ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ






NGUYỄN MINH TUẤN







BẢO MẬT DỊCH VỤ HỆ THỐNG
MẠNG MÁY TÍNH




Ngành: Kỹ thuật điện tử viễn thông
Chuyên ngành: Kỹ thuật Vô tuyến điện tử và thông tin liên lạc
Mã số: 2.07.00

LUẬN VĂN THẠC SĨ











Hà nội – 2005


ii
Mục lục
Mở đầu 1
Chương 1: Các vấn đề chung về mạng máy tính và bảo mật hệ thống 3
1.1. Căn bản về mạng máy tính: 3
1.1.1. Khái niệm chung:
1.1.1.1. Các thành phần của mạng máy tính: 3
1.1.1.2. Phân loại mạng máy tính: 3
1.1.2. Mạng Internet và bộ giao thức TCP/IP
1.2. Các vấn đề chung về bảo mật hệ thống và mạng 19
1.2.1. Các vấn đề về an ninh mạng: 20
1.2.1.1. Một số khái niệm về bảo mật 20
1.2.1.2. Lịch sử bảo mật mạng và hệ thống: 22
1.2.1.3. Một số hình thức tấn công mạng 23

1.2.1.4. Các mức bảo vệ an toàn mạng 24
1.2.2. Các phương thức mã hoá 25
1.2.2.1. Đặc điểm chung của các phương thức mã hóa: 25
1.2.2.2. Các phương thức mã hóa: 28
Chương 2: Các lỗ hổng và phương thức tấn công Mạng phổ biến 31
2.1. Các lỗ hổng và điểm yếu của mạng 35
2.1.1. Các lỗ hổng 35
2.1.1.1. Phân loại lỗ hổng bảo mật: 35
2.1.1.2. ảnh hưởng của các lỗ hổng bảo mật trên mạng Internet: 41
2.1.1.3. Các biện pháp phát hiện hệ thống bị tấn công: 42
2.1.2. Một số điểm yếu của hệ thống: 44
2.1.2.1. Deamon fingerd: 44
2.1.2.2. File hosts.equiv: 44
2.1.2.3. Thư mục /var/mail 44
2.1.2.4. Chức năng proxy của FTPd: 45
2.1.3. Bảo mật dịch vụ Web: 45
2.1.3.1. Lý do: 45
2.1.3.2. Phương thức hoạt động của dịch vụ Web 45
2.1.3.3. Các vấn đề bảo mật đối với dịch vụ Web 46


iii
2.2. Một số phương thức tấn công mạng phổ biến 51
2.2.1. Scanner 51
2.2.1.1. Khái niệm về Scanner? 51
2.2.1.2. Cơ chế hoạt động của các chương trình Scanner 51
2.2.2. Password Cracker: 53
2.2.3. Trojans 56
2.2.3.1. Khái niệm về Trojan 56
2.2.3.2. Phương thức lây lan của các chương trình trojan: 58

2.2.3.3. ảnh hưởng của các chương trình trojans: 58
2.2.4. Sniffer: 59
2.2.4.1. Khái niệm về sniffer: 59
2.2.4.2. Hoạt động của sniffer: 59
2.2.4.3. Mức độ nguy hại của sniffer 60
2.2.4.4. Một số chương trình sniffer 61
2.2.4.5. Phát hiện hệ thống bị sniffer: 61
2.2.4.6. Các biện pháp hạn chế sniffer 61
Chương 3: Các biện pháp bảo vệ mạng máy tính 55
3.1. Các biện pháp kiểm soát hệ thống 63
3.1.1. Kiểm soát hệ thống qua logfile: 63
3.1.1.1. Hệ thống Logfie trong Unix: 63
3.1.1.2. Một số công cụ hữu ích hỗ trợ phân tích logfile: 67
3.1.1.3. Các công cụ ghi log thường sử dụng trong Windows NT: 68
3.2. Các biện pháp tạo kết nối an toàn 70
3.2.1. Giới thiệu chung: 70
3.2.2. Các hoạt động của giao thức SSL đối với dịch vụ 71
3.2.3. SSL Handshake 72
3.2.4. Quá trình kiểm tra tính xác thực của Server được mô tả như sau: 75
3.2.5. Quá trình kiểm tra tính xác thực ở phía Client: 76
3.3. Xây dựng hệ thống firewalls 78
3.3.1. Giới thiệu chung: 78
3.3.1.1. Định nghĩa: 78


iv
3.3.1.2. Chức năng của firewalls: 78
3.3.1.3. Phân loại: 79
3.3.1.4. Nguyên tắc hoạt động của firewalls: 79
3.3.2. Kiến trúc chung của firewall: 82

3.3.2.1. Kiến trúc của hệ thống có firewall: 82
3.3.2.2. Các thành phần của hệ thống firewalls: 83
3.3.2.3. Các bước cần thiết xây dựng firewall 85
3.3.3. Một số phần mềm firewalls thường sử dụng: 86
3.4. Xây dựng chính sách bảo mật 87
Chương 4: Xây dựng mô hình bảo mật hệ thống mạng máy
tính………………… …94
4.1. Hiện trạng hệ thống mạng máy tính của trường Đại học Quốc gia Hà
nội…… 94
4.2. Những nhược điểm của mạng thông tin Đại học Quốc gia Hà
nội………….… 95
4.3. Quy hoạch lại hệ thống mạng Đại học quốc gia Hà nội…………………… … 96
4.3.1. Mục tiêu quy hoạch…………………………………………………………… 96
4.3.2. Kế hoạch thực hiện quy hoạch lại hệ thống mạng máy tính của ĐHQG HN… 96
4.3.3. Kết quả thực
hiện……………………………………………………………… 97
Kết luận 140
Tài liệu tham khảo 141



v
CÁC HÌNH TRONG KHÓA LUẬN

Hình 1 - So sánh mô hình mạng TCP/IP và mô hình OSI 6
Hình 2 - Khuôn dạng segment trong TCP 7
Hình 3 - Cấu trúc địa chỉ lớp A 8
Hình 4 - Cấu trúc địa chỉ lớp B 8
Hình 5 - Cấu trúc địa chỉ lớp C 8
Hình 6 - Cơ chế hoạt động của sâu Internet 22

Hình 7 - Các hình thức tấn công mạng 24
Hình 8 - Các mức độ bảo vệ mạng 24
Hình 9 - Phương thức mã hóa đối xứng 28
Hình 10 - Phương thức mã hóa phi đối xứng 30
Hình 11 - Mã hóa một chiều 32
Hình 12 - Các loại lỗ hổng bảo mật và mức độ ngưy hiểm 36
Hình 13 - Một phiên làm việc của dịch vụ Web 46
Hình 14 - Hoạt động của các chương trình CGI 47
Hình 15 - Hoạt động của các chương trình bẻ khóa 54
Hình 16 - Các vị trí đặt sniffer trên 1 segment mạng 60
Hình 17 - Ghi logs trong Windows 2000 68
Hình 18 - Công cụ Event View của Windows 2000 69
Hình 19 - Chi tiết 1 thông báo lỗi trong Windows 2000 69
Hình 20 - Cấu hình dịchvụ ghi logs trong Windows 2000 70
Hình 21 - Vị trị của SSL trong mô hình TCP/IP 70
Hình 22 - Quá trình kiểm tra xác thực ở phía Server 75
Hình 23 - Quá trình kiểm tra xác thực của client 78
Hình 24 - Kiến trúc hệ thống mạng không có firewall 83
Hình 25 - Kiến trúc hệ thống cò firewall 83
Hình 26 - Các thành phần của hệ thống firewalls 84


1
MỞ ĐẦU
Sự phát triển của công nghệ thông tin, công nghệ mạng máy tính và đặc biệt là
mạng Internet ngày càng phát triển đa dạng và phong phú. Các dịch vụ trên mạng
Internet đã xâm nhập vào hầu hết các lĩnh vực trong đời sống xã hội. Các thông tin
trao đổi trên Internet cũng đa dạng cả về nội dung và hình thức, trong đó có rất
nhiều thông tin cần bảo mật cao bởi tính kinh tế, tính chính xác và tin cậy của nó.
Bên cạnh đó, những dịch vụ mạng ngày càng có giá trị, yêu cầu phải đảm bảo

tính ổn định và an toàn cao. Tuy nhiên, các hình thức phá hoại mạng cũng trở nên
tinh vi và phức tạp hơn, do đó đối với mỗi hệ thống, nhiệm vụ bảo mật đặt ra cho
ngƣời quản trị là hết sức quan trọng và cần thiết.
Xuất phát từ những thực tế nêu trên, hiện nay trên thế giới đã xuất hiện rất
nhiều công nghệ liên quan đến bảo mật hệ thống và mạng máy tính. Việc nắm bắt
những công nghệ này là hết sức cần thiết vì công tác bảo mật của các hệ thống
mạng Internet Việt Nam nói chung và mạng nội bộ của khách hàng cũng không nằm
ngoài các yêu cầu trên.
Chính vì vậy, Tôi đã lựa chọn đề tài này để tìm hiểu, các vấn đề mà tôi tìm
hiểu và nghiên cứu là nhƣ sau:
 Các vấn đề chung về hệ thống và các dịch vụ cung cấp trên mạng
Internet
 Các điểm yếu và lỗ hổng bảo mật thƣờng có trên một số hệ thống cung
cấp dịch vụ.
 Các phƣơng thức tấn công mạng phổ biến và các biến pháp phòng chống
 Thiết lập các chính sách bảo mật đối với hệ thống.
Tôi biên soạn và cấu trúc tài liệu làm bốn phần, gồm:
Chƣơng 1: Trình bày các vấn đề chung về mạng máy tính và bảo mật hệ
thống.
Chƣơng 2: Trình bày các vấn đề về lỗ hổng bảo mật, điểm yếu của hệ thống và
một số dịch vụ cung cấp;
Chƣơng 3: Trình bày một số giải pháp bảo mật hệ thống và mạng nhƣ: tạo kết
nối bảo mật, firewalls, xây dựng chính sách bảo mật


2
Chƣơng 4: Phần mô tả một số bài thực hành đƣợc làm trong khoá luận này
Bảo mật hệ thống là một vấn đề rộng và mới đối với Việt Nam, tôi nhận đƣợc
sự nhiệt tình hƣớng dẫn của thầy Nguyễn Kim Giao, cùng với những góp ý quý báu
của các anh chị làm việc tại công ty Điện toán và Truyền số liệu (VDC), sự nhiệt

tình trong phần thực hành của các anh chị và các bạn đồng nghiệp tại Viện Công
nghệ Thông tin - Đại học Quốc gia Hà Nội đã góp sức cho tôi hoàn thành khóa luận
này. Tôi tự nhận thấy kinh nghiệm và kỹ thuật còn hạn chế, nội dung chắc chắn sẽ
còn sai sót, hy vọng các đọc giả tham gia đóng góp nhiều ý kiến bổ sung để tôi hoàn
thiện kiến thức của mình hơn nữa.


3
CHƢƠNG 1: CÁC VẤN ĐỀ CHUNG VỀ MẠNG MÁY TÍNH
VÀ BẢO MẬT HỆ THỐNG
1.1. CĂN BẢN VỀ MẠNG MÁY TÍNH:
1.1.1. Khái niệm chung:
1.1.1.1. Các thành phần của mạng máy tính:
 Định nghĩa mạng máy tính:
Mạng máy tính là một tập hợp các máy tính đƣợc nối với nhau bởi các đƣờng
truyền vật lý theo một kiến trúc nào đó. Việc hình thành các mạng máy tính cho
phép nâng cao hiệu quả khai thác tài nguyên chung từ những vị trí địa lý khác nhau.
Hai thành phần cơ bản của mạng máy tính đó là đƣờng truyền vật lý và kiến
trúc mạng
 Đường truyền vật lý:
Đƣờng truyền vật lý dùng để chuyển các tín hiệu điện tử giữa các máy tính.
Các tín hiệu điện tử đó biểu thị các giả trị dữ liệu dƣới dạng các xung nhị phân (on -
off). Tất cả các tín hiệu đƣợc truyền giữa các máy tính đều thuộc một dạng sóng
điện từ (EM) nào đó, trải từ các tần số radio tới sóng cực ngắn (viba) và tia hồng
ngoại. Tuỳ theo tần số của sóng điện từ có thể dùng các đƣờng truyền vật lý khác
nhau để truyền các tín hiệu
 Kiến trúc mạng:
Kiến trúc mạng thể hiện cách nối các máy tính với nhau ra sao và tập hợp các
qui tắc, qui ƣớc mà tất cả các thực thể tham gia truyền thông trên mạng phải tuân
theo để đảm bảo cho mạng hoạt động tốt.

Các cách nối các máy tính đƣợc gọi là hình trạng (topology) của mạng
Các tập hợp qui tắc, qui ƣớc truyền thông đƣợc gọi là giao thức (protocol) của
mạng
1.1.1.2. Phân loại mạng máy tính:
 Phân loại theo khoảng cách địa lý:
Phân loại theo khoảng cách địa lý là cách phổ biến và thông dụng nhât. Theo
cách phân loại này ta có các loại mạng sau:


4
 Mạng cục bộ: Là mạng đƣợc cài đặt trong một phạm vi nhỏ (trong một
toà nhà, một trƣờng học ); khoảng cách tối đa giữa các máy tính chỉ vài
km trở lại
 Mạng đô thị: Là mạng đƣợc cài đạt trong phạm vi một đô thị hoặc một
trung tâm kinh tế - xã hội; khoảng cách tối đa giữa các máy tính khoảng
vài chục km trở lại
 Mạng diện rộng (WAN): Phạm vi của mạng trải rộng trong phạm vi một
quốc gia, hoặc giữa các quốc gia trên toàn thế giới. Mạng Internet ngày
này là một ví dụ điển hình của mạng WAN
 Phân loại theo kiến trúc mạng sử dụng:
Ngoài cách phân loại trên, ngƣời ta còn có thể phân loại mạng theo kiến trúc
mạng (topo mạng và giao thức sử dụng). Theo cách phân loại này, có các loại mạng
nhƣ:
 Mạng SNA của IBM
 Mạng ISO (theo kiến trúc chuẩn quốc tế)
 Mạng TCP/IP
Trong phạm vi của tài liệu này, chúng ta quan tâm đến các vấn đề về bảo mật
mạng Internet và các hệ thống xây dựng dựa trên nền bộ giao thức TCP/IP. Vì vậy,
trong phần sau đây chúng ta sẽ tìm hiểu một số khái niệm thƣờng đƣợc sử dụng trên
mạng Internet và bộ giao thức TCP/IP.

1.1.2. Mạng Internet và bộ giao thức TCP/IP
1.1.2.1. Mạng Internet:
Thuật ngữ "Internet" đƣợc xem nhƣ là một "mạng của các mạng" hay một liên
kết mạng có tính toàn cầu. Công nghệ Internet ra đời cho phép ngƣời sử dụng trên
toàn cầu có thể chia xẻ, trao đổi thông tin với nhau trong nhiều lĩnh vực. Có thể nói
các dịch vụ của mạng Internet có mặt trong hầu khắp các lĩnh vực của cuộc sống
ngày nay.
 Lịch sử phát triển:
Năm 1969, cơ quan nghiên cứu và phát triển tiên tiến thuộc Bộ quốc phòng
Mỹ (Advanced Research Project Agency) đã xây dựng thành công mạng ARPANet,


5
cho phép kết nối 4 trung tâm máy tính trên toàn nƣớc Mỹ, phục vụ mục đích quân
sự. Khởi đầu ARPANet sử dụng bộ giao thức NCP (Network Control Protocol).
Vào giữa những năm 1970, họ giao thức TCP/IP (Transmission Control
Protocol/Internet Protocol) đƣợc Vint Cerf (Đại học Stanford) và Robert Kahn
(BBN) phát triển, ban đầu cùng tồn tại với NCP và đến năm 1983 thì hoàn toàn thay
thế NCP trong mạng ARPANet.
Vào đầu những năm 1980, mạng ARPANet đƣợc tách làm hai phần: phần dân
sự phục vụ mục đích nghiên cứu vần giữ tên là ARPANet và phần quân sự có tên là
mạng MILNET.
Tháng 11/1986, Uỷ ban khoa học quốc gia Mỹ NSF (National Science
Foundation) đã thúc đẩy việc xây dựng một mạng xƣơng sống cho phép kết nối 5
trung tâm máy tính lớn trên toàn liên bang Mỹ. Năm 1987, mạng NSFNet ra đời với
tốc độ đƣờng truyền cao 1.5Mb/s cho phép nối các trung tâm máy tính với nhau.
Việc ra đời mạng xƣơng sống NSFNet và các mạng vùng đã trở thành tiền
thân của mạng Internet ngày nay. Một xa lộ thông tin mới đƣợc hình thành cho phép
kết nối mạng của các trƣờng đại học, các viện nghiên cứu đã tham gia của cộng
đồng Internet. Sau đó, các cơ quan chính phủ, các tổ chức kinh doanh cũng tham gia

vào mạng Internet. Về mặt địa lý Internet nhanh chóng vƣợt ra khỏi nƣớc Mỹ và trở
thành một mạng toàn cầu. Đến nay, theo số liệu thống kê của tập đoàn dữ liệu quốc
tế IDG thì số lƣợng ngƣời sử dụng mạng Internet đã lên đến hơn 150 triệu ngƣời.
Việc phát triển mạnh mẽ mạng Internet gắn liền với việc phát triển bộ giao
thức TCP/IP. Ra đời vào những năm 1970, TCP/IP sau đó đƣợc tích hợp vào môi
trƣờng điều hành Unix (một hệ điều hành mạng của trƣờng đại học California ở
Berkeley). Đến khi xuất hiện máy tính cá nhân (Personal Computer - PC) thì
TCP/IP lại đƣợc chuyển sang máy PC chạy DOS và các trạm làm việc Unix có thể
kết nối với nhau. TCP/IP ngày càng phát triển và hoàn thiện, đến nay giao thức này
đƣợc tích hợp vào trong hầu hết các sản phẩm mạng nhƣ UNIX, WINDOWS NT,
NETWARE


6
 Một số khái niệm thường sử dụng:
Ngoài một số khái niệm chung về mạng máy tính nhƣ đã trình bày ở trên; còn
có một số thuật ngữ thƣờng đƣợc sử dụng liên quan đến mạng Internet đó là:
Site: Là một hệ thống mạng, máy tính và ngƣời dùng, trên đó có thiết lập và
thi hành các quyết định riêng biệt
Host: Là một trạm làm việc trong một site.
Sevicers: Là các dịch vụ cung cấp trên các site; Ví dụ các dịch vụ nhƣ: truyền
file; thƣ điện tử; nhóm tin, web
Client/Server: Là một mô hình xử lý phân tán đối của các services. Trong đó
hoạt động của dịch vụ dựa trên 2 đối tƣợng là các chƣơng trình Server xử lý các yêu
cầu gửi từ Client của một host trên mạng; Sau khi nhận đƣợc đáp ứng từ Server,
Client xử lý thông tin đó để hiển thị cho ngƣời sử dụng.
Administration: Là hoạt động quản trị đối với một site; Ví dụ nhƣ theo dõi,
điều hành, quản lý hoạt động của hệ thống mạng và các dịch vụ; thiết lập các chính
sách cần thiết đối với site đó
1.1.2.2. Căn bản về giao thức TCP/IP

 Kiến trúc phân tầng TCP/IP
Bộ giao thức TCP/IP đƣợc thiết kế theo kiến trúc phân tầng; hình sau minh
hoạ chức năng, vai trò tƣơng ứng với các tầng trong mô hình chuẩn OSI
øng dông
Tr×nh diÔn
TÇng phiªn
TÇng giao vËn
TÇng m¹ng
Liªn kÕt d÷ liÖu
TÇng vËt lý
Transmision Control
Protocol (TCP)
User DataProgram
Protocol (UDP)
ARP Internet Protocol (IP)
Ethernet Token Bus Token Ring FDDI
RIP
ICMP
Telnet FTP SMTP DNS

Hình 1
Hình 1 - So sánh mô hình mạng TCP/IP và mô hình OSI


7
Xét về khía cạnh bảo mật, nhƣợc điểm của bộ giao thức TCP/IP là không hỗ
trợ xây dựng các cơ chế bảo mật; dễ dàng đối với các hoạt động giải mã, nghe trộm,
bắt trƣớc gói tin. Ví dụ: Cấu trúc chung của một gói dữ liệu TCP nhƣ sau:

Hình 2 - Khuôn dạng segment trong TCP

Nhƣ hình cho thấy, toàn bộ phần header là đƣợc định dạng chuẩn nền dữ liệu
ở phần này có thể làm giả, hoặc dễ dò tìm các thông tin, giải mã
Mặt khác, hoạt động của các dịch vụ trong tầng ứng dụng dựa vào định danh
các cổng dịch vụ trên hệ thống đó. Có hai loại cổng:
 Số cổng nguồn: Có giá trị tuỳ ý;
 Số cổng đích: Có một số loại dịch vụ sử dụng các giá trị mặc định (well-
know); dẫn đến nguy cơ dễ bị xâm nhập và phá hoại dựa vào các loại
dịch vụ dùng các cổng mặc định.
Nếu trên hệ thống, để hạn chế phá hoại có thể thiết lập chính sách nhƣ đóng
cổng dịch vụ; tuy nhiên điều này dẫn đến hạn chế là từ chối cung cấp dịch vụ đó.
Trong phần hai sẽ trình bày cụ thể hơn các điểm yếu trong các loại dịch vụ và từ đó
thiết lập các biện pháp và xây dựng chính sách bảo mật hợp lý đối với mỗi hệ thống.
 Network, địa chỉ IP, subnets và hostname:
Các máy tính trên mạng đƣợc phân biệt với nhau bằng địa chỉ, qua đó các gói
tin mới có thể chuyển giao tới đúng đích cần tới. Hệ thống địa chỉ này đƣợc quản lý
bởi giao thức mạng IP (Internet Protocol). Mỗi máy tính có một địa chỉ IP của riêng
nó.
16-bit source port number
16-bit destination port number
32-bit sequence number
32-bit acknowledgment number
4-bit header
length
reversed
(6-bit)
U A P R S F
R C S S Y I
G K H T N N

16-bit window size

16-bit TCP checksum
16-bit urgent pointer
options (nếu có)
data (nếu có)



8
Một địa chỉ IP có chiều dài 32 bits. Cấu trúc một địa chỉ IP đƣợc chia làm hai
phần: Phần network và phần host. Phần network định danh mạng chứa host. Phần
host định danh host trong mạng đó. Để đảm bảo không có sự nhầm lẫn địa chỉ trên
mạng các nhà khoa học đã thành lập một tổ chức có trách nhiệm phân phối và quản
lý địa chỉ trên mạng.
Các địa chỉ IP đƣợc chia thành 5 lớp A, B, C, D, E. Trong đó chỉ có 3 lớp A,
B, C đƣợc sử dụng thực tế để đánh địa chỉ cho host, còn lớp D dùng cho multicast
address, lớp E dành để dự trữ.
Địa chỉ IP có thể viết ở dạng cơ số 10, phân tách bởi các dấu chấm (Ví dụ:
192.139.5.12) hoặc viết ở dạng hệ 16 (0xC08BEA66). Cấu trúc của các lớp địa chỉ
này nhƣ sau:
Địa chỉ lớp A:



Hình 3 - Cấu trúc địa chỉ lớp A

Lớp A dùng 8 bit đánh địa chỉ mạng và 24 bit đánh địa chỉ cho host. Bit đầu
tiên là 0 do đó địa chỉ mạng của lớp A từ 1-127.




Địa chỉ lớp B:




Hình 4 - Cấu trúc địa chỉ lớp B
Lớp B dùng 16 bit đánh địa chỉ mạng và 16 bit đánh địa chỉ host. Bit đầu tiên
bằng 1, bit thứ 2 bằng 0, do đó địa chỉ mạng của lớp B từ 128 -191.
Địa chỉ lớp C:



Hình 5 - Cấu trúc địa chỉ lớp C
Lớp C dùng 24 bit cho địa chỉ mạng và 8 bit cho địa chỉ host. Hai bit đầu bằng
1 bit thứ 3 bằng 0, do đó lớp C có địa chỉ mạng từ 192 - 223.
1 9 17 25 31
0
netid
hostid
1 9 17 25 31
10
netid
hostid
1 9 17 25 31
1 1 0
netid
hostid


9

Địa chỉ lớp D:

Lớp D là lớp địa chỉ dùng cho multicast có địa chỉ mạng từ 224 - 255.
Một số địa chỉ đặc biệt:
0.0.0.0 Địa chỉ cho tất cả các host
x.x.x.0 Địa chỉ xác định mạng x.x.x
x.x.x.255 Chỉ tất cả các host có trong mạng x.x.x
255.255.255.255 Địa chỉ broadcast cho tất cả các host trên mạng

Tất cả các địa chỉ trên đều không đƣợc sử dụng để đánh địa chỉ cho host.
Subnet
Trong thực tế, để dễ dàng cho hoạt động quản lý các trạm trong mạng, thƣờng
phân mảnh các mạng lớn trong các lớp mạng (A, B, C) thành các mạng nhỏ hơn.
Các mạng nhỏ này gọi là các subnet. Quá trình này đƣợc thực hiện bằng cách lấy
một số bit ở phần định danh host để sử dụng cho việc đánh địa chỉ mạng. Tuỳ theo
cách sử dụng của ngƣời quản trị mạng ( số subnet và số host trên mỗi subnet) mà số
lƣợng bit lấy ở phần hostid nhiều hay it.
Để tách biệt giữa địa chỉ mạng và địa chỉ host ngƣời ta dùng netmask. Để tách
biệt giữa subnet address và địa chỉ host ngƣời ta dùng subnet mask.
Một số ví dụ về địa chỉ mạng cách dùng netmask và subnet mask








Khi thực hiện subnet một mạng trong một lớp mạng thì số lƣợng subnet sẽ
quyết định số bit đƣợc lấy từ phần host để phục vụ cho subnet. Ví dụ bạn muốn chia

1 mạng thành các mạng con gồm 32 subnet (thực tế chỉ dùng 30 subnet trên mỗi địa
chỉ mạng, subnet đầu là subnet zero, subnet cuối là subnet broadcast ) của một mạng
ở lớp B; bạn cần 5 bit (25=32) cho subnet, còn lại 11 bit cho host trên mỗi subnet
(khoảng 2046 host trên mỗi subnet).
11111111. 11111111.11111000.00000000, do đó subetmask là: 255.255.248.0.
Hostname: Việc nhớ địa chỉ IP định danh mỗi host trở nên khó khăn khi số
lƣợng các host trên mạng lớn. Khái niệm hostname sẽ giải quyết vấn đề này.
Lớp
Host address
Netmask
C
192.182.86.5
255.255.255.0
B
176.189.85.9
255.255.0.0
A
26.78.125.95
255.0.0.0


10
Hostname là tên mà ngƣời quản trị đặt cho một thiết bị mạng (có thể là router hoặc
máy tính ) để dễ quản lý về mặt hành chính. Mỗi thiết bị trên mạng thƣờng có một
hostname và địa chỉ IP tƣơng ứng. Trên mạng, một host chỉ đƣợc xác thực bằng địa
chỉ IP của nó. Do đó để host có thể hoạt động đƣợc trên mạng thì hostname phải
đƣợc chuyển đổi sang địa chỉ IP tƣơng ứng với nó. Để thực hiện đƣợc việc chuyển
đổi này ngƣời ta có thể dùng các cơ chế tạo bảng hostname table hoặc Domain
Name Service (DNS) cho phép lƣu các ánh xạ từ địa chỉ IP sang hostname tƣơng
ứng và ngƣợc lại.

 Một số dịch vụ của giao thức TCP/IP:
Các dịch vụ này nằm ở tầng ứng dụng trong bộ giao thức TCP/IP. Cùng với
phát triển của Internet các ứng dụng ngày càng đa dạng và hoàn thiện hơn. Mỗi dịch
vụ có một giao thức riêng; Sau đây sẽ giới thiệu hoạt động của các dịch vụ này:
Telnet:
Telnet là dịch vụ cho phép thâm nhập (login) từ xa vào các máy tính, sử dụng
giao thức cùng tên là TELNET. Giao thức Telnet sử dụng kết nối TCP giữa Client
và Server. Khi truy nhập từ xa vào các hệ thống, ngƣời dùng không những có thể
truy nhập các tài nguyên về đĩa và các tệp mà còn tận dụng đƣợc tài nguyên bộ nhớ
và khả năng của bộ vi xử lý trên hệ thống ở xa đó. Telnet là một ứng dụng chuẩn mà
hầu hết các phiên bản TCP/IP đều hỗ trợ.
Dịch vụ truyền file (File Transfer Protocol)
FTP là dịch vụ cho phép truyền các file giữa các máy đƣợc nối với Internet với
nhau. Dùng dịch vụ này ta có thể truy cập tới hệ thống file ở một máy từ xa và sau
đó tải các tệp từ trạm làm việc ở xa đó vào máy tính của mình (download) hoặc
chuyển các file từ máy tính của mình vào máy tính trên mạng (upload). Dịch vụ này
sử dụng giao thức cùng tên là FTP để thực hiện việc truyền tệp. Giao thức FTP có
thể hỗ trợ tất cả các kiểu tệp (văn bản ASCII, nhị phân, các tệp ở các hệ điều hành
khác nhau ). FTP là một dịch vụ đã từng đƣợc sử dụng rất nhiều tuy nhiên nó có
nhƣợc điểm chính là ngƣời dùng không phải lúc nào cũng biết đƣợc toàn bộ danh
sách các tệp có thể sao chép và quá trình truy nhập các thƣ mục để tìm tệp thƣờng
chậm.
Dịch vụ thƣ tín điện tử (E-mail)


11
Thƣ điện tử (E-mail) là dịch vụ đƣợc sử dụng rộng rãi và lâu đời nhất trên
Internet. E-mail giúp ta trao đổi thông tin một cách dễ dàng, nhanh chóng và thuận
tiện với nhiều ngƣời trên mạng. E-mail có ƣu điểm là nó dùng phần mềm tƣơng đối
đơn giản, dễ sử dụng, so với các dịch vụ thông tin khác nó là dịch vụ yêu cầu mạng

có giải thông, phần cứng, phần mềm ít nhất. Giao thức sử dụng trong dịch vụ E-
Mail là giao thức truyền thƣ đơn giản (SMTP - Simple mail tranfer protocol). Một
số chƣơng trình truyền thƣ đơn giản rất phổ biến trên UNIX là Sendmail; trên
Windows là exchange Server. Theo giao thức này, việc trao đổi thƣ đƣợc thực hiện
bởi các trạm truyền thƣ (MTA - Message Tranfer Agent), ngƣời gửi không trực tiếp
truyền thƣ đến ngƣời nhận, mà thƣ đƣợc lƣu truyển qua các MTA trung gian, do đó
cơ chế hoạt động của E-mail đƣợc gọi là lƣu và truyển tiếp. Ngƣời sử dụng nhận thƣ
qua giao thức POP 3 (Post office Protocol Version 3) hoặc IMAP. Hiện nay các
trình duyệt Web nhƣ IE và Netscape hỗ trợ các thành phần đóng vai trò POP3
Client (Netscape Messaging và Internet Mail).
Dịch vụ thông tin World Wide Web
Dịch vụ thông tin World Wide Web (WWW - gọi tắt là dịch vụ Web) là dịch
vụ thông tin mới nhất và có tốc độ phát triển mạnh nhất. Điểm mạnh của Web là
giao diện thân thiện với ngƣời sử dụng, khả năng tích hợp với các dịch vụ thông tin
khác nhƣ FTP, E-mail, Gopher
Ngoài các dòng văn bản, dịch vụ Web còn hỗ trợ cả các thông tin dƣới dạng
đa phƣơng tiện (multimedia), đồ họa, hình ảnh, âm thanh. Trên mỗi một trang Web
có thể tạo kết nối từ bất cứ điểm nào của tài liệu hiện thời tới một tài liệu khác trong
mạng. Dịch vụ Web sử dụng giao thức truyền siêu văn bản (Hypertext Tranfer
Protocol), giao thức này đƣợc đánh giá là một giao thức đơn giản và hiệu quả nhất
trong các giao thức ở tầng ứng dụng. Chi tiết hoạt đông của dịch vụ Web và các vấn
đề bảo mật liên quan đƣợc trình bày trong phần 2 - Bảo mật dịch vụ Web.
1.1.2.3. Xem xét một số file cấu hình mạng trong UNIX:
Có một số lƣợng lớn các file trên hệ thống UNIX liên quan đến cấu hình và
hoạt động của giao thức TCP/IP, ngƣời quản trị hệ thống cần nắm đƣợc ý nghĩa và
cách thức cấu hình của các file hệ thống này. Hiểu phƣơng thức làm việc và các cấu
hình tƣơng ứng sẽ giúp chúng ta nắm đƣợc cơ chế hoạt động và các vấn đề về bảo


12

mật của dịch vụ này cụ thể và sâu sắc hơn. Sau đây sẽ trình bày cụ thể các hoạt
động của các files, các tiện ích và các deamon liên quan đến cấu hình hệ thống
mạng trên UNIX.
 Một số file liên quan đến cấu hình mạng và dịch vụ
File /etc/hosts
File này chứa tên hostname tƣơng ứng với địa chỉ IP của nó, dùng cho việc
chuyển đổi IP address. Khi bạn dùng hosname, TCP/IP sẽ rà soát file /etc/hosts để
tìm địa chỉ IP của host (giả sử bạn không dùng dịch vụ DNS).
Cấu trúc nội dung của file /etc/hosts nhƣ sau:
Address official name alias
địa chỉ
domain name
Tên host

Ví dụ: Nội dung file /etc/host
# IP address domain alias
127.0.0.1 localhost gateway.widgets.ca
142.77.252.1 nb.ottawa.uunet.ca
198.73.137.1 gateway.widgets.ca ppp1
198.73.137.2 newton.widgets.ca newton
198.73.137.50 gateway.widgets.ca net2

Dấu "#" chỉ dòng ghi chú.
File /etc/ethers
Sau khi biết đƣợc địa chỉ IP, giao thức TCP/IP sẽ phải chuyển đổi địa chỉ này
sang địa chỉ ethernet (đia chỉ vật lý của card mạng - MAC address) để các host có
thể nói chuyện đƣợc với nhau trong mạng local. Việc chuyển đổi này có thể đƣợc
thực hiện bằng giao thức ARP hoặc tạo bảng địa chỉ ethernet trong file /etc/ethers
#ethernet address hostname
08:00:20:86:48:cf laidac

08:00:20:85:65:f9 anht
00:60:b0:a4:9d:42 salai
00:e0:14:a3:41:a0 dong
00:d0:c9:05:26:69 reint
00:c0:49:03:26:64 goedi


13
00:80:2d:09:90:92 lancudo

File /etc/networks
Liệt kê các địa chỉ IP và tên các mạng trên internet
#network name ip address
hanoi-cs7513.vnn.vn 142.77.252.1
apnvn2 198.73.137.1
hanoi-term2.vnn.vn 198.73.137.2
hn-term18.vnn.vn 198.73.137.50

File /etc/protocols
File này chứa một bảng danh sách các giao thức hay đƣợc sử dụng (của
DARPA). File này cung cấp các thông tin về tên protocol, số protocol, và các bí
danh cho các protocol này.
Nó có dạng nhƣ sau:
ip 0 IP # internet protocol, pseudo protocol number
icmp 1 ICMP # internet control message protocol
ggp 3 GGP # gateway-gateway protocol
tcp 6 TCP # transmission control protocol
egp 8 EGP # exterior gateway protocol
pup 12 PUP # PARC universal packet protocol
udp 17 UDP # user datagram protocol

hmp 20 HMP # host monitoring protocol
xns-idp 22 XNS-IDP # Xerox NS IDP
rdp 27 RDP # "reliable datagram" protocol

File /etc/services
File này chứa một bảng danh sách liệt kê các dịch vụ mà host có thể chạy. Mỗi
dịch vụ gồm có: tên dịch vụ, số port, tên giao thức, bí danh.
smtp 25/tcp mail
time 37/tcp timserver
time 37/udp timserver
name 42/udp nameserver
whois 43/tcp nicname # usually to sri-nic
domain 53/udp


14
domain 53/tcp
bootps 67/udp # BOOTP/DHCP server
bootpc 68/udp # BOOTP/DHCP client
hostnames 101/tcp hostname # usually to sri-nic
pop2 109/tcp pop-2 # Post Office Protocol - V2

File /etc/inetd.conf
File này đƣợc sử dụng để cung cấp các thông tin cho lệnh inetd. Inetd nghe
trên port TCP và bật các tiến trình cần thiết khi kết nối yêu cầu trên port đó. Nó tiết
kiệm tài nguyên của hệ thống bằng cách chỉ bật các deamon khi chúng đƣợc gọi
đến.
# <service_name> tli <proto> <flags> <user> <server_pathname> <args>
#
# Ftp and telnet are standard Internet services.

#
ftp stream tcp nowait root /usr/sbin/in.ftpd in.ftpd
telnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd
#
# Tnamed serves the obsolete IEN-116 name server protocol.
#
name dgram udp wait root /usr/sbin/in.tnamed in.tnamed
#
# Shell, login, exec, comsat and talk are BSD protocols.
#
shell stream tcp nowait root /usr/sbin/in.rshd in.rshd
login stream tcp nowait root /usr/sbin/in.rlogind in.rlogind
exec stream tcp nowait root /usr/sbin/in.rexecd in.rexecd
comsat dgram udp wait root /usr/sbin/in.comsat in.comsat
talk dgram udp wait root /usr/sbin/in.talkd in.talkd
#
# Must run as root (to read /etc/shadow); "-n" turns off logging in utmp/wtmp.
#
 Một số file liên quan đến hoạt động truy nhập vào hệ thống
Hai file có tác động rất lớn tới vấn đề kiểm soát truy nhập của hệ thống từ xa
đó là: etc/hosts.equiv và .rhosts.
File /etc/hosts.equiv


15
File này chứa một danh sách các host tin cậy. Các file này đƣợc sử dụng bởi
các lệnh (r*) nhƣ: rlogin, rcp, rcmd, rsh.
Nội dung của file có dạng sau:
localhost
gateway.widgets.ca

gateway.widgets.ca
nb.ottawa.uunet.ca
gateway.widgets.ca
newton.widgets.ca
gateway.widgets.ca

File .rhosts
Tệp .rhost file đƣợc dùng trong thƣ mục home của user. Nó có ý nghĩa giống
nhƣ file /etc/hosts.equiv. Nội dung của hai file cũng giống nhau. File
/etc/hosts.equiv cung cấp sự ngang hàng giữa các host còn file .rhosts thì cung cấp
sự ngang hàng giữa các user.
Sự ngang hàng ở đây có nghĩa là tất cả các user trên các host có tên trong file
/etc/hosts.equiv (gọi là các trusted host) đều có quyền truy cập vào máy ngang hàng
nhƣ các account của chính máy đó.
Chú ý: file /etc/hosts.equiv không đƣợc sử dụng cho user root. Khi đó chỉ có
file .rhosts đƣợc xử lý.
Ví dụ:
Ta có 2 máy: host =wabbit; user =chare và host=oreo; user=chare. Nếu user
chare đang login vào máy wabbit và dùng lệnh:
$rlogin oreo
(giả sử wabbit là trusted host của oreo). Khi đó user chare sẽ login vào oreo
mà không bị hỏi password.
Trong file .rhosts có thêm trƣờng user name cho phép user có thể login với bất
cứ một user name nào có trong file /etc/passwd.


16
User equivalence là một cơ chế qua đó một user có thể đƣợc biết trên tất cả
các máy trên mạng. Nó giúp cho ngƣời quản trị mạng một cách dễ dàng hơn, đồng
thời nó cũng rất cần thiết khi dùng hệ thống NFS.

Để config user equivalence. User tạo một file .rhosts trong thƣ mục home. File
này chỉ cho phép ngƣời chủ file có quyền ghi. File này chứa tên các hệ thống theo
dòng và chứa user đƣợc equivalence.
 Xem xét một số daemon liên quan đến TCP/IP
Deamon SNMP (SNMPD)
Deamon SNMPD đƣợc cài đặt bởi giao thức quản lý internet ICMP. Giao thức
này có khả năng nhận thông tin từ SNMP agent trên các hệ thống khác, rất nhiều hệ
thống không chứa phần mềm quản lý SNMP.
Deamon RARP (rarpd)
Deamon rarpd đƣợc cài đặt để đáp ứng giao thức chuyển đổi địa chỉ RARP.
Các hệ thống khác sử dụng RARP khi khởi động để tìm ra địa chỉ IP từ địa chỉ
Ethernet. Máy tính khi khởi động sẽ gửi địa chỉ Ethernet của nó trong bản tin
RARP. Hệ thống chạy rarpd muốn trả lời đƣợc bản tin này thì cần phải có tên và địa
chỉ IP của host gửi trong file /etc/hosts và bảng map tên - địa chỉ ethernet trong file
/etc/ethers.
Deamon bootp (bootpd)
Deamon này đƣợc cài trên server chạy giao thức Internet boot protocol. Nó
đƣợc kích hoạt bởi tiến trình inetd khi nhận đƣợc yêu cầu boot. Internet boot server
đƣợc thiết kế để cung cấp thông tin cho client. Nó chỉ có chức năng lƣu trữ và cung
cấp thông tin chứ không có chức năng hạn chế các client (nhƣ địa chỉ client,
netmassk, broadcast address, domain server address, router address, etc).
Demon route (routed)
Deamon routed đƣợc gọi đến khi máy khởi động để quản lý bảng routing
table. Routed sử dụng giao thức thông tin tuyến Xerox NS để quản lý và cập nhật
thông tin vào bảng routing table. Lúc hoạt động bình thƣờng deamon routed nghe
trên UDP socket 520 để lấy các thông tin định tuyến. Nếu host là một router trên
mạng internet thì nó sẽ copy theo chu kỳ toàn bộ bảng routing table của nó cho tất
cả các host kết nối trực tiếp với nó trên mạng.



17
Lệnh netstat đƣợc sử dụng để in ra bảng routing table của host trên màn hình.
Hầu hết các hệ thống đều có khả năng quản lý cả dynamic và static route.
Dynamic route đƣợc quản lý bởi deamon routed. Khi có tuyến thay đổi, deamon
routed sẽ cập nhật vào bảng routing table và thông báo cho các host khác nếu cần
thiết. Static route đƣợc tạo bằng tay bởi các nhà quản trị mạng bằng cách dùng lệnh
route và thƣờng không đƣợc quản lý bởi routed.
Deamon Domain Name Service (named)
Named chạy trên Internet Domain Name server, và nó là cơ chế thứ 2 cho
phép chuyển đổi giữa hostname và địa chỉ IP. Deamon này có thể chạy theo nhiều
kiểu: primary, secondary, caching, và slave tuỳ thuộc vào yêu cầu của ngƣời quản
trị mạng. Nếu không dùng file /etc/hosts thì phải config dịch vụ domain name
(DNS), và hệ thống đòi hỏi DNS cung cấp địa chỉ IP cho hostname. Nếu local DNS
không biết địa chỉ IP của host thì các máy chủ tên miền khác sẽ đƣợc hỏi tới cho tới
khi nhận đƣợc địa chỉ IP tƣơng ứng.
Deamon System Logger (syslogd)
Deamon này có nhiệm vụ ghi log lại các bản tin về sự thay đổi hệ thống dƣới
dạng file /etc/syslog.conf. Mỗi bản tin đƣợc ghi lại theo từng dòng trong file.
Deamon syslog nhận các thông tin gửi tới nó và ghi lại trong các log file của nó.
 Một số tiện ích của TCP/IP
Các tiện ích này đƣợc sử dụng để quản trị mạng TCP/IP. Mục này sẽ đề cập
tới một số lệnh đƣợc sử dụng để quản trị các dịch vụ TCP/IP trên hệ thống. Các
lệnh này có thể đƣợc chạy bởi user thông thƣờng hoặc super-user.
Lệnh Ping
Khi dùng lệnh ping nó sẽ gửi một gói tin ICMP từ host này tới host khác. Đầu
tiên nó gửi một gói tin ICMP echo-request đi và chờ nhận gói tin ICMP echo- reply
từ host đích trả về.
Ví dụ sau minh hoạ cách dùng lệnh ping.
# ping -s 203.162.0.88
PING 203.162.0.88: 56 data bytes

64 bytes from test.vnn.vn (203.162.0.88): icmp_seq=0. time=1. ms
64 bytes from test.vnn.vn (203.162.0.88): icmp_seq=1. time=0. ms


18
64 bytes from test.vnn.vn (203.162.0.88): icmp_seq=2. time=0. ms
64 bytes from test.vnn.vn (203.162.0.88): icmp_seq=3. time=0. ms
64 bytes from test.vnn.vn (203.162.0.88): icmp_seq=4. time=0. ms
64 bytes from test.vnn.vn (203.162.0.88): icmp_seq=5. time=0. ms
64 bytes from test.vnn.vn (203.162.0.88): icmp_seq=6. time=0. ms
64 bytes from test.vnn.vn (203.162.0.88): icmp_seq=7. time=0. ms
^C
203.162.0.88 PING Statistics
8 packets transmitted, 8 packets received, 0% packet loss
round-trip (ms) min/avg/max = 0/0/1
Lệnh ping thƣờng đƣợc dùng để kiểm tra hoạt động của mạng, (reachability
mạng). Không nên dùng các script viết cho lệnh ping để kiểm tra mạng vì nó sẽ làm
tăng lƣu lƣợng tải của mạng.
Lệnh finger
Theo mặc định lệnh finger liệt kê tất cả danh sách các tên login, full name, tên
terminal, trạng thái, idle time, login time, office location, phone number cho mỗi
user hiện đang login vào mạng.
Cũng có thể dùng lệnh finger để liệt kê theo từng account. Nó sẽ cho biết thƣ
mục home của user, login shell, user đã làm gi (file .plan) và làm với những thƣ
mục nào (.project):
# finger
Login Name TTY Idle When Where
root Super-User pts/1 Tue 12:23 203.162.0.85
root Super-User pts/2 10 Tue 12:39 pcomm.sg.asep.net


Lệnh netstat
Lệnh netstat dùng để xem thông tin cấu hình mạng: Bảng routing table, các
kết nối hiện tại , etc.
# netstat -rn
Routing Table:
Destination Gateway Flags Ref Use Interface

203.162.0.0 203.162.0.98 U 3 75 iprb0
224.0.0.0 203.162.0.98 U 3 0 iprb0


19
default 203.162.0.250 UG 0 63
127.0.0.1 127.0.0.1 UH 0 774 lo0
#
Lệnh traceroute:
Lệnh này dùng để tìm ra các tuyến mà packet phải đi qua để tới đƣợc host
đích. Lệnh này hoạt động dựa trên một trƣờng time-to-live(TTL). Khi đó mỗi
gateway trên tuyến trả lại gói tin ICMP TIME_EXCEEDED.
#traceroute 203.162.12.91
traceroute to 203.162.12.91 (203.162.12.91), 30 hops max, 40 byte packets
1 hanoi-cs7513.vnn.vn (203.162.0.250) 1.465 ms 1.400 ms 0.915 ms
2 202.167.113.70 (202.167.113.70) 5.966 ms 5.919 ms 5.831 ms
3 203.162.12.91 (203.162.12.91) 7.617 ms 6.754 ms 8.422 ms
#
Lệnh arp
Lệnh này hiển thị và sửa đổi bảng chuyển đổi giữa địa chỉ IP và địa chỉ
Ethernet, đƣợc quản lý bởi giao thức ARP.
Ví dụ:
# arp -a

Net to Media Table
Device IP Address Mask Flags Phys Addr

iprb0 gateway.widgets.ca 255.255.255.255 00:00:e2:1f:b1:c7
iprb0 gateway.widgets.ca 255.255.255.255 08:00:20:85:65:f9
iprb0 nb.ottawa.uunet.ca 255.255.255.255 00:60:b0:a4:9d:42
iprb0 gateway.widgets.ca 255.255.255.255 00:e0:14:a3:41:a0
iprb0 newton.widgets.ca 255.255.255.255 00:d0:c9:05:26:69
iprb0 gateway.widgets.ca 255.255.255.255 00:c0:49:03:26:64
1.2. CÁC VẤN ĐỀ CHUNG VỀ BẢO MẬT HỆ THỐNG VÀ
MẠNG
Do đặc điểm của một hệ thống mạng là nhiều ngƣời sử dụng và phân tán về
mặt địa lý nên việc bảo vệ các tài nguyên (mất mát, hoặc sử dụng không hợp lệ)
trong môi trƣờng mạng phức tạp hơn nhiều so với môi trƣờng một máy tính đơn lẻ,
hoặc một ngƣời sử dụng


20
Hoạt động của ngƣời quản trị hệ thống mạng phải đảm bảo các thông tin trên
mạng là tin cậy và sử dụng đúng mục đích, đối tƣợng. Đồng thời đảm bảo mạng
hoạt động ổn định, không bị tấn công bởi những kẻ phá hoại.
Có một thực tế là không một hệ thống mạng nào đảm bảo là an toàn tuyệt đối,
hệ thống bảo vệ chắc chắn đến đâu đi nữa rồi cũng có lúc bị vô hiệu hoá bởi những
kẻ phá hoại.
Phần sau đây sẽ trình bày một số khái niệm liên quan đến bảo mật hệ thống
mạng Internet mà ngƣời quản trị cần quan tâm và giải quyết.
1.2.1. Các vấn đề về an ninh mạng:
1.2.1.1. Một số khái niệm về bảo mật
Trƣớc khi tìm hiểu các vấn đề liên quan đến phƣơng thức phá hoại và các biện
pháp bảo vệ cũng nhƣ thiết lập các chính sách về bảo mật, phần sau đây sẽ trình bày

một số khái niệm liên quan đến bảo mật thông tin trên mạng Internet.
 Đối tượng tấn công mạng (Intruder):
Là những cá nhân hoặc các tổ chức sử dụng các kiến thức về mạng và các
công cụ phá hoại (phần mềm hoặc phần cứng) để dò tìm các điểm yếu, lỗ hổng bảo
mật trên hệ thống, thực hiện các hoạt động xâm nhập và chiếm đoạt tài nguyên
mạng trái phép.

Một số đối tƣợng tấn công mạng là:
Hacker: Là những kẻ xâm nhập vào mạng trái phép bằng cách sử dụng các
công cụ phá mật khẩu hoặc khai thác các điểm yếu của các thành phần truy nhập
trên hệ thống.
Masquerader: Là những kẻ giả mạo thông tin trên mạng. Một số hình thức giả
mạo nhƣ giả mạo địa chỉ IP, tên miền, định danh ngƣời dùng
Eavesdropping: Là những đối tƣợng nghe trộm thông tin trên mạng, sử dụng
các công cụ sniffer; sau đó dùng các công cụ phân tích và debug để lấy đƣợc các
thông tin có giá trị