Đồ án Mạng LAN và các phương pháp bảo mật

đáp ứng được điều này. +Khả năng quản lý (Manageability): Mạng được thiết kế sao cho người quản trị dễ dàng trong việc quản lý và giám sát hoạt động của mạng. Ngoài các yêu cầu trên, trong thiết kế mạng LAN cũng cần tính đến một số vấn đề khác như vai trò và vị trí của các server, kích thước của các vùng quảng bá và vùng xung đột… Hình 2.1.1: Mô hình thiết kế mạng LAN Các server cho phép người dùng giao tiếp với nhau, chia sẻ thông tin và các ứng dụng. Có 2 loại server là enterprise và workgroup. Enterprise server cung cấp ứng dụng cho tất cả các người dùng trong mạng, ví dụ như mail server hay là DNS server. Workgroup server cung cấp các ứng dụng riêng cho từng phần của mạng. Thông thường enterprise server được đặt trong MDF (Main Distribution Facility) còn workgroup server được đặt trong IDF (Intermediate Distribution Facility). MDF và IDF sẽ bao gồm cả các panel để kết nối giữa các thiết bị để tránh việc trực tiếp sử dụng các cổng của thiết bị có thể dẫn đến hỏng hóc. Có 2 dạng panel là HCC (horizontal cross-connect) và VCC (vertical cross-connect). HCC dùng để kết nối giữa cáp của thiết bị tầng 1 với các cổng của switch. VCC để kết nối giữa IDF và MDF. Việc phân tích và thiết kế một mạng LAN sẽ trở nên đơn giản và dễ dàng hơn nếu phân chia công việc tương ứng theo các tầng của mô hình OSI. 2. Lớp 1 Khi thiết kế một mạng máy tính, việc sử dụng cáp loại nào cũng là một phần rất quan trọng. Ngày nay hầu hết các mạng LAN đều sử dụng công nghệ Fast Ethernet với tốc độ 100 Mbps. Việc thiết kế bao gồm cả việc đưa ra loại cáp được dùng trong từng thành phần của mạng (có thể dùng cáp đồng, cáp quang hoặc cáp xoắn đôi). Tuỳ thuộc vào khoảng cách giữa các thiết bị và yêu cầu về tốc độ mà quyết định việc dùng loại cáp nào cho hợp lý. Thực tế việc sử dủng cáp UTP cat5 là phổ biến nhất hiện nay. Đối với mạng đường trục (backbone) thường dùng cáp quang do yêu cầu về lưu lượng và độ an toàn lớn. Hình 2.1.2: Các lớp trong thiết kế mạng LAN 3. Lớp 2 Thiết bị chủ yếu sử dụng trong tầng 2 là LAN switch. Kích thước của các vùng xung đột (collision domain) được quyết định bởi các thiết bị tầng 2. Mỗi cổng của một thiết bị tầng 2 sẽ là một vùng xung đột. Như vậy các thiết bị tầng 2 sẽ chia nhỏ các vùng xung đột. Trên 1 switch có thể có các cổng với các tốc độ khác nhau. Các cổng nối với các máy trạm có tốc độ là 10mbps, trong khi đó cổng nối với router có lưu lượng lớn hơn nên có tốc độ là 100mbps (hoặc là 100Mbps và 1000Mbps). Do mỗi cổng của thiết bị tầng 2 là một vùng xung đột nên các máy dùng chung 1 cổng sẽ bị chia sẻ băng thông. Do đó tuỳ vào yêu cầu tốc độ mà quyết định có bao nhiêu máy dùng chung 1 cổng của switch. 4. Lớp 3 Các thiết bị tầng 3 (như là router) sẽ chia nhỏ các vùng quảng bá (broadcast domain) hay là chia nhỏ các mạng LAN. Các mạng nhỏ sẽ giao tiếp với nhau thông qua địa chỉ tầng 3 (như là địa chỉ IP). Việc định tuyến giữa các mạng trong tầng 3 được dựa vào địa chỉ tầng 3, phổ biến nhất là địa chỉ IP và subnet. Ta đã biết router chuyển các gói tin dựa vào địa chỉ của đích, nó không cho các gói tin quảng bá của mạng LAN đi qua. Như vậy mỗi cổng của router là một vùng quảng bá và nó cũng chính là nơi ngăn chặn các thông tin quảng bá của một mạng LAN đi ra ngoài. Hình 2.1.3: Các gói tin chạy trong VLAN Khi có 1 tin quảng bá trong mạng thì tất cả các máy trong mạng đó đểu phải xử lý thông tin. Để tránh việc xử lý các gói tin không cần thiết chúng ta sử dụng VLAN để chia nhỏ các broadcast domain. Đây chính là việc chia 1 vùng xung đột thành các vùng xung đột nhỏ hơn (logical). Các gói tin quảng bá sẽ chỉ chạy trong 1 VLAN nào đó và chỉ có các máy thuộc VLAN đó mới xử lý các gói tin này. Chương 2: MÔ HÌNH PHÂN LỚP MẠNG LAN Việc thiết kế một mạng LAN sẽ dễ dàng đáp ứng được các yêu cầu nếu sử dụng mô hình phân lớp (Hierarchical Network Design). Mô hình phân lớp nhằm mục đích chia các thành phần của mạng ra làm nhiều phần nhỏ hơn. Việc phân chia này được thực hiện dựa trên vai trò của các thành phần. Sự phân lớp sẽ giúp cho việc quản lý và giải quyết các sự cố của mạng một cách đơn giản và hiệu quả hơn. Phổ biến nhất là mô hình 3 lớp: access layer, distribution layer và core layer. Access layer cung cấp sự kết nối giữa người dùng và mạng, distribution layer đảm bảo sự liên kết giữa các thành phần khác nhau trong mạng, core layer đảm bảo việc tối ưu hoá quá trình di chuyển các gói tin. 1. Lớp truy cập Lớp truy cập (Access layer) là điểm kết nối giữa máy trạm (workstations) hoặc máy chủ (server) với mạng. Thiết bị được sử dụng ở đây có thể là layer 2 switch (còn gọi là Lan switch) hoặc hub (hiện nay hub đã không còn được sử dụng rộng rãi). Trong lớp truy cập cũng bao gồm cả việc định tuyến tầng 2. Dựa vào bảng MAC address, các thiết bị tầng 2 có thể trực tiếp chuyển dữ liệu (frame) đến các cổng được kết nối với đích đến. Hình 2.2.1: Mô hình phân lớp trong thiết kế mạng LAN Nhiệm vụ chính của access layer là cung cấp kết nối giữa người dùng cuối (end user) với mạng, do đó các thiết bị của lớp này cần đảm bảo yêu cầu giá thành rẻ và có nhiều cổng. Tuỳ theo yêu cầu của mạng mà sử dụng các loại thiết bị phù hợp. Bảng 2.2.1: Một số dòng switch của Cisco sử dụng trong lớp truy cập Dòng switch Tầng hoạt động Số cổng Ethernet Số cổng Fast Ethernet Số cổng Gigabit 1900 2 12 hoặc 24 2 0 2950 2 0 12 hoặc 24 0 hoặc 2 4000 2 và 3 Tối đa 240 Tối đa 240 Tối đa 240 5000 2 và 3 Tối đa 528 Tối đa 266 Tối đa 38 2. Lớp phân bố Đây là lớp nằm giữa lớp core và lớp access. Nhiệm vụ chủ yếu của lớp này là việc bóc tách và xử lý các gói tin dựa trên địa chỉ tầng 3. Các thiết bị của lớp này có thể là router hoặc là switch tầng 3. Đối với mạng nhỏ thì có thể dùng router. Đối với các mạng lớn hơn thì dùng switch tầng 3 (hay là multilayer switch).Các loại switch này bao gồm chức năng định tuyến của cả router và lại có nhiều cổng như switch. Các thiết bị này sẽ chia mạng thành các cùng quảng bá (broadcast domain). Lớp này cũng thực hiện các nhiệm vụ như định tuyến cho VLAN, thực hiện các chính sách bảo mật (firewall, access control lists…). Một số dòng switch Cisco thường được dùng trong lớp này là dòng 5000 family và 6000 family. 3. Lớp lõi Nhiệm vụ chủ yếu của lớp này là chuyển các gói tin đến mạng đích với tốc độ càng nhanh càng tốt. Việc xử lý gói tin không diễn ra ở lớp này mà sẽ do lớp dưới đảm nhận. Như vậy các thiết bị của lớp này cần yêu cầu tốc độ hoạt động cao. Một số dòng switch Cisco được sử dụng trong lớp này là dòng 6500 và 8000. Chương 3: THIẾT KẾ MẠNG WAN Khác với mạng LAN chỉ hoạt động trong một phạm vị địa lý tương đối nhỏ, mạng WAN (Wide Area Network) hoạt động trong phạm vi lớn hơn nhiều. Chúng ta có thể coi WAN chính là mạng dùng để kết nối các mạng LAN với nhau. WAN dùng để kết nối giữa các chi nhánh của một tổ chức, giữa các tổ chức với nhau hoặc là với các dịch vụ bên ngoài. Trong mạng WAN có thể có rất nhiều dạng traffic khác nhau đi qua như voice, data, video… 1. Các bước thiết kế mạng WAN Thiết kế mạng WAN cũng được xem là một nhiệm vụ tương đối khó khăn. Để có được một mạng WAN hoạt động hiệu quả chúng ta có thể làm theo các bước sau: +Xác định các mạng LAN cần được kết nối. Vì mạng WAN có nhiệm vụ kết nối các mạng LAN với nhau nên việc xác định được các mạng cần kết nối là rất quan trọng. Dựa trên bước này chúng ta mới có thể tiến hành các bước tiếp theo. +Phân tích các traffic chạy trên mạng. Việc phân tích này sẽ giúp chúng ta xác định được các yêu cầu của mạng WAN. Ví dụ như mạng được thiết kế truyền nhiều voice và video thì yêu cầu bandwidth lớn. +Xác định topo mạng. Dựa trên việc xác định được các mạng LAN cần kết nối ta sẽ lựa chọn được topology phù hợp. +Lên kế hoạch về bandwidth. Thông qua phân tích traffic có thể xác định được bandwidth cần thiết của đường truyền và từ đây xác định công nghệ sẽ được sử dụng. Bảng 2.3.1: Bandwidth của một số công nghệ mạng WAN Công nghệ Bandwidth Leased Line Không giới hạn ISDN 64 hoặc 128 kbps, <2 Mbps PRI X.25 48 kbps Frame Relay 4 Mbps ATM 155 Mbps +Chọn công nghệ sử dụng. Hiện nay có rất nhiều công nghệ mạng WAN được sử dụng như ISDN (Integrated Services Digital Network), Leased Line, X.25, Frame Relay, ATM (Asynchronous Transfer Mode), DSL (Digital Subscriber Line)… Tuỳ theo yêu cầu về tốc độ và giá thành mà ta lựa chọn công nghệ phù hợp. +Đánh giá toàn bộ về khả năng cũng như chi phí cho việc xây dựng mạng WAN để từ đó quyết định có triển khai hay không. 2. Một số topology mạng WAN +Point to point topology Hình 2.3.1: Mô hình point to point Khi 2 mạng LAN kết nối với nhau bởi 1 link duy nhất, topo được gọi là point to point. Đây là một dạng topo đơn giản, dễ thiết lập nhưng có một điểm rất hạn chế đó là traffic muốn đi từ nút này đến nút kia cần phải qua tất cả các nút trung gian, như vậy sẽ gây ra độ trễ tương đối lớn. +Star topology Hình 2.3.2: Mô hình star Để giảm độ trễ có thể sử dụng topo này. Traffic từ 1 nút đi đến 1 nút khác chỉ phải qua nhiều nhất là 1 nút trung gian. Router ở vị trí trung tâm sẽ cần có nhiều cổng và cần có khả năngiáo dục tốt hơn các router khác bởi vì nó phải xử lý tất cả các traffic trên mạng. +Mesh topology Hình 2.3.3: Mô hình mesh Hai dạng topo giới thiệu ở trên thường ít được áp dụng. Ở hai dạng trên, khi một link nào đó bị hỏng sẽ dẫn tới việc mạng bị down, nhất là dạng point to point. Trên thực tế topo dạng mesh thường được sử dụng nhất. Mỗi router có ít nhất 2 đường link tới router khác. Như vậy khi có 1 đường link nào đó gặp vấn đề thì mạng vẫn hoạt động bình thường. 3. Mô hình phân lớp mạng WAN Cũng giống như trong mạng LAN, mô hình phân lớp cũng được áp dụng trong thiết kế mạng WAN. Hình 2.3.4: Mô hình phân lớp trong thiết kế mạng WAN Mô hình này bao gồm 3 lớp: +Core layer: Đây là lớp cung cấp các đường truyền tốc độ cao giữa các site khác nhau. Trong lớp này không nên có bất kì một quá trình xử lý gói tin nào ví dụ như dùng ACLs. Việc này có thể làm chậm quá trình chuyển các gói tin, tức là làm chậm quá trình xử lý của mạng. +Distribution layer: Giống như trong mô hình thiết kế LAN, mọi quá trình xử lý gói tin đều được tiến hành ở đây. Ngoài ra việc định tuyến cho các VLAN và áp dụng các phương thức bảo mật cũng có thể được tiến hành ở lớp này. +Access layer: Đây là nơi kết nối giữa người dùng (end users) với mạng, hay chính là nơi kết nối giữa các mạng LAN với WAN backbones. Ở lớp này cũng có thể áp dụng các phương pháp bảo mật như ACLs hay packetfiltering. PHẦN 3: MỘT SỐ PHƯƠNG THỨC TẤN CÔNG VÀ CÁC BIỆN PHÁP BẢO VỆ MẠNG Chương 1: MỘT SỐ PHƯƠNG THỨC TẤN CÔNG CHỦ YẾU 1. Các vấn đề chung Ngày nay cùng với sự phát triển mạnh mẽ của công nghệ thông tin, các mô hình mạng cũng có xu hướng ngày càng được nâng cấp để có thể phát triển song hành cùng với những tiến bộ không ngừng của những công nghệ mới. Nhưng sự phát triển này cũng mang theo nó rất nhiều phiền toái, bởi cùng với sự phát triển về công nghệ bảo mật thì những kẻ phá hoại trên mạng cũng không ngừng nâng cao tay nghề phá hoại của mình, và kĩ thuật mà chúng sử dụng ngày càng tinh vi, xảo quyệt hơn. Công nghệ tấn công ngày càng phức tạp và vì thế cũng rất khó có biện pháp hữu hiệu nào có thể chống được hoàn toàn những vấn đề đó. Ngày nay có rất nhiều cách tấn công được những kẻ tấn công trên mạng sử dụng như những công cụ phá hoại phổ biến để phá hoại thông tin trên mạng. Nhưng dù có nhiều cách tấn công đến mấy thì các cách mà những hacker dùng để tấn công hệ thống đều dựa trên những yếu tố sau: +Tấn công vào những mục tiêu phổ biến (những ứng dụng hay những thành phần mạng). +Tấn công bằng hai phương pháp thông dụng active và passive. +Các cách thực hiện việc tấn công khác như ăn trộm password, phá mật mã, thuật toán giải mã… Dù cho các cách tấn công có tinh vi đến mấy thì nó cũng chỉ tập trung ở những loại cơ bản sau: +Chủ động tấn công (Active attacks) Bao gồm các cách tấn công như Denial of Service (DoS), Distributed Denial of Service (DdoS), buffer overflow, SYN attack, spoofing… +Tấn công bị động (Passive attacks) Bao gồm các cách tấn công như sniffing, vulnerability scanning… +Tấn công Password (Password attacks) Bao gồm các cách tấn công như password guessing, brute force, dictionary-based password attacks… Trên đây là tổng kết những phương pháp tấn công mạng phổ biến nhất hiện nay mà ta thường gặp. Để hiểu biết sâu hơn về vấn đề này ta đi nghiên cứu từng cách tấn công một. 2. Tấn công chủ động 2.1. Phương pháp tấn công DoS Những kiểu tấn công chủ động rất dễ nhận biết, bởi vì những nguy hiểm đối với hệ thống mạng được thể hiện rất rõ. Những kẻ tấn công theo cách này không lắng nghe thông tin trên đường dây mà thường tìm cách phá hoại đến môi trường mạng và những dịch vụ đang hoạt động. Phương pháp tấn công chủ động có khuynh hướng rất rõ ràng, bởi vì những nguyên nhân gây ra thiệt hại thường là nhận biết được. Một trong những kiểu tấn công tiêu biểu cho dạng tấn công này đó là kiểu tấn công DoS và DDoS. DoS (Denial of Service) là phương pháp tấn công trực diện vào trung tâm của mạng nhằm làm cho cơ sở hạ tầng của những dịch vụ mạng bị phân tán. Kiểu tấn công này thường không chú trọng đến việc đột nhập vào hệ thống mà nó định tấn công, nó thường tác động làm giảm chất lượng cung cấp dịch vụ của mạng, làm cho hệ thống không còn khả năng phân phối dịch vụ cho khách hàng nữa. Thông thường chúng ta đều nghĩ rằng mục tiêu tấn công chủ yếu của DoS chỉ là những máy chủ (server). Điều này không phải lúc nào cũng là đúng, bởi vì mục đích tấn công chủ yếu của phương pháp này chính là nó làm giảm chất lượng cung cấp dịch vụ ứng dụng tới tất cả những khách hàng của hệ thống mạng đó. Mà mọi khách hàng đều sử dụng môi trường vật lý hay những thực thể logic để liên kết với các hệ thống máy tính khác, những môi trường liên lạc này thường đều có giới hạn nhất định về traffic nào đó. Khi đó kẻ tấn công sẽ gửi tới mạng liên tiếp những gói tin khiến cho hệ thống, hay server không thể xử lý kịp những gói tin đó. Đây cũng chính là nguyên nhân mà ta không thể dự đoán trước được. Cách tấn công này có thể gây ra hiện tượng mạng bị treo, thậm chí nó còn làm cho mạng bị shutdown. Một số lượng lớn những vụ tấn công bởi DoS có thể sẽ gây khó khăn cho việc phát hiện và ngăn chặn hiện tượng này và nó còn có thể làm sai lệch thông tin cảnh báo mà bạn nhận được. Phần lớn các cuộc tấn công bằng phương pháp DoS đều bắt nguồn từ nguyên nhân xảy ra những lỗ hổng trên mạng mà hacker đã dò và phát hiện ra. Phương pháp tấn công DoS không chỉ được hình thành và thực hiện từ những hệ thống ở xa mà nó còn được xuất phát từ chính bên trong của những mạng đó. Những cuộc tấn công DoS xuất phát từ mạng cục bộ thường dễ xác định được vị trí tấn công để sửa chữa vì giới hạn không gian của vấn đề đã được xác định rõ ràng. Phương thức tấn công DoS có hai dạng cơ bản phổ biến, đó là : +Tấn công phá hoại tài nguyên. +Tấn công vào những gói tin dị tật. Tài nguyên của máy tính luôn là có hạn, các nhà quản trị trên toàn thế giới đều nhận thức được về vấn đề thiếu thốn này như sự khan hiếm về dải thông, sự hạn chế của CPU, RAM, và bộ nhớ phụ. Sự thiếu hụt này gây nên rất nhiều khó khăn cho việc phân phối một vài dạng dịch vụ tới những khách hàng (client). Một trong những dạng tấn công tiêu biểu cho hình thức này được gọi là network bandwidth. Một số các doanh nghiệp có vị trí thuận lợi và có dải thông dư thừa cũng nên đề phòng với loại hình tấn công này vì chính sự dư thừa đó lại tạo cơ hội nảy sinh những đợt tấn công kiểu này. Sự tàn phá nguồn tài nguyên mạng phần lớn là bắt nguồn từ bên ngoài mạng nhưng ta cũng không nên loại bỏ khả năng mình sẽ bị tấn công từ chính bên trong mạng đó. Dạng tấn công này thường được thực hiện bằng cách kẻ tấn công gửi một lượng lớn những gói tin tới máy tính bị hại. Hình thức tấn công này được gọi là hiện tượng làm “tràn” mạng (flooding). Mạng bị tấn công có thể bị tràn ngập bởi các gói tin gửi tới, dải thông của mạng sẽ bị chiếm hết và do đó các dịnh vụ khác muốn chạy trên hệ thống đều bị nhưng trệ, hệ thống mạng coi như trở thành tê liệt. Một cách phá huỷ hệ thống khác cũng hay được sử dụng là nhờ vào sự cấu hình mạng một cách lỏng lẻo, hacker sẽ tìm cách điều khiển traffic của kẻ bị hại, bằng cách này hacker có thể lừa bịp sự kiểm soát của mạng và dễ dàng làm cho mạng đó bị tràn ngập. Kiểu tấn công mạng như vậy được gọi là tấn công vào ứng dụng (Application attacks). Nhìn chung DoS là một dạng tấn công mạng hoạt động trong một phạm vi rất rộng, vì thế nó thường xuất hiện trong rất nhiều hoàn cảnh khác nhau. Đây là một dạng tấn công nhằm mục đích phá hoại những tài nguyên trên mạng, làm giảm khả năng kết nối của hệ thống để hợp pháp hoá tư cách sử dụng tài nguyên mạng của những kẻ phá hoại, từ đó làm tê liệt hệ thống hay hệ điều hành mạng. 2.2. Phương pháp tấn công DDoS DDoS (Distributed Denial of Service) là cách thức tấn công được phát triển dựa trên những gì mà DoS đã sẵn có. Đây là một trong những phương pháp tấn công phổ biến hiện nay, nó gắn liền với tất cả các mạng và phân phối trên rất nhiều mạng máy tính trên thế giới. Cách thức tấn công DDoS được chia làm hai pha khác biệt. +Trong suốt thời gian của pha một DDoS, kẻ làm hại mạng máy tính này sẽ hoạt động trên khắp mạng Internet và tiến hành cài đặt những phần mềm đặc biệt trên các host nhằm mục đích giúp đỡ cho sự tấn công sau này. +Trong pha thứ hai, những host đã bị hại (được gọi là zombies) sẽ cung cấp thông tin cho giai đoạn trung gian (master) để bắt đầu cho một cuộc tấn công. Hàng trăm, thậm chí có thể là hàng nghìn zombies có thể được kết nạp vào cuộc tấn công này bởi những kẻ hacker chuyên cần. Bằng cách sử dụng những phần mềm đã cài đặt từ trước để điều khiển, mỗi zombies sẽ được sử dụng sao cho chính bản thân nó sẽ có thể tấn công vào mục tiêu. Những kết quả tấn công bằng zombies sẽ được tích luỹ lại và nó làm cho một lượng lớn traffic trên mạng sẽ bị rỗng cạn tài nguyên và các liên lạc sẽ bị chồng chất lên nhau. 2.3. Tấn công SYN Bản chất của phương pháp tấn công SYN attacks là dựa vào những yếu điểm của giao thức TCP/IP. Phương pháp này lợi dụng quá trình bắt tay ba bước (3-way handshake) để làm cho thiết bị đích gửi ACK về cho địa chỉ nguồn và không kết thúc quá trình bắt tay được. Trước hết chúng ta tìm hiểu về quá trình bắt tay ba bước. Hình 3.1.1: Quá trình bắt tay 3 bước (3- way handshake) Quá trình này được bắt đầu khi một host gửi đi một gói SYN (synchronization). Trong gói syn này sẽ có địa chỉ IP của nguồn và đích, nó sẽ giúp máy đích gửi gói tin SYN/ACK cho máy nguồn. Khi máy nguồn nhận được gói tin này nó sẽ gửi gói tin ACK xác nhận thiết lập kết nối. Trong kiểu tấn công SYN, hacker sẽ gửi những gói tin SYN nhưng giả mạo địa chỉ IP nguồn. Khi đó máy nhận sẽ trả lời cho một địa chỉ IP không tồn tại, không đến được và chờ nhận ACK từ máy đó. Trong trạng thái chờ như vậy, yêu cầu thiết lập kết nối được lưu trong hàng đợi hoặc trong bộ nhớ. Trong suốt trạng thái chờ, hệ thống bị tấn công sẽ phải dành hẳn một phần tài nguyên cho đến khi thời gian chờ hết hạn. Hiình 3.1.2: SYN attack Với rất nhiều gói tin SYN gửi đi, hacker sẽ làm tràn ngập thiết bị khiến cho thiết bị này bị tràn ngập tài nguyên khi trả lời và chờ các kết nối giả tạo và nó không còn khả năng trả lời cho các yêu cầu kết nối thật khác. Để chống lại phương pháp này có thể dùng cách giảm thời gian chờ cho một kết nối và tăng kích thước hàng đợi lên. Tuy nhiên đây chỉ là cách bị động để giải quyết. Phương pháp tốt nhất là dùng các hệ thống cảnh báo và phát hiện dấu hiệu của các đợt tấn công này để ngăn chặn từ trước. 3. Tấn công bị động Phương pháp tấn công này trái ngược với kiểu tấn công chủ động. Trong suốt quá trình tấn công, kẻ tấn công không không trực tiếp làm ảnh hưởng đến mạng bị hại. 3.1. Sniffing Sniffing có nghĩa là sự nghe trộm thông tin trên mạng. Sniffer là một tool có khả năng giúp các thiết bị nhìn thấy tất cả các gói tin mà chúng đi qua. Đây là một công cụ rất mạnh để chuẩn đoán được những vấn đề của mạng, nhưng nó cũng có thể được dùng vào những mục đích xấu như dùng để tìm password email hay bất cứ một dạng dữ liệu nào được gửi đi dưới dạng text. 3.2. Vulnerability scanning Đây là phương pháp tấn công quét tìm điểm yếu của hệ thống. Nó chỉ dẫn và tìm chỗ yếu của hệ thống để kẻ tấn công tìm được cơ hội xâm nhập vào mạng. 4. Tấn công password Kiểu tấn công password rất phổ biến hiện nay. Đây cũng là kiểu tấn công rất dễ thực hiện và cho kết quả tương đối cao. Có hai dạng tấn công phổ biến là brute force và dictionary-based attack. 4.1. Brute force attacks Đây được hiểu một cách đơn giản là sự kết hợp của rất nhiều kiểu phá password. Thông thường chiều dài của password là từ 4 đến 16 kí tự, đồng thời cũng có khoảng 100 kí tự được dùng để đặt password, như vậy sẽ có khoảng 1004 đến 10016 tổ hợp password được tạo ra. Đây cũng là một nguyên nhân có thể dẫn tới việc password có thể bị tấn công bằng Brute force Aattacks. Đặc điểm tấn công của phương pháp này làm cho người ta quan tâm đến việc tăng tổ hợp mã hoá password. 4.2. Dictionary-based attacks Đây là phương pháp tấn công password đơn giản nhất. Nó dựa vào một danh sách tập hợp đầy đủ những khả năng thông thường người tạo ra password hay sử dụng như những câu nói, những địa danh, những từ ngữ mang tính riêng tư hay những biểu tượng đặc biệt. Bằng cách cho chạy list này để tìm kiếm sự trùng lặp, kẻ tấn công đôi khi cũng tìm được password để phục vụ cho mục đích của mình. Chương 2: MỘT SỐ BIỆN PHÁP BẢO VỆ MẠNG Ở phần trước ta đã đề cập đến một số phương pháp tấn công mạng chủ yếu hiện nay. Trong phần này ta sẽ xem xét các biện pháp chống lại sự tấn công đó thông qua việc phân tích những chức năng bảo vệ dữ liệu của một số thiết bị mạng thông dụng vẫn thường được sử dùng trong các mô hình mạng để đưa ra những phương hướng khắc phục cũng như biện pháp bảo vệ một cách thích hợp nhất. 1. Switch Switch là thiết bị hoạt động trên tầng 2 của mô hình OSI (Datalink layer), đây là một thiết bị được dùng rộng rãi trên hầu hết các mô hình hệ thống mạng. Mỗi cổng của switch là một vùng xung đột (collision domain) nên sẽ tránh được đụng dộ khi mỗi cổng gửi thông tin đi. Ở switch băng thông cũng không bị chia sẻ như ở Hub. Tất cả các cổng của switch nằm trong 1 vùng quảng bá (broadcast domain), tức là khi có 1 gói tin mang địa chỉ broadcast tầng 3 đến switch thì tất cả các máy tính nối vào các cổng của switch đều phải xử lý gói tin đó. Các gói tin gửi giữa các máy tính trong cùng mạng LAN sẽ được switch định tuyến dựa trên địa chỉ MAC (Media Access Control). Trên mỗi switch có một bảng địa chỉ MAC được gọi là bảng CAM (Content Addressable Memory), dựa vào bảng này mà switch chuyển các gói tin đến đúng cổng đích. Mỗi card mạng có một địa chỉ MAC duy nhất đo đó mỗi PC sẽ chỉ tương ứng với 1 địa chỉ MAC duy nhất trong bảng CAM. 1.1. Password truy cập và port sercurity Khi các cổng của switch không có biện pháp bảo vệ, bất kì người nào với 1 máy tính xách tay đều có thể kết nối vào mạng và có thể sử dụng tài nguyên của mạng. Một trong những cách ngăn chặn việc này đó là thiết lập Static MAC Address. Tức là gắn cho mỗi cổng của switch tương ứng với 1 địa chỉ MAC xác định. Khi đó chỉ có duy nhất máy tính có địa chỉ MAC như thế mới sử dụng được cổng này. Ta có thể cấu hình static MAC address theo các câu lệnh sau: Switch#config terminal Switch(config)#mac-address-table static 0010.7a60.1982 interface fa0/5 vlan VLAN1 Sau câu lệnh này địa chỉ MAC 0010.7a60.1982 sẽ được gắn vào cổng số 5 của switch. Việc đặt static MAC address đôi khi gây ra lỗi do địa chỉ MAC không chính xác và mất công xác định địa chỉ MAC của từng máy tính. Vấn đề này sẽ được giải quyết bằng việc cấu hình port sercurity trên switch. Địa chỉ MAC đầu tiên mà switch học được từ cổng được cấu hình sẽ được lấy. Ngoài ra chúng ta có thể cấu hình được số địa chỉ MAC tối đa sẽ được gắn cho 1 cổng. Switch(config)#interface fa0/5 Switch(config-if)#port sercurity Switch(config-if)#port sercurity max-mac-count 10 Switch(config-if)#port sercurity action shutdown|trap Ở đây đã cấu hình port sercurity cho cổng số 5 của switch. Số 10 có ý nghĩa là có tối đa 10 địa chỉ MAC được gán cho port này. Trong dòng lệnh cuối cùng, nếu sau action là trap thì khi có xâm nhập bất hợp pháp vào port sercurity thì switch sẽ báo cho người quản trị biết, còn nếu là shutdown thì port này sẽ tự động treo không hoạt động nữa. Khi có thay đổi trong mạng như là việc thêm, thay đổi hoặc bỏ các máy tính đi thì cần cấu hình lại và bỏ cấu hình cũ đi. Việc đặt các password truy cập cũng phần nào chống lại được sự truy cập bất hợp pháp để điều khiển switch. Chúng ta có thể đặt password cho cổng consol, cho các phiên telnet… Switch(config)#line configuration 0 Switch(config-line)#password bachkhoa Switch(config-line)#login Switch(config-line)#line vty 0 4 Switch(config-line)#password bachkhoa Switch(config-line)#login Các câu lệnh trên đã đặt password cho cổng consol và các phiên telnet là bachkhoa. Muốn sử dụng thì cần phải nhập đúng password này. 1.2. VLAN Các phương pháp v