LỜI NÓI ĐẦU LỜI NÓI ĐẦU Với chiến lược phát triển toàn diện mang tính chất đón đầu về công nghệ nhằm tạo ra tiềm lực to lớn, đủ sức cạnh tranh về chất lượng và sự đa dạng hóa các dịch vụ giá thành thấp, năng suất lao động cao, Tập đoàn Bưu chính Viễn thông Việt nam có chiến lược và kế hoạch chuyển đổi mạng Viễn thông số sang mạng thế hệ sau (NGN). Mạng NGN có hạ tầng thông tin duy nhất dựa trên công nghệ chuyển mạch gói, triển khai dịch vụ một cách đa dạng và nhanh chóng, đáp ứng sự hội tụ giữa thoại và số liệu, giữa cố định và di động, bắt nguồn từ sự tiến bộ của công nghệ thông tin và các ưu điểm của công nghệ chuyển mạch gói nói chung và công nghệ IP nói riêng và công nghệ truyền dẫn quang băng rộng. Cấu trúc của mạng thế hệ sau và các nguyên tắc hoạt động của nó về cơ bản khác nhiều so với cấu trúc của mạng PSTN hiện nay. Do vậy đội ngũ kỹ sư và cán bộ kỹ thuật Viễn thông cần phải được bồi dưỡng cập nhật kiến thức về công nghệ mới này, có như vậy họ mới đủ khả năng và trình độ vận hành khai thác quản lý và triển khai các dịch vụ Viễn thông một cách an toàn và hiệu quả. Chương trình “Bồi dưỡng kỹ sư điện tử viễn thông về công nghệ IP và NGN” của Tập đoàn được xây dựng với mục đích cung cấp kiến thức và kỹ năng cơ bản liên quan tới công nghệ IP và NGN cho các cán bộ kỹ thuật đang trực tiếp quản lý và khai thác hệ thống trang thiết bị tại cơ sở nhằm đáp ứng yêu cầu về chuyển đổi công nghệ mạng lưới và dịch vụ viễn thông của Tập đoàn. Cuốn tài liệu “An ninh mạng IP” bao gồm 6 chương, trình bày các vấn đề cơ bản về an ninh mạng IP. Chương 1 Tổng quan về an ninh mạng Chương 2 Chiến lược đảm bảo an toàn mạng. Chương 3 Chính sách, giải pháp và thiết bị bảo vệ mạng. Chương 4 Bảo vệ dữ liệu bằng mật mã và chứng thực người sử dụng. Chương 5 Giới thiệu về an ninh mạng không dây. Chương 6 Case Study. Trong quá trình biên soạn, mặc dù giáo viên đã rất cố gắng, tuy nhiên không thể tránh khỏi những thiếu sót. Rất mong nhận được ý kiến đóng góp của các bạn đọc để những lần xuất bản sau chất lượng của tài liệu được tốt hơn. TRUNG TÂM ĐÀO TẠO BƯU CHÍNH VIỄN THÔNG 1 Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT i AN NINH MẠNG IP MỤC LỤC LỜI NÓI ĐẦU i MỤC LỤC ii DANH SÁCH HÌNH iv DANH SÁCH BẢNG vi CHƯƠNG 1 1 1.1 TOÀN CẢNH VỀ VẤN ĐỀ AN NINH MẠNG 2 1.2 CÁC NGUY CƠ, CÁC KIỂU TẤN CÔNG 3 1.2.1 Các nguy cơ tấn công 3 1.2.2 Các kiểu tấn công 4 CHƯƠNG 2 8 1.3 CÁC YÊU TỐ AN NINH MẠNG 9 1.3.1 Quyền và tính hiệu lực 9 1.3.2 Xác thực 9 1.3.3 Sự tin cậy 10 1.3.4 Tính toàn vẹn 10 1.3.5 Tính không thể chối bỏ 11 1.4 CHIẾN LƯỢC ĐẢM BẢO AN TOÀN MẠNG 11 1.4.1 Chiến lược phòng thủ 11 1.4.2 Phòng thủ theo chiều sâu 12 1.5 CÁC KỸ THUẬT PHÒNG THỦ 15 CHƯƠNG 3 22 1.6 CHÍNH SÁCH AN TOÀN THÔNG TIN (Information security policy) 23 1.6.1 Tài liệu chính sách an toàn thông tin (Information security policy document) 23 1.6.2 Nhận xét và đánh giá (Review and evaluation) 23 1.6.3 Một ví dụ về chính sách an toàn thông tin 24 1.7 GIẢI PHÁP BẢO VỆ MẠNG 27 1.7.1 Giới thiệu chung về VPN 27 1.7.2 FIREWALL 35 1.7.3 Hệ thống phát hiện xâm nhập (IDS) 52 CHƯƠNG 4 61 Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT ii MỤC LỤC 1.8 ĐỊNH NGHĨA MẬT MÃ 62 1.9 ỨNG DỤNG 62 1.9.1 Phương pháp mã hóa dữ liệu 62 1.9.2 Chữ ký điện tử 63 1.9.3 Chứng chỉ số 64 1.10 KẾT CHƯƠNG 94 CHƯƠNG 5 97 1.11 GIỚI THIỆU VỀ AN NINH MẠNG KHÔNG DÂY (Wireless) 98 1.12 AN NINH MẠNG CHO MẠNG LAN KHÔNG DÂY (Wireless LAN) 101 CHƯƠNG 6 107 1.13 GIỚI THIỆU VỀ DENIAL OF SERVICE (DoS) 108 1.14 MỘT SỐ KIỂU TẤN CÔNG DoS PHỔ BIẾN 108 1.14.1 Tấn công Ping of Death 108 1.14.2 SYN Floods 109 1.14.3 Tấn công Land 109 1.14.4 Tấn công WinNuke 109 1.14.5 Teardrop 110 1.14.6 Tấn công Smurf 110 1.14.7 UDP Flooding 110 1.14.8 Tấn công DNS 111 1.14.9 Tấn công Distributed DoS (DDoS) 111 1.14.10 Tấn công DRDoS (Distributed Reflection Denial of Service) 111 1.15 MỘT SỐ CÔNG CỤ TẤN CÔNG DoS 111 THUẬT NGỮ VIẾT TẮT 114 TÀI LIỆU THAM KHẢO 118 Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT iii AN NINH MẠNG IP DANH SÁCH HÌNH Hình 2.1 Phòng thủ theo chiều sâu 12 Hình 2.2 Các lớp bảo vệ 14 Hình 2.3 Sơ đồ các lớp phòng thủ để đến được file 15 Hình 2.4 Lược đồ thực hiện việc xác thực truy nhập 18 Hình 2.5 Time-base Token 19 Hình 3.1 Các mức mã hóa và xác thực 29 Hình 3.2 Tunnel Mode và Transport Mode 31 Hình 3.3 Tunnel Mode và Transport Mode 32 Hình 3.4 Mô hình Firewall 35 Hình 3.5 Lọc gói tin 38 Hình 3.6 Mô hình Multi-homed 38 Hình 3.7 Mô hình Screened Host 39 Hình 3.8 Mô hình DMZ 39 Hình 3.9 Các phương pháp thực thi Firewall 40 Bảng 3.1 Một số câu hỏi liên quan đến chính sách Firewall 44 Hình 3.10 Các mức lọc gói tin 45 Hình 3.11 Kết nối cổng 46 Bảng 3.2 Một số rule trong firewall với cổng xác định 46 Hình 3.12 Kiểm tra gói tin stateful 50 Hình 3.13 Kịch bản cho mạng hỗn hợp 52 Hình 3.14 Phân tích sự chuyển đổi trạng thái 55 Hình 3.15 Các vị trí đặt NIDS trong mạng 57 Hình 3.16 Mô hình điều khiển tập trung 57 Hình 3.17 Mô hình điều khiển phân tán 58 Hình 3.18 Mô hình điều khiên phân tán dựa trên Agent 58 Hình 4.1 Sử dụng mật khẩu chứng thực cho máy khách kết nối tới máy dịch vụ 66 Hình 4.2 Chứng chỉ số chứng thực cho máy khách kết nối tới máy dịch vụ 66 Hình 4.3 Chứng chỉ khóa công khai dựa trên CA 69 Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT iv DANH SÁCH HÌNH Hình 4.4 Chứng thực đệ qui 71 Hình 4.5 Khuôn dạng chứng chỉ trong phiên bản v1 và v2 của X. 509 73 Hình 4.6 Cấu trúc đặt tên theo X.500 74 Hình 4.7 Tên đối tượng 75 Hình 4.8 Khuôn dạng chứng chỉ X.509 v3 77 Hình 4.9 Thu hồi chứng chỉ 85 Hình 4.10 Thu hồi chứng chỉ theo khuôn dạng X509 v3 87 Hình 4.11 Quá trình hủy bỏ chứng chỉ 88 Hình 5.1 Enterprise Access Server trong Gateway Mode 101 Hình 5.2 Enterprise Access Server trong Controller Mode 102 Hình 5.3 Mô hình bảo mật không cho mạng không dây 102 Hình 5.4 Quá trình mã hóa và giải mã 103 Hình 5.5 Mô hình xác nhận 104 Hình 5.6 Xác nhận 802.1x EAP-TLS 105 Hình 5.7 802.1x EAP-TLS trong Controller Mode 105 Hình 6.1 Mô hình tấn công DoS 108 Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT v AN NINH MẠNG IP DANH SÁCH BẢNG Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT vi CHƯƠNG 1 TỔNG QUAN VỀ AN NINH MẠNG Nội dung chương 1 bao gồm:  Toàn cảnh về vấn đề an ninh mạng.  Các nguy cơ, các kiểu tấn công. Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT 1 AN NINH MẠNG IP 1.1 TOÀN CẢNH VỀ VẤN ĐỀ AN NINH MẠNG Trong thế giới ngày nay, việc tấn công các mạng máy tính ngày càng trở nên dễ dàng hơn. Có rất nhiều công cụ đễ hỗ trợ, công nghệ ngày càng phát triển tạo ra những máy tính có cấu hình mạnh hơn, cộng thêm với việc bảo mật chưa thật sự được chú trọng. Hiện nay còn nhiều doanh nghiệp không cho rằng đây là mối đe doạ nghiêm trọng. Họ không nhìn nhận thấy tầm quan trọng của việc tạo ra một mạng an toàn. Họ không nhìn nhận thấy sự cần thiết phải chi những khoản tiền cho việc bảo vệ những tài sản điện tử của họ. Nhưng thực tế cho thấy là rất cần thiết. Hãy xem xét những số liệu thống kê gần đây (số liệu từ Viện An Toàn Máy Tính - CSI và Cục Điều Tra Liên Bang Mỹ - FBI): Ước tính tổng số thiệt hại lên đến hàng triệu USD (thiệt hại tăng lên nhiều ở năm tiếp theo) do những hành vi đánh cắp thông tin trong vòng 5 năm, và con số ước tính như sau: - Năm 1997: $ 20,048,000. - Năm 1998: $ 33,545,000. - Năm 1999: $ 42,496,000. - Năm 2000: $ 66,708,000. - Năm 2001: $ 151,230,100. Những con số này thể hiện tính nghiêm trọng của vấn đề bảo mật hiện nay. Các số liệu được khảo sát chỉ với 34 doanh nghiệp tự nguyện báo cáo những thiệt hại của họ do hành vi đánh cắp thông tin. Còn rất nhiều doanh nghiệp khác không thiết tha với việc báo cáo những thiệt hại của mình mặc dù báo cáo này không nêu danh tính doanh nghiệp thiệt hại, để vạch trần những thiệt hại mà tội phạm máy tính gây ra. Tuy nhiên, với những bằng chứng thực tế cho thấy các cuộc tấn công mạng đang trở nên ngày một nghiêm trọng hơn với những thiệt hại rất lớn về kinh tế trên thế giới. Ngay lúc này, các tổ chức doanh nghiệp cũng đã bắt đầu nhận thức được vấn đề này và đã có ý thức bảo vệ mình trước các cuộc tấn công ngày càng gia tăng. Rõ ràng là phòng thủ là cần thiết và là việc làm cấp bách. Hệ thống mạng của doanh nghiệp cho những người dùng được phép truy nhập những thông tin nhạy cảm một cách nhanh chóng với cách thức có vẻ an toàn. Nhưng với những kết nối truy nhập từ xa có mối liên hệ với doanh nghiệp qua mạng Internet sử dụng đường kết nối không chuyên dụng để kết nối tới mạng của doanh nghiệp thì nguy cơ có những người dùng không được phép cũng có thể có được kết nối để truy nhập thông tin nhạy cảm này. Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT 2 CHƯƠNG 1 - TỔNG QUAN VỀ AN NINH MẠNG Sơ hở về an ninh mạng đôi khi do người sử dụng gây nên, họ đáp ứng đủ những đòi hỏi mà hệ thống yêu cầu, hệ thống sẵn sàng hoạt động và họ thực hiện công việc của mình và khi đó họ cho rằng mình an toàn. Nhưng chỉ có những người quản trị mạng mới thực sự biết được an ninh mạng là vấn đề quyết định, họ biết rằng cần thực hiện kế hoạch thận trọng từng bước để xây dựng môi trường mạng an toàn. Vì ở đó các chức năng hỗ trợ và thực hiện công việc kinh doanh trong hệ thống được xây dựng tin cậy. An ninh mạng cần phải được coi là chiến lược trong hoạt động của doanh nghiệp. Nó phải được bắt đầu như một phần công việc của quy trình lập kế hoạch cho chiến lược và là kế hoạch hành động đầu tiên trong chiến lược, và cho đầu tư ngân sách thực hiện an ninh mạng. Phòng thủ mạng được bắt đầu với các vấn đề an toàn cơ bản. Những vấn đề then chốt được trình bày chi tiết ở phần tiếp theo. 1.2 CÁC NGUY CƠ, CÁC KIỂU TẤN CÔNG 1.2.1 Các nguy cơ tấn công o Nguy cơ xâm nhập bất hợp pháp hệ thống máy tính trên mạng - Quét do thám hệ thống: quét Ping, quét TCP (Transmission Control Protocol), quét UDP (User DataGram Protocol), quét hệ điều hành, quét tìm kiếm accout thâm nhập… - Xâm nhập hệ thống: truy tìm account, đoán mật khẩu qua mạng, bẻ khoá mật khẩu, khai thác từ xa các lỗi DoS (Denial of Service - tấn công từ chối dịch vụ), tràn bộ đệm, khai thác quan hệ uỷ quyền. - Cài đặt cửa sau (backdoor) và truy cập từ xa. - Tấn công hệ thống máy tính bằng virus, trojan và các phần mềm gián điệp. - Tấn công với lỗi RPC (Remote Procedure Call - Lời gọi thủ tục từ xa) o Nguy cơ tấn công mạng - Xâm nhập vào mạng từ bên ngoài Internet. - Xâm nhập bất hợp pháp vào mạng thông qua dial-up, VPN (Virtual Private Network). - Các thiết bị mạng, SNMP (Simple Network Management Protocol), RIP (Routing Information Protocol). - Phát hiện, đánh lừa, và xuyên qua firewall. - Truy cập uỷ nhiệm ngoài không được chứng thực. - Tấn công mạng bằng worm. - Tấn công bằng spam. o Nguy cơ tấn công phần mềm máy chủ dịch vụ - Tấn công DNS (Domain Name Service). Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT 3 AN NINH MẠNG IP - Tấn công Web server. - Tấn công SMTP (Simple Mail Transfer Protocol) sendmail. - Tấn công IMAP/POP3 (Internet Mail Access Protocol/Post Office Protocol). - Tấn công Database server. - Tấn công từ chối dịch vụ DoS: Ping-of-Death, SYN flood, …. o Nguy cơ mất an toàn thông tin trong giao dịch và thương mại điện tử - Đánh cắp thông tin bằng các chương trình spy, virus. - Giả mạo thông tin trong thư tín và giao dịch. - Nghe lén thông tin. - Đánh cắp, làm sai lệch thông tin qua tấn công SQL injection. - Sử dụng credit card phi pháp và đánh cắp tài khoản ngân hàng o Nguy cơ mất an toàn thông tin trên mạng WLAN - Quét dò sóng mạng, tấn công xâm nhập mạng - Bẻ khoá WEP (Giao thức an toàn của mạng không dây). - Giả mạo điểm truy cập không dây WAP. - Tấn công từ chối dịch vụ. o Vấn đề trên mạng thông tin di động - Vấn đề lan truyền các tin đồn thất thiệt trên mạng nhắn tin SMS. - Lợi dụng mạng nhắn tin để tấn công đe doạ chủ thuê bao điện thoại di động. 1.2.2 Các kiểu tấn công Hiện nay theo một số chuyên gia, có 4 dạng nguy cơ tấn công trên mạng máy tính: - Tấn công do thám. - Tấn công truy nhập. - Tấn công từ chối dịch vụ (Denial of Service). - Virus, trojan horse, worm, mã độc hại. • TẤN CÔNG DO THÁM Kẻ tấn công sử dụng các công cụ phần mềm có chức năng scanner mạng và cố gắng tìm kiếm, phát hiện lỗ hổng hệ thống máy tính mục tiêu. Các lỗ hổng có thể như lỗ hổng của hệ điều hành, lỗ hổng của phần mềm trình duyệt web, lỗ hổng của các ngôn ngữ lập trình (SQL, PHP v.v ), lỗ hổng của các dịch vụ và các điểm yếu dễ bị tấn công. Tiếp theo là khai thác các lỗ hổng đó để giành quyền truy nhập với quyền quản trị hệ thống bằng nhiều cách như cài đặt backdoor, cài đặt trojan horse, keylogger để nắm quyền kiểm soát hệ thống máy tính mục tiêu. Kiểu tấn công do thám này gồm một số kiểu như: Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT 4 [...]... thức IP và NGN cho kỹ sư ĐTVT của VNPT 7 CHƯƠNG 2 CHIẾN LƯỢC ĐẢM BẢO AN TOÀN MẠNG Nội dung chương 2 bao gồm:   Chiến lược đảm bảo an toàn mạng  8 Các yếu tố an ninh mạng Các kỹ thuật phòng thủ Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT CHƯƠNG 2- CHIẾN LƯỢC ĐẢM BẢO AN TOÀN MẠNG 1.3 CÁC YÊU TỐ AN NINH MẠNG Để xây dựng một mạng máy tính có độ an toàn cao, người quan trị mạng. .. Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT 15 AN NINH MẠNG IP Sau khi xác thực với máy chủ đó là các file an ninh Mỗi file hay mỗi một tài nguyên cần được thiết kế với mức an ninh riêng biệt Người ra lệnh thực hiện an ninh là người truy nhập vào file này, với quyền truy nhập mà mỗi người được cấp Và file an ninh này thậm chí có thể chỉ ra thời gian truy nhập và ngày tháng năm... liệu - Chối bỏ sự đưa ra dữ liệu về thời gian, về thời gian ngày tháng thực của dữ liệu đó Sự chậm trễ thời gian sẽ giúp cho người chối bỏ chấp hành hay thực hiện yêu cầu nào đó 1.4 CHIẾN LƯỢC ĐẢM BẢO AN TOÀN MẠNG Để bảo vệ tốt mạng máy tính của mình người quản trị an ninh mạng cần thực hiện làm giảm thiểu hoặc giảm bớt các tác động đe doạ tới an ninh mạng đang hiện hữu và trong tương lai Thực hiện... Translation (NAT) để ẩn giấu địa chỉ IP mạng bên trong Đây là kỹ thuật phòng thủ vòng ngoài của hệ thống an ninh và tất cả các mạng quan trọng cần thiết phải có Và thêm vào đó là việc đánh số cổng giao thức, như vậy tạo ra con đường một chiều mặc dù cổng trước cho phép vào ra cả hai chiều truyền thông o Back Doors Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT 13 AN NINH MẠNG IP. .. An ninh mạng bảo vệ tất cả các thông tin về kỹ thuật của doanh nghiệp bao gồm máy tính, server, cơ sở dữ liệu, các chương trình ứng dụng, các thiết bị ngoại vi, và một điều có lẽ là quan trọng nhất đó là dữ liệu An ninh mạng cho phép người dùng được phép truy nhập với công nghệ thông tin một cách nhanh chóng, ở bất cứ nơi nào và với khách hàng trong và ngoài môi trường an toàn Thực hiện kiểm soát an. .. kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT 27 AN NINH MẠNG IP “VPN là một mạng ảo được xây dựng tích hợp trên môi trường mạng công cộng, cơ chế hoạt động của mạng ảo này tương tự như 01 mạng riêng” o Công nghệ VPN Ngoài cách phân loại VPN theo phân lớp OSI, người ta còn có thể chia VPN theo phương pháp thiết lập: kiểu “overlay” hay kiểu “peer” Trong phương thức xây dựng kiểu “overlay”, mạng được xây... gói tin IP IPSec bao gồm một nhóm các giao thức: RFC 2401: Kiến trúc bảo mật cho giao thức IP RFC 2402: Qui định về phần header xác thực AH RFC 2403: Sử dụng HMAC-MD5-96 trong ESP hay AH RFC 2404: Sử dụng HMAC-SHA-1-96 trong ESP hay AH Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT 29 AN NINH MẠNG IP RFC 2405: Thuật toán mã hoá ESP DES-CBC Cipher với Explicit IV RFC 2406: IP Encapsulating... TỔNG QUAN VỀ AN NINH MẠNG - Phân tích các gói tin: Telnet, FTP, SNMP, POP, HTTP - Quét các cổng của máy tính mục tiêu: Nhận dạng các máy chủ trên mạng (sử dụng hệ điều hành gì, hệ điều hành đó có điểm yếu nào), nhận dạng các dịch vụ đang hoạt động ở máy mục tiêu, các điểm yếu dễ khai thác và tấn công - Tra cứu các thông tin liên quan đến mục tiêu trên mạng Internet: Nơi đăng ký hosting, địa chỉ IP, hệ... trị mạng phải quan tâm đến 5 yếu tố là chìa khoá của an ninh mạng đó là: - Quyền và tính hiệu lực - Xác thực - Sự tin cậy - Tính toàn vẹn - Không thể chối bỏ 1.3.1 Quyền và tính hiệu lực Trước hết các hệ thống an ninh mạng phải luôn sẵn sàng với mục đích quản lý những ai truy nhập và truy nhập thông tin nào, tài nguyên nào, file, thư mục nào và quá trình làm việc của họ trên mạng Vì sự an toàn của hệ... có ảnh hưởng cơ bản đến sự đánh giá rủi ro ban đầu, chẳng hạn như các sự cố an toàn mang tính chất quan trọng, các nguy cơ mới hoặc các thay đổi về cơ sở hạ tầng kỹ thuật trong tổ chức Quá trình đó cần được ghi lại theo một trình tự, các nhận xét có tính định kỳ như dưới đây: Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT 23 AN NINH MẠNG IP - Tính hiệu quả của các chính sách, số lượng