PHẦN I: TỔNG QUAN VỀ AN
TOÀN THÔNG TIN TRÊN MẠNG
An toàn thông tin là nhu cầu rất quan trọng đối với cá nhân cũng như
đối với xã hội và các quốc gia trên thế giới. Mạng máy tính an toàn thông tin
được tiến hành thông qua cá phương pháp vật lý và hành chính. Từ khi ra
đời cho đến nay mạng máy tính đã đem lại hiệu quả vô cùng to lớn trong tất
cả các lĩnh vực của đời sống. Bên cạnh đó người sử dụng phải đối mặt với
các hiểm họa do thông tin trên mạng của họ bị tấn công. An toàn thông tin
trên mạng máy tính bao gồm các phương pháp nhằm bảo vệ thông tin được
lưu giữ và truyền trên mạng. An toàn thông tin trên mạng máy tính là một
lĩnh vực đang được quan tâm đặc biệt đồng thời cũng là một công việc hết
sức khó khăn và phức tạp.
Thực tế đã chứng tỏ rằng có một tình trạng rất đáng lo ngại khi bị tấn
công thông tin trong quá trình xử lý, truyền và lưu giữ thông tin. Những tác
động bất hợp pháp lên thông tin với mục đích làm tổn thất, sai lạc, lấy cắp
các tệp lưu giữ tin, sao chép các thông tin mật, giả mạo người được phép sử
dụng thông tin trong các mạng máy tính. Sau đây là một vài ví dụ điển hình
về các tác động bất hợp pháp vào các mạng máy tính:
Các sinh viên trường Đại học Tổng hợp Mỹ đã lập và cài đặt vào máy
tính một chương trình bắt chước sự làm việc với người sử dụng ở xa. Bằng
chương trình họ đã nắm trước được nhu cầu của người sử dụng và hỏi mật
khẩu của họ. Đến khi bị phát hiện các sinh viên này đã kịp lấy được mật
khẩu của hơn 100 người sử dụng hợp pháp hệ thống máy tính.
Các nhân viên của hãng CDC(Mỹ) đã “xâm nhập” vào trung tâm tính
toán của một hãng sản xuất hóa phẩm và đã phá hủy các dữ liệu lưu giữ trên
băng từ gây thiệt hại cho hãng này tới hơn 100.000$.
Hãng bách khoa toàn thư của Anh đã đưa ra tòa 3 kĩ thuật viên trong
trung tâm máy tính của mình với lời buộc tội họ đã sao chép từ ổ đĩa của
máy chủ tên tuổi gần 3 triệu khách hàng đáng giá của hãng để bán cho hãng
khác.
Chiếm vị trí đáng kể hơn cả trong số các hành động phi pháp tấn công

trường hợp có được danh sách người sử dụng và những thông tin về môi
trường làm việc, có một trương trình tự động hoá về việc dò tìm mật khẩu
này.
Một chương trình có thể dễ dàng lấy được từ Internet để giải các
mật khẩu đã mã hoá của các hệ thống unix có tên là crack, có khả năng
thử các tổ hợp các từ trong một từ điển lớn, theo những quy tắc do người
dùng tự định nghĩa. Trong một số trường hợp, khả năng thành công của
phương pháp này có thể lên tới 30%.
Phương pháp sử dụng các lỗi của chương trình ứng dụng và bản
thân hệ điều hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn
được tiếp tục để chiếm quyền truy nhập. Trong một số trường hợp
phương pháp này cho phép kẻ tấn công có được quyền của người quản trị
hệ thống (root hay administrator).
Hai ví dụ thường xuyên được đưa ra để minh hoạ cho phương pháp
này là ví dụ với chương trình sendmail và chương trình rlogin của hệ điều
hành UNIX.
Sendmail là một chương trình phức tạp, với mã nguồn bao gồm
hàng ngàn dòng lệnh của ngôn ngữ C. Sendmail được chạy với quyền
ưu tiên của người quản trị hệ thống, do chương trình phải có quyền
ghi vào hộp thư của những người sử dụng máy. Và Sendmail trực
tiếp nhận các yêu cầu về thư tín trên mạng bên ngoài. Đây chính là
những yếu tố làm cho sendmail trở thành một nguồn cung cấp những lỗ
hổng về bảo mật để truy nhập hệ thống.
Rlogin cho phép người sử dụng từ một máy trên mạng truy nhập từ
xa vào một máy khác sử dụng tài nguyên của máy này. Trong quá trình
nhận tên và mật khẩu của người sử dụng, rlogin không kiểm tra độ
dài của dòng nhập, do đó kẻ tấn công có thể đưa vào một xâu đã được
tính toán trước để ghi đè lên mã chương trình của rlogin, qua đó chiếm
được quyền truy nhập.
1.2. Nghe trộm:

Đây không phải là một kiểu tấn công của những kẻ đột nhập, tuy
nhiên lỗi của người quản trị hệ thống thờng tạo ra những lỗ hổng cho
phép kẻ tấn công sử dụng để truy nhập vào mạng nội bộ.
1.6. Tấn công vào yếu tố con người:
Kẻ tấn công có thể liên lạc với một ngời quản trị hệ thống, giả làm
một người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy
nhập của mình đối với hệ thống, hoặc thậm chí thay đổi một số cấu hình
của hệ thống để thực hiện các phương pháp tấn công khác. Với kiểu tấn
công này không một thiết bị nào có thể ngăn chặn một cách hữu hiệu, và
chỉ có một cách giáo dục người sử dụng mạng nội bộ về những yêu cầu
bảo mật để đề cao cảnh giác với những hiện tượng đáng nghi. Nói chung
yếu tố con ngời là một điểm yếu trong bất kỳ một hệ thống bảo vệ nào,
và chỉ có sự giáo dục cộng với tinh thần hợp tác từ phía người sử dụng có
thể nâng cao được độ an toàn của hệ thống bảo vệ.
II. CÁC DỊCH VỤ BẢO VỆ THÔNG TIN
TRÊN MẠNG
Chúng ta có thể coi các dịch vụ bảo vệ thông tin như là “bản sao” của
các thao tác bảo vệ tài liệu vật lý. Các tài liệu vật lý có các chữ kí và thông
tin về ngày tạo ra nó. Chúng được bảo vệ nhằm chống lại việc đọc trộm, giả
mạo, phá hủy…Chúng có thể được công chứng, chứng thực, ghi âm, chụp
ảnh…
Tuy nhiên có các điểm khác nhau giữa tài liệu điện tử và tài liệu giấy:
- Ta có thể phân biệt giữa tài liệu giấy nguyên bản và một tài liệu
sao chép. Nhưng tài liệu điện tử chỉ là một dãy các bit nên không thể phân
bệt được đâu là tài liệu “nguyên bản” đâu là tài liệu sao chép.
- Một sự thay đổi trong tài liệu giấy đều để lại dấu vết như vết xóa,
tẩy…Tuy nhiên sự thay đổi tài liệu điện tử hoàn toàn không để lại dấu vết.
Dưới đây là các dịch vụ bảo vệ thông tin trên mạng máy tính.
2.1. Dịch vụ bí mật (Confidentiality)
Dịch vụ bí mật bảo đảm rằng thông tin trong hệ thống máy tính và

đổi, thay đổi trật tự hay dùng lại kể cả hủy hoại số liệu. Như vậy dịch vụ
toàn vẹn định hướng kết nối quan tâm đến cả việc thay đổi thông báo và
từ chối dịch vụ. Mặt khác, dịch vụ toàn vẹn phi kết nối chỉ quan tâm đến
việc sử đổi thông báo. Dịch vụ toàn vẹn này thiên về phát hiện hơn là
ngăn chặn.
2.4. Không thể chối bỏ (Nonrepudiation)
Dịch vụ không thể chối bỏ ngăn chặn người gửi hay người nhận
chối bỏ thông báo được truyền. Khi thông báo được gửi đi người nhận có
thể chứng minh rằng người gửi nêu danh đã gửi nó đi. Khi thông báo
nhận được, người gửi có thể chứng minh thông báo đã được nhận bởi
người nhận hợp pháp.
2.5. Kiểm soát truy nhập (Access control)
Kiểm soát truy nhập là khả năng hạn chế và kiểm soát truy nhập
đến các hệ thống máy tính và các ứng dụng theo các đường truyền thông.
Mỗi thực thể muốn truy nhập đuề phải định danh hay xác nhận có quyền
truy nhập phù hợp.
2.6. Sẵn sàng phục vụ (Availability)
Sẵn sàng phục vụ đòi hỏi rằng các tài nguyên hệ thống máy tính
luôn sẵn sàng đối với những bên được ủy quyền khi cần thiết.
Các tấn công có thể làm mất hoặc giảm khả năng sẵn sàng phục vụ
của các chương trình phần mềm và các tài nguyên phần cứng của mạng
máy tính. Các phần mềm hoạt động sai chức năng có thể gây hậu quả
không lường trước được.
Các mối đe dọa chủ yếu tới sự an toàn trong các hệ thống mạng xuất
phát từ tính mở của các kênh truyền thông (chúng là các cổng được dùng
cho truyền thông hợp pháp giữa các tiến trình như client, server) và hậu quả
là làm cho hệ thống bị tấn công. Chúng ta phải thừa nhận rằng trong mọi
kênh truyền thông, tại tất cả các mức của phần cứng và phần mềm của hệ
thống đều chịu sự nguy hiểm của các mối đe dọa đó.
Biện pháp để ngăn chặn các kiểu tấn công ở trên là:

thành viên thứ ba rằng một thông báo là một bản sao không bị thay đổi
của một thông báo được tạo bởi người ủy nhiệm đặc biệt. Khả năng để
cung cấp một chữ kí số dựa trên nguyên tắc : có những việc chỉ có người
ủy nhiệm là người gửi thực sự mới có thể làm còn những người khác thì
không thể. Điều này có thể đạt được bằng việc đòi hỏi một thành viên thứ
3 tin cậy mà anh ta có bằng chứng định danh của người yêu cầu để mã
thông báo hoặc để mã một dạng ngắn của thông báo được gọi là digest
tương tự như một checksum. Thông báo hoặc digest được mã đóng vai
trò như một chữ kí đi kèm với thông báo.
III.2 Cơ chế sát thực
Trong các hệ thống nhiều người dùng tập trung các cơ chế xác thực
thường là đơn giản. Định danh của người dùng có thể được xác thực bởi
việc kiểm tra mật khẩu của mỗi phiên giao dịch. Cách tiếp cận này dựa
vào cơ chế quản lí tài nguyên hệt thống của nhân hệ điều hành. Nó chặn
tất cả các phiên giao dịch mới bằng cách giả mạo người khác.
Trong các mạng máy tính, việc xác thực là biện pháp mà nhờ nó
các định danh của các máy chủ và các máy khách hàng được xác minh là
đáng tin cậy. Cơ chế được dùng để đạt điều này là dựa trên quyền sở hữu
các khóa mã. Từ thực tế rằng chỉ một người ủy nhiệm mới có quyền sở
hữu khóa bí mật, chúng ta suy ra rằng người ủy nhiệm chính là người có
định danh mà nó đòi hỏi. Việc sở hữu một mật khẩu bí mật cũng được
dùng để xác nhận định danh của người sở hữu. Các dịch vụ xác thực dựa
vào việc dùng mật mã có độ an toàn cao . Dịch vụ phân phối khóa có
chức năng tạo, lưu giữ và phân phối tất cả các khóa mật mã cần thiết cho
tất cả người dùng trên mạng.

III.3 Các cơ chế điều khiển truy nhập
Các cơ chế điều khiển truy nhập được dùng để đảm bảo rằng chỉ có
một số người dùng được gán quyền mới có thể truy nhập đến các tài
nguyên thông tin (tệp, tiến trình, cổng truyền thông…) và các tài nguyên

Lớp bảo vệ trong cùng là quyền truy nhập nhằm kiểm soát các tài
nguyên thông tin của mạng và quyền hạn của người sử dụng trên tài
nguyên đó. Hiện tại việc kiểm soát thường ở mức tệp.
• Đăng kí tên và mật khẩu:
Lớp bảo vệ tiếp theo là đăng kí tên/ mật khẩu (login/password).
Thực ra đây cũng là lớp kiểm soát quyền truy nhập, nhưng không phải
truy nhập ở mức thông tin mà ở mức hệ thống. Đây là phương pháp bảo
vệ phổ biến nhất vì nó đơn giản, ít phí tổn và cũng rất hiệu quả. Mỗi
người sử dụng, kể cả người quản trị mạng muốn vào được mạng để sử
Thông
tin
Quyền truy nhập
Login/password
Mã hóa dữ liệu
Bảo vệ vật lý
Firewall
dụng các tài nguyên của mạng đều phải đăng kí tên và mật khẩu trước.
Người quản trị mạng có trách nhiệm quản lí, kiểm soát mọi hoạt động
của mạng và xác định quyền truy nhập của những người sử dụng khác
tùy theo thời gian và không gian, nghĩa là một người sử dụng chỉ được
phép vào mạng ở những thời điểm và từ những vị trí xác định. Về lí
thuyết, nếu mọi người đều giữ kín được tên và mật khẩu đăng kí của
mình thì sẽ không xảy ra các truy nhập trái phép. Song điều đó rất khó
đảm bảo trong thực tế vì nhiều nguyên nhân, chẳng hạn như người sử
dụng thiếu cẩn thận khi chọn mật khẩu trùng với ngày sinh, tên người
thân hoặc ghi mật khẩu ra giấy…Điều đó làm giảm hiệu quả của lớp bảo
vệ này. Có thể khắc phục bằng nhiều cách như người quản trị có trách
nhiệm đặt mật khẩu, thay đổi mật khẩu theo thời gian…
• Mã hóa dữ liệu;
Để bảo mật thông tin truyền trên mạng, người ta sử dụng các

cách đồng bộ tất cả các phương tiện bảo vệ thông tin. Các phương pháp
bảo vệ thông tin bao gồm
• Các chướng ngại:
Chướng ngại là nhằm ngăn cản kẻ tấn công tiếp cận thông tin được
bảo vệ.
• Điều khiển sự tiếp cận:
Điều khiển sự tiếp cận là phương pháp bảo vệ thông tin bằng cách
kiểm soát việc sử dụng tất cả các tài nguyên của hệ thống. Trong một
mạng máy tính cần xây dựng các qui định rõ ràng và chặt chẽ về chế độ
làm việc của người sử dụng, các kĩ thuật viên sử dụng các chương trình
phần mềm, các cơ sở dữ liệu và các thiết bị mang tin.
Cần phải quy định thời gian làm việc trong tuần, trong ngày cho
người sử dụng và nhân viên kĩ thuật trên mạng. Trong thời gian làm việc,
cần phải xác định một danh mục những tài nguyên của mạng được phép
tiếp cận và trình tự tiếp cận chúng. Cần thiết phải có cả một danh sách
các cá nhân được quyền sử dụng các phương tiện kĩ thuật, các chương
trình.
Với các ngân hàng dữ liệu người ta cũng chỉ ra một danh sách
những người sử dụng dược quyền tiếp cận nó. Đối với các thiết bị mang
tin, phải xác định chặt chẽ vị trí lưu giữ thường xuyên, danh sách các cá
nhân có quyền nhận các thiết bị này.
Hình 3: Các phương pháp và phương tiện bảo vệ thông tin.
Các chướng
ngại
Điều khiển
Mã hóa thông
tin
Quy định
Cướng bức
Kích thích

của hệ thống phải tuân theo nguyên tắc xử lí và sử dụng thông tin cần bảo
vệ dưới áp lực của các hình phạt về tài chính và trách nhiệm hình sự.
• Kích thích:
Là các biện pháp động viên giáo dục ý thức, tính tự giác đối với
vấn đề bảo vệ thông tin người sử dụng.
Các phương pháp bảo vệ thông tin đã xét ở trên thường được thực
hiện bằng cách sử dụng các phương tiện bảo vệ khác nhau, đồng thời các
phương tiện bảo vệ này cũng được phân chia thành các phương tiện kĩ thuật,
các phương tiện chương trình, tổ chức, luật pháp và đạo đức.
Các phương tiện bảo vệ là tất cả các biện pháp tổ chức và kỹ thuật.
Các biện pháp tổ chức và pháp lí được thực hiện trong quá trình thiết kế và
vận hành hệ thống thông tin. Các biện pháp tổ chức cần được quan tâm một
cáh đầy đủ trong quá trình thiết kế, xây dựng và hoạt động của hệ thống.
Các phương tiện luật pháp bao gồm các điều khoản luật pháp của nhà
nước qui định về nguyên tắc sử dụng và xử lí thông tin, về việc tiếp cận có
hạn chế thông tin và những biện pháp xử lí khi vi phạm những nguyên tắc
đó.
Quá trình xây dựng hệ thống bảo vệ thông tin trải qua nhiều giai đoạn.
Trong giai đoạn đầu các phương tiện chương trình chiếm ưu thế phát triển
còn đến giai đoạn hai thì tất cả các phương tiện bảo vệ đều được quan tâm.
Nhưng đến giai đoạn ba thì hình thành rõ rệt các khuynh hướng sau:
- Tạo ra những thiết bị có chức năng bảo vệ cơ bản.
- Xây dựng các phương tiện bảo vệ phức hợp có thể thực hiện một
vài chức năng bảo vệ khác nhau.
- Thống nhất và chuẩn hóa các phương tiện bảo vệ.
PHẦN II: FIREWALL
A. GIỚI THIỆU VỀ FIREWALL
Ngày nay, ở bất kỳ đâu chúng ta cũng nghe nói đến mạng Internet, các
phương tiện thông tin đại chúng như báo chí, phát thanh, truyền hình…
Qua mạng Internet, con người có thể kinh doanh tiếp thị trên toàn cầu

hệ thống có thể sửa đổi, xóa bỏ hoặc làm hỏng thông tin quan trọng mang
tính sống còn cho các hoạt động của tổ chức.
- Tính kịp thời: Yêu cầu truy nhập thông tin vào đúng thời điểm cần
thiết.
Trong các yêu cầu này, thông thường yêu cầu về tính bí mật được
coi là yêu cầu số 1 đối với thông tin lưu trữ trên mạng. Tuy nhiên, ngay
cả khi những thông tin này không được giữ bí mật, thì những yêu cầu về
tính toàn vẹn cũng rất quan trọng. Không một cá nhân, một tổ chức nào
lãng phí tài nguyên vật chất và thời gian để lưu trữ những thông tin mà
không biết về tính đúng đắn của những thông tin đó.
1.2 Đối với tài nguyên
Tài nguyên nói ở đây bao gồm không gian bộ nhớ, không gian đĩa,
các chương trình ứng dụng, thời gian thực thi chương trình, năng lực của
bộ vi xử lí….
Trên thực tế, trong các cuộc tấn công trên Internet, kẻ tấn công, sau
khi đã làm chủ được hệ thống bên trong, có thể sử dụng các máy này để
phục vụ cho mục đích của mình nhằm chạy các chương trình dò mật khẩu
người sử dụng, sử dụng các liên kết mạng sẵn có để tiếp tục tấn công các
hệ thống khác vv...
1.3 Đối với uy tín
Một phần lớn các cuộc tấn công không được thông báo rộng rãi, và
một trong những nguyên nhân là nỗi lo bị mất uy tín của cơ quan, đặc
biệt là các công ty lớn và các cơ quan quan trọng trong bộ máy nhà nước.
Trong trường hợp người quản trị hệ thống chỉ được biết đến sau khi chính
hệ thống của mình được dùng làm bàn đạp để tấn công các hệ thống
khác, thì tổn thất về uy tín là rất lớn và có thể để lại hậu quả lâu dài.
II. PHÂN LOẠI KẺ TẤN CÔNG
Có rất nhiều kẻ tấn công trên mạng toàn cầu-Internet và chúng ta cũng
không thể phân loại chúng một cách chính xác, bất cứ một bản phân loại
kiểu này cũng chỉ nên được xem như là một sự giứi thiệu hơn là một cách