Nghiên cứu đề xuất giải pháp bảo mật mạng LAN và ứng dụng tại trung tâm đào tạo và phát triển phần mềm Lào - Ấn Độ

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (5.96 MB, 26 trang )

Trang 1<div class="page_container" data-page="1">

HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIÊN THONG

</div>Trang 2<div class="page_container" data-page="2">

Đề án tốt nghiệp được hồn thành tại:

HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIÊN THONG

Người hướng dẫn khoa học: PGS.TSKH. Hoàng Đăng Hải

(Ghi rõ học ham, học vi)

Phản biện Ï:...-. Q00 0202020 n HH ng nh nh vn ng

Phản biện 2:...-. 0000022000220 n n2 ng nh hy

viện Cơng nghệ Bưu chính Viễn thơng

Có thé tìm hiểu dé án tốt nghiệp tại:

- Thư viện của Học viện Cơng nghệ Bưu chính Viễn thơng.

</div>Trang 3<div class="page_container" data-page="3">

1. Lý do chọn đề tài

Ngày nay, các biện pháp an tồn thơng tin cho máy tính cá nhân cũng như các mạng

nội bộ đã được nghiên cứu và triển khai. Tuy nhiên, vẫn thường xuyên có các mạng bị tan cơng, có các tơ chức bị đánh cắp thơng tin... gây nên những hậu quả vô cùng nghiêm trong. Một số vụ tan công với quy mô không 16 (có tới 100.000 máy tinh bị tan cơng). Tại Lào, các

hệ thống mạng và Website bị tấn công theo chiều hướng gia tăng: năm 2020 có hơn 1000 Website bị tan công, năm 2021 hơn 2000 website bị tan công và phát tán thư rác, năm 2022

website Lao Airlines bi hack lộ hơn 40.000 dữ liệu khách hàng (theo thông tin từ [12], [13]).

Mặc dù mạng đã và đang phát triển rất mạnh theo hướng kết nối Internet van vật (oT — Internet of Things), 5G,... song mạng cục bộ LAN (Local Area Networks) van sé tiép tuc được duy trì và là mạng cốt lõi trong mọi cơ quan, tơ chức, doanh nghiệp. Do có sự thay đơi về mặt công nghệ mạng LAN như kết nối 5G, kết nối IoT,... nên công nghệ, kỹ thuật tấn

công của tin tặc cũng có thay đồi theo. Chính vi vậy, van dé an toàn mạng LAN và các giải pháp bảo mật cho mạng LAN vẫn luôn là một chủ đề nghiên cứu địi hỏi có thêm những giải

pháp mới, có xem xét thêm những yếu tố thay đổi công nghệ này.

Xuất phat từ nhu cầu thực tế tại mạng Trung tâm Online Exam của Trung tâm Dao tạo và Phát triển phần mềm Lào - Ấn Độ (nơi em đang công tác). Qua thời kỳ Covid vừa

qua, nhiều hoạt động phải trực tuyến thơng qua mạng, có thé nhận thấy phát sinh nhiều van dé liên quan đến an toàn và bảo mật mang LAN. Do vậy em chọn dé tai này với mong muốn

nghiên cứu các giải pháp tăng cường bảo mật mang LAN và ứng dụng tại Trung tâm Dao

tạo và Phát triển phần mềm Lào - An Độ. 2. Tổng quan về van đề nghiên cứu

LAN (Local Area Network) là một hệ thong mang cục bộ dùng để kết nối các máy

tính trong một phạm vi nhỏ (nhà ở, phịng làm việc, trường học, trong cơng ty...). Các máy

tính trong mạng LAN có thê chia sẻ tài nguyên với nhau, mà điển hình là chia sẻ tập tin,

may chu Web, máy chủ Mail, máy in, máy quét va một số thiết bị khác.

Các giải pháp bảo mật điển hình cho mạng LAN đã có cho tới nay bao gồm: tường

lửa, phần mềm diệt virus, hệ thống phát hiện và ngăn chặn xâm nhập.

Mặt khác, đa phần hệ thống mạng LAN của các doanh nghiệp đều xây dựng theo mơ hình mạng hình Sao, đữ liệu ít được phân quyền quy cập, hệ thống máy chủ không tách

riêng với hệ thống máy người dùng.

Như vậy có thé thấy, an tồn mạng nói chung và bảo mật mang LAN nói riêng van

</div>Trang 4<div class="page_container" data-page="4">

ln là một vấn đề lớn đối với mọi cơ quan, tổ chức. Cần phải có một giải pháp tổng thể,

khơng chỉ phần mềm, phần cứng mà nó địi hỏi cả vấn đề chính sách về con người.

3. Mục tiêu nghiên cứu

Mục tiêu nghiên cứu của đề án tốt nghiệp này là nghiên cứu các yêu cầu và giải pháp bảo mật cho mạng LAN, đề xuất giải pháp bảo mật cho mạng LAN có khả năng triển khai

áp dụng trong thực tế tại Trung tâm Dao tạo và Phát triển phần mềm Lao-An Độ. 4. Đối tượng và phạm vi nghiên cứu

Đối tượng nghiên cứu của đề án tốt nghiệp là mạng LAN và các vấn đề liên quan đến

bảo mật mạng LAN.

Phạm vi nghiên cứu của đề án tốt nghiệp là các giải pháp bảo mật mạng LAN và ứng dụng cho mạng nội bộ tại trung tam dao tạo và phat triển phần mềm Lào - Ấn Độ.

5. Phương pháp nghiên cứu

về mặt lý thuyết: Thu thập, khảo sát, phân tích các tài liệu và thơng tin có liên quan

đến bảo mật mạng LAN.

Về mặt thực nghiệm: Khảo sát thực tế tại trung tâm đào tạo và phát triển phần mềm Lào - An Độ va đề xuất các giải pháp bảo mật nội bộ của trường phù hợp.

</div>Trang 5<div class="page_container" data-page="5">

CHUONG 1. TONG QUAN VE MẠNG LAN VA CÁC YÊU CAU BAO MAT

1.1 Téng quan vé céng nghé mang LAN va cac van dé lién quan

1.1.1 Giới thiệu chung

Mang LAN là viét tat cua Local Area Network, dich nghĩa là mang máy tính nội bộ,

cho phép các máy tính trong cùng một đơn vị như doanh nghiệp, trường học, tổ chức hành chính có thé kết nối với nhau dé cùng nhau làm việc và chia sẻ dữ liệu dựa trên nên Internet.

Mạng LAN hữu ích vì nó cho phép những người sử dụng dùng chung tài nguyên quan trọng

như máy in, 6 CDROM, các phần mềm ứng dung và thông tin cần thiết khác. Hinh 1.1 mô tả mơ hình một mang LAN điền hình [8].

InternetRemote

and Mobile

Bang 1.1: Các đặc trưng của Fast Ethernet, kiểu truyền và khoảng cách [11]

Công nghệ Kiểu đây Số cặp Độ dài cáp100BASE-TX EIA/TIA UTP loại 5 2 100m

100BASE-T2 EIA/TIA UTP loại 3, 4, 5 2 100m

100BASE-T4 EIA/TIA UTP loại 3, 4, 5 4 100m

Cáp sợi đa kiểu (MMF); lõi 62.5 micron, 400m bán song công

1ODBASE-EX boc ngoai 125 micron (62.5/125) : hay 200m song công

Cáp sợi đơn kiều (SMF) l 10km

</div>Trang 6<div class="page_container" data-page="6">

Bảng 1.2: Các đặc trưng của Giga-Ethernet, kiểu truyền và khoảng cách [11]

Loại GE Loại cáp Số cặp | Chiều đài cáp

1000BASE-CX Cáp xoắn đôi (STP) 1 | 25m

'1000BASE-T | Cáp EIA/TIA UTP loại 5 [4 | 100m

1000BASE-SX Cap MMF lõi 62.5 micron; 850 nm laser | I 275m

Cap MMF lõi 50 micron; 850 nm laser l 550 m

I000BASE-LXÍLH | Cap MMF lõi 62.5 micron; 1300 nm laser l 550 m

Cap MMF lõi 50 micron; 1300 nm laser l 550 m

Cap MMF lõi 9 micron; 1300 nm laser l 10 km

1000BASE-ZX Cáp SMF lõi 9 micron; 1550 nm laser l | 70 km

Cap SMF lõi 8 micron; 1550 nm laser I 100 km

Với mang campus, ta có thé dùng Gigabit Ethernet dé kết nối các thiết bị riêng lẻ vào switch hay kết nối các switch với nhau.

1.1.2 Các mơ hình mạng LAN

LAN có nhiều mơ hình mạng, có thể kê đến 4 loại: Star, Bus, Token Ring, Mesh.

- Star: là mơ hình mạng hình sao.

Ưu điểm: Thiết lập mạng đơn giản, dễ cấu hình lại mạng (thêm, bớt máy trạm), dễ

kiểm soát và khắc phục sự cố, tận dụng tối đa đường truyền vật lý.

Nhược điểm: Độ dài đường truyền kết nối một trạm với thiết bị trung tâm bị hạn chế.

- Bus: là mơ hình mạng theo trục tuyến tính.

Ưu điểm: Dễ thiết kế, chi phí thấp.

Khuyết điểm: Tính 6n định kém, chỉ một nút mạng hỏng là toàn bộ mạng bị ngừng

hoạt động.

- Token Ring: là mơ hình mạng được bố trí theo dạng xoay vịng khép kín. Mạng

hình vịng sử dụng thẻ bài, tín hiệu truyền kèm thẻ bài và chạy trên vòng theo 1 chiều duy

Ưu điểm: có thể nới rộng, tổng đường dây cần thiết ít hơn so với Bus và Star

Nhược điểm: Nếu bị ngắt ở một nút nào đó thì tồn bộ hệ thống cũng bị ngừng.

- Mesh: là mơ hình mạng nhện, được sử dụng trong các mạng có độ quan trọng cao

</div>Trang 7<div class="page_container" data-page="7">

Hình 1.2: Mơ hình mạng Peer to Peer

- Client - Server: Mơ hình Client - Server cho mạng LAN mơ tả trong hình 1.3 dưới

đây [11]

| ie

Hinh 1.3: M6 hinh Client — Server

1.2. Các mối đe doa bao mật và phương thức tan cơng mạng LAN

Trong q trình vận hành và khai thác mạng LAN, trong mơi trường Internet có rất

nhiều nguy cơ đe dọa bảo mật mạng. Dưới đây liệt kê một số mối de doa điển hình đối với

bảo mật mạng LAN.

1.2.1. Các mỗi de dọa bảo mật mang LAN Mỗi de dọa khơng có cấu trúc

Mi de dọa có cấu trúc Moi de doa từ bên ngoài Mi de doa từ bên trong

1.2.2 Các phương thức tấn công mạng LAN

Phương thức ăn cắp thơng tin bằng bắt gói (Packet Sniffers)

</div>Trang 8<div class="page_container" data-page="8">

Phương thức tan công mật khẩu (Password Attack)

Phương thức tấn công bằng Mail Relay Phương thức tan công lớp ứng dụng

Phương thức tấn công Virus và Trojan Horse 1.3 Các yêu cầu bảo mật chung cho mạng LAN

1.3.1 Yêu cầu bảo mật vé mạng

Bốn giai đoạn của chu trình bảo mật mạng được mơ tả như sau:

¢ - Giai đoạn bảo vệ an ninh mạng:

® - Giai đoạn giám sát mạng:

¢ - Giai đoạn kiểm tra an ninh mang: ® Giai đoạn cải tiến:

1.3.2 Yêu cầu về bảo mật dữ liệu

Trong mạng LAN, người dùng thường xuyên truy cập các cơ sở đữ liệu để làm việc nên dé xảy ra các nguy cơ mat an toàn dữ liệu. Vì vậy, van đề bảo mật dir liệu phải đảm bảo

các yêu cầu sau:

e Yéu cầu về tính san sàng của dữ liệu: Các dữ liệu dùng chung phải luôn trong trạng thái đáp ứng mọi yêu cầu của người dùng mọi lúc, mọi nơi.

e _ Yêu cầu về tính tồn ven dit liệu: Các dit liệu khơng bị chỉnh sửa, thay đổi một cách

bất hợp pháp.

e Yêu cầu về bi mật dit liệu: Các dữ liệu là tài sản quan trọng của đơn vị và cá nhân phải được đảm bảo bí mật, khơng bị phát tán bất hợp pháp.

1.3.3 Yêu cầu về bảo mật người dùng

Người dùng hợp pháp của mạng LAN là người sử dụng các dich vụ nhưng đồng thời cũng là một tác nhân gây ra các rủi ro mạng. Vì vậy, vấn đề bảo mật người dùng phải đảm bảo các yêu cầu sau:

e _ Yêu cầu về tính hợp pháp: Người dùng hợp pháp phải được đảm bảo truy cập mạng

một cách thuận lợi, đáp ứng mọi yêu cầu hợp pháp của người dùng mọi lúc, mọi nơi. e _ Yêu cầu về tính riêng tư: Các thơng tin cá nhân, lịch sử truy cập mạng là các thông

tin riêng tư của người dùng phải được đảm bảo bí mật, khơng bị đánh cắp hoặc phát

tán bất hợp pháp.

Các yêu cầu bảo mật mạng LAN về mạng, về đữ liệu và người dùng đều có tầm quan trọng và phải được xem xét kỹ trong quá trình xây dựng, thiết kế, vận hành và khai thác

</div>Trang 9<div class="page_container" data-page="9">

mạng nội bộ.

1.4 Tình hình triển khai mạng LAN tại Lào và các vấn đề liên quan đến bảo mật mạng LAN trong thực tế.

1.4.1 Tình hình triển khai mạng LAN tại Lào

Ngày nay ở Lào, các tổ chức, doanh nghiệp đều sử dụng, triển khai mạng LAN bên

trong hệ thống của họ. Hệ thống mạng nội bộ giúp gia tăng khả năng trao đổi dữ liệu giữa

các nhân viên, các ban ngành với nhau, làm gia tăng khả năng làm việc và hoạt động một

cách hiệu quả. Tuy nhiên, với nhu cầu trao đổi thông tin, bắt buộc các cơ quan, tổ chức phải kết nói tới mạng Internet. Khi thực hiện kết nối mạng nội bộ của cơ quan, doanh nghiệp, tơ

chức với mạng toản cầu, an tồn và bảo mật thông tin là một van đề cấp bách được đặt ra.

Internet có những kỹ thuật cho phép mọi người truy cập, khai thác và chia sẻ thông tin với

nhau. Nhưng nó cũng là nguy cơ chính dẫn đến thơng tin dé bị hư hỏng hay bị phá hủy hoàn toan.

Việc truyền thông tin qua mạng Internet hiện nay chủ yếu sử dụng giao thức TCP/IP.

TCP/IP cho phép các thông tin từ máy tính này tới máy tính khác phải đi qua một loạt cácmáy tính trung gian hoặc các mạng riêng biệt trước khi nó tới được đích. Chính vì vậy, giao

thức TCP/IP đã tạo cơ hội cho bên thứ ba có thé thực hiện các hành động gây mất an tồn thơng tin trong khi thực hiện việc truyền thông tin trên mạng. Thực tế, số vụ tấn cơng từ bên

ngồi vào các cơ quan, tổ chức, trường học,.. đang ngày một tăng lên với quy mô không 16. Nếu khơng có các giải pháp khắc phục, hậu quả và tôn thất sẽ vô cùng nặng nề.

1.4.2 Vấn đề liên quan đến bảo mật mạng LAN trong thực tế

Trong năm 2022 tính tới thời điểm hiện tại, Lào đã hứng chịu rất nhiều các vụ tấn công mạng nội bộ và để lại rất nhiều hậu quả nặng nề. Chỉ riêng quý 1 năm 2022, đã có gần

100 sự cé tan công mạng nội bộ tại Lào. Đến giữa tháng 9 sỐ lượng các sự cô tấn công mạng nội bộ đã lên đến gần 1000 (số liệu của trung tâm ứng cứu khẩn cấp máy tính Lào). Chỉ tiết thì theo số liệu cho biết có 162 sự cố website lừa đảo, 455 sự cô phát tán mã độc và

307 sự có tan cơng thay đổi giao diện [12, 13]. Nồi bật nhất trong năm 2017 là cuộc tan cơng của mã độc có tên Wannacry. Khi tan cơng Wannacry mã hóa các dữ liệu bên trong mạng nội bộ và người dùng hay các công ty, tơ chức cần phải trả một khoản phí mới có thé lây lại được đữ liệu của họ. Cuộc tấn công quy mô lớn này đã ảnh hưởng đến 74 quốc gia trong đó có Lào. Chỉ vài giờ lây lan, Lào đã có đến hơn 50 doanh nghiệp bị nhiễm loại mã

độc này. Theo Kaspersky thì trên 20 nước có thiệt hại nặng nề nhất do cuộc tấn cơng

Wannacry gây ra.

</div>Trang 10<div class="page_container" data-page="10">

1.5 Kết luận chương 1

Trong chương 1, đề án đã nghiên cứu tổng quan về công nghệ mang LAN và các

nguy cơ đe dọa bảo mật mạng LAN. Từ đó, đề án đã đưa ra và phân tích các yêu cầu bảo

mật cho mạng LAN, cũng như các vấn đề liên quan đến bảo mật mạng LAN trong thực tế.

Trên co sở các nội dung đã trình bay trong chương 1, các giải pháp bảo mật mang

LAN đáp ứng các yêu cầu đề ra sẽ được nghiên cứu trong chương 2.

</div>Trang 11<div class="page_container" data-page="11">

CHƯƠNG 2: NGHIÊN CỨU CÁC GIẢI PHÁP BẢO MẬT MẠNG LAN

2.1 Khái quát các giải pháp

Các giải pháp nhằm đảm bảo yêu cầu bảo mật mạng LAN. Mỗi giải pháp đều có một mục dich riêng và làm tăng kha năng bao mật cho mạng LAN. Đề đạt hiệu quả cao nhất,

trong thực tế cần kết hợp tất cả các giải pháp nhằm giúp cho mạng nội bộ có thể hoạt động an tồn, tránh được các cuộc tan cơng từ bên ngồi hay lây nhiễm bên trong cũng như có thé phát hiện, có các biện pháp xử lý nhanh chóng nhất có thé khi xảy ra sự cố ngồi ý muốn. Ngoài ra các giải pháp bảo mật mạng LAN nhằm đáp ứng các yêu cầu về bảo mật mạng,

bảo mật dữ liệu và bảo mật người dùng.

Trong phạm vi bai, 6 nhóm giải pháp bảo mật mạng LAN được tập trung trình bay

gồm: giải pháp tường lửa, giải pháp dùng hệ thống IDS/IPS, giải pháp với VLAN, giải pháp

dùng VPN, giải pháp phân quyền truy nhập dữ liệu và nhóm các giải pháp phụ trợ khác.

2.2 Giải pháp sử dụng hệ thống tường lửa

2.2.1 Giới thiệu chung

Một trong các giải pháp bảo mật mạng LAN nhằm tránh các cuộc tấn cơng từ bên

ngồi hay ngăn chặn truy cập các trang web từ bên trong là sử dụng tường lửa (Firewall).Hình 2.1 dưới đây mơ tả một mạng LAN có sử dụng tường lửa [3].

2.2.2 Tường lứa Fortinet

Sản phẩm FortiGate của Fortinet là thiết bị tường lửa Unified Thread Management

-hợp nhất các cơ chế ngăn chặn và phòng ngừa các nguy cơ và hiểm họa của mạng các tổ chức, công ty, bao gồm các chức năng:

- Bảo mật kết nối:

+ Stateful Firewall: Ngăn chặn các truy cập trái phép, phân vùng truy cập.

+ IPsec & SSL VPN: Kết nối bảo mật đến những tài nguyên đặc biệt.

</div>Trang 12<div class="page_container" data-page="12">

- Tích hợp bảo mật cho ứng dụng và nội dung số:

+ Intrusion Prevention: Ngăn chặn việc khai thác các lỗ hồng bảo mật; thấu hiéu các

giao thức, kiểm soát tốt hơn các ứng dụng.

+ Antivirus/Antispyware: Ngăn các nội dung độc hại lan truyền trong mạng.

- Bảo mật ứng dụng:

+ Web Filtering: Ngăn cấm truy xuất đến những địa chỉ đáng ngờ, lừa đảo, spam hoặc chứa nội dung độc hại hoặc chứa các nội dung vi phạm chính sách bảo mật của tổ

+ Antispam: lọc và loại bỏ các thư rác.

+ Kiểm soát ứng dụng: ngăn hoặc giới hạn truyền thông của một số ứng dụng phổ biến (IM, P2P...), có khả năng nhận diện 1800 ứng dụng: kiểm soát lưu lượng ứng dụng.

Đặc điểm nổi bật của Firewall cứng Fortinet vượt lên trên các Firewall mềm (các firewall cài đặt theo dạng ứng dụng trên server) là tính ồn định, khả năng xử lý cao, được chun biệt hóa, khơng giới hạn số lượng người dùng và băng thơng lớn. Do đó nó cũng có giá thành khá cao tùy theo cấu hình.

2.2.3 Tach hệ thong, toi wu hóa tường lửa

Dé có thé nâng cao khả năng của firewall ở các doanh nghiệp hay trường học, hệ

thống mạng được chia ra thành 3 khu vực, gồm:

- Internal: Gồm các máy client bên trong nội bộ

- Perimeter: Gồm các máy chủ của nội bộ như máy chủ web, mail, database...

- External: Mạng bên ngoài nội bộ

Lý do phải phân ra 3 khu vực là: nếu xếp chung các máy chủ và client cùng một khu vực, khi xảy ra sự cơ tan cơng từ bên ngồi hay phát tán virus từ bên trong, sự cô sẽ lây sang các máy chủ và làm hỏng cả hệ thống mạng. Firewall Fortinet được đặt ở trung tâm, như một cau nối điều khiển các luồng thông tin cho phép truy cập hay không truy cập.

</div>Trang 13<div class="page_container" data-page="13">

2.3 Giải pháp sử dung hệ thống phát hiện và ngăn chặn xâm nhập mạng IDS/IPS.

2.3.1 Hệ thống phát hiện xâm nhập IDS

Hình 2.2 Các thành phan của hệ thống IDS

Hai thành phần quan trọng nhất cấu tạo nên hệ thống IDS là sensor (bộ cảm nhận) có

chức năng chặn bắt và phân tích lưu lượng trên mạng và các nguồn thông tin khác dé phat

hiện dấu hiệu xâm nhập (signature); signature database là cơ sở dit liệu chứa dấu hiệu của

các tan công đã được phát hiện và phân tích. Cơ chế làm việc của signature database giống như virus database trong các phần mềm antivirus. Do vậy, việc duy trì một hệ thống IDS hiệu quả phải bao gồm việc cập nhật thường xuyên cơ sở đữ liệu này.

2.3.2 Hệ thống phòng chong xâm nhập (IPS)

Hệ thống phòng chống xâm nhập (IPS) là một hệ thống kết hợp các ưu điểm của kỹ thuật tường lửa với hệ thống phát hiện xâm nhập IDS, có khả năng phát hiện các cuộc tấn

công và tự động ngăn chặn các cuộc tan công nhằm vào điểm yếu của hệ thống. Sơ dé hoạt động của hệ thống IPS mô tả trong hình 2.3 [7].