HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

CƠ SỞ TẠI THÀNH PHỐ HỒ CHÍ MINH

--------------------------------

TIỂU LUẬN MÔN HỌC

MẠNG MÁY TÍNH

ĐỀ TÀI:

AN NINH MẠNG MÁY TÍNH VÀ GIAO

THỨC IPSEC

Sinh viên thực hiện: Huỳnh Ngọc Dương

Mã số sinh viên: N19DCCN033
Lớp: D19CQCN03-N
 TPHCM 10/2021

MỤC LỤC

I. TỔNG QUAN VỀ AN NINH MẠNG...............................................................................................3

1. An toàn mạng là gì?...................................................................................................3
2. Các đặc trưng kỹ thuật của an toàn mạng...............................................................4
3. Các lỗ hổng và điểm yếu của mạng..........................................................................5
4. Các hình thức tấn công mạng phổ biến hiện nay và cách phòng tránh................6
4.1 Tấn công bằng phần mềm độc hại (Malware).................................................................6
4.2 Tấn công giả mạo (Phishing)...........................................................................................7
4.3 Tấn công từ chối dịch vụ (Dos và Ddos)..........................................................................9
4.4 Tấn công trung gian (Man-in-the-middle attack)..........................................................11
4.5 Khai thác lỗ hổng Zero-day...........................................................................................12
II. Giới thiệu chung về giao thức IPSec.........................................................................................13
1. Khái niệm: IPSec là gì?............................................................................................13
2. Sơ lược về lịch sử của IPSec..................................................................................13
III. Cấu trúc thông điệp của giao thức IPSec và phân tích ý nghĩa các trường tin.......................13
1. Định dạng tiêu đề (AH).............................................................................................13
2. Đóng gói tải trọng bảo mật (ESP)...........................................................................15
3. Trao đổi khóa Internet (IKE).....................................................................................16
IV. Phương thức hoạt động của giao thức IPSec.......................................................................16
1. Transport Mode (chế độ vận chuyển).....................................................................16
2. Tunnel mode (chế độ đường hầm).........................................................................17
V. Kết luận...................................................................................................................................18
1. An ninh mạng máy tính............................................................................................18
2. Giao thức IPSec........................................................................................................18
CÁC TỪ VIẾT TẮT.............................................................................................................................19
TÀI LIỆU THAM KHẢO......................................................................................................................20
I. TỔNG QUAN VỀ AN NINH MẠNG
1. An toàn mạng là gì?
Mục tiêu của việc kết nối mạng là để nhiều người sử dụng, từ những vị trí địa
lý khác nhau có thể sử dụng chung tài nguyên, trao đổi thông tin với nhau. Do đặc
điểm nhiều người sử dụng lại phân tán về mặt vật lý nên việc bảo vệ các tài nguyên
thông tin trên mạng, tránh sự mất mát, xâm phạm là cần thiết và cấp bách. An toàn
mạng có thể hiểu là cách bảo vệ, đảm bảo an toàn cho tất cả các thành phần mạng
bao gồm dữ liệu, thiết bị, cơ sở hạ tầng mạng và đảm bảo mọi tài nguyên mạng được
sử dụng tương ứng với một chính sách hoạt động được ấn định và với chỉ những
người có thẩm quyền tương ứng.

An toàn mạng bao gồm:

Xác định chính xác các khả năng, nguy cơ xâm phạm mạng, các sự cố rủi ro đối
với thiết bị, dữ liệu trên mạng để có các giải pháp phù hợp đảm bảo an toàn mạng.
Đánh giá nguy cơ tấn công của Hacker đến mạng, sự phát tán virus... Phải nhận
thấy an toàn mạng là một trong những vấn đề cực kỳ quan trọng trong các hoạt động,
giao dịch điện tử và trong việc khai thác sử dụng các tài nguyên mạng.
Một thách thức đối với an toàn mạng là xác định chính xác cấp độ an toàn cần
thiết cho việc điều khiển hệ thống và các thành phần mạng. Đánh giá các nguy cơ, các
lỗ hổng khiến mạng có thể bị xâm phạm thông qua cách tiếp cận có cấu trúc. Xác định
những nguy cơ ăn cắp, phá hoại máy tính, thiết bị, nguy cơ virus, bọ gián điệp.., nguy
cơ xoá, phá hoại CSDL, ăn cắp mật khẩu,... nguy cơ đối với sự hoạt động của hệ thống
như nghẽn mạng, nhiễu điện tử...Khi đánh giá được hết những nguy cơ ảnh hưởng

3
tới an ninh mạng thì mới có thể có được những biện pháp tốt nhất để đảm bảo an
ninh mạng.
Sử dụng hiệu quả các công cụ bảo mật (ví dụ như Firewall ...) và những biện
pháp, chính sách cụ thể chặt chẽ.
Về bản chất có thể phân loại các vi phạm thành hai loại vi phạm thụ động và vi
phạm chủ động. Thụ động và chủ động được hiểu theo nghĩa có can thiệp vào nội
dung và luồng thông tin có bị tráo đổi hay không. Vi phạm thụ động chỉ nhằm mục
đích nắm bắt được thông tin. Vi phạm chủ động là thực hiện sự biến đổi, xoá bỏ hoặc
thêm thông tin ngoại lai để làm sai lệch thông tin gốc nhằm mục đích phá hoại. Các
hành động vi phạm thụ động thường khó có thể phát hiện nhưng có thể ngăn chặn
hiệu quả. Trái lại vi phạm chủ động rất dễ phát hiện nhưng lại khó ngăn chặn.

2. Các đặc trưng kỹ thuật của an toàn mạng

a) Xác thực (Authentification): Kiểm tra tính xác thực của một thực thể giao tiếp
trên mạng. Một thực thể có thể là một người sử dụng, một chương trình máy tính,
hoặc một thiết bị phần cứng. Các hoạt động kiểm tra tính xác thực được đánh giá là
quan trọng nhất trong các hoạt động của một phương thức bảo mật. Một hệ thống
thông thường phải thực hiện kiểm tra tính xác thực của một thực thể trước khi thực
thể đó thực hiện kết nối với hệ thống. Cơ chế kiểm tra tính xác thực của các phương
thức bảo mật dựa vào 3 mô hình chính sau:
 Đối tượng cần kiểm tra cần phải cung cấp những thông tin trước, ví dụ như
Password, hoặc mã số thông số cá nhân PIN (Personal Information Number).
 Kiểm tra dựa vào mô hình những thông tin đã có, đối tượng kiểm tra cần phải
thể hiện những thông tin mà chúng sở hữu, ví dụ như Private Key, hoặc số thẻ
tín dụng.
 Kiểm tra dựa vào mô hình những thông tin xác định tính duy nhất, đối tượng
kiểm tra cần phải có những thông tin để định danh tính duy nhất của mình ví
dụ như thông qua giọng nói, dấu vân tay, chữ ký ...
Có thể phân loại bảo mật trên VPN theo các cách sau: mật khẩu truyền thống
hay mật khẩu một lần; xác thực thông qua các giao thức (PAP, CHAP, RADIUS…) hay
phần cứng (các loại thẻ card: smart card, token card, PC card), nhận diện sinh trắc học
(dấu vân tay, giọng nói, quét võng mạc...).
b) Tính khả dụng (Availability): Tính khả dụng là đặc tính mà thông tin trên mạng
được các thực thể hợp pháp tiếp cận và sử dụng theo yêu cầu, khi cần thiết bất cứ khi
nào, trong hoàn cảnh nào. Tính khả dụng nói chung dùng tỷ lệ giữa thời gian hệ thống
được sử dụng bình thường với thời gian quá trình hoạt động để đánh giá. Tính khả
dụng cần đáp ứng những yêu cầu sau: Nhận biết và phân biệt thực thể, khống chế
tiếp cận (bao gồm cả việc khống chế tự tiếp cận và khống chế tiếp cận cưỡng bức),
khống chế lưu lượng (chống tắc nghẽn..), khống chế chọn đường (cho phép chọn
đường nhánh, mạch nối ổn định, tin cậy), giám sát tung tích (tất cả các sự kiện phát
4
sinh trong hệ thống được lưu giữ để phân tích nguyên nhân, kịp thời dùng các biện
pháp tương ứng).
c) Tính bảo mật (Confidentialy): Tính bảo mật là đặc tính tin tức không bị tiết lộ
cho các thực thể hay quá trình không được uỷ quyền biết hoặc không để cho các đối
tượng đó lợi dụng. Thông tin chỉ cho phép thực thể được uỷ quyền sử dụng. Kỹ thuật
bảo mật thường là phòng ngừa dò la thu thập (làm cho đối thủ không thể dò la thu
thập được thông tin), phòng ngừa bức xạ (phòng ngừa những tin tức bị bức xạ ra
ngoài bằng nhiều đường khác nhau, tăng cường bảo mật thông tin (dưới sự khống
chế của khoá mật mã), bảo mật vật lý (sử dụng các phương pháp vật lý để đảm bảo
tin tức không bị tiết lộ).
d) Tính toàn vẹn (Integrity): Là đặc tính khi thông tin trên mạng chưa được uỷ
quyền thì không thể tiến hành biến đổi được, tức là thông tin trên mạng khi đang lưu
giữ hoặc trong quá trình truyền dẫn đảm bảo không bị xoá bỏ, sửa đổi, giả mạo, làm
rối loạn trật tự, phát lại, xen vào một cách ngẫu nhiên hoặc cố ý và những sự phá hoại
khác. Những nhân tố chủ yếu ảnh hưởng tới sự toàn vẹn thông tin trên mạng gồm: sự
cố thiết bị, sai mã, bị tác động của con người, virus máy tính…
Một số phương pháp bảo đảm tính toàn vẹn thông tin trên mạng: - Giao thức
an toàn có thể kiểm tra thông tin bị sao chép, sửa đổi hay sao chép. Nừu phát hiện thì
thông tin đó sẽ bị vô hiệu hoá. - Phương pháp phát hiện sai và sửa sai. Phương pháp
sửa sai mã hoá đơn giản nhất và thường dùng là phép kiểm tra chẵn - lẻ. - Biện pháp
kiểm tra mật mã ngăn ngừa hành vi xuyên tạc và cản trở truyền tin. - Chữ ký điện tử:
bảo đảm tính xác thực của thông tin. - Yêu cầu cơ quan quản lý hoặc trung gian chứng
minh tính chân thực của thông tin.
e) Tính khống chế (Accountlability): Là đặc tính về năng lực khống chế truyền bá
và nội dung vốn có của tin tức trên mạng.
f) Tính không thể chối cãi (Nonreputation): Trong quá trình giao lưu tin tức trên
mạng, xác nhận tính chân thực đồng nhất của những thực thể tham gia, tức là tất cả
các thực thể tham gia không thể chối bỏ hoặc phủ nhận những thao tác và cam kết đã
được thực hiện.
3. Các lỗ hổng và điểm yếu của mạng
a) Các lỗ hổng bảo mật hệ thống là các điểm yếu có thể tạo ra sự ngưng trệ của
dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy nhập không hợp
pháp vào hệ thống. Các lỗ hổng tồn tại trong các dịch vụ như Sendmail, Web,Ftp ... và
trong hệ điều hành mạng như trong Windows NT, Windows 95, UNIX; hoặc trong các
ứng dụng. Các loại lỗ hổng bảo mật trên một hệ thống được chia như sau:
Lỗ hổng loại C: cho phép thực hiện các phương thức tấn công theo kiểu từ
chối dịch vụ DoS (Dinal of Services). Mức nguy hiểm thấp, chỉ ảnh hưởng chất lượng
dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống, không phá hỏng dữ liệu hoặc
chiếm quyền truy nhập.
Lổ hổng loại B: cho phép người sử dụng có thêm các quyền trên hệ thống mà
không cần thực hiện kiểm tra tính hợp lệ. Mức độ nguy hiểm trung bình, những lỗ
5
hổng này thường có trong các ứng dụng trên hệ thống, có thể dẫn đến hoặc lộ thông
tin yêu cầu bảo mật.
Lỗ hổng loại A: Các lỗ hổng này cho phép người sử dụng ở ngoài cho thể truy
nhập vào hệ thống bất hợp pháp. Lỗ hổng rất nguy hiểm, có thể làm phá hủy toàn bộ
hệ thống.
b) Các phương thức tấn công mạng: Kẻ phá hoại có thể lợi dụng những lỗ hổng
trên để tạo ra những lỗ hổng khác tạo thành một chuỗi những lỗ hổng mới. Để xâm
nhập vào hệ thống, kẻ phá hoại sẽ tìm ra các lỗ hổng trên hệ thống, hoặc từ các chính
sách bảo mật, hoặc sử dụng các công cụ dò xét (như SATAN, ISS) để đạt được quyền
truy nhập. Sau khi xâm nhập, kẻ phá hoại có thể tiếp tục tìm hiểu các dịch vụ trên hệ
thống, nắm bắt được các điểm yếu và thực hiện các hành động phá hoại tinh vi hơn.
4. Các hình thức tấn công mạng phổ biến hiện nay và cách phòng
tránh.
4.1 Tấn công bằng phần mềm độc hại (Malware).
4.1.1 Tấn công Malware là gì?
Tấn công Malware là một trong những hình thức tấn công qua mạng phổ biến
nhất hiện nay. Malware bao gồm:

 Spyware (phần mềm gián điệp)

 Ransomware (mã độc tống tiền)
 Virus
 Worm (phần mềm độc hại lây lan với tốc độ nhanh)

Thông thường, Hacker sẽ tiến hành tấn công người dùng thông qua các lỗ
hổng bảo mật. Hoặc lừa người dùng Click vào một đường Link hoặc Email
(Phishing) để cài phần mềm độc hại tự động vào máy tính. Một khi được cài
đặt thành công, Malware sẽ gây ra những hậu quả nghiêm trọng:

 Chặn các truy cập vào hệ thống mạng và dữ liệu quan trọng
(Ransomware).

6
  Cài đặt thêm phần mềm độc hại khác vào máy tính người dùng.
 Đánh cắp dữ liệu (Spyware).
 Phá hoại phần cứng, phần mềm, làm hệ thống bị tê liệt, không thể hoạt
động.

4.1.2 Cách phòng chống Malware.

 Sao lưu dữ liệu thường xuyên: Việc này sẽ giúp bạn không phải lo
lắng khi dữ liệu bị phá hủy.

 Thường xuyên cập nhật phần mềm: Các bản cập nhật của phần mềm
(trình duyệt, hệ điều hành, phần mềm diệt Virus,…) sẽ vá lỗi bảo mật
còn tồn tại trên phiên bản cũ, đảm bảo an toàn thông tin cho người
dùng.

 Cẩn thận với các Link hoặc File lạ: Đây là phương thức lừa đảo khá
phổ biến của Hacker. Chúng sẽ gửi Email hoặc nhắn tin qua Facebook,
đính kèm Link Download và nói rằng đó là File quan trọng hoặc chứa
nội dung hấp dẫn. Khi tải về, các File này thường nằm ở
dạng .docx, .xlxs, .pptx hay .pdf, nhưng thực chất là File .exe (chương
trình có thể chạy được). Ngay lúc người dùng Click mở File, mã độc sẽ
lập tức bắt đầu hoạt động.

4.2 Tấn công giả mạo (Phishing).

4.2.1 Tấn công Phishing là gì?
Phishing (tấn công giả mạo) là hình thức tấn công mạng bằng giả mạo
thành một đơn vị uy tín để chiếm lòng tin và yêu cầu người dùng cung cấp
thông tin cá nhân cho chúng.

7
Thông thường, Hacker sẽ giả mạo là ngân hàng, ví điện tử, trang giao dịch
trực tuyến hoặc các công ty thẻ tín dụng để lừa người dùng chia sẻ các thông
tin cá nhân như: tài khoản & mật khẩu đăng nhập, mật khẩu giao dịch, thẻ tín
dụng và các thông tin quan trọng khác.
Phương thức tấn công này thường được thực hiện thông qua việc gửi Email
và tin nhắn. Người dùng khi mở Email và Click vào đường Link giả mạo sẽ
được yêu cầu đăng nhập. Nếu “cắn câu”, tin tặc sẽ có được thông tin cá nhân
của người dùng ngay tức khắc.
Phương thức Phishing được phát hiện lần đầu tiên vào năm 1987. Thuật ngữ
là sự kết hợp của 2 từ: Fishing For Information (câu thông tin) và Phreaking
(trò lừa đảo sử dụng điện thoại của người khác không trả phí). Do sự tương
đồng trong việc “câu cá” và “câu thông tin người dùng”, nên thuật ngữ
Phishing ra đời.

4.2.2 Các phương thức tấn công Phishing.

Giả mạo Email
Đây là hình thức Phishing khá căn bản. Tin tặc sẽ gửi Email đến người dùng
dưới danh nghĩa của một đơn vị/tổ chức uy tín nhằm dẫn dụ người dùng truy
cập đến Website giả mạo
Những Email giả mạo thường rất tinh vi và rất giống với Email chính chủ,
khiến người dùng nhầm lẫn và trở thành nạn nhân của cuộc tấn công. Dưới
đây là một số cách mà tin tặc thường ngụy trang:

 Địa chỉ người gửi (VD: Địa chỉ đúng là sales.congtyA@gmail.com thì

sẽ được giả mạo thành sale.congtyA@gmail.com)
 Thiết kế các cửa sổ Pop-up giống hệt bản gốc (cả màu sắc, Font chữ,
…)
 Sử dụng kỹ thuật giả mạo đường dẫn để lừa người dùng (VD: đường
dẫn là congtyB.com nhưng khi nhấn vào thì điều hướng
đến contyB.com)
 Sử dụng hình ảnh thương hiệu của các tổ chức lớn để tăng độ tin cậy.

Giả mạo Website

Giả mạo Website trong tấn công Phishing là làm giả một trang chứ không phải
toàn bộ Website. Trang được làm giả thường là trang đăng nhập để cướp
thông tin của người dùng.
Website giả thường có những đặc điểm sau:

 Thiết kế giống đến 99% so với Website gốc.

 Đường dẫn chỉ khác 1 ký tự duy nhất

(VD: facebook.com và fakebook.com, microsoft.com và mircosoft.c
om,…)
8
  Luôn có những thông điệp khuyến khích người dùng cung cấp thông tin
cá nhân.

4.2.3 Cách phòng chống tấn công Phishing.

 Cảnh giác với các Email có xu hướng thúc giục bạn nhập thông tin cá
nhân, thông tin nhạy cảm (thông tin thẻ tín dụng, thông tin tài khoản,..)
 Không Click vào các đường dẫn được gửi đến Email nếu không chắc
chắn an toàn.
 Không trả lời những thư rác, lừa đảo.
 Luôn cập nhật phần mềm, ứng dụng đề phòng các lỗ hổng bảo mật có
thể bị tấn công.

4.3 Tấn công từ chối dịch vụ (Dos và Ddos).

4.3.1 Tấn công từ chối dịch vụ (Dos và Ddos) là gì?
DoS (Denial of Service) là “đánh sập tạm thời” một hệ thống, máy chủ hoặc
mạng nội bộ. Để thực hiện được điều này, các Hacker thường tạo ra một
lượng Traffic/Request khổng lồ ở cùng một thời điểm, khiến cho hệ thống bị
quá tải. Theo đó, người dùng sẽ không thể truy cập vào dịch vụ trong khoảng
thời gian mà cuộc tấn công DoS diễn ra.

Một hình thức biến thể của DoS là DDoS (Distributed Denial of Service): Tin
tặc sử dụng một mạng lưới các máy tính (Botnet) để tấn công người dùng.vấn
đề ở đây là chính các máy tính thuộc mạng lưới Botnet sẽ không biết bản thân
đang bị lợi dụng trở thành công cụ tấn công.
4.3.2 Một số hình thức tấn công Ddos.

9
Tấn công gây nghẽn mạng (UDP Flood và Ping Flood)

 Mục tiêu: Gây quá tải hệ thống mạng bằng lượng truy cập lớn đến từ nhiều
nguồn để chặn các truy cập thực của người dùng.
 Phương thức: Gây nghẽn đối tượng bằng các gói UDP và ICMP.

Tấn công SYN flood (TCP)

 Mục tiêu: Gây cạn tài nguyên máy chủ, ngăn chặn việc nhận các yêu cầu kết
nối mới.
 Phương thức: Lợi dụng quá trình “bắt tay” 3 chặng TCP, gửi đi yêu cầu SYN đến
máy chủ và được phản hồi bằng một gói SYN-ACK. Nhưng không gửi lại gói
ACK, điều này khiến cho tài nguyên máy chủ bị sử dụng hết vào việc đợi gói
ACK gửi về.

Tấn công khuếch đại DNS

 Mục tiêu: Làm quá tải hệ thống bằng phản hồi từ các bộ giải mã DNS.
 Phương thức: Mạo danh địa chỉ IP của máy bị tấn công để gửi yêu cầu nhiều
bộ giải mã DNS. Các bộ giải mã hồi đáp về IP của máy có kích thước gói dữ liệu
có thể lớn hơn kích thước của yêu cầu tới 50 lần.

4.3.3 Cách phòng chống tấn công Ddos.

 Theo dõi lưu lượng truy cập của bạn: Với cách này, bạn có thể phát
hiện được các vụ tấn công DDoS nhỏ mà tin tặc vẫn thường dùng để
Test năng lực của mạng lưới trước khi tấn công thật sự.
 Nếu bạn có thể xác định được địa chỉ của các máy tính thực hiện tấn
công: có thể tạo một ACL (danh sách quản lý truy cập) trong tường lửa
để thực hiện chặn các IP này.

4.4 Tấn công trung gian (Man-in-the-middle attack).

Tấn công trung gian (MitM), còn gọi là tấn công nghe lén, xảy ra khi kẻ tấn
công xâm nhập vào một giao dịch/sự giao tiếp giữa 2 đối tượng. Một khi đã
chen vào thành công, chúng có thể đánh cắp dữ liệu trong giao dịch đó.

10
4.4.1 Các hình thức tấn công trung gian.

 Sniffing: Sniffing hoặc Packet Sniffing là kỹ thuật được sử dụng để nắm

bắt các gói dữ liệu vào và ra của hệ thống. Packet Sniffing cũng tương
tự với việc nghe trộm trong điện thoại. Sniffing được xem là hợp pháp
nếu được sử dụng đúng cách. Doanh nghiệp có thể thực hiện để tăng
cường bảo mật.

 Packet Injection: Kẻ tấn công sẽ đưa các gói dữ liệu độc hại vào với
dữ liệu thông thường. Bằng cách này, người dùng thậm chí không nhận
thấy tệp/phần mềm độc hại bởi chúng đến như một phần của luồng
truyền thông hợp pháp. Những tập tin này rất phổ biến trong các cuộc
tấn công trung gian cũng như các cuộc tấn công từ chối dịch vụ.

 Gỡ rối phiên: Bạn đã từng gặp thông báo “Phiên hoạt động đã hết hạn”
chưa? Nếu đã từng thực hiện thanh toán trực tuyến hoặc điền vào biểu
mẫu, hẳn bạn sẽ biết thuật ngữ này. Khoản thời gian từ lúc bạn đăng
nhập vào tài khoản ngân hàng của bạn đến khi đăng xuất khỏi tài khoản
đó được gọi là một phiên. Các phiên này là mục tiêu của tin tặc. Bởi
chúng có khả năng chứa thông tin kín đáo. Trong hầu hết các trường
hợp, một Hacker thiết lập sự hiện diện của mình trong phiên. Và cuối
cùng nắm quyền kiểm soát nó. Các cuộc tấn công này có thể được thực
thi theo nhiều cách khác nhau.

 Loại bỏ SSL: SSL Stripping hoặc SSL Downgrade Attack là một loài
hiếm khi nói đến các cuộc tấn công MiTM, nhưng cũng là một trong
những nguy hiểm nhất. Chứng chỉ SSL/TLS giữ liên lạc của chúng tôi
an toàn trực tuyến thông qua mã hóa. Trong các cuộc tấn công SSL, kẻ
tấn công loại bỏ kết nối SSL/TLS và chuyển giao thức từ HTTPS an
toàn sang HTTP không an toàn.

4.4.2 Cách phòng chống tấn công trung gian.

 Đảm bảo các Website bạn truy cập đã cài SSL.

 Không mua hàng hoặc gửi dữ liệu nhạy cảm khi dùng mạng công cộng.
 Không nhấp vào Link hoặc Email độc hại.
11
  Có các công cụ bảo mật thích hợp được cài đặt trên hệ thống của bạn.
 Tăng cường bảo mật cho hệ thống mạng của gia đình bạn.

4.5 Khai thác lỗ hổng Zero-day.

4.5.1 Lỗ hỏng Zero-day là gì?
Lỗ hổng zero-day (0-day Vulnerability) thực chất là những lỗ hổng bảo mật
của phần mềm hoặc phần cứng mà người dùng chưa phát hiện ra. Chúng tồn
tại trong nhiều môi trường khác nhau như: Website, Mobile Apps, hệ thống
mạng doanh nghiệp, phần mềm – phần cứng máy tính, thiết bị IoT, Cloud, …

4.5.2 Cách phòng chống Zero-day.

 Thường xuyên cập nhật phần mềm và hệ điều hành

 Triển khai giám sát bảo mật theo thời gian thực
 Triển khai hệ thống IDS và IPS
 Sử dụng phần mềm quét lỗ hổng bảo mật

II.Giới thiệu chung về giao thức IPSec.

1.  Khái niệm: IPSec là gì?
IPSec là một từ viết tắt của thuật Internet Protocol Security, IPSec bao
gồm một hệ thống các giao thức để bảo mật quá trình truyền thông tin trên
nền tảng Internet Protocol. Bao gồm xác thực và/hoặc mã hoá (Authenticating
and/or Encrypting) cho mỗi gói Internet Protocol trong quá trình truyền thông
tin. IPSec cũng bao gồm những giao thức cung cấp cho mã hoá và xác thực,
được phát triển bởi Internet Engineering Task Force (IETF).
Mục đích chính của việc phát triển IPSec là cung cấp một cơ cấu bảo
mật ở tầng 3 (Network layer) của mô hình OSI. IPsec là một phần bắt bược
12
của IPv6, có thể được lựa chọn khi sử dụng IPv4. Trong khi các chuẩn đã
được thiết kết cho các phiên bản IP giống nhau, phổ biến hiện nay là áp dụng
và triển khai trên nền tảng IPv4.

2. Sơ lược về lịch sử của IPSec.

Khi Internet Protocol được phát triển vào đầu những năm 80, tính bảo
mật không nằm ở vị trí được ưu tiên cao. Tuy nhiên, khi số lượng người dùng
Internet tiếp tục phát triển, nhu cầu bảo mật cao cũng vì thế mà ngày càng
tăng.
Để giải quyết nhu cầu này, Cơ quan An ninh Quốc gia đã tài trợ cho sự
phát triển của các giao thức bảo mật vào giữa những năm 80, trong chương
trình Secure Data Network Systems (Hệ thống mạng dữ liệu bảo mật). Điều
này dẫn đến sự phát triển của Security Protocol (Giao thức bảo mật) ở Layer
3 và cuối cùng là Network Layer Security Protocol. Nhiều kỹ sư đã làm việc
trong dự án này trong suốt những năm 90 và IPSec đã phát triển nhờ những
nỗ lực này. IPSec hiện là một tiêu chuẩn mã nguồn mở và là một phần của
IPv4.
III. Cấu trúc thông điệp của giao thức IPSec và phân tích ý nghĩa các
trường tin.

1. Định dạng tiêu đề (AH)

AH được phát triển tại Phòng thí nghiệm Nghiên cứu Hải quân Hoa Kỳ
vào đầu những năm 1990 và một phần bắt nguồn từ công việc của các tiêu
chuẩn IETF trước đây để xác thực Giao thức Quản lý Mạng đơn giản (SNMP)
phiên bản 2. AH là một thành viên của bộ giao thức IPsec. AH đảm bảo tính
toàn vẹn kết nối bằng cách sử dụng hàm băm và khóa chia sẻ bí mật trong
thuật toán AH. AH cũng đảm bảo nguồn gốc dữ liệu bằng cách xác
thực các gói IP . Tùy chọn số thứ tự có thể bảo vệ nội dung của gói IPsec
chống lại các cuộc phát công phát lại, bằng cách sử dụng cửa sổ trượt kỹ thuật và
loại bỏ các gói tin cũ.

 Trong IPv4, AH ngăn chặn các cuộc tấn công chèn tùy

chọn. Trong IPv6, AH bảo vệ cả chống lại các cuộc tấn công chèn tiêu
đề và các cuộc tấn công chèn tùy chọn.
 Trong IPv4, AH bảo vệ tải trọng IP và tất cả các trường tiêu đề của sơ
đồ IP ngoại trừ các trường có thể thay đổi (tức là những trường có thể
được thay đổi khi chuyển tiếp) và cả các tùy chọn IP như Tùy chọn bảo
mật IP (RFC 1108). Các trường tiêu đề IPv4 có thể thay đổi (và do đó
không được xác thực) là DSCP / ToS, ECN, Flags, Fragment
Offset, TTL và Header Checksum.
 Trong IPv6, AH bảo vệ hầu hết các tiêu đề cơ sở IPv6, chính AH, các
tiêu đề mở rộng không thể thay đổi sau AH và tải trọng IP. Bảo vệ cho

13
 tiêu đề IPv6 loại trừ các trường có thể thay đổi: DSCP , ECN , Nhãn
dòng và Giới hạn Hop.

AH hoạt động trực tiếp trên IP, sử dụng giao thức IP số 51.

Sơ đồ gói AH sau đây cho thấy cách một gói AH được xây dựng và diễn
giải:

Tiêu đề tiếp theo (8 bit)

Loại tiêu đề tiếp theo, cho biết giao thức lớp trên nào đã được bảo
vệ. Giá trị được lấy từ danh sách số giao thức IP .
Payload Len (8 bit)
Độ dài của Tiêu đề xác thực này tính bằng đơn vị 4 octet, trừ đi 2. Ví dụ:
giá trị AH của 4 bằng 3 × (trường AH có độ dài cố định 32 bit) + 3 ×
(trường ICV 32 bit) - 2 và do đó giá trị AH bằng 4 có nghĩa là 24
octet. Mặc dù kích thước được đo bằng đơn vị 4 octet, nhưng độ dài
của tiêu đề này cần phải là bội số của 8 octet nếu được mang trong gói
IPv6. Hạn chế này không áp dụng cho Tiêu đề xác thực được chứa
trong gói IPv4.
Để dành (16 bit)
Được bảo lưu để sử dụng trong tương lai (tất cả các số 0 cho đến lúc
đó).
Chỉ số tham số bảo mật (32 bit)
Giá trị tùy ý được sử dụng (cùng với địa chỉ IP đích) để xác định liên kết
bảo mật của bên nhận.
Số thứ tự (32 bit)
Một số thứ tự đơn điệu tăng nghiêm ngặt (tăng 1 cho mỗi gói được gửi)
để ngăn chặn các cuộc tấn công phát lại. Khi tính năng phát hiện phát
lại được bật, số thứ tự sẽ không bao giờ được sử dụng lại, vì liên kết
bảo mật mới phải được thương lượng lại trước khi cố gắng tăng số thứ
tự vượt quá giá trị lớn nhất của nó.
Giá trị kiểm tra tính toàn vẹn (bội số của 32 bit)
Giá trị kiểm tra độ dài thay đổi. Nó có thể chứa phần đệm để căn chỉnh
trường thành ranh giới 8 octet cho IPv6 hoặc ranh giới 4 octet cho IPv4.

2. Đóng gói tải trọng bảo mật (ESP).

14
 ESP được phát triển tại Phòng thí nghiệm Nghiên cứu Hải quân bắt đầu từ
năm 1992 như một phần của dự án nghiên cứu do DARPA phản hồi và được
xuất bản công khai bởi Nhóm công tác IETF SIPP được soạn thảo vào tháng
12 năm 1993 như một bảo mật phần mở rộng cho SIPP. Đây ESP đã được bắt
nguồn từ Bộ Quốc phòng Mỹ SP3D giao thức, chứ không phải được bắt
nguồn từ ISO Network-Layer Security Protocol (NLSP). Đặc tả giao thức
SP3D đã được xuất bản bởi NIST vào cuối những năm 1980, nhưng được thiết
kế bởi dự án Hệ thống Mạng Dữ liệu Bảo mật của Bộ Quốc phòng Hoa
Kỳ. Đóng gói Bảo mật Payload (ESP) là một thành viên của bộ giao thức
IPsec. Nó cung cấp nguồn gốc xác thực thông qua nguồn xác thực , tính toàn
vẹn dữ liệu thông qua hàm băm và bảo mật thông qua mã hóa bảo vệ cho gói
IP. ESP cũng hỗ trợ các cấu hình mã hóa - chỉ và xác thực - nhưng không
khuyến khích sử dụng mã hóa mà không xác thực vì nó không an toàn.
Không giống như AH, ESP trong chế độ truyền tải không cung cấp tính
toàn vẹn và xác thực cho toàn bộ gói IP . Tuy nhiên, trong chế độ đường hầm ,
trong đó toàn bộ gói IP ban đầu được đóng gói với một tiêu đề gói mới được
thêm vào, bảo vệ ESP được cấp cho toàn bộ gói IP bên trong (bao gồm cả
tiêu đề bên trong) trong khi tiêu đề bên ngoài (bao gồm bất kỳ tùy chọn IPv4
bên ngoài hoặc phần mở rộng IPv6 tiêu đề) vẫn không được bảo vệ. ESP
hoạt động trực tiếp trên IP, sử dụng giao thức IP số 50.
Sơ đồ gói ESP sau đây cho thấy cách một gói ESP được xây dựng và
diễn giải:

Chỉ số tham số bảo mật (32 bit)

Giá trị tùy ý được sử dụng (cùng với địa chỉ IP đích) để xác định liên kết
bảo mật của bên nhận.
Số thứ tự (32 bit)
Một số thứ tự tăng đơn điệu (tăng 1 cho mỗi gói được gửi) để bảo vệ
khỏi các cuộc phát công phát lại . Có một bộ đếm riêng biệt được giữ
cho mọi hiệp hội bảo mật.
Dữ liệu tải trọng (biến)
15
 Nội dung được bảo vệ của gói IP gốc, bao gồm bất kỳ dữ liệu nào được
sử dụng để bảo vệ nội dung (ví dụ: Vectơ khởi tạo cho thuật toán mật
mã). Loại nội dung đã được bảo vệ được chỉ ra bởi trường Tiêu đề Tiếp
theo.
Padding (0-255 octet)
Đệm để mã hóa, để mở rộng dữ liệu trọng tải đến kích thước phù hợp
với kích thước khối mật mã của mã hóa và để căn chỉnh trường tiếp
theo.
Chiều dài tấm đệm (8 bit)
Kích thước của phần đệm (tính bằng octet).
Tiêu đề tiếp theo (8 bit)
Loại tiêu đề tiếp theo. Giá trị được lấy từ danh sách số giao thức IP .
Giá trị kiểm tra tính toàn vẹn (bội số của 32 bit)
Giá trị kiểm tra độ dài thay đổi. Nó có thể chứa phần đệm để căn chỉnh
trường thành ranh giới 8 octet cho IPv6 hoặc ranh giới 4 octet cho IPv4.

3. Trao đổi khóa Internet (IKE).

IKE hay trao đổi khóa Internet là một giao thức bảo mật mạng được thiết kế để
trao đổi các khóa mã hóa thông qua cầu nối bảo mật (Security Association - SA) giữa 2
thiết bị. Cầu nối bảo mật thiết lập các thuộc tính bảo mật được chia sẻ giữa 2 thực
thể mạng để hỗ trợ giao tiếp an toàn. 

Giao thức quản lý khóa (ISAKMP) và cầu nối bảo mật Internet cung cấp một
khuôn khổ để xác thực và trao đổi khóa. ISAKMP cho biết cách thiết lập cầu nối bảo
mật (SA) và cách kết nối trực tiếp giữa hai máy chủ đang sử dụng IPsec.

IKE cung cấp khả năng bảo vệ nội dung gói tin và cũng là một khung mở để
triển khai các thuật toán tiêu chuẩn như SHA và MD5. Thuật toán IPSec tạo ra mã
định danh duy nhất cho mỗi gói tin, cho phép thiết bị xác định xem gói tin đó có đúng
hay không. Các gói không được phép sẽ bị loại bỏ và không được trao cho người
nhận.

IV. Phương thức hoạt động của giao thức IPSec.

Các giao thức IPsec AH và ESP có thể được triển khai trong chế độ truyền tải
từ máy chủ đến máy chủ, cũng như trong chế độ đường hầm mạng.
1. Transport Mode (chế độ vận chuyển).
Transport mode cung cấp cơ chế bảo vệ cho dữ liệu của các lớp cao
hơn (TCP, UDP hoặc ICMP). Trong Transport mode, phần IPSec header được
chèn vào giữa phần IP header và phần header của giao thức tầng trên, như
hình mô tả bên dưới, AH và ESP sẽ được đặt sau IP header nguyên thủy. Vì
vậy chỉ có tải (IP payload) là được mã hóa và IP header ban đầu là được giữ
nguyên vẹn. Transport mode có thể được dùng khi cả hai host hỗ trợ IPSec.
Chế độ transport này có thuận lợi là chỉ thêm vào vài bytes cho mỗi packets
16
và nó cũng cho phép các thiết bị trên mạng thấy được địa chỉ đích cuối cùng
của gói. Khả năng này cho phép các tác vụ xử lý đặc biệt trên các mạng trung
gian dựa trên các thông tin trong IP header. Tuy nhiên các thông tin Layer 4
sẽ bị mã hóa, làm giới hạn khả năng kiểm tra của gói.

2. Tunnel mode (chế độ đường hầm).

Không giống Transport mode, Tunnel mode bảo vệ toàn bộ gói dữ liệu.
Toàn bộ gói dữ liệu IP được đóng gói trong một gói dữ liệu IP khác và một
IPSec header được chèn vào giữa phần đầu nguyên bản và phần đầu mới
của IP.Toàn bộ gói IP ban đầu sẽ bị đóng gói bởi AH hoặc ESP và một IP
header mới sẽ được bao bọc xung quanh gói dữ liệu. Toàn bộ các gói IP sẽ
được mã hóa và trở thành dữ liệu mới của gói IP mới. Chế độ này cho phép
những thiết bị mạng, chẳng hạn như router, hoạt động như một IPSec proxy
thực hiện chức năng mã hóa thay cho host. Router nguồn sẽ mã hóa các
packets và chuyển chúng dọc theo tunnel. Router đích sẽ giải mã gói IP ban
đầu và chuyển nó về hệ thống cuối. Vì vậy header mới sẽ có địa chỉ nguồn
chính là gateway.
Với tunnel hoạt động giữa hai security gateway, địa chỉ nguồn và đích
có thể được mã hóa. Tunnel mode được dùng khi một trong hai đầu của kết
nối IPSec là security gateway và địa chỉ đích thật sự phía sau các gateway
không có hỗ trợ IPSec.

17
V. Kết luận.
1. An ninh mạng máy tính.
Xét đến sự gia tăng nhanh chóng của việc triển khai công nghệ, an toàn, an
ninh mạng đã trở thành một nhu cầu thiết yếu toàn cầu trong nỗ lực điều chỉnh các
biện pháp bảo vệ, dù là trực tiếp hay gián tiếp, để ngăn chặn các hệ thống khỏi các
cuộc tấn công mạng.
An toàn, an ninh mạng bao gồm việc áp dụng và duy trì các quy trình liên
quan đến việc phát hiện sớm các mối đe dọa mạng và giảm thiểu rủi ro, đây là điều
kiện tiên quyết để áp dụng một hệ sinh thái máy tính bền vững có trách nhiệm bảo
vệ hoạt động của các xã hội hiện đại dựa trên công nghệ.
Các cuộc tấn công an ninh mạng gây ảnh hưởng đến kinh doanh: tài chính
(đánh cắp thông tin, trộm cắp tiền của, gián đoạn giao dịch, mất hợp đồng,..), danh
tiếng ( mất khách hàng, doanh số, giảm lợi nhuận,..), pháp lý. Ngoài ra còn ảnh
hưởng đến các ngành công nghiệp khác nhau.

Vì vậy chúng ta cần phải biết lỗ hỏng, điểm yếu của mạng, các hình thức tấn công
phổ biến hiện nay và các biện pháp để tránh bị tấn công mạng.
2. Giao thức IPSec.
Về cơ bản, nó mã hóa và xác thực các gói dữ liệu trên internet. Không nghi ngờ gì
nữa, IPSec mang lại những lợi thế đáng kể cho môi trường mạng. Tuy nhiên, tương tự như
các công nghệ mạng khác, IPSec có những ưu và nhược điểm riêng. Do đó, trước khi triển
khai IPSec, cần phải xem xét ưu nhược điểm của chúng .
- Ưu điểm của IPSec.
 Chuẩn giao thức rãnh.
 Hoạt động độc lập cho các ứng dụng mức cao hơn.
 Giấu địa chỉ mạng, không sử dụng dịch địa chỉ mạng NAT.
 Đáp ứng sự phát triển các kỹ thuật mã hóa.
- Nhược điểm của IPSec.
 Không quản lý NSD.
 Không khả năng tương tác giữa nhà cung cấp.

18
 Không hỗ trợ giao diện.

19
 CÁC TỪ VIẾT TẮT
PIN Personal Information Number
Dos Denial of Service
Ddos Distributed Denial of Service
TCP Transmission Control Protocol
SYN Synchronize
UDP User Datagram Protocol
DNS Domain Name System
ICMP Internet Control Message Protocol
IP Internet Protocol
ACL Access Control List
Mitm Man-in-the-middle
SSL Secure Sockets Layer
TLS Transport Layer Security
IPS intrusion prevention systems
IDS Intrusion detection System
IPSec Internet Protocol Security
IETF Internet Engineering Task Force
AH Authentication Header
IPv Internet Protocol version
DSCP Differentiated Service Code Point
ECN Electronic Communications Network
TTL transistor-transistor logic
ESP Encapsulating Security Payload
DARPA Defense Advanced Research Projects Agency
NLSP Network-Layer Security Protocol
IKE Internet Key Exchange
ISAKMP Internet Security Association and Key Management Protocol
SHA Secure Hash Algorithm
MD5 Message-Digest algorithm 5
NAT Network Address Translate
NSD Network Services Data

20
 TÀI LIỆU THAM KHẢO

1. Tài liệu mạng máy tính của Phạm Thế Quế.

2. https://www.ods.vn/tai-lieu/cac-hinh-thuc-tan-cong-mang-pho-bien-hien-nay-
va-cach-phong-tranh.html
3. https://en.wikipedia.org/wiki/IPsec#Modes_of_operation
4. https://quantrimang.com/ipsec-la-gi-174155
5. http://www.netone.vn/Trangchu/Hotrokythuat/Kienthuccanban/tabid/366/
arid/1645/Default.aspx

21