SlideShare a Scribd company logo

Mạng máy tính nâng cao

Download as DOCX, PDF
S
ssuserd16c49

mạng máy tính

Technology
1 of 20
TRƯỜNG ĐH SƯ PHẠM KỸ THUẬT VĨNH LONG KHOA CÔNG NGHỆ THÔNG TIN  Ngành: công nghệ thông tin Báo cáo nghiên cứu AN TOÀN MẠNG GVHD: TS. Lê Văn Lâm Người thực hiện: Nguyễn Văn Bình MSHV: 22004001 Tháng 10, Năm 2020
2 LỜI CẢM ƠN Lời đầu tiên, tôi xin gửi lời cảm ơn đến Ban Giám hiệu và quý Thầy, Cô Trường Đại học Sư phạm Kỹ Thuật Vĩnh Long những lời cảm ơn chân thành nhất, những người đã tạo điều kiện thật tốt cho tôi học tập và nghiên cứu để hoàn thành tiểu luận báo cáo. Tôi xin gửi lời tri ân sâu sắc đến thầy TS. Lê Văn Lâm, đã hết lòng hỗ trợ và giúp đỡ tôi trong suốt khoảng thời gian thực hiện tiểu luận. Sau cùng, xin chân thành gửi lời cảm ơn đến các anh chị học viên lớp Công nghệ thông tin đã đóng góp ý kiến, giúp đỡ và động viên tôi trong những lúc khó khăn và tiếp thêm cho tôi động lực để hoàn thành báo cáo này. Mặc dù đã cố gắng rất nhiều để thực hiện tiểu luận báo cáo trong phạm vi và khả năng nhưng chắc chắn sẽ không tránh khỏi những thiếu sót. Kính mong nhận được sự góp ý, chỉ dẫn tận tình của quý Thầy, Cô và các anh chị. Xin chân trọng cảm ơn!
3 MỤC LỤC Chương 1: MỞ ĐẦU 4 Chương 2: NỘI DUNG CỦA BẢO MẬT AN TOÀN MẠNG 2.1. VẤN ĐỀ MẠNG 2.1.1. Thu thập thông tin 5 2.1.2. Thẩm định tính rủi ro của hệ thống 5 2.2. XÂY DỰNG GIẢI PHÁP 2.2.1. Firewall 6 2.2.2. Hệ thống kiểm tra xâm nhập mạng (IDS) 6 2.2.3. Hệ thống kiểm tra xâm phạm dựa theo vùng (H-IDS) 6 2.2.4. Hệ thống kiểm tra xâm phạm dựa theo ứng dụng (App-IDS) 7 2.2.5. Phần mềm Anti-Virus (AV) 7 2.2.6. Mạng riêng ảo (VPN) 7 2.2.7. Sinh trắc học trong bảo mật 7 2.2.8. Các thế hệ thẻ thông minh 8 2.2.9. Kiểm tra máy chủ 8 2.2.10. Kiểm soát ứng dụng 8 2.2.11. Các hệ điều hành 8 2.3. BẢO MẬT MẠNG 2.3.1. Mục tiêu bảo mật mạng 9 2.3.2. Các giao thức mạng phổ biến 9 2.3.3. Bộ giao thức TCP/IP 9 2.3.4. Hệ thống tên miền (Domain Name System – DNS) 10 2.3.5. Tra cứu DNS 11 2.3.6. Giao thức truyền file (FTP) 11 2.3.7. Các quy tắc quản trị mạng 12 2.3.8. Cấu hình bộ định tuyến bảo mật 12 2.3.9. Quản lý thiết kế mạng 12 2.3.10. Quản lý mạng LAN ảo 13 2.3.11. Bảo mật cổng 13 2.3.12. Giới hạn và lọc địa chỉ MAC 14 2.3.13. IEEE 802.1x 14 2.3.14. Bảo mật mạng không dây 15 2.3.15. Các điểm yếu bảo mật của IEEE 802.11 17 2.3.16. Lan truyền SSID 18 Chương 3: KẾT LUẬN 19
4 Chương 1: MỞ ĐẦU - Khi cơ sở hạ tầng và các công nghệ mạng đã đáp ứng tốt các yêu cầu về băng thông, chất lượng dịch vụ, đồng thời thực trạng tấn công trên mạng đang ngày một gia tăng thì vấn đề bảo mật càng được chú trọng hơn. Không chỉ các nhà cung cấp dịch vụ Internet, các cơ quan chính phủ mà các doanh nghiệp, tổ chức cũng có ý thức hơn về an toàn thông tin. - Các vấn đề được xem là nền tảng của an toàn, bảo mật trong một tổ chức, doanh nghiệp. Các vấn đề được trình bày bao gồm cả bảo mật ở mức hệ thống và ứng dụng sẽ là cơ sở cho các tổ chức khi muốn xây dựng cơ chế bảo mật. - Với sự phát triển mạnh mẽ của không gian mạng, ngày nay, mọi hoạt động diễn ra trong thế giới thực đều có sự hỗ trợ đắc lực của các thiết bị thông minh; sự kết hợp giữa hệ thống ảo và thực thể đã làm thay đổi cách thức con người tiến hành công việc, tạo ra sản phẩm, từ đó tạo nên “cuộc cách mạng” về tổ chức các chuỗi sản xuất - giá trị, thúc đẩy phát triển kinh tế - xã hội. Bên cạnh những lợi ích thiết thực, sự phát triển mạnh mẽ của không gian mạng cũng đặt ra những thách thức to lớn cho vấn đề bảo đảm an ninh mạng. Các chiến dịch tấn công mạng quy mô lớn nhằm vào hạ tầng công nghệ thông tin trọng yếu của các quốc gia..., gián điệp mạng, khủng bố mạng, kêu gọi tài trợ khủng bố, tội phạm mạng, tán phát tin giả liên tục diễn ra, gây ra những hậu quả khôn lường. - Các cuộc tấn công mạng có chủ đích (Advanced Peristent Threat- APT) không chỉ có thể phá hoại các mục tiêu, công trình quan trọng về an ninh quốc gia mà còn chiếm đoạt thông tin, tài liệu bí mật, chiếm đoạt để sử dụng các hệ thống dữ liệu lớn, dữ liệu nhanh phục vụ các ý đồ chính trị và hoạt động phạm tội. Thực trạng, nguy cơ trên đã đặt ra yêu cầu bức thiết phải xây dựng hệ thống về an toàn mạng và về an ninh mạng để phòng ngừa, đấu tranh, xử lý các hành vi sử dụng không gian mạng xâm phạm an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân. Từ những nguyên nhân trên nên bản thân tôi chọn tiểu luận “NGHIÊN CỨU AN TOÀN MẠNG”.
5 Chương 2: NỘI DUNG CỦA BẢO MẬT AN TOÀN MẠNG 2.1. VẤN ĐỀ MẠNG 2.1.1. Thu thập thông tin - Trước khi đưa ra các thông báo mô tả thực hiện bảo mật, ta phải lường được mọi tình huống sẽ xảy ra, không chỉ bao gồm toàn bộ các thiết bị và hệ thống đi kèm trong việc thực hiện bảo mật mà còn phải kể đến cả các tiền trình xử lý, các cảnh bảo bảo mật, sự thẩm định hay các thông tin cần được bảo vệ. Điều này rất quan trọng khi cung cấp một cái nhìn bao quát về hệ thống bảo mật của công ty. Sự chuẩn bị này cũng nên tham chiếu tới các chính sách bảo mật cũng như các hướng dẫn thực hiện của công ty trong vần đề an toàn bảo mật. Phải lường trước được những gì xảy ra trong từng bước tiến hành của các dự án. - Để kiểm tra mức độ yếu kém của hệ thống, hãy bắt đầu với những vấn đề có thể dẫn tới độ rủi ro cao nhất trong hệ thống mạng của bạn, như Internet. Hãy sử dụng cơ chế bảo mật bên ngoài từ sản phẩm của một hãng có danh tiếng, có thể cung cấp thông tin cần thiết để ước lượng mức bảo mật hiện tại của công ty bạn khi bị tấn công từ Internet. - Sự thẩm định này không chỉ bao gồm việc kiểm tra các lỗ hổng, mà còn gồm cả các phân tích từ người sử dụng, hệ thống được kết nối bằng VPN, mạng và các phân tích về thông tin công cộng sẵn có. - Một trong những cân nhắc mang tính quan trọng là thẩm định từ bên ngoài vào. Đây chính là điểm mấu chốt trong việc đánh giá hệ thống mạng. Điển hình, một công ty sử dụng cơ chế bảo mật bên ngoài, cung cấp các dịch vụ email, Web theo cơ chế đó, thì họ nhận ra rằng, không phải toàn bộ các tấn công đều đến từ Internet. Việc cung cấp lớp bảo mật theo account, mạng bảo vệ bản thân họ từ chính những người sử dụng VPN và các đồng nghiệp, và tạo ra các mạng riêng rẽ từ các cổng truy cập đầu cuối là toàn bộ các ưu thế của cơ chế này. - Cơ chế bảo mật bên trong cũng giúp việc quản lý bảo mật công ty được tốt hơn. Bằng cách kiểm tra toàn bộ công việc kinh doanh, các cơ chế chính sách, các quá trình xử lý, xác thực dữ liệu tương phản với những gì được mô tả, hay sự tương thích với những chuẩn đã tồn tại được thẩm định. - Cơ chế bảo mật bên trong cung cấp thông tin một cách chi tiết tương tự như việc khảo sát kỹ lưỡng phạm vi ở mức sâu hơn, thậm chí bao gồm cả việc phá mã mật khẩu và các công cụ phân tích hệ thống để kiểm tra tính tương thích về chính sách trong tương lai. 2.1.2. Thẩm định tính rủi ro của hệ thống Khi thẩm định tính rủi ro của hệ thống, hãy sử dụng công thức sau: - Tính rủi ro = Giá trị thông tin * Mức độ của lỗ hổng * Khả năng mất thông tin Tính rủi ro bằng với giá trị thông tin trong câu hỏi (bao gồm giá trị đồng tiền, giá trị thời gian máy bị lỗi do lỗi bảo mật, giá trị mất mát khách hàng - tương đối), thời gian của quy mô lỗ hổng (tổng cộng/từng phần của tổn thất dữ liệu, thời gian hệ thống
6 ngừng hoạt động, sự nguy hiểm khi dữ liệu hỏng), thời gian về khả năng xuất hiện mất thông tin. - Để lấy được các kết quả từ bước đầu (các giá trị, báo cáo về cơ chế bảo mật ngoài, và chính sách bảo mật), và tập trung vào 3 trong số các mặt thường được đề cập. Sau đó, bắt đầu với một số câu hỏi khung sau: + Cơ chế bảo mật đã tồn tại của công ty có được đề ra rõ ràng và cung cấp đủ biện pháp bảo mật chưa? + Kết quả từ cơ chế bảo mật bên ngoài có hợp lệ so với chính sách bảo mật của công ty? + Có mục nào cần sửa lại trong cơ chế bảo mật mà không được chỉ rõ trong chính sách? + Hệ thống bảo mật sẽ mất tác dụng trong tính rủi ro cao nhất nào? + Giá trị, thông tin gì mang tính rủi ro cao nhất? Các câu trả lời cung cấp cái nhìn toàn diện cho việc phân tích về toàn bộ chính sách bảo mật của công ty. Có lẽ, thông tin quan trọng được lấy trong quá trình kết hợp các giá trị thẩm định và tính rủi ro tương ứng. Theo giá trị thông tin, bạn có thể tìm thấy các giải pháp mô tả được toàn bộ các yêu cầu, bạn có thể tạo ra một danh sách quan tâm về lỗ hổng bảo mật. 2.2. XÂY DỰNG GIẢI PHÁP 2.2.1. Firewall Xem xét và lựa chọn một sản phẩm firewall hợp lý và đưa và hoạt động phù hợp với chính sách của công ty là một trong những việc đầu tiên trong quá trình bảo mật hệ thống. Firewall có thể là giải pháp phần cứng hoặc phần mềm hoặc kết hợp cả hai. Nhiệm vụ của firewall là ngăn chặn các tấn công trực tiếp vào các thông tin quan trọng của hệ thống, kiểm soát các thông tin ra vào hệ thống. Việc lựa chọn firewall thích hợp cho một hệ thống không phải là dễ dàng. Các firewall đều phụ thuộc trên một môi trường, cấu hình mạng, ứng dụng cụ thể. Khi xem xét lựa chọn một firewall, cần tập trung tìm hiểu tập các chức năng của firewall, tính năng lọc địa chỉ, gói tin... 2.2.2. Hệ thống kiểm tra xâm nhập mạng (IDS) Một firewall được gọi là tốt chỉ khi nó có thể lọc và tạo khả năng kiểm soát các gói tin khi đi qua nó. Và đây cũng chính là nơi mà hệ thống IDS nhập cuộc. Nếu bạn xem firewall như một con đập ngăn nước, thì thì bạn có thể ví IDS như một hệ thống điều khiển luồng nước trên các hệ thống xả nước khác nhau. Một IDS, không liên quan tới các công việc điều khiển hướng đi của các gói tin, mà nó chỉ có nhiệm vụ phân tích các gói tin mà firewall cho phép đi qua, tìm kiếm các chữ kí tấn công đã biết (các chữ kí tấn công chính là các đoạn mã được biết mang tính nguy hiểm cho hệ thống) mà không thể kiểm tra hay ngăn chặn bởi firewall. IDS tương ứng với việc bảo vệ đằng sau của firewall, cung cấp việc chứng thực thông tin cần thiết để đảm bảo chắc chắn cho firewall hoạt động hiệu quả. 2.2.3. Hệ thống kiểm tra xâm phạm dựa theo vùng (H-IDS)
7 Sự lựa chọn, thực hiện và sử dụng một hệ thống kiểm tra sự xâm phạm trên máy chủ dựa trên nhiều hệ điều hành và môi trường ứng dụng chỉ định. Một hàm chức năng đầy đủ của H-IDS có thể cung cấp các thông báo đều đặn theo thời gian của bất kỳ sự thay đổi nào tới máy chủ từ tác động bên trong hay bên ngoài. Nó là một trong những cách tốt nhất để giảm thiểu sự tổn thương của hệ thống. Việc tìm kiếm hệ thống mà hỗ trợ hầu hết các hệ điều hành sử dụng trong tổ chức của bạn nên được xem như một trong những quyết định chính cho mỗi H-IDS. 2.2.4. Hệ thống kiểm tra xâm phạm dựa theo ứng dụng (App-IDS) Số lượng App-IDS xuất hiện trên thị trường ngày càng nhiều. Các công cụ này thực hiện việc phân tích các thông điệp từ một ứng dụng cụ thể hay thông tin qua proxy tới ứng dụng đó. Trong lúc chúng có mục đích cụ thể, chúng có thể cung cấp mức bảo mật tăng lên theo từng mảng ứng dụng cụ thể. Khi được kết hợp với một H- IDS, chúng đảm bảo rằng sự xâm nhập tới một máy chủ sẽ giảm thiểu. Một App-IDS nên được xem như một chức năng hỗ trợ bảo mật trong suốt, mặc dù không đúng trong một số trường hợp. 2.2.5. Phần mềm Anti-Virus (AV) Phần mềm AV nên được cài trên toàn bộ máy trạm (workstation), máy chủ (server), hệ thống hỗ trợ dịch vụ số, và hầu hết những nơi chứa dữ liệu quan trọng vào ra. Hai vấn đề quan trọng nhất để xem xét khi đặt yêu cầu một nhà sản xuất AV quản lý nhiều máy chủ và máy trạm trên toàn bộ phạm vi của công ty là khả năng nhà cung cấp đó có đối phó được các đe doạ từ virus mới hay không. (nguyên nhân: không bao giờ cho rằng phầm mềm đang chạy, luôn kiểm tả phiên bản của virus và các file cập nhật cho virus mới). 2.2.6. Mạng riêng ảo (VPN) Việc sử dụng VPN để cung cấp cho các nhân viên hay các cộng sự truy cập tới các tài nguyên của công ty từ nhà hay nơi làm việc khác với mức bảo mật cao, hiệu quả nhất trong quá trình truyền thông, và làm tăng hiệu quả sản xuất của nhân viên. Tuy nhiên, không có điều gì không đi kèm sự rủi ro. Bất kỳ tại thời điểm nào khi một VPN được thiết lập, bạn phải mở rộng phạm vi kiểm soát bảo mật của công ty tới toàn bộ các nút được kết nối với VPN. Để đảm bảo mức bảo mật cho hệ thống này, người sử dụng phải thực hiện đầy đủ các chính sách bảo mật của công ty. Điều này có thể thực hiện được qua việc sử dụng các hướng dẫn của nhà sản xuất về dịch vụ VPN như hạn chế các ứng dụng có thể chạy ở nhà, cổng mạng có thể mở, loại bỏ khả năng chia kênh dữ liệu, thiết lập hệ thống bảo vệ virus khi chạy hệ thống từ xa, tất cả công việc này giúp giảm thiểu tính rủi ro. Điều này rất quan trọng đối với các công ty phải đối mặt với những đe doạ trong việc kiện cáo, mạng của họ hay hệ thống được sử dụng để tấn công các công ty khác. 2.2.7. Sinh trắc học trong bảo mật Sinh trắc học đã được biết đến từ một số năm trước đây, nhưng cho đến nay vẫn có rất nhiều khó khăn cho việc nhân rộng để áp dụng cho các hệ thống bảo mật thương mại. Dấu tay, tròng mắt, giọng nói, ..., cung cấp bảo mật mức cao trên các
8 mật khẩu thông thường hay chứng thực hai nhân tố, nhưng cho đến hiện tại, chúng cũng vẫn được coi như phương thức tốt nhất để truy cập vào hệ thống. 2.2.8. Các thế hệ thẻ thông minh Các công ty gần đây sử dụng đã sử dụng thẻ thông minh như một phương thức bảo mật hữu hiệu. Windows cung cấp cơ chế hỗ trợ thẻ thông minh như một phương tiện chính trong việc chứng thực quyền đăng nhập hệ thống. Nói chung, sự kết hợp đa công nghệ (như tròng mắt, thẻ thông minh, dấu tay) đang dần hoàn thiện và mở ra một thời đại mới cho việc chứng thực quyền truy cập trong hệ thống bảo mật. 2.2.9. Kiểm tra máy chủ Sự kiểm tra đều đặn mức bảo mật được cung cấp bởi các máy chủ phụ thuộc chủ yếu vào sự quản lý. Mọi máy chủ ở trong một công ty nên được kiểm tra từ Internet để phát hiện lỗ hổng bảo mật. Thêm nữa, việc kiểm tra từ bên trong và quá trình thẩm định máy chủ về căn bản là cần thiết để giảm thiểu tính rủi ro của hệ thống, như khi firewall bị lỗi hay một máy chủ, hệ thống nào đó bị trục trặc. Hầu hết các hệ điều hành đều chạy trong tình trạng thấp hơn với mức bảo mật tối thiểu và có rất nhiều lỗ hổng bảo mật. Trước khi một máy chủ khi đưa vào sản xuất, sẽ có một quá trình kiểm tra theo một số bước nhất định. Toàn bộ các bản sửa lỗi phải được cài đặt trên máy chủ, và bất cứ dịch vụ không cần thiết nào phải được loại bỏ. Điều này làm tránh độ rủi ro xuống mức thấp nhất cho hệ thống. Việc tiếp theo là kiểm tra các log file từ các máy chủ và các ứng dụng. Chúng sẽ cung cấp cho ta một số thông tin tốt nhất về hệ thống, các tấn công bảo mật. Trong rất nhiều trường hợp, đó chính là một trong những cách để xác nhận quy mô của một tấn công vào máy chủ. 2.2.10. Kiểm soát ứng dụng Vấn đề an toàn bảo mật trong mã nguồn của các ứng dụng hầu hết không được quan tâm. Điều này không được thể hiện trên các sản phẩm như liệu nó có được mua, được download miễn phí hay được phát triển từ một mã nguồn nào đó. Để giúp đỡ giảm thiểu sự rủi ro bảo mật trong các ứng dụng, thẩm định lại giá trị của ứng dụng trong công ty, như công việc phát triển bên trong của các ứng dụng, Điều này cũng có thể bao gồm các đánh giá của các thực thể bên ngoài như đồng nghiệp hay các khách hàng. Việc điều khiển cấu hình bảo mật các ứng dụng có thể làm tăng mức bảo mật. Hầu hết các ứng dụng được cấu hình tại mức tối thiểu của tính năng bảo mật, nhưng qua các công cụ cấu hình, mức bảo mật của hệ thống có thể được tăng lên. Lượng thông tin kiểm soát được cung cấp bởi ứng dụng cũng có thể được cấu hình. Nơi mà các ứng dụng cung cấp thông tin về quy mô bảo mật, thời gian kiểm soát và sự phân tích thông tin này sẽ là chìa khoá để kiểm tra các vấn đề bảo mật thông tin. 2.2.11. Các hệ điều hành Sự lựa chọn hệ điều hành và ứng dụng là quá trình đòi hỏi phải có sự cân nhắc kỹ càng. Chọn cái gì giữa hệ điều hành Microsoft hay UNIX, trong rất nhiều trường hợp, điều thường do ấn tượng cá nhân ề sản phẩm. Khi lựa chọn một hệ điều hành, thông tin về nhà sản xuất không quan trọng bằng những gì nhà sản xuất đó làm được
9 trong thực tế, về khả năng bảo trì hay dễ dàng thực hiện với các tài liệu đi kèm. Bất kỳ một hệ điều hành nào từ 2 năm trước đây đều không thể đảm bảo theo những chuẩn ngày nay, và việc giữ các máy chủ, ứng dụng của bạn được cập nhật thường xuyên sẽ đảm bảo giảm thiểu khả năng rủi ro của hệ thống. Khi lựa chọn một hệ điều hành, hãy tìm hiểu không chỉ các tiêu chuẩn thông thường như (quản trị, hiệu năng, tính chứng thực), mà còn phải xem xét khả năng áp dụng được của hệ điều hành với hệ thống hiện tại. Một hệ điều hành có thể cung cấp cơ chế bảo mật tốt hơn khi nó tương thích với các ứng dụng chạy bên trong nó như DNS hay WebServer, trong khi các hệ điều hành khác có thể có nhiều chức năng tốt hơn như một hệ thống application, database hay email server. 2.3. BẢO MẬT MẠNG 2.3.1. Mục tiêu bảo mật mạng - Quản trị một mạng bảo mật + Các giao thức mạng phổ biến + Các nguyên tắc quản trị mạng + Bảo mật cho các ứng dụng mạng - Bảo mật mạng không dây + Tấn công vào mạng không dây + Các điểm yếu trong bảo mật 802.1x + Các giải pháp bảo mật mạng không dây 2.3.2. Các giao thức mạng phổ biến - Giao thức + Các quy tắc ứng xử và giao tiếp + Rất quan trọng để quá trình giao tiếp giữa các thiết bị được chính xác - Các giao thức mạng phổ biến + Bộ giao thức TCP/IP (Transmission Control Protocol/Internet Protocol) + Giao thức ICMP (Internet Control Message Protocol) + Giao thức SNMP (Simple Network Management Protocol) + Hệ thống tên miền DNS (Domain Name System) + Giao thức FTP (File Transfer Protocol) + Giao thức IPv6 (IP version 6) 2.3.3. Bộ giao thức TCP/IP - Giao thức điều khiển truyền tin/Giao thức Internet (Transmission Control Protocol/Internet Protocol – TCP/IP): Bộ giao thức phổ biến nhất, sử dụng cho các mạng cục bộ (LAN) và mạng Internet
10 - IP: Giao thức hoạt động chính ở tầng mạng (tầng 3) trong mô hình kết nối các hệ thống mở (OSI) - TCP - Giao thức tầng giao vận (tầng 4) - Thiết lập kết nối và vận chuyển dữ liệu tin cậy giữa các thiết bị - TCP/IP sử dụng kiến trúc bốn tầng: Giao diện mạng (Network Interface), Internet, Giao vận (Transport), Ứng dụng (Application) Mô hình OSI và mô hình TCP/IP 2.3.4. Hệ thống tên miền (Domain Name System – DNS) - Là một giao thức TCP/IP phân giải một địa chỉ IP sang tên tượng trưng - Là một cơ sở dữ liệu, chưa thông tin về tên của từng Website và địa chỉ IP tương ứng - Cơ sở dữ liệu DNS được phân tán trên nhiều server trên Internet - DNS có thể là tiêu điểm của các cuộc tấn công - Đầu độc DNS (DNS poisoning) thay thế địa chỉ IP giả mạo vào tên tượng trưng + Có thể được thực hiện trong bảng danh sách máy chủ cục bộ hoặc trên máy chủ DNS bên ngoài + Phiên bản mới nhất của phần mềm DNS ngăn chặn đầu độc DNS -Chuyển vùng (zone transfer) cho phép kẻ tấn công tiếp cận được các thông tin về mạng, phần cứng và hệ điều hành
11 2.3.5. Tra cứu DNS 2.3.6. Giao thức truyền file (FTP) - Các giao thức TCP/IP được sử dụng để truyền file + Giao thức truyền file (FTP) + Giao thức sao lưu an toàn (SCP) - Các phương pháp sử dụng giao thức FTP trên máy chủ cục bộ + Từ dấu nhắc lệnh (command prompt) + Sử dụng trình duyệt Web (Web browser) + Sử dụng trình khách FTP (FTP client) - Sử dụng FTP phía sau tường lửa có thể ngăn chặn được nhiều thử thách + Chế độ FTP chủ động (active mode) + Chế độ FTP thụ động (passive mode) - Các lỗ hổng của giao thức FTP + FTP không sử dụng mật mã + Các file được truyền bởi FTP là lỗ hổng đối với các vụ tấn công kẻ đứng giữa (man-in-the-middle) - Các tùy chọn truyền file bảo mật thay thế FTP + FTP sử dụng tầng kết nối an toàn bảo mật (FTP using Secure Sockets Layer- FTPS) + FTP an toàn (Secure FTP – SFTP) - Giao thức sao lưu an toàn (Secure Copy Protocol – SCP) + Phiên bản nâng cao của giao thức sao lưu từ xa (Remote Copy Protocol– RCP) + Mã hóa các file và lệnh + Quá trình truyền file không được phép gián đoạn và sau đó khôi phục lại trong cùng một phiên + Gặp chủ yếu trên các nền tảng Linux và UNIX
12 2.3.7. Các quy tắc quản trị mạng - Quản trị mạng bảo mật là công việc đầy thử thách - Phương pháp quản lý dựa trên quy tắc + Dựa vào các thủ tục và quy tắc + Các nguyên tắc có thể do bên ngoài (các bộ luật chi phối) hoặc quy định của nội bộ tổ chức + Các quy tắc thủ tục chỉ ra các quy tắc kỹ thuật + Các quy tắc kỹ thuật  Bảo mật thiết bị  Quản lý thiết kế mạng  Bảo mật các cổng Bảo mật thiết bị: gồm các nội dung sau + Cấu hình bộ định tuyến bảo mật (secure router configuration) + Phòng chống lũ (flood guard) + Phân tích nhật ký (log analysis) 2.3.8. Cấu hình bộ định tuyến bảo mật - Bộ định tuyến hoạt động tại tầng mạng (tầng 3): Chuyển tiếp các gói tin trên toàn bộ mạng máy tính - Bộ định tuyến có thể thực hiện các chức năng bảo mật: Có thể được cấu hình để lọc ra các kiểu lưu lượng mạng xác định Các nhiệm vụ cấu hình bộ định tuyến bảo mật Nhiệm vụ Mô Tả Tạo thiết kế Nên đưa ra một sơ đồ mạng để minh họa giao tiếp giữa các bộ định tuyến. Sơ đồ này nên thể hiện được cả giao diện mạng cục bộ (LAN) và mạng diện rộng (WAN) Sử dụng tên bộ định tuyến có ý nghĩa Nên đặt tên có nghĩa cho router để thao tác gõ lệnh được chính xác và đơn giản Bảo mật tất cả các cổng Tất cả các cổng kết nối tới bộ định tuyến phải được bảo mật, bao gồm cả cổng vật lý và các cổng gửi đến từ các địa điểm ở xa Đặt mật khẩu mạnh cho quản trị viên Cần phải có một mật khẩu của quản trị viên mới có thể chuyển sang chế độ privileged để thực hiện các lệnh cấu hình Tạo thay đổi từ giao diện điều khiển (console) Việc cấu hình router phải được thực hiện từ giao diện điều khiển, không được tiến hành tại một vị trí từ xa 2.3.9. Quản lý thiết kế mạng
13 - Việc mở rộng có thể làm phát sinh yêu cầu cần phải cấu hình lại mạng - Quản lý thiết kế mạng gồm các công việc sau: + Tách mạng (network separation) + Bảo vệ vòng lặp (loop protection) + Quản lý mạng LAN ảo (VLAN management) Tách mạng Tách mạng (network separation)  Phân tách giữa các phần khác nhau của hệ thống mạng  Ví dụ: phân khúc mạng quản lý đơn hàng không được phép truy cập tới mạng quản lý nguồn nhân lực Các lựa chọn thực hiện phân tách mạng  Phân tách vật lý người dùng bằng cách kết nối họ tới các bộ chuyển mạch và bộ định tuyến khác nhau  Bộ chuyển mạch sử dụng công nghệ khoảng không khí (Air gap switch) 2.3.10. Quản lý mạng LAN ảo - Phân đoạn mạng bằng cách nhóm các thiết bị vật lý thành các đơn vị lôgíc thông qua VLAN - Người dùng rải rác có thể được nhóm lại với nhau theo cách lôgíc: Không quan tâm tới việc người dùng được kết nối tới switch nào Các nguyên tắc chung để quản lý mạng VLAN  Một mạng VLAN không nên giao tiếp với mạng VLAN khác, trừ khi chúng được kết nối tới cùng một bộ định tuyến (router)  Cấu hình các cổng trống của switch để kết nối với một mạng VLAN không được sử dụng  Các mạng VLAN khác nhau nên được kết nối tới các switch khác nhau  Thay đổi tên mặc định của các mạng VLAN  Cấu hình các cổng switch truyền các gói tin VLAN được gán nhãn để chuyển tiếp các thẻ xác định một cách tường minh  Cấu hình mạng VLAN sao cho các thiết bị dùng chung không nằm trong một mạng VLAN riêng (private) 2.3.11. Bảo mật cổng Bảo mật các cổng mạng gồm các hoạt động sau: + Vô hiệu hóa các cổng không dùng (disabling unused ports) + Hạn chế và lọc MAC (MAC Limiting and Filtering) + IEEE 802.1x
14 Vô hiệu hóa các cổng không dùng + Tắt hết các cổng không cần thiết trên mạng + Những switch không được bảo mật cổng cho phép kẻ tấn công kết nối đến các cổng không sử dụng và tấn công vào mạng + Tất cả các cổng phải được bảo mật trước khi triển khai vào mạng + Nhà quản trị mạng cần ra lệnh tắt hết các cổng không sử dụng 2.3.12. Giới hạn và lọc địa chỉ MAC - Lọc và giới hạn số lượng địa chỉ MAC (media access control address) cho phép trên một cổng - Cổng có thể được thiết lập giới hạn bằng 1 (duy nhất 1 địa chỉ MAC cụ thể có thể gán cho cổng đó) - Một địa chỉ MAC cụ thể có thể được gán cho một cổng: Chỉ cho phép duy nhất một máy chủ hợp lệ được kết nối đến cổng Các cấu hình tùy chọn để giới hạn và lọc địa chỉ MAC Thiết lập cấu hình Mô tả Static Các địa chỉ MAC được nhập thủ công, sau đó được lưu trên thiết bị Dynamic Các địa chỉ MAC tự động được “học” và lưu trữ; khi switch khởi động lại, những thiết lập này sẽ bị xóa Sticky Các địa chỉ MAC tự động được “học” và được lưu trữ cùng với các địa chỉ đã “học” trước đó sử dụng cấu hình Sticky. Nếu cấu hình này bị vô hiệu hóa, các địa chỉ sẽ được lưu giữ trong bộ nhớ sẽ bị loại bỏ khỏi bảng 2.3.13. IEEE 802.1x - Tiêu chuẩn đưa ra cấp độ cao nhất về bảo mật cổng - Thực hiện xác thực dựa trên cổng - Chặn tất cả các lưu lượng trên cơ sở lần lượt từng cổng cho tới khi client được xác thực thành công - Tiến trình xác thực IEEE 802.1x
15 2.3.14. Bảo mật mạng không dây - Giao tiếp không dây đã cách mạng hóa mạng máy tính: Các mạng không dây được bắt gặp hầu như ở mọi nơi - Các mạng không dây là mục tiêu của các cuộc tấn công + Các tiêu chuẩn ban đầu của mạng không dây đã có những lỗ hổng + Những thay đổi về bảo mật mạng không dây mang lại sự bảo mật tương đương với các mạng có dây - Các nội dung về bảo mật mạng không dây: + Tấn công mạng không dây + Các điểm yếu bảo mật của 802.1x + Các giải pháp bảo mật mạng không dây Tấn công mạng không dây + Tấn công trên các thiết bị bluetooth + Tấn công mạng LAN không dây + Các mạng không dây là mục tiêu của những kẻ tấn công: Không đòi hỏi dây cáp kết nối + Các kiểu tấn công mạng LAN không dây Phát hiện mạng Tấn công thông qua dải tần RF Tấn công sử dụng điểm truy cập Phát hiện mạng + Phát hiện mạng (discovering the network): Một trong những bước đầu tiên để tấn công là phải phát hiện sự có mặt của một mạng + Dẫn đường (beaconing) Điểm truy cập liên tục gửi tín hiệu sau một khoảng thời gian nhất định để thông báo sự tồn tại của nó và cung cấp các thông tin kết nối Thiết bị không dây quét các khung dẫn đường (beacon frame) Dẫn dắt chiến sự (war driving): Quá trình phát hiện thụ động vị trí của mạng không dây Công cụ Mô tả Thiết bị máy tính di động Có thể là một máy tính di động, một máy tính bảng, hoặc một smartphone Card giao tiếp mạng không dây Card giao tiếp mạng không dây kết nối thông qua USB hay một cổng khác và có một ổ cắm ăng ten ngoài
16 Ăng ten Gắn thêm ăng ten ngoài giúp tăng đáng kể khả năng phát hiện và bắt được tín hiệu không dây Phần mềm Những kẻ dẫn dắt chiến sự nguy hiểm sử dụng nhiều phần mềm chuyên dụng hơn Bộ thu tín hiệu định vị toàn cầu (GPS) Thiết bị này giúp xác định vị trí chính xác hơn, nếu thông tin được ghi lại và chia sẻ với người khác Gieo mầm chiến tranh (war chalking) + Tổ chức tài liệu sau đó quảng cáo địa điểm mạng LAN không dây cho những người khác cùng sử dụng + Trước kia hành động này được thực hiện bằng cách vẽ lên tường hoặc vỉa hè xung quanh khu vực có mạng + Hiện nay, vị trí của mạng được tung lên các Website Các biểu tượng gieo mầm chiến tranh: Tấn công sử dụng điểm truy cập + Tấn công sử dụng các điểm truy cập (attack using access point)  Điểm truy cập lừa đảo  Kẻ sinh đôi ma quỷ (evil twins) + Điểm truy cập lừa đảo  Truy cập trái phép cho phép kẻ tấn công qua mặt các cấu hình bảo mật mạng  Có thể được thiết lập sau một tường lửa, mở đường cho tấn công
17 2.3.15. Các điểm yếu bảo mật của IEEE 802.11 - Ngay từ ban đầu, hội đồng IEEE 802.11 đã: + Thực thi một số biện pháp bảo mật mạng không dây theo chuẩn 802.11 + Để các phương pháp bảo mật mạng WLAN khác được áp dụng theo ý nhà cung cấp + Tuy vậy, các biện pháp bảo vệ vẫn để lộ nhiều sơ hở dẫn tới nhiều vụ tấn công đã xảy ra - Các phương pháp kiểm soát truy cập WLAN theo chuẩn 802.11: + Lọc địa chỉ MAC + Lan truyền SSID + Quyền riêng tư tương đương có dây (WEP) Lọc địa chỉ MAC - Phương pháp kiểm soát truy cập mạng WLAN: Giới hạn truy cập của thiết bị tới điểm truy cập AP - Lọc địa chỉ MAC + Hầu hết các nhà cung cấp AP đều sử dụng lọc địa chỉ MAC + Cho phép hoặc chặn thiết bị dựa trên địa chỉ MAC - Những lỗ hổng bảo mật của phương pháp lọc địa chỉ MAC + Các địa chỉ được trao đổi ở dạng chưa mã hóa + Kẻ tấn công có thể nhìn thấy địa chỉ của một thiết bị hợp lệ và sử dụng địa chỉ đó để thay thế cho địa chỉ thiết bị của mình + Việc quản lý một số lượng lớn các địa chỉ thực sự là một thử thách
18 2.3.16. Lan truyền SSID - Mỗi thiết bị phải được xác thực trước khi kết nối tới mạng WLAN - Hệ thống xác thực mở + Thiết bị phát hiện thấy mạng không dây và gửi một khung dữ liệu yêu cầu liên kết tới AP + Khung dữ liệu chứa danh tính của tập dịch vụ (Service Set Identifier – SSID)  Là tên của mạng do người dùng cung cấp  Có thể là một chuỗi bất kỳ chứa chữ cái hoặc số, có độ dài từ 2 – 32 ký tự + AP so sánh giá trị SSID này với SSID thực sự của mạng: Nếu hai giá trị này trùng khớp, thiết bị sẽ được xác thực - Hệ thống xác thực mở là một cơ chế yếu + Chỉ dựa trên đối chiếu các giá trị SSID + Kẻ tấn công có thể đợi một SSID được AP quảng bá - Người dùng có thể cấu hình AP để ngăn việc phát đi các khung beacon chứa SSID + Chỉ đem lại mức độ bảo mật yếu + Có thể bị phát hiện khi SSID được truyền trong các khung dữ liệu khác + Các phiên bản Windows XP cũ có thêm một lỗ hổng nếu phương pháp xác thực mở được áp dụng.
19 Chương 3: KẾT LUẬN - An ninh mạng là thực tiễn của việc bảo vệ các hệ thống điện tử, mạng lưới, máy tính, thiết bị di động, chương trình và dữ liệu khỏi những cuộc tấn công kỹ thuật số độc hại có chủ đích. Tội phạm mạng có thể triển khai một loạt các cuộc tấn công chống lại các nạn nhân hoặc doanh nghiệp đơn lẻ; có thể kể đến như truy cập, làm thay đổi hoặc xóa bỏ dữ liệu nhạy cảm; tống tiền; can thiệp vào các quy trình kinh doanh. - An ninh mạng máy tính bao gồm việc kiểm soát truy cập vật lý đến phần cứng, cũng như bảo vệ chống lại tác hại có thể xảy ra qua truy cập mạng máy tính, cơ sở dữ liệu, lợi dụng lỗ hổng phần mềm… Do sai lầm của những người điều hành, dù cố ý hoặc do bất cẩn, an ninh công nghệ thông tin có thể bị lừa đảo phi kỹ thuật để vượt qua các thủ tục an toàn hoặc thông qua các phương pháp khác nhau. - An ninh mạng hoạt động thông qua một cơ sở hạ tầng chặt chẽ, được chia thành ba phần chính: bảo mật công nghệ thông tin, an ninh mạng và an ninh máy tính. + Bảo mật công nghệ thông tin (với cách gọi khác là bảo mật thông tin điện tử): Bảo vệ dữ liệu ở nơi chúng được lưu trữ và cả khi các dữ liệu này di chuyển trên các mạng lưới thông tin. Trong khi an ninh mạng chỉ bảo vệ dữ liệu số, bảo mật công nghệ thông tin nắm trong tay trọng trách bảo vệ cả dữ liệu kỹ thuật số lẫn dữ liệu vật lý khỏi những kẻ xâm nhập trái phép. + An ninh mạng: Là một tập hợp con của bảo mật công nghệ thông tin. An ninh mạng thực hiện nhiệm vụ đảm bảo dữ liệu kỹ thuật số trên các mạng lưới, máy tính và thiết bị cá nhân nằm ngoài sự truy cập, tấn công và phá hủy bất hợp pháp. +An ninh máy tính: Là một tập hợp con của an ninh mạng. Loại bảo mật này sử dụng phần cứng và phần mềm để bảo vệ bất kỳ dữ liệu nào được gửi từ máy tính cá nhân hoặc các thiết bị khác đến hệ thống mạng lưới thông tin. An ninh máy tính thực hiện chức năng bảo vệ cơ sở hạ tầng công nghệ thông tin và chống lại các dữ liệu bị chặn, bị thay đổi hoặc đánh cắp bởi tội phạm mạng.
20 TÀI LIỆU THAM KHẢO Tài liệu 1. Tài liệu quản trị mạng đại học Cần Thơ 2. Tài liệu quản trị mạng đại học sư phạm kỹ thuật Vĩnh Long 3. Tài liệu của VnPro của Giảng Viên Vòng Chấn Nguyên Trang web https://www.forum.vnpro.org/ https://quantrimang.com/ https://cuuduongthancong.com/s/mang-may-tinh

Recommended

Luận văn: Nghiên cứu tiêu chuẩn ISO 27001 và ứng dụng, HAY
Luận văn: Nghiên cứu tiêu chuẩn ISO 27001 và ứng dụng, HAYLuận văn: Nghiên cứu tiêu chuẩn ISO 27001 và ứng dụng, HAY
Luận văn: Nghiên cứu tiêu chuẩn ISO 27001 và ứng dụng, HAYDịch vụ viết bài trọn gói ZALO 0917193864
 
su-dung-metasploit-trong-danh-gia-an-toan-he-thong-thong-tin-1cb57d7b6e7b09e2...
su-dung-metasploit-trong-danh-gia-an-toan-he-thong-thong-tin-1cb57d7b6e7b09e2...su-dung-metasploit-trong-danh-gia-an-toan-he-thong-thong-tin-1cb57d7b6e7b09e2...
su-dung-metasploit-trong-danh-gia-an-toan-he-thong-thong-tin-1cb57d7b6e7b09e2...ssuser8835db1
 
Nghiên cứu một số hình thức tấn công website phổ biến và các giải pháp phòng ...
Nghiên cứu một số hình thức tấn công website phổ biến và các giải pháp phòng ...Nghiên cứu một số hình thức tấn công website phổ biến và các giải pháp phòng ...
Nghiên cứu một số hình thức tấn công website phổ biến và các giải pháp phòng ...Thịt Xốt Cà Chua
 
Security standard-present-th07-2013-shorter
Security standard-present-th07-2013-shorterSecurity standard-present-th07-2013-shorter
Security standard-present-th07-2013-shorternghia le trung
 
đồ áN thực tập tại athena
đồ áN thực tập tại athenađồ áN thực tập tại athena
đồ áN thực tập tại athenaHuy Bach
 
Vu tuananh
Vu tuananhVu tuananh
Vu tuananhVũ Anh
 
Tường lửa ip cop
Tường lửa ip copTường lửa ip cop
Tường lửa ip copTrần Văn Quyết
 
SYSTEM HACKING - TUẦN 2
SYSTEM HACKING - TUẦN 2SYSTEM HACKING - TUẦN 2
SYSTEM HACKING - TUẦN 2Con Ranh
 

Recommended

Luận văn: Nghiên cứu tiêu chuẩn ISO 27001 và ứng dụng, HAY
Luận văn: Nghiên cứu tiêu chuẩn ISO 27001 và ứng dụng, HAYLuận văn: Nghiên cứu tiêu chuẩn ISO 27001 và ứng dụng, HAY
Luận văn: Nghiên cứu tiêu chuẩn ISO 27001 và ứng dụng, HAYDịch vụ viết bài trọn gói ZALO 0917193864
 
su-dung-metasploit-trong-danh-gia-an-toan-he-thong-thong-tin-1cb57d7b6e7b09e2...
su-dung-metasploit-trong-danh-gia-an-toan-he-thong-thong-tin-1cb57d7b6e7b09e2...su-dung-metasploit-trong-danh-gia-an-toan-he-thong-thong-tin-1cb57d7b6e7b09e2...
su-dung-metasploit-trong-danh-gia-an-toan-he-thong-thong-tin-1cb57d7b6e7b09e2...ssuser8835db1
 
Nghiên cứu một số hình thức tấn công website phổ biến và các giải pháp phòng ...
Nghiên cứu một số hình thức tấn công website phổ biến và các giải pháp phòng ...Nghiên cứu một số hình thức tấn công website phổ biến và các giải pháp phòng ...
Nghiên cứu một số hình thức tấn công website phổ biến và các giải pháp phòng ...Thịt Xốt Cà Chua
 
Security standard-present-th07-2013-shorter
Security standard-present-th07-2013-shorterSecurity standard-present-th07-2013-shorter
Security standard-present-th07-2013-shorternghia le trung
 
đồ áN thực tập tại athena
đồ áN thực tập tại athenađồ áN thực tập tại athena
đồ áN thực tập tại athenaHuy Bach
 
Vu tuananh
Vu tuananhVu tuananh
Vu tuananhVũ Anh
 
Tường lửa ip cop
Tường lửa ip copTường lửa ip cop
Tường lửa ip copTrần Văn Quyết
 
SYSTEM HACKING - TUẦN 2
SYSTEM HACKING - TUẦN 2SYSTEM HACKING - TUẦN 2
SYSTEM HACKING - TUẦN 2Con Ranh
 
SYSTEM HACKING - TUẦN 1
SYSTEM HACKING - TUẦN 1SYSTEM HACKING - TUẦN 1
SYSTEM HACKING - TUẦN 1Con Ranh
 
Báo cáo lần 1
Báo cáo lần 1Báo cáo lần 1
Báo cáo lần 1Anhh Hữu
 
Giáo trình bảo mật thông tin
Giáo trình bảo mật thông tinGiáo trình bảo mật thông tin
Giáo trình bảo mật thông tinjackjohn45
 
Bao cao tuan 1
Bao cao tuan 1Bao cao tuan 1
Bao cao tuan 1Huy Bach
 
Security standard-present-th06-2013-shorter
Security standard-present-th06-2013-shorterSecurity standard-present-th06-2013-shorter
Security standard-present-th06-2013-shorternghia le trung
 
Bao mat may chu cua mot to chuc
Bao mat may chu cua mot to chucBao mat may chu cua mot to chuc
Bao mat may chu cua mot to chucTư vấn môi trường
 
E Lib&Learning
E Lib&LearningE Lib&Learning
E Lib&Learningthanhnhamthai
 
Tổng kết Báo cáo thực tập Athena - Hoàng Thanh Quý
Tổng kết Báo cáo thực tập Athena - Hoàng Thanh QuýTổng kết Báo cáo thực tập Athena - Hoàng Thanh Quý
Tổng kết Báo cáo thực tập Athena - Hoàng Thanh QuýQuý Đồng Nast
 
Vu tuananh
Vu tuananhVu tuananh
Vu tuananhVũ Anh
 
Giải pháp bảo mật thông tin trong Chính phủ điện tử 2013
Giải pháp bảo mật thông tin trong Chính phủ điện tử 2013Giải pháp bảo mật thông tin trong Chính phủ điện tử 2013
Giải pháp bảo mật thông tin trong Chính phủ điện tử 2013SUN MEDIA Corp
 
Báo cáo thực tập - Lần 1 - Hoàng Thanh Quý
Báo cáo thực tập - Lần 1 - Hoàng Thanh QuýBáo cáo thực tập - Lần 1 - Hoàng Thanh Quý
Báo cáo thực tập - Lần 1 - Hoàng Thanh QuýQuý Đồng Nast
 
bctntlvn (24).pdf
bctntlvn (24).pdfbctntlvn (24).pdf
bctntlvn (24).pdfLuanvan84
 
an toàn thông tin
an toàn thông tinan toàn thông tin
an toàn thông tinVũ Đức Cường
 
Thiet lap an toan mang isa cho mang doanh nghiep
Thiet lap an toan mang isa cho mang doanh nghiepThiet lap an toan mang isa cho mang doanh nghiep
Thiet lap an toan mang isa cho mang doanh nghiepFC Loveit
 
GT AT BMTT .docx
GT AT BMTT .docxGT AT BMTT .docx
GT AT BMTT .docxNguyễn Giang
 
An toanthongtin end
An toanthongtin endAn toanthongtin end
An toanthongtin endLê Thị Minh Châu
 
Bao caothuctap
Bao caothuctapBao caothuctap
Bao caothuctapLong Prồ
 
Bao mat cho cac may tinh cua to chuc
Bao mat cho cac may tinh cua to chucBao mat cho cac may tinh cua to chuc
Bao mat cho cac may tinh cua to chucTư vấn môi trường
 
95737582-Bai-Giang-an-Toan-Va-Bao-Mat-He-Thong-Thong-Tin-7765.pdf
95737582-Bai-Giang-an-Toan-Va-Bao-Mat-He-Thong-Thong-Tin-7765.pdf95737582-Bai-Giang-an-Toan-Va-Bao-Mat-He-Thong-Thong-Tin-7765.pdf
95737582-Bai-Giang-an-Toan-Va-Bao-Mat-He-Thong-Thong-Tin-7765.pdfHuyTrng87
 
Bài giảng bảo mật hệ thống thông tin
Bài giảng bảo mật hệ thống thông tinBài giảng bảo mật hệ thống thông tin
Bài giảng bảo mật hệ thống thông tinTran Tien
 

More Related Content

Similar to Mạng máy tính nâng cao

SYSTEM HACKING - TUẦN 1
SYSTEM HACKING - TUẦN 1SYSTEM HACKING - TUẦN 1
SYSTEM HACKING - TUẦN 1Con Ranh
 
Báo cáo lần 1
Báo cáo lần 1Báo cáo lần 1
Báo cáo lần 1Anhh Hữu
 
Giáo trình bảo mật thông tin
Giáo trình bảo mật thông tinGiáo trình bảo mật thông tin
Giáo trình bảo mật thông tinjackjohn45
 
Bao cao tuan 1
Bao cao tuan 1Bao cao tuan 1
Bao cao tuan 1Huy Bach
 
Security standard-present-th06-2013-shorter
Security standard-present-th06-2013-shorterSecurity standard-present-th06-2013-shorter
Security standard-present-th06-2013-shorternghia le trung
 
Tổng kết Báo cáo thực tập Athena - Hoàng Thanh Quý
Tổng kết Báo cáo thực tập Athena - Hoàng Thanh QuýTổng kết Báo cáo thực tập Athena - Hoàng Thanh Quý
Tổng kết Báo cáo thực tập Athena - Hoàng Thanh QuýQuý Đồng Nast
 
Vu tuananh
Vu tuananhVu tuananh
Vu tuananhVũ Anh
 
Giải pháp bảo mật thông tin trong Chính phủ điện tử 2013
Giải pháp bảo mật thông tin trong Chính phủ điện tử 2013Giải pháp bảo mật thông tin trong Chính phủ điện tử 2013
Giải pháp bảo mật thông tin trong Chính phủ điện tử 2013SUN MEDIA Corp
 
Báo cáo thực tập - Lần 1 - Hoàng Thanh Quý
Báo cáo thực tập - Lần 1 - Hoàng Thanh QuýBáo cáo thực tập - Lần 1 - Hoàng Thanh Quý
Báo cáo thực tập - Lần 1 - Hoàng Thanh QuýQuý Đồng Nast
 
bctntlvn (24).pdf
bctntlvn (24).pdfbctntlvn (24).pdf
bctntlvn (24).pdfLuanvan84
 
Thiet lap an toan mang isa cho mang doanh nghiep
Thiet lap an toan mang isa cho mang doanh nghiepThiet lap an toan mang isa cho mang doanh nghiep
Thiet lap an toan mang isa cho mang doanh nghiepFC Loveit
 
Bao caothuctap
Bao caothuctapBao caothuctap
Bao caothuctapLong Prồ
 
95737582-Bai-Giang-an-Toan-Va-Bao-Mat-He-Thong-Thong-Tin-7765.pdf
95737582-Bai-Giang-an-Toan-Va-Bao-Mat-He-Thong-Thong-Tin-7765.pdf95737582-Bai-Giang-an-Toan-Va-Bao-Mat-He-Thong-Thong-Tin-7765.pdf
95737582-Bai-Giang-an-Toan-Va-Bao-Mat-He-Thong-Thong-Tin-7765.pdfHuyTrng87
 
Bài giảng bảo mật hệ thống thông tin
Bài giảng bảo mật hệ thống thông tinBài giảng bảo mật hệ thống thông tin
Bài giảng bảo mật hệ thống thông tinTran Tien
 

Similar to Mạng máy tính nâng cao (20)

SYSTEM HACKING - TUẦN 1
SYSTEM HACKING - TUẦN 1SYSTEM HACKING - TUẦN 1
SYSTEM HACKING - TUẦN 1
 
Báo cáo lần 1
Báo cáo lần 1Báo cáo lần 1
Báo cáo lần 1
 
Giáo trình bảo mật thông tin
Giáo trình bảo mật thông tinGiáo trình bảo mật thông tin
Giáo trình bảo mật thông tin
 
Bao cao tuan 1
Bao cao tuan 1Bao cao tuan 1
Bao cao tuan 1
 
Security standard-present-th06-2013-shorter
Security standard-present-th06-2013-shorterSecurity standard-present-th06-2013-shorter
Security standard-present-th06-2013-shorter
 
Bao mat may chu cua mot to chuc
Bao mat may chu cua mot to chucBao mat may chu cua mot to chuc
Bao mat may chu cua mot to chuc
 
E Lib&Learning
E Lib&LearningE Lib&Learning
E Lib&Learning
 
Tổng kết Báo cáo thực tập Athena - Hoàng Thanh Quý
Tổng kết Báo cáo thực tập Athena - Hoàng Thanh QuýTổng kết Báo cáo thực tập Athena - Hoàng Thanh Quý
Tổng kết Báo cáo thực tập Athena - Hoàng Thanh Quý
 
Vu tuananh
Vu tuananhVu tuananh
Vu tuananh
 
Giải pháp bảo mật thông tin trong Chính phủ điện tử 2013
Giải pháp bảo mật thông tin trong Chính phủ điện tử 2013Giải pháp bảo mật thông tin trong Chính phủ điện tử 2013
Giải pháp bảo mật thông tin trong Chính phủ điện tử 2013
 
Báo cáo thực tập - Lần 1 - Hoàng Thanh Quý
Báo cáo thực tập - Lần 1 - Hoàng Thanh QuýBáo cáo thực tập - Lần 1 - Hoàng Thanh Quý
Báo cáo thực tập - Lần 1 - Hoàng Thanh Quý
 
bctntlvn (24).pdf
bctntlvn (24).pdfbctntlvn (24).pdf
bctntlvn (24).pdf
 
an toàn thông tin
an toàn thông tinan toàn thông tin
an toàn thông tin
 
Thiet lap an toan mang isa cho mang doanh nghiep
Thiet lap an toan mang isa cho mang doanh nghiepThiet lap an toan mang isa cho mang doanh nghiep
Thiet lap an toan mang isa cho mang doanh nghiep
 
GT AT BMTT .docx
GT AT BMTT .docxGT AT BMTT .docx
GT AT BMTT .docx
 
An toanthongtin end
An toanthongtin endAn toanthongtin end
An toanthongtin end
 
Bao caothuctap
Bao caothuctapBao caothuctap
Bao caothuctap
 
Bao mat cho cac may tinh cua to chuc
Bao mat cho cac may tinh cua to chucBao mat cho cac may tinh cua to chuc
Bao mat cho cac may tinh cua to chuc
 
95737582-Bai-Giang-an-Toan-Va-Bao-Mat-He-Thong-Thong-Tin-7765.pdf
95737582-Bai-Giang-an-Toan-Va-Bao-Mat-He-Thong-Thong-Tin-7765.pdf95737582-Bai-Giang-an-Toan-Va-Bao-Mat-He-Thong-Thong-Tin-7765.pdf
95737582-Bai-Giang-an-Toan-Va-Bao-Mat-He-Thong-Thong-Tin-7765.pdf
 
Bài giảng bảo mật hệ thống thông tin
Bài giảng bảo mật hệ thống thông tinBài giảng bảo mật hệ thống thông tin
Bài giảng bảo mật hệ thống thông tin
 

Mạng máy tính nâng cao

  • 1. TRƯỜNG ĐH SƯ PHẠM KỸ THUẬT VĨNH LONG KHOA CÔNG NGHỆ THÔNG TIN  Ngành: công nghệ thông tin Báo cáo nghiên cứu AN TOÀN MẠNG GVHD: TS. Lê Văn Lâm Người thực hiện: Nguyễn Văn Bình MSHV: 22004001 Tháng 10, Năm 2020
  • 2. 2 LỜI CẢM ƠN Lời đầu tiên, tôi xin gửi lời cảm ơn đến Ban Giám hiệu và quý Thầy, Cô Trường Đại học Sư phạm Kỹ Thuật Vĩnh Long những lời cảm ơn chân thành nhất, những người đã tạo điều kiện thật tốt cho tôi học tập và nghiên cứu để hoàn thành tiểu luận báo cáo. Tôi xin gửi lời tri ân sâu sắc đến thầy TS. Lê Văn Lâm, đã hết lòng hỗ trợ và giúp đỡ tôi trong suốt khoảng thời gian thực hiện tiểu luận. Sau cùng, xin chân thành gửi lời cảm ơn đến các anh chị học viên lớp Công nghệ thông tin đã đóng góp ý kiến, giúp đỡ và động viên tôi trong những lúc khó khăn và tiếp thêm cho tôi động lực để hoàn thành báo cáo này. Mặc dù đã cố gắng rất nhiều để thực hiện tiểu luận báo cáo trong phạm vi và khả năng nhưng chắc chắn sẽ không tránh khỏi những thiếu sót. Kính mong nhận được sự góp ý, chỉ dẫn tận tình của quý Thầy, Cô và các anh chị. Xin chân trọng cảm ơn!
  • 3. 3 MỤC LỤC Chương 1: MỞ ĐẦU 4 Chương 2: NỘI DUNG CỦA BẢO MẬT AN TOÀN MẠNG 2.1. VẤN ĐỀ MẠNG 2.1.1. Thu thập thông tin 5 2.1.2. Thẩm định tính rủi ro của hệ thống 5 2.2. XÂY DỰNG GIẢI PHÁP 2.2.1. Firewall 6 2.2.2. Hệ thống kiểm tra xâm nhập mạng (IDS) 6 2.2.3. Hệ thống kiểm tra xâm phạm dựa theo vùng (H-IDS) 6 2.2.4. Hệ thống kiểm tra xâm phạm dựa theo ứng dụng (App-IDS) 7 2.2.5. Phần mềm Anti-Virus (AV) 7 2.2.6. Mạng riêng ảo (VPN) 7 2.2.7. Sinh trắc học trong bảo mật 7 2.2.8. Các thế hệ thẻ thông minh 8 2.2.9. Kiểm tra máy chủ 8 2.2.10. Kiểm soát ứng dụng 8 2.2.11. Các hệ điều hành 8 2.3. BẢO MẬT MẠNG 2.3.1. Mục tiêu bảo mật mạng 9 2.3.2. Các giao thức mạng phổ biến 9 2.3.3. Bộ giao thức TCP/IP 9 2.3.4. Hệ thống tên miền (Domain Name System – DNS) 10 2.3.5. Tra cứu DNS 11 2.3.6. Giao thức truyền file (FTP) 11 2.3.7. Các quy tắc quản trị mạng 12 2.3.8. Cấu hình bộ định tuyến bảo mật 12 2.3.9. Quản lý thiết kế mạng 12 2.3.10. Quản lý mạng LAN ảo 13 2.3.11. Bảo mật cổng 13 2.3.12. Giới hạn và lọc địa chỉ MAC 14 2.3.13. IEEE 802.1x 14 2.3.14. Bảo mật mạng không dây 15 2.3.15. Các điểm yếu bảo mật của IEEE 802.11 17 2.3.16. Lan truyền SSID 18 Chương 3: KẾT LUẬN 19
  • 4. 4 Chương 1: MỞ ĐẦU - Khi cơ sở hạ tầng và các công nghệ mạng đã đáp ứng tốt các yêu cầu về băng thông, chất lượng dịch vụ, đồng thời thực trạng tấn công trên mạng đang ngày một gia tăng thì vấn đề bảo mật càng được chú trọng hơn. Không chỉ các nhà cung cấp dịch vụ Internet, các cơ quan chính phủ mà các doanh nghiệp, tổ chức cũng có ý thức hơn về an toàn thông tin. - Các vấn đề được xem là nền tảng của an toàn, bảo mật trong một tổ chức, doanh nghiệp. Các vấn đề được trình bày bao gồm cả bảo mật ở mức hệ thống và ứng dụng sẽ là cơ sở cho các tổ chức khi muốn xây dựng cơ chế bảo mật. - Với sự phát triển mạnh mẽ của không gian mạng, ngày nay, mọi hoạt động diễn ra trong thế giới thực đều có sự hỗ trợ đắc lực của các thiết bị thông minh; sự kết hợp giữa hệ thống ảo và thực thể đã làm thay đổi cách thức con người tiến hành công việc, tạo ra sản phẩm, từ đó tạo nên “cuộc cách mạng” về tổ chức các chuỗi sản xuất - giá trị, thúc đẩy phát triển kinh tế - xã hội. Bên cạnh những lợi ích thiết thực, sự phát triển mạnh mẽ của không gian mạng cũng đặt ra những thách thức to lớn cho vấn đề bảo đảm an ninh mạng. Các chiến dịch tấn công mạng quy mô lớn nhằm vào hạ tầng công nghệ thông tin trọng yếu của các quốc gia..., gián điệp mạng, khủng bố mạng, kêu gọi tài trợ khủng bố, tội phạm mạng, tán phát tin giả liên tục diễn ra, gây ra những hậu quả khôn lường. - Các cuộc tấn công mạng có chủ đích (Advanced Peristent Threat- APT) không chỉ có thể phá hoại các mục tiêu, công trình quan trọng về an ninh quốc gia mà còn chiếm đoạt thông tin, tài liệu bí mật, chiếm đoạt để sử dụng các hệ thống dữ liệu lớn, dữ liệu nhanh phục vụ các ý đồ chính trị và hoạt động phạm tội. Thực trạng, nguy cơ trên đã đặt ra yêu cầu bức thiết phải xây dựng hệ thống về an toàn mạng và về an ninh mạng để phòng ngừa, đấu tranh, xử lý các hành vi sử dụng không gian mạng xâm phạm an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân. Từ những nguyên nhân trên nên bản thân tôi chọn tiểu luận “NGHIÊN CỨU AN TOÀN MẠNG”.
  • 5. 5 Chương 2: NỘI DUNG CỦA BẢO MẬT AN TOÀN MẠNG 2.1. VẤN ĐỀ MẠNG 2.1.1. Thu thập thông tin - Trước khi đưa ra các thông báo mô tả thực hiện bảo mật, ta phải lường được mọi tình huống sẽ xảy ra, không chỉ bao gồm toàn bộ các thiết bị và hệ thống đi kèm trong việc thực hiện bảo mật mà còn phải kể đến cả các tiền trình xử lý, các cảnh bảo bảo mật, sự thẩm định hay các thông tin cần được bảo vệ. Điều này rất quan trọng khi cung cấp một cái nhìn bao quát về hệ thống bảo mật của công ty. Sự chuẩn bị này cũng nên tham chiếu tới các chính sách bảo mật cũng như các hướng dẫn thực hiện của công ty trong vần đề an toàn bảo mật. Phải lường trước được những gì xảy ra trong từng bước tiến hành của các dự án. - Để kiểm tra mức độ yếu kém của hệ thống, hãy bắt đầu với những vấn đề có thể dẫn tới độ rủi ro cao nhất trong hệ thống mạng của bạn, như Internet. Hãy sử dụng cơ chế bảo mật bên ngoài từ sản phẩm của một hãng có danh tiếng, có thể cung cấp thông tin cần thiết để ước lượng mức bảo mật hiện tại của công ty bạn khi bị tấn công từ Internet. - Sự thẩm định này không chỉ bao gồm việc kiểm tra các lỗ hổng, mà còn gồm cả các phân tích từ người sử dụng, hệ thống được kết nối bằng VPN, mạng và các phân tích về thông tin công cộng sẵn có. - Một trong những cân nhắc mang tính quan trọng là thẩm định từ bên ngoài vào. Đây chính là điểm mấu chốt trong việc đánh giá hệ thống mạng. Điển hình, một công ty sử dụng cơ chế bảo mật bên ngoài, cung cấp các dịch vụ email, Web theo cơ chế đó, thì họ nhận ra rằng, không phải toàn bộ các tấn công đều đến từ Internet. Việc cung cấp lớp bảo mật theo account, mạng bảo vệ bản thân họ từ chính những người sử dụng VPN và các đồng nghiệp, và tạo ra các mạng riêng rẽ từ các cổng truy cập đầu cuối là toàn bộ các ưu thế của cơ chế này. - Cơ chế bảo mật bên trong cũng giúp việc quản lý bảo mật công ty được tốt hơn. Bằng cách kiểm tra toàn bộ công việc kinh doanh, các cơ chế chính sách, các quá trình xử lý, xác thực dữ liệu tương phản với những gì được mô tả, hay sự tương thích với những chuẩn đã tồn tại được thẩm định. - Cơ chế bảo mật bên trong cung cấp thông tin một cách chi tiết tương tự như việc khảo sát kỹ lưỡng phạm vi ở mức sâu hơn, thậm chí bao gồm cả việc phá mã mật khẩu và các công cụ phân tích hệ thống để kiểm tra tính tương thích về chính sách trong tương lai. 2.1.2. Thẩm định tính rủi ro của hệ thống Khi thẩm định tính rủi ro của hệ thống, hãy sử dụng công thức sau: - Tính rủi ro = Giá trị thông tin * Mức độ của lỗ hổng * Khả năng mất thông tin Tính rủi ro bằng với giá trị thông tin trong câu hỏi (bao gồm giá trị đồng tiền, giá trị thời gian máy bị lỗi do lỗi bảo mật, giá trị mất mát khách hàng - tương đối), thời gian của quy mô lỗ hổng (tổng cộng/từng phần của tổn thất dữ liệu, thời gian hệ thống
  • 6. 6 ngừng hoạt động, sự nguy hiểm khi dữ liệu hỏng), thời gian về khả năng xuất hiện mất thông tin. - Để lấy được các kết quả từ bước đầu (các giá trị, báo cáo về cơ chế bảo mật ngoài, và chính sách bảo mật), và tập trung vào 3 trong số các mặt thường được đề cập. Sau đó, bắt đầu với một số câu hỏi khung sau: + Cơ chế bảo mật đã tồn tại của công ty có được đề ra rõ ràng và cung cấp đủ biện pháp bảo mật chưa? + Kết quả từ cơ chế bảo mật bên ngoài có hợp lệ so với chính sách bảo mật của công ty? + Có mục nào cần sửa lại trong cơ chế bảo mật mà không được chỉ rõ trong chính sách? + Hệ thống bảo mật sẽ mất tác dụng trong tính rủi ro cao nhất nào? + Giá trị, thông tin gì mang tính rủi ro cao nhất? Các câu trả lời cung cấp cái nhìn toàn diện cho việc phân tích về toàn bộ chính sách bảo mật của công ty. Có lẽ, thông tin quan trọng được lấy trong quá trình kết hợp các giá trị thẩm định và tính rủi ro tương ứng. Theo giá trị thông tin, bạn có thể tìm thấy các giải pháp mô tả được toàn bộ các yêu cầu, bạn có thể tạo ra một danh sách quan tâm về lỗ hổng bảo mật. 2.2. XÂY DỰNG GIẢI PHÁP 2.2.1. Firewall Xem xét và lựa chọn một sản phẩm firewall hợp lý và đưa và hoạt động phù hợp với chính sách của công ty là một trong những việc đầu tiên trong quá trình bảo mật hệ thống. Firewall có thể là giải pháp phần cứng hoặc phần mềm hoặc kết hợp cả hai. Nhiệm vụ của firewall là ngăn chặn các tấn công trực tiếp vào các thông tin quan trọng của hệ thống, kiểm soát các thông tin ra vào hệ thống. Việc lựa chọn firewall thích hợp cho một hệ thống không phải là dễ dàng. Các firewall đều phụ thuộc trên một môi trường, cấu hình mạng, ứng dụng cụ thể. Khi xem xét lựa chọn một firewall, cần tập trung tìm hiểu tập các chức năng của firewall, tính năng lọc địa chỉ, gói tin... 2.2.2. Hệ thống kiểm tra xâm nhập mạng (IDS) Một firewall được gọi là tốt chỉ khi nó có thể lọc và tạo khả năng kiểm soát các gói tin khi đi qua nó. Và đây cũng chính là nơi mà hệ thống IDS nhập cuộc. Nếu bạn xem firewall như một con đập ngăn nước, thì thì bạn có thể ví IDS như một hệ thống điều khiển luồng nước trên các hệ thống xả nước khác nhau. Một IDS, không liên quan tới các công việc điều khiển hướng đi của các gói tin, mà nó chỉ có nhiệm vụ phân tích các gói tin mà firewall cho phép đi qua, tìm kiếm các chữ kí tấn công đã biết (các chữ kí tấn công chính là các đoạn mã được biết mang tính nguy hiểm cho hệ thống) mà không thể kiểm tra hay ngăn chặn bởi firewall. IDS tương ứng với việc bảo vệ đằng sau của firewall, cung cấp việc chứng thực thông tin cần thiết để đảm bảo chắc chắn cho firewall hoạt động hiệu quả. 2.2.3. Hệ thống kiểm tra xâm phạm dựa theo vùng (H-IDS)
  • 7. 7 Sự lựa chọn, thực hiện và sử dụng một hệ thống kiểm tra sự xâm phạm trên máy chủ dựa trên nhiều hệ điều hành và môi trường ứng dụng chỉ định. Một hàm chức năng đầy đủ của H-IDS có thể cung cấp các thông báo đều đặn theo thời gian của bất kỳ sự thay đổi nào tới máy chủ từ tác động bên trong hay bên ngoài. Nó là một trong những cách tốt nhất để giảm thiểu sự tổn thương của hệ thống. Việc tìm kiếm hệ thống mà hỗ trợ hầu hết các hệ điều hành sử dụng trong tổ chức của bạn nên được xem như một trong những quyết định chính cho mỗi H-IDS. 2.2.4. Hệ thống kiểm tra xâm phạm dựa theo ứng dụng (App-IDS) Số lượng App-IDS xuất hiện trên thị trường ngày càng nhiều. Các công cụ này thực hiện việc phân tích các thông điệp từ một ứng dụng cụ thể hay thông tin qua proxy tới ứng dụng đó. Trong lúc chúng có mục đích cụ thể, chúng có thể cung cấp mức bảo mật tăng lên theo từng mảng ứng dụng cụ thể. Khi được kết hợp với một H- IDS, chúng đảm bảo rằng sự xâm nhập tới một máy chủ sẽ giảm thiểu. Một App-IDS nên được xem như một chức năng hỗ trợ bảo mật trong suốt, mặc dù không đúng trong một số trường hợp. 2.2.5. Phần mềm Anti-Virus (AV) Phần mềm AV nên được cài trên toàn bộ máy trạm (workstation), máy chủ (server), hệ thống hỗ trợ dịch vụ số, và hầu hết những nơi chứa dữ liệu quan trọng vào ra. Hai vấn đề quan trọng nhất để xem xét khi đặt yêu cầu một nhà sản xuất AV quản lý nhiều máy chủ và máy trạm trên toàn bộ phạm vi của công ty là khả năng nhà cung cấp đó có đối phó được các đe doạ từ virus mới hay không. (nguyên nhân: không bao giờ cho rằng phầm mềm đang chạy, luôn kiểm tả phiên bản của virus và các file cập nhật cho virus mới). 2.2.6. Mạng riêng ảo (VPN) Việc sử dụng VPN để cung cấp cho các nhân viên hay các cộng sự truy cập tới các tài nguyên của công ty từ nhà hay nơi làm việc khác với mức bảo mật cao, hiệu quả nhất trong quá trình truyền thông, và làm tăng hiệu quả sản xuất của nhân viên. Tuy nhiên, không có điều gì không đi kèm sự rủi ro. Bất kỳ tại thời điểm nào khi một VPN được thiết lập, bạn phải mở rộng phạm vi kiểm soát bảo mật của công ty tới toàn bộ các nút được kết nối với VPN. Để đảm bảo mức bảo mật cho hệ thống này, người sử dụng phải thực hiện đầy đủ các chính sách bảo mật của công ty. Điều này có thể thực hiện được qua việc sử dụng các hướng dẫn của nhà sản xuất về dịch vụ VPN như hạn chế các ứng dụng có thể chạy ở nhà, cổng mạng có thể mở, loại bỏ khả năng chia kênh dữ liệu, thiết lập hệ thống bảo vệ virus khi chạy hệ thống từ xa, tất cả công việc này giúp giảm thiểu tính rủi ro. Điều này rất quan trọng đối với các công ty phải đối mặt với những đe doạ trong việc kiện cáo, mạng của họ hay hệ thống được sử dụng để tấn công các công ty khác. 2.2.7. Sinh trắc học trong bảo mật Sinh trắc học đã được biết đến từ một số năm trước đây, nhưng cho đến nay vẫn có rất nhiều khó khăn cho việc nhân rộng để áp dụng cho các hệ thống bảo mật thương mại. Dấu tay, tròng mắt, giọng nói, ..., cung cấp bảo mật mức cao trên các
  • 8. 8 mật khẩu thông thường hay chứng thực hai nhân tố, nhưng cho đến hiện tại, chúng cũng vẫn được coi như phương thức tốt nhất để truy cập vào hệ thống. 2.2.8. Các thế hệ thẻ thông minh Các công ty gần đây sử dụng đã sử dụng thẻ thông minh như một phương thức bảo mật hữu hiệu. Windows cung cấp cơ chế hỗ trợ thẻ thông minh như một phương tiện chính trong việc chứng thực quyền đăng nhập hệ thống. Nói chung, sự kết hợp đa công nghệ (như tròng mắt, thẻ thông minh, dấu tay) đang dần hoàn thiện và mở ra một thời đại mới cho việc chứng thực quyền truy cập trong hệ thống bảo mật. 2.2.9. Kiểm tra máy chủ Sự kiểm tra đều đặn mức bảo mật được cung cấp bởi các máy chủ phụ thuộc chủ yếu vào sự quản lý. Mọi máy chủ ở trong một công ty nên được kiểm tra từ Internet để phát hiện lỗ hổng bảo mật. Thêm nữa, việc kiểm tra từ bên trong và quá trình thẩm định máy chủ về căn bản là cần thiết để giảm thiểu tính rủi ro của hệ thống, như khi firewall bị lỗi hay một máy chủ, hệ thống nào đó bị trục trặc. Hầu hết các hệ điều hành đều chạy trong tình trạng thấp hơn với mức bảo mật tối thiểu và có rất nhiều lỗ hổng bảo mật. Trước khi một máy chủ khi đưa vào sản xuất, sẽ có một quá trình kiểm tra theo một số bước nhất định. Toàn bộ các bản sửa lỗi phải được cài đặt trên máy chủ, và bất cứ dịch vụ không cần thiết nào phải được loại bỏ. Điều này làm tránh độ rủi ro xuống mức thấp nhất cho hệ thống. Việc tiếp theo là kiểm tra các log file từ các máy chủ và các ứng dụng. Chúng sẽ cung cấp cho ta một số thông tin tốt nhất về hệ thống, các tấn công bảo mật. Trong rất nhiều trường hợp, đó chính là một trong những cách để xác nhận quy mô của một tấn công vào máy chủ. 2.2.10. Kiểm soát ứng dụng Vấn đề an toàn bảo mật trong mã nguồn của các ứng dụng hầu hết không được quan tâm. Điều này không được thể hiện trên các sản phẩm như liệu nó có được mua, được download miễn phí hay được phát triển từ một mã nguồn nào đó. Để giúp đỡ giảm thiểu sự rủi ro bảo mật trong các ứng dụng, thẩm định lại giá trị của ứng dụng trong công ty, như công việc phát triển bên trong của các ứng dụng, Điều này cũng có thể bao gồm các đánh giá của các thực thể bên ngoài như đồng nghiệp hay các khách hàng. Việc điều khiển cấu hình bảo mật các ứng dụng có thể làm tăng mức bảo mật. Hầu hết các ứng dụng được cấu hình tại mức tối thiểu của tính năng bảo mật, nhưng qua các công cụ cấu hình, mức bảo mật của hệ thống có thể được tăng lên. Lượng thông tin kiểm soát được cung cấp bởi ứng dụng cũng có thể được cấu hình. Nơi mà các ứng dụng cung cấp thông tin về quy mô bảo mật, thời gian kiểm soát và sự phân tích thông tin này sẽ là chìa khoá để kiểm tra các vấn đề bảo mật thông tin. 2.2.11. Các hệ điều hành Sự lựa chọn hệ điều hành và ứng dụng là quá trình đòi hỏi phải có sự cân nhắc kỹ càng. Chọn cái gì giữa hệ điều hành Microsoft hay UNIX, trong rất nhiều trường hợp, điều thường do ấn tượng cá nhân ề sản phẩm. Khi lựa chọn một hệ điều hành, thông tin về nhà sản xuất không quan trọng bằng những gì nhà sản xuất đó làm được
  • 9. 9 trong thực tế, về khả năng bảo trì hay dễ dàng thực hiện với các tài liệu đi kèm. Bất kỳ một hệ điều hành nào từ 2 năm trước đây đều không thể đảm bảo theo những chuẩn ngày nay, và việc giữ các máy chủ, ứng dụng của bạn được cập nhật thường xuyên sẽ đảm bảo giảm thiểu khả năng rủi ro của hệ thống. Khi lựa chọn một hệ điều hành, hãy tìm hiểu không chỉ các tiêu chuẩn thông thường như (quản trị, hiệu năng, tính chứng thực), mà còn phải xem xét khả năng áp dụng được của hệ điều hành với hệ thống hiện tại. Một hệ điều hành có thể cung cấp cơ chế bảo mật tốt hơn khi nó tương thích với các ứng dụng chạy bên trong nó như DNS hay WebServer, trong khi các hệ điều hành khác có thể có nhiều chức năng tốt hơn như một hệ thống application, database hay email server. 2.3. BẢO MẬT MẠNG 2.3.1. Mục tiêu bảo mật mạng - Quản trị một mạng bảo mật + Các giao thức mạng phổ biến + Các nguyên tắc quản trị mạng + Bảo mật cho các ứng dụng mạng - Bảo mật mạng không dây + Tấn công vào mạng không dây + Các điểm yếu trong bảo mật 802.1x + Các giải pháp bảo mật mạng không dây 2.3.2. Các giao thức mạng phổ biến - Giao thức + Các quy tắc ứng xử và giao tiếp + Rất quan trọng để quá trình giao tiếp giữa các thiết bị được chính xác - Các giao thức mạng phổ biến + Bộ giao thức TCP/IP (Transmission Control Protocol/Internet Protocol) + Giao thức ICMP (Internet Control Message Protocol) + Giao thức SNMP (Simple Network Management Protocol) + Hệ thống tên miền DNS (Domain Name System) + Giao thức FTP (File Transfer Protocol) + Giao thức IPv6 (IP version 6) 2.3.3. Bộ giao thức TCP/IP - Giao thức điều khiển truyền tin/Giao thức Internet (Transmission Control Protocol/Internet Protocol – TCP/IP): Bộ giao thức phổ biến nhất, sử dụng cho các mạng cục bộ (LAN) và mạng Internet
  • 10. 10 - IP: Giao thức hoạt động chính ở tầng mạng (tầng 3) trong mô hình kết nối các hệ thống mở (OSI) - TCP - Giao thức tầng giao vận (tầng 4) - Thiết lập kết nối và vận chuyển dữ liệu tin cậy giữa các thiết bị - TCP/IP sử dụng kiến trúc bốn tầng: Giao diện mạng (Network Interface), Internet, Giao vận (Transport), Ứng dụng (Application) Mô hình OSI và mô hình TCP/IP 2.3.4. Hệ thống tên miền (Domain Name System – DNS) - Là một giao thức TCP/IP phân giải một địa chỉ IP sang tên tượng trưng - Là một cơ sở dữ liệu, chưa thông tin về tên của từng Website và địa chỉ IP tương ứng - Cơ sở dữ liệu DNS được phân tán trên nhiều server trên Internet - DNS có thể là tiêu điểm của các cuộc tấn công - Đầu độc DNS (DNS poisoning) thay thế địa chỉ IP giả mạo vào tên tượng trưng + Có thể được thực hiện trong bảng danh sách máy chủ cục bộ hoặc trên máy chủ DNS bên ngoài + Phiên bản mới nhất của phần mềm DNS ngăn chặn đầu độc DNS -Chuyển vùng (zone transfer) cho phép kẻ tấn công tiếp cận được các thông tin về mạng, phần cứng và hệ điều hành
  • 11. 11 2.3.5. Tra cứu DNS 2.3.6. Giao thức truyền file (FTP) - Các giao thức TCP/IP được sử dụng để truyền file + Giao thức truyền file (FTP) + Giao thức sao lưu an toàn (SCP) - Các phương pháp sử dụng giao thức FTP trên máy chủ cục bộ + Từ dấu nhắc lệnh (command prompt) + Sử dụng trình duyệt Web (Web browser) + Sử dụng trình khách FTP (FTP client) - Sử dụng FTP phía sau tường lửa có thể ngăn chặn được nhiều thử thách + Chế độ FTP chủ động (active mode) + Chế độ FTP thụ động (passive mode) - Các lỗ hổng của giao thức FTP + FTP không sử dụng mật mã + Các file được truyền bởi FTP là lỗ hổng đối với các vụ tấn công kẻ đứng giữa (man-in-the-middle) - Các tùy chọn truyền file bảo mật thay thế FTP + FTP sử dụng tầng kết nối an toàn bảo mật (FTP using Secure Sockets Layer- FTPS) + FTP an toàn (Secure FTP – SFTP) - Giao thức sao lưu an toàn (Secure Copy Protocol – SCP) + Phiên bản nâng cao của giao thức sao lưu từ xa (Remote Copy Protocol– RCP) + Mã hóa các file và lệnh + Quá trình truyền file không được phép gián đoạn và sau đó khôi phục lại trong cùng một phiên + Gặp chủ yếu trên các nền tảng Linux và UNIX
  • 12. 12 2.3.7. Các quy tắc quản trị mạng - Quản trị mạng bảo mật là công việc đầy thử thách - Phương pháp quản lý dựa trên quy tắc + Dựa vào các thủ tục và quy tắc + Các nguyên tắc có thể do bên ngoài (các bộ luật chi phối) hoặc quy định của nội bộ tổ chức + Các quy tắc thủ tục chỉ ra các quy tắc kỹ thuật + Các quy tắc kỹ thuật  Bảo mật thiết bị  Quản lý thiết kế mạng  Bảo mật các cổng Bảo mật thiết bị: gồm các nội dung sau + Cấu hình bộ định tuyến bảo mật (secure router configuration) + Phòng chống lũ (flood guard) + Phân tích nhật ký (log analysis) 2.3.8. Cấu hình bộ định tuyến bảo mật - Bộ định tuyến hoạt động tại tầng mạng (tầng 3): Chuyển tiếp các gói tin trên toàn bộ mạng máy tính - Bộ định tuyến có thể thực hiện các chức năng bảo mật: Có thể được cấu hình để lọc ra các kiểu lưu lượng mạng xác định Các nhiệm vụ cấu hình bộ định tuyến bảo mật Nhiệm vụ Mô Tả Tạo thiết kế Nên đưa ra một sơ đồ mạng để minh họa giao tiếp giữa các bộ định tuyến. Sơ đồ này nên thể hiện được cả giao diện mạng cục bộ (LAN) và mạng diện rộng (WAN) Sử dụng tên bộ định tuyến có ý nghĩa Nên đặt tên có nghĩa cho router để thao tác gõ lệnh được chính xác và đơn giản Bảo mật tất cả các cổng Tất cả các cổng kết nối tới bộ định tuyến phải được bảo mật, bao gồm cả cổng vật lý và các cổng gửi đến từ các địa điểm ở xa Đặt mật khẩu mạnh cho quản trị viên Cần phải có một mật khẩu của quản trị viên mới có thể chuyển sang chế độ privileged để thực hiện các lệnh cấu hình Tạo thay đổi từ giao diện điều khiển (console) Việc cấu hình router phải được thực hiện từ giao diện điều khiển, không được tiến hành tại một vị trí từ xa 2.3.9. Quản lý thiết kế mạng
  • 13. 13 - Việc mở rộng có thể làm phát sinh yêu cầu cần phải cấu hình lại mạng - Quản lý thiết kế mạng gồm các công việc sau: + Tách mạng (network separation) + Bảo vệ vòng lặp (loop protection) + Quản lý mạng LAN ảo (VLAN management) Tách mạng Tách mạng (network separation)  Phân tách giữa các phần khác nhau của hệ thống mạng  Ví dụ: phân khúc mạng quản lý đơn hàng không được phép truy cập tới mạng quản lý nguồn nhân lực Các lựa chọn thực hiện phân tách mạng  Phân tách vật lý người dùng bằng cách kết nối họ tới các bộ chuyển mạch và bộ định tuyến khác nhau  Bộ chuyển mạch sử dụng công nghệ khoảng không khí (Air gap switch) 2.3.10. Quản lý mạng LAN ảo - Phân đoạn mạng bằng cách nhóm các thiết bị vật lý thành các đơn vị lôgíc thông qua VLAN - Người dùng rải rác có thể được nhóm lại với nhau theo cách lôgíc: Không quan tâm tới việc người dùng được kết nối tới switch nào Các nguyên tắc chung để quản lý mạng VLAN  Một mạng VLAN không nên giao tiếp với mạng VLAN khác, trừ khi chúng được kết nối tới cùng một bộ định tuyến (router)  Cấu hình các cổng trống của switch để kết nối với một mạng VLAN không được sử dụng  Các mạng VLAN khác nhau nên được kết nối tới các switch khác nhau  Thay đổi tên mặc định của các mạng VLAN  Cấu hình các cổng switch truyền các gói tin VLAN được gán nhãn để chuyển tiếp các thẻ xác định một cách tường minh  Cấu hình mạng VLAN sao cho các thiết bị dùng chung không nằm trong một mạng VLAN riêng (private) 2.3.11. Bảo mật cổng Bảo mật các cổng mạng gồm các hoạt động sau: + Vô hiệu hóa các cổng không dùng (disabling unused ports) + Hạn chế và lọc MAC (MAC Limiting and Filtering) + IEEE 802.1x
  • 14. 14 Vô hiệu hóa các cổng không dùng + Tắt hết các cổng không cần thiết trên mạng + Những switch không được bảo mật cổng cho phép kẻ tấn công kết nối đến các cổng không sử dụng và tấn công vào mạng + Tất cả các cổng phải được bảo mật trước khi triển khai vào mạng + Nhà quản trị mạng cần ra lệnh tắt hết các cổng không sử dụng 2.3.12. Giới hạn và lọc địa chỉ MAC - Lọc và giới hạn số lượng địa chỉ MAC (media access control address) cho phép trên một cổng - Cổng có thể được thiết lập giới hạn bằng 1 (duy nhất 1 địa chỉ MAC cụ thể có thể gán cho cổng đó) - Một địa chỉ MAC cụ thể có thể được gán cho một cổng: Chỉ cho phép duy nhất một máy chủ hợp lệ được kết nối đến cổng Các cấu hình tùy chọn để giới hạn và lọc địa chỉ MAC Thiết lập cấu hình Mô tả Static Các địa chỉ MAC được nhập thủ công, sau đó được lưu trên thiết bị Dynamic Các địa chỉ MAC tự động được “học” và lưu trữ; khi switch khởi động lại, những thiết lập này sẽ bị xóa Sticky Các địa chỉ MAC tự động được “học” và được lưu trữ cùng với các địa chỉ đã “học” trước đó sử dụng cấu hình Sticky. Nếu cấu hình này bị vô hiệu hóa, các địa chỉ sẽ được lưu giữ trong bộ nhớ sẽ bị loại bỏ khỏi bảng 2.3.13. IEEE 802.1x - Tiêu chuẩn đưa ra cấp độ cao nhất về bảo mật cổng - Thực hiện xác thực dựa trên cổng - Chặn tất cả các lưu lượng trên cơ sở lần lượt từng cổng cho tới khi client được xác thực thành công - Tiến trình xác thực IEEE 802.1x
  • 15. 15 2.3.14. Bảo mật mạng không dây - Giao tiếp không dây đã cách mạng hóa mạng máy tính: Các mạng không dây được bắt gặp hầu như ở mọi nơi - Các mạng không dây là mục tiêu của các cuộc tấn công + Các tiêu chuẩn ban đầu của mạng không dây đã có những lỗ hổng + Những thay đổi về bảo mật mạng không dây mang lại sự bảo mật tương đương với các mạng có dây - Các nội dung về bảo mật mạng không dây: + Tấn công mạng không dây + Các điểm yếu bảo mật của 802.1x + Các giải pháp bảo mật mạng không dây Tấn công mạng không dây + Tấn công trên các thiết bị bluetooth + Tấn công mạng LAN không dây + Các mạng không dây là mục tiêu của những kẻ tấn công: Không đòi hỏi dây cáp kết nối + Các kiểu tấn công mạng LAN không dây Phát hiện mạng Tấn công thông qua dải tần RF Tấn công sử dụng điểm truy cập Phát hiện mạng + Phát hiện mạng (discovering the network): Một trong những bước đầu tiên để tấn công là phải phát hiện sự có mặt của một mạng + Dẫn đường (beaconing) Điểm truy cập liên tục gửi tín hiệu sau một khoảng thời gian nhất định để thông báo sự tồn tại của nó và cung cấp các thông tin kết nối Thiết bị không dây quét các khung dẫn đường (beacon frame) Dẫn dắt chiến sự (war driving): Quá trình phát hiện thụ động vị trí của mạng không dây Công cụ Mô tả Thiết bị máy tính di động Có thể là một máy tính di động, một máy tính bảng, hoặc một smartphone Card giao tiếp mạng không dây Card giao tiếp mạng không dây kết nối thông qua USB hay một cổng khác và có một ổ cắm ăng ten ngoài
  • 16. 16 Ăng ten Gắn thêm ăng ten ngoài giúp tăng đáng kể khả năng phát hiện và bắt được tín hiệu không dây Phần mềm Những kẻ dẫn dắt chiến sự nguy hiểm sử dụng nhiều phần mềm chuyên dụng hơn Bộ thu tín hiệu định vị toàn cầu (GPS) Thiết bị này giúp xác định vị trí chính xác hơn, nếu thông tin được ghi lại và chia sẻ với người khác Gieo mầm chiến tranh (war chalking) + Tổ chức tài liệu sau đó quảng cáo địa điểm mạng LAN không dây cho những người khác cùng sử dụng + Trước kia hành động này được thực hiện bằng cách vẽ lên tường hoặc vỉa hè xung quanh khu vực có mạng + Hiện nay, vị trí của mạng được tung lên các Website Các biểu tượng gieo mầm chiến tranh: Tấn công sử dụng điểm truy cập + Tấn công sử dụng các điểm truy cập (attack using access point)  Điểm truy cập lừa đảo  Kẻ sinh đôi ma quỷ (evil twins) + Điểm truy cập lừa đảo  Truy cập trái phép cho phép kẻ tấn công qua mặt các cấu hình bảo mật mạng  Có thể được thiết lập sau một tường lửa, mở đường cho tấn công
  • 17. 17 2.3.15. Các điểm yếu bảo mật của IEEE 802.11 - Ngay từ ban đầu, hội đồng IEEE 802.11 đã: + Thực thi một số biện pháp bảo mật mạng không dây theo chuẩn 802.11 + Để các phương pháp bảo mật mạng WLAN khác được áp dụng theo ý nhà cung cấp + Tuy vậy, các biện pháp bảo vệ vẫn để lộ nhiều sơ hở dẫn tới nhiều vụ tấn công đã xảy ra - Các phương pháp kiểm soát truy cập WLAN theo chuẩn 802.11: + Lọc địa chỉ MAC + Lan truyền SSID + Quyền riêng tư tương đương có dây (WEP) Lọc địa chỉ MAC - Phương pháp kiểm soát truy cập mạng WLAN: Giới hạn truy cập của thiết bị tới điểm truy cập AP - Lọc địa chỉ MAC + Hầu hết các nhà cung cấp AP đều sử dụng lọc địa chỉ MAC + Cho phép hoặc chặn thiết bị dựa trên địa chỉ MAC - Những lỗ hổng bảo mật của phương pháp lọc địa chỉ MAC + Các địa chỉ được trao đổi ở dạng chưa mã hóa + Kẻ tấn công có thể nhìn thấy địa chỉ của một thiết bị hợp lệ và sử dụng địa chỉ đó để thay thế cho địa chỉ thiết bị của mình + Việc quản lý một số lượng lớn các địa chỉ thực sự là một thử thách
  • 18. 18 2.3.16. Lan truyền SSID - Mỗi thiết bị phải được xác thực trước khi kết nối tới mạng WLAN - Hệ thống xác thực mở + Thiết bị phát hiện thấy mạng không dây và gửi một khung dữ liệu yêu cầu liên kết tới AP + Khung dữ liệu chứa danh tính của tập dịch vụ (Service Set Identifier – SSID)  Là tên của mạng do người dùng cung cấp  Có thể là một chuỗi bất kỳ chứa chữ cái hoặc số, có độ dài từ 2 – 32 ký tự + AP so sánh giá trị SSID này với SSID thực sự của mạng: Nếu hai giá trị này trùng khớp, thiết bị sẽ được xác thực - Hệ thống xác thực mở là một cơ chế yếu + Chỉ dựa trên đối chiếu các giá trị SSID + Kẻ tấn công có thể đợi một SSID được AP quảng bá - Người dùng có thể cấu hình AP để ngăn việc phát đi các khung beacon chứa SSID + Chỉ đem lại mức độ bảo mật yếu + Có thể bị phát hiện khi SSID được truyền trong các khung dữ liệu khác + Các phiên bản Windows XP cũ có thêm một lỗ hổng nếu phương pháp xác thực mở được áp dụng.
  • 19. 19 Chương 3: KẾT LUẬN - An ninh mạng là thực tiễn của việc bảo vệ các hệ thống điện tử, mạng lưới, máy tính, thiết bị di động, chương trình và dữ liệu khỏi những cuộc tấn công kỹ thuật số độc hại có chủ đích. Tội phạm mạng có thể triển khai một loạt các cuộc tấn công chống lại các nạn nhân hoặc doanh nghiệp đơn lẻ; có thể kể đến như truy cập, làm thay đổi hoặc xóa bỏ dữ liệu nhạy cảm; tống tiền; can thiệp vào các quy trình kinh doanh. - An ninh mạng máy tính bao gồm việc kiểm soát truy cập vật lý đến phần cứng, cũng như bảo vệ chống lại tác hại có thể xảy ra qua truy cập mạng máy tính, cơ sở dữ liệu, lợi dụng lỗ hổng phần mềm… Do sai lầm của những người điều hành, dù cố ý hoặc do bất cẩn, an ninh công nghệ thông tin có thể bị lừa đảo phi kỹ thuật để vượt qua các thủ tục an toàn hoặc thông qua các phương pháp khác nhau. - An ninh mạng hoạt động thông qua một cơ sở hạ tầng chặt chẽ, được chia thành ba phần chính: bảo mật công nghệ thông tin, an ninh mạng và an ninh máy tính. + Bảo mật công nghệ thông tin (với cách gọi khác là bảo mật thông tin điện tử): Bảo vệ dữ liệu ở nơi chúng được lưu trữ và cả khi các dữ liệu này di chuyển trên các mạng lưới thông tin. Trong khi an ninh mạng chỉ bảo vệ dữ liệu số, bảo mật công nghệ thông tin nắm trong tay trọng trách bảo vệ cả dữ liệu kỹ thuật số lẫn dữ liệu vật lý khỏi những kẻ xâm nhập trái phép. + An ninh mạng: Là một tập hợp con của bảo mật công nghệ thông tin. An ninh mạng thực hiện nhiệm vụ đảm bảo dữ liệu kỹ thuật số trên các mạng lưới, máy tính và thiết bị cá nhân nằm ngoài sự truy cập, tấn công và phá hủy bất hợp pháp. +An ninh máy tính: Là một tập hợp con của an ninh mạng. Loại bảo mật này sử dụng phần cứng và phần mềm để bảo vệ bất kỳ dữ liệu nào được gửi từ máy tính cá nhân hoặc các thiết bị khác đến hệ thống mạng lưới thông tin. An ninh máy tính thực hiện chức năng bảo vệ cơ sở hạ tầng công nghệ thông tin và chống lại các dữ liệu bị chặn, bị thay đổi hoặc đánh cắp bởi tội phạm mạng.
  • 20. 20 TÀI LIỆU THAM KHẢO Tài liệu 1. Tài liệu quản trị mạng đại học Cần Thơ 2. Tài liệu quản trị mạng đại học sư phạm kỹ thuật Vĩnh Long 3. Tài liệu của VnPro của Giảng Viên Vòng Chấn Nguyên Trang web https://www.forum.vnpro.org/ https://quantrimang.com/ https://cuuduongthancong.com/s/mang-may-tinh