò
vi sóng, điện thoại “mẹ bồng con” và các dụng cụ khác cùng sử dụng tần số

thức điều chế OFDM tương tự 802.11a nhưng lại dùng tần số 2,4GHz giống với
chuẩn 802.11b. Điều thú vị là chuẩn này vẫn đạt tốc độ 54Mbps và có khả năng
tương thích ngược với chuẩn 802.11b đang phổ biến.
Ưu điểm của 802.11g là tốc độ nhanh, tầm phủ sóng tốt và không dễ bị che
khuất. Nhược điểm của 802.11g là giá cao hơn 802.11b và có thể bị nhiễu bởi các
thiết bị gia dụng.
9
Chuẩn 802.11n
Chuẩn 802.11n cho phép kết nối với tốc độ 300 Mbps (có thể lên tới
600Mbps), và mở rộng vùng phủ sóng. 802.11n là mạng Wi-Fi đầu tiên có thể cạnh
tranh về mặt hiệu suất với mạng có dây 100Mbps. Chuẩn 802.11n hoạt động ở cả
hai tần số 2,4GHz và 5GHz với kỳ vọng có thể giảm bớt được tình trạng “quá tải” ở
các chuẩn trước đây.
Ưu điểm của 802.11n là tốc độ nhanh nhất, vùng phủ sóng tốt nhất; trở
kháng lớn hơn để chống nhiễu từ các tác động của môi trường. Nhược điểm của
802.11n là giá thành cao hơn 802.11g, sử dụng nhiều luồng tín hiệu có thể gây
nhiễu với các thiết bị 802.11b/g kế cận.
Một số chuẩn khác
Ngoài các chuẩn phổ biến trên, IEEE còn lập các nhóm làm việc độc lập để
bổ sung các quy định vào các chuẩn 802.11a, 802.11b, và 802.11g nhằm nâng cao
tính hiệu quả, khả năng bảo mật và phù hợp với các chuẩn cũ như: IEEE 802.11c,
IEEE 802.11d, IEEE 802.11e, IEEE 802.11f, …
1.3. Kết luận
Chương 1 trình bầy những nội dung cơ bản về mạng cục bộ (LAN) bao gồm
phần giới thiệu, quá trình phát triển của mạng cục bộ. Trong quá trình phát triển
không ngừng về mặt công nghệ mạng thì các chuẩn dành riêng cho mạng cục bộ lần
lượt ra đời như 802.3 cho mạng Ethernet, các chuẩn 802.11 cho mạng không dây.
10
CHƯƠNG 2. AN NINH MẠNG LAN
2.1. Mục tiêu của bảo mật trong mạng LAN

tượng kiểm
tra cần phải có những thông tin để định danh tính duy nhất của mình
ví dụ như
thông qua giọng nói, dấu vân tay, chữ ký
- Có thể phân loại bảo mật trên VPN theo các cách sau: mật khẩu truyền thống
hay mật khẩu một lần; xác thực thông qua các giao thức (PAP, CHAP, RADIUS…)
hay phần cứng (các loại thẻ card: smart card, token card, PC card), nhận diện sinh trắc
học (dấu vân tay, giọng nói, quét võng mạc ).
Tính khả dụng (Availability): Tính khả dụng là đặc tính mà thông tin trên
mạng được các thực thể hợp pháp tiếp cận và sử dụng theo yêu cầu, khi cần thiết bất
cứ khi nào, trong hoàn cảnh nào. Tính khả dụng nói chung dùng tỷ lệ giữa thời gian
hệ thống được sử dụng bình thường với thời gian quá trình hoạt động để đánh giá.
Tính khả dụng cần đáp ứng những yêu cầu sau:
Nhận biết và phân biệt thực thể, khống chế tiếp cận (bao gồm cả việc khống
chế tự tiếp cận và khống chế tiếp cận cưỡng bức), khống chế lưu lượng (chống tắc
nghẽn ), khống chế chọn đường (cho phép chọn đường nhánh, mạch nối ổn định, tin
cậy), giám sát tung tích (tất cả các sự kiện
phát sinh trong hệ thống được lưu giữ để
phân tích nguyên nhân, kịp thời dùng các biện pháp
tương ứng).
Tính bảo mật (Confidentialy): Tính bảo mật là đặc tính tin tức không bị tiết lộ
cho các thực thể hay quá trình không được uỷ quyền biết hoặc không để cho các đối
tượng đó lợi dụng. Thông tin chỉ cho phép thực thể được uỷ quyền sử dụng. Kỹ thuật
bảo mật thường là phòng ngừa
dò la thu thập (làm cho đối thủ không thể dò la thu
thập được thông tin), phòng ngừa bức xạ
(phòng ngừa những tin tức bị bức xạ ra
ngoài bằng nhiều đường khác nhau, tăng cường bảo mật thông tin (dưới sự khống
chế của khoá mật mã), bảo mật vật lý (sử dụng các phương pháp vật lý để đảm bảo
tin tức không bị tiết lộ).

làm dừng lại hoặc tắt hẳn các dịch vụ. Hậu quả có thể làm cho mạng bị chậm hẳn lại
hoặc không thể làm việc được nữa. Một ví dụ với mạng không dây là các tín hiệu từ
13
bên ngoài sẽ chiếm cứ và làm tắc nghẽn các thông tin trên đường truyền, điều này
rất khó kiểm soát vì đường truyền của mạng không dây là rất dễ bị xâm nhập.
Các mạng không dây rất nhạy cảm với việc tấn công DoS vì phương pháp
truyền tin sử dụng sóng vô tuyến của mình. Nếu một kẻ tấn công sử dụng một thiết
bị phát sóng mạnh, thì sẽ đủ để làm nhiễu hệ thống mạng, khiến cho các thiết bị
trong mạng không thể kết nối với nhau được. Các thiết bị tấn công DoS không cần
phải ở ngay gần các thiết bị bị tấn công, mà chúng chỉ cần trong phạm vi phủ sóng
của hệ thống mạng.
Một số kỹ thuật tấn công DoS với hệ thống mạng không dây:
- Yêu cầu việc chứng thực với một tần số đủ để chặn các kết nối hợp lệ.
- Yêu cầu bỏ chứng thực với các người dùng hợp lệ. Những yêu cầu này có
thể không bị từ chối bởi một số chuẩn 802.11.
- Giả tín hiệu của một access point để làm cho các người dùng hợp lệ liên lạc
với Nó.
- Lặp đi lặp lại việc truyền các khung RTS/CTS để làm hệ thống mạng bị tắc
nghẽn.
Trong phạm vi tần số 2.4 Ghz của chuẩn 802.11b, có rất nhiều các thiết bị
khác được sử dụng như điện thoại kéo dài, các thiết bị bluetooth. . . tất cả các thiết
bị này đều góp phần làm giảm và làm ngắt tín hiệu mạng không dây.
2.2.2. Tấn công bị động (Passive attacks)
Tấn công bị động là kiểu tấn công không tác động trực tiếp vào thiết bị nào
trên mạng, không làm cho các thiết bị trên mạng biết được hoạt động của nó, vì thế
kiểu tấn công này nguy hiểm ở chỗ nó rất khó phát hiện. Ví dụ như việc lấy trộm
thông tin trong không gian truyền sóng của các thiết bị sẽ rất khó bị phát hiện dù
thiết bị lấy trộm đó nằm trong vùng phủ sóng của mạng chứ chưa nói đến việc nó
được đặt ở khoảng cách xa và sử dụng anten được định hướng tới nơi phát sóng, khi
đó cho phép kẻ tấn công giữ được khoảng cách thuận lợi mà không để bị phát hiện.

(Simple Network anagement Protocol - giao thức quản lý mạng đơn giản). Những
15
yếu điểm này làm cho các mạng này trở thành những điểm trung gian để qua đó, kẻ
tấn công có thể tìm cách truy nhập đến đối tượng cần truy nhập khác.
2.2.3. Tấn công kiểu chèn ép (Jamming attacks)
Ngoài việc sử dụng phương pháp tấn công bị động, chủ động để lấy thông tin
truy cập tới mạng của bạn, phương pháp tấn công theo kiểu chèn ép. Jamming là
một kỹ thuật sử dụng đơn giản để làm mạng của bạn ngừng hoạt động. Phương thức
jamming phổ biến nhất là sử dụng máy phát có tần số phát giống tần số mà mạng sử
dụng để áp đảo làm mạng bị nhiễu, bị ngừng làm việc.
2.2.4. Tấn công theo kiểu thu hút (Man in the middle attacks)
Tấn công theo kiểu thu hút - Man in the middle attacks có nghĩa là dùng một
khả năng mạnh hơn (một AP giả mạo) chen vào giữa hoạt động của các thiết bị và
thu hút, giành lấy sự trao đổi thông tin của thiết bị về mình. Thiết bị chèn giữa đó
phải có vị trí, khả năng thu phát trội hơn các thiết bị sẵn có của mạng. Một đặc điểm
nổi bật của kiểu tấn công này là người sử dụng không thể phát hiện ra được cuộc
tấn công, và lượng thông tin mà thu nhặt được bằng kiểu tấn công này là giới hạn.
2.3. Các biện pháp và công cụ bảo mật hệ thống
2.3.1. Biện pháp kiểm soát truy nhập
Kiểm soát quyền truy nhập bảo vệ cho hệ thống mạng khỏi các mối đe dọa
bằng cách xác định cái gì có thể đi vào và đi ra khỏi mạng. Việc kiểm soát truy
nhập sẽ xác định trên mọi dịch vụ và ứng dụng cơ bản hoạt động trên hệ thống.
Kiểm soát sự xác thực người sử dụng là bước tiếp theo sau khi được truy
nhập vào mạng. Người sử dụng muốn truy nhập vào các tài nguyên của mạng thì sẽ
phải được xác nhận bởi hệ thống bảo mật. Có thể có mấy cách kiểm soát sự xác
thực người sử dụng:
- Xác thực người sử dụng: cung cấp quyền sử dụng các dịch vụ cho mỗi
người dùng. Mỗi khi muốn sử dụng một tài nguyên hay dịch vụ của hệ thống, anh ta
sẽ phải được xác thực bởi một máy chủ xác thực người sử dụng và kiểm tra xem có
quyền sử dụng dịch vụ hay tài nguyên của hệ thống không.