- PHAN THỊ HẰNG NGHIÊN CỨU XÂY DỰNG HỆ THÔNGD MẠNG BẢO MẬT TẠI CHI NHÁNH NGÂN HÀNG TMCP CÔNG THƯƠNG VIỆT NAM LUẬN VĂN THẠC SĨ KHOA HỌC NGƯỜI HƯỚNG DẪN : TS. - Học viên thực hiện Phan Thị Hằng 2 DANH MỤC VIẾT TẮT Một số thuật ngữ viết tắt: TÊN VIẾT TẮT TÊN ĐẦY ĐỦ Ý NGHĨA LAN Local Area Network Mạng cục bộ WAN Wide Area Network Mạng diện rộng OSI Open System Interconnect Mô hình kết nối các hệ thống mở IP Internet Protocol Giao thức liên mạng TCP Transmission Control Protocol Giao thức truyền dẫn hướng kết nối UDP User Datagram Protocol Giao thức truyền dẫn không hướng kết nối ICMP Internet Control Message Protocol Giao thức điều khiển các thông báo lỗi. - ARP Address Resolution Protocol Giao thức phân giải địa chỉ SMTP Simple Mail Transmission Protocol Giao thức truyền thư điện tử đơn giản SNMP Simple Network Management Protocol Giao thức quản lý mạng đơn giản HTTP Hyper Text Transmission Protocol Giao thức truyền siêu ký tự (Web) FTP File Transfer Protocol Giao thức truyền file DoS Denial Of Service Tấn công từ chối dịch vụ DDoS Distributed DoS Tấn công từ chối dịch vụ phân tán. - DES Digital Encrypt Standard Chuẩn mã hoá đối xứng RSA Ronald Rivest, Adi Shamir, and Leonard Adleman Thuật toán mã hoá công khai AH Authentication Header Header trong IPv6 nhằm bảo đảm tính chân thực và toàn vẹn của gói tin trong quá trình truyền ESP Encapsulating Security Payload Hệ tự quản, tập hợp các thiết bị định tuyến có 3 cùng hệ quản trị MAC Message Authentication Code Mã chứng thực bản tin CA Certificate Authority Tổ chức chứng thực SA Security Association Mối liên hệ bảo mật giữa hai thực thể giao tiếp. - IKE Internet Key Exchange Giao thức trao đổi khoá được sử dụng trong các giao thức IP Sec và SSL. - PKI Public Key Infastructure Kiến trúc khoá công khai SSL Secure Socket Layer Giao thức bảo mật lớp truyền dẫn. - IPSec Internet Protocol Security Giao thức bảo mật Internet IPS Intrusion Prevention System Hệ thống phòng chống thâm nhập IDS Intrusion Detection System Hệ thống phát hiện thâm nhập ACL Access Control List Danh sách điều khiển truy nhập NAT Network Address Translation Dịch địa chỉ mạng RADIUS Remote Authentication Dial-up User Service Dịch vụ chứng thực người sử dụng quay số từ xa DNS Domain Name Service Dịch vụ tên miền NHCT VN Vietnam Joint Stock Commercial Bank for Industry and Trade Ngân hàng TMCP Công Thương Việt Nam (Vietinbank) BDS Branch Delivery System Hệ thống xử lý giao dịch tại Vietinbank NHĐT Ngân hàng điện tử 4 DANH MỤC HÌNH Hình 1.1: Cấu trúc một mạng máy tính đơn giản Hình 1.2: Cấu trúc phân lớp mô hình OSI Hình 1.3: Mô hình TCP/IP và OSI Hình 1.4: Chồng giao thức tương ứng của mô hình TCP/IP Hình 1.5: Giao tiếp vật lý và logic giữa các lớp Hình 1.6: Cấu trúc dữ liệu tại mỗi tầng OSI Hình 1.7: Nguyên tắc phân mảnh gói số liệu IP Hình 1.8: Thiết lập một kết nối TCP/IP Hình 1.9: Kết thúc một kết nối TCP/IP Hình 1.10: Dịch vụ định tuyến lại (ICMP Redirect Hình 2.1: Mô hình cơ bản của một cuộc tấn công DDoS Hình 3.1: Quá trình mã hoá lưu lượng IP Sec Hình 3.2: Cấu trúc Authentication Header Hình 3.3: Khuôn dạng gói IP trong các mode truyền Hình 3.4: Cấu trúc ESP Hình 3.5: Một gói IP được bảo vệ bởi ESP trong Transport mode Hình 3.6: Một gói IP được bảo vệ bởi ESP trong Tunnel mode Hình 3.7: Vị trí của SSL trong chồng giao thức TCP/IP Hình 3.8: Cấu trúc bản tin SSL Handshake Protocol Hình 3.9: Quá trình bắt tay giữa hai thực thể giao tiếp IP Sec Hình 3.10: Cấu trúc bản tin SSL Record Protocol Hình 3.11: Các bước xử lý phần dữ liệu Hình 3.12: NAT thay thế địa chỉ nguồn và cổng nguồn Hình 3.13: Hoạt động của Web Proxy Hình 4.1: Quy trình bảo mật mạng Hình 4.2: Cấu trúc một hệ thống mạng bảo mật Hình 4.3: Cấu trúc hệ thống mạng bảo mật cho một chi nhánh của NHCT VN DANH MỤC BẢNG Bảng 1-1: Bảng so sánh giao thức TCP và UDP Bảng 4-1: Phân bộ địa chỉ cho các VLAN MỞ ĐẦU Ngày nay, với tốc độ phát triển mạnh mẽ của mạng toàn cầu đã đem lại những lơi ích to lớn về mặt kinh tế và xã hội, giúp cho các doanh nghiệp làm việc, giao dịch và trao đổi thông tin với nhau một cách nhanh chóng. - kết nối người với người trên cộng đồng Internet. - Hacker là một cộng đồng gồm nhiều tin tặc và thường không lộ diện, động cơ và mục đích tấn công vào hệ thống mạng của họ đã thay đổi rất nhiều, từ việc muốn nổi tiếng, gây phiền toái trêu chọc mọi người nay đã chuyển sang mục đích tấn công để ăn cắp thông tin, tiền bạc, thay đổi cấu hình hệ thống với mục đích đánh sập hệ thống, nhằm cạnh tranh với đối thủ trong kinh doanh, kể cả trong lĩnh vực quân sự. - Do vậy, vấn đề bảo mật đã trở thành chủ đề nóng bỏng trên Internet! Xuất phát từ thực tiễn trên hàng loạt vấn đề về thông tin và an toàn thông tin đang đặt ra những thách thức vô cùng lớn. - Việc tìm hiểu, nghiên cứu, xây dựng, và quản lý một hệ thống mạng đảm bảo về an ninh đang là một vấn đề rất cần thiết đối với mỗi công ty/tổ chức để đảm bảo quá trình làm việc, giao dịch và trao đổi thông tin được liên tục. - Tuy nhiên, trình độ phát triển của các hacker cũng ngày càng giỏi hơn trong khi đó các hệ thống vẫn còn chậm chạp trong việc xử lý các lỗ hổng của mình. - Điều đó đòi hỏi người quản trị mạng phải có những kiến thức tốt về bảo mật để có thể giữ vững an toàn thông tin cho hệ thống. - Trong khuôn khổ đề tài, dưới sự giúp đỡ của thầy giáo TS Phạm Văn Bình, em đã tìm hiểu được một số vấn đề về an ninh mạng máy tính, quá trình giao tiếp của các thực thể trong mạng máy tính, các điểm yếu trong mạng cùng vai trò quan trọng của các phương pháp mã hoá. - Các dấu hiệu tấn công và một số phương án, biện pháp đối phó với các cuộc tấn công đó. - Trình bày khái quát về mạng máy tính. - Giới thiệu kiến trúc phân tầng OSI, từ đó đề cập chồng giao thức quan trọng TCP/IP, giao thức liên mạng IP, TCP và UDP. - giao thức điều khiển ICMP và ARP. - Giới thiệu một số dịch vụ thông tin trên mạng trong lĩnh vực ngân hàng. - Trình bày các lĩnh vực chính trong an ninh mạng máy tính, các loại hình tấn công và xâm nhập bất hợp pháp trong mạng máy tính, phân tích các loại hình tấn công mạng để từ đó đưa ra các phương pháp đối phó phù hợp thông qua các giao thức tăng cường bảo mật, các công nghệ bảo vệ mạng. - Thực hiện thiết kế mô hình mạng có khả năng đảm bảo an toàn tại chi nhánh NHCT VN. - Phân tích, đánh giá mô hình mạng đã đưa ra. - Nhiều dấu hiệu tấn công phức tạp chưa được giải quyết. - LÝ THUYẾT CHUNG VỀ MẠNG MÁY TÍNH 1.1. - KHÁI QUÁT MẠNG MÁY TÍNH Mạng máy tính là sự kết hợp của hai hay nhiều máy tính với nhau thông qua các thiết bị xử lý (hub, switch. - và các phương tiện truyền thông (giao thức mạng, môi trường truyền dẫn) theo một kiến trúc nào đó nhằm mục đích thông tin, chia sẻ tài nguyên (phần mềm, dữ liệu. - thiết bị ngoại vi (máy in, máy quét. - Hình 1.1: Cấu trúc một mạng máy tính đơn giản Mạng máy tính bao gồm các thành phần chính sau. - Máy phục vụ (Server): Chia sẻ các tài nguyên và dịch vụ nói chung cho mạng. - Các dịch vụ mạng (Network services): thư điện tử (email), in ấn, chia sẻ file, truy xuất Internet, truy cập từ xa (Remote Access), quay số từ xa (remote dial-in), giao tiếp (communication) và dịch vụ quản trị (management services. - Máy khách (Client): Sử dụng các dịch vụ mạng mà Servers cung cấp. - 9 – Giao thức mạng (Network protocol): Ngôn ngữ cho phép các thực thể mạng, các hệ thống giao tiếp và trao đổi dữ liệu với nhau, ví dụ: Sequence Packet Exchange/Internetwork Packet Exchange (SPX/IPX), Transmission Control Protocol/Internetwork Protocol (TCP/IP), NetBIOS Exchange User Interface (NEtBEUI. - Cấu trúc mạng (Network topology): Topo mạng là cách kết nối các máy tính với nhau về mặt hình học nên gọi là tôpô của mạng. - Môi trường truyền dẫn (Transmission media): Kết nối vật lý giữa các máy tính cho phép chúng truyền tín hiệu tín hiệu qua lại với nhau: Cáp mạng, wireless. - Mạng máy tính tạo ra môi trường làm việc với nhiều người sử dụng phân tán, cho phép nâng cao hiệu quả khai thác tài nguyên chung rất nhiều so với khi từng máy hoạt động đơn lẻ. - Mạng máy tính có những ưu điểm so với sử dụng các máy tính riêng rẻ. - Chia sẻ dữ liệu: Những dữ liệu dùng chung cho nhiều người trên mạng có thể được tập trung trên một máy. - Nếu lựa chọn một máy tính để lưu trữ và cho phép các máy tính khác trên mạng sử dụng dữ liệu này sẽ làm tăng khả năng tập trung và duy trì các thông tin. - Máy tính có các tính năng trên gọi là máy chủ phục vụ (server) có các phần mềm và hệ điều hành đặc biệt dành riêng. - Điều này cho phép. - Nhiều người có thể sử dụng chung một phần mềm tiện ích. - Một nhóm người cùng thực hiện một đề án sẽ dùng chung dữ liệu, dùng chung một tập tin chính (master file) của đề án, giúp họ trao đổi thông tin với nhau một cách dễ dàng. - Chia sẻ tài nguyên phần cứng: Mạng máy tính có thể chia sẻ các tài nguyên phần cứng: fax, modems, máy quét (scanners), đĩa cứng (hard - disks), đĩa mềm (floppy - disks), ổ đĩa CD (CD- ROMS), Băng từ (Tape), máy vẽ 10 (Plotter. - Nhiều máy tính có thể dùng chung một thiết bị phần cứng để tiết kiệm chi phí. - Duy trì dữ liệu: Một mạng máy tính cho phép các dữ liệu quan trọng được tự động lưu trữ dự phòng tới một nơi để tránh bị lỗi khi có sự cố. - Nếu chỉ sử dụng một nơi để lưu trữ các dữ liệu dự phòng (thông thường là lưu trữ vào băng từ trên một máy chủ của mạng), sẽ dễ dàng tìm kiếm để khôi phục lại dữ liệu đã bị mất. - Tăng độ tin cậy của hệ thống nhờ khả năng thay thế khi xảy ra sự cố đối với một máy tính nào đó (đặc biệt quan trọng đối với các ứng dụng thời gian thực. - Bảo vệ dữ liệu: Mạng máy tính cung cấp một môi trường bảo mật cho toàn mạng. - Với các máy tính độc lập, khi truy cập vào máy tính đó có nghĩa là truy cập được tất cả các thông tin có trên máy. - Mạng máy tính cung cấp cơ chế bảo mật (security) bằng mật khẩu (password), cho phép máy chủ mạng phân biệt quyền hạn sử dụng của từng người dùng. - Ví dụ, trong hệ thống quản trị tài khoản người sử dụng trên nền tảng Windows Server Active Directory (AD) của Vietinbank, người quản trị hệ thống có thể đặt chính sách yêu cầu mức độ phức tạp của mật khẩu để trách việc hacker mò ra mật khẩu của người dùng do việc đặt mật khẩu quá đơn giản theo ngày sinh, số chứng minh thư nhân dân...có chính sách bắt người dùng phải đổi mật khẩu định kỳ, một số máy chủ quan trọng, một mật khẩu truy cập còn được tạo bởi 2 đến 3 người quản trị, mỗi người chỉ biết một đoạn của mật khẩu...Bên cạnh đó, tùy thuộc vào mức độ cần bảo mật đối với máy chủ, các công nghệ bảo mật khác cũng được kếp hợp, người truy cập sau khi gõ user mật khẩu, còn phải gõ thêm một đoạn mã khác như từ thẻ của Entrust, RSA. - Liên lạc với nhau: Mạng máy tính cũng có thể cho phép mọi người có thể dễ dàng liên lạc với nhau thông qua các dịch vụ như thư điện tử (email), dịch vụ chat, dịch vụ truyền file (FTP), dịch vụ Web. - Những người sử mạng có thể ngay tức khắc gửi các thông điệp tới những người khác thông qua thư điện tử (electronic mail). - Có thể gửi kèm các tài liệu vào thư điện tử và có thể gửi chuyển tiếp cho nhiều người. - Với tính năng này đã xóa bỏ rào cản về khỏang cách địa lý giữa những người dùng trong mạng muốn chia sẻ và trao đổi dữ liệu với nhau. - Đối với các kiểu dữ liệu như truy cập qua http(web), truyền file(FTP), đã có các công nghệ bảo mật hỗ trợ như Firewall, công nghệ chống đánh phá như module IPS được tích hợp trên firewall ASA5520, hay những sản phẩm công nghệ chống đánh phá chuyên dụng và mạnh hơn nhiều cho những vùng cần bảo vệ nghiêm ngặt như Tipping point. - Bên cạnh đó, việc quét virus, mã độc nhằm ngăn chặn thư rác, spam mail cũng được thực hiện bởi các công nghệ quét virus: quét virus cho các luồng dữ liệu http bởi IWSS (InterScan Web Security Suite của TrendMicro), quét virus trên luồng dữ liệu ftp và email bởi IMSS của TrendMicro (InterScan™ Messaging Security Suite. - quét virus và spyware cho các mailbox trên mail Server bằng phần mềm antivirus Sysmatec – Tăng tính hiệu quả của hệ thống: Cho phép người lập trình ở Trung tâm máy tính này có thể sử dụng các chương trình tiện ích, vùng nhớ của một trung tâm máy tính khác đang rỗi. - GIAO THỨC MẠNG TCP/IP 1.2.1.1. - Kiến trúc phân tầng OSI Khi thiết kế mạng máy tính, các nhà thiết kế tự do lựa chọn kiến trúc riêng của mình. - Từ đó dẫn đến tình trạng không tương thích giữa các mạng (phương pháp truy cập đường truyền, giao thức sử dụng. - Chính sự không tương thích này làm trở ngại cho sự tương tác của người sử dụng các mạng khác nhau, nhất là trong xu thế nhu cầu trao đổi thông tin ngày càng cao thì sự không tương thích đó là không thể chấp nhận được. - Trước tình hình đó, các nhà sản xuất, các nhà nghiên cứu thông qua các tổ chức chuẩn hóa quốc tế đã xây dựng một khung 12 chuẩn về kiến trúc mạng để làm căn cứ cho các nhà thiết kế và chế tạo các sản phẩm mạng, và mô hình OSI (Open systems Interconnection) đã ra đời năm 1984 bởi tổ chức tiêu chuẩn quốc tế OSI. - Với sự ra đời của mô hình tham chiếu OSI thì mỗi hệ thống mạng sẽ được phân cấp thành các chức năng nhỏ, độc lập và “dựa vào nhau, có tác dụng tương hỗ cho nhau". - Điều này cho phép giảm độ phức tạp thiết kế và thực hiện hệ thống thông qua việc xác định các chức năng cấu thành hệ thống và giao diện giữa các chức năng đó mà không qui định bắt buộc phải thực hiện các chức năng đó như thế nào, đồng thời nó còn cho phép thực hiện việc kết nối mở các hệ thống không đồng nhất, nghĩa là kết nối giữa các hệ thống có kiến trúc phần cứng, phần mềm hệ thống và cấu trúc số liệu không giống nhau. - Mô hình 7 mức OSI là mô hình kết nối mở các hệ thống tính toán được xây dựng trên nguyên tắc phân mức chức năng như vậy. - Hình 1.2: Cấu trúc phân lớp mô hình OSI Mô hình OSI chia kiến trúc mạng thành 7 tầng với những chức năng chuyên biệt cho từng tầng, trong đó hai tầng đồng mức khi khi liên kết với nhau phải sử dụng một giao thức chung. - Trong mô hình OSI có hai loại giao thức chính được áp dụng: 13 – Giao thức hướng kết nối (connection-oriented): trước khi truyền, dữ liệu hai tầng đồng mức cần thiết lập một liên kết logic, các gói tin được trao đổi thông qua liên kết này. - Khi không còn nhu cầu trao đổi thông tin thì hủy liên kết logic. - Với cách thiết lập liên kết logic trước khi truyền tin sẽ nâng cao độ an toàn trong việc truyền dữ liệu – Giao thức không liên kết (Connectionless): trước khi truyền dữ liệu không cần thiết lập liên kết logic và mỗi gói tin được truyền độc lập với các gói tin trước hoặc sau nó. - 1) Tầng ứng dụng (Application Layer) Là tầng gần với người sử dụng nhất. - Nó quy định giao diện giữa người sử dụng và môi trường OSI, cung cấp phương tiện cho người dùng truy cập các thông tin và dữ liệu trên mạng thông qua chương trình ứng dụng (các chương trình xử lý kí tự, bảng biểu, thư tín. - các giao thức (HTTP, FTP, SMTP, POP3, Telnet. - 2) Tầng biểu diễn thông tin (Presentation Layer) Tầng này hoạt động như bộ phiên dịch dữ liệu cho mạng. - Nó thực hiện việc chuyển đổi cú pháp dữ liệu để đáp ứng yêu cầu truyền dữ liệu của các ứng dụng qua môi trường OSI. - Nói cách khác tầng này sẽ định dạng dữ liệu từ lớp 7 đưa xuống rồi gửi đi đảm bảo sao cho bên thu có thể đọc được dữ liệu của bên phát. - Các chủân định dạng dữ liệu của tầng này gồm: GIF, JPEG, PICT, MP3, MPEG. - Ngoài ra nó còn nén dữ liệu truyền và mã hóa chúng trước khi truyền để bảo mật. - 3) Tầng phiên (Session Layer) Tầng phiên cung cấp các chức năng quản lý truyền thông giữa các ứng dụng chạy trên các máy tính khác nhau như: Thiết lập, duy trì, đồng bộ hoá và huỷ bỏ các phiên làm việc giữa các ứng dụng. - Ngoài ra nó còn thực hiện nhiều chức năng hỗ trợ khác nhau, cho phép các quy trình giao tiếp trên mạng như chứng thực người sử dụng và bảo vệ truy cập tài nguyên. - Các giao thức hoạt động ở tầng này là: NFS, X-Window System, ASP. - 14 4) Tầng giao vận (Transport layer) Thực hiện việc truyền dữ liệu giữa hai đầu giao tiếp thông qua việc xác định địa chỉ trên mạng (Address port để phân biệt được ứng dụng trao đổi), tiến hành kiểm soát lỗi và điều khiển luồng dữ liệu giữa hai đầu mút truyền dữ liệu nếu cần. - Nó cũng có thể thực hiện việc ghép kênh, cắt hợp dữ liệu nếu cần. - Nói chung, nhiệm vụ của tầng này đảm bảo cho Datagram được chuyển giao theo thứ tự gửi đi và không bị mất mát hay trùng lặp. - Các giao thức chính tại đây gồm TCP, UDP, SPX. - Thiết bị mạng hoạt động tại tầng này là gateway, firewall. - 5) Tầng mạng ( Network Layer) Định vị và quản lý địa chỉ logic mạng, quản lý đường đi giữa các node bên trong mạng chuyển mạch gói và quyết định dữ liệu sẽ đi theo lộ trình vật lý nào, căn cứ vào điều kiện hiện tại của mạng, độ ưu tiên của dịch vụ và các điều kiện khác (chức năng định tuyến), các gói tin này có thể phải đi qua nhiều chặng trước khi đến được đích cuối cùng mà vẫn duy trì chất lượng dịch vụ QoS mà tầng giao vận yêu cầu. - Các giao thức hay được sử dụng ở đây là IP, RIP, IPX, OSPF. - Thiết bị mạng hoạt động tại tầng này là router. - 6) Tầng liên kết dữ liệu(Datalink Layer) Tầng này có chức năng cung cấp các phương tiện để truyền thông tin qua liên kết vật lý đảm bảo tin cậy thông qua các cơ chế đồng bộ hoá, kiểm soát lỗi và điều khiển luồng dữ liệu, báo nhận và phục hồi lỗi xảy ra ở tầng vật lý. - Dữ liệu được truyền dưới dạng bit tại các khung (frame). - Thiết bị mạng hoạt động tại tầng này là switch. - 7) Tầng vật lý (Physical Layer) Nhìn chung, chức năng của tầng vật lý liên quan tới việc biểu diễn các bit thông tin các giao thức điều khiển việc truyền các bit qua đường truyền vật lý. - Theo tiêu chuẩn ISO thì tầng vật lý cung cấp các chuẩn về điện, dây cáp, đầu nối, kỹ thuật nối mạch điện, điệp áp, tốc độc cáp truyền dẫn, giao diện kết nối và các 15 mức nối kết. - Thiết bị mạng hoạt động tại tầng này là Repeater. - Chồng giao thức TCP/IP Chồng giao thức TCP/IP được phát triển lần đầu tiên bởi Bộ Quốc Phòng Mỹ, sau đó TCP đã trở thành một chuẩn công nghiệp được hỗ trợ bởi phần lớn các hệ điều hành thông dụng (UNIX, DOS, Windows, Macintosh, và Netware) với các ưu điểm. - Tính có thể định tuyến và mở rộng được – Tính mở – Là một chuẩn đã được kiểm nghiệm nên ổn định Với các lý do nêu trên nên các mạng máy tính hiện nay và đặc biệt là mạng Internet chủ yếu sử dụng chồng giao thức TCP/IP như là giao thức chuẩn chung. - Do đó, việc tìm hiểu một cách sâu sắc các giao thức trong chồng giao thức TCP/IP cũng như sự hoạt động của nó giúp cho chúng ta thấy được mạng máy tính hoạt động như thế nào, có những đặc trưng, những điểm yếu gì. - Những kẻ tấn công đã lợi dụng những yếu điểm đó như thế nào để thực hiện các cuộc tấn công của mình và chúng ta cần phải làm gì để đảm bảo cho mạng máy tính của mình được an toàn trước những cuộc tấn công đó. - TCP/IP được phân thành 4 lớp và được so sánh với các lớp tương đương trong mô hình tham chiếu hệ thống mở OSI giống như hình sau:
Xem thử không khả dụng, vui lòng xem tại trang nguồn hoặc xem
Tóm tắt