Đề tài: Phương pháp bảo mật bằng công nghệ bức tường lửa, 9đ

Lớp Điện Tử 7 - K48
1
LỜI NÓI ĐẦU
Với sự bùng nổ ngày càng mạnh mẽ của mạng Internet, các quốc gia các tổ
chức, các công ty và tất cả mọi người đang ngày càng xích lại gần nhau hơn. Khoảng
cách về địa lý ngày càng trở nên mờ dần và khái niệm một thế giới “phẳng” đang trở
nên rõ nét. Thật khó mà kể hết những lợi ích mà Internet mang lại cho con người và
cũng không thể tưởng tượng được một ngày thiếu Internet thì con người sẽ phải xoay
sở như thế nào. Đó không chỉ là một công cụ trao đổi thông tin nhanh chóng tin cậy mà
còn là kho thông tin vô tận, cập nhật, đa dạng và đầy đủ nhất. Có thể nói rằng Internet
là nguồn tài nguyên vô giá trong kỉ nguyên số hiện nay. Chính vì vậy việc khai thác và
tận dụng được tài nguyên mạng là mối quan tâm hàng đầu của các doanh nghiệp. Công
nghệ mạng Lan và mạng Wan phát triển đã thỏa mãn nhu cầu đó.
Tuy nhiên ngoài những lợi ích to lớn mạng Internet cũng ẩn chứa những nguy
cơ khôn lường về khả năng đánh cắp, phá hoại những tài sản thông tin của tổ chức dẫn
đến những hậu quả nghiêm trọng. Chính vì vậy công việc và trọng trách đặt lên vai của
những người làm công nghệ thông tin trên thế giới nói chung và ở Việt Nam nói riêng
không chỉ là nghiên cứu xây dựng và phát triển nhanh chóng mạng máy tính trong
nước để mọi người có thể khai thác tiềm năng hết sức phong phú trên Internet mà đồng
thời cũng phải nghiên cứu thực hiện tốt các biện pháp ngăn chặn, phòng chống, phát
hiện và phục hồi được các hành vi tấn công phá hoại trái phép trên mạng, nhằm đảm
bảo được tối đa sự phát triển cho các tổ chức kinh doanh…
Với mục đích đó trong thời gian thực tập tôi đã tự tìm hiểu các khái niệm cơ bản
về bảo mật cùng với những kiến thức về mạng máy tính đã học được tại học viện mạng
của Cisco, tôi mong muốn xây dựng được một hệ thống bảo mật sử dụng công nghệ
firewall có nhiều tính ứng dụng trong thực tiễn.
Đồ án tốt nghiệp này sẽ giới thiệu các kiến thức chung về bảo mật mạng máy
tính, các công nghệ thường được sử dụng để bảo mật trên nền bộ giao thức TCP/IP,

2
giao thức chính trên Intenet và cụ thể đi sâu vào công nghệ Firewall một công nghệ bảo
mật phổ biến nhất hiện nay.
Phần cuối của đồ án tôi sẽ đưa ra phương pháp xây dựng một mô hình bảo mật
bằng Firewall cho hệ thống mạng doanh nghiệp.
Tôi xin chân thành cảm ơn sự chỉ bảo hướng dẫn tận tình của Thầy Đinh Hữu
Thanh - giảng viên khoa Điện tử viễn thông Đại Học Bách Khoa Hà Nội , CCNP
Trần Thanh Long giảng viên CCNA – Giám đốc học viện mạng Cisco - ĐH Công
nghệ - ĐH Quốc gia Hà Nội , Giám đốc - giảng viên học viện ITLAB Nguyễn Anh
Thao , Mr Christian Tusborg – IT manager Skills Group đã giúp tôi thực hiện đồ án
này.
Vì thời gian hạn hẹp, vấn đề cần tìm hiểu quá rộng, lượng thông tin và tài liệu
cần đọc rất lớn, kiến thức hạn chế nên chắc chắn rằng bản đồ án này sẽ không tránh
khỏi những thiếu sót, tôi rất mong nhận được sự chỉ bảo góp ý thắng thắn từ phía hội
đồng và các bạn.
Trân trọng cảm ơn .

3
TÓM TẮT ĐỒ ÁN
Bảo mật là một phạm trù rộng và phức tạp, trong lĩnh vực công nghệ thông tin
nó là tổng hòa nhiều công nghệ khác nhau nhằm mang lại sự an toàn cho hệ thống
thông tin của một tổ chức nào đó.
Ngày nay bất kì một hệ thống thông tin nào cũng phải tuân theo các tiêu chuẩn
mang tính chất quốc tế, đó là quy định bắt buộc khi phạm vi truyền thông có tính chất
toàn cầu chứ không chỉ bó hẹp trong phạm vi của chính tổ chức đó hay phạm vi khu
vực. Vì vậy để bảo đảm an toàn thông tin trong quá trình truyền thông thì các phương
pháp bảo mật cũng cần tương thích với các chuẩn mang tính chất quốc tế đó.
Phần I của đồ án này sẽ đưa ra một cái nhìn toàn diện về mô hình truyền thông
trên mạng Internet và những hình dung chung nhất về các công nghệ bảo mật trong
một bức tranh tổng thể. Trong các công nghệ bảo mật cơ bản và hiệu quả nhất hiện nay
tôi sẽ đi sâu phân tích và đánh giá phương pháp bảo mật bằng công nghệ “bức tường
lửa”,
Phần II của đồ án sẽ tập trung giải quyết vấn đề này . Trên cơ sở lý luận đã
nghiên cứu việc có thể đưa ra được phương án áp dụng thành công công nghệ đã lựa
chọn là điều rất cần thiết. Với mong muốn đồ án là một sản phẩm mang tính thực tiễn
cao tôi sẽ trình bày các phương pháp triển khai công nghệ bức tường lửa trong hệ thống
thông tin của tổ chức, kèm theo đó là những minh họa có tính chất trực quan.
Với những nội dung trên hy vọng mang lại cho người đọc một cái nhìn toàn
cảnh về bức tranh bảo mật nói chung và công nghệ bức tưởng lửa nói riêng. Theo nhịp
độ phát triển mau lẹ của công nghệ các biện pháp tấn công ngày càng tinh vi hơn,
chính vì vậy các công nghệ cũng cần không ngừng được cải tiến không ngừng để đảm
bảo cho một nền thông tin an toàn và bền vững.

4
THESIS SUMMARY
Information security is a wide-reaching and complex term because it is made up
of many high technologies in order to make our information system more secure.
Today, most information systems must meet the international standards because
information transportation takes place not only in a organization itseft or in a region
but also all over the world. Therefore to secure information exchanged, the security
technologies used must meet international standards.
The first Part of my thesis will provide an overview of information
transportation process in the Internet and a genaral picture of information security
technologies. I will do a thorough research on firewall technology, one of the most
popular and effective security methods in the second part of my thesis.
It’s essential that research results be successfully applicable in real-life selected
technologies. Bearing this in mind, I will clarify applications of firewall technology
into information systems in enterprises in addition to visual illustrations. All of these
are presented in third part.
Hopefully, readers will have general understanding of security technologies in
general and firewall technology in particular. As technological progresses take place
nearly every minute, hacking activities have become increasingly damaging and
seemingly uncontrollable. Hence, security technologies must be steadily improved for
the sake of a well-sustained information system.

5
MỤC LỤC
LỜI NÓI ĐẦU ....................................................................................................................1
TÓM TẮT ĐỒ ÁN..............................................................................................................3
THESIS SUMMARY .........................................................................................................4
DANH SÁCH HÌNH VẼ....................................................................................................5
DANH SÁCH CÁC TỪ VIẾT TẮT.................................................................................8
LỜI MỞ ĐẦU.................................................................................................................. 11
PHẦN I: KHÁI NIỆM CHUNG VỀ BẢO MẬT......................................................... 12
Chương 1....................................................................................................................... 12
MÔ HÌNH OSI VÀ BỘ GIAO THỨC TCP/IP ....................................................... 12
1.1. GIỚI THIỆU CHUNG .................................................................................... 12
1.2. MÔ HÌNH OSI................................................................................................. 13
1.3. KIẾN TRÚC TCP/IP...................................................................................... 14
1.4. MỘT SỐ GIAO THỨC CƠ BẢN TRONG BỘ GIAO THỨC TCP/IP .. 17
1.4.1. Giao thức IP (Internet Protocol) ............................................................ 17
1.4.2. Giao thức UDP ( User Datagram Protocol )........................................ 21
1.4.3. Giao thức TCP ( Transmission Control Protocol ).............................. 22
1.5. QUÁ TRÌNH ĐÓNG MỞ GÓI DỮ LIỆU KHI TRUYỀN TIN QUA CÁC
LỚP ........................................................................................................................... 30
Chương 2....................................................................................................................... 32
KHÁI NIỆM BẢO MẬT............................................................................................ 32
2.1. KHÁI NIỆM BẢO MẬT................................................................................ 32
2.2. MỤC TIÊU CỦA BẢO MẬT THÔNG TIN ............................................... 31
2.3. BẢO MẬT LÀ MỘT QUY TRÌNH ............................................................ 34
2.4. NHẬN BIẾT CÁC NGUY CƠ MẤT AN NINH DỮ LIỆU. .................... 36
Chương 3....................................................................................................................... 45
CÁC CÔNG NGHỆ BẢO MẬT................................................................................ 45
3.1. CÔNG NGHỆ BẢO MẬT THEO LỚP ...................................................... 45
3.1.1. Bảo mật ở mức vật lý .............................................................................. 46
3.1.2. Bảo mật sử dụng bức tường lửa............................................................. 47
3.1.3. Bảo mật sử dụng lọc gói dữ liệu ............................................................ 49
3.1.4. Bảo mật sử dụng các phương pháp mã hóa.......................................... 50
3.1.5. Bảo mật sử dụng xác thực, cấp quyền truy nhập và thống kê............ 53
3.2. CÁC CHÍNH SÁCH CHUNG CHO CON NGƯỜI ................................... 54
Phần II................................................................................................................................ 56
CÔNG NGHỆ FIREWALL VÀ ỨNG DỤNG............................................................. 56
Chương I ....................................................................................................................... 56
CÁC KHÁI NIỆM CƠ BẢN VỀ FIREWALL........................................................ 56
1.1. LỊCH SỬ RA ĐỜI VÀ PHÁT TRIỂN CỦA CÔNG NGHỆ FIREWALL56

6
1.2. ĐỊNH NGHĨA FIREWALL........................................................................... 58
1.3. PHÂN LOẠI FIREWALL.............................................................................. 59
1.3.1. Firewall phần mềm .................................................................................. 59
1.3.2. Firewall phần cứng ................................................................................. 59
1.4. CHỨC NĂNG CỦA FIREWALL................................................................. 59
1.4.1. Điều khiển truy nhập (Access Control) ............................................... 59
1.4.1.1. Vị trí xảy ra quá trình lọc gói ........................................................ 59
1.4.1.2. Hoạt động lọc gói (Packet Filtering) ............................................. 61
1.4.1.3. Luật lọc ( Filtering Rules) ............................................................. 61
1.4.1.4. Hoạt động của tường lửa người đại diện ứng dụng ( Proxy
Application).................................................................................................... 62
1.4.2. Quản lý xác thực (User Authentication). .............................................. 64
1.4.3. Kiểm tra và Cảnh báo (Activity Logging and Alarms)....................... 65
1.4.3.1. Chức năng kiểm tra (Activity logging) ......................................... 65
1.4.3.2. Chức năng cảnh báo (Alarm) ......................................................... 65
Chương 2....................................................................................................................... 66
CÁC KIẾN TRÚC FIREWALL CƠ BẢN............................................................... 66
2.1. FIREWALL BỘ LỌC GÓI TIN (PACKET FILTERING FIREWALL) 66
2.2. FIREWALL DỊCH VỤ ỦY THÁC (PROXY SERVER) ......................... 67
2.2.1. Gateway mức mạng (Network Level Gateway) .................................. 68
2.2.2. Gateway mức ứng dụng (Application level Gateway)........................ 68
2.3. KĨ THUẬT KIỂM TRA TRẠNG THÁI (Stateful packet filtering)....... 70
2.4. FIREWALL PHÁO ĐÀI PHÒNG NGỰ (BASTION HOST FIREWALL )
................................................................................................................................... 71
2.4.1. Dạng thứ nhất là máy phòng thủ có hai card mạng............................. 71
2.4.2. Dạng thứ hai là máy phòng thủ có một card mạng.............................. 71
Chương 3....................................................................................................................... 72
NGUYÊN TẮC HOẠT ĐỘNG CỦA CÁC LOẠI FIREWALL ......................... 72
3.1. HOẠT ĐỘNG CỦA FIREWALL “MỀM”................................................. 72
3.2. HOẠT ĐỘNG CỦA FIREWALL “CỨNG” ............................................... 75
3.2.1. Cơ chế lọc gói tin :................................................................................... 75
3.2.2. Một số đặc điểm ACL: ............................................................................ 75
3.2.3. Phân loại ACL.......................................................................................... 76
3.2.3.1. Danh sách điều khiển truy nhập cơ bản (Standard IP Access Control
Lists)................................................................................................................ 76
3.2.3.2. Danh sách điều khiển truy nhập mở rộng (Extended IP Access
Control Lists).................................................................................................. 77
3.2.3.3. So sánh giữa standard ACL và extended ACL ............................ 78
3.2.4. Ứng dụng ACL......................................................................................... 79
3.3. NAT ................................................................................................................. 79
3.3.1. Cấu hình NAT trên nhiều cổng............................................................. 83
3.3.2. Phiên dịch địa chỉ động.......................................................................... 84
3.3.3. Phiên dịch địa chỉ tĩnh............................................................................ 85

7
3.3.4. Cơ chế phiên dịch thông qua địa chỉ cổng (Port Address Translation)
............................................................................................................................... 85
3.4. Cơ chế điều khiển và giám sát các kết nối qua Firewall .......................... 86
3.4.1. Vận chuyển giao thức TCP..................................................................... 86
3.4.2. Vận chuyển giao thức UDP .................................................................... 88
3.5. Một số kỹ thuật khác được sử dụng trong Firewall ................................... 89
3.5.1. Kỹ thuật thẩm kế an toàn ........................................................................ 89
3.5.2. Kỹ thuật lõi an toàn ................................................................................. 89
3.5.3. Kỹ thuật cân bằng phụ tải ....................................................................... 90
3.6. Sự kết hợp các biện pháp kỹ thuật ............................................................... 90
Chương 4....................................................................................................................... 91
CÁC PHƯƠNG PHÁP TRIỂN KHAI FIREWALL............................................... 91
4.1. CHỨC NĂNG PHÂN VÙNG CỦA FIREWALL TRONG THIẾT KẾ AN
NINH MẠNG .......................................................................................................... 92
4.1.1. Mạng bên trong(Inside Network) .......................................................... 92
4.1.2. Mạng bên ngoài (Outside Network) ...................................................... 92
4.1.3. Vùng phi quân sự (Demilitarized Zone -DMZ)................................... 92
4.2. CÁC KIẾN TRÚC FIREWALL ĐƠN GIẢN THƯỜNG GẶP ................ 93
4.2.1. Kiến trúc cơ bản....................................................................................... 93
4.2.2. Dual-Homed System ............................................................................... 94
4.2.3. Kiến trúc Screening Host........................................................................ 95
4.2.4. Kiến trúc Screened Subnet ..................................................................... 96
4.3. CÁC MÔ HÌNH FIREWALL PHỨC TẠP.................................................. 97
4.4. Đánh giá Firewall ..........................................................................................100
KẾT LUẬN .....................................................................................................................103
TÀI LIÊỤ THAM KHẢO .............................................................................................105

8
DANH SÁCH HÌNH VẼ
Hình 1.1. Mô hình tham chiếu OSI 15
Hình 1.2. Kiến trúc TCP/IP 14
Hình 1.3. Khuôn dạng IP datagram 18
Hình 1.4. Phân lớp địa chỉ IP 20
Hình 1.6. Khuôn dạng UDP datagram 23
Hình 1.7. Khuôn dạng TCP datagram 23
Hình 1.8. Thiết lập và giải phóng liên kết 27
Hình 1.9. Cơ chế cửa sổ trượt 27
Hình 1.10. Quá trình đóng /mở gói dữ liệu 28
Hình 1.11 . Mục tiêu CIA 33
Hình 1.12 . Quy trình bảo mật 33
Hình 1.13.Tấn công kẻ trung gian 37
Hình 1.14. Mô hình bảo mật theo lớp 44
Hình 1.15 Bảo mật sử dụng bức tường lửa 45
Hình 1.16 . Các loại IPS 47
Hình 1.17. Bảo mật sử dụng lọc gói dữ liệu 48
Hình 1.18 . Kết nối từ xa sử dụng VPN 50
Hình 2.1 . Firewall làm màn chắn ngăn cách giữa mạng nội bộ và Internet 56
Hình 2.2. Các vị trí có thể kiểm soátgói tin trong tầng giao thức 58
Hình 2.3. Các thông tin được sử dụng trong luật lọc của gói tin IP 59
Hình 2.4. Hoạt dộng của người đại diện ứng dụng 60
Hình 2.5 Tưởng lửa lọc gói tin. 65
Hình 2.6. Tường lửa dịch vụ ủy thác 67
Hình 2.7. Giao tiếp trên mạng thông qua proxy server 67
Hình 2.8. Pháo đài phòng ngự 69
Hình 2.9. Sơ đồ hoạt động của ISA Server 74
Hình 2.10. Hoạt động của Standard ACL 76
Hình 2.11. Di chuyển của gói tin giữa các vùng có độ an toàn khác nhau 79
Hình 2.12. Chức năng phân vùng của firewall 81
Hình 2.13 . Quá trình phiên dich địa chỉ 82
Hình 2.14 . Cấu hình NAT trên nhiều cổng 83
Hình 2.15. Phiên dịch địa chỉ từ mạng trong ra mạng ngoài 84
Hình 2.16 Quá trình tạo một kết nối TCP từ bên trong ra bên ngoài 87
Hình 2.17. Kiến trúc 3 vùng cơ bản trong thiết kế an ninh mạng 91
Hình 2.18 . Kiến trúc firewall cơ bản 94

9
Hình 2.19. Hệ Dual-Homed system 95
Hình 2.20. Hệ screening host 95
Hình 2.21. Hệ Sreened Subnet 96
DANH SÁCH CÁC TỪ VIẾT TẮT
Từ viết tắt Từ đầy đủ Chú thích
FW Firewall Bức tường lửa
VPN Virtual Private Network Mạng riêng ảo
NAT Network Address Translation Phiên dịch địa chỉ mạng
OSI Open Systems Interconnection Mô hình liên kết các hệ
thống mở
CSU/DSU Chanel Service Unit/ Digital Service
Unit
Đơn vị dịch vụ kênh và
đơn vị dịch vụ số
LAN Local Area Network Mạng cục bộ
MAN Metropolitan Area Network Mạng đô thị
GAN Global Area Network Mạng toàn cầu
CAN Campus Area Network Mạng trường học
WAN Wide Area Network Mạng diện rộng
SAN Storage Area Network Mạng lưu trữ
VPN Vitual Private Network Mạng riêng ảo
IEEE Institue of Electrical and Electronic
Engineers
Tổ chức chuẩn IEEE
IBM International Business Machines Tập đoàn IBM
PC Personal Computer Máy vi tính
RF Radio Frequency Tần số radio
NIC Network Interface Card Card giao tiếp mạng
AP Access Point Điểm truy cập
ISO International Organization for
Standardizations
Tổ chức chuẩn ISO
CSDL Cơ sở dữ liệu
FTP Fire Transfer Protocol Giao thức truyền file
SMTP Simple Mail Transfer Protocol Giao thức truyền email
DNS Domain Name System Hệ thống tên miền

10
Từ viết tắt Từ đầy đủ Chú thích
HTTP Hypertext Transfer Protocol Giao thức truyền tải nội
dung trên mạng
TCP Transmission Control Protocol Giao thức điều khiển
đường truyền
UDP User Datagram Protocol Giao thức UDP
IP Internet Protocol Giao thức mạng
IPX Internetwork Packet Exchange Giao thức mạng
DoS Denial of Service Từ chối dịch vụ
ACL Access Control List Danh sách điều khiển truy
cập
RFC Request For Comments Tổ chức chuẩn RFC
IETF Internet Engineering Task Force Tổ chức chuẩn IETF

11
LỜI MỞ ĐẦU
Với mục đích thu thập các kiến thức cơ bản về bảo mật mạng Internet trên nền
bộ giao thức TCP/IP và đi sâu nghiên cứu thiết kế hệ công nghệ bảo mật firewall, bản
đồ án này được tôi chia thành 3 phần với những nội dung như sau:
PHẦN I: KHÁI NIỆM CHUNG VỀ BẢO MẬT.
Phần này trình bày các khái niệm về mô hình truyền thông OSI và bộ giao thức
TCP/IP, khái niệm bảo mật và giới thiệu các công nghệ bảo mật trên nền bộ giao thức
đó. Các nội dung được trình theo các chương sau:
Chương 1: Mô hình OSI và bộ giao thức TCP/IP
Trình bày mô hình truyền thông tin trên mạng Internet theo các lớp và đi sâu tìm
hiểu 3 giao thức cơ bản IP, UDP, TCP.
Chương 2: Khái niệm bảo mật
Trình bày khái niệm bảo mật là gì, mục tiêu trọng tâm của bảo mật, các phương
pháp tấn công thường gặp.
Chương 3: Các công nghệ bảo mật
Tìm hiểu các công nghệ bảo mật thường được sử dụng và các biện pháp kết hợp
để bảo mật hệ thống.
PHẦN II: BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Phần này trình bày bảo mật sử dụng công nghệ Bức tường lửa, với các nội dung
chi tiết liên quan đến công nghệ này. Nội dung đó nằm trong các chương sau:
Chương 4: Bức tường lửa
Giới thiệu công nghệ firewall, các loại firewall, đặc điểm và ứng dụng của từng
loại.
Chương 5: Ứng dụng Bức tường lửa trong các doanh nghiệp
Một số ứng dụng của bức tường lửa trong bảo mật thông tin cho các doanh
nghiệp

12
KẾT LUẬN
PHẦN I: KHÁI NIỆM CHUNG VỀ BẢO MẬT
Chương 1
MÔ HÌNH OSI VÀ BỘ GIAO THỨC TCP/IP
Truyền thông tin trên mạng là một quá trình phức tạp đòi nhiều công nghệ hỗ
trợ và phải trải qua nhiều giai đoạn khác nhau. Công nghệ càng hiện đại cho phép
thông tin được truyền đi càng nhanh chóng với độ tin cậy cao. Tuy nhiên để có thể khai
thác và quản lý mạng trên một phạm vi rộng lớn thì cần phải có sự tương thích và đồng
bộ về công nghệ trong quá trình truyền tin. Xuất phát từ các nhu cầu đó mô hình OSI
và bộ giao thức TCP/IP ra đời để làm quy chuẩn cho việc xây dựng các hệ thống mạng
hiện nay.
Trong chương này tôi giới thiệu mô hình OSI và bộ giao thức TCP/IP để đưa ra
cái nhìn tổng quan về quá trình truyền tin trên các mạng truyền thông nói chung và
mạng Internet nói riêng. Và đó cũng là nền tảng để phân tích, xây dựng và triển khai
các kế hoạch bảo mật phục vụ cho mục tiêu an ninh mạng.
1.1. GIỚI THIỆU CHUNG
Bộ giao thức điều khiển truyền dẫn / giao thức Internet (TCP/IP) là một trong
những giao thức mạng được sử dụng rộng rãi nhất ngày nay. Ra đời và phát triển từ
những năm 1970 bởi APRA (Advance Research Projects Agency), TCP/IP cho phép
các hệ thống không đồng nhất có thể giao tiếp được với nhau. Ngày nay TCP/IP được
áp dụng rộng rãi trong cả mạng cục bộ cũng như các mạng diện rộng và trên toàn
Internet.
Trước khi xem xét giao thức TCP/IP chúng ta tìm hiểu 1 cách khái quát nhất mô
hình tham chiếu cho việc liên kết các hệ thống mở (Reference Model for Open System
Interconnection) OSI.

13
1.2. MÔ HÌNH OSI
Như đã nói ở trên việc tồn tại nhiều kiến trúc mạng khác nhau và không tương
thích với nhau gây ra trở ngại cho việc trao đổi thông tin giữa các mạng này. Để tạo
khả năng hội tụ cho các sản phẩm mạng, tổ chức tiêu chuẩn hóa quốc tế đã xây dựng
một mô hình tiêu chuẩn cho các mạng gọi là mô hình tham chiếu cho việc liên kết các
hệ thống mở (Reference Model for Open System Interconnection) hay gọn hơn mô
hình tham chiếu OSI (OSI Reference Model).
Mô hình OSI gồm 7 tầng thực hiện các chức năng sau:
Tầng vật lý (Physical Layer): Là tầng thấp nhất, thực hiện việc bốc xếp các chuỗi
bit theo chỉ thị của tầng kết nối dữ liệu.
Tầng kết nối dữ liệu(Datalink Layer): Cung cấp phương tiện để truyền thông tin
qua giao diện vật lý. Có 2 chức năng cơ bản là điều khiển các liên kết logic và điều
khiển truy nhập đường truyền.
Tầng mạng (NetworkLayer): Thực hiện chức năng đình tuyến để tìm đường đi tối
ưu trên mạng ngoài ra còn chức năng chuyển mạch.
Tầng vận chuyển (Transport Layer): Vận chuyển dữ liệu giữa bên gửi và bên
nhận, có cơ chế điều khiển luồng, phát hiện và sửa sai đảm bảo độ tin cậy.
Tầng phiên (SessionLayer): Thiết lập duy trì đồng bộ hóa các phiên truyền thông.
Tầng trình diễn (PresentationLayer): Chuyển đổi cú pháp dữ liệu để đáp ứng yêu
cầu truyền dữ liệu của các ứng dụng qua môi trường truyền OSI.
Tầng ứng dụng (Application Layer): Đóng vai trò là giao diện giữa môi trường
OSI và người sử dụng, thu thập các yêu cầu của người sử dụng, xử lí và trao cho tầng
dưới đồng thời nhận kết quả xử lí của tầng dưới trao cho người dùng.

14
Hình 1.1. Mô hình tham chiếu OSI
1.3. KIẾN TRÚC TCP/IP
Thông thường các giao thức được phát triển trong các tầng mà mỗi tầng lại có
chức năng riêng trong việc xử lý thông tin. Bộ giao thức TCP/IP là tổ hợp của nhiều
giao thức ở các tầng khác nhau nhưng thông thường mô hình phân lớp trong các hệ
thống TCP/IP được xem là mô hình giản lược của mô hình OSI gồm 4 lớp như sau:
Hình 1.2. Kiến trúc TCP/IP

15
1.Tầng liênkết (Network Interface Layer) (được gọi là tầng liên kết dữ liệu hay
còn gọi là tầng giao tiếp mạng): là tầng dưới cùng của mô hình TCP/IP bao gồm
thiết bị giao tiếp mạng và chương trình cung cấp các thông tin cần thiết để nó có thể
hoạt động, truy nhập đường truyền vật lý qua thiết bị giao tiếp mạng đó.
2. Tầng Internet (Internet Layer): thực hiện việc chọn đường và chuyển tiếp các dữ
liệu trên mạng. Trong bộ giao thức TCP/IP tầng mạng có một số giao thức hỗ trợ cho
việc vận chuyển các gói dữ liệu như IP (Internet Protocol), ICMP (Internet Control
Message Protocol) và IGMP ( Internet Group Management Protocol).
3. Tầng giao vận (Transport Layer): bao gồm các dịch vụ phân phát dòng dữ liệu
giữa 2 đầu cuối, phục vụ tầng ứng dụng ở bên trên. Trong bộ giao thức TCP/IP tầng

16
giao vận có 2 giao thức là TCP (Transmission Control Protocol) và UDP (User
Datagram Protocol)
- TCP là giao thức cung cấp dịch vụ vận chuyển dữ liệu theo kiểu hướng liên kết
(Connection Oriented) và tin cậy với việc phân chia dữ liệu thành các segment,
thiết lập các kết nối logic, phúc đáp, thiết lập thời lượng kiểm tra lỗi …
- UDP cung cấp các dịch vụ vận chuyển dữ liệu (mỗi đơn vị dữ liệu gọi là một
datagram) không hướng liên kết và thiếu tin cậy.
Bất kỳ yêu cầu tin cậy nào trong việc chuyển phát dữ liệu đều phải được thêm
bởi tầng ứng dụng.
4. Tầng ứng dụng (Application Layer) là tầng trên cùng của mô hình TCP/IP bao
gồm các tiến trình và các ứng dụng cung cấp cho người sử dụng để truy cập mạng. Có
rất nhiều ứng dụng cung cấp cho người sử dụng trong tầng này mà phổ biến là:
Telnet sử dụng trong việc truy cập mạng từ xa.
FTP (File Transfer Protocol) dịch vụ truyền tệp.
SMTP (Simple Mail Transfer Protocol ) dịch vụ thư tín điện tử.
WWW (World Wide Web).

17
Mô hình OSI ra đời trước đó là mô hình tham chiếu cho việc học tập và nghiên
cứu không có tính ứng dụng cao trong thực tiễn. Mô hình TCP/IP là kế thừa của mô
hình OSI và có tính ứng dụng cao cho việc quy chuẩn để xây dựng các hệ thống mạng
hiện nay. Tuy nhiên hai mô hình trên không loại trừ lẫn nhau mà tồn tại song song
đồng thời vì mục đích sử dụng của chúng tương hỗ cho nhau nhằm tiêu chuẩn hóa
việc xây dựng và phát triển hệ thống mạng truyền thông trên phạm vi toàn thế giới.
1.4. MỘT SỐ GIAO THỨC CƠ BẢN TRONG BỘ GIAO THỨC TCP/IP
1.4.1. Giao thức IP (Internet Protocol)
Mục đích của giao thức liên mạng IP là cung cấp khả năng kết nối các mạng con
thành liên kết mạng để truyền dữ liệu. IP là giao thức cung cấp dịch vụ phân phát
datagram theo kiểu không liên kết và không tin cậy nghĩa là không cần có giai đoạn
thiết lập liên kết trước khi truyền dữ liệu, không đảm bảo rằng IP datagram sẽ tới đích
và không duy trì bất kì thông tin nào về datagram đã gửi đi.
Khuôn dạng đơn vị dữ liệu dùng trong IP được thể hiện như trong hình 1.3
Ý nghĩa tham số các trường trong IP header:
 Version (4bit) chỉ version hiện tại của IP được cài đặt.

18
 Header length(4 bit) chỉ độ dài phần mào đầu của datagram. Bao gồm cả phần
lựa chọn Option tính theo đơn vị 32 bits, tối thiểu là 5 từ (32 byte) khi không có
Option
Hình 1.3. Khuôn dạng IP datagram
 TOS (Type of service 8 bits) chỉ loại dịch vụ. Các loại dịch vụ gồm có:
o Độ trễ nhỏ nhất
o Thông lượng lớn nhất
o Độ tin cậy cao nhất
o Chi phí thấp nhất
 Total length (16 bits) chỉ độ dài toàn bộ khung IP datagram tính theo bytes.
Dựa vào trường này và trường header length ta tính được vị trí bắt đầu của dữ liệu
trong IP datagram.
 Identification (16 bits) là trường định danh, cùng các tham số khác như Source
address và Destination address để định danh duy nhất cho mỗi datagram được gửi
tới 1 host. Thông thường phần Identification được tăng thêm 1 khi datagram được
gửi đi.
 Flags ( 3 bits )các cờ được sử dụng khi phân đoạn các datagram
0 1 2
0 DF MF
o bit 0: reserved chưa sử dụng có giá trị 0
o bit 1: ( DF ) = 0 (May fragment)
= 1 (Don’t fragment)

19
o bit 2 : ( MF) =0 (Last fragment)
=1 (More Fragment)
 Fragment offset (13 bits) chỉ vị trí của đoạn Fragment trong datagram tính theo
đơn vị 64 bits.
 TTL (8 bits) thiết lập thời gian tồn tại của datagram để tránh tình trạng
datagram đi lang thang trên mạng. TTL thường có giá trị 32 hoặc 64 tùy theo hệ
điều hành và được giảm đi 1 khi dữ liệu đi qua mỗi router. Khi trường này bằng 0
datagram sẽ bị hủy bỏ và sẽ thông báo lại cho trạm gửi.
 Protocol (8 bits) chỉ giao thức tầng trên kế tiếp sẽ nhận vùng dữ liệu ở trạm đích
thường là TCP hay UDP.
 Header checksum (16 bits) để kiểm soát lỗi cho vùng IP header.
 Source address (32 bits) địa chỉ IP trạm nguồn.
 Destination Address (32 bits) địa chỉ IP trạm đích.
 Options (độ dài thay đổi) khai báo các tùy chọn do người sử dụng yêu cầu,
thường là:
o Độ an toàn và bảo mật.
o Bảng ghi tuyến mà datagram đã đi qua được ghi trên đường
truyền.
o Time stamp.
o Xác định danh sách địa chỉ IP mà datagram phải trải qua nhưng
không bắt buộc phải truyền qua router định trước.
o Xác định tuyến trong đó các router mà IP datagram phải được
đi qua
Địa chỉ IP (IP address)
Là số hiệu mã hóa để định danh một trạm trên mạng Internet được gọi là
địa chỉ IP. Mỗi địa chỉ IP có độ dài 32 bits được tách thành 4 vùng (mỗi vùng
gồm 1 byte) thường được biểu diễn dưới dạng thập phân có dấu chấm

20
(Dotted-decimal notation), người ta chia địa chỉ IP thành 5 lớp ký hiệu
A,B,C,D,E với cấu trúc như
Hình1. 4. Phân lớp địa chỉ IP
Lớp Khoảng địa chỉ
A
B
C
D
E
0.0.0.0 đến 127.255.255.255
128.0.0.0 đến 191.255.255.255
192.0.0.0 đến 223.255.255.255
224.0.0.0 đến 239.255.255.255
240.0.0.0 đến 247.255.255.255
Hình 1.5 Các lớp địa chỉ Internet
Để phân biệt giữa các lớp địa chỉ người ta dùng các bits đầu tiên của byte đầu tiên để
định danh lớp địa chỉ.
Định tuyến (IP routing)
Bên cạnh việc cung cấp địa chỉ để chuyển phát các gói tin, định tuyến là một
chức năng quan trọng của giao thức IP.
Ta thấy rằng lớp IP nhận datagram từ lớp dưới chuyển lên và có trách nhiệm
định tuyến cho các gói tin đó. Tại lớp IP mỗi thiết bị định tuyến có một bảng định

21
tuyến chứa đường đi tốt nhất đến một mạng nào đó. Các thiết bị định tuyến đó là
Router hoặc Switch Layer 3. Khi một gói tin được chuyển đến Router hoặc Switch địa
chỉ IP sẽ được đọc và xác định địa chỉ mạng đích, đường đi tới các mạng này sẽ được
tìm trong bảng định tuyến và nếu tìm thấy thì gói tin sẽ được gửi đến router kế tiếp trên
đường truyền xác định. Trong trường hợp đường đi không được tìm thấy thì gói tin sẽ
bị đẩy ra default gateway. Khi 1 gói tin đi lang thang trên mạng quá lâu vượt quá giá trị
TTL mà vẫn chưa tìm được đường đến đích thì gói tin đó sẽ bị hủy bỏ và sẽ có 1 thông
báo lỗi gửi về cho máy gửi nhờ giao thức ICMP. Cơ chế định tuyến có thể được thực
hiện nhờ nhiều giao thức định tuyến khác nhau như RIP, IGMP,EIGRP, OSPF, IS-IS…
tùy vào quy mô mạng và độ tin cậy yêu cầu ta có thể lựa chọn giao thức định tuyến
thích hợp.
1.4.2. Giao thức UDP ( User Datagram Protocol )
UDP là giao thức không liên kết (connectionless oriented), cung cấp dịch vụ
giao vận không tin cậy (unrealiable) được sử dụng thay thế cho TCP trong tầng giao
vận. Khác với TCP, UDP không có chức năng thiết lập và giải phóng liên kết, không
có cơ chế báo nhận (ACK), không sắp xếp tuần tự các đơn vị dữ liệu (datagram) đến và
có thể dẫn đến tình trạng mất hoặc trùng dữ liệu mà không hề có cơ chế thông báo lỗi
cho người gửi. Khuôn dạng của UDP datagram được mô tả như sau:
Hình 1.6. Khuôn dạng UDP datagram
Số hiệu cổng nguồn (16 bits) số hiệu cổng nơi gửi datagram.
Số hiệu cổng đích (16 bits) số hiệu cổng nơi datagram được chuyển tới
Độ dài UDP (16 bits) độ dài tổng cộng kể cả phần header của gói tin UDP datagram.
16 bits số hiệu cổng nguồn 16 bits số hiệu cổng đích
16 bits độ dài UDP 16 bits UDP checksum
Dữ liệu (nếu có)
8 byte

22
UDP Checksum (16 bits) dùng để kiểm soát lỗi, nếu phát hiện lỗi thì datagram sẽ bị
loại bỏ mà không có một thông báo nào trả lại cho trạm gửi.
UDP có cơ chế gán và quản lý các số hiệu cổng (port number) để định danh duy nhất
cho các ứng dụng chạy trên một máy của mạng. Do có ít chức năng phức tạp nên
UDP có xu thế hoạt động nhanh hơn so với TCP. Nó thường dùng cho các ứng dụng
không cần đòi hỏi độ tin cậy cao trong giao vận.
1.4.3. Giao thức TCP ( Transmission Control Protocol )
TCP và UDP là 2 giao thức ở tầng giao vận và cùng sử dụng giao thức IP trong
tầng mạng. Nhưng không giống như UDP, TCP cung cấp dịch vụ liên kết tin cậy
(realiable) và có liên kết (connetion oriented). Có nghĩa là 2 ứng dụng sử dụng TCP
phải thiết lập liên kết với nhau trước khi trao đổi dữ liệu. Sự tin cậy trong dịch vụ được
cung cấp bởi TCP thể hiện như sau :
 Dữ liệu từ tầng ứng dụng được gửi đến được TCP chia thành các segment có
kích thước phù hợp nhất để truyền đi.
 Khi TCP gửi đi 1 segment, nó duy trì một thời lượng để chờ phúc đáp từ máy
nhận. Nếu trong khoảng thời gian đó phúc đáp không được gửi đến thì segment
đó được truyền lại.
 Khi TCP trên trạm nhận nhận dữ liệu từ trạm gửi nó sẽ gửi tới trạm gửi một
phúc đáp, tuy nhiên phúc đáp này không được gửi lại ngay mà thường trễ một
khoảng thời gian.
 TCP duy trì giá trị tổng kiểm tra (checksum) trong phần header của dữ liệu để
nhận ra bất kì sự thay đổi nào trong quá trình truyền dẫn. Nếu 1 segment bị lỗi
thì TCP ở phía trạm nhận sẽ bị loại bỏ và không phúc đáp lại để trạm gửi
truyền lại segment bị lỗi đó.
 Giống như IP datagram, TCP segment có thể tới đích một cách không tuần tự.
Do vậy TCP ở trạm nhận sẽ sắp xếp lại dữ liệu và sau đó gửi lên tầng trên đảm
bảo tính đúng đắn của dữ liệu. Khi IP datagram bị trùng lặp TCP tại trạm nhận
sẽ loại bỏ dữ liệu trùng lặp đó.

23
 TCP cũng cung cấp khả năng điều khiển luồng, phần đầu của liên kết TCP có
vùng đệm (buffer) giới hạn do đó TCP tại trạm nhận chỉ cho phép trạm gửi
truyền một lượng dữ liệu nhất định (nhỏ hơn không gian bufer còn lại). Điều
này tránh xảy ra trường hợp host có tốc độ cao chiếm toàn bộ buffer của host
có tốc độ chậm hơn.
Khuôn dạng của TCP được mô tả trong hình 1.7 :
16 bits source port number 16 bits destination port number
32 bits sequence number
32 bits acknowledgement number
4 bits
header
length
6 bits
Reserved
U
R
G
A
C
K
P
S
H
R
S
T
S
Y
N
F
I
N
16 bits windows size
16 bits TCP checksum 16 bits urgent pointer
Options ( Nếu có )
Data (Nếu có)
Hình 1.7. Khuôn dạng TCP datagram
Source Port (16 bits ) là số hiệu cổng của trạm nguồn.
DestinationPort (16 bits ) là số hiệu cổng của trạm đích.
Sequence Number (32 bits) là số hiệu byte đầu tiên của segment trừ khi bit SYN
được thiết lập. Nếu bit SYN được thiết lập thì sequence number là số hiệu tuần tự
khởi đầu ISN (Initial Sequence Number ) và byte dữ liệu đầu tiên là ISN + 1. Thông
thường trường này là TCP thực hiện việc quản lý từng byte truyền đi trên một kết nối
TCP.

24
Acknowledgment Number (32 bits). Số hiệu của segment tiếp theo mà trạm nguồn
đang chờ nhận và ngầm định báo nhận tốt các segment mà trạm đích đã gửi cho trạm
nguồn.
Header Length (4 bits). Số lượng từ (32bit) trong TCP header, chỉ ra vị trí bắt đầu
của từng vùng dữ liệu vì trường Option có độ dài thay đổi. header length có giá trị từ
20 đến 60 bytes.
Reserved (6 bits). Dành để dùng trong tương lai.
Control bits : các bit dùng để điều khiển
o URG : xác định vùng con trỏ khẩn có hiệu lực.
o ACK : vùng báo nhận ACK number có hiệu lực.
o PSH : chức năng PUSH.
o RST : khởi động lại liên kết.
o SYN : đồng bộ hóa các số hiệu tuần tự (Sequence number).
o FIN : không còn dữ liệu từ trạm nguồn .
Window size (16 bits) : cấp phát thẻ để kiểm soát luồng dữ liệu (cơ chế cửa sổ trượt).
đây chính là số lượng các byte dữ liệu bắt đầu từ byte được chỉ ra trong vùng ACK
number mà trạm nguồn sẵn sàng nhận
Checksum (16 bits). Mã kiểm soát lỗi cho toàn bộ segment cả phần header và dữ
liệu.
Urgent Pointer (16 bits). Con trỏ trỏ tới số hiệu tuần tự của byte cuối cùng trong
dòng dữ liệu khẩn cho phép bên nhận biết được độ dài dữ liệu khẩn. Vùng này chỉ có
hiệu lực khi bit đầu URG được thiết lập.
Option (độ dài thay đổi). Khai báo các tùy chọn của TCP trong đó thông thường là
kích thước cực đại của 1 segment MSS (Maximum Segment Size).
TCP data (độ dài thay đổi ). Chứa dữ liệu của tầng ứng dụng có độ dài ngầm định là
563 byte. Giá trị này có thể điều chỉnh được bằng cách khai báo trong vùng Option.

25
Hình 1.8. Thiết lập và giải phóng liên kết
Khi 1 trạm muốn gửi dữ liệu tới cho 1 trạm khác thì một liên kết được thiết lập
giữa 2 trạm để trao đổi dữ liệu. Quá trình thiết lập 1 liên kết dùng 3 segment được gọi
là bắt tay 3 bước (Three way handshake) diễn ra như sau:
1. Trạm yêu cầu thường gọi là Client gửi đi 1 SYN segment để xác định số
hiệu cổng của Server mà nó muốn kết nối và thông báo số hiệu tuần tự khởi
đầu (ISN) của Client.
2. Server trả lời bằng cách gửi đi SYN segment và ISN của nó tới client
đồng thời server cũng xác nhận ISN của Client bằng cách đặt giá trị ACK
sequence bằng ISN của Client +1.
FIN
FIN
ack
ack
ack
SYN
SYN
segment 1
segme
nt 3
segme
nt 4
segme
nt 7
segmen
t 2
segmen
t 5
segmen
t 6

26
3. Client cũng phải phúc đáp SYN segment từ server gửi tới bằng cách báo
nhận và gửi lại ISN của server +1. Kể từ lúc này quá trình truyền dữ liệu bắt
đầu.
4. Khi đã gửi hết dữ liệu Client gửi tới Server 1 segment với bit FIN được
thiết lập ( FIN segment).
5. TCP ở server sẽ thông báo cho tầng ứng dụng là đã truyền hết dữ liệu và
liên kết được giải phóng. TCP ở Server gửi phúc đáp báo nhận FIN segment
mà Client chuyển tới với Sequence number nhận được +1.
6. Server tiếp tục gửi tới Client FIN segment báo hiệu đóng liên kết ở
Server.
7. Client gửi phúc đáp tới Server với sequence number nhận được +1 báo
hiệu kết thúc liên kết.
Trên một kết nối TCP dữ liệu được truyền theo 2 chiều độc lập với nhau, do đó
mỗi hướng liên kết được thiết lập và giải phóng một cách độc lập. Có 4 segment tạo ra
để giải phóng liên kết như mô tả trong hình trên.
Khởi động lại liên kết
Nếu một segment tới đích nhưng không đúng trong việc tham chiếu liên kết
(gồm địa chỉ IP và số hiệu cổng của trạm đích) thì TCP sẽ thiết lập bit RTS trong TCP
header để gửi một segment yêu cầu thiết lập lại liên kết. Thông thường yêu cầu thiết
lập lại liên kết được sinh ra khi yêu cầu kết nối tới cổng không tồn tại hoặc không được
sử dụng. Đối với UDP, TCP port unreachable được sinh ra để thông báo cho người sử
dụng còn đối với TCP, yêu cầu thiết lập lại liên kết được sử dụng thay vào đó. Ngoài ra
trạm gửi có thể hủy bỏ liên kết sau khi đã xếp dữ liệu vào hàng đợi bằng cách gửi RTS
segment. Hủy bỏ liên kết cung cấp cho tầng ứng dụng hai đặc điểm sau :
 Bất kì dữ liệu nào ở trong hàng đợi đều bị hủy bỏ và tín hiệu khởi động
lại RTS được gửi đi ngay lập tức.
 Trạm nhận RTS có thể cho phép hủy bỏ liên kết thay vì giải phóng liên
kết như bình thường và thông báo cho tầng ứng dụng là liên kết đã bị hủy
bỏ.

27
Cơ chế cửa sổ trượt (sliding window)
Như ta đã biết dữ liệu được trạm gửi truyền đi sau đó phải dừng lại để chờ trạm
nhận phúc đáp rằng đã nhận được khối dữ liệu đó trước khi nhận khối dữ liệu tiếp theo.
Nhưng TCP sử dụng phương thức điều khiển luồng sử dụng cửa sổ trượt tức là cho
phép trạm gửi có thể truyền nhiều gói dữ liệu trước khi dừng lại để chờ phúc đáp. Điều
này làm tăng tốc độ truyền dữ liệu đặc biệt là với khối lượng dữ liệu lớn. Với cơ chế
cửa sổ trượt trạm nhận không phải phúc đáp mỗi gói dữ liệu nhận được mà thay vào đó
phúc đáp chung cho trạm gửi rằng đã nhận được tất cả các gói dữ liệu từ gói đầu tiên
đến gói thứ sequence number -1. Cơ chế cửa sổ trượt có quy trình như sau:
Hình 1.9. Cơ chế cửa sổ trượt
Như trên hình trên ta thấy offer window là cửa sổ thông báo bởi trạm nhận có
kích thước là 6 byte ( từ byte thứ 4 tới byte thứ 9 ) điều đó có nghĩa rằng trạm nhận đã
phúc đáp nhận tốt các byte từ 1 tới 3 và thông báo cho trạm gửi kích thước cửa sổ là 6.
Trạm gửi sẽ tính kích thước cửa sổ sử dụng hay cửa sổ lượng dữ liệu mà nó có thể gửi
đi. Trong quá trình truyền dữ liệu, cửa sổ trượt về phía phải khi trạm nhận gửi phúc
đáp.
TCP cung cấp một chế độ khẩn cho phép trạm gửi thông báo cho trạm nhận rằng
có một vài gói dữ liệu ưu tiên được truyền trong dòng dữ liệu thông thường. Trạm nhận
sẽ xác nhận bởi bit URG được thiết lập trong phần TCP Header. Con trỏ Urgent pointer

28
sẽ trỏ tới số hiệu tuần tự của byte cuối cùng trong dữ liệu khẩn. Tầng ứng dụng được
thông báo để xử lí dữ liệu trong chế độ khẩn cho tới khi nhận được segment có
sequence number lớn hơn sequence number được chỉ ra bởi urgent pointer. telnet và
Rlogin sử dụng chế độ khẩn giữa server và client để tránh tình trạng ngắt đường truyền
bởi cơ chế điều khiển luồng của TCP (thông báo window bằng 0) khi đó của sổ sẽ được
mở cho phép bên nhận vẫn có thể đọc dữ liệu. Nếu trạm gửi thiết lập nhiều lần chế độ
khẩn trong khi trạm nhận chưa xử lý dữ liệu của chế độ khẩn đầu tiên thì urgent pointer
sẽ viết đè lên các giá trị trước đó. Điều này có nghĩa là trạm nhận chỉ quy định một
urgent pointer và nội dung dữ liệu khẩn gửi đi bởi trạm nguồn sẽ viết đè lên nội dung
trước đó.
1.5. QUÁ TRÌNH ĐÓNG MỞ GÓI DỮ LIỆU KHI TRUYỀN TIN QUA CÁC
LỚP
Hình 1.10. Quá trình đóng /mở gói dữ liệu
user data
user data
Appl
header
application data
TCP
header
application data
TCP
header
IP
header
application data
TCP
header
IP
header
Etherne
t
header
Etherne
t
trailer
applicati
on
TCP
IP
Ethernet
driver
Ethernet
TCP segment
IP datagram
Ethernet
frame
46 to 1500
bytes

29
Khi truyền dữ liệu quá trình tiến hành từ tầng trên xuống tầng dưới, qua mỗi
tầng dữ liệu được thêm vào một thông tin điều khiển được gọi là phần header. Khi
nhận dữ liệu thì quá trình này xảy ra ngược lại, dữ liệu được chuyển từ tầng dưới lên,
quá mỗi tầng phần header tương ứng được bóc ra và khi lên đến tầng trên cùng thì dữ
liệu không còn phần header nữa. Khi ứng dụng sử dụng giao thức TCP để truyền tin
trên mạng lược đồ dữ liệu tại mỗi tầng tương ứng như hình 1.10.
Trong tầng ứng dụng dữ liệu là các luồng được gọi là stream.
Trong tầng giao vận đơn vị dữ liệu mà TCP gửi xuống IP được gọi là TCP segment.
Trong tầng mạng dữ liệu mà IP gửi tới giao tiếp mạng được gọi là IP packet
Trong tầng liên kết dữ liệu được truyền đi gọi là frame.

30
Chương 2
KHÁI NIỆM BẢO MẬT
Thông tin dữ liệu đối với các tổ chức, doanh nghiệp ngày càng là tài nguyên
quan trọng, đôi khi tầm quan trọng mang tính sống còn đối với toàn bộ tổ chức,
doanh nghiệp, điển hình nhất là các tổ chức hoạt động trong các lĩnh vực tài chính,
ngân hàng, bảo hiểm, các tổ chức an ninh ( như quân đội, quốc phòng …). Một khi
các thông tin tối mật bị lọt ra thì nguy hiểm xảy ra không chỉ đối với riêng tổ chức
đó mà là cả 1 ngành hay rộng hơn nữa là toàn bộ nền an ninh quốc gia cũng bị đe
dọa. Chính vì thế mà từ lâu bảo mật đã rất được chú trọng. Trong giai đoạn hiện nay
cùng với sự phát triển thần kì của khoa học kĩ thuật, các biện pháp đánh cắp thông
tin ngày càng tinh vi chuyên nghiệp thì việc bảo mật lại càng khó khăn hơn và đòi hỏi
phải đầu tư nhiều hơn, chúng ta cần phải nhận thức được đúng đắn vai trò sống còn
của bảo mật đối với tổ chức của ta từ đó có sự đầu tư thích đáng cho bảo mật thông
tin hệ thống. Vậy bảo mật là gì?
2.1. KHÁI NIỆM BẢO MẬT
Bảo mật thông tin là một khái niệm rộng, nó bao gồm tất cả mọi hoạt động có tổ
chức nhằm ngăn chặn, phát hiện và đối phó với sự tấn công vào hệ thống thông tin của
các tổ chức doanh nghiệp với mục đích đánh cắp và phá hoại thông tin gây thiệt hại lớn
cho các tổ chức, doanh nghiệp đó. Các hành vi phá hoại có thể là chỉnh sửa, xuyên tạc,
xóa bỏ hay chỉ đơn giản là làm cho thông tin mất khả năng phục vụ khi cần thiết.
Khả năng bảo mật là một yếu tố hết sức quan trọng đối với một hệ thống mạng,
đặc biệt là trong môi trường doanh nghiệp thông tin là tài sản có giá trị hàng đầu. Cùng
với sự gia tăng các hiểm họa tấn công từ cả bên trong và bên ngoài hệ thống mạng, các
nhu cầu về việc xây dụng một hệ thống an ninh bảo mật với các công nghệ tiên tiến
cũng gia tăng không ngừng. Một hệ thống an ninh bảo mật phải đảm bảo được việc bảo
vệ các dữ liệu kinh doanh và các thông tin khác.

31
2.2. MỤC TIÊU CỦA BẢO MẬT THÔNG TIN
Một hệ thống thông tin an toàn phải đảm bảo được 3 yêu cầu sau:
 Tính bảo mật (confidentially): Đảm bảo chỉ có những cá nhân được cấp quyền
mới được phép truy cập vào hệ thống. Đây là yêu cầu quan trọng của bảo mật thông
tin bởi vì đối với các tổ chức doanh nghiệp thì thông tin là tài sản có giá trị hàng
đầu, việc các cá nhân không được cấp quyền truy nhập trái phép vào hệ thống sẽ
làm cho thông tin bị thất thoát đồng nghĩa với việc tài sản của công ty bị xâm hại,
có thể dẫn đến phá sản.
Để đảm bảo được tính bảo mật thì việc cấp quyền truy nhập phải được tiến hành
hết sức cẩn thận, chỉ cho phép những cá nhân có nhu cầu chính đáng mới được
phép truy nhập, hạn chế tối thiểu số người được phép truy nhập, xác minh chính xác
đối tượng được phép truy nhập bằng các công cụ xác thực tiên tiến tin cậy…
 Tính toàn vẹn (integrity): Đảm bảo rằng thông tin luôn ở trạng thái đúng,
chính xác, người sử dụng luôn được làm việc với các thông tin tin cậy chân thực.
Chỉ các cá nhân được cấp quyền mới được phép chỉnh sửa thông tin. Kẻ tấn công
không chỉ có ý định đánh cắp thông tin mà còn mong muốn làm cho thông tin bị
mất giá trị sử dụng bằng cách tạo ra các thông tin sai lệch gây thiệt hại cho công ty.
Để đảm bảo tính toàn vẹn thì không có cách nào khác là ngăn chặn mọi sự truy
nhập trái phép vào hệ thống, thêm vào đó là xây dựng các hệ thống sao lưu dự
phòng đề phòng trường hợp hệ thống bị đánh sập.
Hình 1.11 . Mục tiêu CIA
Data
Integrity
Data
Availability
Data
Confidentiality

32
 Tính sẵn sàng (availabillity): đảm bảo cho thông tin luôn ở trạng thái sẵn sàng
phục vụ, bất cứ lúc nào người sử dụng hợp pháp có nhu cầu đều có thể truy nhập
được vào hệ thống. Có thể nói rằng đây yêu cầu quan trọng nhất, vì thông tin chỉ
hữu ích khi người sử dụng cần là có thể dùng được, nếu 2 yêu cầu trên được đảm
bảo nhưng yêu cầu cuối cùng không được đảm bảo thì thông tin cũng trở nên mất
giá trị.
Thông tin mất tính sẵn sàng khi hệ thống là nạn nhân của tấn công từ chối dịch
vụ (denial of service- DoS), đây là một kĩ thuật tấn công đơn giản khai thác các điểm
yếu của các giao thức truyền tin trong chồng giao thức ICP/IP nhằm làm quá tải khả
năng phục vụ của hệ thống dẫn đến hậu quả là hệ thống bị treo.
Để đối phó với kiểu tấn công này cần phải có các công cụ ngăn chặn, phát hiện và lọc
các gói tin….
Mục tiêu của bảo mật thông tin là đảm bảo được 3 yêu cầu trên, trong kĩ thuật
bảo mật gọi là mục tiêu CIA. Để đạt được mục tiêu CIA không chỉ đơn giản là thực
hiện một vài biện pháp phòng chống, triển khai một vài thiết bị hay phần mềm cho hệ
thống mà bảo mật là một Chu trình liên tục theo thời gian.
2.3. BẢO MẬT LÀ MỘT QUY TRÌNH
Sở dĩ bảo mật phải được tổ chức và thực hiện theo chu trình là để đảm bảo tính chặt
chẽ và hiệu quả. Hơn thế nữa chu trình đó còn có tính kế thừa và phát triển vì các kĩ
thuật tấn công phá hoại ngày càng tinh vi hiện đại, một hệ thống bảo mật được cho là
tối ưu trong thời điểm hiện tại vẫn có thể nảy sinh các vấn đề trong tương lai vì kẻ tấn
công luôn tìm cách để khai thác các lỗ hổng trong hệ thống bảo mật đó bằng các biện
pháp tinh vi hơn. Để phòng ngừa và đối phó được thì những người xây dựng các chiến
lược bảo mật cũng phải luôn luôn vạch ra các chiến lược mới và sử dụng công nghệ
tiên tiến hơn.

33
Hình 1.12 . Quy trình bảo mật
Như hình vẽ ta thấy chu trình bảo mật quy định 4 quá trình rất rõ ràng để phát
triển một hệ thống an ninh nói chung. Các quá trình đều được xây dựng và phát triển
dựa nên một nguyên tắc chung đó là chính sách bảo mật của doanh nghiệp (Corporate
Security Policy). Tùy từng tổ chức, doanh nghiệp mà các chính sách được ban hành
khác nhau, nhưng nói chung đó là các quy tắc bảo mật hoàn chỉnh được ban hành cho
toàn bộ nhân sự trong tổ chức nhằm đạt được mục tiêu CIA tối ưu.
Đảm bảo an ninh (Secure): sau khi nghiên cứu toàn bộ chính sách bảo mật
của doanh nghiệp, công việc tiếp theo là phải thực hiện các hành động bảo mật cụ thể
bằng các biện pháp thích hợp. Chi tiết các biện pháp và các công nghệ bảo mật tôi sẽ
trình bày trong chương sau.
Giám sát (Monitoring): trong khi các biện pháp bảo mật được tiến hành cần
có sự giám sát chặt chẽ để đánh giá được chất lượng hoạt động đồng thời có thể tìm
các biện pháp thay thế, cải tiến nếu chưa đáp ứng được yêu cầu an ninh đặt ra.
Kiểm thử (Test): đây là giai đoạn kiểm tra hệ thống bao gồm toàn bộ hệ
thống thông tin dữ liệu, kiểm tra các kĩ thuật và quy trình sử dụng để đánh giá độ tin
cậy, cũng như mức độ tổn thất, để từ đó có chiến lược thay thế phù hợp. Việc kiểm
thử cần được diễn ra định kì đều đặn.
Nâng cấp (Improve): đó là các kế hoạch nâng cấp cải tạo các công nghệ bảo
mật mới để đáp ứng được nhu cầu thay đổi, thay thế các kế hoạch bảo mật mới, việc
này cần tiến hành nhanh chóng kịp thời cho toàn bộ hệ thống thông tin của doanh

34
nghiệp.Các bước trên không những được tiến hành lần lượt chặt chẽ mà còn phải tiến
hành song song đồng thời bởi tấn công có thể diễn ra trong 1 thời gian đáng kể trước
khi ta có thể nhận biết được chúng. Và điều quan trọng nhất là các quá trình đều phải
xuất phát từ chính sách chung, và cũng từ các quy trình thực hiện mà xây dựng hoàn
thiện chính sách bảo mật cho tổ chức.
2.4. NHẬN BIẾT CÁC NGUY CƠ MẤT AN NINH DỮ LIỆU.
Các nguy cơ xảy ra có thể là do nguyên nhân khách quan hoặc do chủ quan
của con người. Các nguyên nhân do khách quan mang lại được gọi là các thảm họa
(Disaster) là các sự cố xảy ra đột ngột không lường trước, có thể là các thiên tai như
động đất, núi lửa, sóng thần… hoặc cũng có thể là do con người gây nên như là hỏa
hoạn, mất điện hay sụp đổ hệ thống. Các thảm họa đến ngẫu nhiên và không thể
ngăn cản được vì vậy phải tiến hành công tác dự báo và phải có các chiến lược phục
hồi sau thảm họa. Còn các nguyên nhân chủ quan chính là các hành vi tấn công. Tấn
công là các hành vi nhằm phá hoại mục tiêu CIA. Tấn công thường xảy ra hơn và
cũng khó đối phó hơn vì hình thức thay đổi liên tục, để đối phó được thì cần phải
hiểu được các kĩ thuật được sử dụng để tấn công ở mục này tôi sẽ trình bày chi tiết về
các kĩ thuật tấn công thường gặp.
Phân loại tấn công
Các loại tấn công được phân làm 3 loại chính:
 Social Engineering Attacks : kẻ tấn công lợi dụng sự bất cẩn hay sự cả tin của
những người trong công ty để lấy được thông tin xác nhận quyền truy nhập của
user và có thể truy nhập hê thống vào bằng thông tin đó.
 Software Attacks: loại này nhằm vào các ứng dụng ( applications), hệ điều
hành ( OS) và các giao thức ( protocols). Mục đích là để phá hủy hay vô hiệu hóa
các ứng dụng, hệ điều hành hay các giao thức đang chạy trên các máy tính, để đạt
được quyền truy nhập vào hệ thống và khai thác thông tin. Loại tấn công này có
dùng độc lập hoặc kết hợp với 1 số loại khác.

35
 Hardware Attacks: nhằm vào ổ cứng, bo mạch chủ, CPU, cáp mạng …mục
đích là để phá hủy phần cứng vô hiệu hóa phần mềm, là cơ sở cho tấn công từ chối
dịch vụ (DoS).
Các kĩ thuật tấn công thường gặp
Các kĩ thuật tấn nguy hiểm và thường gặp nhất là tấn công nhằm vào phần mềm
(Software Attacks) cụ thể như sau:
1. Tấn công quét cổng (Port Scanning Attacks)
- Kẻ tấn công theo dõi máy tính và các thiết bị kết nối đi ra Internet và tìm xem cổng
TCP hay UDP nào đang trao đổi thông tin và dịch vụ nào đang hoạt động.
- Ta có thể giám sát được các máy ở bên ngoài bị quét cổng ở trên hệ thống của mình
- Tấn công này là bước đầu tiên để xác định điểm yếu của hệ thống
- Một số công cụ để thực hiện: Supper Scan, Nmap, Strobe
2. Tấn công nghe trộm (Eavesdropping Attacks) còn được gọi là đánh hơi (sniffing)
- Kẻ tấn công cố gắng truy nhập vào các cuộc trao đổi thông tin có tính chất riêng
tư bằng các thiết bị chuyên dụng để ăn cắp thông tin về nội dung cuộc trao đổi
hay ăn cắp username & password
- Có thể thực hiện bằng các đường dây liên lạc thông thường hay các tuyến thông
tin không dây.
- Các công cụ thực hiện là: Dsniff, Ethereal, Ettercap
3. Tấn công giả mạo địa chỉ IP (IP Spoofing Attacks):
Kẻ tấn công tạo ra các gói tin IP với điạ chỉ IP là giả mạo và sử dụng các gói tin
đó nhằm đạt được quyền truy nhập vào các hệ thống ở xa. Kĩ thuật này dựa trên cơ sở:
 Các ứng dụng và dịch vụ được xác thực dự trên địa chỉ IP nguồn
 Các thiết bị chạy Sun RPC, X Windows

36
 Các dịch vụ đã được bảo mật sử dụng giao thức TCP
Network File System (NFS), UNIX Rlogin command
4. Tấn công chiếm đoạt quyền điều khiển (Hijacking Attacks):
Kẻ tấn công dành lấy quyền điều khiển các phiên TCP (sau thủ tục xác thực khi
bắt đầu mỗi phiên) để đạt được quyền truy nhập vào dữ liệu hay tài nguyên của mạng
với danh nghĩa là người sử dụng hợp lệ.
5. Tấn công truyền lại (Replay Attacks)
- Kẻ tấn công bắt giữ các gói tin trên mạng sau đó lưu và truyền lại để đạt được
quyền truy nhập vào 1 host hay 1 mạng nào đó.
- Phương pháp tấn công này sẽ thành công nếu các kẻ tấn công bắt giữ được các
gói tin mang Username & Password hay các thông tin xác thực khác.
- Replay Attack khác với Eavesdropping vì tấn công nghe lỏm chỉ lắng nghe nội
dung thông tin chứ không lưu lại các gói tin để truyền lại.
6. Tấn công kẻ trung gian (Man-in-Middle Attacks)
- Kẻ tấn công chen ngang vào giữa 2 bên đang trao đổi thông tin để truy nhập
được vào cuộc trao đổi đó
-- Kẻ tấn công giả dạng là bên gửi và bên nhận thông tin khi trao đổi giữa Client &
Server

37
Hình 1.13.Tấn công kẻ trung gian
Máy tính trung gian mạo danh là máy chủ khi giao tiếp với máy trạm và mạo danh là
máy trạm khi giao tiếp với máy chủ .Điều này cho phép cho máy trung gian ghi lại hết
được nội dung trao đổi giũa máy trạm và máy chủ.
7. Tấn công từ chối dịch vụ (Denial of Services):
được chia làm hai loại là DoS và DDoS
DoS attacks: kẻ tấn công cố tình làm sập các hệ thống cung cấp các dịch vụ mạng
bằng cách:
- Làm nghẽn các đường link của hệ thống bằng dồn vào đó nhiều data hơn hẳn
khả năng truyền tải có thể
- Gửi dữ liệu để khai thác các lỗ hổng trong 1 ứng dụng
- Chi phối các tài nguyên của 1 hệ thống đến mức mà nó phải shuts down
DDoS Attacks: Kẻ tấn công dành được quyền điều khiển hay thao túng được nhiều
máy tính trên các mạng khác nhau nằm phân tán để thực hiện 1 tấn công DoS.
8. Tấn công sử dụng mã nguồn độc (Malicious Code Attacks):
Kẻ tấn công đưa các đoạn mã nguồn độc vào hệ thống của người sử dụng để phá hỏng
hay vô hiệu hóa hệ điều hành hay các ứng dụng. Một số loại mã nguồn độc:
- Virus: Là 1 đoạn mã nguồn có khả năng lây lan từ máy này sang máy khác bằng
cách gắn vào các file, khi truyền các file có gắn thêm các đoạn mã độc này giữa các
máy làm cho virus lây lan ,tính năng của nó là lây lan và phá hủy
AAttttaacckkeerr
CClliieenntt
SSeerrvveerr
((11))cchhặặnn ccáácc ggóóii ttiinn
ttừừ CClliieenntt
((22)) ggửửii ccáácc tthhôônngg
bbááoo ttrrảả llờờii ggiiảả
mmạạoo cchhoo cclliieenntt
((33)) ggửửii ccáácc ggóóii
ttiinn ggiiảả mmạạoo cchhoo
SSeerrvveerr
((44))ttrrảả llờờii cchhoo kkẻẻ
ttấấnn ccôônngg
((55)) ggiiảả ddạạnngg llààmm
cclliieenntt ttrrảả llờờii cchhoo
sseerrvveerr

38
- Worm (Sâu): cũng là 1 đoạn mã nguồn có khả năng lây lan từ máy này sang máy
khác nhưng tự nó sao chép và lây lan chứ không cần vật kí sinh là các file như
virus. Sâu có thể phá hủy và xóa các file trên ổ cứng.
- Trojan: Là 1loại mã nguồn độc nhưng nó lại có khả năng giả vờ như vô hại bằng
cách cải trang thành các file như bình thường để chống lại sự để ý của các phần
mềm diệt virus. Khi hoạt động nó cũng có thể phá hủy các file trên ổ cứng.
- Logic Bomb: Là 1 đoạn mã nguồn độc nằm chờ trên máy tính cho đến khi nó bị
kích hoạt bằng 1 sự kiện đặc biệt và nó có thể phá hủy hoặc xóa dữ liệu trên máy
tính.
9. Tấn công chống lại cấu hình bảo mật mặc định (Attacks Against Default
Security Configuration) thường là như sau:
- Kẻ tấn công truy nhập vào máy tính để phá hủy hoạt động của máy tính bằng
cách khai thác các lỗ hổng trong công tác bảo mật của hệ điều hành.
- Dựa trên các điểm yếu trong các cấu hình mặc định của hệ điều hành.
10. Tấn công khai thác phần mềm (Software Exploitation Attacks):
Kẻ tấn công truy nhập vào hệ thống hay các dữ liệu nhạy cảm bằng cách khai thác các
điểm yếu hay tính năng của ứng dụng.
11. Tấn công ăn cắp password(Password Attacks):
Kẻ tấn công cố gắng đoán biết password hay tìm cách phá file mật khẩu được mã hóa.
12. Backdoor Attacks:
Kẻ tấn công truy nhập vào hệ thống bằng cách sử dụng 1 chương trình phần mềm nhỏ
hỗ trợ hay bằng cách tạo ra 1 user giả (không tồn tại)
13. Tấn công tiếp quản (Takeover Attack):
Kẻ tấn công truy nhập được vào hệ thống ở xa và dành được quyền kiểm soát hệ thống
đó bằng cách sử dụng các phương pháp tấn công ở trên.

39
Nhận dạng tấn công xảy ra trên các lớp của mô hình TCP/IP
a. Nhận dạng tấn công ở lớp giao diện mạng
Ở lớp giao diện mạng, các gói tin được truyền trên các dây dẫn được gọi là các khung
(frames), trong 1 gói tin gồm có 3 trường: phần mào đầu (the header), phần tải trọng
(payload) , và phần kiểm tra lỗi (FCS), vì lớp giao diện mạng được dùng để trao đổi
thông tin trên trong mạng nội bộ nên tấn công ở lớp này cũng xảy ra trong mạng nội bộ
(local network). Sau đây là 1 số phương pháp sử dụng để xâm hại đến mục tiêu CIA.
 Giả mạo địa chỉ MAC (MAC Address spoofing)
Phần mào đầu có chứa địa chỉ MAC của cả máy nguồn và máy đích, và đó là điều kiện
để gói tin được truyền thành công từ nguồn đến đích. Kẻ tấn công có thể dễ dàng làm
giả địa chỉ MAC của 1 máy khác. Và mọi cơ chế an ninh dựa trên địa chỉ MAC đều có
thể bị làm hại bởi loại tấn công này.
 Từ chối dịch vụ (Denial of service)
Một tấn công từ chối dịch vụ làm cho 1 hệ thống bị quá tải vượt xa khả năng mà dịch
vụ của nó có thể đáp ứng. Một tấn công sử dụng giao thức ARP có thể làm cho 1 máy
tính bị chìm ngập trong các bản tin broadcast và sẽ làm cho máy tính mất đi khả năng
sẵn sàng phục vụ của mục tiêu CIA triad
 Phá hoại bộ nhớ đệm (ARP cache poisoning)
Bộ đệm ARP cất giữ địa chỉ MAC của máy tính trong mạng nội bộ, nếu thông tin trong
nó bị sai lệch hoặc giả mạo thì máy tính sẽ không thế gửi gói tin đến đích một cách
chính xác được.
b. Nhận dạng tấn công ở lớp Internet
Tại lớp Internet, gói tin IP được tạo ra, nó gồm có 2 trường là phần mào đầu và
phần tải trọng. Sau đây là một số phương pháp có thể được sử dụng để làm tổn hại đến
mục tiêu CIA:
 Giả mạo địa chỉ IP (IP address spoofing)
Nếu biết trường mào đầu và độ dài của địa chỉ IP, thì địa chỉ IP có thể dễ dàng bị phát
hiện và giả mạo. Và mọi cơ chể bảo mật dựa trên địa chỉ IP nguồn có thẻ bị xâm hại.
 Tấn công kẻ trung gian (Man-in-the-middle attacks)

40
Loại tấn công này xảy ra khi kẻ tấn công đặt mình ở giữa máy nguồn và máy đích theo
một cách nào đó mà cả 2 không thể biết được. Trong khi đó kẻ tấn công có thể chỉnh
sửa và xem được nội dung các gói tin trao đổi của cả hai bên.
 Tấn công từ chối dịch vụ (DoS)
Ở lớp này tấn công từ chối dịch vụ có thể sử dụng các giao thức ở lớp IP để làm quá tải
khả năng xử lý của máy tính, do đó phá hoại mục tiêu CIA.
 Làm sai lệch khả năng tái hợp của các cấu trúc khung bị phân mảnh (Incorrect
reassembly of fragmented datagrams)
Đối với các khung tin bị phân mảnh, trường Offset được sử dụng để tái hợp lại các gói
tin. Nếu như trường Offset bị thay đổi thì các gói tin sẽ bị tái hợp sai lệch. Và điều này
có thể làm cho một gói tin có thể không đi qua được Firewall và truy nhập được vào
mạng phía bên trong, và làm tổn hại đến mục tiêu CIA.
 Phá hoại các gói tin (Corrupting packets)
Vì gói tin IP phải đi qua 1 số máy trược khi đi đến đích nên thông tin trong trường mào
đầu bị đọc và có thể bị thay đổi chẳng hạn mỗi khi đi đến 1 router. Nếu gói tin bị chặn
lại thì nội dung trong trường mào đầu có thể bị chỉnh sửa và làm cho khung tin IP bị sai
đi. Điều này có thể làm cho gói tin đó không bao giờ có thể đến được đích hoặc làm
cho các giao thức hoặc phần thông tin tải đi bị thay đổi.
c. Nhận dạng tấn công ở lớp vận chuyển
Ở lớp vận chuyển thì phần mào đầu UDP hoặc TCP có thể được gắn vào trong bản tin.
Ở trên lớp ứng dụng đang yêu cầu dịch vụ có thể dựa vào đó mà xác định được là sẽ sử
dụng loại giao thức nào. Lớp vận chuyển cũng có thể được lợi dụng để làm tổn hại đến
mục tiêu CIA theo một số cách như sau:
 Sử dụng các cổng UDP và TCP
Bằng cách biết được trường và độ dài của đoạn mào đầu, các cổng được sử dụng để
trao đổi thông tin giữa 2 máy tính có thể được xác định và thông tin đó có thể được sử
dụng để phá hoại.
 Tấn công từ chối dịch vụ

41
Vói tấn công từ chối dịch vụ ở mức này, các giao thức IP đơn giản và các tiện ích có
thể được sử dụng để làm quá tải khả năng phục vụ của máy tính, vì thế làm tổn hại đến
mục tiêu CIA. Ví dụ như bằng các hiểu biết về phương pháp bắt tay 3 bước TCP, kẻ
tấn công có thể gửi đi các gói tin theo các thứ tự sai và phá hoại tính sẵn sàng phục vụ
của một máy chủ. Ví dụ chúng gửi đi rất nhiều các gói tin SYN và bỏ dở phiên kết nối
làm cho server phải tốn bộ đệm và thời gian chờ các thông tin thiết lập kết nối kế tiếp
theo thủ tục bắt tay 3 bước. Nếu hacker thành công trong việc mở ra toàn bộ các phiên
kết nối có thể thì các các kết nối thật sự khác không thể mở ra được khi không có yêu
cầu và rõ ràng là server không thể phục vụ được.
 Dành quyền tiếp quản phiên truyền
Loại tấn công này xảy ra sau khi mà máy nguồn và máy đích thiết lập được kết nối
trao đổi thông tin với nhau. Máy tính thứ 3 làm mất khả năng trao đổi thông tin của 1
máy và sau đó giả dạng máy tính đó. Vì kết nối đã được thiết lập nên máy thứ 3 có thể
phá hoại mục tiêu CIA.
d. Nhận dạng tấn công ở lớp ứng dụng
Tấn công xảy ra ở lớp ứng dụng là tấn công khó đối phó nhất vì nó lợi dụng được các
điểm yểu trong các ứng dụng và sự thiếu hiểu biết của người sử dụng về công tác bảo
mật. Một số phương pháp được sử dụng để tấn công ở lớp ứng dụng là:
 Khai thác ứng dụng gửi thư điện tử
Các bản đính kèm có thể được gửi kèm theo các thư điện tử và được chuyển vào trong
hộp thư nhận của người sử dụng. Khi mở thư và xem các bản đính kèm thì thường là
phải chạy các ứng dụng. Các bản đính kèm đó có thể gây hại ngay lập tức hoặc có thể
chưa gây ảnh hưởng. Tương tự hacker thường gắn thêm vào các đoạn mã nguồn độc
trong các bản tin được định dạng HTML (ngôn ngữ đánh dấu siêu văn bản). Bằng các
phương pháp đó có thể lợi dụng được các điểm yếu của các ứng dụng gửi thư điện tử
cũng như sự thiếu hiểu biết của người sử dụng về vấn đề bảo đảm an toàn của email
 Khai thác các trình duyệt Web
Khi một máy tính trạm sử dụng 1 trình duyệt Web để kết nối đến 1 Web server và tải
về một trang Web, nội dung của trang Web đó có thể đang kích hoạt, có nghĩa là nội

42
dung đó có thể chỉ là những thông tin tĩnh nhưng cũng có thể là mã nguồn chạy. Nếu
mã nguồn đó là mã nguồn độc thì sẽ làm tổn hại đến mục tiêu CIA.
 Khai thác ứng dụng truyền file
Giao thức truyền file được sử dụng để truyền các file giữa các máy tính với nhau. Khi
một máy khách phải cung cấp tên đăng nhập và mật khẩu để xác thực, thông tin đó
được truyền trên Internet sử dụng các kí tự text dễ hiểu. Tại một điểm nào đó trên
đường truyền thông tin đó có thể được ghi lại. Nếu khách hàng đó sử dụng lại tên truy
nhập và mật khẩu đó để đăng nhập vào máy chủ của công ty bạn thì thông tin đó có
thể bị hacker biết được và dùng để truy nhập vào các thông tin của công ty.
Như vậy có thể thấy có thể cùng với 1 kĩ thuật tấn công nhưng lợi dụng điểm yếu trong
các giao thức được sử dụng ở mỗi lớp kẻ tấn công có thể tiến hành nhiều cách tấn
công khác nhau. Chính vì vậy mà tại mỗi lớp lại cần phải có những biện pháp đối phó
thích hợp để bảo vệ mục tiêu CIA. Nội dung này tôi sẽ trình bày chi tiết ở trong chương
tiếp theo.

43
Chương 3
CÁC CÔNG NGHỆ BẢO MẬT
Thông thường đối với hệ thống mạng doanh nghiệp hàng rào an ninh cần phải
xây dựng theo nhiều lớp thì mới đảm bảo được mục tiêu CIA. Trong chương này tôi
sẽ phân tích các công nghệ bảo mật được sử dụng tương ứng với từng lớp trong mô
hình TCP/IP để hạn chế đối phó với các nguy cơ có thể xảy ra như đã phân tích tại
chương 2
3.1. CÔNG NGHỆ BẢO MẬT THEO LỚP
Người sủ dụng chỉ quan tâm tới các ứng dụng họ có thể sử dụng, nhưng để
tiếp cận được với các ứng dụng thông tin phải được truyền đi trên mạng theo nhiều
lớp phức tạp. Và tại mỗi điểm trên mạng thông tin đều có thể là mục tiêu của các
hacker, người làm công tác bảo mật cần xây dựng được một bức tranh toàn cảnh về
đường đi của thông tin và các biện pháp bảo mật thích hợp tại mỗi lớp.
Trong các lớp của mô hình TCP/IP thường tiến hành các phương pháp bảo
mật kết hợp.
 Lớp 1: tại đây sẽ có các chính sách lọc gói tin ngay trên các router kết
nối tới nhà cung cấp dịch vụ, chúng ta sẽ sử dụng các ACL, firewall, IPS tích
hợp trên phần mềm IOS để bước đầu ngăn chặn ngay các dịch vụ không cần
thiết.
 Lớp 2: sử dụng NIPS (network IPS) để quan sát những dữ liệu vào ra
Internet, khi có các dấu hiệu của sự tấn công hay xâm nhập lập tức thông báo
cho trung tâm quản lý hoặc trong trường hợp khẩn cấp có thế khóa ngay các kết
nối này lại.
 Lớp 3: tại đây sử dụng bức tường lửa (firewall với chức năng dự phòng-
failover) cho phép ngăn cách làm 3 vùng DMZ, Outside và Inside. Các Server
công cộng sẽ thuộc vùng DMZ và được bảo vệ rất nghiêm ngặt.

44
 Lớp 4: Đây là lớp bảo vệ cuối cùng sử dụng NIPS và HIPS cài trên các
Server. Hệ thống này sẽ phát hiện những tấn công đã lọt qua được vòng ngoài.
Tại đây, HIPS sẽ quan sát các dấu hiệu tấn công ngay trên các hệ điều hành và
cho phép có những thông báo cho quản trị mạng hoặc đóng băng các kết nối
trong trường hợp khẩn cấp.
Cụ thể các công nghệ bảo mật đó được tổ chức phân lớp lần lượt như sau:
Hình 1.14. Mô hình bảo mật theo lớp
3.1.1. Bảo mật ở mức vật lý
Bảo mật hệ thống mạng ở mức vật lý là yêu cầu tiên quyết cho việc thực hiện
mục tiêu CIA cho hệ thống thông tin của các doanh nghiệp.
Mức vật lý nói tới các thiết bị mạng, bảo vệ các thiết bị mạng đó nghĩa là phải có các
quy chế giới hạn quyền truy cập các tài nguyên mạng đồng nghĩa với việc bảo vệ ở
mức vật lý các thiết bị mạng không bị xâm phạm bởi các nhân viên không được phép.
Điều này cũng cho phép bảo vệ hệ thống mạng khỏi các Hacker, kẻ tấn công, kể xâm
nhập trực tiếp vào thiết bị và thay đổi cấu hình.
Tùy thuộc vào cấp độ bảo mật khác nhau mà các nhân viên sẽ có quyền truy cập
vào phòng chứa thiết bị mạng khác nhau. Tất cả các thiết bị mạng đều phải được đảm
bảo an toàn từ các Core router, hệ thống cáp, modem, máy chủ, các hosts, thiết bị lưu
trữ, v.v.v… Nhằm tăng tối đa khả năng bảo vệ, các thiết bị mạng này phải được tập

45
trung vào một vị trí và phải có hệ thống bảo vệ như khóa cửa, hệ thống báo trộm, hệ
thống báo cháy, hệ thống điều hòa nhiệt độ, hệ thống cung cấp nguồn điện dự phòng,
v.v.v…
3.1.2. Bảo mật sử dụng bức tường lửa
Bức tường lửa (Firewall) sẽ cho phép chúng ta lọc, ngăn chặn hay cho phép gói
tin đi qua dựa trên địa chỉ nguồn, đích hay các dịch vụ đang sử dụng. Các firewall sẽ
chia hệ thống mạng ra làm nhiều vùng khác nhau và việc truy cập từ vùng này sang
vùng khác sẽ được kiểm soát chặt chẽ. Việc sử dụng bức tường lửa vào những vị trí
thích hợp sẽ giúp ngăn chặn tối đa khả năng truy cập trái phép của các hacker .
Hình 1.15 Bảo mật sử dụng bức tường lửa
Hiện nay, có rất nhiều hướng giải pháp để xây dựng hệ thống tường lửa, được chia ra
làm 2 nhóm sau: Giải pháp dùng phần cứng và Giải pháp dùng phần mềm.
 Giải pháp dùng phần cứng là dùng thiết bị Firewall phần cứng chuyên dụng
hay còn gọi là “Firewall cứng”. Trong số này có hai nhà cung cấp nổi tiếng hàng
đầu thế giới là PIX của Cisco và Netscreen của Junifer.
 Giải pháp dùng phần mềm là dùng các phần mềm có chức năng Firewall hay
còn gọi là “Firewall mềm”. Nhà cung cấp sản phẩm Firewall mềm hàng đầu trên
thế giới hiện nay là Checkpoint của Nokia.

46
Việc sử dụng Firewall “cứng” hay “mềm” còn tuỳ thuộc rất nhiều vào vị trí của các
firewall này cũng như các thiết bị mạng đang được sử dụng trong hệ thống. Chi tiết
hơn về việc sử dụng loại nào tại vị trí nào tôi sẽ trình bày chi tiết trong phần II của đồ
án này .
Hệ thống giám sát, cảnh báo và ngăn chặn xâm nhập IPS
Chúng ta biết rằng các Firewall chỉ có khả năng ngăn chặn theo các dịch vụ và
địa chỉ đích, địa chỉ nguồn. Xong khi một số dịch vụ bắt buộc phải mở như: WEB,
Mail, các ứng dụng…sẽ tạo điều kiện cho hackers tấn công, và khi hacker tấn công
ngay trên chính các dịch này thì firewall hoàn toàn mất tác dụng. Một trong những
phương thức sử dụng để rò quét và ngăn chặn những hành động này là sử dụng IPS
(Instrusion Prevention System).
IPS được phát triển lên từ IDS (Instrusion Detection System) Là hệ thống phát
hiện các hành vi tấn công xâm nhập mạng. Nó “bắt” các gói tin lưu thông trong mạng
để phân tích và đưa ra các cảnh báo và đóng vai trò như là “camera” theo dõi trong
mạng.
Cũng giống IDS, IPS là hệ thống giám sát thời gian thực an ninh mạng nhằm
nhanh chóng phát hiện, nhận dạng các cuộc tấn công nguy hiểm từ bên ngoài và ngay
lập tức cảnh báo với người quản trị thông qua e-mail, tin nhắn, hay ghi nhận lại. Hơn
thế nữa, hệ thống còn có thể tự động phản hồi lại các cuộc tấn công như chặn đứng các
gói dữ liệu nguy hiểm, cập nhật vào các chính sách cho Firewall, Router hay Switch.
Hệ thống giám sát được phân loại dựa trên phương pháp giám sát ((monitoring method)
gồm : Network Base IPS (NIPS)& Host Base IPS (HIPS) và Application Base IPS
(AIPS):
 Host Base IPS dùng để giám sát một máy tính, một host nào đó, đặc biệt là các
máy chủ.
 Network Base IPS dùng để giám sát tất cả các dòng dữ liệu lưu thông trên
mạng và so sánh với các mẫu nhận dạng nguy hiểm đã được thông báo trước.
Network IPS cho hệ thống mạng của doanh nghiệp có thể được đặt tại một mạng

47
Client
Data-base
Host-based
IDS
Email
server
File server
File server
Apllication-
based IDS
NIDS
sensor
nào đó kết nối trực tiếp đến Firewall sao cho tất cả các dòng dữ liệu sẽ được phân
tích và có hành động thích hợp.
 Application Base IPS dùng để giám sát các ứng dụng .
Hình 1.16 . Các loại IPS
3.1.3. Bảo mật sử dụng lọc gói dữ liệu
Một hệ thống an ninh mạng thông minh cho các doanh nghiệp không chỉ có các
thiết bị bảo mật và giám sát mà chính những thiết bị mạng cũng có khả năng bảo mật.
Khả năng lọc gói dữ liệu có thể ứng dụng hoàn hảo cho các thành phần này như router,
tường lửa, máy chủ có thể được cấu hình chấp nhận hoặc loại bỏ các gói dữ liệu không
hợp lệ dựa trên địa chỉ hay các dịch vụ. Phương pháp này có thể ngăn chặn hay hạn chế
đến tối đa các truy cập trái phép vào tài nguyên mạng như đánh cắp thông tin hay tấn
công từ chối dịch vụ (DoS).
Cơ chế hoạt động của phương pháp này dựa trên các gói dữ liệu và có hành động
thích hợp là:
- Cấm các loại gói dữ liệu xác định và chấp nhận tất cả các gói dữ liệu còn lại.
- Chấp nhận các loại gói dữ liệu xác định và cấm tất cả các gói dữ liệu còn lại.
Các thiết bị mạng Cisco cũng hỗ trợ phương pháp lọc gói dữ liệu này thông qua các
danh sách điều khiển truy cập – access control lists (ACLs). ACL cho phép các dòng

48
dữ liệu trên mạng dễ dàng quản lý hơn bao giờ hết dựa trên địa chỉ , các giao thức, các
cổng nguồn và đích.
Hình 1.17. Bảo mật sử dụng lọc gói dữ liệu
3.1.4. Bảo mật sử dụng các phương pháp mã hóa
Đây là quá trình mật mã dữ liệu khi truyền đi khỏi máy tính theo một quy tắc
nhất định và máy tính đầu xa có thể giải mã được. Hầu hết các hệ thống mã hoá máy
tính thuộc về 1 trong 2 loại sau: Mã hoá sử dụng khoá riêng (Symmetric-key
encryption) và mã hoá sử dụng khoá công khai (Public-key encryption)
Trong hệ symmetric-key encryption, mỗi máy tính có một mã bí mật sử dụng
để mã hoá các gói tin trước khi truyền đi. Khoá riêng này cần được cài trên mỗi máy
tính có trao đổi thông tin sử dụng mã hoá riêng và máy tính phải biết được trình tự giải
mã đã được quy ước trước. Mã bí mật thì sử dụng để giải mã gói tin. Ví dụ: Bạn tạo ra
một bức thư mã hoá mà trong nội dung thư mỗi ký tự được thay thế bằng ký tự ở sau

49
nó 2 vị trí trong bảng ký tự . Như vậy A sẽ được thay bằng C, và B sẽ được thay bằng
D. Bạn đã nói với người bạn khoá riêng là Dịch đi 2 vị trí (Shift by 2). Bạn của bạn
nhận được thư sẽ giải mã sử dụng chìa khoá riêng đó. Còn những người khác sẽ không
đọc được nội dung thư.
Máy tính gửi mã hoá dữ liệu cần gửi bằng khoá bí mật (symetric key), sau đó
mã hoá chính khóa bí mật (symetric key) bằng khoá công khai của người nhận (public
key). Máy tính nhận sử dụng khoá riêng của nó (private key) tương ứng với khoá
public key để giải mã khoá bí mật (symetric key), sau đó sử dụng khoá bí mật này để
giải mã dữ liệu
Hệ Public-key encryption sử dụng một tổ hợp khoá riêng và khoá công cộng
để thực hiện mã hoá, giải mã. Khoá riêng chỉ sử dụng tại máy tính đó, còn khoá công
cộng được truyền đi đến các máy tính khác mà nó muốn trao đổi thông tin bảo mật. Để
giải mã dữ liệu mã hoá, máy tính kia phải sử dụng khoá công cộng nhận được, và khoá
riêng của chính nó. Một phần mềm mã hóa công khai thông dụng là Pretty Good
Privacy (PGP) cho phép bạn mã hoá đựợc hầu hết mọi thứ.
Sau đây là 2 ứng dụng điển hình của bảo mật sử dụng kĩ thuật mã hóa:
 Giao thức bảo mật IPSec ( Internet Protocol Security Protocol)
IPSec cung cấp các tính năng bảo mật mở rộng bao gồm các thuật toán mã hóa
và xác thực tốt hơn. IPSec có hai chế độ mã hoá: kênh tunnel và lớp truyền tải
transport. Mã hoá kênh Tunnel mã hoá cả header và nội dung mỗi gói tin trong khi mã
hoá lớp truyền tải chỉ mã hoá nội dung gói tin. Chỉ có những hệ thống sử dụng IPSec
tương thích mới có khả năng tiên tiến này. Mặc dù vậy, tất cả các thiết bị phải sử dụng
một khoá dùng chung và các tường lửa ở mỗi mạng phải có chính sách cấu hình bảo
mật tương đương nhau. IPSec có thể mã hoá dữ liệu truyền giữa rất nhiều thiết bị,
chẳng hạn như:
o Từ router đến router
o Từ firewall đến router
o Từ PC đến router
o Từ PC đến server

50
 Bảo mật sủ dụng kết nối kênh riêng ảo VPN (Virtual Private Network )
Một trong những biện pháp mã hóa dữ liệu đối với những người dùng từ xa là
sử dụng công nghệ VPN nhằm tăng cường khả năng bảo mật cho dữ liệu được truyền
trên mạng công cộng. Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng
chung (thường là Internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều
người sử dụng từ xa. Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng như
đường leased line, mỗi VPN sử dụng các kết nối ảo được dẫn đường qua Internet từ
mạng riêng của các công ty tới các site hay các nhân viên từ xa.
Hình 1.18 . Kết nối từ xa sử dụng VPN
Phụ thuộc vào kiểu VPN (truy nhập từ xa Remote-Access hay kết nối ngang hàng Site-
to-Site),ta cần một số thành phần nhất định để hình thành VPN, bao gồm:
 Phần mềm máy trạm cho mỗi người dùng xa
 Các thiết bị phần cứng riêng biệt, ví dụ như: bộ tập trung (VPN
Concentrator) hoặc tường lửa (Secure PIX Firewall)
 Các máy chủ VPN sử dụng cho dịch vụ quay số
 Máy chủ truy cập NAS (Network Access Server) dùng cho các người
dùng VPN ở xa truy nhập
 Trung tâm quản lý mạng và chính sách VPN

51
Một mạng VPN được thiết kế tốt sẽ đáp ứng được các yêu cầu sau:
 Bảo mật (Security)
 Tin cậy (Reliability)
 Dễ mở rộng, nâng cấp (Scalability)
 Quản trị mạng thuận tiện (Network management)
 Quản trị chính sách mạng tốt (Policy management)
3.1.5. Bảo mật sử dụng xác thực, cấp quyền truy nhập và thống kê.
 Bảo mật dùng xác thực (Authentication)
Phương thức bảo mật dùng xác thực được ứng dụng vào hệ thống mạng cho phép nhận
dạng người dùng muốn truy xuất các ứng dụng dịch vụ mạng và làm nhiệm vụ cho
phép hay hạn chế truy cập.
Với phương thức bảo mật này, người dùng sẽ có login ID và password để khai báo cho
các máy chủ bảo mật khi có nhu cầu truy xuất tài nguyên hệ thống, các login ID và
password này sau đó sẽ được kiểm tra bởi một máy chủ chạy dịch vụ xác thực như
RADIUS, TACACS, TACACS+.
 Cấp quyền truy cập (Authorization)
Kết hợp với phương thức bảo mật dùng xác thực, phương pháp cấp quyền truy cập có
thể định nghĩa và quản lý người dùng truy cập đến mức độ nào trong tài nguyên hệ
thống như các thư mục, các tập tin, v.v.v…
Các tổ chức doanh nghiệp nên cấp quyền truy cập hệ thống cho các thành viên dựa trên
yêu cầu cần thiết tối thiểu khi có nhu cầu thực sự sao cho quyền truy cập là thấp nhất
nhằm làm tăng tối đa độ bảo mật, an toàn dữ liệu. Ngoài ra, để dễ dàng quản lý thì việc
cấp quyền còn phải dựa trên sự đồng nhất, giống nhau của người dùng nhằm tạo ra các
nhóm người dùng có quyền truy xuất dữ liệu như nhau.
 Thống kê (Accouting)
Hệ thống thống kê (accouting) có thể thu thập hoạt động dữ liệu, thống kê, báo cáo
các truy cập từ phía người dùng là đặc biệt cần thiết.
Phương pháp này cho phép người quản trị dễ dàng xác định các xâm phạm có thể xảy
ra, nhanh chóng khắc phục sự cố và truy cứu trách nhiệm do tất cả các thông tin người

Đề tài: Phương pháp bảo mật bằng công nghệ bức tường lửa, 9đ

Đề tài: Phương pháp bảo mật bằng công nghệ bức tường lửa, 9đ

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Đề tài: Phương pháp bảo mật bằng công nghệ bức tường lửa, 9đ

Similar to Đề tài: Phương pháp bảo mật bằng công nghệ bức tường lửa, 9đ (20)

More from Dịch vụ viết bài trọn gói ZALO 0917193864

More from Dịch vụ viết bài trọn gói ZALO 0917193864 (20)

Recently uploaded

Recently uploaded (19)

Đề tài: Phương pháp bảo mật bằng công nghệ bức tường lửa, 9đ