ĐẠI HỌC ĐÀ NẴNG
TRƢỜNG ĐẠI HỌC SƢ PHẠM
KHOA TIN HỌC


KHÓA LUẬN TỐT NGHIỆP
CHUYÊN NGÀNH: CỬ NHÂN CÔNG NGHỆ THÔNG TIN
ĐỀ TÀI:
GIẢI PHÁP AN NINH MẠNG DÙNG FIREWALL ASA

Giáo viên hƣớng dẫn : PGS. TS. LÊ VĂN SƠN
Sinh viên thực hiện : NGUYỄN ĐỨC TRÍ
Lớp
: 09CNTT03

Đà Nẵng, tháng 5 năm 2013


LỜI CẢM ƠN
Để hồn thành khóa luận này, em xin tỏ lòng biết ơn sâu sắc đến thầy PGS.
TS. Lê Văn Sơn, người đã tận tình hướng dẫn em trong suốt q trình viết khóa
luận tốt nghiệp.
Em chân thành cảm ơn quý thầy, cô trong khoa Tin học, Trường Đại Học Sư
Phạm Đà Nẵng đã tận tình truyền đạt kiến thức trong 4 năm học tập. Với vốn kiến
thức được tiếp thu trong q trình học khơng chỉ là nền tảng cho q trình nghiên
cứu khóa luận mà cịn là hành trang quý báu để em bước vào đời một cách vững
chắc và tự tin.
Cuối cùng em kính chúc quý thầy, cô dồi dào sức khỏe và thành công trong sự
nghiệp cao quý.
Xin trân trọng cảm ơn!
Sinh viên ký tên

LỜI CAM ĐOAN
Em xin cam đoan:
1. Những nội dung trong báo cáo này là do em thực hiện dưới sự hướng dẫn trực
tiếp của PGS. TS. Lê Văn Sơn.
2. Mọi tham khảo dùng trong báo cáo này đều được trích dẫn rõ ràng tên tác giả,
tên cơng trình, thời gian, địa điểm công bố.
3. Mọi sao chép không hợp lệ, vi phạm quy chế đào tạo, hay gian trá, em xin
chịu hoàn toàn trách nhiệm.
Sinh viên ký tên


MỤC LỤC
DANH MỤC HÌNH VẼ ................................................................................................... 7
DANH MỤC BẢNG ........................................................................................................ 9
DANH MỤC THUẬT NGỮ VÀ TỪ VIẾT TẮT ......................................................... 10
LỜI MỞ ĐẦU ................................................................................................................ 12
Chương 1. TỔNG QUAN VỀ AN NINH MẠNG ......................................................... 16
1.1

Mục tiêu an ninh mạng .................................................................................... 16

1.2

Các phương thức tấn công ............................................................................... 16

1.2.1 Virus ............................................................................................................ 16
1.2.2 Worm ........................................................................................................... 17
1.2.3 Trojan ........................................................................................................... 17

1.2.4 Backdoor ...................................................................................................... 17
1.2.5 Denial-of-Service ......................................................................................... 17
1.2.6 Distributed Denial-of-Service...................................................................... 18
1.2.7 Spyware ....................................................................................................... 18
1.2.8 Phishing ....................................................................................................... 18
1.2.9 Social Engineering ....................................................................................... 18
1.3

Các chính sách an ninh mạng .......................................................................... 19

1.3.1 Chính sách quản lý truy cập ........................................................................ 19
1.3.2 Chính sách lọc.............................................................................................. 19
1.3.3 Chính sách định tuyến ................................................................................. 19
1.3.4 Chính sách Remote-access/VPN ................................................................. 20
1.3.5 Chính sách giám sát ..................................................................................... 20
1.3.6 Chính sách vùng DMZ ................................................................................ 20
1.3.7 Chính sách thơng dụng ................................................................................ 20
Chương 2. GIỚI THIỆU VỀ TƯỜNG LỬA ................................................................. 22


2.1

Khái niệm về tường lửa ................................................................................... 22

2.2

Phân loại .......................................................................................................... 22

2.3


Các công nghệ firewall .................................................................................... 23

2.4

Chức năng của firewall.................................................................................... 26

2.5

Những hạn chế của tường lửa.......................................................................... 28

2.6

Một số kiến trúc firewall ................................................................................. 29

2.6.1 Kiến trúc Dual – homed Host ...................................................................... 29
2.6.2 Kiến trúc Screened Host .............................................................................. 30
2.6.3 Kiến trúc Screened Subnet Host .................................................................. 31
Chương 3. GIẢI PHÁP TƯỜNG LỬA CISCO ASA.................................................... 33
3.1

Lịch sử ra đời ................................................................................................... 33

3.2

Các sản phẩm tường lửa của Cisco ................................................................. 33

3.3

Các chức năng cơ bản...................................................................................... 34


3.3.1 Các chế độ làm việc ..................................................................................... 34
3.3.2 Quản lý file .................................................................................................. 35
3.3.3 Mức độ bảo mật (Security Level) ................................................................ 35
3.4

Network Access Translation (NAT) ............................................................... 36

3.4.1 Khái niệm..................................................................................................... 36
3.4.2 Các kỹ thuật NAT ........................................................................................ 37
3.4.3 NAT trên tường lửa ASA ............................................................................ 40
3.5

Access Control Lists (ACL) ............................................................................ 41

3.6

Virtual Private Network (VPN) ....................................................................... 44

3.6.1 Khái niệm..................................................................................................... 44
3.6.2 Site-to-Site VPN .......................................................................................... 46
3.6.3 Remote access VPN ..................................................................................... 46
3.6.4 AnyConnect VPN ........................................................................................ 47
3.7

Giao thức định tuyến (Routing)....................................................................... 48


3.7.1 Khái niệm..................................................................................................... 48
3.7.2 Các kỹ thuật định tuyến ............................................................................... 49
3.8


Đường truyền dự phòng SLA .......................................................................... 51

3.9

Chuyển đổi dự phòng (Failover) ..................................................................... 52

3.9.1 Giới thiệu ..................................................................................................... 52
3.9.2 Phân loại ...................................................................................................... 52
3.9.3 Triển khai Failover ...................................................................................... 52
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN ..................................................................... 55
1.

Kết luận ............................................................................................................... 55

2.

Hướng phát triển ................................................................................................. 55

DEMO CÁC TÍNH NĂNG ASA TRÊN GNS3 ............................................................ 56
1.

Mơ hình triển khai ............................................................................................... 56
1.1 Mơ hình thực tế ............................................................................................... 56
1.2.

2.

Mơ hình trên GNS3 ..................................................................................... 56


Cấu hình trên Firewall ASA................................................................................ 56

TÀI LIỆU THAM KHẢO .............................................................................................. 59
PHỤ LỤC ....................................................................................................................... 60


DANH MỤC HÌNH VẼ
Số thứ tự

Tên hình vẽ

Trang

Hình 1

Mơ hình tường lửa cứng

23

Hình 2

Mơ hình tường lửa mềm

23

Hình 3

Mơ tả packet filtering firewall

24


Hình 4

Mơ tả circuit-level firewall

25

Hình 5

Mơ tả proxy firewall

25

Hình 6

Mơ tả stateful firewall

26

Hình 7

Mơ tả luồng dữ liệu vào ra giữa Internet và Intranet

27

Hình 8

Mơ hình kiến trúc Dual-homed Host

30


Hình 9

Mơ hình kiến trúc Screened Host

31

Hình 10

Mơ hình kiến trúc Screened Subnet Host

32

Hình 11

Các chế độ làm việc của firewall ASA

36

Hình 12

Mơ tả các mức bảo mật trong hệ thống mạng

38

Hình 13

Mơ tả NAT tĩnh của một mạng LAN ra ngồi Internet

40


Hình 14

Mơ tả cơ chế PAT (NAT Overloading)

43

Hình 15

Sơ đồ ACL điều khiển truy cập mạng

44

Hình 16

Sơ đồ mạng mơ tả kết nối Site-to-Site IPSec VPN

48

Hình 17

Sơ đồ mạng mơ tả kết nối Remote Access VPN

49

Hình 18

Sơ đồ mạng mơ tả kết nối AnyConnect VPN

50


Hình 19

Mơ hình mạng mô tả định tuyến tĩnh

52


Hình 20

Mơ tả đường dự phịng SLA

54

Hình 21

Mơ hình Active/Standby failover

56

Hình 22

Mơ hình Failover và Addressing

57

Hình 23

Mơ hình Active/active failover


57

Hình 24

Mơ hình mạng triển khai thực tế

59

Hình 25

Mơ hình mạng triển khai trên phần mềm GNS3

59


DANH MỤC BẢNG
Số thứ tự

Tên bảng

Trang

Bảng 1

NAT động của một mạng LAN

41


DANH MỤC THUẬT NGỮ VÀ TỪ VIẾT TẮT

Số thứ Thuật ngữ
tự
và từ viết tắt

Giải thích thuật ngữ và từ viết tắt

1

ACL

Access Control List

2

ASA

Adaptive Security Appliance

3

DMZ

Demilitarised Zone (Vùng phi quân sự) là thuật ngữ dùng
để chỉ nơi đặt các server public

4

DHCP

Dynamic Host Configuration Protocol


5

EIGRP

Enhanced Interior Getway Routing Protocol

6

ICMP

Internet Control Message Protocol

7

IDS

Intrusion Detection Systems

8

IETF

Internet Engineering Task Force

9

IP

Internet Protocol


10

IPS

Intrusion Prevention Systems

11

ISA

Internet Security and Acceleration

12

ISP

Internet Service Provider

13

LAN

Local Area Network

14

MAC

Media Access Control


15

NAT

Network Address Translation

16

RIP

Routing Information Protocol

17

OSI

Open Systems Interconnection

18

OSPF

Open Shortest Path First

19

FTP

File Transfer Protocol



20

PAT

Port Address Translation

21

PIX

Private Internet eXchange

22

TCP

Transmission Control Protocol

23

TFTP

Trivial File Transfer Protocol

24

UDP


User Datagram Protocol

25

VPN

Virtual Private Network

26

SLA

Service Level Agreement

27

SSH

Secure Shell

28

SSL

Secure Sockets Layer

29

Zombies


Thuật ngữ trong hacker, dùng để ám chỉ một máy tính đã
bị hacker chiếm quyền để sử dụng cho mục đích tấn công


LỜI MỞ ĐẦU
Trong thực tế hiện nay bảo mật thông tin đang đóng một vai trị thiết yếu chứ
khơng cịn là “thứ yếu” trong mọi hoạt động liên quan đến việc ứng dụng công nghệ
thông tin. Bảo mật thông tin không chỉ thuần túy là những công cụ phần cứng hay
phần mềm, mà thực sự đã được xem như là giải pháp cho nhiều vấn đề.
Khởi động từ những năm đầu thập niên 90, với một số ít chuyên gia về CNTT,
những hiểu biết còn hạn chế và đưa CNTT ứng dụng trong các hoạt động sản xuất,
giao dịch, quản lý còn khá khiêm tốn và chỉ dừng lại ở mức công cụ, và đôi khi
nhận thấy những công cụ “đắt tiền” này cịn gây một số cản trở, khơng đem lại
những hiệu quả thiết thực cho việc sử dụng nó.
Ứng dụng cơng nghệ thơng tin một cách hiệu quả và bền vững, là tiêu chí hàng
đầu của nhiều quốc gia hiện nay, Việt Nam không là ngoại lệ. Xét trên bình diện
một doanh nghiệp khi ứng dụng CNTT vào sản xuất, kinh doanh cũng ln mong
muốn có được điều này. Tính hiệu quả là điều bắt buộc, và sự bền vững cũng là tất
yếu. Khi triển khai một hệ thống thông tin và xây dựng được cơ chế bảo vệ chặt
chẽ, an tồn, như vậy là góp phần duy trì tính bền vững cho hệ thống thơng tin của
doanh nghiệp hoặc một tổ chức đó. Và tất cả chúng ta đều hiểu rằng giá trị thông tin
của doanh nghiệp hay tổ chức là tài sản vô giá. Không chỉ thuần túy về mặt vật chất,
những giá trị khác không thể đo đếm được như uy tín của họ đối với khách hàng sẽ
ra sao, nếu những thông tin giao dịch với khách hàng bị đánh cắp, rồi sau đó bị lợi
dụng với những mục đích khác nhau… Hacker, attacker, virus, worm, phishing,
những khái niệm này giờ đây khơng cịn xa lạ, và thực sự là mối lo ngại hàng đầu
của tất cả các hệ thống thông tin (PCs, Enterprise Networks, Internet, etc…).
Theo tạp chí Computer Economics mỗi năm các cuộc tấn cơng mạng trên tồn
thế giới gây thiệt hại cho nền kinh tế thế giới hàng tỷ USD, có thể kể ra những nỗi
“ám ảnh” của thế giới như vụ bùng phát virus Code Red năm 2001 chỉ sau 24 tiếng

đồng hồ sau khi virus này bắt đầu phát tán 341.015 máy chủ trên toàn thế giới đã bị
lây nhiễm, gây thiệt hại vào khoảng 2,6 tỷ USD. Tháng 1/2002 Cloud Nine nhà
cung cấp dịch vụ tại Châu Âu đã bị phá sản vì các cuộc tấn cơng từ chối dịch
vụ…Việt Nam đang là nước có tình trạng tin tặc lộng hành rất phổ biến, chỉ tính
riêng năm 2007 thiệt hại do virus gây ra vào khoảng hơn 2000 tỷ đồng (trung bình
khoảng 591.000 đồng/1 PC), với 6752 virus mới xuất hiện trong năm (trung bình
18,49 virus/ngày). Năm 2007 cũng là năm báo động đỏ của an ninh mạng Việt Nam
khi có đến 342 website bị hacker trong và ngồi nước tấn cơng. Bên cạnh những


thiệt hại có thể thống kê bằng các con số như trên, thì khơng thể thống kê được
những lịng tin của người sử dụng dịch vụ, của thị trường vào hệ thống cũng như
các dịch vụ cung cấp qua mạng Internet bị giảm sút và chính viễn cảnh thiếu an tồn
cũng khiến khơng ít cơ sở ngừng kinh doanh việc bán hàng trực tuyến…
Tháng 10/2008 theo thống kê của Trung tâm an ninh mạng Bkis đã có 3910
dịng virus mới xuất hiện tại Việt Nam, 50 website của các cơ quan, doanh nghiệp
của Việt Nam bị hacker xâm nhập. Ngoài ra, Bkis còn phát hiện lỗ hổng của 11
website của các cơ quan và doanh nghiệp thuộc chính phủ. Mặc dù tình trạng an
ninh mạng của Việt Nam đang ở tình trạng báo động đỏ nhưng phần lớn người
dùng, tổ chức hay các cơ quan, doanh nghiệp chưa được trang bị những kiến thức
cần thiết để đảm bảo an ninh. Hơn thế nữa hệ thống an ninh mạng của các tổ chức
hay doanh nghiệp cịn nhiều lỗ hổng, thậm chí doanh nghiệp hay tổ chức cịn khơng
có những thiết bị an ninh mạng và bảo mật mạng. Và chính vì vậy, tất cả những hệ
thống này cần trang bị những công cụ đủ mạnh, am hiểu cách xử lý để đối phó với
những cuộc tấn cơng và nguy cơ mất an ninh mạng.
Để có thể chống lại những cuộc tấn công và nguy cơ an ninh mạng trước hết là
do ý thức của người sử dụng. Yếu tố con người chính là yếu tố quan trọng nhất, và
cuối cùng là những cơng cụ đắt lực nhất đó chính là tường lửa (firewall). Có rất
nhiều hãng sản xuất và thiết kế tường lửa trên thế giới như Symantec, Cisco,
Juniper…, nhưng phần lớn thiết bị tường lửa Cisco, nhất là ASA Cisco Firewall vẫn

được các cơ quan, tổ chức tin dùng, bởi tính năng vượt trội và được thừa kế các tính
năng từ PIX Firewall Cisco.


1. Lý do chọn đề tài
Mạng internet ngày càng phát triển và phổ biến rộng khắp mọi nơi, lợi ích của
nó đem lại là rất lớn. Tuy nhiên cũng có rất nhiều mối đe dọa từ bên ngoài của
những kẻ tấn công, tác động đến hệ thống mạng của một cá nhân, tổ chức, doanh
nghiệp hay cơ quan nhà nước, nhằm mục đích phá vỡ hệ thống, đánh cắp dữ liệu,…
Từ lý do trên và được sự đồng ý của thầy hướng dẫn PGS. TS. Lê Văn Sơn, em
chọn hướng nghiên cứu của khóa luận này là “Giải pháp an ninh mạng dùng
Firewall ASA”.

2. Mục tiêu của đề tài
 Giúp cho khả năng tự học, tìm hiểu và nghiên cứu độc lập ngày càng tốt hơn.
 Triển khai hệ thống phát hiện, ngăn chặn các lưu lượng ra vào của hệ thống
là sự cần thiết cho các doanh nghiệp có nhu cầu về sự an toàn của hệ thống
trước những hành vi xâm nhập trái phép. Trước sự phát triển của Internet và
sự hiểu biết của ngày càng sâu của con người thì việc truy cập và phá hoại hệ
thống mạng của một doanh nghiệp, cơng ty nào đó cũng theo đà phát triển
của Internet mà tăng lên rất nhiều.
 Giúp chúng ta có cái nhìn tổng qt về an ninh mạng, có những khái niệm về
các phương thức tấn cơng, chính sách, kỹ thuật an ninh mạng. Từ đó có thể
đưa ra các giải pháp an ninh cho hệ thống mạng của mình một cách phù hợp
nhất.
 ASA (Adaptive Security Appliance) là một thiết bị tường lửa mạnh và được
ưa chuộng nhất hiện nay của Cisco. Chính vì vậy mục tiêu của đề tài này là
nhằm nghiên cứu và tìm hiểu cách thức hoạt động, phương pháp cấu hình và
ứng dụng của nó trong việc bảo mật hệ thống mạng. Kết quả đạt được qua
việc nghiên cứu thiết bị này là hiểu được cách thức hoạt động và có khả năng

triển khai thiết bị này vào trong một số hệ thống mạng bất kỳ.

3. Tình hình nghiên cứu lĩnh vực liên quan đến đề tài
Hiện nay, vấn về an ninh mạng là vấn đề cần thiết và cấp bách đối với các tổ
chức, doanh nghiệp hay cơ quan nhà nước. Nhưng mà số lượng người tham gia vào
nghiên cứu lĩnh vực này thì khơng được nhiều.

4. Phạm vi nghiên cứu
 Tìm hiểu lý thuyết về các phương thức tấn cơng, chính sách an ninh.
 Tìm hiểu các loại firewall, kiến trúc firewall.
 Tìm hiểu các kỹ thuật, tính năng an ninh mạng trên firewall ASA.


5. Phƣơng pháp nghiên cứu
 Sử dụng một số tài liệu Cisco Firewall ASA, CEH, Security+ và một số trang
web để phục vụ cho nội dung viết báo cáo và nghiên cứu.

 Sử dụng phần mềm giả lập GNS3 để cài đặt và thể hiện cụ thể những kết quả
của nội dung nghiên cứu.

6. Cấu trúc của khóa luận
Cấu trúc của khóa luận, gồm 3 phần:
 Phần mở đầu: Trình bày lý do, mục tiêu, phạm vi nghiên cứu, phương pháp
nghiên cứu và cấu trúc khóa luận.
 Phần nội dung: Gồm 3 chương

 Chƣơng 1 - Tổng quan về an ninh mạng: Chương này nói về mục
tiêu an ninh mạng, các phương thức tấn cơng và chính sách an ninh
mạng.


 Chƣơng 2 - Giới thiệu về tƣờng lửa: Chương này nói về các thành
phần, chức năng, hạn chế, kiến trúc của tường lửa.

 Chƣơng 3 - Giải pháp tƣờng lửa Cisco ASA: Chương này đi sâu về
các tính năng, kĩ thuật bảo mật trong firewall ASA, bao gồm: NAT,
ACL, VPN, Routing, SLA…
 Phần kết luận: Trình bày kết luận, hướng phát triển và demo các tính năng của
firewall ASA.


Chƣơng 1. TỔNG QUAN VỀ AN NINH MẠNG

1.1 Mục tiêu an ninh mạng
An ninh là một trong những lĩnh vực mà hiện nay giới công nghệ thông tin khá
quan tâm. Khi Internet ra đời và phát triển, nó đã thúc đẩy nhu cầu trao đổi thông tin
ngày càng trở nên cần thiết. Mục tiêu của việc nối mạng là làm cho mọi người có
thể sử dụng chung tài nguyên từ những vị trí địa lý khác nhau, tuy nhiên cũng kéo
theo nhiều mối nguy hiểm rình rập của những hacker mạng. Đảm bảo cho người
dùng được an toàn khi làm việc trên mạng là mục tiêu hàng đầu của an ninh mạng:
 Bảo đảm mạng nội bộ không bị xâm nhập trái phép.
 Các tài liệu và thông tin quan trọng khơng bị rị rỉ và bị mất.
 Các dịch vụ được thực hiện nhanh chóng, khơng bị trì trệ hoặc không thực
hiện được.
 Các cuộc mua bán trên mạng diễn ra đúng với yêu cầu của người dùng.
 Người dùng làm việc trên mạng không bị mạo danh, lừa đảo.

1.2 Các phương thức tấn công
 Virus
 Worm
 Trojan

 Backdoor
 Denial-of-Service (DoS)
 Distributed Denial-of-Service (DDoS)
 Spyware
 Phishing
 Social Engineering

1.2.1

Virus

Virus là một chương trình phá hoại, được thiết kế để tấn cơng vào một máy
tính khác và các thiết bị mạng. Như tên của nó, virus cần một chủ thể như là một tập
tin hoặc bộ nhớ để lây nhiễm và nhân rộng. Chẳng hạn như, virus được cài trong
một tập tin đính kèm khi chúng ta gửi e-mail, từ đó nó có thể gây ra các mã thực thi
và tái tạo virus. Một số virus lành tính, thì chỉ cần thông báo cho nạn nhân của họ
rằng họ đã bị nhiễm virus. Các virus ác tính tạo ra sự hủy hoại bằng cách xóa các


tập tin và nếu khơng thì gây ra lỗi cho các máy tính bị nhiễm có chứa tài ngun, dữ
liệu, chẳng hạn như hình ảnh, tài liệu, mật khẩu và các bản báo cáo tài chính [11].

1.2.2

Worm

Worm là một chương trình phá hoại, quét các điểm yếu hoặc lỗ hổng bảo mật
trên các máy tính khác, để khai thác các điểm yếu và nhân rộng. Worm có thể tái
tạo độc lập và lây lan nhanh chóng [11].
Worm khác với virus trong hai cách sau đây:

 Virus cần một chủ thể để đính kèm và thực hiện, cịn worm khơng u
cầu một chủ thể.
 Virus, một khi chúng đang cư trú trong bộ nhớ thì thường xóa và sửa
đổi các tập tin quan trọng trên máy tính bị nhiễm bệnh. Cịn worm có
thể tái tạo một cách nhanh chóng bằng cách bắt đầu kết nối mạng, để
nhân rộng và gửi số lượng lớn dữ liệu.

1.2.3

Trojan

Trojan là mã độc được hacker chèn vào trong một phần mềm hoặc một ứng
dụng đáng tin cậy, chẳng hạn như một trị chơi hoặc trình bảo vệ màn hình. Một khi
người dùng cố gắng để truy cập một trị chơi hoặc trình bảo vệ màn hình mà họ tin
tưởng, các trojan có thể bắt đầu các hoạt động gây tổn hại như xóa các tập tin hoặc
định dạng lại một ổ đĩa cứng. Trojan thường không tự sao chép [11].

1.2.4

Backdoor

Backdoor là một chương trình, được hacker sử dụng để cài đặt trên hệ thống
mục tiêu, nhằm mục đích giúp cho hacker có thể truy cập lại lần sau, mà không cần
phải thông qua cơ chế xác thực của hệ thống.
Kỹ thuật backdoor đơn giản nhưng hiệu quả, ngồi ra hacker có thể tạo ra mật
khẩu riêng cho backdoor của mình, để tránh các hacker khác có thể truy cập vào hệ
thống qua đường đó [11].

1.2.5


Denial-of-Service

Một cuộc tấn công từ chối dịch vụ (DoS) là một cuộc tấn công làm cho hệ
thống phải liên tục xử lý các gói thơng tin được gửi từ hacker, từ đó dẫn đến hệ
thống sẽ không xử lý những thông tin đến từ người dùng hợp pháp. Một cuộc tấn


công DoS được hacker thực hiện bằng cách gửi các gói tin có kích cỡ lớn hoặc ping
liên tục làm cho hệ thống phải xử lý liên tục, và nếu người lập trình khơng lưu ý về
vấn đề tràn bộ đệm thì hệ thống có thể bị treo [11].

1.2.6

Distributed Denial-of-Service

DDoS cũng tương tự như phương thức tấn công DoS, nhưng chỉ khác là DDoS
sử dụng nhiều nguồn khác nhau để tấn công vào một hệ thống mục tiêu. Phương
thức tấn công DDoS thường được các hacker sử dụng kết hợp với kiểu tấn công
Zombies. Zombies là một thuật ngữ, dùng để ám chỉ máy của người dùng hợp pháp
đã bị hacker chiếm dụng. Hacker có thể cài Zoombies vào các máy tính với số
lượng lớn rồi ra lệnh tấn cơng hệ thống mục tiêu cùng một lúc [11].

1.2.7

Spyware

Spyware là một lớp các ứng dụng phần mềm dùng để cài trên hệ thống mục
tiêu. Một khi các ứng dụng phần mềm gián điệp đã được bí mật cài đặt, phần mềm
gián điệp sẽ bắt tất cả các thông tin, mà quản trị viên hoặc người dùng đang làm với
hệ thống của họ. Một số thông tin bị bắt bao gồm các trang web truy cập, e-mail gửi

đi và mật khẩu sử dụng. Từ đó hacker có thể sử dụng các mật khẩu và thông tin bắt
được để đi vào hệ thống và khởi động một cuộc tấn công [11].

1.2.8

Phishing

Phishing là một kiểu tấn công mạng thường bắt đầu bằng cách gửi e-mail để
người dùng khơng nghi ngờ. Trong e-mail sẽ có một đường liên kết đến một trang
web tin cậy nào đó, chẳng hạn như một trang web ngân hàng hoặc thương mại điện
tử, mà các trang web đó sẽ được hacker thiết kế để trông giống như một trang web
thật, ngay cả các tính năng của trang web đó cũng tương tự như các trang web thật.
Rồi sau đó, e-mail giả này cố gắng thuyết phục người dùng phải thực hiện theo các
liên kết trong e-mail và đăng nhập vào trang web để xem thông tin của họ. Phương
thức tấn công này thường được thiết kế để lừa người dùng cung cấp thơng tin có giá
trị như tên người dùng và mật khẩu của họ [11].

1.2.9

Social Engineering

Hacker có thể liên lạc với một người quản trị hệ thống, giả làm một người sử
dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệ


thống, hoặc thậm chí thay đổi một số cấu hình của hệ thống để thực hiện các
phương pháp tấn công khác. Với kiểu tấn cơng này, thì khơng một thiết bị nào có
thể ngăn chặn một cách hữu hiệu, và chỉ có một cách giáo dục người sử dụng mạng
nội bộ về những yêu cầu bảo mật để đề cao cảnh giác với những hiện tượng đáng
nghi. Nói chung yếu tố con người là một điểm yếu trong bất kỳ một hệ thống bảo vệ

nào, và chỉ có sự giáo dục cộng với tinh thần hợp tác từ phía người sử dụng có thể
nâng cao được độ an tồn cho hệ thống [11].

1.3 Các chính sách an ninh mạng
1.3.1

Chính sách quản lý truy cập

Chính sách quản lý truy cập giúp cho quản trị viên có thể kiểm sốt được số
lượng người truy cập vào hệ thống hằng ngày, ngoài ra với chính sách này quản trị
viên có thể cho phép hoặc khơng cho phép một ngươi dùng, hacker có thể truy cập
vào hệ thống. Người dùng muốn kết nối đến hệ thống phải thông tường lửa và sử
dụng quyền truy cập của mình để thực hiện những tác vụ. Một số các giao thức
quản lý như Network Time Protocol (NTP), TFTP, FTP, Simple Network
Management Protocol (SNMP),… [10].

1.3.2

Chính sách lọc

Với chính sách lọc chúng ta có thể kiểm sốt được lưu lượng đi ra và đi vào hệ
thống. Một chính sách lọc tốt phải đảm bảo các yêu cầu từ chiều vào lẫn chiều ra.
Ví dụ, với một DMZ, tùy thuộc vào chiều của lưu lượng sẽ ứng với các chính sách
lọc khác nhau [10].

1.3.3

Chính sách định tuyến

Người quản trị cần phải xác định chính xác các yêu cầu để sử dụng các giao

thức định tuyến động và định tuyến tĩnh một cách phù hợp. Một số trường hợp,
quản trị viên phải cấu hình tường lửa để chặn việc chia sẻ bảng định tuyến của
mạng nội bộ với mạng bên ngoài. Ngồi ra, để tăng tính bảo mật người quản trị nên
sử dụng thuật toán MD5 và các kỹ thuật chứng thực,... [10].


1.3.4

Chính sách Remote-access/VPN

Khi cấu hình remote-access/VPN chúng ta cần phải xác định các giao thức sẽ
được sử dụng: IP Security (IPsec), Layer 2 Tunneling Protocol (L2TP), hoặc Pointto-Point Tunneling Protocol (PPTP) [10].

1.3.5

Chính sách giám sát

Một trong những yếu tố quan trọng nhất để đảm bảo rằng một tường lửa cung
cấp mức bảo mật được như mong đợi là thực hiện một hệ thống giám sát tường lửa.
Các chính sách giám sát cần cung cấp một cơ chế để theo dõi hiệu suất của tường
lửa, cũng như sự xuất hiện của tất cả các sự kiện liên quan đến an ninh và các thao
tác truy cập của người dùng. Một số ứng dụng giúp cho quản trị viên có thể giám
sát được tường lửa như CiscoWorks, NetIQ Security Manager hoặc Kiwi Syslog
Daemon [10].

1.3.6

Chính sách vùng DMZ

Vùng DMZ là vùng đệm giữa hệ thống mạng bên trong và mạng bên ngoài,

vùng DMZ giúp cho quản trị viên có thể yên tâm đặt các server public của mình vơ
đây. Nếu hacker có tấn cơng vào được vùng DMZ thì cũng chưa chắc vào được hệ
thống mạng bên trong [10].

1.3.7

Chính sách thơng dụng

Ngồi các chính sách được áp dụng trên tường lửa, thì cịn có một số chính
sách thơng dụng sau đây:
 Chính sách mật khẩu: Mật khẩu nên được thiết lập ở tất cả thiết bị, thao
tác. Khi thiết lập mật khẩu, không nên đặt mật khẩu q dễ đốn hoặc
khó nhớ.
 Chính sách mã hóa: Bao gồm Hypertext Transfer Protocol, Secure
(HTTPS), Secure Sockets Layer (SSL), Secure Shell (SSH), và truy cập
Ipsec/VPN.
 Dưới đây là một số công việc cần thiết cho người quản trị mạng:
 Theo dõi file log của tường lửa thường xuyên.
 Tạo ACL thật chi tiết và cụ thể.
 Bảo vệ vùng DMZ.


 Thận trọng với lưu lượng ICMP.
 Lưu ý về việc mở một số cổng (Ví dụ: cổng 80, 443,...).


Chương 2. GIỚI THIỆU VỀ TƯỜNG LỬA
2.1 Khái niệm về tường lửa
Trong ngành mạng máy tính, bức tường lửa (Firewall) là rào chắn mà một số
cá nhân, tổ chức, doanh nghiệp, cơ quan nhà nước lập ra nhằm ngăn chặn người

dùng mạng Internet truy cập các thông tin không mong muốn hoặc ngăn chặn người
dùng từ bên ngoài truy cập vào hệ thống để lấy các thông tin bảo mật nằm trong
mạng nội bộ.
Tường lửa là một thiết bị phần cứng hoặc một phần mềm hoạt động trong môi
trường máy tính nối mạng để ngăn chặn một số liên lạc bị cấm bởi chính sách an
ninh của cá nhân hay tổ chức. Tường lửa còn được gọi là thiết bị bảo vệ biên giới
(Border Protection Device - BPD), hay bộ lọc gói tin (packet filter).
Nhiệm vụ cơ bản của tường lửa là kiểm soát lưu lượng dữ liệu giữa hai vùng
tin cậy khác nhau. Điển hình như, mạng Internet (vùng khơng đáng tin cậy) và
mạng nội bộ (một vùng có độ tin cậy cao). Mục đích cuối cùng là cung cấp kết nối
có kiểm sốt giữa các vùng với độ tin cậy khác nhau thơng qua việc áp dụng một
chính sách an ninh.
Cấu hình chính xác cho các tường lửa đòi hỏi kĩ năng của người quản trị hệ
thống. Việc này địi hỏi phải có sự hiểu biết đáng kể về các giao thức mạng và an
ninh mạng. Những lỗi nhỏ có thể biến tường lửa thành một cơng cụ an ninh vơ
dụng. Để có kiến thức xây dựng một tường lửa có các tính năng chống lại các yếu tố
phá hoại, đòi hỏi người quản trị hệ thống phải có trình độ chun nghiệp và kỹ năng
trong việc bảo mật hệ thống mạng.

2.2 Phân loại
Các tường lửa được chia ra thành hai dạng: Tường lửa cứng (bên ngoài) và
tường lửa mềm (bên trong). Trong đó cả hai đều có những nhược điểm và ưu điểm
riêng. Quyết định lựa chọn loại tường lửa nào để sử dụng là khá quan trọng.
 Tường lửa cứng: Điển hình là các thiết bị tường lửa, thiết bị mở rộng này
được đặt giữa mạng bên ngoài và mạng nội bộ. Nhiều hãng và nhà cung cấp
dịch vụ Internet (ISP) đưa ra các thiết bị định tuyến trong đó cũng bao gồm
các tính năng tường lửa. Một số loại tường lửa cứng như: ASA, PIX,
NetScreen…
Đặc điểm của tường lửa cứng:



 Hoạt động ở tầng Network và tầng Transport.
 Tốc độ xử lý cao.
 Tính bảo mật cao.
 Tính linh hoạt thấp.
 Khả năng nâng cấp thấp.
 Không kiểm tra được nội dung gói tin.
Tuy nhiên hiện nay cũng có rất nhiều những tường lửa cứng có thể tích hợp
nhiều chức năng. Ngoài làm chức năng tường lửa bảo mật, chúng cịn kèm theo các
module khác như Routing, VPN,…

Hình 1. Mơ hình tường lửa cứng
 Tường lửa mềm: Một vài hệ điều hành có tường lửa kèm theo, nếu hệ điều
hành của bạn khơng có thì cũng dễ dàng kiếm được từ một số cửa hàng máy
tính hay hãng phần mềm hoặc các nhà cung cấp dịch vụ Internet. Một số
tường lửa mềm như ISA server, Zone Alarm, Norton firewall, các phần mềm
anti-virus hay các hệ điều hành đều có tính năng tường lửa,…
Đặc điểm của tường lửa mềm:
 Hoạt động ở tầng Application.
 Tính linh hoạt cao: Có thể thêm, bớt các chức năng.
 Có thể kiểm tra được nội dung của gói tin thơng qua các từ khóa.

Hình 2. Mơ hình tường lửa mềm

2.3 Các cơng nghệ firewall
Dựa vào công nghệ sử dụng trong firewall, người ta chia firewall ra thành các
loại như sau:


 Personal firewalls: Được thiết kế để bảo vệ một host duy nhất, thường được

tích hợp sẵn trong các laptop, desktop…
 Packet filters: Là thiết bị được thiết kế để lọc gói tin dựa trên những đặc
điểm đơn giản của gói tin [4].

Hình 3. Mơ tả packet filtering firewall
 Network Address Translations (NAT) firewalls: Thực hiện chức năng
chuyển đổi địa chỉ IP public thành địa chỉ IP private và ngược lại, nó cung
cấp cơ chế che dấu IP các host bên trong [4].
 Circuit-level firewalls: Hoạt động tại lớp session của mơ hình OSI, nó giám
sát các gói tin đi qua firewall, gói tin được chỉnh sửa, điều này giúp che dấu
thông tin của mạng được bảo vệ [4].


Hình 4. Mơ tả circuit-level firewall
 Proxy firewalls: Hoạt động tại lớp ứng dụng của mơ hình OSI, nó đóng vai
trò như người trung gian giữa hai thiết bị đầu cuối. Khi người dùng truy cập
dịch vụ ngoài internet, proxy đảm nhận việc yêu cầu thay cho client và nhận
trả lời từ server trên Internet, sau đó trả lời lại cho người dùng bên trong [4].

Hình 5. Mơ tả proxy firewall
 Stateful firewalls: Được kết hợp với các firewall khác như NAT firewall,
circuit-level firewall, proxy firewall thành một hệ thống firewall, nó khơng
những kiểm tra các đặc điểm của gói tin mà còn lưu giữ và kiểm tra trạng
thái của các gói tin đi qua firewall, một ví dụ cho stateful firewall là sản
phẩm PIX firewall của Cisco [4].