An Toan Mang

BỘ GIÁO DỤC VÀ ĐÀO TẠO
AN TOÀN MẠNG
Biên soạn: TS. Văn Thiên Hoàng

AN TOÀN MẠNG
Ấn bản 2014
MỤC LỤC I
MỤC LỤC
MỤC LỤC ...................................................................................................................I
HƯỚNG DẪN ............................................................................................................. V
BÀI 1: TỔNG QUAN VỀ AN TOÀN MẠNG ...................................................................... 1
1.1 GIỚI THIỆU ........................................................................................................ 1
1.1.1 Khái niệm an toàn mạng .................................................................................. 1
1.1.2 Tính bí mật ..................................................................................................... 2
1.1.3 Tính toàn vẹn ................................................................................................. 2
1.1.4 Tính khả dụng ................................................................................................. 3
1.2 CÁC MÔ HÌNH BẢO MẬT ...................................................................................... 3
1.2.1 Mô hình CIA (Confidentiality-Integrity-Availability) .............................................. 3
1.2.2 Mô hình PARKERIAN HEXAD.............................................................................. 4
1.2.3 Mô hình nguy cơ STRIDE .................................................................................. 4
1.3 CHIẾN LƯỢC AN NINH MẠNG AAA ....................................................................... 5
1.3.1 Điều khiển truy cập ......................................................................................... 5
1.3.2 Xác thực ........................................................................................................ 8
1.3.3 Kiểm tra ....................................................................................................... 10
1.4 CÁC NGUY CƠ MẤT AN NINH MẠNG ................................................................... 11
1.4.1 Phân loại ...................................................................................................... 11
1.4.2 Thách thức an ninh ........................................................................................ 11
1.5 TẤN CÔNG MẠNG .............................................................................................. 12
1.5.1 Các phương thức tấn công cơ bản .................................................................... 13
1.5.2 Các mục tiêu tấn công ................................................................................... 14
1.6 NGUYÊN TẮC XÂY DỰNG MỘT HỆ THỐNG BẢO MẬT ............................................ 15
1.6.1 Chính sách và cơ chế bảo mật ......................................................................... 15
1.6.2 Các mục tiêu của bảo mật hệ thống ................................................................. 16
TÓM TẮT ................................................................................................................ 17
CÂU HỎI ÔN TẬP .................................................................................................... 17
BÀI 2: CÁC KỸ THUẬT TẤN CÔNG THĂM DÒ ............................................................... 19
2.1 GIỚI THIỆU ...................................................................................................... 19
2.2 TRUY VẾT-FOOTPRINTING ............................................................................... 20
2.2.1 Khái niệm ..................................................................................................... 20
2.2.2 Thu thập thông tin tên miền ........................................................................... 20
2.2.3 Thu thập thông tin Email ................................................................................ 23
2.2.4 Thu thập thông tin sử dụng Traceroute ............................................................ 24
2.3 QUÉT-SCANNING .............................................................................................. 25
2.3.1 Giới thiệu ..................................................................................................... 25
2.3.2 Phân loại ...................................................................................................... 25
2.3.3 Các phương pháp quét ................................................................................... 26
2.4 LIỆT KÊ - ENUMERATION .................................................................................. 32
II MỤC LỤC
2.4.1 Khái niệm......................................................................................................32

2.4.2 Liệt kê NetBIOS .............................................................................................33
2.4.3 Liệt kê SNMP .................................................................................................34
2.4.4 Liệt kê Unix/Linux ..........................................................................................35
2.4.5 Liệt kê LDAP ..................................................................................................36
2.4.6 Liệt kê NTP ....................................................................................................37
2.4.7 Liệt kê SMTP ..................................................................................................37
2.4.8 Liệt kê DNS ...................................................................................................37
2.4.9 Các phương pháp phòng chống ........................................................................37
TÓM TẮT ................................................................................................................ 39
CÂU HỎI ÔN TẬP .................................................................................................... 39
BÀI 3: TẤN CÔNG HỆ THỐNG ..................................................................................... 41
3.1 CÁC BƯỚC TẤN CÔNG ....................................................................................... 41
3.1.1 Mật khẩu .......................................................................................................41
3.1.2 Tăng Đặc Quyền ............................................................................................44
3.1.3 Thực thi ứng dụng ..........................................................................................45
3.1.4 Giấu tập tin ...................................................................................................46
3.1.5 Xóa dấu vết ...................................................................................................47
3.2 CÁCH PHÒNG CHỐNG ........................................................................................ 48
3.2.1 Biện pháp đối phó với crack password ...............................................................48
3.2.2 Đối phó Rootkit ..............................................................................................49
3.3 VÍ DỤ TẤN CÔNG HỆ THỐNG ............................................................................. 49
TÓM TẮT ................................................................................................................ 52
CÂU HỎI ÔN TẬP .................................................................................................... 53
BÀI 4: KỸ THUẬT NGHE LÉN VÀ PHÂN TÍCH GÓI TIN ................................................ 55
4.1 GIỚI THIỆU ...................................................................................................... 55
4.1.1 Nghe lén hợp pháp .........................................................................................55
4.1.2 Khái niệm tấn công nghe lén ...........................................................................56
4.1.3 Các mối đe dọa về nghe lén .............................................................................56
4.1.4 Cơ chế hoạt động chung của nghe lén ...............................................................57
4.1.5 Các nguy cơ dẫn tới Sniffing ............................................................................57
4.2 PHÂN LOẠI TẤN CÔNG NGHE LÉN...................................................................... 58
4.2.1 Nghe lén thụ động ..........................................................................................58
4.2.2 Nghe lén chủ động .........................................................................................58
4.3 CÁC KỸ THUẬT NGHE LÉN CHỦ ĐỘNG ................................................................ 58
4.3.1 Tấn công MAC Address....................................................................................58
4.3.2 Tấn công DHCP ..............................................................................................60
4.3.3 Tấn công giả mạo ARP ....................................................................................62
4.3.4 Đầu độc DNS .................................................................................................66
4.4 CÔNG CỤ PHÂN TÍCH GÓI TIN WIRESHARK .......................................................... 68
TÓM TẮT ................................................................................................................ 71
CÂU HỎI ÔN TẬP .................................................................................................... 72
MỤC LỤC III
BÀI 5: AN NINH HẠ TẦNG MẠNG ............................................................................... 73
5.1 GIẢI PHÁP VÀ LỘ TRÌNH XÂY DỰNG BẢO MẬT HẠ TẦNG MẠNG .......................... 73
5.2 THIẾT KẾ MÔ HÌNH MẠNG AN TOÀN .................................................................. 75
5.3 CHÍNH SÁCH AN TOÀN MẠNG ............................................................................ 76
5.3.1 Quy trình tổng quan xây dựng chính sách tổng quan ......................................... 76
5.3.2 Hệ thống ISMS.............................................................................................. 78
5.3.3 ISO 27000 Series .......................................................................................... 78
5.4 ROUTER AND SWITCH ...................................................................................... 81
TÓM TẮT ................................................................................................................ 90
CÂU HỎI ÔN TẬP .................................................................................................... 90
BÀI 6: FIREWALL ...................................................................................................... 91
6.1 TỔNG QUAN FIREWALL ..................................................................................... 91
6.1.1 Khái niệm ..................................................................................................... 91
6.1.2 Chức năng của tường lửa................................................................................ 92
6.1.3 Nguyên lý hoạt động ..................................................................................... 93
6.1.4 Phân loại ...................................................................................................... 94
6.1.5 Thiết kế Firewall trong mô hình mạng .............................................................. 95
6.2 FIREWALL ASA ................................................................................................. 96
6.2.1 Tổng quan về ASA ......................................................................................... 96
6.2.2 Hệ thống bảo mật của ASA ............................................................................. 97
6.2.3 Phân loại ASA và tính năng ............................................................................ 103
6.2.4 Cấu hình trên ASA ........................................................................................ 106
TÓM TẮT .............................................................................................................. 121
CÂU HỎI ÔN TẬP .................................................................................................. 121
BÀI 7: HỆ THỐNG NGĂN CHẶN XÂM NHẬP IPS ........................................................ 122
7.1 TỔNG QUAN HỆ THỐNG NGĂN CHẶN XÂM NHẬP IPS ........................................ 122
7.1.1 Giới thiệu IPS .............................................................................................. 122
7.1.2 Kiến trúc hệ thống ngăn chặn xâm nhập ......................................................... 122
7.1.3 Phân loại IPS ............................................................................................... 126
7.1.4 Kỹ thuật nhận biết và ngăn chặn của IPS ........................................................ 130
7.2 TRIỂN KHAI HỆ THỐNG IPS ............................................................................ 132
7.2.1 Quá trình triển khai hệ thống IPS ................................................................... 132
7.2.2 Cấu hình IPS trên SDM ................................................................................. 138
7.2.3 Các lệnh kiểm tra cấu hình IPS ...................................................................... 145
TÓM TẮT .............................................................................................................. 145
CÂU HỎI ÔN TẬP .................................................................................................. 146
BÀI 8: MẬT MÃ VÀ CÁC GIAO THỨC BẢO MẬT .......................................................... 147
8.1 BẢO MẬT THÔNG TIN VÀ MẬT MÃ .................................................................... 147
8.1.1 Giới thiệu .................................................................................................... 147
8.1.2 Kiến trúc an toàn của hệ thống truyền thông mở OSI........................................ 148
8.1.3 Mô hình an toàn mạng tổng quát .................................................................... 150
IV MỤC LỤC
8.1.4 Lý thuyết mật mã hỗ trợ xây dựng ứng dụng bảo mật thông tin ......................... 150
8.2 CÁC GIAO THỨC BẢO MẬT MẠNG ..................................................................... 155
8.2.1 Tổng quan Kerberos ..................................................................................... 155
8.2.2 SSL ............................................................................................................ 158
8.2.3 IPSEC ......................................................................................................... 165
TÓM TẮT .............................................................................................................. 174
CÂU HỎI ÔN TẬP .................................................................................................. 174
BÀI 9: MẠNG RIÊNG ẢO - VPN ................................................................................. 175
9.1 TỔNG QUAN VPN ............................................................................................ 175
9.1.1 Định nghĩa .................................................................................................. 175
9.1.2 Các chức năng ............................................................................................. 175
9.1.3 Lợi ích của VPN ............................................................................................ 176
9.1.4 Phân loại ..................................................................................................... 177
9.2 CÁC GIAO THỨC CƠ BẢN TRONG VPN .............................................................. 182
9.2.1 Kiến trúc tổng quát các bước xử lý của VPN ..................................................... 182
9.2.2 Giao Thức PPTP ............................................................................................ 183
9.2.3 Giao thức PPP .............................................................................................. 186
9.3 MINH HỌA VPN............................................................................................... 192
TÓM TẮT .............................................................................................................. 211
CÂU HỎI ÔN TẬP .................................................................................................. 211
PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH .......................................................... 212
Bài thực hành số 1: SNIFFING-CAIN & ABEL ............................................................ 212
Bài thực hành số 2: AAA, RADIUS ........................................................................... 239
Bài thực hành số 3: ACL ........................................................................................ 256
Bài thực hành số 4: Hệ thống phát hiện và ngăn chặn xâm nhập IPS .......................... 269
Bài thực hành số 5: SSH, NTP, SYSLOG, AUTOSECURE ............................................. 282
Bài thực hành số 6: SITE-TO-SITE VPN ................................................................... 312
Bài thực hành số 7: Remote Access VPN .................................................................. 336
Bài thực hành số 8: TỔNG HỢP .............................................................................. 358
TÀI LIỆU THAM KHẢO ........................................................................................... 365
HƯỚNG DẪN V
HƯỚNG DẪN
MÔ TẢ MÔN HỌC
Do các ứng dụng trên mạng Internet ngày các phát triển và mở rộng, nên an toàn
thông tin trên mạng đã trở thành nhu cầu bắt buộc cho mọi hệ thống ứng dụng. Vì
vậy, An toàn mạng là môn học không thể thiếu của sinh viên ngành mạng. Mục đích
của môn học này là cung cấp cho sinh viên kiến thức về các vấn đề an ninh mạng
hiện nay và giải pháp tổng thể trong việc triển khai mạng an toàn.
NỘI DUNG MÔN HỌC

Bài 1: Bài học cung cấp kiến thức tổng quan về an ninh mạng như các khái niệm
an ninh mạng, các mô hình an ninh, chiếc lược bảo mật hệ thống AAA, các nguy cơ
tấn công mạng và nguyên tắc xây dựng hệ thống bảo mật. Môi trường mạng hiện nay
có rất nhiều nguy cơ ảnh hưởng đến sự an toàn của một hệ thống thông tin. Các nguy
cơ này có thể xuất phát từ các hành vi tấn công trái phép bên ngoài hoặc từ bản thân
các lỗ hổng bên trong hệ thống. Có nhiều nguy cơ đặt ra như: Trojans, đánh cắp
thông tin, Mạng ma Flux Botnet, Thất thoát giữ liệu, vi phạm an ninh, Các mối đe dọa
an ninh trong nội bộ, Tổ chức tội phạm mạng, Lừa đảo, Gián điệp mạng, Zero-Day,
Vishing, Mối đe dọa từ web 2.0, … Do vậy, an ninh mạng máy tính là tổng thể các giải
pháp về mặt tổ chức và kỹ thuật nhằm ngăn cản mọi nguy cơ tổn hại đến mạng. Một
hệ thống bảo mật là một hệ thống mà thông tin được xử lý trên nó phải đảm bảo
được ba đặc trưng sau (mô hình CIA): (1) Tính bí mật của hệ thống; (2) Tính toàn
vẹn của thông tin; (3) Tính khả dụng của thông tin. Chiến lược bảo mật hệ thống AAA
là chiến lược nền tảng nhất để thực thi các chính sách bảo mật trên một hệ thống
theo mô hình CIA. Các mục tiêu cơ bản của việc thực hiện an ninh trên một mạng cần
phải đạt được là: (1) Xác định những gì cần bảo vệ; (2) Xác định bảo vệ trước cái gì;
(3) Xác định các nguy cơ; (4) Thực hiện các biện pháp để bảo vệ; và (5) Kiểm tra lại
các tiến trình một cách liên tiếp và thực hiện cải tiến với mỗi lần tìm ra điểm yếu.
Bài 2: Bài học cung cấp các khái niệm về footprinting, scanning, và enumeration,
các công cụ phần mềm hỗ trợ thực hiện và các giải pháp phòng tránh. Kỹ thuật
footprinting cho phép điều tra thông tin nạn nhân như các công nghệ Internet đang
VI HƯỚNG DẪN
được sử dụng, hệ điều hành, phần cứng, hoạt động địa chỉ IP, địa chỉ e-mail và số
điện thoại, và tập đoàn chính sách và thủ tục. Kỹ thuật scanning thu thập như tên
máy, địa chỉ ip, cấu hình máy tính, hệ điều hành, dịch vụ đang chạy, port đang mở.
Kỹ thuật enumeration là quá trình trích xuất tên người dùng, tên máy, tài nguyên
mạng, các chia sẻ, và cá dịch vụ từ một hệ thống. Kỹ thuật này được tiến hành trong
một môi trường mạng nội bộ.
Bài 3: Bài học cung cấp kiến thức tổng quan về các bước tấn công mạng của
Hacker. Các bước tấn công mạng gồm có: (1) Thu thập thông tin để giành quyền truy
cập; (2) Tạo ra user có đặt quyền trên hệ thống hoặc nâng quyền hạn của user đã
thu thập được; (3) Tạo và duy trì backdoor để truy cập; (4) Che dấu các tập tin độc
hại và (5) Xóa dấu vết. Để thu thập thông tin thi Hacker ta sử dụng các kỹ thuật của
bài học 2 (footprinting, scanning, enumeration). Khi có thông tin về đối tượng thì
Hacker sẽ tấn công mật khẩu để giành quyền truy cập hệ thống. Tăng đặc quyền
(Escalating Privileges) là thêm nhiều quyền hơn cho một tài khoản người dùng.
Hacker có tài khoản đặc quyền sẽ truy cập cấp quản trị viên để cài đặt chương trình.
Một khi Hacker đã có thể truy cập tài khoản với quyền quản trị, Hacker sẽ thực thi các
ứng dụng trên hệ thống đích. Mục đích của việc thực thi ứng dụng có thể cài đặt một
cửa sau trên hệ thống, cài đặt một keylogger để thu thập thông tin bí mật, sao chép
các tập tin, … Hacker cần che dấu các tập tin trên một hệ thống nhằm ngăn chặn bị
phát hiện.
Bài 4: Bài giảng cung cấp kiến thức cho sinh viên các khái niệm, mối đe dọa, cơ
chế hoạt động chung của tấn công nghe lén. Nghe lén là một tiến trình cho phép giám
sát cuộc gọi và cuộc hội thoại internet bởi thành phần thứ ba. Hacker để thiết bị lắng
nghe giữa mạng mang thông tin như hai thiết bị điện thoại hoặc hai thiết bị đầu cuối
trên internet. Các kỹ thuật nghe lén gồm có hai loại: nghe lén thụ động và nghe lén
chủ động. Nghe lén thụ động như là thực hiện nghe lén thông qua một Hub. Nghe lén
chủ động được thực hiện trên Switch. Các kỹ thuật nghe lén chủ động: tấn công MAC,
Tấn công DHCP, Tấn công đầu độc ARP, Tấn công đầu độc DNS. Các giải pháp ngăn
chặn nghe lén là kích hoạt bảo mật port (ví dụ DHCP Snooping).
Bài 5: Bài học cung cấp kiến thức về việc xây dựng một hệ thống mạng bảo mật
gồm có: (1) Các giải pháp và lộ trình xây dựng bảo mật hạ tầng mạng, (2) thiết kế
mô hình mạng an toàn, (3) chính sách an toàn mạng và (4) bảo mật cho thiết bị
HƯỚNG DẪN VII
router, switch. Để có thể xây dựng một hệ thống mạng đảm bảo tính an toàn cần
phải có lộ trình xây dựng hợp lý giữa yêu cầu và chi phí, để từ đó lựa chọn giải pháp
phù hợp. Giải pháp phù hợp nhất phải cân bằng được các yếu tố: yêu cầu, giá thành
giải pháp, tính năng, hiệu năng của hệ thống. Giải pháp an ninh hạ tầng mạng bao
gồm 4 mảng: (1) lý thuyết về Security, (2) kỹ năng tấn công, (3) kỹ năng cấu hình
phòng thủ, và (4) lập chính sách an toàn thông tin. Xây dựng chính sách an toàn
mạng là bước hoàn thiện một môi trường làm việc và hoạt động theo chuẩn bảo mật.
Hiện nay nước ta có rất nhiều đơn vị đang xây dựng chính sách bảo mật theo chuẩn
ISO 27001, sử dụng mô hình ISMS. Để kiểm soát dữ liệu, Routers sử dụng ACL và
Switch thi thực hiện chia Lan ảo.
Bài 6: Bài học này trình bày các khái niệm về tường lửa, các chức năng, nguyên lý
họa động, cách triển khai tường lừa trong mô hình mạng và các loại tường lửa hiện
nay trên mạng. Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống
sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm
nhâp không mong muốn vào hệ thống. Chức năng chính của Firewall là kiểm soát
luồng thông tin từ giữa Intranet và Internet. Thiết kế firewall phù hợp với hệ thống
mạng là rất quan trọng, dưới đây trình bày một số mô hình triển khai firewall: (1)
firewall làm chức năng Packet Filter, (2) firewall áp dụng cho vùng DMZ và (3) mô
hình mạng tích hợp. Bài học trình bày cách sử dụng một số tường lửa phổ biển hiện
nay trong việc triển khai các hệ thống mạng an toàn như IPtable, ASA và proxy
Server SQUID.
Bài 7: Bài học trình bày các khái niệm về hệ thống phát hiện xâm nhập, kiến trúc
hoạt động, phân loại IDS. Để minh họa hệ thống phát hiện xâm nhập bằng phần mềm
IDS snort, cách cài đặt, thiết lập rule cảnh báo, và giám sát hoạt động của nó. Hệ
thống phát hiện xâm nhập gồm có các thành phần chính như: thành phần phân tích
gói tin, thành phần phát hiện tấn công, và thành phần phản ứng. Hệ thống phát chặn
xâm nhập nhận biết tấn công và ngăn chăn thông qua các kỹ thuật như nhận biết qua
dấu hiệu, nhận biết qua sự bất thường về lưu lượng, nhập biết qua chính sách thiết
lập, nhân biết qua sự phân tích giao thức. Bài giảng trình bày hệ thống IPS của Cisco
hoạt động ở lớp mạng để minh họa tính năng hoạt động của hệ thống phát hiện xâm
nhập.
VIII HƯỚNG DẪN
Bài 8: Bài giảng cung cấp cho sinh viên kiến thức về vấn đề bảo mật thông tin: các
thách thức, kiến trúc an toàn thông tin OSI, và các thuật toán mật mã cho phép cài
đặt các dịch vụ của mô hình OSI. Kiến trúc an toàn OSI gồm có 5 dịch vụ bảo mật:
Xác thực các bên tham gia, Điều khiển truy cập, Bảo mật dữ liệu, kiểm tra tính toàn
vẹn, và chống chối bỏ. Các thuật toán mã hóa cần thiết để cài đặt các dịch vụ này là:
DES, 3DES, AES, RSA, DiffieHellman, Hàm băm MD5, SHA, Mã xác thực MAC. Giao
thức quản lý khóa và bảo mật dữ liệu trong mạng Domain: Kerberos. Giao thức bảo
mật dữ liệu đầu cuối SSL. Giao thức bảo mật gói dữ liệu IP: IPSEC.
Bài 9: Bài học trình bày tổng quan về mạng VPN bao gồm: định nghĩa, các chức
năng, và lợi ích của VPN. Mạng VPN có 3 loại cơ bản: mạng truy cập từ xa, mạng VPN
nội bộ và mạng VPN mở rộng. Hai giao thức cơ bản là giao thức tạo kết nối mạng
PPTP và giao thức liên kết dữ liệu cấp cao PPP. Giao thức PPP dùng để vận chuyển dữ
liệu với mạng nội bộ. Giao thức PPP hổ trợ giao thức con kiểm soát liên kết Link
Control Protocol (LCP), giao thức con kiểm soát mạng Network Control Protocol
(NCP), giao thức chứng thực như Challenge Handshake Authentication Protocol
(CHAP), Passwork Authentication Protocol (PAP), Extensible Authentication Protocol
(EAP). Ngoài ra, PPP còn hổ trợ giao thức mã hóa như Encryption Control Protocol
(ECP), Data Encryption Standard (DES), Advancde Encryption Standard (AES); Kiểm
soát băng thông: Bandwidth Allocation Control Protocol (BACP); Kiểm soát nén:
Compression Control Protocol; Có đủ khả năng phát hiện lỗi (CheckSum), tuy nhiên
không sữa lỗi; và giám sát chất lượng liên kết: Link Quality Report (LQR) và Link
Quality Monitoring(LQM).
Phụ lục: Danh sách các bài thực hành, gồm 8 bài thực hành. Bài thực hành số 1:
SNIFFING-CAIN & ABEL. Bài thực hành số 2: AAA, RADIUS. Bài thực hành số 3: ACL.
Bài thực hành số 4: Hệ thống phát hiện và ngăn chặn xâm nhập IPS. Bài thực hành
số 5: SSH, NTP, SYSLOG, AUTOSECURE. Bài thực hành số 6: SITE-TO-SITE VPN. Bài
thực hành số 7: Remote Access VPN. Bài thực hành số 8: TỔNG HỢP.
KIẾN THỨC TIỀN ĐỀ

Môn học an toàn mạng đòi hỏi sinh viên cần có thức về hạ tầng mạng và dịch vụ
mạng.
HƯỚNG DẪN IX
YÊU CẦU MÔN HỌC
Người học phải dự học đầy đủ các buổi lên lớp và làm bài tập đầy đủ ở nhà.
CÁCH TIẾP NHẬN NỘI DUNG MÔN HỌC

Người học cần chuẩn bị hệ thống mạng ảo gồm máy tính hệ điều hành Windows
Server, Linux; các thiết bị mạng router, switch; các phần mềm triển khai an toàn
mạng (ISA, ACS, …) và các công cụ quản lí / giám sát mạng (Wireshark, SecureCRT,
Solarwinds, SDM, Angry IP Scanner, Zenmap…). Từ đó, người học sử dụng để triển
khai minh họa tất cả các kỹ thuật liên quan đến từng bài học.
PHƯƠNG PHÁP ĐÁNH GIÁ MÔN HỌC

Môn học được đánh giá gồm:
 Điểm quá trình (30%) Điểm học thực hành trên phòng máy. Hình thức và nội dung
được đề cập trong giáo trình thực hành An toàn mạng.
 Điểm thi (70%): Người học sẽ được phân công đồ án dưới sự hướng dẫn của Giảng
viên phụ trách môn học và vấn đáp nội dung của đồ án kết hợp với nội dung lý
thuyết trong các bài học.
BÀI 1: TỔNG QUAN VỀ AN TOÀN MẠNG 1
BÀI 1: TỔNG QUAN VỀ AN

TOÀN MẠNG
Bài giảng cung cấp các kiến thức tổng quan về an ninh mạng máy tính, trong đó
tập trung vào các nội dung sau:
- Giới thiệu an toàn mạng máy tính
- Chiến lược bảo mật hệ thống AAA.
- Các nguy cơ mất an ninh mạng.
- Nguyên tắc xây dựng một hệ thống bảo mật.
1.1 GIỚI THIỆU

1.1.1 Khái niệm an toàn mạng
An toàn mạng máy tính là tổng thể các giải pháp về mặt tổ chức và kỹ thuật nhằm
ngăn cản mọi nguy cơ tổn hại đến mạng. Các tổn hại có thể xảy ra do:
- Người sử dụng.
- Các lỗ hổng trong các hệ điều hành.
- Các ứng dụng.
- Lỗi phần cứng.
- Các nguyên nhân khác.
Một hệ thống bảo mật là một hệ thống mà thông tin được xử lý trên nó phải đảm
bảo được ba đặc trưng sau: tính bí mật, tính toàn vẹn và tính khả dụng.
2 BÀI 1: TỔNG QUAN VỀ AN TOÀN MẠNG
1.1.2 Tính bí mật

Tính bí mật của thông tin là tính giới hạn về các đối tượng được quyền truy xuất
đến thông tin. Đối tượng truy xuất có thể là con người, là máy tính hoặc phần mềm.
Tùy theo tính chất của thông tin mà mức độ bí mật của chúng có thể khác nhau. Các
kỹ thuật dùng đảm bảo tính bí mật của thông tin:
- Các cơ chế và phương tiện vật lý như nơi lưu trữ, thiết bị lưu trữ, dịch vụ bảo vệ,..
- Kỹ thuật mật mã là công cụ bảo mật thông tin hữu hiệu nhất trong môi trường
máy tính.
- Kỹ thuật quản lý truy xuất được thiết lập để đảm bảo chỉ có những đối tượng được
cho phép mới có thể truy xuất thông tin.
Tính bí mật của thông tin phải được xem xét dưới hai yếu tố tách rời: (1) Bí mật về
nội dung của thông tin; (2) Bí mật về sự tồn tại của thông tin.
1.1.3 Tính toàn vẹn

Tính toàn vẹn đảm bảo sự tồn tại nguyên vẹn của thông tin, loại trừ mọi sự thay
đổi có chủ đích hoặc do hư hỏng, mất mát thông tin vì sự cố thiết bị hoặc phần mềm.
Tính toàn vẹn được xét trên hai khía cạnh:
- Tính nguyên vẹn của nội dung thông tin: thông tin không bị thay đổi một cách
không hợp lệ trong quá trình trao đổi thông tin.
- Tính xác thực nguồn gốc của thông tin: nguồn phát thông tin phải được xác thực,
không giả danh.
Các cơ chế đảm bảo sự tồn tại nguyên vẹn của thông tin được chia thành hai loại
gồm cơ chế phát hiện và cơ chế ngăn chặn. Cơ chế phát hiện chỉ thực hiện chức năng
giám sát và thông báo khi có các thay đổi diễn ra trên thông tin bằng cách phân tích
các sự kiện diễn ra trên hệ thống mà không thực hiện chức năng ngăn chặn các hành
vi truy xuất trái phép đến thông tin. Cơ chế ngăn chặn có chức năng ngăn cản các
hành vi trái phép làm thay đổi nội dung và nguồn gốc của thông tin. Các hành vi này
bao gồm 2 nhóm: (1) Hành vi cố gắng thay đổi thông tin khi không được phép truy
xuất đến thông tin; (2) Hành vi thay đổi thông tin theo cách khác với cách đã được
cho phép.
1.1.4 Tính khả dụng
Tính khả dụng của thông tin là tính sẵn sàng của thông tin cho các nhu cầu truy
cập hợp lệ của người dùng được cấp quyền. Nếu một hệ thống không khả dụng thì hai
đặc trưng còn lại sẽ vô nghĩa.
1.2 CÁC MÔ HÌNH BẢO MẬT

Các mô hình bảo mật cung cấp các tiêu chuẩn mà một hệ thống an toàn thông tin
cần đạt được một cách hài hòa giữa các tiêu chuẩn khi hệ thống này được xây dựng.
1.2.1 Mô hình CIA (Confidentiality-Integrity-Availability)
Hình 1.1: Mô hình CIA

Mô hình gồm ba đặc trưng bí mật (confidentiality), toàn vẹn (integrity), và khả
dụng (availability) được xem như là mô hình tiêu chuẩn của hệ thống thông tin bảo
mật. Bất kỳ vi phạm bảo mật thông tin nào cũng có thể được mô tả như là sự ảnh
hưởng đến một hay vài đặc trưng của mô hình CIA.
1.2.2 Mô hình PARKERIAN HEXAD

Donn B. Parker (1998) bổ sung thêm ba đặc
trưng vào mô hình CIA.
- Tính bảo mật mở rộng thêm tính sở hữu, chủ

quyền trên thông tin có thể bị mất dù không vi
phạm CIA.
- Tính toàn vẹn mở rộng thêm tính xác thực: ngoài

việc xác thực về nội dung thông tin cần xác thực
về nguồn gốc thông tin.
- Tính khả dụng mở rộng thêm tính hữu dụng:

thông tin phải dễ dùng, tránh chuyển thành dạng
phức tạp hơn, tránh tình trạng không dùng được. Hình 1.2: Mô hình Parkerian
Hexad
1.2.3 Mô hình nguy cơ STRIDE

Mô hình nguy cơ STRIDE do Microsoft giới thiệu. Mô hình này chỉ ra 6 loại nguy cơ
tấn công hệ thống mạng. Các thành phần của mô hình này đối lập với các thành phần
của mô hình CIA/Parkerian Hexad:
- Spoofing (giả mạo) mục đích là đối lập với Authentication.
- Tampering (xáo trộn) đối lập với Integrity.
- Repudiation (phủ nhận) đối lập một phần với Authenticity.
- Information Disclosure (bộ lọc thông tin) đối lập với Confidentiality.
- Denial of Service (D.o.S) đối lập với Availability.
- Elevation of privilege mục đích là đối lập với Authorization.
Khi xây dựng hệ thống mạng an toàn cần chỉ ra các loại nguy cơ mà hệ thống cần
phòng trành và ngăn chặn.
1.3 CHIẾN LƯỢC AN NINH MẠNG AAA

AAA (Access control, Authentication, Auditing) được xem là bước tiếp cận và là
chiến lược nền tảng nhất để thực thi các chính sách bảo mật trên một hệ thống bảo
mật theo mô hình CIA.
1.3.1 Điều khiển truy cập

Điều khiển truy cập: bao gồm các luật điều khiển phương thức và điều kiện để truy
cập đến hệ thống. Điều khiển truy cập được thực hiện tại nhiều vị trí khác nhau của
hệ thống, chẳng hạn như tại thiết bị truy nhập mạng, tại hệ thống tập tin của hệ điều
hành, trên hệ thống Active Directory Service, … Điều khiển truy cập được thực hiện
theo ba mô hình sau:
Mô hình điều khiển truy cập bắt buộc (MAC-Mandatory Access Control): người
quản trị điều khiển truy cập bằng cách dùng một tập luật chỉ định (chính sách bảo
mật), áp dụng bắt buộc đối với tất cả các đối tượng trong hệ thống, người dùng không
thể thay đổi được. Khi dùng MAC, hệ thống chỉ định một nhãn truy cập cho mỗi người
dùng, tiến trình hay tài nguyên hệ thống, dùng xác định các mức truy cập theo các
tập luật sau:
- Một người dùng chỉ được phép chạy các tiến trình gán nhãn cùng cấp hoặc thấp
hơn nhãn của người dùng.
- Một tiến trình chỉ được phép đọc từ các tài nguyên gán nhãn cùng cấp hoặc thấp
hơn nhãn của tiến trình.
- Một tiến trình chỉ được phép ghi vào các tài nguyên gán nhãn cùng cấp hoặc cao
hơn nhãn của tiến trình.
Một số hệ thống hỗ trợ MAC: AIX 4.3.2, Trusted Solaris 8, SELinux,… Đặc điểm của
mô hình này là được thiết lập cố định ở mức hệ thống, người sử dụng không thay đổi
tự do được. Người dùng và tài nguyên trong hệ thống được chia thành nhiều mức bảo
mật khác nhau, phản ánh độ quan trọng của tài nguyên và người dùng. Mô hình hoạt
động dựa trên cơ sở gán nhãn. Khi mô hình điều khiển bắt buộc đã được thiết lập, nó
được áp dụng với tất cả người dùng và tài nguyên trên hệ thống.
Mô hình điều khiển truy cập tự do (DAC-Discretionary Access Control): mô hình

điều khiển truy cập trong đó việc xác lập quyền truy cập đối với từng tài nguyên cụ
thể do người sở hữu tài nguyên đó quyết định. DAC được cài đặt thông qua việc dùng
ACL (Access Control List), là một cấu trúc dữ liệu chứa các chuỗi ACE (Access Control
Entry), một ACE chứa nhận dạng (SID-Security Indentity) của người dùng và danh
sách các tác vụ mà người dùng có thể thực thi trên tài nguyên đã được bảo mật. Một
tài nguyên được bảo mật có một Security Descriptor, trong đó mô tả chủ của tài
nguyên. Chuỗi điều khiển truy cập dùng DAC như sau:
Hình 1.3: Bảng điều khiển truy cập của NTFS

- Mỗi người dùng sau khi đăng nhập sẽ được gán một Access Token (thẻ truy cập)
chứa nhận dạng và nhóm bảo mật của người dùng.
- Mỗi tiến trình do người dùng chạy đều liên kết với một bản sao Access Token của
người dùng.
- Khi tiến trình thử truy cập một tài nguyên được bảo mật, tiến trình lấy thẻ dùng tài
nguyên và chỉ định tập quyền truy cập cần thiết trên tài nguyên.
- Hệ thống sẽ truy cập Security Descriptor của tài nguyên và tìm trong các DACL
một ACE có SID trùng SID của Access Token liên kết tiến trình. Từ đó xác định
quyền truy cập của người dùng lên object.
Đây là mô hình được sử dụng phổ biến hiện nay, xuất hiện trong hầu hết các hệ
điều hành (Windows, Linux, Unix,…) để điều khiển truy cập đến hệ thống tập tin và
các loại tài nguyên khác. Đặc điểm của mô hình này là không được áp dụng mặc định
trên hệ thống. Người sở hữu tài nguyên thường là người tạo ra tài nguyên đó hoặc
người được gán quyền sở hữu. Người sở hữu có toàn quyền điều khiển việc truy cập
đến tài nguyên. Quyền truy cập trên một tài nguyên có thể được chuyển từ đối tượng
này sang đối tượng khác.
Hình 1.4: Thiết lập quyền người dùng trên hệ thống Microsoft (gpedit.msc).
Mô hình điều khiển truy cập theo vai trò (RBAC-Role-Based Access Control): tích
hợp phức hợp giữa MAC và DAC, tập trung quản lý nhóm thay vì quản lý người dùng.
Người quản trị gom các người dùng thành nhóm và gán quyền MAC trên cơ sở vai trò
của người dùng trong hệ thống. DAC được dùng bởi người dùng trong mỗi nhóm để
quản lý các quyền mịn hơn. RBAC tập trung vào khái niệm gán vai trò. Mô hình này
được dùng trên hệ Solaris của Sun Microsystems. Đặc điểm của mô hình này là :
- Quyền truy cập được cấp dựa trên vai trò của người dùng trong hệ thống.
- Linh động hơn MAC, người quản trị bảo mật có thể cấu hình lại quyền truy cập cho
từng nhóm chức năng hoặc thay đổi thành viên giữa các nhóm.
- Đơn giản hơn DAC, không cần phải gán quyền truy cập trực tiếp đến từng người
dùng.
1.3.2 Xác thực

Xác thực là một thủ tục có chức năng nhận dạng của một đối tượng trước khi trao
quyền truy cập cho đối tượng này trên một tài nguyên nào đó. Xác thực được thực
hiện dựa trên đặc điểm nhận dạng:
- Điều mà đối tượng biết (ví dụ: mật khẩu, mã PIN). Nếu một đối tượng có
smartcard truy cập một tài khoản, đối tượng đó là chủ sở hữu của tài khoản. Mật
khẩu có thể bị mất nên ghi ra giấy, cho người khác biết hoặc dễ đoán.
- Cái mà đối tượng có (ví dụ: key, smard, token). Nếu một đối tượng có smartcard
truy cấp một tài khoản, đối tượng đó là chủ sở hữu của tài khoản. Smartcard có
thể bị đánh cắp, bị sao chép.
- Đặc trưng của đối tượng: các đặc điểm nhận dạng sinh trắc học (ví dụ như vân
tay, mặt người,…)
Nhiều kỹ thuật được sử dụng phối hợp nhau để tăng độ tin cậy của cơ chế xác
thực. Có hai kiểu xác thực: xác thực một chiều và xác thực hai chiều. Xác thực một
chiều là chỉ cung cấp cơ chế để một đối tượng kiểm tra nhận dạng của đối tượng kia
mà không cung cấp cơ chế kiểm tra ngược lại. Xác thực hai chiều cho phép hai đối
tượng tham gia xác thực lẫn nhau, do đó tính chính xác của quá trình xác thực được
đảm bảo. Ví dụ giao thức bảo mật SSL cung cấp cơ chế xác thực hai chiều dùng
chứng chỉ số. Một số phương thức xác thực:
PAP – Password Authentication Protocol, so sánh credentials (username/ password,

Smart Card, PIN - Personal Identification Number) do người dùng cung cấp với
credentials đã được lưu trong hệ thống. Phương pháp này không thật bảo mật do
credentials người dùng thường chuyển qua mạng dưới dạng không mã hóa.
Hình 1.5: Cơ chế xác thực CHAP [11].
Hình 1.6: Cơ chế xác thực Kerberos (nguồn Internet)

CHAP – Challenge Handshake Authentication Protocol, khi người dùng yêu cầu
đăng nhập hệ thống, server xác thực gởi một trị ngẫu nhiên cho người dùng. Người
dùng tạo trị băm mã hóa một chiều từ mật khẩu và trị ngẫu nhiên chuyển cho server
cùng với nhận diện của người dùng. Server tạo trị băm đối chứng từ mật khẩu người
dùng và trị ngẫu nhiên. Nếu so trùng trị băm do người dùng gởi và trị băm đối chứng,
quá trình xác thực sẽ thành công.
Kerberos dùng một server trung tâm (KDC – Key Distribution Center) để xác thực
hai chiều với người dùng, rồi phân phối các thẻ dịch vụ cho người dùng, cho phép họ
truy cập tài nguyên.
Xác thực dựa vào chứng chỉ số (Certificate): là phương thức xác thực rộng rãi trên
Internet. Phương thức này cung cấp khóa công khai dựa vào chứng chỉ số. Bên gửi sử
dụng khóa công khai để mã hóa dữ liệu. Chỉ có bên nhận có khóa riêng để giải mã dữ
liệu.
1.3.3 Kiểm tra

Kiểm tra là cơ chế xem xét lại hoạt động của hệ thống, ghi nhận các hành vi diễn
ra trên hệ thống và liên kết các hành vi này với các tác nhân gây ra hành vi. Mục tiêu
của kiểm tra là cung cấp các thông tin cần thiết cho việc phục hồi hệ thống khi có sự
cố, đánh giá mức độ an toàn của hệ thống để kế hoạch nâng cấp kịp thời và cung cấp
các thông tin làm chứng cứ cho việc phát hiện các hành vi truy xuất trái phép trên hệ
thống. Có hai cách kiểm tra. Kiểm tra trước là thường xuyên theo dõi các ghi nhận để
phát hiện dấu hiệu xâm nhập hoặc hành vi bất thường. Kiểm tra sau là hành vi giám
định thực hiện sau khi hệ thống đã bị tổn thương.
Các thành phần của hệ thống kiểm tra gồm có:
- Logger: ghi lại thông tin giám sát trên hệ thống trong các tập tin đặc biệt.
- Analyzer: cho phép hiển thị và phân tích kết quả kiểm tra, tức các audit log.
- Notifier: cảnh báo về tính an toàn của hệ thống dựa trên kết quả phân tích.
Việc kiểm tra hệ thống có thể thực hiện thường xuyên hoặc định kỳ, thủ công hoặc
tự động. Kiểm tra hệ thống là thực hiện các chức năng:
- Kiểm tra việc tuân thủ chính sách an toàn về mật khẩu.
- Đánh giá khả năng xâm nhập hệ thống từ bên ngoài.
- Kiểm tra phản ứng của hệ thống đối với các dấu hiệu có thể dẫn đến tấn công hoặc
sự cố hệ thống.
1.4 CÁC NGUY CƠ MẤT AN NINH MẠNG

Hiên nay, có rất nhiều nguy cơ ảnh hưởng đến sự an toàn của một hệ thống thông
tin. Các nguy cơ này có thể xuất phát từ các hành vi tấn công trái phép bên ngoài
hoặc từ bản thân các lỗ hổng bên trong hệ thống.
1.4.1 Phân loại

Tất cả các hệ thống đều mang trong mình lỗ hổng hay điểm yếu. Nhìn một cách
khái quát, ta có thể phân ra thành các loại điểm yếu chính sau:
Phần mềm: Việc lập trình phần mềm đã ẩn chứa sẵn các lỗ hổng. Theo ước tính cứ
1000 dòng mã sẽ có trung bình từ 5-15 lỗi, trong khi các hệ điều hành được xây dựng
từ hàng triệu dòng mã.
Phần cứng: Lỗi thiết bị phần cứng như Firewall, Router,..
Chính sách: Đề ra các quy định không phù hợp, không đảm bảo an ninh, ví dụ như
chính sách về xác thực, qui định về nghĩa vụ và trách nhiệm người dùng trong hệ thống.
Sử dụng: Cho dù hệ thống được trang bị hiện đại đến đâu chăng nữa nhưng do con
người sử dụng và quản lý nên sự sai sót và bất cẩn của người dùng có thể gây ra
những lỗ hổng nghiêm trọng.
1.4.2 Thách thức an ninh

Các thách thức cần quan tâm:
- Tội phạm mạng ngày càng gia tăng theo chiều hướng tinh vi hơn.
- Rò rỉ dữ liệu, thất thoát trong nội bộ và nhân viên làm việc xa.
- An ninh di động, xác thực và các phương tiện truyền thông xã hội.
- Nguồn nhân lực an ninh mạng.
- Khai thác các lỗ hổng, vận hành hệ thống an ninh.
- Bảo vệ các cơ sở hạ tầng quan trọng.
- Cân bằng giữa việc công và tư.

- Tiếp cận với việc nhận dạng các chiến thuật và chu trình.
Danh sách các nguy cơ an ninh:
- Trojans, đánh cắp thông tin
- Mạng ma Flux Botnet
- Thất thoát giữ liệu, vi phạm an ninh
- Các mối đe dọa an ninh trong nội bộ
- Tổ chức tội phạm mạng
- Lừa đảo
- Chợ đen
- Gián điệp mạng
- Zero-Day
- Vishing
- Mối đe dọa từ web 2.0
- Các loại virus mới
- Tống tiền trên mạng
- Di chuyển dữ liệu (usb, máy tính xách tay, băng sao lưu,...)
- Lỗ hổng trong công nghệ mới
- Dự án gia công phần mềm
- Mạng xã hội
- Công nghệ ảo hóa và điện toán đám mây
1.5 TẤN CÔNG MẠNG

Tấn công mạng gồm các giai đoạn như sau:
Trinh sát: Trinh sát đề cập đến giai đoạn chuẩn bị để một Hacker tìm kiếm để thu
thập thông tin về một mục tiêu trước khi tung ra một cuộc tấn công. Mục đích chính
là tìm hiểu một lượng lớn thông tin của mục tiêu để việc tấn công trong tương lai trở
nên dễ dàng hơn. Phạm vi mục tiêu của trinh sát có thể bao gồm các khách hàng,
nhân viên, hoạt động, mạng, và hệ thống,.. Các loại trinh sát gồm có: (1) Trinh sát
thụ động là trinh sát mà không cần trực tiếp tương tác với mục tiêu, ví dụ như tìm
kiếm hồ sơ công khai hoặc các bản tin đã phát hành. (2) Trinh sát chủ động là trinh
sát cần phải trực tiếp tương tác với mục tiêu qua nhiều phương tiện, ví dụ như các
cuộc gọi để lấy thông tin kỹ thuật cá nhân.
Quét: Trước khi tấn công, trên cơ sở các thông tin thu thập được qua quá trình
trinh sát, Hacker quét mạng lưới thông tin của mục tiêu. Quét có thể bao gồm việc sử
dụng các trình quay số, máy quét cổng, lập bản đồ mạng, quét bao quát, quét lỗ
hổng,.. Hacker khai thác các thông tin như tên máy tinh, địa chỉ IP, và tài khoản
người dùng để bắt đầu tấn công.
Truy cập: Truy cập dùng để chỉ việc Hacker có được quyền truy cập vào hệ thống
điều hành hoặc ứng dụng mạng. Hacker có thể truy cập ở cấp hệ điều hành, cấp ứng
dụng hoặc cấp mạng. Hacker có thể nâng cấp quyền để có thể truy cập toàn bộ hệ
thống. Hacker đoạt được quyền kiểm soát hệ thống rồi mới khai thác thông tin. Ví dụ
như bẻ mật khẩu, tràn bộ đệm, từ chối dịch vụ, đánh cắp tài khoản,..
Duy trì truy cập: Duy trì truy cập nói đến việc Hacker cố gắng giữ lại quyền sở hữu
hệ thống. Hacker sử dụng các hệ thống đã chiếm được để bắt đầu các cuộc tấn công
tiếp theo. Hacker có thể giữ quyền sở hữu hệ thống của mình khỏi những Hacker khác
bằng backdoors, rootkits, hoặc trojan. Kẻ tấn có thể thực hiện tất cả các thao tác với
dữ liệu của hệ thống đang sở hữu.
Xóa dấu vết: Hacker tiến hành xóa các bản ghi trên máy chủ, hệ thống và các ứng
dụng để tránh bị nghi ngờ … Mục đích là để che giấu hành vi tấn công của Hacker.
Sau đó, Hacker tiếp tục truy cập vào hệ thống của nạn nhân (vì không bị chú ý và
phát hiện) để xóa bằng chứng liên quan đến bản thân.
1.5.1 Các phương thức tấn công cơ bản

Brute Force: Là phương thức tấn công mà Hacker sử dụng những password đơn
giản để thử lần lượt nhằm đoán ra mật khẩu của người dùng. Phương thức này chỉ áp
dụng đối với những mật khẩu đơn giản.
Dictionary: Là phương thức tấn công tương tự Brute force nhưng thay vì thử lần
lượt mật khẩu, Hacker sử dụng bộ từ điển chứa mật khẩu cần thử.
Spoofing: Là dạng tấn công mà một cá nhân, một hệ thống thực hiện hành vi giả
mạo. Ví dụ như một người giả mạo địa chỉ email gửi đi mà không cần phải xác thực.
DoS: Là dạng tấn công mà một người hay một hệ thống làm cho một hệ thống khác
không thể truy cập hoặc bị chậm đi đáng kể bằng cách sử dụng hết các tài nguyên.
Man-in-the-middle: Hacker bằng một cách nào đó đứng giữa giao tiếp của hai máy
tính.
Replay: Ví dụ như khi một quá trình xác thực được thực hiện thành công và bị kẻ
tấn công capture được quá trình đó. Khi cần đăng nhập vào hệ thống, kẻ tấn công
phát lại luồng traffic đó để thực hiện xác thực.
Sesion Hijacking: Khi người dùng thực hiện thành công quá trình xác thực, Hacker
thực hiện tấn công cướp phiên giao tiếp.
1.5.2 Các mục tiêu tấn công
1.5.2.1 Tấn công hệ điều hành
Các loại tấn công vào hệ điều hành như: Nghe trộm; Giả mạo và ngắt kết nối; Tấn
công bằng gói SYN; Tấn công truyền lại; Tấn công sửa đổi dữ liệu; Tấn công DoS,
DDoS; Tấn công đoán mật khẩu; Tấn công ở giữa; Tấn công cửa sau; Tấn công thỏa
hiệp; Tấn công lớp ứng dụng; Tấn công vào hệ điều hành. Hacker tìm kiếm các lỗ
hổng của hệ điều hành và khai thác chúng để truy cập vào hệ thống mạng. Một số lỗ
hổng như Lỗ hổng tràn bộ đệm; Lỗi trong hệ điều hành; Hệ điều hành chưa vá lỗi.
1.5.2.2 Tấn công lớp ứng dụng
Phần mềm ứng dụng đi kèm với nhiều chức năng nên dễ phát sinh lỗi. Phát hành
gấp rút nên thiếu thời gian thử nghiệm. Các loại tấn công lớp ứng dụng như: Tràn bộ
đệm; Hoạt động quá sức; Tấn công XSS, Tấn công từ chối dịch vụ SYN, Tấn công SQL
injection; Mã độc hại; Lừa đảo; Chiếm quyền điều khiển; Tấn công trung gian; Tấn
công giả mạo tham số; Tấn công cây thư mục; Tấn công vào cấu hình sai.
Khi một hệ thống bị lỗi cấu hình, như sự thay đổi trong quyền truy cập vào tập tin,
thì nó đã trở nên không an toàn. Các quản trị viên cần thiết lập các tham số cấu hình
thiết bị trước khi triển khai trong mạng. Nếu không có những thiết lập mặc định này
thiết bị sẽ dễ dàng bị tấn công. Để tối ưu hóa cấu hình, người quản trị cần thực hiện
việc gỡ bỏ bất kỳ dịch vụ hoặc phần mềm không cần thiết.
1.6 NGUYÊN TẮC XÂY DỰNG MỘT HỆ THỐNG BẢO MẬT

1.6.1 Chính sách và cơ chế bảo mật
Chính sách bảo mật: hệ thống các quy định nhằm đảm bảo sự an toàn của hệ
thống thông tin.
Cơ chế bảo mật: hệ thống các phương pháp, công cụ, thủ tục,… dùng để thực thi
các quy định của chính sách bảo mật. Cơ chế bảo mật thường là: Các biện pháp kỹ
thuật như tường lửa, xác thực người dùng, cơ chế phân quyền sử dụng tập tin và thư
mục, kỹ thuật mã hóa để che giấu thông tin,.. hoặc các thủ tục: quy trình bảo mật
mà khi thực hiện nó thì chính sách bảo mật được an toàn.
Với một chính sách bảo mật cho trước, cơ chế bảo mật phải đáp ứng được ba yêu
cầu sau:
- Ngăn chặn các nguy cơ gây ra vi phạm chính sách bảo mật.
- Phát hiện các hành vi vi phạm chính sách bảo mật.
- Khắc phục hậu quả của rủi ro khi có vi phạm xảy ra.
Thông thường, việc xây dựng một hệ thống bảo mật dựa trên hai giả thiết sau:
- Chính sách bảo mật phân chia một cách rõ ràng các trạng thái của hệ thống thành
hai nhóm: an toàn và không an toàn. Nếu chính sách không liệt kê được các trạng
thái không an toàn của hệ thống thì chính sách không mô tả được một hệ thống
bảo mật thật sự.
- Cơ chế bảo mật có khả năng ngăn chặn hệ thống tiến vào trạng thái không an
toàn. Từng cơ chế riêng lẻ được thiết kế để bảo vệ một hoặc một số các quy định
trong chính sách. Tập hợp tất cả các cơ chế triển khai trên hệ thống phải đảm bảo
thực thi tất cả các quy định trong chính sách.
1.6.2 Các mục tiêu của bảo mật hệ thống

Một hệ thống bảo mật phải thỏa mãn ba yêu cầu cơ bản của mô hình CIA. Người
quản trị hệ thống cần định nghĩa các trạng thái an toàn của hệ thống thông qua chính
sách bảo mật, sau đó thiết lập cơ chế bảo mật để bảo vệ chính sách đó.
Một hệ thống lý tưởng là hệ thống có chính sách bảo mật xác định một cách chính
xác và đầy đủ các trạng thái an toàn của hệ thống và có cơ chế thực thi đầy đủ và
hiệu quả các quy định trong chính sách.
Thực tế khó xây dựng được hệ thống như vậy do hạn chế về kỹ thuật, yếu tố con
người, chi phí thiết lập cơ chế cao hơn lợi ích mà hệ thống an toàn mạng lại. Do vậy,
khi xây dựng một hệ thống bảo mật, mục tiêu đặt ra cho việc thiết kế cơ chế bảo mật
được áp dụng phải bao gồm ba phần sau:
Ngăn chặn: mục tiêu thiết kế là ngăn chặn các hành vi đối với chính sách bảo mật.
Có nhiều sự kiện, hành vi dẫn đến vi phạm chính sách bảo mật. Các hành vi phạm
đơn giản như: để lộ mật khẩu, quên thoát khỏi hệ thống khi rời khỏi máy tính,…đến
các hành vi vi phạm phức tạp và có chủ đích như tấn công hệ thống bên ngoài.
Phát hiện: mục tiêu thiết kế tập trung vào các sự kiện vi phạm chính sách bảo mật
đã xảy ra trên hệ thống. Cơ chế này chủ yếu dựa vào việc theo dõi và phân tích các
thông tin trong nhật ký hệ thống và dữ liệu đang lưu thông trên mạng để tìm ra các
dấu hiệu của các vi phạm, các dấu hiệu này phải được nhận dạng trước và được mô tả
trong cơ sở dữ liệu của hệ thống.
Phục hồi: mục tiêu thiết kế bao gồm các cơ chế nhằm chặn đứng các vi phạm đang
diễn ra hoặc khắc phục hậu quả của vi phạm một cách nhanh chóng với mức độ thiệt
hại thấp nhất. Một phần quan trọng trong cơ chế phục hồi là việc nhận diện những sơ
hở của hệ thống và điều chỉnh các sơ hở đó, các sơ hở này có thể do chính sách bảo
mật chưa chặt chẽ hoặc cơ chế bảo mật có lỗi kỹ thuật, kém hiệu quả.
TÓM TẮT
Bài học cung cấp kiến thức tổng quan về an ninh mạng như các khái niệm an ninh
mạng, các mô hình an ninh, chiếc lược bảo mật hệ thống AAA, các nguy cơ tấn công
mạng và nguyên tắc xây dựng hệ thống bảo mật.
Môi trường mạng hiên nay có rất nhiều nguy cơ ảnh hưởng đến sự an toàn của một
hệ thống thông tin. Các nguy cơ này có thể xuất phát từ các hành vi tấn công trái
phép bên ngoài hoặc từ bản thân các lỗ hổng bên trong hệ thống. Các nguy cơ tấn
công có nguồn gốc từ phần mềm, phần cứng và chính sách sử dụng. Có nhiều nguy
cơ đặt ra như: Trojans, đánh cắp thông tin, mạng ma Flux Botnet, Thất thoát giữ liệu,
vi phạm an ninh, các mối đe dọa an ninh trong nội bộ, tổ chức tội phạm mạng, lừa
đảo, gián điệp mạng, zero-Day, vishing, mối đe dọa từ web 2.0, … Do vậy, an ninh
mạng máy tính là tổng thể các giải pháp về mặt tổ chức và kỹ thuật nhằm ngăn cản
mọi nguy cơ tổn hại đến mạng. Một hệ thống bảo mật là một hệ thống mà thông tin
được xử lý trên nó phải đảm bảo được ba đặc trưng sau (mô hình CIA): (1) Tính bí
mật của hệ thống; (2) Tính toàn vẹn của thông tin; (3) Tính khả dụng của thông tin.
Chiến lược bảo mật hệ thống AAA là chiến lược nền tảng nhất để thực thi các chính
sách bảo mật trên một hệ thống theo mô hình CIA. Người quản trị hệ thống cần định
nghĩa các trạng thái an toàn của hệ thống thông qua chính sách bảo mật và cơ chế
bảo mật. Các mục tiêu cơ bản của việc thực hiện an ninh trên một mạng cần phải đạt
được là: (1) Xác định những gì cần bảo vệ; (2) Xác định bảo vệ trước cái gì; (3) Xác
định các nguy cơ; (4) Thực hiện các biện pháp để bảo vệ; và (5) Kiểm tra lại các tiến
trình một cách liên tiếp và thực hiện cải tiến với mỗi lần tìm ra điểm yếu.
CÂU HỎI ÔN TẬP

Câu 1: Trình bày các khái niệm và thuật ngữ an ninh mạng ?
Câu 2: Trình bày chiến lược an ninh mạng AAA? Minh họa?
Câu 3: Trình bày các nguy cơ trong an ninh mạng máy tính ?
Câu 4: Trình bày các chính sách và cơ chế bảo mật ?

Câu 5: Trình bày quy trình tấn công mạng?
Câu 6: Trình bày các kỹ thuật tấn công mạng cơ bản?
Câu 7: Trình bày các đối tượng tấn công mạng là gì?
BÀI 2: CÁC KỸ THUẬT TẤN CÔNG THĂM DÒ 19
BÀI 2: CÁC KỸ THUẬT TẤN CÔNG

THĂM DÒ
Sau khi học xong bài này, sinh viên có thể biết và hiểu được các kỹ thuật điều tra
thông tin mà Hacker thực hiện khi chuẩn bị tấn vào hệ thống mạng của nạn nhân:
- Kỹ thuật footprinting: thu thập thông tin máy chủ dựa vào tên miền;
- Kỹ thuật Scanning: quét các cổng đang hoạt động của máy chủ;
- Kỹ thuật Enumeration: lấy thông tin máy chủ dựa vào các giao thức mạng như:
NetBIOS, SNMP, LDAP, SMTP, DNS, …
Sinh viên hiểu và sử dụng các công cụ mạng liên quan để thực nghiệm, kiểm
chứng các kỹ thuật trên.
2.1 GIỚI THIỆU

Để bắt đầu tấn công hệ thống, Hacker cần thực hiện 3 bước: Footprinting,
Scanning, Enumeration. Trước khi tiến hành tấn công, Hacker cần hiểu sơ lược đối
tượng tấn công. Ví dụ một tên cướp muốn đánh cướp ngân hàng, chúng không thể
bước vào và đòi tiền, mà chúng sẽ dốc sức thăm do các thông tin từ ngân hàng đó.
Thông tin mà hắn thu thập có thể là tuyến đường mà xe bọc thép đi qua, giờ phân
phát, số thủ quỹ, và những thông tin khác giúp phi vụ thành công.
Yêu cầu trên cũng áp dụng cho một Hacker trên mạng. Chúng phải ra sức thu thập
càng nhiều thông tin càng tốt về mọi góc cạnh bảo mật của tổ chức. Kết quả thu được
sẽ giúp cuộc tấn công trót lọt hơn. Bằng cách dò theo dấu chân, những bộ lưu trữ
trên internet, truy cập từ xa, cùng với sự hiện diện của internet, Hacker có thể góp
nhặt một cách có hệ thống các thông tin từ nhiều nguồn khác nhau về một tổ chức
nào đó.
20 BÀI 2: CÁC KỸ THUẬT TẤN CÔNG THĂM DÒ
2.2 TRUY VẾT-FOOTPRINTING

2.2.1 Khái niệm
Footprinting được định nghĩa là quá trình điều tra, thu thập thông tin của một tổ
chức nhằm tạo ra bản đồ thông tin về hệ thống mạng của một tổ chức nào đó. Quá
trình Footprinting được thực hiện trong 2 bước đầu của việc khám phá thông tin và
định vị phạm vi mạng (hình 2-1). Footprinting thực hiện xác định mục tiêu hệ thống,
ứng dụng, hoặc vị trí vật lý của mục tiêu. Các thông tin khác thu được có thể bao gồm
việc xác định các công nghệ Internet đang được sử dụng, hệ điều hành, phần cứng, hoạt
động địa chỉ IP, địa chỉ e-mail và số điện thoại, và tập đoàn chính sách và thủ tục.
Hình 2.1: Bảy bước thực hiện tổng hợp thông tin
2.2.2 Thu thập thông tin tên miền

Một số nguồn thông thường được sử dụng để thu thập thông tin bao gồm sau đây:
Domain name lookup, Whois, Nslookup, Sam Spade.
Sam Spade (http://www.samspade.org) là một website có chứa một bộ sưu tập về

những công cụ như Whois, nslookup, và traceroute. Bởi vì chúng được xác định vị trí
trên 1 website, những công cụ làm việc cho vài hệ điều hành này và là đơn vị để cung
cấp thông tin về 1 mục tiêu tổ chức.
Nslookup là công cụ truy vấn những DNS server để tìm thông tin. Nó được cài đặt
trong Unix, Linux, và hệ đều hành Window. Công cụ hack Sam Spade bao gồm những
công cụ nslookup.
DNSwatch là một công cụ lấy thông tin DNS, địa chỉ website
http://www.dnswatch.info.
Hình 2.2: công cụ nslookup
Hình 2.3: Công cụ DNSWatch

ARIN Lookups: ARIN là một cơ sở dữ liệu của thông tin bao gồm những thông tin
như chủ sở hữu của địa chỉ IP tĩnh. Cơ sở dữ liệu ARIN có thể được truy vấn việc sử
dụng công cụ Whois, ví dụ tại http://centralops.net/
Hình 2.4: ARIN cung cấp thông tin DNS của Hutech.
Các loại bảng ghi DNS thường gặp được sử dụng để xác định rõ chức năng máy
chủ.
- A (address): Ánh xạ hostname thành địa chỉ IP.
- SOA (Start of Authoriy): Xác định bảng ghi thông tin của DNS Server.
- CNAME (canonical name): Cung cấp những tên biệt danh (alias) cho tên miền đang
có.
- MX (mail exchange): Xác định mail server cho domain

- PSRV (service): Xác định những dịch vụ như những directory service
- PTR (pointer): Ánh xạ địa chỉ ip thành hostname
- NS (name server): Xác định Name Server khác cho domain
2.2.3 Thu thập thông tin Email
Hình 2.5: Công cụ tìm địa chỉ email của một tổ chức: 1st email address spider
Phần mềm “1st email address spider” được sử dụng để tìm kiếm thông tin email.
Hacker thường sử dụng phần mềm này để lọc ra email của các cá nhân liên quan.
Emailtracking là chương trình cho phép người gửi biết được những việc đã làm của
người nhận như reads, forwards, modifies, hay deletes. Hầu hết các chương trình E-
mailtracking hoạt động tại server của tên miền email. Một file đồ họa đơn bit được sử
dụng để đính kèm vào email gửi cho người nhận, nhưng file này sẽ không được đọc.
Khi một hành động tác động vảo email, file đính kèm đó sẽ gửi thông tin lại cho
server cho biết hành động của server. Bạn thường thấy những file này đính kèm vào
email với cái tên quen thuộc như noname, noread...
Emailtracking pro và mailtracking.com là những công cụ giúp Hacker thực hiện

chức năng theo dõi email. Khi sử dụng công cụ, tất cả những hoạt động như gửi mail,
trả lời, chuyển tiếp, sửa mail đều được gửi đến người quản lý. Người gửi sẽ nhận được
những thông báo này một cách tự động.
2.2.4 Thu thập thông tin sử dụng Traceroute
Hình 2.6: Công cụ traceroute

Traceroute là gói công cụ được cài đặt sẵn trong hầu hết các hệ điều hành. Chức
năng của nó là gửi một gói tin ICMP Echo đến mỗi hop (router hoặc gateway), cho
đến khi đến được đích. Khi gói tin ICMP gửi qua mỗi router, trường thời gian sống
(Time To Live – TTL) được trừ đi xuống một mức. Chúng ta có thể đếm được có bao
nhiêu Hop mà gói tin này đã đi qua, tức là để đến được đích phải qua bao nhiêu
router. Ngoài ra, chúng ta sẽ thu được kết qua là những router mà gói tin đã đi qua.
Một vấn đề lớn khi sử dụng Traceroute là hết thời gian đợi (time out), khi gói tin đi
qua tường lửa hoặc router có chức năng lọc gói tin. Mặc dù tường lửa sẽ chặn đứng
việc gói tin ICMP đi qua, nhưng nó vẫn gửi cho Hacker một thông báo cho biết sự hiện
diện này.
2.3 QUÉT-SCANNING
2.3.1 Giới thiệu
Quét là một bước tiếp theo của Footprinting trong tiến trình tấn công hệ thống.
Giai đoạn này giúp Hacker xác định được nhiều thông tin của mục tiêu cần tấn công.
Những thông tin cần thu thập như tên máy, địa chỉ ip, cấu hình máy tính, hệ điều
hành, dịch vụ đang chạy, port đang mở… Những thông tin này sẽ giúp cho Hacker có
kế hoạch tấn công hợp lý, cũng như việc chọn kỹ thuật tấn công nào. Quét giúp định
vị hệ thống còn hoạt động trên mạng hay không.
2.3.2 Phân loại

Công cụ quét được sử dụng để thu thập thông tin về một hệ thống như địa chỉ IP,
hệ điều hành, và các dịch vụ chạy trên các máy tính mục tiêu. Có 3 loại quét mạng
chủ yếu: Quét cổng, quét mạng, quét nguy cơ.
Quét port: là quá trình xác định cổng TCP/IP mở và có sẵn trên một hệ thống.
Công cụ quét Port cho phép Hacker tìm hiểu về các dịch vụ có sẵn trên một hệ thống
nhất định. Mỗi dịch vụ hay ứng dụng máy tính được kết hợp với một số cổng thông
dụng. Ví dụ: công cụ quét xác định cổng 80 mở cho biết một web sever đang chạy
trên đó.
Quét mạng: là quá trình xác định máy chủ đang hoạt động trên mạng. Máy chủ
được xác định bởi IP. Các công cụ này cố gắng xác định tất cả các máy chủ trực tiếp
hoặc trả lời trên mạng và địa chỉ IP tương ứng của chúng.
Quét nguy cơ: là quá trình chủ động xác định các lỗ hổng của hệ thống máy tính
trên mạng. Thông thường, một máy quét lỗ hổng đầu tiên xác định các hệ điều hành,
số phiên bản, các gói dịch vụ có thể được cài đặt. Sau đó, máy quét lỗ hổng xác định
các điểm yếu, lỗ hổng trong hệ điều hành. Trong giai đoạn tấn công sau đó, Hacker
có thể khai thác những điểm yếu để đạt được quyền truy cập vào hệ thống.
2.3.3 Các phương pháp quét

Tấn công Quét thường thực hiện trình tự các bước sau: Kiểm tra hệ thống, kiểm
tra cổng mở, lấy thông tin phiên bản hệ điều hành, quét lỗ hỏng bảo mật, dựng biểu
đồ hệ thống mạng, chuẩn bị proxy.
2.3.3.1 Kiểm tra hệ thống
Quét ICMP: Bản chất của quá trình này là gửi một gói ICMP Echo Request đến máy
chủ đang muốn tấn công. Việc quét này rất hữu ích để định vị các thiết bị hoạt động
hoặc xác định hệ thống có tường lửa hay không
Ping Sweep: được sử dụng để xác định các máy chủ còn “sống” từ một loạt các địa
chỉ IP bằng cách gửi các gói ICMP Echo Request đến tất cả các IP đó. Nếu một máy
chủ còn “sống” nó sẽ trả lại một gói tin ICMP Reply.
2.3.3.2 Kiểm tra các cổng mở
Trong gói tin TCP, ý nghĩa việc thiết lập Flag được sử dụng để Scan Port như sau:
- Thông số SYN để yêu cầu kết nối giữa hai máy tính.
- Thông số ACK để trả lời kết nối giữa hai máy có thể bắt đầu được thực hiện.
- Thông số FIN để kết thúc quá trình kết nối giữa hai máy.
- Thông số RST từ Server để nói cho Client biết rằng giao tiếp này bị cấm (không
thể sử dụng).
- Thông số PSH sử dụng kết hợp với thông số URG.
- Thông số URG sử dụng để thiết lập độ ưu tiên cho gói tin này.
Hình 2.7: Cấu trúc header của gói TCP

Toàn bộ các thông số này trong gói tin nó chỉ thể hiện là 1 hoặc 0 nếu là 0 thì gói
tin TCP không thiết lập thông số này, nếu là 1 thì thông số nào đó được thực hiện nó
sẽ lần lượt trong 8 bits trong phần Flag.
Ba bước bắt tay kết nối TCP:
Bước I: Client gửi đến Server một gói tin SYN.
Bước II: Server trả lời tới Client một gói tin SYN/ACK.
Bước III: Khi Client nhận được gói tin SYN/ACK sẽ gửi lại server một gói ACK – và
quá trình trao đổi thông tin giữa hai máy bắt đầu.
Hình 2.8: Cơ chế bắt tay ba bước

Bốn bước kết thúc kết nối:
Bước I: Client gửi đến Server một gói tin FIN ACK.
Bước II: Server gửi lại cho Client một gói tin ACK.
Bước III: Server lại gửi cho Client một gói FIN ACK.
Bước IV: Client gửi lại cho Server gói ACK và quá trình ngắt kết nối giữa Server và
Client được thực hiện.
Hình 2.9: Bốn bước kết thúc kết nối TCP

Nguyên tắc Scan Port trên một hệ thống.
TCP Scan: Trên gói TCP/UDP có 16 bit dành cho Port Number điều đó có nghĩa nó
có từ 1 – 65535 port. Không một Hacker nào lại scan toàn bộ các port trên hệ thống,
chúng chỉ scan những port hay sử dụng nhất thường chỉ sử dụng scan từ port 1 tới
port 1024 mà thôi. Dựa vào các nguyên tắc truyền thông tin của TCP, Hacker có thể
Scan Port nào mở trên hệ thống bằng nhưng phương thức sau đây:
- SYN Scan: Khi Client gửi gói SYN với một thông số Port nhất định tới Server nếu
server gửi về gói SYN/ACK thì Client biết Port đó trên Server được mở. Nếu Server
gửi về cho Client gói RST/SYN tôi biết port đó trên Server đóng.
- FIN Scan: Khi Client chưa có kết nối tới Server nhưng vẫn tạo ra gói FIN với số
port nhất định gửi tới Server cần Scan. Nếu Server gửi về gói ACK thì Client biết
Server mở port đó, nếu Server gửi về gói RST thì Client biết Server đóng port đó.
- NULL Scan Sure: Client sẽ gửi tới Server những gói TCP với số port cần Scan mà
không chứa thông số Flag nào, nếu Server gửi lại gói RST thì tôi biết port đó trên
Server bị đóng.
- XMAS Scan Sorry: Client sẽ gửi những gói TCP với số Port nhất định cần Scan chứa
nhiều thông số Flag như: FIN, URG, PSH. Nếu Server trả về gói RST tôi biết port
đó trên Server bị đóng.
- TCP Connect: Phương thức này rất thực tế nó gửi đến Server những gói tin yêu cầu
kết nối thực tế tới các port cụ thể trên server. Nếu server trả về gói SYN/ACK thì
Client biết port đó mở, nếu Server gửi về gói RST/ACK Client biết port đó trên
Server bị đóng.
- ACK Scan: dạng Scan này nhằm mục đích tìm những Access Controll List trên
Server. Client cố gắng kết nối tới Server bằng gói ICMP nếu nhận được gói tin là
Host Unreachable thì client sẽ hiểu port đó trên server đã bị lọc.
Có vài dạng Scan cho các dịch vụ điển hình dễ bị tấn công như:
- RPC Scan: Cố gắng kiểm tra xem hệ thống có mở port cho dịch vụ RPC không.
- Windows Scan tương tự như ACK Scan, nhưng nó có thể chỉ thực hiện trên một số
port nhất định.
- FTP Scan: Có thể sử dụng để xem dịch vụ FTP có được sử dụng trên Server hay
không
- IDLE: đây là dạng Passive Scan, sniffer và đưa ra kết luận máy tính mở port nào.
Phương thức này chính xác nhưng đôi khi không đầy đủ bởi có những port trên
máy tính mở nhưng không giao tiếp thì phương thức này cũng không scan được
UDP Scan: Nếu như gói tin truyền bằng TCP để đảm bảo sự toàn vẹn của gói tin sẽ
luôn được truyền tới đích. Gói tin truyền bằng UDP sẽ đáp ứng nhu cầu truyền tải dữ
liệu nhanh với các gói tin nhỏ. Với quá trình thực hiện truyền tin bằng TCP Hacker dễ
dàng Scan được hệ thống đang mở những port nào dựa trên các thông số Flag trên
gói TCP. Cấu tạo gói UDP hình 2-13.
Hình 2.10: Cấu tạo header gói UDP

Như ta thấy gói UDP không chứa các thông số Flag, cho nên không thể sử dụng
các phương thức Scan port của TCP sử dụng cho UDP được. Thật không may hầu hết
hệ thống đều cho phép gói ICMP. Nếu một port bị đóng, khi Server nhận được gói
ICMP từ client nó sẽ cố gắng gửi một gói ICMP type 3 code 3 port với nội dung là
“unreachable” về Client. Khi thực hiện UDP Scan thường nhận được các kết quả không
có độ tin cây cao.
Scan Port với Nmap: Nmap là một tool scan port rất mạnh và đã nổi danh từ lâu
được giới hacker tin dùng. Nó hỗ trợ toàn bộ các phương thức scan port, ngoài ra nó
còn hỗ trợ các phương thức scan hostname, service chạy trên hệ thống đó…. Nmap
hiện giờ có cả giao diện đồ hoạ và giao diện command line cho người dùng, chạy trên
cả môi trường .NIX và Windows. Phần mềm nmap miễn phí. Dưới đây là cách sử dụng
Nmap để scan:
C:\nmap-3.93>nmap -h
Nmap 3.93 Usage: nmap [Scan Type(s)] [Options] <host or net list>
Some Common Scan Types ('*' options require root privileges)
* -sS TCP SYN stealth port scan (default if privileged (root))
-sT TCP connect() port scan (default for unprivileged users)
* -sU UDP port scan
-sP ping scan (Find any reachable machines)
* -sF,-sX,-sN Stealth FIN, Xmas, or Null scan (experts only)
-sV Version scan probes open ports determining service and app
names/versions
-sR/-I RPC/Identd scan (use with other scan types)
Some Common Options (none are required, most can be combined):
* -O Use TCP/IP fingerprinting to guess remote operating system
-p <range> ports to scan. Example range: '1-1024,1080,6666,31337'
-F Only scans ports listed in nmap-services
-v Verbose. Its use is recommended Use twice for greater effect.
-P0 Don't ping hosts (needed to scan www.microsoft.com and others)
* -Ddecoy_host1,decoy2[,...] Hide scan using many decoys
-6 scans via IPv6 rather than IPv4
-T <Paranoid|Sneaky|Polite|Normal|Aggressive|Insane> General timing policy
-n/-R Never do DNS resolution/Always resolve [default: sometimes resolve]
-oN/-oX/-oG <logfile> Output normal/XML/grepable scan logs to <logfile>
-iL <inputfile> Get targets from file; Use '-' for stdin
* -S <your_IP>/-e <devicename> Specify source address or network interface
--interactive Go into interactive mode (then press h for help)
--win_help Windows-specific features
Example: nmap -v -sS -O www.my.com 192.168.0.0/16 '192.88-90.*.*'
SEE THE MAN PAGE FOR MANY MORE OPTIONS, DESCRIPTIONS, AND EXAMPLES
Các dạng scan mà nmap hỗ trợ:

Nmap –sT: trong đó chữ s – là Scan, còn chữ T là dạng TCP scan
Nmap –sU: đó là sử dụng UDP Scan
Nmap –sP: sử dụng Ping để scan
Nmap –sF: sử dụng FIN Scan
Nmap –sX: sử dụng phương thức XMAS Scan
Nmap –sN: sử dụng phương thức NULL Scan
Nmap –sV: sử dụng để Scan tên các ứng dụng và version củ
Nmap –SR /I RPC sử dụng để scan RPC
Nmap –sT –p1-5000 –sV –O –T5 192.168.0.211
Đây là câu lệnh sử dụng phương thức TCP Scan từ Port 1  5000 cho phép
Fingerprint Services và OS, T5 là scan nhanh đến máy tính 192.168.0.211.
Các option cao cấp kết hợp với các dạng Scan trong Nmap.
- O: sử dụng để biết hệ điều hành chạy trên máy chủ ví như ta dùng Nmap sử dụng
phương thức scan là XMAS Scan và đoán biết hệ điều hành của: hutech ta dùng
câu lệnh: nmap –sX –o www.hutech.edu.vn.
- P: giải port sử dụng để scan
- F: Chỉ những port trong danh sách scan của Nmap
- V: Sử dụng Scan hai lần nhằm tăng độ tin cậy và hiệu quả của phương thức scan
nào ta sử dụng.
- P0: không sử dụng ping để Scan nhằm mục đích giảm thiểu các quá trình quét
ngăn chặn scan trên các trang web hay máy chủ. Ví như tôi muốn Scan trang web
www.hutech.edu.vn bằng phương thức UDP Scan, số port sử dụng là từ 1 tới 1024
và sử dụng hai lần để nâng cao hiệu quả, khi scan sẽ không ping tới trang này:
Nmap –sU –P ‘1-1024’ –V –P0
Ngoài ra nmap còn hỗ trợ tính năng scan ẩn nhằm tránh những quá trình quét trên
server như sử dụng:
- Ddecoy_host1, decoy2… để ẩn quá trình Scan.

- 6: Scan IPv6
Ngoài ra nmap còn cho chúng ta những options để output kết quả ra nhiều định
dạng file khác nhau.
Nmap hỗ trợ Scan lỗ hổng bảo mật trên OS. Nmap có sử dụng tập Signature để
scan lỗ hổng bảo mật là Nmap Script Engine. Mỗi file Nmap Script Engine (.nse) sẽ
scan được một loại lỗ hổng bảo mật. Các bước Scan lỗ hổng bảo mật MS12-020 (lỗ
hổng cho phép tấn công DoS làm treo hệ thống máy tính Windows 7, 2008, Vista, XP,
2003) được trình bày tóm tắt như sau:
Step 1: access Google search query "search ms12-020 by nmap"
Step 2: download file Nmap Script Engine (.nse)
step 3: Install nmap 6
step 4: Scan sử dụng nmap với câu lệnh (File nse để trong ổ E thư mục hutech).
nmap -sC -p 3389 -v -v --script-trace --script "E:\\hutech\\ms12-020-rev.nse"

IP_Scan
Step 5: Khi Nmap báo như sau thì có lỗ hổng bảo mật
2.3.3.3 triển khai proxy server để tấn công
Một proxy server là một máy tính hoạt động trung gian giữa Hacker và máy tính
đích. Sử dụng một proxy server có thể cho phép Hacker trở thành vô danh trên mạng.
Hacker trước tiên kết nối tới máy proxy server rồi yêu cầu kết nối tới máy đích thông
qua kết nối có sẵn đến proxy. Cơ bản, proxy yêu cầu truy cập đến mục tiêu mà không
phải là máy tính của Hacker.
2.4 LIỆT KÊ - ENUMERATION

2.4.1 Khái niệm
Là quá trình trích xuất tên người dùng, tên máy, tài nguyên mạng, các chia sẻ, và
các dịch vụ từ một hệ thống. Kỹ thuật này được tiến hành trong một môi trường
mạng nội bộ.
Các kỹ thuật liệt kê gồm có: trích xuất tên người dùng sử dụng ID thư điện tử;
trích xuất tên người dùng sử dụng SNMP; trích xuất tên người dùng từ Windows; trích
xuất thông tin sử dụng từ các mật khẩu mặc định; trích xuất thông tin từ Active
Directory và trích xuất thông tin sử dụng vùng thuyên chuyển DNS.
2.4.2 Liệt kê NetBIOS

NetBIOS (Network Basic Input Output System) là một giao thức cho các máy
khách kết nối tới tài nguyên các máy trong mạng LAN. NetBIOS được thiết kế bởi tập
đoàn máy tính IBM và Sytek. Nó được thiết kế trong môi trường mạng LAN để chia sẻ
tài nguyên (như dùng chung các File, Folder, máy in và nhiều tài nguyên khác....).
Giao thức Netbios thường là Netbios Datagram Service (Port 138), Netbios Session
Service (Port 139) hoặc cả hai.
Dựa vào NetBIOS, Hacker có được các liệt kê như: Danh sách máy tính thuộc một
miền mạng; Danh sách các chia sẻ của các máy tính trên một miền mạng và Các
chính sách và các mật khẩu.
Các công cụ liệt kê NetBIOS: SuperScan, NetBios Enumertor.
Các công cụ liệt kê tài khoản người dùng: PsExec, PsFile, PsGetSid, PsKill, PsInfo,
PsList, PsLoggedOn, PsLogList.
Công cụ liệt kê hệ thống sử dụng các mật khẩu mặc định:

http://www.defaultpassword.com
Hình 2.11: Công cụ SuperScan

2.4.3 Liệt kê SNMP

SNMP (Simple Network Management Protocol) là một giao thức cho phép quản lý
các thiết bị mạng từ xa: router, switch, server. Một hệ thống sử dụng SNMP bao gồm
2 thành phần chính:
- Phần mềm quản lý: Nhiệm vụ của chương trình quản lý mạng là truy vấn các
chương trình máy khách trên thiết bị được giám sát.
- Chương trình hỗ trợ giám sát chạy trên thiết bị mạng cần được quản lý. Chương
trình này có thể là riêng biệt (ví dụ như daemon trên Unix) hay được tích hợp vào
hệ điều hành, ví dụ như IOS (Internetwork Operation System) của Cisco. Nhiệm
vụ của chương trình này là cung cấp thông tin cho chương trình quản lý.
Hacker liệt kê SNMP để trích xuất thông tin về tài nguyên mạng chẳng hạn như:
máy chủ, bộ định truyến, bộ chuyển mạch, … Sử dụng tập hợp chuỗi mặc định để
trích xuất thông tin về một thiết bị sử dụng tập hợp chuỗi “public”. Ngoài ra còn có
thể liệt kê được MIB (cơ sở dữ liệu ảo chứa thông tin các đối tượng mạng).
Các công cụ liệt kê SNMP: OptUtils, Solarwinds, Getif SNMP MIB Browser,
iReasoning MIB Browser, LoriotPro, Nsauditor Network Security Auditor, OidView
SNMP MIB Browser, OpUtils Network Monitoring Toolset, SNMP SCANNER, SNScan,
SoftPerfect Network Scanner, Solarwind Engineer’s Toolset.
Hình 2.12: Công cụ quản lý mạng OpUtils.
2.4.4 Liệt kê Unix/Linux

Linux là một hệ điều hành mã nguồn mở dạng Unix được xây dựng bởi Linus
Torvalds và sau đó được phát triển bởi cộng đồng lập trình mã nguồn mở trên toàn
thế giới thành nhiều nhiều phiên bản khác nhau. Phần lớn các phiên bản Linux đều
miễn phí nhưng hiện nay có một số công ty đã cho ra đời một số phiên bản Linux
thương mại.
Khác với Windows, Linux được tạo thành bởi các modul hoạt động độc lập với
nhau, người dùng có thể tự xây dựng hệ điều hành riêng của mình bằng cách thêm
những modul cần thiết vào. Vì vậy hệ thống Linux có tính linh hoạt cao hơn Windows.
Thường Linux được sử dụng làm máy chủ nhiều hơn là làm máy trạm vì việc cấu hình
cho Linux phức tạp hơn nhiều vì thường phải dùng command line để cấu hình chứ
không có giao diện đồ hoạ như Windows.
Hệ thống chạy trên Linux thường nhanh hơn và ổn định hơn là chạy trên Windows.
Sở dĩ Linux chưa được dùng nhiều cho máy tính cá nhân vì nó hỗ trợ giao diện đồ hoạ
chưa tốt.
Lệnh sử dụng để liệt kê tài nguyên mạng của Unix gồm những lệnh sau:
- Showmount: dùng để tìm các thư mục chia sẻ trên máy tính.
[root$] showmount –e 19x.16x.xxx.xx
- Finger: dùng để liệt kê về người dùng và máy chủ, cho phép xem thời gian đăng
nhập của người sử dụng thư mục, thời gian nhàn rỗi, vị trí văn phòng, và thời gian
cuối cùng cả hai đều nhận được hoặc đọc thư.
[root$] finger –l @target.hackme.com
- Rpcclient: dùng để điều tra được tên người dùng trên Linux và OS X.
[root$] rpcclient $> netshareenum
- Rpcinfo (RPC): dùng liệt kê giao thức RPC (gọi hàm từ xa), giao thức RPC cho phép
các ứng dụng giao tiếp với nhau qua mạng.
[root$] rpcinfo –p 19x.16x.xxx.xx
Công cụ liệt kê Linux là Enum4linux.
2.4.5 Liệt kê LDAP

LDAP (Lightweight Directory Access Protocol) là giao thức sử dụng truy cập thư
mục với Active Directory hoặc từ dịch vụ thư mục khác, và hoạt động ở port 389.
Trong hệ thống sử dụng LDAP thư mục được định dạng phân cấp hợp lý, giống như
quản lý các nhân viên trong một công ty. Nó được gắn vào hệ thống tên miền và cho
phép tích hợp các tìm kiếm nhanh và phân giải nhanh chóng các truy vấn.
Các công cụ liệt kê LDAP: Jxplorer, LDAP Account Manager, LDAP Admin tool
Professional, LDAP Explorer Tool, Ldp.exe, LEX – The LDAP Explorer, Softerra LDAP
Administor, Symlabs LDAP Browser.
2.4.6 Liệt kê NTP

NTP (Network Time Protocol) là giao thức thời gian mạng được thiết kế để đồng bộ
thời gian của các máy tính nối mạng với nhau, và sử dụng port 123. Các máy tính
trong mạng công cộng có thể chênh lệch nhau 10mili giây và chênh lệch 200 micro
giây hoặc ít hơn trong mạng cục bộ ở điều kiện lý tưởng.
Các công cụ liệt kê NTP như NTP Server Scanner, PresenTense Time Server,
PresenTense Time Client, LAN Time Analyser, NTP Server Checker, Time Watch,
PresenTense NTP Auditor, NTP Time Server Monitor, AtomSync. Ngoài ra còn có các
lệnh để liệt kê NTP như ntpdate, ntptrace, ntpdc, ntpq.
2.4.7 Liệt kê SMTP

SMTP (Simple Mail Transfer Protocol) là giao thức dùng để gửi thư điện tử giữa các
máy tính với nhau và dùng port 25. Công cụ liệt kê SMTP như NetScanTools Pro,
2.4.8 Liệt kê DNS

DNS(Domain Name Server) là hệ thống dùng để phân giải tên miền dùng port 53.
Liệt kê DNS Zone Transfer là sử dụng lệnh nslookup để xác đinh máy chủ DNS và hồ
sơ của một mạng mục tiêu. Hacker có thể thu thập được các thông tin giá trị như máy
chủ DNS, tên máy chủ, tên người dùng … Công cụ thường được sử dụng là Men &
Mice Suite.
2.4.9 Các phương pháp phòng chống

SNMP: Xóa SNMP agent hoặc tắt dịch vụ SNMP. Nâng cấp lên SNMP3, để mã hóa
mật khẩu và tin nhắn. Thực hiện tùy chọn bảo mật Group Policy như thêm hạn chế
các kết nối vô danh.
DNS: Cấu hình máy chủ DNS không cho phép DNS zone transfer đến các máy chủ
không tin cậy. Đảm bảo các hồ sơ không xuất hiện tron tập tin DNS zone. Cung cấp
chi tiết và liên hệ với quản trị mạng trong cơ sở dữ liệu để ngăn chặn tấn công.
SMTP: Cấu hình máy chủ SMTP bỏ qua các tin nhắn từ địa chỉ không rõ người nhận
hoặc yêu cầu trả lời các thông tin sau: Chi tiết về hệ thống thư điện tử đang sử dụng
(chẳng hạn như Sendmail hoặc MS Exchange), địa chỉ IP nội bộ hoặc thông tin máy
chủ và bỏ qua email không rõ người nhận.
LDAP: Sử dụng NTLM hoặc chứng thực cơ bản để giới hạn truy cập, chỉ những
người dùng mình biết mới được truy cập. Mặc định, lưu lượng truy cập của LDAP được
truyền không đảm bảo nên sử dụng công nghệ SSL để mã hóa lưu lượng truy cập.
Khóa tài khoản đối với những tài khoản khác biệt và không biết. SMB: vô hiệu hóa
SMB như hình 2-28.
Hình 2.13: Vô hiệu hóa SMB

TÓM TẮT
Trong bài này sinh viên làm quen với các khái niệm về footprinting, scanning, và
enumeration, các công cụ phần mềm hỗ trợ thực hiện và các giải pháp phòng tránh.
Kỹ thuật footprinting cho phép điều tra thông tin nạn nhân như các công nghệ
Internet đang được sử dụng, hệ điều hành, phần cứng, hoạt động địa chỉ IP, địa chỉ e-
mail và số điện thoại, và tập đoàn chính sách và thủ tục.
Kỹ thuật scanning thu thập như tên máy, địa chỉ ip, cấu hình máy tính, hệ điều
hành, dịch vụ đang chạy, port đang mở. Các phần mềm thông dụng là Nmap,
AngryIPScanner, GFI LANguard.
Kỹ thuật enumeration là quá trình trích xuất tên người dùng, tên máy, tài nguyên
mạng, các chia sẻ, và cá dịch vụ từ một hệ thống. Kỹ thuật này được tiến hành trong
một môi trường mạng nội bộ. Các kỹ thuật liệt kê gồm có: Trích xuất tên người dùng
sử dụng ID thư điện tử; Trích xuất tên người dùng sử dụng SNMP; Trích xuất tên
người dùng từ Windows; Trích xuất thông tin sử dụng từ các mật khẩu mặc định;
Chiếm Active Directory và Trích xuất thông tin sử dụng vùng thuyên chuyển DNS.

Câu 1: Kỹ thuật footprinting là gì? Có những công cụ thực hiện footprinting gì? Thực
hiện minh họa điều tra thông tin của một trang web trên mạng?
Câu 2: Kỹ thuật Scanning làm gì? Cho biết các công cụ scanning phổ biến hiện nay và
thực hiện minh họa?
Câu 3: Trình bày ý nghĩa cú pháp từng câu lệnh của phần mềm nmap?
Câu 4: Tìm hiểu và thực nghiệm phần mềm Retina để quét lỗ hỏng máy chủ?
Câu 5: Kỹ thuật enumeration làm gì? Trình bày cách thức liệt kê của kỹ thuật này,
các công cụ mạng liên quan và thực nghiệm minh họa.
Câu 6: Dựng một server web trong mạng nội bộ, thực hiện các kỹ thuật Scanning và
enumeration?
BÀI 3: TẤN CÔNG HỆ THỐNG 41
BÀI 3: TẤN CÔNG HỆ THỐNG
Bài giảng cung cấp cho sinh viên các kiến thức về tổng quan về các bước tấn công
hệ thống mạng máy mà Hacker thường thực hiện. Các bước tấn công gồm có:
- Thu thập thông tin để giành quyền truy cập;
- Tạo ra user có đặt quyền trên hệ thống hoặc nâng quyền hạn của user đã thu thập
được;
- Tạo và duy trì backdoor để truy cập;
- Che dấu các tập tin độc hại;
- Xóa dấu vết.
Thông qua việc biết cách thức tấn công của Hacker, sinh viên hiểu sâu hơn các vấn
đề an ninh trong hệ thống mạng. Từ đó, sinh viên biết giải pháp bảo mật phù hợp cần
phải triển khai cho hệ thống mạng.
3.1 CÁC BƯỚC TẤN CÔNG

Tấn công hệ thống (System Hacking) bao gồm các bước như: (1) Thu thập thông
tin để giành quyền truy cập; (2) Tạo ra user có đặt quyền trên hệ thống hoặc nâng
quyền hạn của user đã thu thập được; (3) Tạo và duy trì backdoor để truy cập; (4)
Che dấu các tập tin độc hại và (5) Xóa dấu vết.
3.1.1 Mật khẩu

Độ mạnh của mật khẩu phụ thuộc vào khả năng nhạy cảm của Hacker. Quy tắc
sau đây, đề nghị của hội đồng EC (European Commission), phải được áp dụng khi bạn
tạo một mật khẩu, để bảo vệ nó chống lại các cuộc tấn công:
- Không chứa tên tài khoản người dung
- Ngắn nhất phải 8 ký tự

42 BÀI 3: TẤN CÔNG HỆ THỐNG
- Phải chứa các ký tự từ ít nhất ba trong số các loại sau: Có chứa các ký tự đặc biệt
‘/’ , chứa chữ số, chữ cái viết thường và chữ cái viết hoa.
3.1.1.1 Các kiểu tấn công mật khẩu
Hacker dùng các cách tấn công khác nhau để tìm password để truy cập vào hệ
thống. Các kiểu tấn công password thường ở dạng sau:
Passive Online: Nghe trôm sự thay đổi mật khẩu trên mạng. Cuộc tấn công thụ
động trực tuyến bao gồm: sniffing, man-in-the-middle, và replay attacks (tấn công
dựa vào phản hồi). Một cuộc tấn công thụ động trực tuyến là đánh hơi (sniffing) để
tìm các dấu vết, các mật khẩu trên một mạng. Mật khẩu bị bắt (capture) trong quá
trình xác thực và sau đó có thể được so sánh với một từ điển (dictionary) hoặc danh
sách từ (word list). Tài khoản người dùng có mật khẩu thường được băm (hashed)
hoặc mã hóa (encrypted) trước khi gửi lên mạng để ngăn chặn truy cập trái phép và
sử dụng. Nếu mật khẩu được bảo vệ bằng cách trên, một số công cụ đặc biệt giúp
Hacker có thể phá vỡ các thuật toán mã hóa mật khẩu.
Để tăng tốc độ đoán của mật khẩu, hacker thường dùng công cụ tự động. Hacker
thường sử dụng cửa sổ lệnh dựa trên cú pháp chuẩn của lệnh NET USE. Để tạo ra một kịch
bản đơn giản cho việc đoán mật khẩu tự động, hacker thực hiện các bước sau đây:
- Tạo ra một tên người dùng đơn giản và tập tin mật khẩu bằng cách sử dụng các
cửa sổ notepad. Dùng các dòng lệnh để tạo ra danh sách các từ điển. Và sau đó
lưu vào các tập tin vào ổ đĩa C, với tên là credentials.txt
- Sử dụng lênh FOR:
C:\> FOR /F “token=1, 2*” %i in (credentials.txt)
Gõ lệnh:
net use \\targetIP\IPC$ %i /u: %j
để sử dụng file credentials.txt cố gắng logon vào hệ thống chia sẽ ẩn trên hệ thống
mục tiêu.
Active Online: Đoán trước mật khẩu người quản trị. Các cuộc tấn công trực tuyến
bao gồm việc đoán password tự động. Cách dễ nhất để đạt được cấp độ truy cập của
một quản trị viên hệ thống là phải đoán từ đơn giản thông qua giả định là các quản trị
viên sử dụng một mật khẩu đơn giản. Mật khẩu đoán là để tấn công. Active Online
Attack dựa trên các yếu tố con người tham gia vào việc tạo ra mật khẩu và cách tấn
công này chỉ hữu dụng với những mật khẩu yếu.
Offline: Các kiểu tấn công như Dictionary, hybrid, và brute-force. Cuộc tấn công
Offline được thực hiện tại một vị trí khác hơn là hành động tại máy tính có chứa mật
khẩu hoặc nơi mật khẩu được sử dụng. Cuộc tấn công Offline yêu cầu phần cứng để
truy cập vật lý vào máy tính và sao chép các tập tin mật khẩu từ hệ thống lên phương
tiện di động. Hacker sau đó có file đó và tiếp tục khai thác lỗ hổng bảo mật. Bảng sau
minh họa vài loại hình tấn công offline.
Bảng 3.1: Các loại hình tấn công offline
Loại tấn công Đặc điểm Ví dụ

Dictionary attack Sử dụng mật khẩu từ từ điển Administrator
Hybrid attack Thay thế một vài ký tự của mật khẩu Adm1n1strator
Brute-force-attack Thay đổi toàn bộ ký tự của mật khẩu Ms!tr245@F5a
Dictionary Attack là cách tấn công đơn giản và nhanh nhất trong các loại hình tấn
công. Nó được sử dụng để xác định một mật khẩu từ thực tế, và mật khẩu có thể
được tìm thấy trong từ điển. Thông thường nhất, cuộc tấn công sử dụng một tập tin
từ điển các từ có thể, sau đó sử dụng một thuật toán được sử dụng bởi quá trình xác
thực. Các hàm băm (hash) của các từ trong từ điển được so sánh với hàm băm của
mật khẩu người dùng đăng nhập vào, hoặc với các mật khẩu được lưu trữ trong một
tập tin trên máy chủ. Dictionary Attack chỉ làm việc nếu mật khẩu là một thực thể có
trong từ điển. Nhưng kiểu tấn công này có một số hạn chế là nó không thể được sử
dụng với các mật khẩu mạnh có chứa số hoặc ký hiệu khác .
Hybrid Attack là cấp độ tiếp theo của hacker, một nỗ lực nếu mật khẩu không thể
được tìm thấy bằng cách sử dụng Dictionary Attack. Các cuộc tấn công Hybrid bắt đầu
với một tập tin từ điển và thay thế các con số và các ký hiệu cho các ký tự trong mật
khẩu. Ví dụ, nhiều người sử dụng thêm số 1 vào cuối mật khẩu của họ để đáp ứng
yêu cầu mật khẩu mạnh. Hybrid được thiết kế để tìm những loại bất thường trong
mật khẩu.
Brute Force Attack là một cuộc tấn công bằng thuật toán brute-force, mà mọi cố
gắng kết hợp có thể có của chữ hoa và chữ thường, chữ cái, số, và biểu tượng. Một
cuộc tấn công bằng thuật toán brute-force là chậm nhất trong ba loại tấn công vì có
thể kết hợp nhiều ký tự trong mật khẩu. Tuy nhiên, cách này có hiệu quả, cần có đủ
thời gian và sức mạnh xử lý tất cả.
Non-Electronic: Các cuộc tấn công dựa vào yếu tố con người như Social
engineering, Phising… Các cuộc tấn công non-electronic là cuộc tấn công mà không sử
dụng bất kỳ kiến thức kỹ thuật nào. Loại tấn công có thể bao gồm các kỹ thuật như
social engineering, shoulder surfing, keyboard sniffing, dumpster diving.
3.1.1.2 Các bước crack password
Crack password thủ công liên quan đến việc cố gắng đăng nhập với một password
khác. Các bước mà hacker tiến hành:
- Tìm tài khoản người dùng (có thể là tài khoản administractor hoặc khách)
- Tạo ra một danh sách các mật khẩu có thể
- Xếp hạng các mật khẩu có xác xuất từ cao xuống thấp
- Mức độ quan trọng của mật khẩu.
- Cố gắng làm đi làm lại cho đến khi nào bẻ password thành công
3.1.1.3 Kỹ thuật tấn công chuyển hướng
Một hướng khác để khám phá mật khẩu trên mạng là chuyển hướng đăng nhập
của máy chủ, chặn gửi tin nhắn đến máy khách, và gửi password đến cho hacker. Để
làm được điều này hacker phải gửi những phản hồi xác thực từ server và lừa nạn
nhập vào cửa sổ xác thực của Hacker. Một kỹ thuật phổ biến là gửi đến nạn nhân một
email với một liên kết lừa đảo, khi liên kết được click, thì người dùng vô tình đã gửi
thông tin của họ qua mạng.
3.1.2 Tăng Đặc Quyền

Tăng đặc quyền (Escalating Privileges) là thêm nhiều quyền hơn cho một tài khoản
người dùng. Tăng đặc quyền làm cho một tài khoản người dùng có quyền như là tài
khoản quản trị.
Nhìn chung, các tài khoản quản trị viên có yêu cầu mật khẩu nghiêm ngặt hơn, và
mật khẩu của họ được bảo vệ chặt chẽ hơn. Nếu không thể tìm thấy tên người dùng
và mật khẩu của một tài khoản với quyền quản trị viên, một Hacker có thể chọn sử
dụng một tài khoản với quyền thấp hơn và tăng đặc quyền để có nhiều quyền như
quản trị.
Khi Hacker đã có một tài khoản có quyền truy cập cấp quản trị viên để cài đặt
chương trình.
3.1.3 Thực thi ứng dụng

Một khi Hacker đã có thể truy cập tài khoản với quyền quản trị, Hacker sẽ thực thi
các ứng dụng trên hệ thống đích. Mục đích của việc thực thi ứng dụng có thể cài đặt
một cửa sau trên hệ thống, cài đặt một keylogger để thu thập thông tin bí mật, sao
chép các tập tin, hoặc chỉ gây thiệt hại cơ bản cho hệ thống, bất cứ điều gì Hacker
muốn làm trên hệ thống. Một khi Hacker có thể thực thi các ứng dụng, hệ thống phụ
thuộc vào sự kiểm soát của của Hacker.
3.1.3.1 Tràn bộ đệm
Hacker cố gắng khai thác một lỗ hổng trong mã ứng dụng (Application). Về bản
chất, cuộc tấn công tràn bộ đệm gửi quá nhiều thông tin cho một biến nào đó trong
ứng dụng, có thể gây ra lỗi ứng dụng. Hầu hết các lần, ứng dụng không biết hành
động tiếp theo bởi vì nó được ghi đè bằng các dữ liệu bị tràn. Vì thế nó hoặc thực thi
các lệnh trong các dữ liệu bị tràn hoặc giảm trong một dấu nhắc lệnh để cho phép
người dùng nhập lệnh tiếp theo này. Dấu nhắc lệnh (command prompt hoặc shell) là
chìa khóa choHacker có thể được sử dụng để thực thi các ứng dụng khác.
3.1.3.2 Rootkits
Rootkit là một loại chương trình thường được sử dụng để che dấu các tiện ích trên
hệ thống bị xâm nhập. Rootkit bao gồm cái gọi là back doors, nó giúp cho Hacker đó
truy cập vào hệ thống sẽ dễ dàng hơn trong lần sau. Ví dụ, các rootkit có thể ẩn một
ứng dụng, ứng dụng này có thể sinh ra một lệnh kết nối vào một cổng mạng cụ thể
trên hệ thống. Back door cho phép các quá trình bắt đầu bởi một người không có đặc
quyên, dùng để thực hiện chức năng thường dành cho các quản trị viên. Rootkit
thường xuyên được sử dụng để cho phép lập trình viên ra rootkit có thể xem và truy
cập vào tên người dùng và thông tin đăng nhập trên các trang site có yêu cầu họ.
3.1.3.3 Keyloggers and Other Spyware
Keylogger là phần mềm gián điệp có dung lượng nhỏ, giúp kết nối các bàn phím
máy tính và lưu tất cả các thao tác phím vào một file. Hacker có thể cài thêm tính
năng là tự động gửi nội dung file đó đến máy chủ của hacker.
Đối vối kiểu keylogger cứng, có một thiết bị, giống usb, được gắn vào máy tính.
Quá trình thao tác phím được ghi lại trong usb đó. Để làm được điều này thì một
hacker phải có quyền truy cập vật lý vào hệ thống.
3.1.4 Giấu tập tin

Hacker cần che dấu các tập tin trên một hệ thống nhằm ngăn chặn bị phát hiện.
Tập tin này có thể được dùng để khởi động một cuộc tấn công khác trên hệ thống. Có
hai cách để ẩn các tập tin trong Windows. Đầu tiên là sử dụng lệnh attrib. Để ẩn một
tập tin với lệnh attrib, gõ như sau tại dấu nhắc lệnh:
attrib +h [file/directory]
Cách thứ hai để ẩn một tập tin trong Windows là tạo luồng dữ liệu xen kẽ NTFS
(alternate data streaming - ADS).
3.1.4.1 NTFS File Streaming
NTFS sử dụng bởi Windows NT, 2000, và XP có một tính năng gọi là ADS cho phép
dữ liệu được lưu trữ trong các tập tin liên kết ẩn một cách bình thường, có thể nhìn
thấy được tập tin. Streams không giới hạn về kích thước, hơn nữa một stream có thể
liên kết đến một tập bình thường.
Ví dụ: tập tin hide.txt không nhìn thấy được nhưng tồn tại.
C:\>md stuff
C:\>cd stuff
C:\stuff>echo Hide stuff in stuff>:hide.txt
C:\stuff>dir
Volume in drive C has no label.
Volume Serial Number is 40CC-B506
Directory of C:\stuff
09/28/2004 10:19 AM <DIR> .
09/28/2004 10:19 AM <DIR> ..
0 File(s) 0 bytes
2 Dir(s) 12,253,208,576 bytes free
C:\stuff>notepad :hide.txt
3.1.4.2 Steganography Technologies
Steganography là quá trình giấu dữ liệu trong các loại dữ liệu khác như hình ảnh
hay tập tin văn bản. Các phương pháp phổ biến nhất của dữ liệu ẩn trong các tập tin
là sử dụng hình ảnh đồ họa như là nơi để cất giấu. Hacker có thể nhúng các thông tin
trong một tập tin hình ảnh bằng cách sử dụng steganography. Các hacker có thể ẩn
các chỉ dẫn thực hiện một quả bom, số bí mật của tài khoản ngân hàng... Hành động
bất kỳ có thể được ẩn trong hình ảnh.
3.1.5 Xóa dấu vết

Khi Hacker xâm nhập thành công, có được quyền truy cập quản trị viên trên một
hệ thống, Hacker sẽ cố gắng để che dấu vết của chúng để ngăn chặn bị phát hiện.
Một hacker cũng có thể cố gắng loại bỏ các bằng chứng hoặc các hoạt động của họ
trên hệ thống, để ngăn ngừa truy tìm danh tính hoặc vị trí của cơ quan hacker. Xóa
bất kỳ thông báo lỗi hoặc các sự kiện an ninh đã được lưu lại, để tránh phát hiện.
3.1.5.1 Vô hiệu hóa Auditing
Những việc làm đầu tiên của kẻ xâm nhập sau khi giành được quyền quản trị là vô
hiệu hóa auditing. Auditing trong Windows ghi lại tất cả các sự kiện nhất định
(Windows Event Viewer: Control Panel->System and Maintenance->Administrative
Tools->Event Viewer). Sự kiện có thể bao gồm đăng nhập vào hệ thống, một ứng
dụng,... Một quản trị viên có thể chọn mức độ ghi nhật ký trên hệ thống. Hacker cần
xác định mức độ ghi nhật ký để xem liệu họ cần làm gì để xóa những dấu vết trên hệ
thống.
3.1.5.2 Xóa Nhật Ký Sự Kiện
Những kẻ xâm nhập có thể dễ dàng xóa bỏ các bản ghi bảo mật trong Windows
Event Viewer. Một bản ghi sự kiện có chứa một hoặc một vài sự kiện là đáng ngờ bởi
vì nó thường cho thấy rằng các sự kiện khác đã bị xóa. Vẫn còn cần thiết để xóa các
bản ghi sự kiện sau khi tắt Auditing, bởi vì sử dụng công cụ AuditPol thì vẫn còn sự
kiện ghi nhận việc tắt tính năng Auditing.
3.2 CÁCH PHÒNG CHỐNG

3.2.1 Biện pháp đối phó với crack password
Password quan trọng nhất là phải thực hiện nhiệm vụ bảo vệ. Password phải bao
gồm từ 8-12 ký tự hoặc chữ số. Độ dài của mật khẩu đã được bàn tới ở phần trước.
Để bảo vệ các thuật toán mã hóa cho các mật khẩu được lưu trữ trên máy chủ, bạn
phải có cơ thể cô lập và bảo vệ máy chủ. Người quản trị hệ thống có thể sử dụng tiện
ích Syskey trong các cửa sổ để bảo vệ mật khẩu được lưu trữ trên ổ cứng máy chủ.
Nhật ký máy chủ cũng nên được theo dõi cho các cuộc tấn công brute-force trên các
tài khoản người dùng.
Một viên quản trị hệ thống có thể thực hiện các biện pháp phòng ngừa bảo mật
sau để giảm những rủi do cho mật khẩu của người quản trị cũng như người dùng.
- Đừng bao giờ để một password mặc định
- Đừng bao giờ dùng password ở trong từ điển
- Không nên dùng password liên quan tới tên host ,tên miền ,hoặc bất kỳ cái gì mà
hacker dễ đoán được.
- Không nên dùng password liên quan tới ngày kỳ nghỉ của bạn, vật nuôi, thân nhân
hoặc ngày sinh nhật.
- Dùng một từ có nhiều hơn 21 ký tự trong từ điển để làm password.

3.2.2 Đối phó Rootkit
Tất cả các rootkit truy cập hệ thống đích có quyền giống như quản trị viên
(administrator), do đó, bảo mật mật khẩu là rất quan trọng. Nếu bạn phát hiện một
rootkit, lời khuyên rằng bạn nên sao lưu dữ liệu quan trọng và cài đặt lại hệ điều hành
và các ứng dụng từ một nguồn đáng tin cậy. Các quản trị viên cũng nên giữ sẵn một
nguồn đáng tin cậy để cài đặt và phục hồi tự động.
Biện pháp đối phó khác là sử dụng thuật toán mã hóa MD5, checksum MD5 của
một tập tin là một giá trị 128-bit, nó giống như là dấu vân tay tập tin. Thuật toán này
được thiết kế để phát hiện sự thay đổi, ngay cả một chút trong tập tin dữ liệu, để
kiểm tra các nguyên nhân khác nhau. Thuật toán này có tính năng rất hữu ích để so
sánh các tập tin và đảm bảo tính toàn vẹn của nó. Một tính năng hay là kiểm tra
chiều dài cố định, bất kể kích thước của tập tin nguồn là như thế nào.
Việc tổng kiểm tra MD5 đảm bảo một file đã không thay đổi này có thể hữu ích
trong việc kiểm tra tính toàn vẹn file nếu rootkit đã được tìm thấy trên hệ thống. Các
công cụ như Tripwire được thực hiện để kiểm tra MD5, để xác định các tập tin có bị
ảnh hưởng bởi rootkit hay không.
3.3 VÍ DỤ TẤN CÔNG HỆ THỐNG
Hình 3.1: Giao diện General của Perfect Keylogger 1.68

Triển khai tấn công cài Keylogg vào máy Victim sử dụng phần mềm Perfect
Keylogger 1.68. Hình 3-1 là giao diện phần General của chương trình có thiết lập
thông số như: có chạy cùng với Windows hay không; Có xuất hiện chương trình ở
Startup hay không; Hotkeys để ẩn và hiện chương trình. Phần Logging có tham số lấy
mật khẩu, nội dung chat, các button được nhấn, …
Hình 3.2: Giao diện Logging của Perfect Keylogger 1.68

Phần Screenshots cho phép theo dõi Desktop victim, chỉnh thời gian chụp ảnh và
chọn ảnh ở mức độ nào.
Hình 3.3: Screenshots của chương trình

Phần Email cho phép chọn thời gian để chương trình gởi email về cho Hacker và
các loại keylogger sẽ ghi lại. Phần Delivery để ghi thông tin email (SMTP của server,
username và password) mà chương trình sẽ gởi vào. Nếu phần Email được chọn thì
không chọn FTP vì FTP cũng dùng để gởi các thông tin.
Hình 3.4: Scheduler trong phần Email của chương trình
Hình 3.5: Delivery trong phần email của chương trình
Hình 3.6: FTP Server của chương trình

Hình 3.7: Alerts của chương trình

Phần Alerts cho phép điền danh sách các dãy chữ mà
khi victim đánh nó để vào trang web thì những thông tin
sẽ được gởi cho chúng ta bàng cách gởi email thông báo
hoặc là chụp ảnh.
Để có thể gởi cho victim và victim không nghi ngờ thì

Hình 3.8: ẩn keylogg
chúng ta cần phải ẩn chúng vào trong các chương trình để vào các chương trình
tạo lòng tin cho victim. Ở chương trình Perfect keylogger khác
cũng có chức năng ẩn file. Để ẩn file thì đầu tiên chúng ta sẽ vào thanh start. Click
chuột phải vào chương trình và chọn Remote installation (hình 3-10).
Chọn chương trình cần ẩn vào và ấn next. Để chương trình tự xóa keyloger sau
bao nhiêu ngày sử dụng thì bạn đánh dấu tick vào Automatically uninstall remote
keylogger after … day of use. Sau đó, bạn chọn icon sẽ sử dụng cho chương trình và
nhấn finish để hoàn tất chương trình. Chương trình có keylog mặc định sẽ có đuôi
.exe. Khi victim chạy chạy chương trình thì máy victim đã bị nhiễm keylog. Bạn vào
mail hoặc FTP để kiểm tra để xem victim đã làm gì.
TÓM TẮT
Bài học cung cấp kiến thức tổng quan về các bước tấn công mạng của Hacker. Các
bước tấn công mạng gồm có: (1) Thu thập thông tin để giành quyền truy cập; (2) Tạo
ra user có đặt quyền trên hệ thống hoặc nâng quyền hạn của user đã thu thập được;
(3) Tạo và duy trì backdoor để truy cập; (4) Che dấu các tập tin độc hại và (5) Xóa
dấu vết.
Để thu thập thông tin thi Hacker ta sử dụng các kỹ thuật của bài học 2
(footprinting, scanning, enumeration). Khi có thông tin về đối tượng thì Hacker sẽ tấn
công mật khẩu để giành quyền truy cập hệ thống. Do vậy, đặt mật khẩu cần tuân thủ
qui tắc sau: không chứa tên tài khoản người dung, ngắn nhất phải 8 ký tự, phải chứa
các ký tự từ ít nhất ba trong số các loại như ký tự đặc biệt ‘/’ , chữ số, chữ cái viết
thường và chữ cái viết hoa.
Tăng đặc quyền (Escalating Privileges) là thêm nhiều quyền hơn cho một tài khoản
người dùng. Hacker tài khoản đặc quyền sẽ truy cập cấp quản trị viên để cài đặt
chương trình.
Một khi Hacker đã có thể truy cập tài khoản với quyền quản trị, Hacker sẽ thực thi
các ứng dụng trên hệ thống đích. Mục đích của việc thực thi ứng dụng có thể cài đặt
một cửa sau trên hệ thống, cài đặt một keylogger để thu thập thông tin bí mật, sao
chép các tập tin, hoặc chỉ gây thiệt hại cơ bản cho hệ thống, bất cứ điều gì Hacker
muốn làm trên hệ thống.
Hacker cần che dấu các tập tin trên một hệ thống nhằm ngăn chặn bị phát hiện.
Tập tin này có thể được dùng để khởi động một cuộc tấn công khác trên hệ thống. Có
hai cách để ẩn các tập tin trong Windows. Đầu tiên là sử dụng lệnh attrib. Cách thứ
hai để ẩn một tập tin trong Windows là tạo luồng dữ liệu xen kẽ NTFS (alternate data
streaming - ADS).
Khi Hacker xâm nhập thành công, có được quyền truy cập quản trị viên trên một
hệ thống, Hacker sẽ cố gắng để che dấu vết của chúng để ngăn chặn bị phát hiện.

Câu 1: Các bước tấn công hệ thống là gì?
Câu 2: Trình bày các kỹ thuật lấy mật khẩu hệ thống máy tính?
Câu 3: Trình bày cách thức tăng đặc quyền?

Câu 4: Trình bày các thức thực thi ứng dụng và dấu tin?
Câu 5: Trình bày các kỹ thuật xóa dấu vết ?
Câu 6: Thực nghiệm minh họa từng bước tấn công vào hệ thống mạng sử dụng
Keyloger?
BÀI 4: KỸ THUẬT NGHE LÉN VÀ PHÂN TÍCH GÓI TIN 55
BÀI 4: KỸ THUẬT NGHE LÉN VÀ

PHÂN TÍCH GÓI TIN
Bài giảng cung cấp kiến thức cho sinh viên về:
- Các khái niệm, mối đe dọa, cơ chế hoạt động chung của tấn công nghe lén;
- Phân loại các kỹ thuật nghe lén;
- Các kỹ thuật nghe lén chủ động: tấn công MAC, tấn công DHCP, tấn công đầu độc
ARP, tấn công đầu độc DNS;
- Các công cụ phân tích gói tin, hỗ trợ cho việc nghe lén dữ liệu.
Thông qua việc hiểu các kỹ thuật nghe lén này, sinh viên ý thức được các giải pháp
an ninh cần thực hiện khi quản lý một hệ thống mạng.
4.1 GIỚI THIỆU

4.1.1 Nghe lén hợp pháp
Nghe lén hợp pháp cho phép cơ quan quản lý thực thi việc giám sát một mục tiêu
nào đó dưới sự ủy quyền của người quản lý. Việc giám sát được thực hiện bằng việc
quan sát trên các phương tiện truyền thông, các dịch vụ thoại internet, dữ liệu và
mạng đa dịch vụ. Cơ quan quản lý gửi yêu cầu về việc nghe lén đến nhà cung cấp
dịch vụ, những người mà chịu trách nhiệm ngăn chặn hay cho phép giao tiếp dữ liệu
đến và đi giữa các cá nhân. Các nhà cung cấp dịch vụ dùng IP đích hoặc phiên làm
việc để quyết định thiết bị định tuyến nào sẽ cho phép lưu lượng đi qua đến mạng
đích, và một bản sao về các lưu lượng sẽ được gửi đến cơ quan quản lý.
Nghe lén hợp pháp có nhiều lợi ích. Cho phép nhiều cơ quan quản lý thực thi việc
nghe lén trên cùng một mục tiêu mà các cơ quan này không biết đến nhau. Ẩn thông
tin về việc nghe lén trên tất cả phương tiện, chỉ user có quyền mới thực thi được. Hỗ
56 BÀI 4: KỸ THUẬT NGHE LÉN VÀ PHÂN TÍCH GÓI TIN
trợ việc nghe lén cả đầu vào lẫn đầu ra. Không hiệu quả cho các dịch vụ thuê bao trên
router. Hỗ trợ nghe lén thuê bao cá nhân, những người mà dùng chung đường truyền
vật lý. Không cần quản trị viên, cũng không cần các bên nhận thức được rằng các
cuộc gọi đang được khai thác. Cung cấp 2 phương pháp: (1) Thiết đặt việc nghe lén
một cách an toàn và (2) gửi thông tin về lưu lương cho cơ quan quản lý.
Các thành phần được sử dụng để nghe lén hợp pháp như: Thiết bị cung cấp thông
tin cho LI (Lawful Intercept), các thiết bị đa phương tiện được cung cấp bởi hãng thứ
ba mà được dùng để xử lý hầu hết các tiến trình của LI, và các chương trình dùng để
lưu trữ và xử lý lưu lượng mạng bởi nhà cung cấp dịch vụ.
4.1.2 Khái niệm tấn công nghe lén

Nghe lén là một tiến trình cho phép giám sát cuộc gọi và cuộc hội thoại internet
bởi thành phần thứ ba. Hacker để thiết bị lắng nghe giữa mạng mang thông tin như
hai thiết bị điện thoại hoặc hai thiết bị đầu cuối trên internet.
4.1.3 Các mối đe dọa về nghe lén

Bằng cách đặt gói tin trên mạng ở chế độ đa mode, Hacker có thể bắt và phân tích
tất cả lưu lượng, thông tin mạng. Các gói tin nghe lén có thể chỉ bắt những thông tin
trên cùng 1 miền mạng. Thông thường thì laptop có thể tham gia vào mạng và thực
thi. Hơn thế nữa, trên switch có nhiều port được mở nên nguy cơ về nghe lén là rất
cao.
Hiện nay, nghe trộm mạng được thực hiện rất dễ dàng, bởi có quá nhiều công cụ
giúp thực hiện như Cain&Able, Ettercap, Ethereal, Dsniff, TCPDump, Sniffit, … Các
công cụ này ngày càng được tối ưu hóa, để dễ sử dụng và tránh bị phát hiện khi được
thực thi. So với các kiểu tấn công khác, tấn công nghe lén cực kỳ nguy hiểm, bởi nó
có thể ghi lại toàn bộ thông tin được truyền dẫn trên mạng. Hơn nữa, người sử dụng
không thể phát hiện ra cuộc tấn công này vì máy tính vẫn hoạt động bình thường và
không có dấu hiệu bị xâm hại. Điều này dẫn đến việc phát hiện và phòng chống nghe
trộm rất khó, hầu như chỉ phát hiện được bị nghe trộm khi đang ở tình trạng bị nghe
trộm.
Hình 4.1: Các kiểu dữ liệu thường bị nghe lén [5].
4.1.4 Cơ chế hoạt động chung của nghe lén
Hình 4.2: Cơ chế hoạt động chung của nghe lén

Bởi vì các gói tin nghe lan truyền vào trong mạng thông qua Switch hoặc Hub,
Hacker có thể bắt và phân tích tất cả các lưu lượng của người dùng trong cùng
Subnet. Nghe lén đặt card mạng ở chế độ đa mode và lắng nghe tất cả các dữ liệu
chuyển đi trên mạng. Nghe lén có thể đọc các thông tin trên máy tính thông qua card
NIC bằng cách giải mã các thông tin được đóng gói trong gói tin.
4.1.5 Các nguy cơ dẫn tới Sniffing

Hệ thống doanh nghiệp sử dụng nhiều Switch, trong đó mở ra những Port không
cần thiết. Hacker có thể gắn các Laptop vào Port và tiến hành nghe lén. Người quản
trị mạng không tiến hành phân chia Subnet cho hệ thống. Cơ chế bảo mật lỏng lẻo.
Nhân viên không được phổ biến về các mối nguy hại.
4.2 PHÂN LOẠI TẤN CÔNG NGHE LÉN

4.2.1 Nghe lén thụ động
Thực hiện nghe lén thụ động thông qua một Hub. Trên Hub, dữ liệu sẽ được đẩy ra
tất cả các Port. Không cần gửi ra gói tin giả mạo nào, chỉ cần bắt các gói tin từ Port
về. Thường ít sử dụng do ngày nay Hub không còn được ưa chuộng nhiều, thay vào
đó là Switch.
4.2.2 Nghe lén chủ động

Được thực hiện trên Switch. Sniffer gửi ra những gói tin giả mạo nhằm mục đích
thu thập dữ liệu trên mạng.
4.3 CÁC KỸ THUẬT NGHE LÉN CHỦ ĐỘNG

4.3.1 Tấn công MAC Address
Hình 4.3: Quá trình xử lý của switch với bảng CAM [5]
Bảng CAM (Content Address Memory) có dung lượng hữu hạn. Bảng CAM lưu trữ
các địa chỉ MAC đang hoạt động trên Port cùng thông số VLAN tương ứng. Quá trình
tấn công tràn bảng MAC sẽ lây lan sang các Switch lân cận. Tấn công này làm tràn
bảng CAM của Switch bằng cách phát ra vô số các gói tin với MAC giả mạo, không có
thật. Lúc đó, Switch hành động như Hub, đẩy các Frame thông tin ra tất cả các Port
trừ Port nhận vào. Attacker có thể bắt gói dễ dàng.
Hình 4.4: Switch hoạt động như Hub khi CAM bị tràn [5]
Trong Linux, phần mềm macof hoặc Yersinia thực hiện tấn công tràn bảng CAM.
macof sẽ gửi ngẫu nhiên địa chỉ MAC nguồn và địa chỉ IP. Công cụ này sẽ làm ngập
lụt bảng CAM (131,000/phút) bằng cách gửi các địa chỉ MAC không có thật.
Hình 4.5: Tấn công CAM bằng phần mềm macof
Hình 4.6: Công cụ Yersinia

Ngăn chặn tấn công MAC bằng cách chỉ cho phép một địa chỉ MAC trên một port
của switch. Bảo mật port cho switch giúp làm giảm ngập lụt MAC và khóa cổng trên
switch. Các lệnh cấu hình bảo mật Switch của Cisco như sau:
switchport port-security
switchport port-security maximum 1 vlan access
switchport port-security violation restrict
switchport port-security aging time 2
switchport port-security aging type inactivity
snmp-server enable traps port-security trap-rate 5
4.3.2 Tấn công DHCP
Hình 4.7: Quá trình cấp phát IP của máy chủ DHCP
DHCP Server cấp phát, quản lý thông tin cấu hình TCP/IP của các Client như địa
chỉ IP, Default Gateway, DNS Server, và khoảng thời gian được cấp phát. Các gói tin
DHCP gồm có:
- DHCP Discover: client gửi goái broadcast ra toàn miền mạng để tìm server cấp
phát.
- DHCP Offer: Server gửi phản hồi đến client với các tham số cấu hình.
- DHCP Request: client nhận được DHCP offer, nó sẽ gửi gói broadcast để chấp nhận
offer đó.
- DHCP Ack và Nak: DHCP server nhận được DHCP request sẽ trả lại DHCP client
một DHCP ACK hoặc NACK.
- DHCP Decline: client gửi đến server địa chỉ mạng đã được dung
- DHCP Release: Client gửi đến Server địa chỉ mạng và hủy thuê
- DHCP Inform: Client gửi đến Server các thông tin cấu hình cục bộ
4.3.2.1 Tấn cống chiếm toàn bộ IP của máy chủ DHCP
Máy tấn công gửi dạng broadcast bản tin DHCP Request cho toàn bộ dải IP và cố
lấy tất cả các IP có thể cấp về mình. Đây là phương thức tấn công từ chối dịch vụ
(DoS) dựa trên bản tin DHCP.
Hình 4.8: Tấn công chiếm tất cả IP
4.3.2.2 Tấn công giả mạo máy chủ DHCP
Attacker giả mạo DHCP Server cấp thông tin cấu hình TCP/IP cho Client. Để ngăn
chặn tấn công tước quyền DHCP, chúng ta cần kích hoạt bảo mật port như phần
chống tấn công tràn bảng CAM. Kích hoạt DHCP Snooping để ngăn chặn giả mạo
DHCP Server. Lúc này, switch sẽ phân loại cổng tin cậy và không tin cậy. Các câu
lệnh cấu hình cho IOS của Switch như:
ip dhcp snooping vlan 4,104
no ip dhcp snooping information option
ip dhcp snooping
Hình 4.9: Minh họa tấn công giả mạo DHCP
Hình 4.10: Minh họa DHCP snooping (nguồn internet)
4.3.3 Tấn công giả mạo ARP

ARP là giao thức ánh xạ địa chỉ IP để tìm ra địa chỉ vật lý của thiết bị trong mạng
Local. ARP gửi gói tin Request để tìm địa chỉ vật lý của thiết bị. Khi một thiết bị muốn
liên lạc với thiết bị khác, nó tìm địa chỉ MAC đích trong ARP cache. Nếu không có, nó
broadcast gói Request ra toàn mạng. Tất cả các thiết bị nhận được gói Request sẽ so
sánh IP của chúng với IP đích trong gói Request. Nếu có thiết bị nào có IP trùng IP
đích trong gói Request, thiết bị đó sẽ gửi gói tin Reply đính kèm MAC của mình.
Hình 4.11: Hoạt động tấn công giả mạo ARP [5].
Tấn công đầu độc ARP là hình thức tấn công mà gói tin ARP có thể bị giả mạo để
gửi dữ liệu đến máy của Hacker. Hacker làm ngập lụt bộ nhớ cache chứa địa chỉ ARP
của máy mục tiêu bằng các địa chỉ ARP giả mạo, phương thức này còn được gọi là đầu
độc. Giả mạo ARP liên quan đến việc xây dựng một số lượng lớn ARP Request giả mạo
và gói ARP Reply liên tục được phản hồi dẫn đến tình trạng quá tải switch. Cuối cùng
sau khi bảng ARP bị đầy thì switch sẽ hoạt động ở chế độ forwarding, lúc này thì
Hacker có thể dễ dàng nghe lén mọi hoạt động trong mạng.
Các nguy cơ xuất phát từ ARP Spoofing: Bằng cách giả mạo các gói tin ARP,
Hacker có thể chuyển hướng tất cả các kết nối giữa hai thiết bị khiến toàn bộ traffic đi
về máy của mình để thực hiện các hành động như: Từ chối dịch vụ; Chặn dữ liệu;
Nghe lén cuộc gọi VoIP; Đánh cắp Password; Chỉnh sửa dữ liệu. Công cụ đầu độc
ARP: CAIN&ABLE, WinArpAttacker, Ufasoft sniff.
Hình 4.12: Công cụ tấn công đầu đọc ARP Cain&Abel
Hình 4.13: Công cụ tấn công đầu đọc ARP WinArpAttacker.

Công cụ chặn đầu độc Arp là DHCP snooping và Dynamic ARP Inspection để kiểm
tra ARP.
Hình 4.14: Kiểm tra và chặn tấn công đầu độc ARP.
Cấu hình DHCP snooping và Dynamic ARP Inspection trên switch của cisco như
sau:
Router# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# ip dhcp snooping
Router(config)# do show ip dhcp snooping | include Switch
Switch DHCP snooping is enabled
Router(config)#
Router# show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------- ----------- ---------- ------ ---- ---------
Router#
Router# ip dhcp snooping binding 1.1.1 vlan 1 1.1.1.1 interface gi1/1
expiry 1000
Router# show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------ ----------- -------- ------- ---- -----------
00:01:00:01:00:01 1.1.1.1 992 dhcp-snooping 1 GigabitEthernet1/1
Router#
Switch(config)# arp access-list host2

Switch(config-arp-acl)# permit ip host 1.1.1.1 mac host 1.1.1
Switch(config-arp-acl)# exit
Switch(config)# ip arp inspection filter host2 vlan 1
Switch(config)# interface gigabitethernet 0/1
Switch(config-if)# no ip arp inspection trust
Giả mạo MAC nhân đôi: Tấn công giả mạo địa chỉ MAC bằng cách chạy chương
trình nghe lén địa chỉ MAC của máy trạm, máy được liên kết với switch và dùng địa
chỉ MAC đó để truy cập mạng. Bằng cách lắng nghe lưu lượng đi qua trong mạng,
Hacker có thể ăn cắp và dùng địa chỉ MAC hợp pháp của nạn nhân để nhận tất cả lưu
lượng đi từ máy nạn nhân đến đích. Công cụ giả mạo MAC như SMAC.
4.3.4 Đầu độc DNS

Kỹ thuật đầu độc DNS (DNS Poisoning) là kỹ thuật lừa DNS Server tin rằng nó
nhận một thông tin chứng thực đúng đó là thật nhưng thực sự thì thông tin đó không
tồn tại. Kết quả là tên miền sẽ trỏ sang IP giả thay vì trỏ sang IP thật.
Có 4 kiểu tấn công giả mạo DNS: tấn công giả mạo DNS Internet (hình 4-16), tấn
công giả mạo Intranet DNS (hình 4-17) và tấn công đầu đọc Proxy Server DNS (hình
4-18), và tấn công đầu đọc DNS Cache (hình 4-19). Trong tấn công đầu đọc DNS
Cache, Hacker làm thay đổi các Record lưu trữ của DNS Server. Do đó, DNS Server sẽ
query vào địa chỉ IP của một Website giả của Hacker. Nếu DNS Server không xác
minh lại các gói tin DNS Response, nó sẽ lưu trữ những Record với các IP sai lệch.
Hình 4.15: Minh họa tấn công giả mạo DNS Internet.
Hình 4.16: Minh họa tấn công giả mạo Intranet DNS
Hình 4.17: Minh họa tấn công đầu đọc Proxy Server DNS
Hình 4.18: Minh họa tấn công đầu đọc Cache DNS
4.4 CÔNG CỤ PHÂN TÍCH GÓI TIN WIRESHARK

Wireshark là công cụ cho phép phân tích gói tin và lưu lượng mạng. Công cụ này
có thể bắt được hầu hết các gói tin trong mạng hiện nay như Ethernet, 802.11,
PPP/HDLC, ATM, Bluetooth, Token Ring, Frame Relay, FDDI, …
Các công cụ bắt gói tin của Wireshark cung cấp các tính năng sau:
- Bắt từ các loại phần cứng khác nhau (Ethernet, Token Ring, ATM, …)
- Giải mã các gói tin trong khi vẫn tiếp tục chụp.
- Bộ lọc gói tin, làm giảm số lượng dữ liệu được ghi lại.
Hình 4.19: Hộp thoại chọn card mạng để bắt gói tin
Để bắt đầu chụp các gói tin với Wireshark, bạn kích vào biểu tượng đầu tiên trên
thanh công cụ chính sẽ xuất hiện hộp thoại (hình 4-20).
Kích vào biểu tượng thứ 2 trên thanh công cụ để thiết tham số cho việc bắt gói tin.
Hình 4.20: Thiết lập các tham số cho việc bắt gói tin.
Ý nghĩa các tham số phần bắt gói tin như sau (capture):
- Phần interface để chọn loại card mạng để bắt gói tin.
- IP address trình bày địa chỉ IP của giao diện được lựa chọn. Nếu không rõ địa chỉ
IP thì sẽ hiển thị là “unknown”
- Link-layer header type: Chọn kiểu giao thức lớp liên kết dữ liệu (nên để mặc định).
- Buffer size: Đây là kích thước của bộ đệm hạt nhân mà sẽ giữ các gói tin bị bắt
đến khi chúng được ghi vào đĩa.
- Capture packets in promiscuous mode: đánh dấu tick nếu muốn bắt tất cả các gói
tin trong mạng LAN của bạn, nếu không chỉ bắt được các gói tin đi và đến máy tính
của bạn.
- Limit each packet to n bytes: giới hạn kích thước của gói tin. Nên để mặc định giá
sẽ là 65535.
Ý nghĩa tham số phần tập tin lưu các gói tin (Capture files):
- Use multiple files: Thay vì sử dụng một tập tin duy nhất, Wireshark sẽ tự động
chuyển sang một hình mới,nếu một điều kiện gây ra cụ thể đạt được.
- Next file every n megabyte: Chuyển sang các file tiếp theo sau khi số các byte
(s)/kilobyte(s)/megabyte(s)/GB(s) đã bị bắt.
- Next file every n minute(s): Chuyển sang các file tiếp theo sau khi số lượng nhất
định thứ hai (s) / phút(s) / giờ(s) / ngày(s) đã trôi qua.
- Ring buffer with n files: Tạo thành một vòng đệm của các tập tin chụp, với số
lượng nhất định các tập tin.
- Stop capture after n file(s): Dừng thu sau khi chuyển đến tập tin tiếp theo số lần
nhất định
- Ý nghĩa tham số quy định dừng bắt gói tin
- after n packet(s): Dừng chụp sau khi số các gói tin đã bị bắt.
- after n megabytes(s): Dừng chụp sau khi số các byte(s) /kilobyte(s) /megabyte(s)
/GB(s) đã được bắt.Tùy chọn này chuyển sang màu xám,nếu "Sử dụng nhiều file"
được chọn.
- after n minute(s): Dừng chụp sau khi số lượng nhất định thứ hai (s) /phút(s)
/giờ(s) /ngày(s) đã trôi qua.
Ý nghĩa tham số phần trình bày các gói tin (Display Option)
- Update list of packets in real time: cập nhật danh sách gói tin theo thời gian thực.
- Automatic scrolling in live capture: tự động di chuyển trực tiếp để bắt.
- Hide capture info dialog: ẩn hộp thoại.
Ý nghĩa tham số phần phân giải tên (Name Resolution frame):
- Enable MAC name resolution: tính năng dịch địa chỉ MAC thành tên
- Enable network name resolution: tính năng dịch địa chỉ mạng thành tên.
- Enable transport name resolution: tính năng dịch địa chỉ giao vận thành giao thức
Hình 4.21: Kết quả bắt gói tin
Hình 4.22: Kết quả bắt một phiên giao tiếp Voip
TÓM TẮT
Bài giảng cung cấp kiến thức cho sinh viên các khái niệm, mối đe dọa, cơ chế hoạt
động chung của tấn công nghe lén.
Nghe lén là một tiến trình cho phép giám sát cuộc gọi và cuộc hội thoại internet
bởi thành phần thứ ba. Hacker để thiết bị lắng nghe giữa mạng mang thông tin như
hai thiết bị điện thoại hoặc hai thiết bị đầu cuối trên internet.
Các kỹ thuật nghe lén gồm có hai loại: nghe lén thụ động và nghe lén chủ động.
Nghe lén thụ động như là thực hiện nghe lén thông qua một Hub. Nghe lén chủ động
được thực hiện trên Switch. Các kỹ thuật nghe lén chủ động: tấn công MAC, Tấn công
DHCP, Tấn công đầu độc ARP, Tấn công đầu độc DNS. Các giải pháp ngăn chặn nghe
lén là kích hoạt bảo mật port (ví dụ DHCP Snooping).

Câu 1: Trình bày khái niệm tấn công nghe lén dữ liệu?
Câu 2: Trình bày các mối đe họa từ nghe lén dữ liệu ?
Câu 3: Trình bày nguyên lý tấn công MAC và minh họa?
Câu 4: Trình bày nguyên lý tấn công DHCP và minh họa?
Câu 5: Trình bày nguyên lý đầu độc ARP và minh họa?
Câu 6: Trình bày nguyên lý tấn công DNS và minh họa?
Câu 7: Trình bày các công cụ phân tích gói tin.
Câu 8: Triển khai mô hình mạng Lan, min họa các kỹ thuật toán công nghe lén và
phân tích gói tin trao đổi trong quá trình nghe lén dữ liệu.
BÀI 5: AN NINH HẠ TẦNG MẠNG 73
BÀI 5: AN NINH HẠ TẦNG MẠNG
Trong phần này gồm các nội dung chính sau:
- Các giải pháp và lộ trình xây dựng bảo mật hạ tầng mạng
- Thiết kế mô hình mạng an toàn
- Thành phần bảo mật trong hạ tầng mạng
- Xây dựng chính sách an toàn thông tin
Qua bài học này, sinh viên biết được giải pháp tổng thể để xây dựng một hệ thống
mạng an toàn. Từ đó, sinh viên biết được vai trò của từng công cụ bảo mật được tìm
hiểu trong các bài học tiếp theo.
5.1 GIẢI PHÁP VÀ LỘ TRÌNH XÂY DỰNG BẢO MẬT

HẠ TẦNG MẠNG
Để có thể xây dựng một hệ thống mạng đảm bảo tính an toàn cần phải có lộ trình
xây dựng hợp lý giữa yêu cầu và chi phí, để từ đó lựa chọn giải pháp phù hợp. Giải
pháp phù hợp nhất phải cân bằng được các yếu tố:
- Yêu cầu
- Giá thành giải pháp
- Tính năng
- Hiệu năng của hệ thống
Ví dụ 1: Chúng ta không thể xây dựng giải pháp hàng triệu $ để bảo vệ cho một
máy cá nhân không quan trọng.
Ví dụ 2: Chúng ta cần bảo vệ cho hệ thống web mà không cần những tính năng an
toàn phía máy khách.
Ví dụ 3: Chúng ta không thể chiếm 50% hiệu suất của hệ thống cho các chương
trình bảo vệ được.
74 BÀI 5: AN NINH HẠ TẦNG MẠNG
Bất kỳ doanh nghiệp hay tổ chức nào cũng không thể cùng một lúc có thể triển
khai toàn bộ các giải pháp bảo mật. Điều này đặt ra cần phải có lộ trình xây dựng rõ
ràng. Một lộ trình xây dựng cần phải đáp ứng tính phủ kín và tương thích giữa các giải
pháp với nhau tránh chồng chéo và xung đột. Một đơn vị có thể dựa vào lộ trình này
để có thể xây dựng được một hạ tầng Công nghệ thông tin đáp ứng tính bảo mật.
Dưới đây là lộ trình các bước cũng như giải pháp để xây dựng một hệ thống mạng
đảm bảo tính bảo mật cao.
TT Những giải pháp bảo mật hệ thống mạng Thành phần

Tầng 3-4
1 Xây dựng tường lửa (firewall) Tầng 4-7
Xây dựng HA cho firewall
Xây dựng Endpoint Security và chống malware tập Anti-virus tập trung
trung cho toàn bộ hệ thống với tính năng: Endpoint security cho máy
Anti-virus trạm
Host firewall An toàn mail server
Host IDS/IPS
2
Mã hóa
Điều khiển thiết bị An toàn cho Internet
Quản lý, giám sát nguy cơ Gateway
Điều khiển ứng dụng
Điều khiển web
Vùng DMZ
Giải pháp thiết bị phục vụ hỗ trợ chống tấn công, xâm
3 Vùng Server Farm
nhập mạng bất hợp pháp (IDS/IPS)
Vùng internal
Giải pháp thiết bị hỗ trợ kiểm tra đánh giá định kỳ, tìm
4 kiếm, và quản lý lỗ hổng bảo mật cho toàn bộ hệ Toàn mạng
thống mạng, hệ điều hành, ứng dụng, dịch vụ.
Giải pháp, thiết bị phục vụ hỗ trợ xác thực mạnh Giải pháp xác thực và quản lý
5
(chứng chỉ số, chữ ký số) tập trung
6 Giải pháp chống thất thoát dữ liệu Chống thất thoát dữ liệu
7 Giải pháp quản lý truy cập mạng (NAC) Quản lý truy cập mạng
Giải pháp cân bằng tải, tối ưu hóa băng thông, chống
8 Vùng DMZ
tấn công ddos, và tính năng bảo mật sử dụng Proxy.
Giải pháp mã hóa thông tin (Xây dựng hệ thống PKI
9 Cho các dịch vụ
cho các ứng dụng)
Backup/Restore độc lập
10 Giải pháp an toàn dữ liệu (Backup/Restore) tập trung Backup/Restore tập trung,
đặt lịch, lưu trữ tập trung.
11 Xây dựng hệ thống mạng đáp ứng chuẩn ISO 27001 Xây dựng chuẩn ISO 27001
5.2 THIẾT KẾ MÔ HÌNH MẠNG AN TOÀN

Để các giải pháp về an toàn thông tin làm việc không bị trùng lặp và xung đột cần
phải có mô hình thiết kế phù hợp. Dưới đây là một mô hình tham khảo (hình 5-1). Mô
hình này được thiết kế rõ thành từng vùng, thiết bị sử dụng phù hợp, hỗ trợ truy cập
từ xa, tính năng HA.
Hình 5.1: Mô hình an ninh hạ tầng mạng tham khảo

Phân tích tổng quan mô hình được chia làm các module:
- Module Internet gồm: Router, Proxy và tối ưu hóa băng thông, Firewall
- Module DMZ: IPS bảo vệ và các Server public ra internet
- Module Core: Vùng Routing và Switching lõi của toàn bộ hệ thống, nơi thiết lập
Access Controll List cho các vùng.
- Module Server Farm: Nơi chưa các server quan trọng như máy chủ dữ liệu, core
banking được giám sát bởi thiết bị IDS
- Module Management: Là vùng mạng an toàn để cắm các cổng quản trị của các
thiết bị và máy chủ
- Vùng User: Cung cấp mạng cho người dùng tại cơ quan
- Branch: Kết nối tới các mạng chi nhánh trên cả nước.
Phân tích các thiết bị bảo mật:
- Router và Switch Core thiết lập Access Controll List và đảm bảo tính HA cho toàn
bộ các kết nối
- Proxy đứng ra để tối ưu hóa băng thông Input-Output
- Firewall có chức năng đóng mở port và public server cũng như cho các kết nối VPN
- IPS thiết bị giám sát, phát hiện và ngăn chặn các cuộc tấn công mạng
- Endpoint Security: Giải pháp Endpoint cho máy trạm máy chủ
- Giải pháp Data Loss Prevent chống thất thoát dữ liệu
- Network Access Control quản lý truy cập mạng
5.3 CHÍNH SÁCH AN TOÀN MẠNG

Giải pháp an toàn hạ tầng mạng bao gồm 4 mảng:
- Lý thuyết về Security
- Kỹ năng tấn công
- Kỹ năng cấu hình phòng thủ
- Lập chính sách an toàn thông tin
Xây dựng chính sách an toàn mạng là bước hoàn thiện một môi trường làm việc và
hoạt động theo chuẩn bảo mật. Hiện nay nước ta có rất nhiều đơn vị đang xây dựng
chính sách bảo mật theo chuẩn ISO 27001, sử dụng mô hình ISMS.
5.3.1 Quy trình tổng quan xây dựng chính sách tổng quan
Lập kế hoạch:
- Xác định mục tiêu
- Xác định và định lượng rủi ro an toàn thông tin
- Xác định các yêu cầu cần tuân thủ
- Xây dựng chính sách
Phân tích hệ thống:
- Thiết kế hệ thống
- Triển khai các chính sách/biện pháp bảo vệ hạ tầng
- Cài đặt an toàn hệ thống máy chủ
- Cài đặt an toàn hệ thống máy trạm
- Cài đặt các ứng dụng bảo vệ an toàn thông tin
Kiểm tra:
- Kiểm tra và đánh giá an toàn thông tin
- Giám sát và kiểm toán hệ thống trong quá trình hoạt động
Duy trì:
- Duy trì hệ thống
- Nâng cấp nếu cần thiết
Hình 5.2: Thể hiện vòng xoáy Plan-Do-Check-Act

5.3.2 Hệ thống ISMS

Hệ thống ISMS (information security management system) là một tập các chính
sách liên quan tới việc quản lý an toàn thông tin. Hệ thống này được chuẩn hóa thành
qui chuẩn ISO.
Hình 5.3: Mô hình hệ thống ISMS (nguồn ENISA)
5.3.3 ISO 27000 Series

Khi nhắc đến ISMS, chúng ta phải nói đến bộ tiêu chuẩn ISO/IEC 27000 series. Bộ
tiêu chuẩn 27000 có 21 tiêu chuẩn, nhưng tư tưởng chính nằm ở ISO/IEC27001 và
được cải tiến liên tục.
Bộ tiêu chuẩn ISO 27000 bao gồm:
- ISO/IEC 27000 — ISMS Tổng quát và từ vựng.
- ISO/IEC 27001 — ISMS Yêu cầu
- ISO/IEC 27002 — Chuẩn mực thực hiện ISMS
- ISO/IEC 27003 — Hướng dẫn triển khai ISMS
- ISO/IEC 27004 — Đo lường ISM
- ISO/IEC 27005 — Quản lý rủi ro IS

- ISO/IEC 27006 — Yêu cầu về tổ chức đánh giá và chứng nhận ISMS
- ISO/IEC 27011 — Hướng dẫn ISM cho tổ chức viễn thông.
- ISO 27799 - ISM trong y tế sử dụng ISO/IEC 27002
- ISO/IEC 27007 - Hướng dẫn đánh giá ISMS
- ISO/IEC 27008 - Hướng dẫn cho chuyên gia đánh giá về ISMS controls
- ISO/IEC 27013 - Hướng dẫn tích hợp triển khai ISO/IEC 20000-1 và ISO/IEC
27001
- ISO/IEC 27014 - Khung quản lý IS
- ISO/IEC 27015 - Hướng dẫn ISM cho tài chính và bảo hiểm
- ISO/IEC 27031 - Hướng dẫn mức độ sẵn sàng ICT cho BCM
- ISO/IEC 27032 - Hướng dẫn cybersecurity
- ISO/IEC 27033 - IT network security
- ISO/IEC 27034 - Hướng dẫn application security
- ISO/IEC 27035 - Quản lý security incident.
- ISO/IEC 27036 - Hướng dẫn bảo mật sử dụng trong outsourcing
- ISO/IEC 27037 - Hướng dẫn xác định, thu thập và/hoặc thu nhận và bảo quản các
bằng chứng số.
Trong series này có một số tiêu chuẩn không được đề cập (ví dụ ISO27012 cho
egovernment) là do nguyên nhân các tiêu chuẩn này chưa định hình, hoặc chưa đủ
điều kiện để nâng cấp lên thành tiêu chuẩn do Uỷ ban kỹ thuật của ISO và IEC quyết
định. Ngoài ra hai tiêu chuẩn 27033 và 27034 có các tiêu chuẩn con tương ứng hay
còn gọi là các phần như 27033-1, 27034-5.
Làm ISMS phải bắt đầu từ việc học từ ngữ (ISO27000) sử dụng trong ISMS để
thống nhất cách hiểu, tư duy, diễn đạt và trình bày. Tránh trường hợp một từ bị diễn
giải thành nhiều nghĩa lệch lạc. Tuy nhiên, vì lý do thời gian, tiền bạc, và kể cả... kiêu
ngạo mà nhiều đơn vị thường bỏ qua bước này.
Câu trả lời thông thường khi người tư vấn yêu cầu triển khai học về từ vựng là:
"Cái này dễ, để tự đọc là được rồi" nhưng thực tế không mấy ai đọc. Hơn nữa mục
đích chính không phải là hiểu từ vựng mà để cho toàn bộ nhân viên có cách hiểu
giống nhau. Chính vì vậy mà khi làm ISMS các đơn vị thường bị thất bại và có tính
hình thức vì quan điểm và cách hiểu của mỗi người, mỗi cấp trong tổ chức là khác
nhau. Những người mới vào cũng không được học nên dần dần khi mà turnover của
employee cao thì cách tư duy và định hướng không còn được như ban đầu.
ISMS không cần phải chứng nhận, không có chỗ nào trong bộ tiêu chuẩn quy định
phải chứng nhận ISMS cả. Việc chứng nhận ISMS là tự nguyện. Nhiều đơn vị đưa ra
chứng chỉ ISMS để "hù" người khác, nhưng thực tế người nắm rõ tiêu chuẩn thì thấy
chuyện đó rất hài hước.Vì ISMS chỉ thể hiện cam kết chứ không thể hiện giá trị.
ISMS nằm ở uy tín của tổ chức chứng nhận và chuyên gia đánh giá. Trong lãnh
vực này, có nhiều chuyên gia đánh giá có chuyên môn sâu còn kém hơn cả nhân viên
của đơn vị. Do đó 27006 - 27008 quy định về việc đánh giá. Cũng vì lý do đó mà
những tập đoàn công ty lớn không cần chứng nhận ISMS mà họ tự đánh giá nếu bản
thân họ có những chuyên gia giỏi.
Thông thường khi auditor đi đánh giá thường dựa vào 27001. Nếu triển khai ISMS
chỉ để đối phó thì chỉ cần tập trung vào 27001 là đủ và cũng chẳng cần học 27000
làm gì. Nếu thực sự triển khai thì tập trung vào 27002:
- Risk assessment
- Security policy
- Organization of information security
- Asset management
- Human resources security
- Physical and environmental security
- Communications and operations management
- Access control
- Information systems acquisition, development and maintenance Information
security incident management
- Business continuity management
- Compliance
Triển khai 12 cái code of practice của 27002. Khi triển khai 27002 sẽ phải bắt đầu
chu kỳ lặp đi lặp lại của 12 điểm nói trên tức là 12 điểm trên phải được xây dựng đi
xây dựng lại. Việc xây dựng này dựa trên 27003:
- Introduction
- Scope
- Terms & Definitions
- Structure of this Standard
- Obtaining Management Approval for Initiating the Project to Implement an ISMS
- Defining ISMS Scope and ISMS Policy
- Conducting Organization Analysis
- Conducting Risk Assessment and Risk Treatment Planning
- Designing the ISMS
Nhìn bề ngoài thì đây dường như là chỉ là vấn đề quản lý, nhưng trên thực tế phần
Oganization Analysis vẫn còn thiếu các mắt xích quan trọng trong bộ tiêu chuẩn và
ISO/IEC đang xây dựng. Đó là lý do không ít người lầm tưởng ISMS chỉ thiên về quản lý.
5.4 ROUTER AND SWITCH

Chức năng của Router như routing, NAT, Access Control List. Routing là thực hiện
việc Routing các gói tin trên mạng. NAT là thực hiện NAT các địa chỉ IP từ private
sang public và ngược lại. Access Control List là cho phép người quản trị tạo các chính
sách chặn port, IP.
Chức năng của Switch là thực hiện việc chuyển mạch các gói tin ở Layer 2. Bảo
mật trên Switch bằng cách chia VLAN. Chia VLAN là tạo ra nhiều mạng trên một
Switch, tránh được sự bùng nổ của Virus hay các dạng tấn công khác. Security Port là
gán cố định một số địa chỉ MAC vào một port nhất định trên Switch, cho phép chặn
được các dạng tấn công như MAC Spoofing, ARP Spoofing.
Nguyên tắc hoạt động của ACL
Hình 5.4: Sơ đồ hoạt động của ACL

ACL sẽ được thực hiện theo trình tự của các câu lệnh trong danh sách cấu hình khi
tạo access-list. Nếu có một điều kiện được so khớp trong danh sách thì nó sẽ thực
hiện và các câu lệnh còn lại sẽ không được kiểm tra. Trường hợp tất cả các câu lệnh
trong danh sách đều không khớp thì một câu lệnh mặc định “deny any” được thực
hiện. Cuối access-list mặc định sẽ là lệnh loại bỏ tất cả (deny all). Vì vậy, trong
access-list cần phải có ít nhất một câu lệnh permit.
Khi gói tin đi vào một cổng, router sẽ kiểm tra xem có một ACL trong cổng vào
hay không, nếu có gói tin sẽ được kiểm tra đối chiếu với những điều kiện trong danh
sách.
Nếu gói tin đó được cho phép nó sẽ tiếp tục được kiểm tra trong bảng định tuyến
để quyết định chọn cổng để đi đến đích.
Tiếp đó, router sẽ kiểm tra xem cổng ra có ACL hay không. Nếu không thì gói tin
có thể sẽ được gửi tới mạng đích. Nếu có ACL ở cổng ra, nó sẽ kiểm tra đối chiếu với
những điều kiện trong danh sách ACL đó.
Vị trí đặt ACL

Hình 5.5: Mô hình ví dụ vị trí đặt ACL

Standard ACL phải được đặt càng gần đến đích càng tốt. Standard ACL lọc gói tin
dựa trên địa chỉ nguồn. Nếu đặt quá gần các nguồn khác, nó có thể từ chối tất cả lưu
lượng truy cập, bao gồm cả lưu lượng truy cập hợp lệ.
Extended ACL nên được đặt trên router càng gần càng tốt đến các nguồn đang
được lọc. Nếu đặt quá xa nguồn được lọc, sử dụng không hiệu quả các nguồn tài
nguyên mạng.
Các loại ACL:
- Standard ACL
- Extended ACL
- Reflexive ACL
- Dynamic ACL
- Time-Based ACL
- Context-based Access Control (CBAC) ACL
1. Standard ACL
ACL mặc định từ chối tất cả, phải có ít nhất một câu lệnh cho phép gói tin đi qua.
Cấu trúc Standard ACL:
Router(config)# access-list {1-99} {permit | deny} source-addr [source-

mask]
Trong đó:
- 1-99: Số hiệu ACL
- Permit | deny: ACL chỉ cho phép (permit) hoặc từ chối (deny)
- Source-addr: Địa chỉ IP nguồn
- source-mask: Wildcard mask sử dụng cho một dãy địa chỉ
Hình 5.6: Mô hình ví dụ triển khai Standard ACL

Ví dụ: Sử dụng một Standard ACL để chặn tất cả lưu lượng truy cập từ mạng
172.16.4.0/24, nhưng cho phép tất cả lưu lượng khác truy cập theo chiều out trên
cổng E0.
r1(config)# access-list 1 deny 172.16.4.0 0.0.0.255

r1(config)# access-list 1 permit any
r1(config)# interface ethernet 0
r1(config-if)# ip access-group 1 out
2. Extended ACL
Cấu trúc Extended ACL:
Router(config)# access-list {100-199} {permit | deny} protocol source-addr

[source-mask] [operator operand] destination-addr [destination-mask]
[operator operand] [established]
Trong đó:
- 100-199: Số định danh ACL
- Permit | deny: ACL chỉ cho phép (permit) hoặc từ chối (deny)
- Protocol: Loại giao thức
- Source-addr và destination-addr: Địa chỉ nguồn và địa chỉ đích

- Source-mask và destination-mask: Wildcard mask nguồn và Wildcard mask
đích
- Operator operand: Phân loại hành động
Lệnh áp dụng access list:
Router(config-if)# ip access-group number {in | out}
Hình 5.7: Mô hình ví dụ triển khai Extended ACL

Ví dụ: Sử dụng một extended ACL để chặn tất cả lưu lượng FTP từ mạng
172.16.4.0/24, nhưng cho phép tất cả các lưu lượng khác theo chiều out trên cổng
E0.
r1(config)# access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0

0.0.0.255 eq 21
r1(config)# access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0
0.0.0.255 eq 20
r1(config)# access-list 101 permit ip any any
r1(config)# interface ethernet 0
r1(config-if)# ip access-group 1 out
3. Reflexive ACL
Hình 5.8: Mô hình ví dụ quá trình Reflexive ACL

- Kiểm soát một phiên ACL
- Hoạt động giống như một dạng tường lửa đơn giản. Reflexive ACL kiểm soát
lưu lượng theo nguyên tắc chỉ cho phép lưu lượng từ bên ngoài mạng đi vào
bên trong mạng nếu như lưu lượng đó là lưu lượng trả về cho một luồng lưu
lượng xuất phát từ bên trong mạng đi ra ngoài trước đó.
Ví dụ: Cấu hình R1 để cho phép các gói tin ICMP, TCP và UDP xuất phát từ VLAN
10 được phép đi ra bên ngoài. Tất cả mọi loại dữ liệu từ bên ngoài đi vào VLAN 10 đều
bị cấm, ngoại trừ các gói tin trả về cho các gói tin ICMP, TCP và UDP đã đi ra trước đó
từ VLAN 10.
Hình 5.9: Mô hình triển khai Reflexive ACL

Để thực hiện Reflexive ACL, chúng ta sử dụng hai ACL ngược chiều nhau, một ACL
kiểm soát các dòng dữ liệu đi ra khỏi VLAN 10 và một ACL kiểm soát các dòng dữ liệu
đi vào VLAN10. Hai ACL này lần lượt có tên là OUTBOUND và INBOUND. Trong ACL
kiểm soát chiều out, chúng ta khai báo các dòng permit các loại dữ liệu được phép đi
ra khỏi VLAN 10 là ICMP, TCP và UDP. Điểm khác biệt với các dòng ACL thông thường
là ở đây với mỗi dòng của ACL OUTBOUND, chúng ta đều gắn kèm thêm thông số
“reflect VLAN10”. Trong ACL INBOUND theo chiều ngược lại, chúng ta không khai báo
bất kỳ dòng nào liên quan đến dữ liệu trả về cho các loại lưu lượng trên mà chỉ sử
dụng một thông số là “evaluate VLAN10”. Nếu hai thông số “reflect” và “evaluate”
đều tham chiếu đến cùng một tên gọi (ở đây là “VLAN10”) thì cứ mỗi khi có gói tin đi
ra khớp với bất kỳ dòng nào của ACL OUTBOUND có gắn “reflect”, một thành phần
phản xạ sẽ được IOS tự động tạo ra trên một ACL khác có tên là “VLAN10” theo chiều
in để cho phép gói tin trả về.
R1(config)#ip access-list extended OUTBOUND

R1(config-ext-nacl)#permit icmp any any reflect VLAN10
R1(config-ext-nacl)#permit tcp any any reflect VLAN10
R1(config-ext-nacl)#permit udp any any reflect VLAN10
R1(config-ext-nacl)#exit
R1(config)#ip access-list extended INBOUND

R1(config-ext-nacl)#evaluate VLAN10
R1(config-ext-nacl)#exit
Mỗi dòng phản xạ được tạo ra nếu không được sử dụng, sẽ bị xóa sau một khoảng
thời gian inactive timeout. Giá trị mặc định của khoảng thời gian timeout này là 300s.
Ta có thể hiệu chỉnh khoảng thời gian này bằng câu lệnh:
Router(config)#ip reflexive-list timeout Thời_gian_time_out
Các ACL INBOUND và OUTBOUND sau khi được tạo ra sẽ được gán trên cổng đấu
nối của R1 ra bên ngoài. Trong ví dụ này là cổng S0/0/0.
R1(config)#interface s0/0/0
R1(config-if)#ip access-group OUTBOUND out
R1(config-if)#ip access-group INBOUND in
R1(config-if)#exit
4. Dynamic ACL
Cung cấp một cơ chế xác thực để cho phép tiến hành một loại hình trao đổi dữ liệu
nào đó.
Một host muốn thực hiện một phiên trao đổi dữ liệu (ví dụ: mở một kết nối Web –
HTTP), host này phải tiến hành xác thực bằng cách gửi một cặp username/password
đến router có cấu hình dynamic ACL. Nếu xác thực thành công, Dynamic ACL này sẽ
tự động tạo một dòng cho phép phiên này và như vậy dữ liệu của phiên có thể đi qua;
ngược lại, nếu xác thực không thành công, dòng cho phép không được tạo ra, phiên
sẽ bị cấm.
Cấu trúc Dynamic ACL
Router(config)# access-list ACL_# dynamic dynamic_ACL_name [timeout

minutes] {deny | permit} IP_protocol source_IP_address src_wildcard_mask
destination_IP_address dst_wildcard_mask [established] [log]
Hình 5.10: Mô hình ví dụ Dynamic ACL

Ví dụ: Quá trình Telnet đến router từ remote user sử dụng dynamic ACL:
Bước 1: Mở kết nối Telnet hoặc SSH tới router và nhập username, password
Bước 2: Router chứng thực kết nối
Bước 3: Dynamic ACL thêm quyền truy cập cho user
Bước 4: User có thể truy cập tài nguyên
5. Time-based ACL
Hình 5.11: Mô hình ví dụ Time-based ACL

Cung cấp một cơ chế cho phép gán yếu tố thời gian lên các dòng của ACL. Các
dòng này sẽ chỉ có hiệu lực trong khoảng thời gian được gán. Ví dụ: với time – based
ACL, ta có thể cấm người dùng lướt web trong khoảng thời gian từ 08g00 đến 12g00,
mở ra cho người dùng được lướt web từ 12g00 đến 13g00 và từ 13g00 đến 17g00 lại
cấm lướt web trở lại.
Một số thông tin log:
- Các hành động được phép hoặc từ chối

- Các giao thức TCP, UDP hoặc ICMP
- Các địa chỉ nguồn và đích
- Đối với TCP và UDP – số cổng nguồn và đích
- Đối với ICMP – các loại thông điệp
Ví dụ các thông báo log dưới đây, cho phép địa chỉ nguồn 192.168.1.3 (cổng
nguồn: 1024) SSH (cổng đích: 22) trên nền TCP đến địa chỉ đích 192.168.2.1
*May 1 22:12:13.243: %SEC-6-IPACCESSLOGP: list ACL-IPv4-E0/0-IN permitted

tcp 192.168.1.3(1024) -> 192.168.2.1(22), 1 packet
*May 1 22:17:16.647: %SEC-6-IPACCESSLOGP: list ACL-IPv4-E0/0-IN permitted
tcp 192.168.1.3(1024) -> 192.168.2.1(22), 9 packets
Kiểm tra ACL: Sử dụng lệnh show ip access-list.

TÓM TẮT
Bài học cung cấp kiến thức về việc xây dựng một hệ thống mạng bảo mật gồm có:
(1) Các giải pháp và lộ trình xây dựng bảo mật hạ tầng mạng, (2) thiết kế mô hình
mạng an toàn, (3) chính sách an toàn mạng và (4) bảo mật cho thiết bị router,
switch.
Để có thể xây dựng một hệ thống mạng đảm bảo tính an toàn cần phải có lộ trình
xây dựng hợp lý giữa yêu cầu và chi phí, để từ đó lựa chọn giải pháp phù hợp. Giải
pháp phù hợp nhất phải cân bằng được các yếu tố: yêu cầu, giá thành giải pháp, tính
năng, hiệu năng của hệ thống. Giải pháp an ninh hạ tầng mạng bao gồm 4 mảng: (1)
lý thuyết về Security, (2) kỹ năng tấn công, (3) kỹ năng cấu hình phòng thủ, và (4)
lập chính sách an toàn thông tin. Xây dựng chính sách an toàn mạng là bước hoàn
thiện một môi trường làm việc và hoạt động theo chuẩn bảo mật. Hiện nay nước ta có
rất nhiều đơn vị đang xây dựng chính sách bảo mật theo chuẩn ISO 27001, sử dụng
mô hình ISMS.
Để kiểm soát dữ liệu, Routers sử dụng ACL và Switch thi thực hiện chia Lan ảo.
Câu 1: Trình bày các giải pháp bảo mật thông tin cần thiết cho một hệ thông mạng
hiện nay là gì? Lộ trình thực hiện nó như thến nào?
Câu 2: Trình bày một ví dụ mô hình thiết kế mạng an toàn ?
Câu 3: Trình bày quy trình xây dựng chính sách bảo mật cho hệ thống mạng?
Câu 4: Trình bày các tiêu chuẩn an toàn khi xây dựng hệ thống mạng là gì?
Câu 5: Trình bày giải pháp bảo mật cho Router và Switch. Trình bày ACL là gì? cho ví
dụ minh họa?
BÀI 6: FIREWALL 91
BÀI 6: FIREWALL
Bài học này cung cấp cho sinh viên kiến thức:
- Các khái niệm tường lửa, nguyên lý hoạt động, phân loại và cách triển khai tường
lửa trong mô hình mạng.
- Tường lửa thông dụng hiện này: ASA.
- Các tính năng, cách thiết lập chính sách bảo mật và cách triển khải tường lửa này.
Sinh viên hiểu được vai trò lọc gói tin của tường lửa và biết cách áp dụng thích hợp
một số công cụ tường lửa vào xây dựng mô hình mạng an toàn.
6.1 TỔNG QUAN FIREWALL

6.1.1 Khái niệm
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn
chặn, hạn chế hỏa hoạn. Trong công nghệ thông tin, Firewall là một kỹ thuật được
tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn
thông tin nội bộ và hạn chế sự xâm nhâp không mong muốn vào hệ thống. Firewall
được miêu tả như là hệ phòng thủ bao quanh với các “chốt” để kiểm soát tất cả các
luồng lưu thông nhập xuất. Có thể theo dõi và khóa truy cập tại các chốt này. Các
mạng riêng nối với Internet thường bị đe dọa bởi những Hacker. Để bảo vệ dữ liệu
bên trong người ta thường dùng firewall. Firewall có cách nào đó để cho phép người
dùng hợp đi qua và chặn lại những người dùng không hợp lệ.
Firewall có thể là thiết bị phần cứng hoặc chương trình phần mềm chạy trên host
bảo đảm hoặc kết hợp cả hai. Trong mọi trường hợp, nó phải có ít nhất hai giao tiếp
mạng, một cho mạng mà nó bảo vệ, một cho mạng bên ngoài. Firewall có thể là
gateway hoặc điểm nối liền giữa hai mạng, thường là một mạng riêng và một mạng
công cộng như là Internet. Các firewall đầu tiên là các router đơn giản.
92 BÀI 6: FIREWALL
6.1.2 Chức năng của tường lửa

Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và
Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet)
và mạng Internet.
- Cho phép hoặc cấm những dịch vụ truy cập ra ngoài.
- Cho phép hoặc cấm những dịch vụ từ ngoài truy cập vào trong.
- Theo dõi luồng dữ liệu mạng giữa Internet và Intranet
- Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập
- Kiểm soát người sử dụng và việc truy cập của người sử dụng. Kiểm soát nội dung
thông tin lưu chuyển trên mạng.
Một firewall khảo sát tất cả các luồng lưu lượng giữa hai mạng để xem nó có đạt
chuẩn hay không. Nếu nó đạt, nó được định tuyến giữa các mạng, ngược lại nó bị
hủy. Một bộ lọc firewall lọc cả lưu lượng ra lẫn lưu lượng vào. Nó cũng có thể quản lý
việc truy cập từ bên ngoài vào nguồn tài nguyên mạng bên trong. Nó có thể được sử
dụng để ghi lại tất cả các cố gắng để vào mạng riêng và đưa ra cảnh báo nhanh
chóng khi kẻ thù hoặc kẻ không được phân quyền đột nhập. Firewall có thể lọc các gói
dựa vào địa chỉ nguồn, địa chỉ đích và số cổng của chúng. Điều này còn được gọi là
lọc địa chỉ. Firewall cũng có thể lọc các loại đặc biệt của lưu lượng mạng. Điều này
được gọi là lọc giao thức bởi vì việc ra quyết định cho chuyển tiếp hoặc từ chối lưu
lượng phụ thuộc vào giao thức được sử dụng, ví dụ HTTP, FTP hoặc Telnet. Firewall
cũng có thể lọc luồng lưu lượng thông qua thuộc tính và trạng thái của gói.
Một số firewall có chức năng thú vị và cao cấp, đánh lừa được những kẻ xâm nhập
rằng họ đã phá vỡ được hệ thống an toàn. Về cơ bản, nó phát hiện sự tấn công và
tiếp quản nó, dẫn dắt Hacker đi theo bằng tiếp cận “nhà phản chiếu” (hall of mirrors).
Nếu Hacker tin rằng họ đã vào được một phần của hệ thống và có thể truy cập xa
hơn, các hoạt động của Hacker có thể được ghi lại và theo dõi.
Nếu có thể giữ kẻ phá hoại trong một thời gian, người quản trị có thể lần theo dấu
vết của họ. Ví dụ, có thể dùng lệnh finger để theo vết Hacker hoặc tạo tập tin “bẫy
BÀI 6: FIREWALL 93
mồi” để họ phải mất thời gian truyền lâu, sau đó theo vết việc truyền tập tin về nơi
của kẻ tấn công qua kết nối Internet.
6.1.3 Nguyên lý hoạt động

Các rule của Firewall hoạt động tương tự như Access Control List của Router, Rule
của firewall có khả năng lọc gói tin sâu hơn ACL. Firewall hoạt động chặt chẽ với giao
thức TCP/IP, vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được
từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao
thức (Telnet, SMTP, DNS, SMNP, NFS …) thành các gói dữ liệu (data packets) rồi gán
cho các packet này những địa chỉ có thể nhận dạng, tái lập lại ở đích cần gửi đến, do
đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ
của chúng.
Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra toàn
bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số các luật
lệ của lọc packet hay không. Các luật lệ lọc packet này là dựa trên các thông tin ở đầu
mỗi packet (header), dùng để cho phép truyền các packet đó ở trên mạng. Bao gồm:
- Địa chỉ IP nơi xuất phát (Source)
- Địa chỉ IP nơi nhận ( Destination)
- Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel …)
- Cổng TCP/UDP nơi xuất phát
- Cổng TCP/UDP nơi nhận
- Dạng thông báo ICMP
- Giao diện packet đến
- Giao diện packet đi
- Firewall có thể bóc tách dữ liệu trong gói tin Layer 6,7: Filetype, URL, Content,
- Services, Application, User, …

94 BÀI 6: FIREWALL
6.1.4 Phân loại

Nếu phân loại theo vị trí đặt thì gồm có Network firewall, Host firewall, và Web
firewall. Network firewall bảo vệ cho cả hệ thống mạng. Host firewall bảo vệ cho một
máy tính được cài đặt (thường được tích hợp trên OS hoặc các phần mềm bảo mật
như Anti-Virus, Endpoint Security). Web firewall Có thể là Network Firewall hoặc Host
Firewall có chức năng bảo vệ dịch vụ web trước các dạng tấn công.
Nếu phân loại theo nền tảng phần cứng và phần mềm thì có Hardware firewall và
software firewall. Software Firewall thường được cài đặt trên OS hoặc là hệ điều hành
Linux tích hợp firewall mềm. Hardware firewall được tối ưu hóa bằng việc xây dựng hệ
điều hành trên nền tảng phần cứng của hãng nên hiệu năng xử lý tốt hơn.
Nếu theo khả năng xử lý gói tin thì có Packet filter, Application filter, State full
filter, và UTM. Packet filter hoạt động ở Layer3 – 4 Mô hình OSI, cho phép lọc gói tin
ở hai lớp này, Firewall dạng này có thể coi như Acess Control List trên Router.
Application Filter hoạt động ở Layer 7, cho phép tạo ra các Rules hoạt động trên Layer
7 của mô hình mạng OSI như URL, Content, … State Full Filter hoạt động từ Layer 3 –
7, cho phép tạo rules phức tạo từ IP, Port, URL, Filetype, time, User, content,
Header,… UTM tích hợp giữa Firewall và UTM. Do nhiều tính năng nên hiệu năng xử lý
không được cao.
Khái niệm mới về một thế hệ mới Firewall được Gartner (tổ chức đánh giá các giải
pháp IT) định nghĩa là: Next Generation Firewall cần phải có các tính năng sau:
- Hỗ trợ hoạt động Inline trong hệ thống mạng (có thể hoạt động trong suốt từ
Layer 2)
- Có những tính năng Firewall cơ bản: Packet Filter, NAT, Statefull, VPN
- Hỗ trợ phát hiện hệ thống mạng (Host active, Service, Application, OS,
Vulnerability).
- Tích hợp IPS mức độ sâu (cho phép cấu hình, rule edit, Event Impact Flag…)
- Application Awareness: Cho phép phát hiện các dịch vụ hệ thống, đưa ra các policy
sâu như cấm được Skype, Yahoo Messager…
BÀI 6: FIREWALL 95
- Extrafirewall Inteligence: Ví dụ cho phép block một user nào đó đăng nhập vào
- Facebook còn các user còn lại vẫn truy cập được.
- Hỗ trợ update signature liên tục đảm bảo hệ thống luôn được bảo mật.
6.1.5 Thiết kế Firewall trong mô hình mạng
Hình 6.1: Router làm chức năng Packet Filter
Hình 6.2: Firewall áp dụng cho vùng DMZ

Thiết kế firewall phù hợp với hệ thống mạng là rất quan trọng, dưới đây trình bày
một số mô hình triển khai firewall:
96 BÀI 6: FIREWALL
- Firewall làm chức năng Packet Filter
- Firewall áp dụng cho vùng DMZ
- Mô hình mạng tích hợp tại một đơn vị. Ví dụ 1 hình 6-3. Một ví dụ khác của mô
hình mạng tích hợp tại một đơn vị trong hình 6-4, trong mô hình này có thiết bị:
Firewall, Proxy chuyên dụng của BlueCoat, IPS Sourcefire, Cân bằng tải cho nhiều
đường internet, UTM Firewall cùng nhiều thiết bị và giải pháp bảo mật khác.
Hình 6.3: Mô hình mạng tích hợp tại một đơn vị
6.2 FIREWALL ASA

6.2.1 Tổng quan về ASA
ASA ngoài việc thừa hưởng các tính năng ưu điểm của công nghệ dùng trên Cisco
PIX Firewall, Cisco IPS 4200 và Cisco VPN 3000 Concentrator, còn được tích hợp đồng
thời 3 nhóm chức năng chính cho một hạ tầng bảo vệ là Firewall, IPS và VPN. Thông
qua việc tích hợp những tính năng như trên, ASA sẽ chuyển giao một giải pháp hiệu
BÀI 6: FIREWALL 97
quả trong việc bảo mật hoá các giao tiếp kết nối mạng, nhằm có thể chủ động đối
phó trên diện rộng đối với các hình thức tấn công qua mạng hoặc các hiểm họa mà tổ
chức, doanh nghiệp thường phải đương đầu.
6.2.2 Hệ thống bảo mật của ASA

Hệ thống bảo mật của ASA cung cấp giải pháp an ninh, bảo mật hướng tới các đối
tượng khách hàng. Một số tính năng của thiết bị an ninh bảo mật của ASA như sau:
- Hệ điều hành riêng biệt
- Stateful packet inspection
- Xác thực người dùng
- Theo dõi, giám sát các ứng dụng và giao thức
- Modular policy framework
- Mạng riêng ảo (VPN)
- Các ngữ cảnh bảo mật (các firewall ảo)
- Stateful failover
- Transparent firewalls
- Quản trị dựa trên giao diện web (sử dụng ASDM)
6.2.2.1 Hệ điều hành riêng biệt
Việc sử dụng hệ điều hành riêng biệt loại trừ được các nguy cơ bảo mật khi sử
dụng chung với các hệ điều hành khác.
6.2.2.2 Stateful Packet Inspection
- Giải thuật kiểm tra gói tin - statefull packet inspection cung cấp các kết nối
bảo mật.
- Mặc định, giải thuật này cho phép kết nối từ máy vùng trong (cấp độ bảo
mật cao hơn) sang các vùng có cấp độ bảo mật thấp hơn và chặn các kết nối
98 BÀI 6: FIREWALL
từ máy vùng ngoài (cấp độ bảo mật thấp hơn ) sang các vùng có cấp độ bảo
cao hơn.
- Giải thuật này hỗ trợ xác thực, ủy quyền và theo dõi.
6.2.2.3 Nhận diện ứng dụng
Hình 6.4: Nhận diện ứng dụng ftp

- Các giao thưc như FTP, HTTP, H.323, SQL*Net,… Cần các kết nối từ nhiều
port khác nhau để truyền dữ liệu qua ASA.
- Thiết bị bảo mật sẽ theo dõi quá trình kết nối này.
- Các port cần cho kết nối sẽ được mở một cách an toàn theo từng ứng dụng.
6.2.2.4 Modular Policy framework
Hình 6.5: Thiết lập chính sách kiểm tra

BÀI 6: FIREWALL 99
ASA cung cấp một Modular Policy Frame (MPF) để bảo mật ứng dụng hay thực hiện
chức năng chất lượng dịch vụ (Qos). MPF cung cách một cách phù hợp và linh hoạt
trong cấu hình để nhận diện ứng dụng trên ASA.
Như một quy luật chung, việc thiết lập các chính sách kiểm tra đòi hỏi 3 bước sau
đây:
Bước 1: Cấu hình các lớp lưu lượng (class-map) để định danh cho lưu lượng cần
quan tâm.
Bước 2: Tạo chính sách (policy-map) để khởi tạo hoạt động cho mỗi lưu lượng.
Bước 3: Kích hoạt các chính sách (service-policy) lên một cổng.
6.2.2.5 Mạng riêng ảo (VPN)
Hình 6.6: Mô hình vpn

VPN được chia thành 2 loại đó là:
- Site-to-site VPN
- Remote-access VPN
Site-to-site VPN: Cho phép một công ty thiết lập kết nối giữa hai hay nhiều văn
phòng để họ có thể gửi lưu lượng qua lại bằng cách sử dụng một môi trường chia sẻ
như mạng internet. GRE, IPSec và MPLS VPN là các giao thức thường được sử dụng
trong kết nối site-to-site VPN.
Remote-access VPN: Có lợi cho một tổ chức bằng cách cho phép các người dùng
dùng di động (mobile users) làm việc từ các địa điểm từ xa như nhà, khách sạn,… có
kết nối internet. Một số giao thức thường thường được sử dụng trong remote-access
VPN như: PPTP, L2TP, L2F, và IPSEC.
100 BÀI 6: FIREWALL
6.2.2.6 Các ngữ cảnh bảo mật
Hình 6.7: Mô hình ngữ cảnh bảo mật

Cung cấp khả năng tạo nhiều firewall ảo trên một thiết bị firewall thật.
6.2.2.7 Khả năng Failover: Active/Standby, Active/Active và

Stateful Failover
Hình 6.8: Mô hình failover

- Khả năng dự phòng (Failover) đảm bảo kết nối mạng được thông suốt khi
một thiết bị hỏng.
 Active/standby: Một thiết bị sẽ chạy chính, một thiết bị sẽ dự phòng.
 Active/Active: Cả hai thiết bị đều chạy , chia tải và dự phòng lẫn nhau.
- Stateful failover: Duy trì trạng thái kết nối khi một thiết bị kết nối chính
hỏng.
BÀI 6: FIREWALL 101
6.2.2.8 Transparent Firewall
Hình 6.9: Mô hình transparent firewall

- Có khả năng triển khai thiết bị bảo mật ở layer 2.
- Cho phép bảo mật từ layer 2 đến layer 7 và hoạt động như một thiết bị layer
2.
6.2.2.9 Giải pháp quản trị dùng web (ASDM)
Hình 6.10: Giao diện chính của ASDM

Adaptive Security Device Manager (ASDM) là một công cụ cấu hình, quản lý thiết
bị bảo mật của cisco ASA, dựa trên giao diện web.
a. Các tính năng của ASDM
- Chạy đa nền.
- Hoạt động dựa trên máy ảo java.
- Sử dụng SSL để đảm bảo kết nối an toàn, bảo mật.

- Được tải trước vào bộ nhớ flash với các dòng cisco ASA.
- Phiên kết nối ASDM:
 5 phiên kết nối ASDM đối với một thiết bị (single mode)
 32 phiên kết nối nếu ở chế độ multiple mode
- Hoạt động trên các thiết bị bảo mật: Cisco ASA 5505, 5510, 5520, 5540, và
5550.
b. Các yêu cầu đối với cisco ASA chạy ASDM
Thiết bị ASA cần đáp ứng các yêu cầu sau để chạy ASDM:
- Khóa kích hoạt DES hoặc 3DES
- Hỗ trợ java-plugin
- Hệ điều hành của ASA phải tương thích với ASDM sẽ cài đặt.
- Phần cứng tương thích.
c. Yêu cầu về trình duyệt web với ASDM
Để trình duyệt web có thể chạy được ASDM, cần những yêu cầu sau:
- JavaScript và Java được cho phép chạy trong trình duyệt.
- SSL được cho phép chạy trong trình duyệt.
Popup blockers có thể chặn ASDM khi chạy.
d. Phần cứng hỗ trợ
- Windows
- Sun Solaris
- Linux
e. Cấu hình ASA để chạy ASDM
Để sử dụng được ASDM, trên ASA cần có các thông số như sau:
- Thời gian
- Địa chỉ IP interface inside và subnet mask

- Host name
- Domain name
- Mở dịch vụ http server
- Cho phép một địa chỉ máy chỉ định được truy nhập vào ASDM
6.2.3 Phân loại ASA và tính năng
6.2.3.1 Phân loại
Các dòng sản phẩm ASA 5500
Hình 6.11: Dòng sản phẩm ASA 5500
6.2.3.2 Tính năng
a. Thiết bị bảo mật Cisco ASA 5510
Hình 6.12: ASA 5510

- Nâng cao an ninh và cung cấp dịch vụ mạng, bao gồm cả các dịch vụ VPN,
cho các doanh nghiệp nhỏ.
- Cung cấp lên tới 130,000 kết nối đồng thời.

- Thông lượng có thể đáp ứng tới 300-Mbps.
- Các interface được hỗ trợ:
 Lên tới 5 cổng 10/100 Fast Ethernet
 Lên tới 25 VLANs
 Lên tới 5 ngữ cảnh (contexts)
- Hỗ trợ failover:
 Active/standby
- Hỗ trợ VPNs:
 Site to site (250 peers)
 Remote access
 WebVPN
- Hỗ trợ thêm các module SSMs (Cisco ASA AIP SSM, Cisco ASA CSC SSM và
Gigabit Ethernet SSM loại 4 port).
b. Thiết bị bảo mật Cisco ASA 5520
Hình 6.13: ASA 5520

- Cung cấp các dịch vụ bảo mật, kể cả vpn cho các doanh nghiệp cỡ vừa.
- Thông lượng có thể đáp ứng 450-Mbps.
- Các interface được hỗ trợ:
 4 10/100/1000 Gigabit Ethernet interfaces
 1 10/100 Fast Ethernet interface

 Lên tới 20 contexts
 Active/standby
 Active/active
- Hỗ trợ VPNs:
 Site to site (750 peers)
 Remote access
 WebVPN
- Hỗ trợ thêm các module SSMs (Cisco ASA AIP SSM, Cisco ASA CSC SSM và
Gigabit Ethernet SSM loại 4 port).
c. Thiết bị bảo mật Cisco ASA 5540
Hình 6.14: ASA 5540

- Cung cấp các dịch vụ cần hiệu quả cao, các loại dịch vụ bảo mật, kể cả vpn
cho các doanh nghiệp lớn và các nhà cung cấp dịch vụ.
- Thông lượng đáp ứng 650-Mbps.
- Các interface hỗ trợ:
 4 10/100/1000 Gigabit Ethernet interfaces
 1 10/100 Fast Ethernet interface
 Lên tới 50 contexts
 Active/standby
 Active/active
- Hỗ trợ VPNs:
 Site to site (5,000 peers)
 Remote access
 WebVPN
- Hỗ trợ thêm các module SSMs (Cisco ASA AIP SSM, Cisco ASA CSC SSM and
four-port Gigabit Ethernet SSM).
6.2.4 Cấu hình trên ASA
6.2.4.1 Các chế độ truy nhập
ASA có 4 chế độ truy nhập như sau:
- Unprivileged ciscoasa>
- Privileged ciscoasa#
- Configuration ciscoasa(config)#
- Monitor monitor>
a. Chế độ Privileged
Dùng lệnh enable để cho phép truy nhập vào chế độ Priviledged
ciscoasa> enable
password:
ciscoasa#
b. Chế độ Configuration
Dùng lệnh configure terminal để đăng nhập vào chế độ Configuation
ciscoasa# configure terminal

ciscoasa(config)#
Dùng lệnh exit dùng để thoát khỏi chế độ hiện tại, trở về chế độ trước đó
ciscoasa(config)# exit
ciscoasa# exit
ciscoasa>
6.2.4.2 Quản lý và lưu trữ các file cấu hình
a. Xem và lưu lại cấu hình
Sử dụng lệnh show running-config để xem cấu hình đang chạy hoặc show startup-
config để xem cấu hình lúc khởi động
ciscoasa# show running-config

ciscoasa# show startup-config
Sử dụng lệnh copy run start hoặc write memory để lưu cấu hình
ciscoasa# copy run start

ciscoasa# write memory
b. Xóa cấu hình
- Xóa cấu hình đang chạy running-config:
Dùng lệnh clear configure all
ciscoasa(config)# clear config all
- Xóa cấu hình lúc khởi động startup-config:
Dùng lệnh write erase
ciscoasa# write erase
c. Khởi động lại thiết bị
Dùng lệnh reload để khởi động lại ASA, thiết bị sẽ tự động lấy lại cấu hình startup-
config copy vào running-config để chạy.
ciscoasa# reload
Proceed with reload?[confirm] y
Rebooting...
6.2.4.3 Các mức bảo mật (security levels)
Hình 6.15: Các mức bảo mật trên interface

ASA quy định mỗi interface phải được xác định bằng một định danh (nameif) và
mức độ bảo mật (security level).
Mức độ bảo mật là một con số từ 0 đến 100 được gán vào cổng, nó xác định mức
độ tin cậy của 1 cổng bao gồm cả cổng con (subinterface). Mức độ bảo mật càng cao
thì mức độ tin cậy càng cao. Cổng có mức độ bảo mật cao hơn cổng có mức độ bảo
mật thấp hơn thì được phép truy cập đến, ngược lại thì không trừ khi được gán danh
sách truy cập (access-list) để cho phép luồng dữ liệu từ cổng có mức độ bảo mật thấp
đến cổng có mức độ bảo mật cao.
Mức độ bảo mật 100 thường được gán cho vùng mạng quan trọng, mức độ bảo
mật 50 thường được gán cho vùng DMZ, mức độ bảo mật 0 được gán cho vùng mạng
kết nối đến WAN. Ngoài ra ta có thể gán bất cứ Mức độ bảo mật nào từ 1-99, mặc
định khi đặt định danh cho cổng kết nối đến vùng mạng quan trọng, thường là mạng
bên trong (inside) thì ASA sẽ tự động gán mức độ bảo mật cho nó là 100, tương tự
cho vùng mạng kết nối với Wan nếu đặt định danh là outside thì mức độ bảo mật mặc
định là 0.
6.2.4.4 Kiểm tra trạng thái của ASA
Các câu lệnh show
- Lệnh show run interface: kiểm tra các thông số interface đang chạy
asa1# show run interface

. . .
interface GigabitEthernet0/0
speed 1000
duplex full
nameif outside
security-level 0
ip address 192.168.1.2 255.255.255.0
!
interface GigabitEthernet0/1
speed 1000
duplex full
nameif inside
security-level 100
ip address 10.0.1.1 255.255.255.0 . . .
- Lệnh show interface: xem chi tiết các interface
Interface GigabitEthernet0/0 "outside", is up, line protocol is up

Detected: Speed 1000 Mbps, Full-duplex
Requested: Auto
MAC address 000b.fcf8.c538, MTU 1500
IP address 192.168.1.2, subnet mask 255.255.255.0
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 packets output, 0 bytes, 0 underruns
input queue (curr/max blocks): hardware (0/0) software (0/0)
output queue (curr/max blocks): hardware (0/0) software (0/0)
Received 0 VLAN untagged packets, 0 bytes
Transmitted 0 VLAN untagged packets, 0 bytes
Dropped 0 VLAN untagged packets
- Lệnh show memory: kiểm tra bộ nhớ của thiết bị ASA
asa1# show memory

Free memory: 468962336 bytes (87%)
Used memory: 67908576 bytes (13%)
------------- ----------------
Total memory: 536870912 bytes (100%)
- Lệnh show cpu usage: kiểm tra hiệu xuất cpu sử dụng
asa1# show cpu usage

CPU utilization for 5 seconds = 0%; 1 minute: 0%; 5 minutes: 0%
- Lệnh show version: kiểm tra phiên bản thiết bị
asa1# show version

Cisco Adaptive Security Appliance Software Version 7.2(1)
Device Manager Version 5.2(1)
Compiled on Wed 31-May-06 14:45 by root
System image file is "disk0:/asa721-k8.bin"
Config file at boot was "startup-config"
ciscoasa up 2 mins 51 secs
Hardware: ASA5520, 512 MB RAM, CPU Pentium 4 Celeron 2000 MHz
Internal ATA Compact Flash, 64MB
BIOS Flash AT49LW080 @ 0xffe00000, 1024KB
. . .
- Lệnh show ip address: kiểm tra địa chỉ ip interface
Hình 6.16: Địa chỉ ip các interface

asa1# show ip address
System IP Addresses:
Interface Name IP address Subnet mask Method
GigabitEthernet0/0 outside 192.168.1.2 255.255.255.0 CONFIG
GigabitEthernet0/1 inside 10.0.1.1 255.255.255.0 CONFIG
GigabitEthernet0/2 dmz 172.16.1.1 255.255.255.0 CONFIG
Current IP Addresses:
Interface Name IP address Subnet mask Method
GigabitEthernet0/0 outside 192.168.1.2 255.255.255.0 CONFIG
GigabitEthernet0/1 inside 10.0.1.1 255.255.255.0 CONFIG
GigabitEthernet0/2 dmz 172.16.1.1 255.255.255.0 CONFIG
- Lệnh show nameif: kiểm tra tên định danh trên interface
Hình 6.17: Mức bảo mật của các interface

asa1# show nameif
Interface Name Security
GigabitEthernet0/0 outside 0
GigabitEthernet0/1 inside 100
GigabitEthernet0/2 dmz 50
- Lệnh show run nat: hiển thị host hoặc một giải địa chỉ được NAT
Hình 6.18: Mô hình quá trình nat

asa1# show run nat
nat (inside) 1 10.0.1.0 255.255.255.0 0 0
- Lệnh show run global: hiển thị giải địa chỉ sẽ được map cho các host bên
trong
Hình 6.19: Giải địa chỉ được map

asa1# show run global
global (outside) 1 192.168.1.20-192.168.1.254 netmask 255.255.255.0
- Lệnh show xlate: hiển thị nội dung các khe dịch
Hình 6.20: Quá trình xlate

asa1# show xlate
1 in use, 1 most used
Global 192.168.1.20 Local 10.0.1.11
- Lệnh show route:
Hình 6.21: Các network ASA kết nối

Cấu trúc
show route [interface_name [ip_address [netmask [static]]]]
Ví dụ: Hiển thị bảng thông tin định tuyến ở mô hình trên
asa1(config)# show route

S 0.0.0.0 0.0.0.0 [1/0] via 192.168.1.1, outside
C 10.0.1.0 255.255.255.0 is directly connected, inside
C* 127.0.0.0 255.255.0.0 is directly connected, cplane
C 172.16.1.0 255.255.255.0 is directly connected, dmz
C 192.168.1.0 255.255.255.0 is directly connected, outside
- Lệnh ping:
Cấu trúc
ping [if_name] host [data pattern] [repeat count] [size bytes] [timeout
seconds] [validate]
Ví dụ: Kiểm tra sự tồn tại của host 10.0.1.11 trên mạng
asa1# ping 10.0.1.11

Sending 5, 100-byte ICMP Echos to 10.0.1.11, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 10/12/20 ms
- Lệnh traceroute:
Cấu trúc
traceroute {destination_ip | hostname} [source source_ip | source-

interface] [numeric] [timeout timeout_value] [probe probe_num] [ttl min_ttl
max_ttl] [port port_value] [use-icmp]
Ví dụ: Kiểm tra đường đi của gói tin đến host 172.26.26.20
asa1#traceroute 172.26.26.20
6.2.4.5 Các lệnh cấu hình cơ bản trên ASA
a. Thay đổi tên (hostname)
Cấu trúc lệnh thay đổi tên
ciscoasa(config)# hostname newname
Ví dụ: Đổi tên ciscoasa thành asa1
ciscoasa(config)#hostname asa1
asa1(config)#
b. Các lệnh với interface
Cấu trúc lệnh interface
ciscoasa(config)#interface {physical_interface[.subinterface]| mapped_name}
Ví dụ: Vào interface GigabitEthernet0/0
asa1(config)# interface GigabitEthernet0/0

asa1(config-if)#
- Gán tên cho interface: sử dụng lệnh nameif
Cấu trúc lệnh nameif
ciscoasa(config-if)#nameif if_name
Ví dụ: Gán tên cho interface GigabitEthernet0/0 là outside.

asa1(config-if)# nameif outside
- Gán địa chỉ IP cho interface: sử dụng lệnh ip address
Cấu trúc lệnh gán địa chỉ IP cho interface
ciscoasa(config-if)#ip address ip_address [mask] [standby ip_address]
Ví dụ: Gán địa chỉ IP 192.168.1.2 cho interface GigabitEthernet0/0

asa1(config-if)# ip address 192.168.1.2 255.255.255.0
- Nhận địa chỉ IP động (DHCP)
Cấu trúc lệnh nhận IP động
ciscoasa(config-if)# ip address dhcp [setroute]
Ví dụ: Cho phép nhận địa chỉ động ở interface GigabitEthernet0/0

asa1(config-if)# ip address dhcp
- Gán mức bảo mật: sử dụng lệnh security-level
Cấu trúc lệnh security-level
ciscoasa(config-if)# security-level number
Ví dụ: Gán mức bảo mật là 0 cho interface GigabitEthernet0/0

asa1(config-if)# security-level 0
- Cho phép các interface cùng mức bảo mật: sử dụng lệnh same-security-
traffic
Cấu trúc lệnh same-security-traffic
ciscoasa(config)#same-security-traffic permit {inter-interface | intra-

interface}
Ví dụ: Cho phép dữ liệu giữa các interface cùng mức bảo mật
asa1(config)# same-security-traffic permit inter-interface
- Thiết lập tốc độ và duplex: sử dụng lệnh speed và duplex
Cấu trúc lệnh speed và duplex
ciscoasa(config-if)# speed {10 | 100 | 1000 | auto | nonegotiate}

duplex {auto | full | half}
Ví dụ: Thiết lập tốc độ là 1000 và duplex là full cho interface GigabitEthernet0/0

asa1(config-if)# speed 1000
asa1(config-if)# duplex full
- Interface quản trị của ASA
Cấu trúc lệnh bật chức năng chỉ chấp nhận dữ liệu quản trị trên interface
ciscoasa(config-if)#management-only
Cấu trúc lệnh tắt chức năng chỉ chấp nhận dữ liệu quản trị trên interface
ciscoasa(config-if)#no management-only
Ví dụ: Tắt chức năng chỉ chấp nhận dữ liệu quản trị trên interface management0/0
asa1(config)# interface management0/0

asa1(config-if)# no management-only
- Bật hoặc tắt Interfaces: sử dụng lệnh shutdown/no shutdown
Ví dụ: Bật interface GigabitEthernet0/0

asa1(config-if)# no shutdown
c. Network Address Translation (NAT)
Bật chức năng kiểm soát NAT
asa1(config)# nat-control
- Câu lệnh nat
Cấu trúc lệnh nat
ciscoasa(config)#nat (if_name) nat_id address [netmask] [dns]
Ví dụ: Cho phép NAT vùng inside ra giải địa chỉ bất kỳ
asa1(config)# nat (inside) 1 0.0.0.0 0.0.0.0
- Câu lệnh global
Cấu trúc lệnh global
ciscoasa(config)#global(if_name) nat_id {mapped_ip[-mapped_ip] [netmask

mapped_mask]} | interface
Câu lệnh này kết hợp với câu lệnh nat để gán một giải địa chỉ public IP, map cho
các máy vùng inside, ví dụ: 192.168.0.20-192.168.0.254
asa1(config)# nat (inside) 1 0.0.0.0 0.0.0.0

asa1(config)# global (outside) 1 192.168.1.20-192.168.1.254
d. Cấu hình định tuyến tĩnh: sử dụng lệnh route
Hình 6.22: Mô hình default route và route tĩnh

Cấu trúc lệnh route
ciscoasa(config)# route if_name ip_address netmask gateway_ip [metric]

Ví dụ: Cấu hình route tĩnh, default route cho một interface như mô hình trên
asa1(config)# route outside 0.0.0.0 0.0.0.0 192.168.1.1 1

asa1(config)# route inside 10.1.1.0 255.255.255.0 10.0.1.102 1
e. Cấu hình map hostname-IP: sử dụng lệnh name
Hình 6.23: Mô hình map hostname-IP

Cấu trúc lệnh name
ciscoasa(config)#name ip_address name
Ví dụ: Cấu hình các địa chỉ IP của server tương ứng với các tên
asa1(config)# names
asa1(config)# name 172.16.1.2 bastionhost
asa1(config)# name 10.0.1.11 insidehost
f. Lệnh icmp
Cấu trúc cho phép hoặc không cho phép ping đến interface
ciscoasa(config)# icmp {permit | deny} {host sip | sip smask | any} [icmp-
type] if_name
Ví dụ: Cho phép ping từ bên ngoài vào interface outside của asa1
asa1(config)# icmp permit any outside
g. Cấu hình quản lý truy cập từ xa
- Cấu hình telnet:
Cấu trúc cho phép cấu hình những host được phép telnet tới ASA
ciscoasa(config)#telnet {{hostname | IP_address mask interface_name} |

{IPv6_address interface_name} | {timeout number}}
Cấu hình mật khẩu dùng cho việc telnet tới ASA
ciscoasa(config)#passwd password [encrypted]
Ví dụ: Cho phép host 10.0.0.11 (thuộc vùng inside) telnet tới thiết bị asa1 với mật
khẩu telnetpass.
asa1(config)# telnet 10.0.0.11 255.255.255.255 inside

asa1(config)# telnet timeout 15
asa1(config)# passwd telnetpass
- Xem và xóa cấu hình telnet:
Hiển thị cấu hình các máy được cho phép telnet
ciscoasa#show running-config telnet [timeout]
Xóa cấu hình telnet
ciscoasa(config)# clear configure telnet
Cho phép xem user nào đang có phiên telnet tới ASA
ciscoasa#who [local_ip]
Ngắt một phiên telnet
ciscoasa#kill telnet_id
- Cấu hình SSH:
Bước 1: Gỡ bỏ cặp khóa RSA đã có
ciscoasa(config)# crypto key zeroize {rsa | dsa} [label key-pair-label]

[default] [noconfirm]
Bước 2: Cấu hình domain-name
ciscoasa(config)# domain-name name
Bước 3: Tạo cặp khóa RSA mới
ciscoasa(config)# crypto key generate rsa [usage-keys | general-keys]

[label key-pair-label] [modulus size] [noconfirm]
Bước 4: Cho phép những host chỉ định được phép kết nối ssh tới.
ciscoasa(config)#ssh {ip_address mask | ipv6_address/prefix} interface
Bước 5: Lượng thời gian idle trước khi kết nối bị ngắt
ciscoasa(config)# ssh timeout number
Bước 6: Lưu lại cấu hình
ciscoasa(config)# write memory
Ví dụ: Cho phép host 172.26.26.50 (thuộc vùng outside) kết nối SSH tới thiết bị
asa1 với domain-name cisco.com, thời gian timeout 30.
asa1(config)# crypto key zeroize rsa

asa1(config)# domain-name cisco.com
asa1(config)# crypto key generate rsa modulus 1024
asa1(config)# ssh 172.26.26.50 255.255.255.255 outside
asa1(config)# ssh timeout 30
asa1(config)# write memory
h. Cấu hình ACL trên ASA
Hình 6.24: Mô hình chiều áp dụng ACL

ACL trên interface chặn hoặc cho phép các gói tin đến hoặc đi khỏi interface đó.
Một ACL chỉ cần mô tả được gói tin khởi tạo của ứng dụng, chiều trả về không cần
thiết phải có trong ACL.
Nếu không có ACL nào được cấu hình trên interface thì :
- Mặc định gói tin từ inside  outside được cho qua (outbound).
- Mặc định gói tin từ outside  inside bị chặn (inbound).
Bước 1: Tạo access-list
Cấu trúc lệnh access-list

ciscoasa(config)# access-list id [line line-number] [extended] {deny |

permit} {protocol | object-group protocol_obj_grp_id}{host sip | sip smask
| interface ifc_name | object-group network_obj_grp_id | any} [operator
port [port] | object-group service_obj_grp_id] {host dip | dip dmask |
interface ifc_name | object-group network_obj_grp_id | any} [operator port
[port]|object-groupservice_obj_grp_id|object-group icmp_type_obj_group_id]
[log [[level] [interval secs] | disable | default]] [inactive | time-range
time_range_name]
Ví dụ: Tạo ACL ACLOUT cho phép host 192.168.1.9 (từ bên ngoài) được truy nhập
web server ở DMZ server
asa1(config)# access-list ACLOUT permit tcp any host 192.168.1.9 eq www
Bước 2: Áp dụng access-list lên interface mong muốn, sử dụng lệnh access-group
Cấu trúc lệnh access-group
ciscoasa(config)#access-group access-list {in|out} interface interface_name

[per-user-override]
Ví dụ: Gán access-list ACLOUT đến interface outside theo chiều in
asa1(config)# access-group ACLOUT in interface outside
- Kiểm tra access-list, sử dụng lệnh show access-list.

TÓM TẮT
Bài học này trình bày các khái niệm về tường lửa, các chức năng, nguyên lý hoạt
động, cách triển khai tường lừa trong mô hình mạng và tường lửa ASA sử dụng hiện
nay trên mạng. Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống
sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm
nhâp không mong muốn vào hệ thống. Chức năng chính của Firewall là kiểm soát
luồng thông tin từ giữa Intranet và Internet. Thiết kế firewall phù hợp với hệ thống
mạng là rất quan trọng, dưới đây trình bày một số mô hình triển khai firewall: (1)
firewall làm chức năng Packet Filter, (2) firewall áp dụng cho vùng DMZ và (3) mô
hình mạng tích hợp. Bài học trình bày cách sử dụng tường lửa ASA phổ biển hiện nay
trong việc triển khai các hệ thống mạng an toàn.

Câu 1: Tường lửa là gì? Cho biết nhu cầu sử dụng tường lửa? Các loại tường lửa hiện
này là gì?
Câu 2: Trình bày nguyên lý hoạt động của Tường lửa?
Câu 3: Trình bày các hệ thống bảo mật của tường lửa ASA?
Câu 4: Trình bày các loại tường lửa ASA và các tính năng?
Câu 5: Trình bày cách triển khai tường lửa ASA cho hạ tầng mạng?
122 BÀI 7: HỆ THỐNG NGĂN CHẶN XÂM NHẬP IPS
BÀI 7: HỆ THỐNG NGĂN CHẶN

XÂM NHẬP IPS
Học xong bài này, sinh viên có thể:
- Hiểu các khái niệm, kiến trúc xử lý, và nguyên lý hoạt động của hệ thống IPS.
- Quá trình triển khai hệ thống IPS bằng dòng lệnh và cách triển khai một hệ thống
IPS sử dụng SDM.
7.1 TỔNG QUAN HỆ THỐNG NGĂN CHẶN XÂM

NHẬP IPS
7.1.1 Giới thiệu IPS
Intrusion Prention System viết tắt là IPS là hệ thống ngăn chặn xâm nhập. IPS có
chức năng tự động theo dõi và ngăn chặn các sự kiện xảy ra trong và ngoài hệ thống
mạng, phân tích và ngăn ngừa các vấn đề liên quan tới bảo mật và an ninh. Hệ thống
ngăn chặn xâm nhập giám sát các gói tin đi qua và đưa ra quyết định liệu đây có phải
là một cuộc tấn công hay một sự truy cập hợp pháp – sau đó thực hiện hành động
thích hợp để bảo vệ hệ thống mạng.
7.1.2 Kiến trúc hệ thống ngăn chặn xâm nhập

Một hệ thống ngăn ngừa xâm nhập tích hợp được các yếu tố nhanh, chính xác, đưa
ra các thông báo hợp lý, phân tích được toàn bộ lưu lượng, ngăn chặn thành công và
chính sách quản lý mềm dẻo… nhờ vào sự kết hợp của ba modul sau: modul phân tích
gói tin, modul phát hiện tấn công và modul phản ứng.
BÀI 7: HỆ THỐNG NGĂN CHẶN XÂM NHẬP IPS 123
Hình 7.1: Kiến trúc chung của hệ thống ngăn chặn xâm nhập
7.1.2.1 Modul phân tích gói tin
Modul này có nhiệm vụ phân tích cấu trúc thông tin trong các gói tin khi các gói tin
này đi qua Card mạng của máy giám sát được đặt ở chế độ Promiscuous Mode thì
chúng đều được sao chép lại để xử lý và phân tích, bộ phân tích gói đọc thông tin
từng trường trong gói tin xác định chúng thuộc kiểu gói tin nào dịch vụ gì sau đó các
thông tin này được chuyển đến modul phát hiện tấn công.
7.1.2.2 Modul phát hiện tấn công
Đây là modul quan trọng nhất trong hệ thống nó có một số phương pháp để phát
hiện các cuộc tấn công là dò tìm sự lạm dụng và dò sự không bình thường.
Phương pháp dò sự lạm dụng: Phương pháp này phân tích các hoạt động của hệ
thống tìm kiếm các sự kiện giống với các mẫu tấn công đã biết trước các mẫu này gọi
là các dấu hiệu tấn công, do vậy phương pháp này còn được gọi là phương pháp dò
dấu hiệu, chúng có ưu điểm là phát hiện các cuộc tấn công nhanh và chính xác,
không đưa ra các cảnh báo sai làm giảm khả nǎng hoạt động của mạng và giúp các
người quản trị xác định các lỗ hổng bảo mật trong hệ thống. Tuy nhiên, phương pháp
này có nhược điểm là không phát hiện được các cuộc tấn công không có trong cơ sở
dữ liệu hay các kiểu tấn công mới cho nên hệ thống luôn phải cập nhật các mẫu tấn
công thường xuyên.
Phương pháp dò sự không bình thường: Đây là kỹ thuật dò thông minh nhận
dạng các hành động không bình thường của mạng cơ chế hoạt động của phương pháp
này là tìm sự khác nhau so với các hoạt động thông thường, ban đầu chúng lưu trữ
các mô tả sơ lược về các hoạt động bình thường của hệ thống các cuộc tấn công sẽ có
những hành động khác thường so với hành động bình thường và phương pháp dò này
có thể nhận dạng được chúng. Có một số kỹ thuật giúp thực hiện dò sự không bình
thường của các cuộc tấn công như dưới đây:
- Phát hiện mức ngưỡng: Kỹ thuật này đo đếm các hoạt động bình thường trên
mạng, nếu có sự bất thường nào đó như đǎng nhập với số lần quá quy định, số
lượng các tiến trình hoạt động trên CPU, số lượng một loại gói tin được gửi vượt
quá mức ... thì hệ thống có dấu hiệu bị tấn công.
- Phát hiện nhờ quá trình tự học: Kỹ thuật này bao gồm hai bước: Khi bắt đầu thiết
lập hệ thống phát hiện tấn công sẽ chạy ở chế độ tự học và tạo ra một hồ sơ, sau
thời gian khởi tạo hệ thống sẽ chạy ở chế độ làm việc tiến hành theo dõi phát hiện
các hoạt động bất thường của mạng bằng cách so sánh với hồ sơ đã thiết lập, chế
độ tự học này có thể chạy song song với chế độ làm việc để cập nhật hồ sơ của
mình nhưng nếu dò ra có tín hiệu tấn công thì chế độ tự học phải dừng lại cho tới
khi cuộc tấn công kết thúc.
- Phát hiện sự không bình thường của các giao thức: Kỹ thuật này cǎn cứ vào hoạt
động của các giao thức, các dịch vụ của hệ thống để tìm ra các gói tin không hợp
lệ, kỹ thuật này rất hiệu quả trong việc ngǎn chặn các hình thức quét mạng, quét
cổng để thu thập thông tin của các hacker. Phương pháp này rất hữu hiệu trong
việc phát hiện các cuộc tấn công kiểu từ chối dịch vụ, ưu điểm là có thể phát hiện
ra các kiểu tấn công mới, cung cấp các thông tin hữu ích bổ sung cho phương pháp
dò sự lạm dụng, tuy nhiên chúng có nhược điểm là thường tạo ra một số lượng các
cảnh báo sai làm giảm hiệu suất hoạt động của mạng.
7.1.2.3 Modul phản ứng
Khi có dấu hiệu của sự tấn công modul phát hiện tấn công sẽ gửi tín hiệu báo hiệu
có sự tấn công đến modul phản ứng, lúc đó modul phản ứng sẽ kíck hoạt các dấu hiệu
thực hiện chức năng ngăn chặn cuộc tấn công. Ở modul này, nếu chỉ đưa ra các cảnh
báo tới các người quản trị và dừng lại ở đó thì hệ thống này được gọi là hệ thống
phòng thủ bị động hay còn gọi là hệ thống phát hiện xâm nhập - IDS, modul phản
ứng này tùy theo hệ thống mà có các chức năng khác nhau, dưới đây là một số kỹ
thuật ngăn chặn:
Terminate Session: Cơ chế của kỹ thuật này là hệ thống IPS gửi gói tin Reset
thiết lập lại cuộc giao tiếp giữa Client và Server, kết quả cuộc giao tiếp sẽ được bắt
đầu lại các mục đích của hacker không đạt được và cuộc tấn công bị ngừng lại. Tuy
nhiên phương pháp này có một số nhược điểm như thời gian gửi gói tin reset đến đích
là quá lâu so với thời gian gói tin của hacker đến được Victim dẫn đến reset quá chậm
so với cuộc tấn công, phương pháp này không ứng với các giao thức hoạt động trên
UDP như DNS, ngoài ra gói Reset phải có trường Sequence number đúng với gói tin
trước đó từ Client thì Server mới chấp nhận, do vậy nếu hacker gửi các gói tin với tốc
độ nhanh và trường Sequence number thay đổi thì rất khó thực hiện được phương
pháp này.
Drop Attack: Kỹ thuật này dùng Firewall để hủy bỏ gói tin hoặc chặn đường một
gói tin, một phiên làm việc hoặc một luồng thông tin giữa Hacker và Victim, kiểu phản
ứng này là an toàn nhất nhưng lại có nhược điểm là dễ nhầm với các gói tin hợp lệ.
Modify Firewall Polices: Kỹ thuật này cho phép người quản trị cấu hình lại chính
sách bảo mật khi cuộc tấn công xảy ra, sự cấu hình lại là tạm thời thay đổi các chính
sách điều khiển truy cập bởi người dùng.
Real-time Alerting: Gửi các cảnh báo thời gian thực đến người quản trị để họ
nắm được chi tiết các cuộc tấn công, các đặc điểm và thông tin về chúng.
Log Packet: Các dữ liệu của gói tin sẽ được lưu trữ trong hệ thống các file log để
các người quản trị có thể theo dõi các luồng thông tin và là nguồn thông tin giúp cho
modul phát hiện tấn công hoạt động.
Ba modul trên hoạt động theo tuần tự tạo nên một hệ thống IPS hoàn chỉnh, với
các ưu điểm này hệ thống IPS dần trở thành không thể thiếu trong các hệ thống bảo
mật.
7.1.3 Phân loại IPS
7.1.3.1 Network base
Hình 7.2: Mô hình Network Base

Network Base Intrusion Prevention System viết tắt NIPS là hệ thống phát hiện tấn
công dựa trên nền mạng thường được triển khai ở các vành đai mạng dùng để giám
sát phân tích hoạt động hệ thống và phân tích các giao thức ứng dụng. NIPS có thể
bắt giữ các gói tin được truyền trên các thiết bị mạng (cả hữu tuyến và vô tuyến) và
so sánh chúng với các tín hiệu hiện có từ đó nhận diện các hoạt động khả nghi. Ngoài
ra, hệ thống Network Base được triển khai trong một đoạn mạng phục vụ cho mục
đích quản trị hệ thống, trong trường hợp không có mạng quản trị riêng thì một mạng
riêng ảo (VLAN) là cần thiết để bảo vệ các kết nối giữa các hệ thống NIPS, bên cạnh
việc lựa chọn vị trí mạng phù hợp cho các thành phần của hệ thống Network Base,
việc lựa chọn vị trí phù hợp cho các Sensor cũng là một vấn đề quan trọng ảnh hưởng
đến khả năng nhận diện của hệ thống Network Base.
Các thành phần của Network Base:

Hình 7.3: Thành phần của Network Base

- Packet Decode: Module thực hiện giải mã các gói tin mạng.
- Preprocessors: Thực hiện một số kiểm tra gói tin trước khi Detecion Engine thực
hiện phát hiện các cuộc xâm nhập.
- Detection Engine: Đây là module cốt lõi thực hiện chức năng phát hiện các cuộc
xâm nhập trái phép.
- Respone Engine: Module thực hiện chức năng phản ứng và ngăn chặn khi phát
hiện có xâm nhập.
- Output modules: Đưa các thông tin cảnh báo ra một chương trình khác hoặc tới
các server log.
- Graphic Interface: Xây dựng các công cụ để phân tích và thống kê các dữ liệu
bằng giao diện đồ họa.
7.1.3.2 NETWORK BEHAVIOR ANALYSIS SYSTEM
NBAS là hệ thống phát hiện tấn công dựa trên các luồng lưu lượng bất thường. Ví
dụ người dùng có thể truy cập hợp pháp vào các ứng dụng của hệ thống tại một thời
điểm nào đó nếu hệ thống phát hiện có sự truy cập một số lượng lớn thì chúng sẽ bị
nghi ngờ đó là một tấn công xâm nhập. Nếu một người dùng truy cập vào một tập tin
hay thư mục nào đó trong hệ thống và truy cập vào các loại thông tin khác khi đó hệ
thống ngăn chặn xâm nhập sẽ cảnh báo.
Sự khác biệt giữa Network Behavior và Network Base ở chổ là NBAS phân tích lưu
lượng mạng hoặc các thống kê trên lưu lượng mạng để nhận diện các luồng lưu lượng
bất thường. Hệ thống Network Behavior có thể được triển khai dưới hai dạng là thụ
động và thẳng hàng. Với kiểu thụ động hệ thống ngăn chặn xâm nhập được triển khai
tại các vị trí cần giám sát như ranh giới mạng, các đoạn mạng quan trọng. Với kiểu
thẳng hàng, tương tự như Network Base có thể triển khai cùng với Firewall thường là
phía trước để giảm thiểu số lượng các tấn công đến có thể làm quá tải Firewall.
Hình 7.4: Mô hình Network Behavior Analysis System
7.1.3.3 Host based IPS
Host Based Intrusion Prevention System viết tắt HIPS là một phần mềm được triển
khai trên máy chủ quan trọng trong hệ thống như Public Servers, Sensitive Data
Servers, hoặc một dịch vụ quan trọng nào đó nhằm nhận diện các hoạt động khả
nghi. Host Based này có thể được sử dụng dựa trên các quy tắc định trước hoặc hành
vi tự học để ngăn chặn những hành động nguy hiểm, ngăn chặn Hacker, chỉnh sửa
registry hay viết lại thư viện liên kết động hoặc thông qua các phương tiện khác để
kiểm soát truy cập vào hệ thống. Host Based có khả năng kiểm tra và ghi lại các log
files, file systems, ưu điểm là có thể theo dõi các tiến trình của hệ điều hành và bảo
vệ các tài nguyên quan trọng của hệ thống gồm cả các file chỉ tồn tại trên một host
cụ thể bằng cách là triển khai hệ thống logging trên một máy tính cụ thể.
Hình 7.5: Mô hình Host Based
7.1.3.4 Wireless IPS
Hình 7.6: Mô hình Wireless

Wireless Intrusion Prevention System viết tắt WIPS là hệ thống ngăn chặn tấn
công không dây. WIPS có thể phát hiện các tấn công khai thác các lỗ hổng và cung
cấp thêm lớp bảo mật để bảo vệ cho hệ thống Wireless. WIPS chống lại các mối đe
dọa không dây như giả mạo ARP, giám sát các tần số sóng, lỗi cấu hình của kiến trúc
WLAN... Hệ thống Wireless IPS giám sát toàn bộ WLAN chuyển tiếp lưu lượng đã được
tổng hợp và thu thập lưu lượng từ các bộ cảm biến sau đó phân tích lưu lượng đã thu
thập được nếu lưu lượng đã được phân tích có sự bất thường thì cảnh báo sẽ được
hiển thị.
7.1.4 Kỹ thuật nhận biết và ngăn chặn của IPS
7.1.4.1 Nhận biết qua dấu hiệu
Hệ thống sử dụng một tập những nguyên tắc để xác định những hoạt động xâm
nhập thông thường. Tuy nhiên, có ngày càng nhiều các cuộc tấn công và phương
pháp khác nhau, những nhà sản xuất thiết bị IPS phải cung cấp những bản cập nhật
như các phần mềm diệt virus.
Hình 7.7: Signature based
7.1.4.2 Nhận biết dựa vào sự bất thường - ANOMALY BASED
Hệ thống hoạt động dựa vào các các định nghĩa sự kiện được cho là những hoạt
động bình thường. Người quản trị có thể định nghĩa những hoạt động bình thường
bằng cách tạo ra những bản mô tả sơ lược nhóm người dùng thể hiện ranh giới giữa
những hoạt động cũng như những lưu lượng mạng trên một nhóm người dùng cho
trước. Nếu một người sử dụng vi phạm những gì đã định nghĩa trong mô tả thì hệ
thống ngăn chặn xâm nhập sẽ phát sinh cảnh báo.
Hình 7.8: Anomaly Based
7.1.4.3 Nhận biết qua chính sách - POLICY BASED
Hình 7.9: Policy based

Hệ thống hoạt động dựa vào một chính sách được xây dựng sẵn. Hệ thống sẽ phản
ứng nếu có những hành động vi phạm chính sách.
7.1.4.4 Nhận biết qua sự phân tích giao thức - PROTOCOL

ANALYSIS BASED
Hệ thống dựa vào sự phân tích giao thức tương tự như dựa vào dấu hiệu nhưng nó
sẽ đi sâu hơn về việc phân tích các giao thức trong gói tin. Ví dụ một hacker bắt đầu
chạy một chương trình tấn công tới một Server, trước tiên hacker phải gửi một gói tin
IP cùng với kiểu giao thức theo một RFC. Protocol Analysis Based dò kiểu tấn công
trên các giao thức:
- Kiểm tra giao thức để xác định gói tin đó có hợp pháp hay không.
- Kiểm tra nội dung trong Payload.
- Thực hiện cảnh báo những giao thức không bình thường.
7.2 TRIỂN KHAI HỆ THỐNG IPS

7.2.1 Quá trình triển khai hệ thống IPS
- Tải tập tin Signature IPS
- Tạo một thư mục cấu hình IPS trên Flash
- Cấu hình một khóa mã hóa IPS
- Kích hoạt IPS
- Nạp Package Signature IPS đến router
1. Tải tập tin Signature IPS
Tải các tập tin package signature IPS và khóa mã hóa công khai
Hình 7.14: Website tải tập tin Signature

2. Tạo một thư mục cấu hình IPS trên Flash
Sử dụng lệnh mkdir để tạo thư mục và lệnh dir flash: để xem các thư mục của
flash
Ví dụ: Tạo thư mục ips và kiểm tra các thư mục có trong flash
Router# mkdir ips

Create directory filename [ips]?
Created dir flash:ips
Router# dir flash:

Directory of flash:/
5 -rw- 51054864 Jan 10 2009 15:46:14 -08:00
c2800nm-advipservicesk9-mz.124-20.T1.bin
6 drw- 0 Jan 15 2009 11:36:36 -08:00 ips
64016384 bytes total (12693504 bytes free)
Sử dụng lệnh rename để đổi tên một thư mục
Ví dụ: Đổi tên thư mục ips thành thư mục ips_new
Router# rename ips ips_new

Destination filename [ips_new]?
3. Cấu hình khóa mã hóa IPS
Bước 1: Sao chép nội dung chứa trong tập tin public key.
Hình 7.15: Nội dung tập tin public key

Bước 2: Dán nội dung vừa sao chép vào chế độ config.
Router# conf t
Router(config)#
Bước 3: Xác nhận khóa mã hóa vừa tạo
Sử dụng lệnh show run để kiểm tra
Router# show run

<Output omitted>
crypto key pubkey-chain rsa
named-key realm-cisco.pub signature
key-string
30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101
00C19E93 A8AF124A D6CC7A24 5097A975 206BE3A2 06FBA13F 6F12CB5B 4E441F16
17E630D5 C02AC252 912BE27F 37FDD9C8 11FC7AF7 DCDD81D9 43CDABC3 6007D128
B199ABCB D34ED0F9 085FADC1 359C189E F30AF10A C0EFB624 7E0764BF 3E53053E
5B2146A9 D7A5EDE3 0298AF03 DED7A5B8 9479039D 20F30663 9AC64B93 C0112A35
FE3F0C87 89BCB7BB 994AE74C FA9E481D F65875D6 85EAF974 6D9CC8E3 F0B08B85
50437722 FFBE85B9 5E4189FF CC189CB9 69C46F9C A84DFBA5 7A0AF99E AD768C36
006CF498 079F88F8 A3B3FB1F 9FB7B3CB 5539E1D1 9693CCBB 551F78D2 892356AE
2F56D826 8918EF3C 80CA4F4D 87BFCA3B BFF668E9 689782A5 CF31CB6E B4B094D3
F3020301 0001
<Output omitted>
4. Kích hoạt IPS
Bước 1: Tạo rule IPS
Router(config)# ip ips name iosips

Router(config)# ip ips name ips list ?
<1-199> Numbered access list
WORD Named access list
Bước 2: Xác định vị trí IPS trong flash
Router(config)# ip ips config location flash:ips
Bước 3: Kích hoạt thông báo SDEE và Syslog
Router(config)# ip http server

Router(config)# ip ips notify sdee
Router(config)# ip ips notify log
Bước 4: Retired tất cả các loại IPS
Router(config)# ip ips signature-category

Router(config-ips-category)# category all
Router(config-ips-category-action)# retired true
Router(config-ips-category-action)# exit
Router(config-ips-category)# exit
Do you want to accept these changes? [confirm] y
Ví dụ: Retire signature 6130 với subsig ID 10.

Router(config)# ip ips signature-definition
Router(config-sigdef)# signature 6130 10
Router(config-sigdef-sig)# status
Router(config-sigdef-sig-status)# retired true
Router(config-sigdef-sig-status)# exit
Router(config-sigdef-sig)# exit
Router(config-sigdef)# exit
Bước 5: Unretired các loại IPS cơ bản
Router(config)# ip ips signature-category

Router(config-ips-category)# category ios_ips basic
Router(config-ips-category-action)# retired false
Router(config-ips-category-action)# exit
Router(config-ips-category)# exit
Bước 6: Áp dụng các rule IPS theo hướng in hoặc hướng out hoặc cả 2 hướng lên
cổng mong muốn
Ví dụ 1: Áp dụng rule IPS theo chiều in đến interface GigabitEthernet 0/1
Router(config)# interface GigabitEthernet 0/1

Router(config-if)# ip ips iosips in
Ví dụ 2: Áp dụng rule IPS theo chiều in và chiều out đến interface GigabitEthernet
0/1
Router(config)# interface GigabitEthernet 0/1

Router(config-if)# ip ips iosips in
Router(config-if)# ip ips iosips out
5. Nạp Package Signature IPS đến router
Bước 1: Sao chép các signature từ FTP server.
Router# copy ftp://cisco:cisco@10.1.1.1/IOS-S376-CLI.pkg idconf

Loading IOS-S310-CLI.pkg !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
[OK - 7608873/4096 bytes]
Bước 2: Bắt đầu biên dịch signature ngay lập tức sau khi pakage signature được
nạp từ router.
*Jan 15 16:44:47 PST: %IPS-6-ENGINE_BUILDS_STARTED: 16:44:47 PST Jan 15

2008
*Jan 15 16:44:47 PST: %IPS-6-ENGINE_BUILDING: multi-string - 8 signatures -
1 of 13 engines
*Jan 15 16:44:47 PST: %IPS-6-ENGINE_READY: multi-string - build time 4 ms -
packets for this engine will be scanned
*Jan 15 16:44:47 PST: %IPS-6-ENGINE_BUILDING: service-http - 622 signatures
- 2 of 13 engines
*Jan 15 16:44:53 PST: %IPS-6-ENGINE_READY: service-http - build time 6024
ms - packets for this engine will be scanned
<Output omitted>
*Jan 15 16:45:18 PST: %IPS-6-ENGINE_BUILDING: service-smb-advanced - 35
signatures - 12 of 13 engines
*Jan 15 16:45:18 PST: %IPS-6-ENGINE_READY: service-smb-advanced - build
time 16 ms - packets for this engine will be scanned
*Jan 15 16:45:18 PST: %IPS-6-ENGINE_BUILDING: service-msrpc - 25 signatures
- 13 of 13 engines
*Jan 15 16:45:18 PST: %IPS-6-ENGINE_READY: service-msrpc - build time 32 ms
- packets for this engine will be scanned
*Jan 15 16:45:18 PST: %IPS-6-ALL_ENGINE_BUILDS_COMPLETE: elapsed time 31628
ms
Bước 3: Xác minh các signature vừa nạp
Sử dụng lệnh show ip ips signature count để kiểm tra
Router# show ip ips signature count

Cisco SDF release version S310.0 ← signature package release version
Trend SDF release version V0.0
Signature Micro-Engine: multi-string: Total Signatures 8
multi-string enabled signatures: 8
multi-string retired signatures: 8
<Output omitted>
Signature Micro-Engine: service-msrpc: Total Signatures 25
service-msrpc enabled signatures: 25
service-msrpc retired signatures: 18
service-msrpc compiled signatures: 1
service-msrpc inactive signatures - invalid params: 6
Total Signatures: 2136
Total Enabled Signatures: 807
Total Retired Signatures: 1779
Total Compiled Signatures:
351 ← total compiled signatures for the IOS IPS Basic category
Total Signatures with invalid parameters: 6
Total Obsoleted Signatures: 11
Báo cáo cảnh báo xâm nhập IPS:
Để xác định phương pháp thông báo sự kiện, sử dụng lệnh ip ips notify [log | sdee]
ở chế độ config.
- Từ khóa log sẽ gửi thông báo dạng syslog.

- Từ khóa sdee sẽ gửi thông báo dạng SDEE.
Ví dụ: Thông báo log đến server 192.168.10.100
Router# config t
Router(config)#logging 192.168.10.100
Router(config)# ip ips notify log
Router(config)# logging on
Kích hoạt SDEE trên một router IPS:
Router# config t
Router(config)# ips notify sdee
Router(config)# ip sdee events 500
Ví du: Thay đổi hành động của signature để cảnh báo (alert), loại bỏ (drop), và
thiết lập lại (reset) cho signature 6130 với subsig ID 10.

Router(config)# ip ips signature-definition
Router(config-sigdef)# signature 6130 10
Router(config-sigdef-sig)# engine
Router(config-sigdef-sig-engine)# event-action produce-alert
Router(config-sigdef-sig-engine)# event-action deny-packet-inline
Router(config-sigdef-sig-engine)# event-action reset-tcp-connection
Router(config-sigdef-sig-engine)# exit
Router(config-sigdef-sig)# exit
Router(config-sigdef)# exit
7.2.2 Cấu hình IPS trên SDM
Hình 7.16: Giao diện chính IPS trên SDM

- Tab Create IPS: Chứa các IPS Rule wizard.
- Tab Edit IPS: Cho phép chỉnh sửa các rule và áp dụng hoặc loại bỏ chúng khỏi
các cổng.
- Tab Security Dashboard: Được sử dụng để xem bảng các mối đe dọa hàng đầu
và triển khai các signature.
- Tab IPS migration: Được sử dụng để di chuyển các cấu hình được tạo trong các
phiên bản trước đó của IOS.
Các bước cấu hình IPS trên SDM như sau:
Bước 1: Chọn Configure  Intrusion  Prevention  Create IPS
Bước 2: Nhấn nút Launch IPS Rule Wizard
Bước 3: Nhấn Next
Hình 7.17: Giao diện welcome to the IPS policies wizard

Bước 4: Chọn cổng router bằng cách đánh dấu vào Inbound hoặc Outbound (hoặc
cả hai)
Bước 5: Nhấn Next
Hình 7.17: Giao diện select interfaces

Bước 6: Nhấn vào tùy chọn (dấu ba chấm) và điền vào nội dung thích hợp trong
text box
Bước 7: Nhấn nút donwload để tải về tập tin signature mới nhất
Bước 8: Đi đến đường dẫn http://www.cisco.com/pcgi-bin/tablebuild.pl/ios-v5sigup

để lấy khóa công khai
Bước 9: Tải khóa và lưu lên một PC
Bước 10: Mở khóa trong một trình soạn thảo văn bản và sao chép nội dung sau
cụm từ "named-key" vào trong trường Name
Bước 11: Sao chép nội dung giữa cụm từ "key-string" và từ "quit" vào trường Key
Hình 7.18: Giao diện signature file and public key

Bước 12: Nhấn Next để tiếp tục quá trình cài đặt
Hình 7.19: Giao diện config location and category

Bước 13: Nhấn vào nút dấu ba chấm (...) và nhập vào vị trí cấu hình. Nhấn OK
Hình 7.20: Hộp thoại add config location

Bước 14: Chọn thể loại mà sẽ cho phép IPS hoạt động hiệu quả trên router
Bước 15: nhấn Next
Hình 7.21: Giao diện summary

Bước 16: nhấn Finish để hoàn tất quá trình cài đặt IPS từ SDM.
Tất cả các cổng trên router hiển thị cho thấy chúng được kích hoạt (enable) hoặc
vô hiệu hóa (disable):
Chọn Configure  Intrusion Prevention  Edit IPS

Hình 7.22: Giao diện các interface trên SDM

Xem các signature được cấu hình:
Chọn Configure  Intrusion Prevention  Edit IPS  Signatures  All Categories
Hình 7.23: Giao diện sửa đổi một signature

Để sửa đổi một signature, nhấn phải chuột vào signature sau đó chọn một tùy
chọn từ pop-up
Chỉnh sửa hoạt động signature:
Để điều chỉnh một signature, chọn Configure  Intrusion Prevention 

Edit IPS  Signatures  All Categories
Hình 7.24: Giao diện chỉnh sửa hành động signature

Để sửa một hành động của signature, nhấn chuột phải vào signature và chọn
Actions
Hình 7.25: Hộp thoại assign actions

Chỉnh sửa các thông số signature:
Chọn signature muốn chỉnh sửa và nhấn Edit
Hình 7.26: Danh sách các signature

Các signature khác nhau có các thông số khác nhau có thể được chỉnh sửa như:
- Signature ID
- Sub Signature ID
- Alert Severity
- Sig Description
- Engine
- Event Counter
- Alert Frequency
- Status
Hình 7.27: Hộp thoại edit signature

Để xem các thông điệp thông báo SDEE, chọn Monitor  Logging  SDEE Message
Log
Để xem các thông điệp Syslog, chọn Monitor  Logging  Syslog
Hình 7.28: Giao diện thông báo logging

7.2.3 Các lệnh kiểm tra cấu hình IPS
Lệnh show ip ips có thể được sử dụng với một vài tham số khác để cung cấp thông
tin IPS cụ thể.
- Lệnh show ip ips all hiển thị tất cả dữ liệu cấu hình IPS.
- Lệnh show ip ips configuration hiển thị bổ sung dữ liệu cấu hình mà không hiển
thị với lệnh show running-config.
- Lệnh show ip ips interface hiển thị cổng cấu hình dữ liệu. Đầu ra từ lệnh này thể
hiện các rule inbound hoặc outbound áp dụng đến các cổng cụ thể.
- Lệnh show ip ips signature xác nhận cấu hình signature. Lệnh này cũng có thể
được sử dụng với từ khóa chi tiết để cung cấp đầu ra rõ ràng hơn.
- Lệnh show ip ips statistics hiển thị số lượng gói tin được thống kê và số lượng gói
tin cảnh báo được gửi. Tùy chọn reset với từ khóa reset ở đầu ra để phản ánh
các thống kê mới nhất.
Lệnh clear ip ips configuration để loại bỏ tất cả các mục cấu hình IPS và giải phóng
tài nguyên tự động.
Lệnh clear ip ips statistics thống kê các thiết lập lại các gói tin phân tích và cảnh
báo được gửi.
TÓM TẮT
Bài học trình bày các khái niệm về hệ thống ngăn chặn xâm nhập, kiến trúc hoạt
động, phân loại IPS. Hệ thống ngăn chặn xâm nhập gồm có các thành phần chính
như: thành phần phân tích gói tin, thành phần phát hiện tấn công, và thành phần
phản ứng. Hệ thống ngăn chặn xâm nhập nhận biết tấn công và ngăn chăn thông qua
các kỹ thuật như nhận biết qua dấu hiệu, nhận biết qua sự bất thường về lưu lượng,
nhập biết qua chính sách thiết lập, nhân biết qua sự phân tích giao thức. Bài giảng
trình bày hệ thống IPS của Cisco hoạt động ở lớp mạng để minh họa tính năng hoạt
động của hệ thống phát hiện xâm nhập.

Câu 1: Một Trình bày các khái niệm, kiến trúc xử lý, và nguyên lý hoạt động của hệ
thống ngăn chặn xậm nhập?
Câu 2: Phân loại các IPS hiện nay?
Câu 3: Trình bày các bước triển khai một hệ thống IPS của cisco bằng dòng lệnh và
sử dụng SDM?
BÀI 8: MẬT MÃ VÀ CÁC GIAO THỨC BẢO MẬT 147
BÀI 8: MẬT MÃ VÀ CÁC GIAO

THỨC BẢO MẬT
Bài giảng cung cấp cho sinh viên :
- Kiến thức về vấn đề bảo mật thông tin: các thách thức, kiến trúc an toàn thông tin
OSI, và các thuật toán mật mã cho phép cài đặt các dịch vụ của mô hình OSI.
- Giao thức quản lý khóa và bảo mật dữ liệu trong mạng Domain: Kerberos.
- Giao thức bảo mật dữ liệu đầu cuối SSL
- Giao thức bảo mật gói dữ liệu IP: IPSEC
8.1 BẢO MẬT THÔNG TIN VÀ MẬT MÃ

8.1.1 Giới thiệu
Ngày nay với sự phát triển bùng nổ của công nghệ thông tin, hầu hết các thông tin
của doanh nghiệp như chiến lược kinh doanh, các thông tin về khách hàng, nhà cung
cấp, tài chính, mức lương nhân viên,…đều được lưu trữ trên hệ thống máy tính. Cùng
với sự phát triển của doanh nghiệp là những đòi hỏi ngày càng cao của môi trường kinh
doanh yêu cầu doanh nghiệp cần phải chia sẻ thông tin của mình cho nhiều đối tượng
khác nhau qua Internet hay Intranet. Việc mất mát, rò rỉ thông tin có thể ảnh hưởng
nghiêm trọng đến tài chính, danh tiếng của công ty và quan hệ với khách hàng.
Các phương thức tấn công thông qua mạng ngày càng tinh vi, phức tạp có thể dẫn
đến mất mát thông tin, thậm chí có thể làm sụp đổ hoàn toàn hệ thống thông tin của
doanh nghiệp. Vì vậy an toàn và bảo mật thông tin là nhiệm vụ rất nặng nề và khó
đoán trước được, nhưng tựu trung lại gồm ba hướng chính sau:
- Bảo đảm an toàn thông tin tại máy chủ

148 BÀI 9: MẠNG RIÊNG ẢO - VPN
- Bảo đảm an toàn cho phía máy trạm
- Bảo mật thông tin trên đường truyền
Nhu cầu thực tiến dẫn đến sự cần thiết có một phương pháp hệ thống xác định các
yêu cầu an ninh của tổ chức. Trong đó cần có tiếp cận tổng thể xét cả ba khía cạnh
của an toàn thông tin: bảo vệ tấn công, cơ chế an toàn và dịch vụ an toàn. Về mặt
logic, giải pháp bảo vệ thông tin được phân thành nhiều mức bảo vệ đối với tài
nguyên thông tin. Có 4 mức bảo vệ dữ liệu: mức vật lý, mức mạng, mức hệ điều
hành, và mức dữ liệu (hình 8-1). Trong các bài học trước, chúng ta đã làm quen với
các mức báo vệ: mức vật lý, mức mạng, mức hệ điều hành. Tuy nhiên, với sự tấn
công mạng phức tạp hiện nay (đặc biết là virus/Trojan) đã được trình bày trong phần
trước. Mức bảo vệ dữ liệu được giới thiệu trong bài học này.
Hình 8.1: Mô hình đảm bảo an toàn dữ liệu
8.1.2 Kiến trúc an toàn của hệ thống truyền thông mở OSI

Để giúp cho việc hoạch định chính sách và xây dựng hệ thống an ninh tốt. Bộ phận
chuẩn hóa tiêu chuẩn của tổ chức truyền thông quốc tế (International
Telecommunication Union) đã nghiên cứu và đề ra Kiến trúc an ninh X800 dành cho
hệ thống trao đổi thông tin mở OSI (Open System Interconnection). Trong đó định
nghĩa một cách hệ thống phương pháp xác định và cung cấp các yêu cầu an toàn.Nó
cung cấp cho chúng ta một cách nhìn tổng quát, hữu ích về các khái niệm mà chúng
ta nghiên cứu.
Trước hết nói về dich vụ an toàn, X800 định nghĩa đây là dịch vụ cung cấp cho
tầng giao thức của các hệ thống mở trao đổi thông tin, mà đảm bảo an toàn thông tin
cần thiết cho hệ thống và cho việc truyền dữ liệu.
Trong tài liệu các thuật ngữ chuẩn trên Internet RFC 2828 đã nêu định nghĩa cụ
thể hơn dich vụ an toàn là dịch vụ trao đổi và xử lý cung cấp cho hệ thống việc bảo
vệ đặc biệt cho các thông tin nguồn.Tài liệu X800 đưa ra định nghĩa dịch vụ theo 5
loại chính:
- Xác thực: tin tưởng là thực thể trao đổi đúng là cái đã tuyên bố. Người đang trao
đổi xưng tên với mình đúng là anh ta, không cho phép người khác mạo danh.
- Quyền truy cập: ngăn cấm việc sử dụng nguồn thông tin không đúng vai trò. Mỗi
đối tượng trong hệ thống được cung cấp các quyền hạn nhất định và chỉ được hành
động trong khuôn khổ các quyền hạn đó.
- Bảo mật dữ liệu: bảo vệ dữ liệu không bị khám phá bởi người không có quyền.
Chẳng hạn như dùng các ký hiệu khác để thay thế các ký hiệu trong bản tin, mà
chỉ người có bản quyền mới có thể khôi phục nguyên bản của nó.
- Toàn vẹn dữ liệu: tin tưởng là dữ liệu được gửi từ người có quyền. Nếu có thay đổi
như làm trì hoãn về mặt thời gian hay sửa đổi thông tin, thì xác thực sẽ cho cách
kiểm tra nhận biết là có các hiện tượng đó đã xảy ra.
- Không từ chối: chống lại việc chối bỏ của một trong các bên tham gia trao đổi.
Người gửi cũng không trối bỏ là mình đã gửi thông tin với nội dung như vậy và
người nhận không thể nói dối là tôi chưa nhận được thông tin đó. Điều này là rất
cần thiết trong việc trao đổi, thỏa thuận thông tin hàng ngày.
Cơ chế an toàn được định nghĩa trong X800 như sau:
- Cơ chế an toàn chuyên dụng được cài đặt trong một giao thức của một tầng vận
chuyển nào đó: mã hoá, chữ ký điện tử, quyền truy cập, toàn vẹn dữ liệu, trao đổi
có phép, đệm truyền, kiểm soát định hướng, công chứng.
- Cơ chế an toàn phổ dụng không chỉ rõ được dùng cho giao thức trên tầng nào hoặc
dịch vụ an ninh cụ thể nào: chức năng tin cậy cho một tiêu chuẩn nào đó, nhãn an
toàn chứng tỏ đối tượng có tính chất nhất định, phát hiện sự kiện, vết theo dõi an
toàn, khôi phục an toàn.
8.1.3 Mô hình an toàn mạng tổng quát

Sử dụng mô hình trên đòi hỏi chúng ta phải thiết kế:
- Thuật toán phù hợp cho việc truyền an toàn.
- Phát sinh các thông tin mật (khoá) được sử dụng bởi các thuật toán.
- Phát triển các phương pháp phân phối và chia sẻ các thông tin mật.
- Đặc tả giao thức cho các bên để sử dụng việc truyền và thông tin mật cho các dịch
vụ an toàn.
Hình 8.2: Mô hình truy cập mạng an toàn [1]
8.1.4 Lý thuyết mật mã hỗ trợ xây dựng ứng dụng bảo mật
thông tin
8.1.4.1 Hệ mã đối xứng
Một trong các dịch vụ quan trọng của phần mềm bảo mật là bảo mật dữ liệu. Hệ
mã đối xứng là cơ chế an ninh được sử dụng để triển khai dịch vụ này. Lý do là hệ mã
này an toàn với kích thước từ 128 bit trở lên và mã hóa dữ liệu tốc độ nhanh.
Các hệ mã đối xứng được sử dụng phổ biến hiện này là:
DES: (Data Encryption Standard) được công nhận chuẩn năm 1977. Phương thức
mã hóa được sử dụng rộng rãi nhất. Tên giải thuật là DEA (Data Encryption
Algorithm). Là một biến thể của hệ mã hóa Feistel, bổ xung thêm các hoán vị đầu và
cuối. Kích thước khối : 64 bit. Kích thước khóa : 56 bit. Số vòng : 16.
3DES: Sử dụng 3 khóa và chạy 3 lần giải thuật DES. Độ dài khóa thực tế là 168 bit
AES: (Advanced Encryption Standard) được công nhận chuẩn mới năm 2001. Tên
giải thuật là Rijndael (Rijmen + Daemen. An ninh hơn và nhanh hơn 3DES. Kích thước
khối : 128 bit. Kích thước khóa : 128/192/256 bit. Số vòng : 10/12/14. Cấu trúc
mạng S-P, nhưng không theo hệ Feistel. Không chia mỗi khối làm đôi
IDEA (International Data Encryption Algorithm): Khối 64 bit, khóa 128 bit, 8 vòng.
Theo cấu trúc mạng S-P, nhưng không theo hệ Feistel. Mỗi khối chia làm 4. Rất an
ninh. Bản quyền bởi Ascom nhưng dùng miễn phí.
Blowfish: Khối 64 bit, khóa 32-448 bit (ngầm định 128 bit), 16 vòng. Theo cấu
trúc hệ Feistel. An ninh, khá nhanh và gọn nhẹ. Tự do sử dụng.
RC5: Phát triển bởi Ron Rivest. Khối 32/64/128 bit, khóa 0-2040 bit, 0-255 vòng.
Đơn giản, thích hợp các bộ xử lý có độ rộng khác nhau. Theo cấu trúc hệ Feistel.
CAST-128: Phát triển bởi Carlisle Adams và Stafford Tavares. Khối 64 bit, khóa 40-
128 bit, 12/16 vòng. Có 3 loại hàm vòng dùng xen kẽ. Theo cấu trúc hệ Feistel. Bản
quyền bởi Entrust nhưng dùng miễn phí
8.1.4.2 Hệ mã bất đối xứng
Hệ mã bất đối xứng hay còn gọi là mật mã hai khóa. Các giải thuật khóa công khai
sử dụng 2 khóa. Một khóa công khai: Ai cũng có thể biết; Dùng để mã hóa thông báo
và thẩm tra chữ ký. Một khóa riêng: Chỉ nơi giữ được biết; Dùng để giải mã thông báo
và ký (tạo ra) chữ ký.
Hệ mã có tính bất đối xứng. Bên mã hóa không thể giải mã thông báo. Bên thẩm
tra không thể tạo chữ ký.
Hệ mã RSA: Đề xuất bởi Ron Rivest, Adi Shamir và Len Adleman (MIT) vào năm
1977. Hệ mã hóa khóa công khai phổ dụng nhất. Mã hóa khối với mỗi khối là một số
nguyên < n. Thường kích cỡ n là 1024 bit ≈ 309 chữ số thập phân. Đăng ký bản
quyền năm 1983, hết hạn năm 2000. An ninh vì chi phí phân tích thừa số của một số
nguyên lớn là rất lớn.
Trong hệ mã này, mỗi bên tự tạo ra một cặp khóa công khai - khóa riêng theo các
bước sau :
- Chọn ngẫu nhiên 2 số nguyên tố đủ lớn p, q
- Tính n = pq
- Tính phi(n) = (p-1)(q-1)
- Tìm khóa giải mã d ≤ n thỏa mãn e.d ≡ 1 mod phi(n)
- Công bố khóa mã hóa công khai KU = {e, n}
- Giữ bí mật khóa giải mã riêng KR = {d, n}
- Các giá trị bí mật p và q bị hủy bỏ
Để mã hóa 1 thông báo nguyên bản M, bên gửi lấy khóa công khai của bên nhận
KU = {e, n} và tính C = Me mod n.
Để giải mã bản mã C nhận được, bên nhận sử dụng khóa riêng KR = {d, n} và tính
M = Cd mod n. Lưu ý là thông báo M phải nhỏ hơn n. Phân thành nhiều khối nếu cần.
Hệ mã trao đổi khóa Diffie Hellman: Giải thuật mật mã khóa công khai đầu tiên Đề
xuất bởi Whitfield Diffie và Martin Hellman vào năm 1976. Malcolm Williamson (GCHQ
- Anh) phát hiện trước mấy năm nhưng đến năm 1997 mới công bố. Hệ mã này chỉ
dùng để trao đổi khóa bí mật một cách an ninh trên các kêch thông tin không an
ninh. Khóa bí mật được tính toán bởi cả hai bên. An ninh phụ thuộc vào độ phức tạp
của việc tính log rời rạc.
Thiết lập Diffie-Hellman, các bên thống nhất với nhau các tham số chung:
- q là một số nguyên tố đủ lớn
- α là một nguyên căn của q. α mod q, α2 mod q,..., αq-1 mod q là các số nguyên giao
hoán của các số từ 1 đến q – 1.
Bên A: Chọn ngẫu nhiên làm khóa riêng XA < q. Tính khóa công khai YA = αXA mod q.
Bên B: Chọn ngẫu nhiên làm khóa riêng XB < q. Tính khóa công khai YB = αXB mod
q.
Tính toán khóa bí mật như sau:
- Bên A biết khóa riêng XA và khóa công khai YB. K = YBXA mod q
- Bên B biết khóa riêng XB và khóa công khai YA. K = YAXB mod q
8.1.4.3 Mã xác thực
Khối kích thước nhỏ cố định gắn vào thông báo tạo ra từ thông báo đó và khóa bí
mật chung. Bên nhận thực hiện cùng giải thuật trên thông báo và khóa để so xem
MAC có chính xác không. Giải thuật tạo MAC giống như giải thuật mã hóa nhưng
không cần nghịch được. Có thể nhiều thông báo cùng có chung MAC. Nhưng nếu biết
một thông báo và MAC của nó, rất khó tìm ra một thông báo khác có cùng MAC.
Hình 8.3: Các sơ đồ xử lý dữ liệu áp dụng mã xác thực MAC. [1]
8.1.4.4 Hàm Băm
Tạo ra một giá trị băm có kích thước cố định từ thông báo đầu vào (không dùng
khóa): h = H(M). Hàm băm không cần giữ bí mật. Giá trị băm gắn kèm với thông báo
dùng để kiểm tra tính toàn vẹn của thông báo. Bất kỳ sự thay đổi M nào dù nhỏ cũng
tạo ra một giá trị h khác.
Yêu cầu đối với hàm băm: Có thể áp dụng với thông báo M có độ dài bất kỳ. Tạo ra
giá trị băm h có độ dài cố định. H(M) dễ dàng tính được với bất kỳ M nào. Từ h rất
khó tìm được M sao cho H(M) = h. Tính một chiều: Từ M1 rất khó tìm được M2 sao
cho H(M2) = H(M1).
Hình 8.4: Các sơ đồ triển khai áp dụng hàm băm
8.2 CÁC GIAO THỨC BẢO MẬT MẠNG

8.2.1 Tổng quan Kerberos
Kerberos là một giao thức xác thực mạng, nó cho phép các cá nhân giao tiếp với
nhau trên một mạng không an toàn bằng cách xác thực người dùng này với người
dùng khác theo một cơ chế bảo mật và an toàn. Kerberos ngăn chặn việc nghe trộm
thông tin cũng như tấn công thay thế và đảm bảo tính toàn vẹn của dữ liệu. Kerberos
hoạt động theo mô hình máy trạm/máy chủ và nó thực hiện quá trình xác thực 2
chiều - cả người dùng và dịch vụ xác thực lẫn nhau. Kerberos được xây dựng dựa trên
mô hình mã hóa khóa đối xứng và đòi hỏi một thành phần thứ ba tin cậy tham gia
vào quá trình xác thực.
Giao thức Kerberos là sơ đồ xác thực dùng bên thứ ba cơ bản và có máy chủ xác
thực (AS – Authentication Server). Người dùng thỏa thuận với AS về danh tính của
mình, AS cung cấp sự tin cậy xác thực thông qua thẻ cấp thẻ TGT (Ticket Granting
Ticket) và máy chủ cung cấp thẻ (TGS – Ticket Granting Server). Người sử dụng
thường xuyên yêu cầu TGS cho truy cập đến các dịch vụ khác dựa trên thẻ cấp thẻ
TGT của người sử dụng.
8.2.1.1 Trao đổi Kerberos
Người sử dụng nhận thẻ được cấp từ máy chủ xác thực AS, mỗi thẻ cho một phiên
làm việc và cũng nhận thẻ cấp dùng dịch vụ (service granting ticket) từ TGT. Mỗi thẻ
dùng cho một dịch vụ khác nhau được yêu cầu, thông qua việc trao đổi giữa máy
chủ/trạm để nhận được dịch vụ.
8.2.1.2 Mô tả giao thức
Kerberos sử dụng một đối tác tin cậy thứ ba để thực hiện quá trình chứng thực
được gọi là Trung tâm phân phối khóa bao gồm 2 phần riêng biệt: một máy chủ
chứng thực (AS) và một máy chủ cấp thẻ (TGS). Kerberos làm việc dựa trên các thẻ
để thực hiện quá trình chứng thực người dùng.
Kerberos duy trì một cơ sở dữ liệu chứa các khoá bí mật. Mỗi thực thể trên mạng
(máy trạm hoặc máy chủ) đều chia sẽ một khoá bí mật chỉ giữa bản thân nó với
Kerberos. Để thực hiện quá trình giao tiếp giữa 2 thực thể, Kerberos tạo ra một khoá
phiên. Khóa này dùng để bảo mật quá trình tương tác giữa các thực thể với nhau.
8.2.1.3 Hoạt động của Kerberos:
Quá trình hoạt động của giao thức (AS = Máy chủ xác thực, TGS = Máy chủ cấp
thẻ, C = Máy trạm, S = Dịch vụ):
1. Người dùng nhập vào tên truy cập và mật khẩu ở phía máy trạm.
2. Máy trạm thực hiện thuật toán băm một chiều trên mật khẩu được nhập vào và nó
trở thành khoá bí mật của máy trạm.
3. Máy trạm gởi một thông điệp dưới dạng bản rõ đến AS để yêu cầu dịch vụ. Không
có khoá bí mật cũng như mật khẩu nào được gởi đến AS.
4. AS kiểm tra xem có tồn tại người dùng C trong cở sở dữ liệu của nó hay không.
Nếu có, nó gởi ngược lại cho máy trạm 2 thông điệp:
- Thông điệp A: chứa khoá phiên Máy trạm/TGS được mã hóa bởi khoá bí mật của
người dùng.
- Thông điệp B: chứa Thẻ (bao gồm ID của máy trạm, địa chỉ mạng của máy trạm,
kỳ hạn thẻ có giá trị và một khoá phiên máy trạm/TGS) được mã hóa sử dụng
khoá bí mật của TGS.
5. Khi máy trạm nhận được thông điệp A và B, nó giải mã thông điệp A để lấy khoá
phiên máy trạm/TGS. Khoá phiên này được sử dụng cho quá trình giao đổi tiếp
theo với TGS. Ở đây máy trạm không thể giải mã thông điệp B bởi vì nó được mã
hóa bởi khoá bí mật của TGS.
6. Khi yêu cầu dịch vụ (S), máy trạm gởi 2 thông điệp sau đến TGS:
- Thông điệp C: Gồm thông điệp B và ID của dịch vụ được yêu cầu
- Thông điệp D: chứa Authenticator (gồm ID máy trạm và nhãn thời gian -
timestamp) được mã hóa bởi khoá phiên Máy trạm/TGS.
7. Khi nhận được thông điệp C và D, TGS giải mã thông điệp D sử dụng khoá phiên
máy trạm/TGS và gởi 2 thông điệp ngược lại cho máy trạm:
- Thông điệp E: chứa thẻ (máy trạm đến máy chủ) (bao gồm ID máy trạm, địa chỉ
mạng của máy trạm, kỳ hạn thẻ có giá trị và một khoá phiên máy trạm/dịch vụ)
được mã hóa bởi khoá bí mật của dịch vụ.
- Thông điệp F: chứa khoá phiên của máy trạm/máy chủ được mã hóa bởi khoá
phiên máy trạm/TGS.
8. Khi nhận được thông điệp E và F, máy trạm sau đó gởi một Authenticator mới và
một thẻ (máy trạm đến máy chủ) đến máy chủ chứa dịch vụ được yêu cầu.
- Thông điệp G: chứa thẻ (máy trạm đến máy chủ) được mã hóa sử dụng khoá bí
mật của máy chủ.
- Thông điệp H: một Authenticator mới chứa ID máy trạm, Timestamp và được mã
hóa sử dụng khoá phiên máy trạm/máy chủ.
9. Sau đó, máy chủ giải mã thẻ sử dụng khoá bí mật của chính nó, và gởi một thông
điệp cho máy trạm để xác nhận tính hợp lệ thực sự của máy trạm và sự sẵn sàng
cung cấp dịch vụ cho máy trạm.
- Thông điệp I: chứa giá trị Timestamp trong Authenticator được gởi bởi máy trạm
sẽ được cộng thêm 1, được mã hóa bởi khoá phiên máy trạm/máy chủ.
10. Máy trạm sẽ giải mã sự xác nhận này sử dụng khóa chia sẽ giữa nó với máy chủ,
và kiểm tra xem giá trị timestamp có được cập nhật đúng hay không. Nếu đúng,
máy trạm có thể tin tưởng máy chủ và bắt đầu đưa ra các yêu cầu dịch vụ gởi đến
máy chủ.
11. Máy chủ cung cấp dịch vụ được yêu cầu đến máy trạm.
8.2.1.4 Hạn chế của Kerberos
Kerberos thích hợp cho việc cung cấp các dịch vụ xác thực, phân quyền và bảo
đảm tính mật của thông tin trao đổi trong phạm vi một mạng hay một tập hợp nhỏ
các mạng. Tuy nhiên, nó không thật thích hợp cho một số chức năng khác, chẳng hạn
như ký điện tử (yêu cầu đáp ứng cả hai nhu cầu xác thực và bảo đảm không chối cãi
được). Một trong những giả thiết quan trọng của giao thức Kerberos là các máy chủ
trên mạng cần phải tin cậy được. Ngoài ra, nếu người dùng chọn những mật khẩu dễ
đoán thì hệ thống dễ bị mất an toàn trước kiểu tấn công từ điển, tức là Hacker sẽ sử
dụng phương thức đơn giản là thử nhiều mật khẩu khác nhau cho đến khi tìm được
giá trị đúng.
Do hệ thống hoàn toàn dựa trên mật khẩu để xác thực người dùng, nếu bản thân
các mật khẩu bị đánh cắp thì khả năng tấn công hệ thống là không có giới hạn. Điều
này dẫn đến một yêu cầu rất căn bản là Trung tâm phân phối khóa cần được bảo vệ
nghiêm ngặt. Nếu không thì toàn bộ hệ thống sẽ trở nên mất an toàn.
8.2.2 SSL
SSL (Security Socket Layer) là dịch vụ an toàn tầng vận chuyển, ban đầu được
phát triển bởi Netscape. Sau đó phiên bản 3 của nó được thiết kế cho đầu vào công
cộng và trở thành chuẩn Internet, được biết đến như an toàn tầng vận chuyển TLS
(Transport Layer Security).
SSL hỗ trợ các tính năng như chống nghe lén, thay đổi dữ liệu, và giả mạo các bên
tham gia. Giải pháp là mã hóa, kiểm tra toàn vẹn dữ liệu, xác thực các bên tham gia.
Lịch sử phát triển của SSL: Được hình thành và phát triển đầu tiên vào năm 1994
bởi nhóm nghiên cứu Netscape dẫn dắt bởi Elgammal. Cho đến nay SSL đã trải qua
các phiên bản: Phiên bản 1.0; Phiên bản 2.0, Phiên bản 3.0 (RFC 6101). Dựa trên
SSL 3.0 IETF đã phát triển TLS 1.0.
Các dịch vụ sử dụng SSL được trình bày trong bảng 8-1.
Bảng 8.1: Các dịch vụ sử dụng SSL
Dịch vụ Cổng Mô tả
Nsiiop 261 Dịch vụ tên iiOP trên SSL
HTTPS 443 HTTP trên SSL
SMTPS 465 SMTP trên SSL
NNTPS 563 NNTP trên SSL
LDAPS 636 LDAP trên SSL
FTPS data 989 FTP(dữ liệu)trên SSL
FTPs 990 FTP (điều khiển) trên SSL
Telnets 992 Telnet trên SSL
Imaps 994 Imap trên SSL
POPS 995 POP trên SSL
8.2.2.1 Kiến trúc SSL
Kiến trúc xử lý của SSL gồm có bốn công đoạn:
- SSL Record Protocol: Xử lý dữ liệu
- SSL Change Cipher Spec: một message đơn 1 byte, cập nhật lại bộ mã hóa để sử
dụng trên kết nối này.
- SSL Alert được dùng để truyền cảnh báo liên kết SSL với đầu cuối bên kia
- SSL Handshake Protocol: Giao thức này cho phép server và client chứng thực với
nhau và thương lượng cơ chế mã hóa , thuật toán MAC và khóa mật mã được sử
dụng để bảo vệ dữ liệu được gửi trong SSL record
8.2.2.2 giao thức SSLRecord
Hình 8.5: Các bước xử lý dữ liệu của giao thức SSLRecord

Giao thức này qui định cách thức xử lý dữ liệu giữa bên gửi và bên nhận:
Trong đó, mã xác thực được tạo ra như sau: MAC: hash(MAC_write_secret ||
pad_2 || hash(MAC_write_secret || pad_1 ||seq_num || SSLCompressed.type ||
SSLCompressed.length || SSLCompressed.fragment)).
8.2.2.3 Giao thức Change Cipher Spec
Giao thức SSL Change Cipher Spec là giao thức đơn giản nhất trong ba giao thức
đặc trưng của SSL mà sử dụng giao thức SSL Record . Giao thức này bao gồm một
message đơn 1 byte giá trị là 1. Mục đích chính của message này là sinh ra trạng thái
tiếp theo để gán vào trạng thái hiện tại,và trạng thái hiện tại cập nhật lại bộ mã hóa
để sử dụng trên kết nối này.
8.2.2.4 Giao thức SSL Alert
Giao thức SSL Alert được dùng để truyền cảnh báo liên kết SSL với đầu cuối bên
kia.Như với những ứng dụng khác sử dụng SSL, alert messages được nén và mã hóa,
được chỉ định bởi trạng thái hiện tại.
Mỗi message trong giao thức này gồm 2 bytes .Byte đầu tiên giữ giá trị cảnh
báo(1) hoặc nguy hiểm(2) để thông báo độ nghiêm ngặt của message.Nếu mức độ là
nguy hiểm, SSL lập tức chấp dứt kết nối.Những kết nối cùng phiên khác vẫn có thể
tiếp tục nhưng sẽ không kết nối nào khác trên phiên này được khởi tạo thêm.Byte thứ
hai chứa một mã chỉ ra cảnh báo đặc trưng.Đầu tiên , chúng ta liệt kê những cảnh
báo đó mà luôn ở mức nguy hiểm ( được định nghĩa từ những thông số SSL):
- unexpected_message: message không thích hợp.
- bad_record_mac: MAC không chính xác.
- decompression_failure: việc giải nén nhận input không thích hợp(ví dụ như không
thể giải nén hoặc giải nén lớn hơn độ dài tối đa cho phép).
- handshake_failure: bên gửi không thể thương lượng một bộ chấp nhận được của
các thông số bảo mật được đưa ra từ những lựa chọn có sẵn.
- illegal_parameter: một trường trong một handshake message thì vượt khỏi dãy
hoặc trái với những trường khác
- Phần còn lại của cảnh báo thì như sau:
- close_notify: thông báo cho bên nhận rằng bên gửi sẽ không gửi thêm message
nào nữa trong kết nối này. Mỗi nhóm thì được yêu cầu gửi một close_notify cảnh
báo trước khi kết thúc phần ghi của một kết nối.
- no_certificate: có thể được gửi để trả lời cho một yêu cầu certificate nếu không
certificate thích hợp nào có sẵn.
- bad_certificate: certificate nhận được thì không hợp lệ(ví dụ như chứa một chữ ký
không xác minh).
- unsupported_certificate: dạng certificate nhận được thì không hỗ trợ.

certificate_revoked: certificate đã bị thu hồi bởi nhà cung cấp. certificate_expired:
certificate đã hết hạn đăng ký.
- certificate_unknown: một số phát sinh không nói rõ xuất hiện trong quá trình xử
ký certificate làm cho nó không thể chấp nhận.
8.2.2.5 Giao thức SSL Handshake
Giao thức này cho phép server và client chứng thực với nhau và thương lượng cơ
chế mã hóa , thuật toán MAC và khóa mật mã được sử dụng để bảo vệ dữ liệu được
gửi trong SSL record. Giao thức SSL Handshake thường được sử dụng trước khi dữ
liệu của ứng dụng được truyền đi.
Giao thức SSL Handshake bao gồm một loạt những message trao đổi giữa client và
server. Mỗi message có ba trường:
- Type (1 byte): chỉ ra một trong mười dạng message .
- Length (3 bytes): độ dài của message theo bytes.
- Content (>=0 bytes): tham số đi kèm với message này, được liệt kê trong bảng 8-
2.
Bảng 8.2: Các kiểu message giao thức SSL handshake
Kiểu message Thông số

Hello_request Null
Client_hello version, random, session id, cipher suite, compression
Method
Server_hello version, random, session id, cipher suite, compression
Method
Certificate chain of X.509v3 certificates
Server_key_exchange parameters, signature
Certificate_request type, authorities
Server_done Null
Certificate_verify Signature
Client_key_exchange parameters, signature
Finished hash value
8.2.2.6 Hoạt động của SSL
Hình 8.6: Các giai đoạn bắt tay trao đổi thông tin xác thực và công cụ bảo
mật sẽ sử dụng chung.
Giao thức SSL hoạt động dựa trên hai nhóm con giao thức là giao thức “bắt tay” và
giao thức “bản ghi”. Giao thức bắt tay xác định các tham số giao dịch giữa hai đối
tượng có nhu cầu trao đổi thông tin hoặc dữ liệu, còn giao thức bản ghi xác định
khuôn dạng cho tiến hành mã hoá và truyền tin hai chiều giữa hai đối tượng đó.Giao
thức SSL “bắt tay” sẽ sử dụng SSL “bản ghi” để trao đổi một số thông tin giữa máy
chủ và máy trạm vào lần đầu tiên thiết lập kết nối SSL.
Một giao dịch SSL thường bắt đầu bởi quá trình “bắt tay” giữa hai bên. Các bước
trong quá trình “bắt tay” có thể như sau:
1. Máy trạm sẽ gửi cho máy chủ số phiên bản SSL đang dùng, các tham số của thuật
toán mã hoá, dữ liệu được tạo ra ngẫu nhiên (chữ ký số) và một số thông tin khác
mà máy chủ cần để thiết lập kết nối với máy trạm
2. Máy chủ gửi cho máy trạm số phiên bản SSL đang dùng, các tham số của thuật
toán mã hoá, dữ liệu được tạo ra ngẫu nhiên và một số thông tin khác mà máy
trạm cần để thiết lập kết nối với máy chủ. Ngoài ra máy chủ cũng gửi chứng chỉ
của nó đến máy trạm và yêu cầu chứng chỉ của máy trạm nếu cần.
3. Máy trạm sử dụng một số thông tin mà máy chủ gửi đến để xác thực máy chủ.
Nếu như máy chủ không được xác thực thì người sử dụng sẽ được cảnh báo và kết
nối không được thiết lập. Còn nếu như xác thực được máy chủ thì phía máy trạm
sẽ thực hiện tiếp bước 4.
4. Sử dụng tất cả các thông tin được tạo ra trong giai đoạn bắt tay ở trên, máy trạm
(cùng với sự cộng tác của máy chủ và phụ thuộc vào thuật toán được sử dụng) sẽ
tạo ra premaster secret cho phiên làm việc, mã hoá bằng khoá công khai mà máy
chủ gửi đến trong chứng chỉ ở bước 2, và gửi đến máy chủ.
5. Nếu máy chủ có yêu cầu xác thực máy trạm, thì phía máy trạm sẽ đánh dấu vào
phần thông tin riêng chỉ liên quan đến quá trình “bắt tay” này mà hai bên đều biết.
Trong trường hợp này, máy trạm sẽ gửi cả thông tin được đánh dấu và chứng chỉ
của mình cùng với premaster secret đã được mã hoá tới máy chủ.
6. Máy chủ sẽ xác thực máy trạm. Trường hợp máy trạm không được xác thực, phiên
làm việc sẽ bị ngắt. Còn nếu máy trạm được xác thực thành công, máy chủ sẽ sử
dụng khoá bí mật để giải mã premaster secret, sau đó thực hiện một số bước để
tạo ra master secret.
7. Máy trạm và máy chủ sẽ sử dụng master secret để tạo ra các khoá phiên , đó
chính là các khoá đối xứng được sử dụng để mã hoá và giải mã các thông tin trong
phiên làm việc và kiểm tra tính toàn vẹn dữ liệu.
8. Máy trạm sẽ gửi một lời nhắn đến máy chủ thông báo rằng các thông điệp tiếp
theo sẽ được mã hoá bằng khoá phiên. Sau đó nó gửi một lời nhắn đã được mã
hoá để thông báo rằng phía máy trạm đã kết thúc giai đoạn “bắt tay”.
9. Máy chủ cũng gửi một lời nhắn đến máy trạm thông báo rằng các thông điệp tiếp
theo sẽ được mã hoá bằng khoá phiên. Sau đó nó gửi một lời nhắn đã được mã
hoá để thông báo rằng máy chủ đã kết thúc giai đoạn “bắt tay”.
10. Lúc này giai đoạn “bắt tay” đã hoàn thành, và phiên làm việc SSL bắt đầu. Cả
hai phía máy trạm và máy chủ sẽ sử dụng các khoá phiên để mã hoá và giải mã
thông tin trao đổi giữa hai bên, và kiểm tra tính toàn vẹn dữ liệu.
Hình 8.7: Chi tiết quá trình bắt tay của giao thức SSLHandShake đảm bảo trao
đổi thông tin bí mật.
8.2.3 IPSEC
IPSec là cơ chế an toàn IP tổng quan. Nó cung cấp: xác thực, bảo mật và quản trị
khoá. IPSec được dùng trên mạng LAN, mạng WAN riêng và chung và trên cả mạng
Internet.
IPSec trên bức tường lửa/router cung cấp an toàn mạnh cho mọi việc truyền qua
vành đai. Nó chống lại việc đi vòng qua bức tường lửa/router. IPSec nằm ở tầng vận
chuyển bên dưới nên trong suốt với mọi ứng dụng và có thể trong suốt với người sử
dụng đầu cuối. Nó có thể cung cấp an toàn cho người sử dụng riêng biệt và bảo vệ
kiến trúc rẽ nhánh.
8.2.3.1 Kiến trúc xử lý của IPSEC
Giao thức IPSEC hoạt động gồm có 2 giai đoạn xử lý cơ bản: Giai đoạn bắt tay
thỏa thuận các thông số bảo mật chung (như các thuật toán mã hóa, trao đổi chìa
khóa, cơ chế xử lý dữ liệu), gọi là giao thức IKE (Internet Key Exchange) và giai đoạn
xử lý dữ liệu với một trong 2 giao thức là AH (Authentication Header) hoặc ESP
(Encapsulation Security Payload).
IPSEC áp dụng các công cụ mã hóa như sau:
- Mã hoá đối xứng: DES (Data Encryption Standard) hoặc 3 DES (Triple DES)
- Xác thực toàn vẹn dữ liệu: các hàm băm HMAC (Hash – ased Message
Authentication Code) hoặc MD5 (Message Digest 5) hoặc SHA-1 (Secure Hash
Algorithm -1)
- Chứng thực đối tác (peer Authentication): Rivest, Shamir, and Adelman (RSA)
Digital Signatures, RSA Encrypted Nonces.
- Quản lý khoá: DH (Diffie- Hellman), CA (Certificate Authority)
Các bước hoạt động như sau:
Bước 1: Lưu lương cần được bảo vệ khởi tạo quá trình IPSec. Ở đây, các thiết bị IPSec
sẽ nhận ra đâu là lưu lượng cần được bảo vệ chẳng hạn thông qua trường địa chỉ.
Bước 2: IKE Phase 1 – IKE xác thực các đối tác IPSec và một tập các dịch vụ bảo
mật được thoả thuận và công nhận (thoả thuận các kết hợp an ninh IKE SAs (Security
associations)). Trong phase này, thiết lập một kênh truyền thông an toàn để tiến
hành thoả thuận IPSec SA trong Phase 2.
Bước 3: IKE Phase 2 – IKE thoả thuận các tham số IPSec SA và thiết lập các IPSec
SA tương đương ở hai phía. Những thông số an ninh này được sử dụng để bảo vệ dữ
liệu và các bản tin trao đổi giữa các điểm đầu cuối. Kết quả cuối cùng của hai bước
IKE là một kênh thông tin bảo mật được tạo ra giữa hai phía.
Bước 4: Truyền dữ liệu – Dữ liệu được truyền giữa các đối tác IPSec dựa trên cơ sở
các thông số bảo mật và các khoá được lưu trữ trong cơ sở dữ liệu SA.
Bước 5: Kết thúc đường hầm IPSec – kết thúc các SA IPSec do bị xoá hoặc do hết
hạn (time out)
8.2.3.2 Giao thức IKE
IKE giúp các bên giao tiếp thống nhất các tham số bảo mật và khóa xác nhận
trước khi một phiên bảo mật IPSec được triển khai. Ngoài việc hòa hợp và thiết lập
các tham số bảo mật và khóa mã hóa, IKE cũng sửa đổi những tham số khi cần thiết
trong suốt phiên làm việc. IKE cũng đảm nhiệm việc xoá bỏ những SA và các khóa
sau khi một phiên giao dịch hoàn thành.
Các giai đoạn của (IKE Phases):
Hình 8.8: Giai đoạn 1 của IKE

Giai đoạn 1 của IKE: Mục đích cơ bản của IKE Phase 1 là để thoả thuận các tập
chính sách IKE (IKE policy), xác thực các đối tác ngang hàng, và thiết lập kênh an
toàn giữa các đối tác. IKE Phase 1 có hai chế độ: Chế độ chính (main mode) và chế
độ nhanh (Aggressive mode). Chế độ chính có 3 trao đổi hai chiều giữa bên khởi tạo
và bên nhận:
- Trao đổi thứ nhất – Các thuật toán mật mã và xác thực (sử dụng để bảo vệ các
trao đổi thông tin IKE) sẽ được thoả thuận giữa các đối tác.
- Trao đổi thứ hai – Sử dụng trao đổi DH để tạo các khoá bí mật chung (shared
secret keys), trao đổi các số ngẫu nhiên (nonces) để khẳng định nhận dạng của
mỗi đối tác. Khoá bí mật chung được sử dụng để tạo ra tất cả các khoá mật mã và
xác thực khác.
- Trao đổi thứ ba – xác minh nhận dạng của nhau (xác thực đối tác). Kết quả chính
của chế độ chính là một đường truyền thông an toàn cho các trao đổi tiếp theo của
hai đối tác.
Chế độ nhanh thực hiện ít trao đổi hơn (tất nhiên là ít gói dữ liệu hơn). Hầu hết
mọi thứ đều được thực hiện trong trao đổi thứ nhất: Thoả thuận tập chính sách IKE;
tạo khoá công cộng DH; và một gói nhận dạng (identify packet), có thể sử dụng để
xác định nhận dạng thông qua một bên thứ ba (third party). Bên nhận gửi trở lại mọi
thứ cần thiết để hoàn thành (complete) việc trao đổi. cuối cùng bên khởi tạo khẳng
định (confirm) việc trao đổi.
Hình 8.9: Thỏa thuận các tham số bảo mật

Giai đoạn 2 của IKE: Mục đích của IKE Phase 2 là để thoả thuận các thông số bảo
mật IPSec được sử dụng để bảo mật đường hầm IPSec. IKE Phase 2 thức hiện các
chức năng sau:
- Thoả thuận các thông số bảo mật IPSec (IPSec security parameters), các tập
chuyển đổi IPSec (IPSec transform sets).
- Thiết lập các kết hợp an ninh IPSec (IPSec Security Associations).
- Định kỳ thoả thuận lại IPSec SAs để đảm bảo tính an toàn của đường hầm.
- Thực hiện một trao đổi DH bổ xung (khi đó các SA và các khoá mới được tạo ra,
làm tăng tính an toàn của đường hầm).
IKE Phase 2 chỉ có một chế độ được gọi là Quick Mode. Chế độ này diễn ra khi IKE
đã thiết lập được đường hầm an toàn ở IKE Phase 1. IKE Phase 2 thoả thuận một tập
chuyển đổi IPSec chung , tạo các khoá bí mật chung sủ dụng cho các thuật toán an
ninh IPSec và thiết lập các SA IPSec. Quick mode trao đổi các nonce mà được sử dụng
để tạo ra khoá mật mã chung mới và ngăn cản các tấn công “Replay” từ việc tạo ra
các SA khong có thật. Quick mode cũng được sử dụng để thoả thuận lại một SA IPSec
mới khi SA IPSec cũ đã hết hạn.
IPSec SA là thông số an ninh dùng chung của các bên tham gia như Thông tin này
bao gồm các thuật toán xác thức, mật mã; địa chỉ của đối tác, Chế độ truyền dẫn,
thồi gian sống của khoá .v.v. SA được đánh số bằng một số SPI (Security Parameter
Index – chỉ số thông số bảo mật).
8.2.3.3 Giao thức AH
Hình 8.10: Khuôn dạng gói AH

Khuôn dạng AH gồm có:
- Next header (8bit): Xác định kiểu dữ liệu của phần Payload tiếp sau AH. Giá trị của
trường này được lựa chọn từ tập các giá trị số giao thức IP được định nghĩa bởi
IANA (TCP_6; UDP_ 17).
- Payload length (8bit): Xác định độ dài của AH theo đơn vị 32bit (4 Byte).
- Reserved (16 bit): trường này dùng để dự trữ sử dụng trong tương lai. Giá trị của
trường này có thể đặt bằng 0 và có tham gia trong việc tính Authentication Data.
- Security Parameter Index (SPI): SPI là một số 32 bit bất kỳ, cùng với địa chỉ IP
đích và giao thức an ninh ESP cho phép nhận dạng duy nhất SA cho gói dữ liệu
này. Các giá trị SPI từ 1÷255 được dành riêng để sử dụng trong tương lai. SPI
thường được lựa chọn bởi phía thu khi thiết lập SA. SPI là trường bắt buộc. Giá trị
SPI 0 được sử dụng cục bộ. Có thẻ sử dụng giá trị này để chỉ ra chưa có SA nào
tồn tại.
- Sequence number (SN): Trường 32 bit không dấu chứa một giá trị đếm tăng dần.
SN là trưòng bắt buộc cho dù phía thu không thực hiện dịch vụ chống trùng lặp
cho một SA cụ thể nào. việc xử lý SN tuỳ thuộc phía thu, nghĩa là phía phát luôn
phải truyền trường này, còn phía thu có thể không cần phải xử lý nó. Bộ đếm của
phía phát và phía thu đều được khởi tạo 0 khi một SA được thiết lập (gói đầu tiên
được truyền đi sử dụng SA sẽ có SN=1). Nếu dịch vụ anti-replay được lựa chọn thì
được phát đi sẽ không được lặp lại (bằng cách thiết lập một SA mới, và do đó là
một khoá mới) trước khi truyền gói thứ 232 của một SA.
- Authentication Data: Trường này có độ dài biến đổi chứa một một giá trị kiểm tra
tính toàn vẹn ICV (integrity Check Value) cho gói tin. Độ dài của trường này bằng
số nguyên lần 32 bit (hay 4 Byte). Trường này có thể chứa một phần dữ liệu đệm
kiểu tường minh (Explicit padding) để đảm bảo độ dài của AH header là số nguyên
lần 32 bit (đối với IPv4) hoặc 64 bit (đối với IPv6).
8.2.3.4 Giao thức ESP
Hình 8.11: Khuôn dạng gói ESP

Khuôn dạng ESP gồm có:
- Security Parameter Index (SPI): SPI là một số 32 bit bất kỳ, cùng với địa chỉ IP
đích và giao thức an ninh ESP cho phép nhận dạng duy nhất SA cho gói dữ liệu
này. Các giá trị SPI từ 1÷255 được dành riêng để sử dụng trong tương lai. SPI
thường được lựa chọn bởi phía thu khi thiết lập SA. SPI là trường bắt buộc. Giá trị
SPI 0 được sử dụng cục bộ. Có thẻ sử dụng giá trị này để chỉ ra chưa có SA nào
tồn tại.
- Sequence number (SN): Trường 32 bit không dấu chứa một giá trị đếm tăng dần
(SN). SN là trưòng bắt buộc cho dù phía thu không thực hiện dịch vụ chống trùng
lặp cho một SA cụ thể nào. việc xử lý SN tuỳ thuộc phía thu, nghĩa là phía phát
luôn phải truyền trường này, còn phía thu có thể không cần phải xử lý nó. Bộ đếm
của phía phát và phía thu đều được khởi tạo 0 khi một SA được thiết lập (gói đầu
tiên được truyền đi sử dụng SA sẽ có SN=1). Nếu dịch vụ anti-replay được lựa
chọn thì được phát đi sẽ không được lặp lại (bằng cách thiết lập một SA mới, và do
đó là một khoá mới) trước khi truyền gói thứ 232 của một SA.
- Payload Data: Trường này có độ dài biến đổi chứa dữ liệu mô tả trong Next
header. Payload Data là trường bắt buộc và có độ dài bằng số nguyên lần Byte.
- Padding: Nếu thuật toán mật mã được sử dụng yêu cầu bản rõ (cleartext hay
plaintext) phải là số nguyên lần khối các Byte (trong mật mã khối) thì Padding
field được sử dụng để thêm vào Plaintext để có kích thước yêu cầu. Padding cần
thiết để đảm bảo phần dữ liệu mật mã sẽ kết thúc ở biên giới 4 Byte để phân biệt
rõ ràng với trường Authentication Data. Ngoài ra padding còn có thể được sử dụng
để che dấu độ dài thực của Payload, tuy nhiên mục dích này phải được cân nhắc vì
nó ảnh hưởng tói băng tần truyền dẫn. Bên gửi có thể thêm 0÷255 Padding Byte.
- Pad length: Trường này xác định số padding Byte đã thêm vào. Các giá trị hợp lệ
là 0÷255. Pad length là trường bắt buộc.
- Next header (8bit): Là một trường bắt buộc. Next header xác định kiểu dữ liệu
chứa trong Payload Data. Giá trị của trường này được lựa chọn từ tập cácgiá trị IP
Protocol Numbers định nghĩa bởi IANA..
- Authentication Data: Trường có độ dài biến đổi chứa một giá trị kiểm tra tính toàn
ven ICV (integrity Check Value) tính trên dữ liệu của toàn bộ gói ESP trừ trường
Authentication Data. Độ dài của trường phụ thuộc vào hàm xác thực được lựa
chọn. trường này là tuỳ chọn, và chỉ được thêm vào nếu dịch vụ authentication
được lựa chọn cho SA đang xét. Thuật toán xác thực phải chỉ ra độ dài của ICV và
các bước xử lý cũng như các luật so sánh cần thực hiện để kiểm tra tính toàn vẹn
của gói tin.
8.2.3.5 Hoạt động của AH và ESP trong các chế độ
AH và ESP đều có thể được sử dụng cho các gói tin IP theo hai cách khác nhau
tương ứng với hai mode: Transport mode và Tunnel mode.
Transport mode: Được sử dụng phổ biến cho những kết nối giữa các thiết bị đầu
cuối. Transport mode cho phép bảo vệ phần tải tin của gói dữ liệu, cung cấp cơ chế
bảo mật cho các giao thức ở lớp trên, nhưng không bảo vệ IP header vì phần IP
header luôn ở dạng “clear”. Trong Transport mode, AH được chèn vào sau tiêu đề IP
và trước các giao thức lớp trên (TCP, UDP) hoặc bất kỳ tiêu đề IPSec đã được chèn
vào trước đó.
Tunnel mode: Được sử dụng cho các kết nối giữa các bộ định tuyến.
Hình 8.12: Khuôn dạng gói tin IPv4 trước và sau khi xử lý AH
Hình 8.13: Khuôn dạng gói tin IPv6 trước và sau khi xử lý AH
Hình 8.14: Khuôn dạng gói tin IPv4 trước và sau khi xử lý ESP
Hình 8.15: Khuôn dạng gói tin IPv6 trước và sau khi xử lý ESP
TÓM TẮT
Bài giảng cung cấp cho sinh viên kiến thức về vấn đề bảo mật thông tin: các thách
thức, kiến trúc an toàn thông tin OSI, và các thuật toán mật mã cho phép cài đặt các
dịch vụ của mô hình OSI. Kiến trúc an toàn OSI gồm có 5 dịch vụ bảo mật: Xác thực
các bên tham gia, Điều khiển truy cập, Bảo mật dữ liệu, kiểm tra tính toàn vẹn, và
chống chối bỏ. Các thuật toán mã hóa cần thiết để cài đặt các dịch vụ này là: DES,
3DES, AES, RSA, DiffieHellman, Hàm băm MD5, SHA, Mã xác thực MAC. Giao thức
quản lý khóa và bảo mật dữ liệu trong mạng Domain: Kerberos. Giao thức bảo mật
dữ liệu đầu cuối SSL. Giao thức bảo mật gói dữ liệu IP: IPSEC.

Câu 1: Tại sao cần bảo mật thông tin? Trình bày kiến trúc an toàn OSI khi xây dựng
hệ phần mềm truyền dữ liệu qua mạng ?
Câu 2: Trình bày các cơ chế an ninh để triển khai các dịch vụ bảo mật theo yêu cầu
của mô hình OSI.
Câu 3: Trình bày các thuật toán mật mã được sử dụng để xây dựng phần mềm bảo
mật mạng đáp ứng tiêu chuẩn OSI.
Câu 4: Trình bày kiến trúc các bước xử lý của giao thức Kerberos.
Câu 5: Trình bày kiến trúc các bước xử lý của giao thức SSL.
Câu 6: Trình bày kiến trúc các bước xử lý của giao thức IPSEC.
BÀI 9: MẠNG RIÊNG ẢO - VPN 175
BÀI 9: MẠNG RIÊNG ẢO - VPN
Bài học cung cấp cho sinh viên kiến thức:
- Các khái niệm liên quan đến công nghệ mạng riêng ảo. Các công nghệ hỗ trợ, nhu
cầu ứng dụng.
- Kiến trúc các xử lý của công nghệ này.
- Vai trò của giao thức kết nối PPTP và giao thức liên kết dữ liệu cấp cao PPP.
- Triển khai phần mềm VPN và phân tích gói tin để hiểu các bước xử lý của nó.
Sau khi học xong, sinh viên hiểu được nhu cầu sử dụng VPN, quy trình xử lý VPN
và biết cách triển khai mạng VPN.
9.1 TỔNG QUAN VPN

9.1.1 Định nghĩa
Mạng riêng ảo, Virtual Private Network (VPN) là một mạng dành riêng để kết nối
các máy tính công ty hoặc tập đoàn với nhau thông qua mạng công cộng. Mạng riêng
ảo thường được triển khai trong qua mạng Intenet. Để tạo ra kênh truyền ảo riêng
trên mạng công cộng, công nghệ mạng riêng ảo sử dụng giải pháp đồng bộ hóa kết
nối riêng và bảo vệ gói tin (thường là mã hóa).
9.1.2 Các chức năng

VPN cung cấp ba chức năng chính đó là: tính xác thực (Authentication), tính toàn
vẹn (Integrity) và tính bảo mật (Confidentiality).
Tính xác thực : Để thiết lập một kết nối VPN thì trước hết cả hai phía phải xác thực
lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với người mình mong muốn
chứ không phải là một người khác.
Tính toàn vẹn : Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có bất kỳ
sự xáo trộn nào trong quá trình truyền dẫn.
Tính bảo mật : Bên gửi có thể mã hoá các gói dữ liệu trước khi truyền qua mạng công
cộng và dữ liệu sẽ được giải mã ở bên thu. Như vậy, không một ai có thể truy nhập
thông tin mà không được phép. Thậm chí nếu có lấy được thì cũng không đọc được.
9.1.3 Lợi ích của VPN

VPN mang lại lợi ích thực sự và tức thời cho các công ty. Có thể dùng VPN không
chỉ để đơn giản hoá việc thông tin giữa các nhân viên làm việc ở xa, người dùng lưu
động, mở rộng Intranet đến từng văn phòng, chi nhánh, thậm chí triển khai Extranet
đến tận khách hàng và các đối tác chủ chốt mà còn làm giảm chi phí cho công việc
trên thấp hơn nhiều so với việc mua thiết bị và đường dây cho mạng WAN riêng.
Những lợi ích này dù trực tiếp hay gián tiếp đều bao gồm:
- Tiết kiệm chi phí: Chi phí cho VPN ít hơn rất nhiều so với các giải pháp truyền
thống dựa trên đường Lease-Line như Frame Relay, ATM hay ISDN. Bởi vì VPN loại
trừ được những yếu tố cần thiết cho các kết nối đường dài bằng cách thay thế
chúng bởi các kết nối cục bộ tới ISP hoặc điểm đại diện của ISP.
- Giảm được chi phí thuê nhân viên và quản trị: Giảm được chi phí truyền thông
đường dài. Tổ chức không cần thuê nhiều nhân viên mạng cao cấp.
- Tính linh hoạt: điểu chỉnh kiến trúc triển khai mạng và công nghệ mạng dễ dàng.
- Khả năng mở rộng: Do VPN được xây dựng dựa trên cơ sở hạ tầng mạng công
cộng (Internet), bất cứ ở nơi nào có mạng công cộng là đều có thể triển khai VPN.
- Giảm thiểu các hỗ trợ kỹ thuật: Các nhà cung cấp dịch vụ có trách nhiệm vụ hỗ trợ
hạ tầng mạng.
- Bảo mật các giao dịch: Dữ liệu truyền được bảo mật sử dụng công nghệ đường
hầm sử dụng các biện pháp bảo mật như: Mã hoá, xác thực và cấp quyền để bảo
đảm an toàn, tính tin cậy, tính xác thực của dữ liệu được truyền, Kết quả là VPN
mang lại mức độ bảo mật cao cho việc truyền tin.
- Sử dụng hiệu quả băng thông: giảm lãng phí băng thông của hạ tầng mạng.
- Giảm thiểu các yêu cầu về thiết bị

- Đáp ứng các nhu cầu thương mại
9.1.4 Phân loại

Mạng riêng ảo VPN được phân làm ba loại:
- Mạng VPN truy nhập từ xa (Remote Access VPN)
- Mạng VPN nội bộ (Intranet VPN)
- Mạng VPN mở rộng (Extranet VPN)
9.1.4.1 Mạng truy cập từ xa
Remote Access VPN còn gọi là mạng Dial-up riêng ảo (VPDN). RA-VPN là một dạng
Client-to-Site cho phép truy cập từ xa bất cứ lúc nào bằng thiết bị truyền thông
(Laptop, điện thoại). Do nhu cầu của một tổ chức, có nhiều nhân viên cần kết nối với
mạng riêng của mình khi đi làm việc ở xa hay làm việc tại nhà nên mô hình này được
sinh ra.
Hình 9.1: Mô hình Remote Access.

Hình 9.2: Mô hình một non-VPN Remote Access

Các thành phần chính như:
- Remote Access Server (RAS): nó được đặt ở trung tâm dùng để xác thực và kiểm
tra các uỷ quyền của các yêu cầu từ xa.
- Kết nối Dial-up: quay số kết nối đến trụ sở, giảm chi phí khi một yêu cầu ở quá xa
trụ sở.
Ưu điểm Remote Access VPN:
- Việc thay thế Remote Access VPN thì hệ thống không cần phần RAS và các thành
phần modem liên quan mà thay vào đó là VPN server.
- Không cần sự hỗ trợ từ hệ thống do kết nối từ xa được thực hiện bởi dịch vụ cung
cấp mạng ISP.
- Kết nối quay số Dial-up từ khoảng cách xa cũng được loại bỏ, thay vào đó là các
kết nối cục bộ.
- Giảm giá thành chi phí khi kết nối ở khoảng cách xa.
Khuyết điểm Remote Access VPN
- Chưa thực sự đảm bảo được chất lượng của dịch vụ.
- Khả năng bị mất dữ liệu cũng là khá cao, đồng thời gói tin chuyển đi có thể bị
phân mảnh, mất trật tự.
- Khi thực hiện truyền gói dữ liệu thông qua mạng công cộng thì sẽ gây ra nhiều khó
khăn với những gói dữ liệu lớn như là phim ảnh, âm thanh,…
9.1.4.2 Mạng VPN nội bộ
Intranet VPN được sử dụng để kết nối các văn phòng chi nhánh của một công ty,
tổ chức với mạng Intranet trung tâm. Trước đây, trong mô hình Intranet không sử
dụng công nghệ VPN, mỗi site ở xa muốn kết nối đến Intranet trung tâm thì cần phải
sử dụng Campus Router tạo thành WAN Backbone. Điều này dẫn đến chi phí xây
dựng, vận hành, bảo trì và quản lý hệ thống sẽ rất là cao. Thay vì sử dụng WAN
Backbone đắt đỏ thì người dùng có thể sử dụng VPN thông qua mạng công cộng
internet. Để đảm bảo an toàn thì Intranel VPN cũng hoạt động dựa trên cơ chế bảo
mật sử dụng đường hầm Tunnel.
Ưu Điểm:
- Giảm được chi phí đầu tư.
- Giảm được số nhân sự cần thiết để bảo trì, quản lý ở các trạm.
- Vì sử dụng mạng công cộng Internet làm trung gian nên dễ dàng trong việc thiết
lập các kết nối mạng ngang hàng Peer-to-Peer mới.
- Nhờ vào kết nối Dial-up cục bộ với ISP nên sự truy suất dữ liệu sẽ nhanh hơn và
tốt hơn, sự loại bỏ các kết nối đường dài sẽ giúp giảm đi chi phí vận hành Intranet.
Khuyết Điểm
- Về cơ bản thì Intranet VPN hoạt động trên nền mạng công cộng Internet nên mặc
dù dữ liệu truyền đi trong Tunnel nhưng vẫn tồn tại những nguy cơ về bảo mật.
- Khả năng mất gói dữ liệu khi truyền đi vẫn tồn tại rất cao.
- Nếu truyền tải các dữ liệu đa phương tiện sẽ gây ra tình trạng quá tải, gây ảnh
hưởng xấu đến hệ thống, tốc độ truyền cũng sẽ chậm lại do phụ thuộc vào mạng
công cộng.
Hình 9.3: Mô hình Intranet sử dụng

Hình 9.4: Mô hình Intranel VPN
WAN Backbone
9.1.4.3 Mạng VPN mở rộng
Hình 9.5: Mô hình Extranet non-VPN.

Extranet về bản chất là sự mở rộng của Intranet. Không giống như Intranet hay
Remote Access có cách ly từ bên ngoài, Extranet cho phép truy cập những tài nguyên
mạng cần thiết của các đối tác kinh doanh như khách hàng, nhà cung cấp, những
người đóng vai trò quan trọng trong hoạt động của tổ chức…
Thực tế, chúng ta xem xét về mô hình dưới đây khi không sử dụng công nghệ VPN
thì cũng thấy được sự tốn kém khi triển khai hệ thống do cần phải tạo ra các đường
mạng riêng, các cơ sở hạ tầng mạng tách biệt nhau, đồng thời việc quản lý, vận hành
cũng như bảo trì cũng khá là khó khăn và phức tạp.
Trước những khuyết điểm của mô hình trên thì sự lựa chọn Extranet VPN là
phương pháp hiệu quả nhất để khắc phục những khó khăn về mặt kinh tế của
Extranet Non-VPN.
Hình 9.6: Mô hình Extranet VPN
Ưu điểm
- Giảm chi phí đáng kể so với hệ thống Extranet cũ.
- Dễ cài đặt, bảo trì hay chỉnh sữa các thiết lập.
- Sử dụng trên nền mạng công cộng Internet nên có nhiều sự lựa chọn về dịch vụ.
- Chi phí vận hành của hệ thống cũng được giảm nhiều do các thành phần kết nối
Internet được bảo trì bởi ISP.
Khuyết điểm
- Do vẫn hoạt động dựa trên nền Internet nên yếu tố bảo mật vẫn không được đảm
bảo.
- Do không có sự xác thực từ bên ngoài nên càng làm tăng thêm nguy cơ bị xâm
phạm.
- Việc truyền tải những dữ liệu có kích thước lớn vẫn còn chậm và vẫn không đảm
bảo được tiêu chuẩn QoS.
9.2 CÁC GIAO THỨC CƠ BẢN TRONG VPN

9.2.1 Kiến trúc tổng quát các bước xử lý của VPN
Một phiên làm việc của VPN là từ lúc VPNClient bắt đầu kết nối đến VPNServer, khi
kết nối thành công rồi thì Client và Server sẽ tiến hành trao đổi dữ liệu, và kết thúc
của phiên này là lúc ngắt kết nối.Ta có thể chia thành 5 bước sau:
Bước 1:Khởi tạo kết nối VPN
Máy Client sẽ gửi cho Server một gói tin yêu cầu khởi tạo một kết nối VPN sử dụng
PPTP được mở đầu bằng quá trình bắt tay 3 bước của giao thức TCP:
- Đầu tiên thì máy VPNClient sẽ gửi một yêu cầu kết nối tới port của VPN Server, ở
đây sử dụng PPTP nên port của nó sẽ là 1723.
- Khi nhận được gói tin yêu cầu tạo kết nối thì Server sẽ gửi lại cho Client một gói
tin đồng ý cho kết nối.
- Khi nhận được gói tin đồng ý kết nối từ Server thì Client sẽ gửi cho Server một gói
tin thông báo là đã nhận được gói tin Server gửi,l úc này thì kết nối đã được mở.
Bước 2:Yêu cầu thiết lập kết nối điều khiển
- Client sẽ tiến hành yêu cầu thiết lập một kết nối điều khiển qua giao thức PPTP gửi
đến Server.
- Server sẽ phản hồi cho Client khi nhận được yêu cầu thiết lập kết nối điều khiển
này.
Bước 3:Quá trình vận chuyển dữ liệu
- Trong quá trình này thì 2 bên sẽ tiến hành liên kết với nhau qua giao thức LCP của
PPP, 2 bên cũng sẽ tiến hành chứng thực, sau khi chứng thực thành công thì Client
sẽ được cấp phát IP ảo qua giao thức NCP, sau quá trình này thì dữ liệu sẽ được
trao đổi.
Bước 4: Ngắt kết nối điều khiển

- Khi Client hoặc Server không có nhu cầu sử dụng kết nối nữa thì 1 bên sẽ yêu cầu
ngưng kết nối và bên kia đồng ý.
Bước 5: Ngắt kết nối khởi tạo VPN
- Lúc ban đầu khởi tạo kết nối VPN thì trải qua quá trình bắt tay 3 bước, ở công
đoạn ngắt kết nối này thì ta cũng dùng giao thức TCP để yêu cầu ngắt kết nối.
9.2.2 Giao Thức PPTP

PPTP ( Point-to-Point Tunneling Protocol) được xây dựng dựa trên các chức năng
chính của giao thức PPP, cho phép thiết lập đường hầm kết nối bí mật giữa máy
nguồn và máy đích thông qua mạng công cộng. PPTP sử dụng giao thức bọc gói tin
định tuyến chung GRE (Generic Routing Encapsulation) để đóng gói và tách gói tin
PPP, từ đó PPTP cũng sẽ tiến hành thừa kế cơ chế xác thực PAP và CHAP của PPP để
đảm bảo tính tin cậy, bảo mật.
PPTP được định nghĩa ở Layer 2 của mô hình OSI, được thiết lập với những chức
năng chính là thiết lập, duy trì và kết thúc các kết nối vật lý, xác thực người dùng và
tạo ra gói dữ liệu PPP.
Sau khi PPTP đã thực hiện kết nối xong, PPTP sẽ thừa kế các quy luật đóng gói của
PPP để đóng gói các gói tin truyền qua đường hầm. PPTP định nghĩa ra 2 loại gói là
gói dữ liệu (chứa dữ liệu người dùng) và gói điều khiển ( quản lý trạng thái kết nối).
Trong đó gói dữ liệu sẽ được phân luồng với giao thức IP và gói điều khiển được phân
luồng với giao thức TCP.
9.2.2.1 Duy trì trạng thái kết nối trong PPTP
Giao thức PPTP được thiết lập bởi các gói điều khiển thông qua trạng thái kết nối
cổng TCP, với port 1723 được ưu tiên sử dụng trong máy Server và port cấp phát
động đối với máy Client.
Hình 9.7: Cấu trúc gói điều khiển.

Gói tin điều khiển chứa các thông tin về Datalink Header, IP Header, TCP Header,
PPTP control Message, Datalink Trailer.
Trong sơ đồ quá trình thiết lập kết nối PPTP thì VPN Client sử dụng giao thức TCP
để gửi yêu cầu thiết lập kết nối đến port 1723 của VPN Server, gói tin chứa thông
điệp [Message: Connection establish request (SYN): server port pptp] . Cờ SYN được
mở với thông điệp kêu gọi kết nối.
Sau khi nhận được thông điệp từ VPN Client thì VPN Server sẽ gửi lại gói tin với
thông điệp [Message: connection establish acknowledge ( SYN+ACK): server port
pptp ] đã nhận được thông điệp và chấp nhận kết nối PPTP với VPN Client.
VPN Client khi đã nhận được hồi âm lại từ VPN Server sẽ trả lại gói tin với thông
điệp kết thúc quá trình bắt tay 3 bước TCP đã thành công.
Sau khi kết nối thành công, VPN Client sẽ gửi gói tin yêu cầu Start dịch vụ điều
khiển kết nối. Nhận được yêu cầu từ VPN Client, VPN Server sẽ thực hiện gửi gói tin
Reply lại với thông điệp chấp nhận thiết lập [Result code: Successful channel
establishment]
Tiếp theo phía VPN Client và VPN Server sẽ tiến hành thiết lập Call ID thông qua
gói tin Outgoing-Call-Request từ VPN Client và Outgoing-Call-Reply do VPN Server hồi
âm.
Kết thúc quá trình thiết lập kết nối là gói tin Set-Link-info thông báo cài đặt thông
tin kết nối thành công.
Trong việc duy trì kết nối đường hầm PPTP thì giao thức PPTP có cung cấp các
bảng tin Echo-Request và Echo-Reply với tác dụng phát hiện các lỗi kết nối từ 2 bên.
9.2.2.2 Đóng gói dữ liệu trong PPTP
Dữ liệu đường hầm VPN sử dụng giao thức PPTP được đóng qua nhiều giai đoạn
bao gồm:
- Đóng gói khung PPP.
- Đóng gói các gói GRE.

- Đóng gói lớp liên kết dữ liệu (DataLink Layer).
Hình 9.8: Cấu trúc gói tin PPTP.

NDIS: Network Driver Interface
specification (đặc điểm kỹ thuật giao diện
điều khiển). NDISWAN: Network Driver
Interface specification WAN (nơi thực
hiện mã hóa, nén dữ liệu và cung cấp
PPP header).
Đóng gói PPP: Các gói tin IP

datagram, IPX datagram hay NetBEUI
frame sẽ thông qua NDIS xuống
NDISWAN, tại đây PPP với cơ chế mã hóa
của mình sẽ tiến hành mã hóa, nén dữ
liệu và thực hiện đóng gói dữ liệu với PPP Hình 9.9: Sơ đồ đóng gói của PPTP.
Header (chỉ chứa trường mã số giao thức
mà không có Flag hay FCS) tạo thành khung PPP. Sau khi khung PPP được tạo, thông
qua giao thức PPTP nó sẽ được tiếp tục đóng gói lại bởi giao thức GRE (Generic
Encapsulation ) tạo gói tin với tiêu đề GRE (GRE header có chứa trường số cuộc gọi
Call ID), GRE một giao thức cung cấp cơ chế chung, vì vậy nó cho phép đóng gói dữ
liệu để gửi qua mạng IP.
Đóng gói GRE: Sau khi gói tin GRE ( chứa dữ liệu PPP và GRE header) được tạo,
thông qua giao thức TCP/IP gói tin này sẽ được đóng gói thêm một lần với phần tiêu
đề là IP (IP header) chứa địa chỉ nguồn và địa chỉ đích của Client và Server.
Đóng gói DataLink Layer: Để có thể truyền dữ liệu đi ra môi trường ngoài thì gói
tin IP Header vừa được tạo sẽ được lớp DataLink đóng gói với phần DataLink Header
và DataLink Trailer. Tùy vào môi trường mạng mà các giá trị Header và Trailer sẽ
được gán phù hợp.
Quy trình xử lý dữ liệu nhận được trong VPN-PPTP: Trong kết nối đường hầm
VPN bằng giao thưc PPTP thì Client hay Server nhận được gói tin sẽ thực hiện lần lượt
các bước đọc gói tin:
- Xử lý và loại bỏ phần Header và Trailer của lớp DataLink.
- Xử lý và loại bỏ IP header.
- Xử lý và loại bỏ GRE header và PPP header.
- Giải mã, giải nén phần dữ liệu Payload PPP.
- Xử lý thông tin dữ liệu Payload vừa nhận được hoặc chuyển tiếp.
9.2.3 Giao thức PPP

Giao thức PPP (Point-to-Point Protocol ) là giao thức đảm bảo việc đóng gói và
truyền tải dữ liệu cho VPN trên môi trường mạng công cộng, đồng thời PPP còn cung
cấp cơ chế nhận dạng và mã hóa dữ liệu giữa 2 đầu kết nối Serial. Mặt khác PPP có
một ưu điểm là có thể hoạt động trên mọi thiết bị đầu cuối dữ liệu Data Terminal
Equipment(DTE) và thiết bị kết nối dữ liệu Data Connection Equipment (DCE). Đồng
thời không giới hạn tốc độ truy cập, hỗ trợ kết nối song công Full Duplex vì vậy PPP
được xem là giải pháp tốt trong kết nối Dial-up.
9.2.3.1 Tính năng chính của PPP
Phương pháp định khung Frame/Packet: kết nối Serial trên đường truyền cung cấp
chức năng truyền dữ liệu theo bit. Vì vậy phương pháp định khung sẽ là phương tiện
cần thiết cho việc tìm kiếm bắt đầu dựa trên các gói tin (Packets).
- Hổ trợ giao thức kiểm soát liên kết Link Control Protocol (LCP).
- Hổ trợ giao thức kiểm soát mạng Network Control Protocol (NCP).
- Hổ trợ giao thức chứng thực như Challenge Handshake Authentication Protocol
(CHAP), Passwork Authentication Protocol (PAP), Extensible Authentication
Protocol (EAP).
- Hổ trợ giao thức mã hóa như Encryption Control Protocol (ECP), Data Encryption
Standard (DES), Advancde Encryption Standard (AES).
- Kiểm soát băng thông Bandwidth Allocation Control Protocol (BACP).
- Kiểm soát nén Compression Control Protocol.
- Có đủ khả năng phát hiện lỗi (CheckSum), tuy nhiên không sữa lỗi.
- Giám sát chất lượng liên kết Link Quality Report (LQR) và Link Quality
Monitoring(LQM)
Hình 9.10: Mô hình Stack của PPP
9.2.3.2 Cấu trúc khung của giao thức PPP
Cấu trúc khung đóng gói cơ bản của giao thức PPP (các trường được truyền từ trái
sang phải) với 3 trường chính.
Hình 9.11: Cấu trúc gói cơ bản của PPP

Trường Protocol có độ dài 1 hoặc 2 byte. Và giá trị được dùng để xác định các tính
chất của trường Information của gói tin. Giá trị khoảng “0***” đến “3***” là phạm vi
để dán nhãn cho các giao thức lớp mạng của gói tin cụ thể. Các giá trị trong khoảng “
8***” đến “b***” là phạm vi để dán nhãn cho các gói tin thuộc về phần kiểm soát
các giao thức mạng NCP. Khoảng giá trị “4***” đến “7***” được sử dụng cho các giao
thức có nhu cầu sử dụng lưu lượng Traffic thấp mà không có liên quan đến NCP. Còn
lại giá trị trong khoảng “c***” đến “F***” được sử dụng cho các gói tin giao thức
kiểm soát liên kết lớp như là LCP.
Trường Information có độ dài là không hoặc nhiều byte. Trường Information chứa
các gói giao thức được quy định tại trường Protocol. Chiều dài tối đa cho trường
Information kể cả trường Padding nhưng loại trừ trường Protocol được gọi là Maximum
Receive Unit (MRU), mặc định là 1500byte.
Trường Padding (hay là flag), trên môi trường truyền dẫn, trường Information có
thể nhồi thêm một số byte để phân cách khung của PPP.
Cấu trúc khung gói tin PPP là một biến thể HDLC có 6 trường.
Hình 9.12: Cấu trúc khung gói tin PPP

Trường Flag (Cờ), xác định việc bắt đầu và kết thúc khung có thể xem cờ để phân
cách giữa các khung, có độ dài là 1byte. Các cờ là một dãy các số nhị phân
01111110.
Trường Address (địa chỉ), vì là kiểu kết nói điểm-đến-điểm nên trong giao thức PPP
địa chỉ riêng cho từng nút có thể là không cần thiết mà nó được gán một địa chỉ
quảng bá Broadcast (11111111). Trường có độ dài là 1byte.
Trường Control (điều khiển), chứa chuỗi nhị phân 00000011 có độ dài là 1byte, nó
không làm gì ngoài việc giúp tránh nhầm lẫn trong việc xác định dữ liệu trong frame
bằng cách chỉ ra dữ liệu không nằm trong chuỗi giao thức của PPP.
Trường Protocol, có độ dài 1 byte hoặc 2 byte nó chỉ ra giao thức Tầng Mạng giúp
xác định các giao thức định nghĩa của dữ liệu được đóng gói trong trường Information.
Trường Information, là trường chứa thông tin hay dữ liệu thực được mang ở tầng
trên để trao đổi giữa 2 nút mạng nguồn và đích. Độ dài của trường là không giới hạn
với kích thước tối đa là 1500byte. Để đảm bảo tính trong suốt thì nó cho phép ta
thêm chuỗi nhị phân 01111110=Flag nếu bên nhận, nhận được 1 chuỗi nhị phân
01111110 thì nó sẽ bỏ chuỗi này đi và tiếp tục lấy dữ liệu ở chuỗi tiếp theo, ngược lại
nếu là 2 chuỗi thì bên nhận sẽ bỏ chuỗi đầu tiên và xem chuỗi tiếp theo là dữ liệu mà
lấy dữ liệu nhưng bình thường.
Trường CheckSum, có độ dài là 2 byte hoặc 4 byte, có tác dụng chứa chuỗi kiểm
tra để giúp bên nhận có thể xác nhận được tính chính xác và toàn vẹn dữ liệu của bên
gửi gửi qua. Trong giao thức PPP có khả năng phát hiện lỗi nhưng không cung cấp cơ
chế sữa lỗi.
9.2.3.3 Giao thức LCP
LCP (Link Control Protocol): Được sử dụng cho việc thiết lập, cấu hình và hủy bỏ
các liên kết. Cho phép sử dụng các tùy chọn liên kết (như xác thực giao thức được sử
dụng). Định kỳ kiểm tra các liên kết, kết thúc kết nối nếu không còn sử dụng. Cung
cấp 2 cơ chế chứng thực Password Authentication Protocol (PAP) và Challenge
Handshake Authentication Protocol (CHAP).
- PAP: đơn giản chỉ là cơ chế chứng thực đối xứng, quy trình chứng thực bắt tay 2
bước bằng cách gửi Username và Password của mình dưới dạng Clear Text. Vì vậy
cơ chế chứng thực PAP được xem là không an toàn. Trong liên kết Client-Server,
khi một kết nối PPP được yêu cầu từ một Client đến một Access Server sử dụng
chứng thực PAP của LCP thì lúc này Server sẽ yêu cầu Client gửi Username và
Password của mình cho Server chứng thực. Và tất cả những thông tin này đều
được gửi dưới dạng Clear Text đóng gói trong các gói dữ liệu của giao thức PPP mà
không được mã hóa. Lúc này Server sẽ quyết định cho phép kết nối hay không.
Đối với kết nối giữa 2 Router thì qua trình này sẽ diễn ra song song, 2 Router sẽ
tiến hành chứng thực cho nhau.
- CHAP: có thể xem là cơ chế chứng thực bất đối xứng. Hai bên chứng thực có trao
đổi bộ mật mã CHAP giống nhau và mỗi bên được gán một tên cục bộ Local Name
riêng. CHAP thực hiện chứng thực bắt tay 3 bước, 2 bên sẽ tiến hành trao đổi
Password chung và Local Name riêng. Khi nhận được yêu cầu kết nối, máy chủ
Sever sẽ tính toán đưa ra một giá trị ngẫu nhiên, Server Name cùng các thông tin
cần thiết trong gói Challenge cho bên cần kết nối. Bên cần kết nối nhận được sẽ
tiến hành tìm Password chung dựa vào Server Name, sau đó sử dụng phép toán
băm MD5 để băm Password chung, số sinh ngẫu nhiên nhận được cùng các thông
tin từ Challenge tạo thành gói Respone gửi lại cho Server kiểm tra nếu phù hợp thì
mở kết nối.
9.2.3.4 Giao thức NCP
Giao thức NCP (Network Control Protocol) cung cấp cơ chế cấp IP động, khi kết nối
kết thúc IP sẽ được thu hồi để cấp phát cho thiết bị kết nối sau. NCP đóng vai trò
thiết lậpđiều chỉnh cấu hình và hủy bỏ việc truyền dữ liệu của các giao thức của lớp
mạng như: IP, IPX, AppleTalk and DECnet.
9.2.3.5 Sơ đồ thiết lập và duy trì kết nối PPP
Hình 9.13: Sơ đồ thiết lập và duy trì kết nối PPP

Dead: kết nối chưa hoạt đông. Quá trình thiết lập bắt buộc phải bắt đầu và kết
thúc ở giai đoạn này. Một quá trình liên kết sẽ trở về giai đoạn này tự động sau khi bị
ngắt kết nối. Khi các tác động bên ngoài cho ta thấy lớp vật lý sẵn sàng để được sử
dụng thì PPP sẽ tiến hành giai đoạn kết nối. Và giai đoạn này được xem là giai đoạn
bắt đầu khởi tạo quá trình kết nối LCP.
Establish: giai đoạn khởi tạo LCP. LCP được sử dụng để thiết lặp các kết nối thông
qua việc trao đổi các gói tin Configure. Và giai đoạn khởi tạo hoàn tất khi cả 2 bên gửi
và nhận đều nhận được gói tin Configure-ACK, kết nối được mở quá trình sẽ chuyển
qua giai đoạn chứng thực Authenticate.
Authentication: trên mặc định thì việc chứng thực là không bắt buộc, tuy nhiên để
đảm bảo tính an toàn và bảo mật của dữ liệu thì cần có cơ chế chứng thực trước khi
tiến hành truyền gói dữ liệu. Việc chứng thực nên diễn ra càng nhanh càng tốt nhưng
phải đảm bảo về mặt chất lượng bảo mật. Nếu giai đoạn chứng thực không thành thì
quá trình liên kết sẽ bị chấm dứt. Và ngược lại nó chuyển qua giai đoạn Network.
Trong giai đoạn này chỉ có gói LCP, giao thức chứng thực và giám sát chất lượng liên
kết dữ liệu được cho phép. Còn lại tất cả các gói nhận được trong giai đoạn này đều bị
âm thầm hủy bỏ.
Network: sau khi các giai đoạn trước đã hoàn thành, mỗi giao thức lớp Network
(như là IP, IPX, Appletalk…) sẽ được cấu hình riêng biệt bởi NCP thích hợp. Trong giai
đoạn này cơ chế truyền dữ liệu cho các lớp Network được hổ trợ sẽ được bắt đầu thiết
lặp. Mỗi NCP có thể đóng hoặc mở kết nối bất cứ lúc nào. Sau khi một NCP đã ở trạng
thái mở cửa thì PPP tiến hành trao đổi dữ liệu ở các gói có giao thức lớp mạng, còn lại
các gói khi nhận được mà NCP không ở trạng thái mở thì nó sẽ được âm thầm hủy bỏ.
Terminate: giai đoạn chấm dứt kết nối. Quá trình liên kết PPP có thể chấm dứt ở
bất kỳ thời điểm nào ví dụ như trường hợp: mất mát trong qúa trình vận chuyển,
chứng thực thất bại, không đạt tiêu chuẩn liên kết, bộ đếm thời gian nhàn rỗi bị hết
hạn, hoặc nhà quản trị đóng kết nối…khi liên kết đóng cửa thì PPP sẽ thông báo đến
các giao thức lớp mạng để chúng có hành động thích hợp.
9.2.3.6 Ví dụ kết nối PPP
Ví dụ ta có một VPN Server B và một Remote Access VPN là User A, khi User A mở
kết nối VPN bằng giao thức PPP thì từ bước thiết lập kết nối có thể được biểu diễn như
mô hình ví dụ dưới đây.
1. Thể hiện kết nối vật lý từ A đến B nếu là sẵn sàng thì bắt đầu thực hiện quá trình
liên kết PPP.
2. Quá trình tạo liên kết PPP giữa A và B bắt đầu diễn ra. Trong cấu trúc gói PPP sẽ
chứa các trường flag, control, address, protocol, information, cheksum.
3. Giai đoạn tạo kết nối LCP diễn ra ở layer2: Ví dụ A muốn kết nối đến B, A sẽ gửi
gói tin yêu cầu thành lập tùy chọn kiểu kết nối.
3.1 ví dụ ở đây A yêu cầu kết nối với giao thức nén Compression.
3.2 Nếu chấp nhận B sẽ gửi về gói tin Chấp Nhận.

4. Giai đoạn Server B chứng thực sự kết nối hợp lệ của User A.
4.1 Server B sẻ gửi gói tin yêu cầu A cung cấp thông tin chứng thực.
4.2 ví dụ ở đây B sử dụng phương pháp chứng thực PAP thì A sẽ gửi thông tin về
User name kiemha.com + Password. Nếu B sử dụng chứng thực CHAP thì A sẽ nhận
được gói tin Challenge từ B và gửi lại gói tin Respoint cho B chứng thực.
5. Giai đoạn này khi đã chứng thực xong, trong PPP phần NCP sẽ tiếp nhận và khởi
tạo IP để tiến hành quá trình trao đổi dữ liệu. Ví dụ ở đay Server B cung cấp IP:
10.0.0.1 và DNS: 10.0.0.254, thì NCP sẽ tiếp nhận thiết lập cho IP.
6. Khi NCP mở kết nối thì quá trình truyền dữ liệu Tầng mạng giữ User A và VPN
Server B diễn ra.
Hình 9.14: Ví dụ kết nối PPP
9.3 MINH HỌA VPN

Triển khai VPN sử dụng Firewall TMG và phân tích gói tin minh họa hoạt động VPN:
Hình 9.15: Mô hình triển khai.

Các bước triển khai mô hình:
- Bước 1:Tại máy Domain Server ta tiến hành tạo một user u2 để máy VPN Server
dùng để join Domain.
- Bước 2:Tại máy VPN Server tiến hành join Domain Server với user u2, sau khi join
Domain thì tiến hành vài đặt TMG
- Bước 3:Sau khi hoàn tất việc cài đặt TMG thì ta tiến hành triển khai VPN Server
trên phần mềm này
- Bước4: PcTest tiến hành quay VPN Remote Access đến VPN Server
Trong mô hình này, máy Client có IP: 192.168.30.4, máy Server có IP:
192.168.30.2. Sau khi VPN Client kết nối đến VPN Server và dùng phần mềm
Wireshark bắt và phân tích các gói tin. Hình 9-16 minh họa kết quả bắt tất cả các gói
tin VPN theo đúng trình tự giao tiếp.
Tiến trình tạo kết nối VPN sử dụng PPTP được mở đầu bằng tiến trình bắt tay 3
bước của giao thức TCP. Đầu tiên máy VPN Client sẽ mở portgửi gói tin TCP SYN đến
port pptp (1723) của VPN Server yêu cầu mở kết nối dịch vụ VPN PPTP.
Hình 9.16: Sơ đồ thể hiện đầy đủ việc trao đổi gói tin của VPN.
Hình 9.17: Gói tin Client gửi đến Server yêu cầu mở Port kết nối
Gói tin hình 9-16 cho ta thấy thông số của Source Port (VPN Client) và Destination
port (VPN Server). Lúc này chỉ có cờ SYN được bật bởi VPN Client với giá trị được gán
là 1, tham số Sequence Number được sinh ra là 0. Gói tin này gửi thông điệp yêu cầu
thành lập kết nối server port pptp [Message: Connection establish request (SYN):
server port pptp].
Sau khi nhận được yêu cầu mở kết nối dịch vụ thì phía VPN Server sẽ tiến hành gửi
lại gói tin TCP Acknowledge chấp nhận thiết lập kết nối.
Hình 9.18: Gói tin mở kết nối từ Server gửi vể cho Client.
Gói tin cho thấy cờ ACK và SYN được bật với tham số Sequence number được thiết
lập là 0, Acknowledgement number là 1 (là số thứ tự gói tin tiếp theo máy nhận có
thể nhận). Nội dung thông điệp gói tin: [Message: connection establish acknowledge (
SYN+ACK): server port pptp].
Sau khi nhận được gói tin đồng ý mở kết nối từ Server thì Client sẽ gửi cho Server
1 gói TCP ACK thông báo hoàn thành quá trình bắt tay 3 bước
Hình 9.19: Gói tin hồi âm từ Cient gửi cho Server

Gói tin cho thấy cờ ACK được bật với tham số Sequence number được thiết lập là
1. Khi kết nối dịch vụ được mở, phía Client gửi gói tin Control Messenger bằng giao
thức PPTP với yêu cầu Start-Control-Connection-Request
Hình 9.20: Gói tin Start-Control-Connection-Request do VPN Client gửi.

Gói tin trên chứa thông tin về môi trường hoạt động của VPN là nhà cung cấp
Microsoft, Đồng thời là Framing Capabilities: Asynchronous Framing supported ( Hỗ
trợ khung bất đồng bộ), Bearer Capabilities: Analog access supported ( Hỗ trợ truy
cập tương tự). Sau khi nhận được gói tín trên Server tiến hành Reply lại gói tin thông
qua giao thức PPTP.
Hình 9.21: Gói tin Start-Control-Connection-Replay do VPN Server hồi âm.

Phía VPN Server trả về kết quả Result code: Successful channel establishment
chấp nhận thiết lập kênh. Thông tin Framing capalities: Synchronous Framing
Supported ( Hỗ trợ khung đồng bộ), Berer capabilities: Either access supported ( Hỗ
trợ truy cập song công). Phía VPN Client tiếp tục gởi gói tin Out-Call-Request.
Hình 9.22: Gói tin Outgoing-Call-Request từ Client.

Thông tin gói tin chứa Call ID: 404, giúp cho quá trình thiết lập kết nối được đảm
bảo và chính xác. Phía VPN Server khi nhận được gói tinh yêu cầu từ VPN Client sẽ
Reply lại VPN Client một gói tin thông báo đã thành lập được kết nối được yêu cầu từ
VPN Client.
Hình 9.23: Gói tin Outgoing-Call-Reply từ VPN Server.

Gói tin chứa Call ID là 35463, và Peer Call ID là 404 với kết quả trả về cho VPN
Client Result Code: Connected. Tiếp tục sau đó VPN Client và VPN Server sẽ tiến hành
gửi gói Set-Link-Info sử dụng Call ID để thiết lập, kiểm tra đường truyền.
Hình 9.24: Gói tin thiết lập, kiểm tra liên kết
Sau quá trình đó Client tiến hành đóng gói gói tin Configuration Request bằng giao
thức PPP LCP để mở đầu cho việc thành lập 1 liên kết với một cấu hình cụ thể.
Hình 9.25: Gói tin Configuration Request từ Client.

Gói tin trên cho thấy VPN Client yêu cầu cấu hình Protocol field compression,
Address/Control field compression. Sau khi nhận được thông điệp từ VPN Client, VPN
Server xử lý gói tin và gửi lại một thông điệp Configuration Request cho VPN Client
nhờ vào Call ID. Thể hiện để bắt đầu cho việc kết nối thì cần trao đổi và hợp nhất về
cơ chế chứng thực cũng như thuật toán mã hóa.
Hình 9.26: Gói tin Configuration Request từ VPN Server

Trong gói tin trên, thông điệp gói tin cho thấy cờ Ack được bật, thể hiện việcVPN
Server đã nhận được yêu cầu của gói tin từ VPN Client, đồng thời gói tin cũng chứa
thông điệp của VPN Server về việc thực hiện thêm yêu cầu cấu hình mở giao thức
chứng thực Authentication protocol: Challenge Handshake Authentication Protocol.
Sau khi nhận được gói tin yêu cầu thành lập kết nối cụ thể với việc bổ sung thêm
Authention protocol, phía VPN Client thông qua Call ID sẽ gởi cho VPN Server gói tin
Configuration ACK thể hiện việc bắt tay đã thành công và chuẩn bị cho quá trình thiết
lập kết nối với cơ chế chứng thực CHAP, thuật toán MS-CHAP-V2.
Hình 9.27: Gói tin Configuration ACK từ Client
Hình 9.28: Gói tin cài đặt thông tin đường truyền Set-link-Info
Tại VPN Server sau khi đã nhận được hồi âm từ phía VPN Client sẽ gửi gói tin
Challenge chứa Server Name, chuỗi Challenge ngẫu nhiên và Session Indentifier cho
VPN Client.
Hình 9.29: Gói tin Challenge từ VPN Server

Sau khi có được thông số cần thiết VPN Client sẽ tạo ra một gói hồi âm Response.
Chứa chuỗi băm mới, Chuỗi Challenge, Chuỗi Peer Challenge, Session Identifier và
tên User Remote gởi tới Server.
Hình 9.30: Gói tin Response của VPN Client

Từ những thông tin có được từ Client, Server sẽ tiến hành tạo mãng băm và thực
hiện so sánh với mãng băm nhận được từ Client. Nếu kếu quả là bằng nhau thì Server
sẽ gởi gói tin Success chứa thông điệp chứng thực thành công đến Client.
Hình 9.31: Gói tin Chứng Thực thành công gửi từ VPN Server
Nếu kết quả chứng thực không thành công Server sẽ gửi gói tin Failer chứa thông
điệp thông báo chứng thực thất bại.
Hình 9.32: Gói tin Chứng Thực thất bại gửi từ VPN Server.
Sau quá trình chứng thực thành công VPN Server sẽ tiến hành cấp phát IP cho VPN
Client. IP liên lạc giữa VPN Client và VPN Server sẽ trong phạm vi Range mà ta định
nghĩa trong quá trình cài đặt VPN Server. Trước tiên VPN Client sẽ nhận được địa chỉ
IP ảo VPN Server
Hình 9.33: Địa chỉ IP ảo VPN Server

VPN Client gửi yêu cầu cấu hình IP bằng giao thức PPP IPCP.
Hình 9.34: Gói tin yêu cầu IP ảo từ VPN Client gửi cho VPN Server
VPN Server thông qua PPP IPCP gửi gói tin với thông số IP của VPN Client.
Hình 9.35: Thông số IP của Client nhận được từ Server.

Đồng thời Server cũng sẽ thông báo IP ảo của nó cho Client. Sau quá trình này thì
kết nối VPN đã thành công. Bây giờ đã có thể truyền dữ liệu giữa Client và Server.
Hình 9.36: Gói tin đóng gói trao đổi dữ liệu từ Server
Hình 9.37: Gói tin đóng gói trao đổi dữ liệu từ Client
Hai bên sẽ tiến hành trao đổi dữ liệu qua lại ,đến khi nào không trao đổi nữa hay
hoàn tất thì yêu cầu ngắt.
Hình 9.38: Yêu cầu đóng kết nối từ Client

Gói tin cho thấy Client yêu cầu đóng kết nối Termination Request,sử dụng LCP của
PPP. Sau thì nhận được gói tin yêu cầu đóng kết nối thì Server sẽ phản hồi cho Client
một gói tin Termination ACK
Hình 9.39: Gói tin trả lời của Server gửi đến Client
Sau đó là đến quá trình yêu cầu hủy Tunnel.
Hình 9.40: Gói tin yêu cầu hủy Tunnel từ Client

Khi nhận được gói tin yêu cầu hủy Tunnel từ Client thì Server sẽ phản hồi cho
Client gói Call-Disconect-Notify
Hình 9.41: Gói tin trả lời từ Server

Lúc ban đầu ta có quá trình yêu cầu điều khiển kết nối thì bây giờ lại có quá trình
hủy kết nối điểu khiển.
Hình 9.42: Gói tin hủy kết nối điều khiển từ Client
Khi nhận được gói tin hủy kết nối điều khiển được gửi từ Client thì Server sẽ gửi lại
cho Client gói tin
Hình 9.43: Gói chấp nhận hủy bỏ từ Server
Sau quá trình này thì kết nối điều khiển giữa Client và Server đã không còn nữa.
Lúc bắt đầu khởi tạo PPTP ta có quá trình dùng giao thức TCP để tiến hành yêu cầu
tạo kết nối VPN, khi không còn nhu cầu sử dụng nữa thì ta thấy giao thức TCP lại
được sử dụng để hai bên yêu cầu kết thúc dịch vụ.
Hình 9.44: Gói tin đóng kết nối từ Server gửi cho Client
Gói tin cho ta thấy cờ FIN và cờ ACK được bật ,với thông điệp Connection finish.
Sau khi nhận được gói FIN/ACK từ Server thì Client sẽ gữi phản hồi cho Server gói tin
sau:
Hình 9.45: Gói tin trả lời từ Client

Quá trình hủy kết nối này phải diển ra cả 2 chiều ,nên phía Client cũng sẽ gửi cho
Server gói FIN/ACK
Hình 9.46: Gói tin yêu cầu hủy kết nối từ Client
Gói tin trên thì ta thấy cờ FIN và cờ ACK được bật ,cũng với thông điệp là
Connection Finish. Khi nhận được yêu cầu này thì Server cũng sẽ phản hồi cho Client
gói ACK
Hình 9.47: Gói tin phản hồi từ Server

Khi gói tin này được gửi đi thì mọi kết nối VPN PPTP đã được ngắt hoàn toàn.
TÓM TẮT
Bài học trình bày tổng quan về mạng VPN bao gồm: định nghĩa, các chức năng, và
lợi ích của VPN. Mạng VPN có 3 loại cơ bản: mạng truy cập từ xa, mạng VPN nội bộ và
mạng VPN mở rộng. Hai giao thức cơ bản là giao thức tạo kết nối mạng PPTP và giao
thức liên kết dữ liệu cấp cao PPP. Giao thức PPP dùng để vận chuyển dữ liệu với mạng
nội bộ. Giao thức PPP hổ trợ giao thức con kiểm soát liên kết Link Control Protocol
(LCP), giao thức con kiểm soát mạng Network Control Protocol (NCP), giao thức
chứng thực như Challenge Handshake Authentication Protocol (CHAP), Passwork
Authentication Protocol (PAP), Extensible Authentication Protocol (EAP). Ngoài ra, PPP
còn hổ trợ giao thức mã hóa như Encryption Control Protocol (ECP), Data Encryption
Standard (DES), Advancde Encryption Standard (AES); Kiểm soát băng thông:
Bandwidth Allocation Control Protocol (BACP); Kiểm soát nén: Compression Control
Protocol; Có đủ khả năng phát hiện lỗi (CheckSum), tuy nhiên không sữa lỗi; và giám
sát chất lượng liên kết: Link Quality Report (LQR) và Link Quality Monitoring(LQM).

Câu 1: VPN là gì? Tại sao cần sử dụng VPN?
Câu 2: Trình bày các chức năng của mạng VPN?
Câu 3: Trình bày kiến trúc các bước xử lý tổng quát của VPN?
Câu 4: Trình bày kiến trúc các bước lý chi tiết của PPTP?
Câu 5: Trình bày kiến trúc các bước xử lý chỉ tiết của PPP?
Câu 6: Triển khai mạng VPN, bắt gói tin, phân tích và hiểu kiến trúc các bước xử lý
của VPN?
212 PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH
PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH
Bài thực hành số 1: Công cụ Cain & Abel và Kali

Linux
I. Cain & Abel
1. Giới thiệu
Cain & Abel là một công cụ dùng để phục hồi password trong hệ thống
Windows. Công cụ này cho phép người quản trị, hacker, … Có thể lấy được password
thông qua việc sniffing hệ thống mạng, crack các password được mã hóa (bằng cách
sử dụng các thuật toán như dictionay, brute-force và phân tích mã), ghi lại các cuộc
hội thoại VoIP, …
2. Cấu hình
Click vào Menu Configure để thực hiện các bước cấu hình cơ bản của Cain.
2.1 Tab Sniffer
Dùng để thiết lập các thông số của của card mạng cho các chức năng sniffer và
APR (ARP Poison Routing) của Cain.
TÀI LIỆU THAM KHẢO 213
• Start Sniffer on Startup: Cain sẽ chạy chức năng sniffer khi khởi động.
• Start ARP on startup: Cain sẽ chạy chức năng ARP khi khởi động.
• Don’t use Promiscucos mode: Cain sẽ Kích hoạt APR Poisoning trên mạng
không dây nhưng không thể sử dụng tính năng giả mạo MAC.
2.2 Tab APR
Đây là tab dùng để cấu hình APR (ARP Poison Routing). Khi chức năng này được
khởi động Cain sẽ tạo ra 1 thread mới và gửi các gói tin ARP Poison đển nạn nhân mỗi
30 giây, người dùng có thể điều chỉnh lại thời gian gửi gói tin (Nếu thời gian quá nhỏ
sẽ tạo ra nhiều traffic ARP, nếu thời gian quá lớn có thể tạo ra một số lỗi trong quá
trình thực hiện hijacking traffic).
Phần cấu hình spoofing sẽ chỉ ra địa chỉ MAC và IP mà cain sẽ ghi vào header
Ethernet và ARP của gói tin ARP Poison, điều này cho phép chúng ta thực hiện cuộc
tấn công ARP Poison hoàn toàn vô danh. Nhưng khi cấu hình tùy chọn này cần phải
chú ý các vấn đề sau:
 Spoofing Ethernet Address: Thực hiện được khi các máy nối tới một hub
hoặc một switch không chạy chức năng port security
 IP address Spoofing: Phải sử dụng các IP address chưa sử dụng ở trong

subnet của mình.
 MAC address Spoofing: Phải sử dụng địa chỉ MAC không có trong subnet.
2.3 Tab Filters and Ports
Đây là nơi cho phép có thể enable/disbale sniffer filter trên một số port, chỉ có
những port nào enbale thì cain mới bắt thông tin. Cain chỉ bắt những thông tin về việc
auhentication chứ không bắt toàn bộ gón tin, nếu bạn muốn có được thông tin của
toàn bộ gói tin thì có thể sử dụng các chương trình khác như wireshark.
3. Sử dụng Cain để thực hiện ARP Poison Routing.
3.1 Mô hình mạng
3.2 Yêu cầu
a. Đặt địa chỉ IP cho server và PC như mô hình.
b. Cài đặt dịch vụ HTTP trên Server (xác thực username, password trước khi sử
dụng).
c. Sử dụng công cụ Cain&Abel phiên bản 4.9.56 trên máy attacker, sniffer
username và password dịch vụ HTTP khi máy Victim sử dụng dịch vụ này trên
máy server.
3.3 Các bước triển khai
a. Đặt địa chỉ IP cho server và 2 PC
Máy server sử dụng Windows server hoặc Linux server, 2 PC sử dụng Windows xp,
7,… (trong bài thực hành này, sử dụng Windows server 2003 làm server, 2 PC sử
dụng Windows xp).
+ Server:
+ Victim:
+ Attacker:
b. Cài đặt dịch vụ HTTP trên Server
+ HTTP:
++ Cài đặt dịch vụ HTTP và trang web đơn giản:

Vào start  setting  control panel  add or remove program  Add/Remove
windows components
Chọn Next để tiếp tục quá trình cài đặt, sau khi cài đặt xong chọn finish để hoàn
thành.
- Tạo trang web đơn giản chỉ bao gồm text.
- Vào my computer  c:\  inetpub  wwwroot, tạo file index.htm với nội dung
bất kỳ (Trong bài thực hành này tạo nội dung “Chao ban den voi website!”).
Test: Truy cập vào website vừa tạo xong
++Cấu hình xác thực username, password khi truy cập dịch vụ HTTP
- Tạo username: u1, password: 123 được sử dụng để xác thực trước khi truy cập
vào website:
Vào start  run  cmd gõ lệnh: net user u1 123 /add để tạo username u1,
password 123.
- Vào start  programs  addministrative tools  Internet Information Services

(IIS) Manager
Nhấp chuột phải vào Default website chọn properties như hình bên dưới
Chọn tab Directory security, nhấn vào nút edit trong mục Authentication and
access control
Nhấn vào nút browse... trong mục use the following windows user account for
anonymous access: gõ u1 và nhấn nút check names, sau đó nhấn OK
Trở lại hộp thoại Authentication Methods, bỏ dấu tick ở mục Enable anonymous
access. Đồng thời đánh dấu tick vào mục Basic authentication(password is sent in
clear text), bỏ chọn các dấu tick còn lại và nhấn ok như hình bên dưới.
- Test: Trên máy client, mở trình duyệt web (Internet explorer, google chrome,
firefox,…) truy cập vào website trên máy server. Lúc này sẽ yêu cầu username,
password trước khi xem được nội dung trang web.
Nhập vào username: u1, password: 123 để xem được nội dung trang web trên
máy server.
c. Sử dụng công cụ Cain&Abel phiên bản 4.9.56 trên máy attacker, sniffer
username và password dịch vụ HTTP khi máy Victim sử dụng dịch vụ này trên
máy server.
- Cài đặt công cụ Cain&Abel phiên bản 4.9.56 trên máy attacker
- Sniffer username, password dịch vụ HTTP khi máy Victim sử dụng dịch vụ này
trên máy server.
B1: Chạy phần mềm Cain&Abel, trên thanh công cụ menu tab chọn tab Configure,
chọn vào card mạng sử dụng để sniffer (ở đây card mạng có địa chỉ IP 10.0.0.2), sau
đó nhấn OK.
Trở về giao diện phần mềm Cain, start sniffer bằng cách nhấn vào nút (hình card
mạng) trên thanh công cụ, như hình bên dưới.
B2: Quét địa chỉ mac trong hệ thống mạng vừa thiết lập
Chuyển qua tab sniffer trên thanh công cụ, sau đó nhấn vào nút hình chữ thập
màu xanh (như hình bên dưới).
Chọn vào nút range, sửa lại dãy địa chỉ IP muốn quét địa chỉ mac từ 10.0.0.1 đến
10.0.0.254, sau đó nhấn OK để tiến hành quét địa chỉ mac.
Kết quả: phần mềm Cain sẽ quét được 2 địa chỉ mac trong hệ thống mạng vừa
thiết lập, để xem hostname chọn vào từng địa chỉ mac hoặc chọn tất cả địa chỉ mac,
nhấn chuột phải chọn Resolve host name.
B3: Thực hiện quá trình APR
Chuyển qua tab APR ở phía dưới cùng của thanh công cụ, sau đó nhấn vào nút
hình chữ thập màu xanh(như hình bên dưới) để mở hộp thoại New ARP Poison
Routing
Hộp thoại New ARP Poison Routing xuất hiện, ở cửa sổ bên trái chọn máy
victim(địa chỉ IP 10.0.0.1), ở cửa sổ bên phải chọn máy server (địa chỉ IP 10.0.0.254)
sau đó nhấn OK.
Để thực hiện quá trình APR, nhấn vào nút hình tròn màu vàng trên thanh công
cộng ở giao diện phần mềm Cain(xem hình bên dưới).
B4: Sniffer username, password dịch vụ HTTP khi máy victim truy cập vào website
trên máy server
Máy victim tiến hành truy cập vào website trên máy server, lúc này sẽ bắt được
username, password truy cập vào dịch vụ HTTP ở máy attacker.
Để xem username, password bắt được này. Trên giao diện phần mềm cain, chuyển
qua tab passwords trên thanh công cụ và chọn vào dịch vụ HTTP bên phía trái (xem
hình bên dưới).
4. Bài tập mở rộng
Cài đặt dịch vụ FTP, TELNET trên máy server và tiến hành sniffer username,
password trên máy attacker.
II. Kali Linux
1. Giới thiệu Kali Linux
Kali Linux là một bản phân phối của Linux dựa trên nền tảng Debian nhằm nâng
cao kiểm tra thâm nhập và an ninh kiểm toán. Kali chứa vài trăm công cụ nhằm mục
đích nhiệm vụ an ninh thông tin khác nhau, chẳng hạn như kiểm tra thâm nhập, điều
tra và dịch ngược. Kali linux được phát triển, tài trợ và duy trì bởi Offensive Security,
một công ty đào tạo bảo mật thông tin hàng đầu.
Kali Linux được phát hành vào ngày 13 tháng 3 năm 2013 như là một nền tảng
hoàn hảo, từ trên xuống dưới xây dựng lại của BackTrack Linux, tôn trọng hoàn toàn
các tiêu chuẩn phát triển của Debian.
2. Bài tập
2.1 CDP Flooding Attack
2.1.1 Giới thiệu CDP (Cisco Discovery Protocol)
CDP là một giao thức độc quyền lớp Data Link được phát triển bởi Cisco Systems.
CDP được sử dụng để chia sẻ thông tin về các thiết bị Cisco kết nối trực tiếp khác,
chẳng hạn như phiên bản hệ điều hành và các địa chỉ IP. CDP cũng có thể được sử
dụng cho On-Demand Routing, là một phương pháp bao gồm thông tin định tuyến
trong thông báo CDP để các giao thức định tuyến động không cần phải sử dụng trong
các mạng đơn giản.
Lợi dụng giao thức này, Attacker sẽ sử dụng chương trình làm giả các gói tin CDP
để làm Router/Switch tốn tài nguyên để xử lý. Một trong những công cụ thực hiện
được chức năng này là Yersinia, công cụ có sẵn trên Kali Linux.
2.1.2 Công cụ Yersinia
Yersinia là một chương trình khung để thực hiện các cuộc tấn công lớp 2. Yersinia
được thiết kế để tận dụng lợi thế một số yếu điểm trong các giao thức mạng khác
nhau. Yersinia giả vờ là một chương trình khung vững chắc cho việc phân tích và thử
nghiệm các mạng và hệ thống được triển khai. Các cuộc tấn công vào các giao thức
mạng như:
 Spanning Tree Protocol (STP)
 Cisco Discovery Protocol (CDP)
 Dynamic Trunking Protocol (DTP)
 Dynamic Host Configuration Protocol (DHCP)
 Hot Standby Router Protocol (HSRP)
 802.1q
 802.1x
 Inter-Switch Link Protocol (ISL)
 VLAN Trunking Protocol (VTP)
2.1.3 Mô hình triển khai

Yêu cầu:
a. Dựng mô hình như hình vẽ.
b. Kích hoạt interface và CDP trên cổng f0/0 của router R1.
c.Thực hiện tấn công cdp flooding vào router R1 sử dụng công cụ Yersinia 0.7.3 có
sẵn trên hệ điều hành Kali Linux phiên bản 1.0.6 hoặc tương đương.
d. Đưa ra biện pháp phòng chống tấn công cdp flooding.
2.1.4 Quá trình thực hiện
a. Dựng mô hình như hình vẽ
Triển khai mô hình trên phần mềm GNS3, router R1 sử dụng IOS router Cisco
c3640 phiên bản 12.4 hoặc tương đương, máy Kali Linux phiên bản 1.0.6 hoặc tương
đương chạy trên phần mềm VMWARE.
b. Kích hoạt interface và CDP trên cổng f0/0 của router R1.
Trên Router R1, kích hoạt interface f0/0 đang ở chế độ disable, bằng cách vào
interface này, gõ lệnh no shutdown.
R1(config)#interface f0/0
R1(config-if)#no shutdown
Mặc định CDP đã được kích hoạt trên các interface của router cisco, nếu chưa được
kích hoạt gõ lệnh cdp enable để kích hoạt CDP.
R1(config-if)#cdp enable
kiểm tra CDP neighbor, traffic, CPU cho quá trình xử lý gói tin CDP.
c. Thực hiện tấn công cdp flooding vào router R1 sử dụng công cụ
Yersinia 0.7.3 có sẵn trên hệ điều hành Kali Linux phiên bản 1.0.6 hoặc
tương đương.
Trên cửa sổ Terminal của Kali Linux truy cập vào chương trình Yersinia bằng câu
lệnh:
root@kali:~#yersinia –G
Ở Tab CDP, cho thấy router R1 đang chạy CDP.
Trên giao diện chương trình Yersinia có rất nhiều cách tấn công như: CDP, DHCP,
802.1Q,… trong bài tập này sẽ thực hiện quá trình tấn công CDP flooding.
Để thực hiện quá trình tấn công, trên thanh công cụ của chương trình Yersinia
nhấn vào nút Launch Attack, hộp thoại xuất hiện, chọn flooding CDP table  OK.
Lúc này Yersinia sẽ tạo ra hàng nghìn gói tin CDP(xem hình bên dưới):
Trên Router R1, thực hiện thao tác rất chậm, gõ lệnh thì bị delay khá lâu.
Sử dụng các câu lệnh show trên router R1 để kiểm tra:
- Show cdp traffic: Sử dụng để kiểm tra traffic

- Show process cpu sorted | incude CPU|PID runtime| CDP Protocol: Sử dụng để
kiểm tra hiệu xuất CPU và các tiến trình.
- Show cdp neighbor: Hiển thị chi tiết thông tin về các thiết bị lân cận phát hiện sử
dụng CDP.
Để dừng quá trình flooding CDP, trên thanh công cụ của chương trình Yersinia
nhấn vào nút List attacks  Cancel all attacks.
d. Đưa ra biện pháp phòng chống tấn công cdp flooding.
Vô hiệu hóa CDP trên các interface f0/0 của router R1, bằng cách truy cập vào
interface f0/0 và gõ lệnh no cdp enable.
R1(config-if)#no cdp enable
2.2 DHCP Starvation Attack
2.2.1 Giới thiệu tấn công DHCP Starvation Attack
Tấn công DHCP starvation attack hoạt động bằng cách yêu cầu DHCP gửi các gói
tin broadcast với địa chỉ MAC giả mạo. Điều này có thể dễ dàng đạt được với các công
cụ tấn công như "Gobbler" (một công cụ được thiết kế để kiểm toán các khía cạnh
khác nhau của mạng DHCP, từ việc phát hiện nếu DHCP được chạy trên một mạng để
thực hiện tấn công từ chối dịch vụ). Nếu đủ yêu cầu được gửi đi, những kẻ tấn công
mạng có thể làm cạn kiệt không gian địa chỉ có sẵn trên các máy chủ DHCP trong một
khoảng thời gian. Đây là cuộc tấn công làm thiếu tài nguyên đơn giản như tấn công
flood SYN. Sau đó những kẻ tấn công mạng thiết lập một máy chủ DHCP giả mạo trên
hệ thống và đáp ứng các yêu cầu DHCP từ client trên mạng.
Trong hệ thống mạng, khi Client xin địa chỉ IP từ DHCP Server sẽ trải qua 4 bước
bằng cách lần lượt trao đổi 4 gói tin giữa DHCP client và Server gồm: Discover, Offer,
Request, Ack.
2.2.2 Mô hình triển khai
Yêu cầu:
b. Đặt địa chỉ IP tĩnh cho router R1 như hình vẽ, cấu hình DHCP Server trên router
R1 cấp mạng 192.169.10.0/24 cho các PC trong mạng và tiến hành xin IP trên
máy Client.
c. Xóa bỏ IP trên máy Client và thực hiện tấn công DHCP Starvation Attack trên
máy Kali Linux vào DHCP Server. Sau đó tiến hành xin lại IP trên máy client,
cho biết kết quả?
d. Đưa ra biện pháp phòng chống tấn công DHCP Starvation Attack.
2.2.3 Quá trình thực hiện
Triển khai mô hình trên phần mềm GNS3, router R1 sử dụng IOS router Cisco
c3640 phiên bản 12.4 hoặc tương đương, sử dụng phần mềm VMWARE giả lập máy
Kali Linux sử dụng phiên bản 1.0.6 và máy client sử dụng hệ điều hành Windows
client (xp,7,8,…).
b. Đặt địa chỉ IP và cấu hình DHCP server trên router R1.
- Cấu hình địa chỉ IP 192.169.10.1/24 trên interface f0/0
R1(config-if)#ip address 192.169.10.1 255.255.255.0
- Cấu hình DHCP Server cấp mạng 192.169.10.0/24 cho các PC trong hệ thống,
trừ ra địa chỉ IP 192.169.10.1 do đã cấp cho router R1 (sử dụng lệnh ip dhcp
excluded-address 192.169.10.1)
R1(config)#ip dhcp pool VLAN1

R1(dhcp-config)#network 192.169.10.1 /24
R1(dhcp-config)#exit
R1(config)#ip dhcp excluded-address 192.169.10.1
- Kiểm tra DHCP Server đã cấu hình:
Trên máy Client tiến hành xin IP, tại cửa sổ cmd, gõ lệnh ipconfig /renew
Trước khi có tấn công DHCP Starvation attack, quá trình xin IP từ DHCP Server
thành công.
c. Thực hiện tấn công DHCP Starvation Attack vào DHCP Server
Như đã giới thiệu ở bài trước, trên Kali Linux có sẵn công cụ Yersinia, có tính năng
thực hiện tấn công DHCP Starvation attack.
Trên máy Kali Linux, ở cửa sổ termial gõ yersinia -G để mở giao diện Yersinia.
root@kali:~#yersinia –G
Hộp thoại chương trình Yersinia xuất hiện, chọn tab DHCP, để khởi động quá trình
tấn công DHCP Starvation, chọn vào nút Launch attack như hình bên dưới:
Hộp thoại hiện ra chọn tab DHCP và chọn sending DISCOVER packet  OK
Lúc này, chương trình Yersinia tạo ra rất nhiều gói Discover giả mạo để tìm kiếm
và gửi đến DHCP server.
Trên Router R1 lúc này xử lý rất chậm, CPU dành cho việc xử lý gói tin Discover
chiếm hầu hết hiệu suất.
Kiểm tra các tiến trình và khả năng xử lý của CPU sử dụng lệnh show process.
Trên máy Client, tiến hành xóa IP cũ (sử dụng lệnh ipconfig /release tại dấu nhăc
lệnh trong cửa sổ cmd) và xin cấp phát lại địa chỉ IP từ DHCP Server nhưng không
thành công. Xuất hiện thông báo không thể liên hệ với DHCP server (xem hình bên
dưới).
Để ngừng tấn công, nhấn vào nút List attacks  Cancel all attacks.
Trên router R1, gõ lệnh show ip dhcp binding sẽ có rất nhiều địa chỉ IP mà
DHCP đã Offer do quá trình tấn công DHCP Starvation đã gửi nhiều gói tin Discover
liên tục tới router R1.
Sử dụng lệnh show ip dhcp server statistics để xem DHCP Server đã thống kê
các gói tin DHCP nhận được và gửi đi.
Từ các lệnh kiểm tra trên cho thấy rằng, khi máy Kali Linux thực hiện tấn công
DHCP Starvation chỉ gửi gói tin DHCP Discover, khi Server gửi lại gói DHCP Offer thì
quá trình tấn công không gửi lại gói DHCP Request, nên Sever vẫn để dành những địa
chỉ đã Offer đó (đã thấy ở lệnh show ip dhcp binding ở trên), sau một khoảng thời
gian không nhận được gói DHCP Request thì DHCP Server mới xóa những entry này
trong database.
d. Biện pháp phòng chống
Để ngăn chặn kiểu tấn công này, trên thiết bị Switch(SW) bạn phải cấu hình những
tính năng sau:
- Port security
Giới hạn MAC học trên mỗi cổng bằng cách sử dụng câu lệnh switchport port-
security maximum.
Trong bài tập này, cấu hình port-security trên interface e0/0 và e0/2 của switch
SW, giới hạn địa chỉ MAC học được là 2.
SW(config)#interface range e0/0,e0/2

SW(config-if)#switchport port-security
SW(config-if)#switchport port-security maximum 2
- DHCP Snooping
Cấu hình tính năng này để chống giả mạo DHCP Server, sau khi cấu hình tính
năng này interface nối với DHCP server sẽ trở thành interface tin cậy (trust), các
interface còn lại nối với Client sẽ trở thành interface không tin cậy(untrust). Các
interface untrust chỉ nhận gói tin DHCP DISCOVER, DHCP REQUEST hay DHCP
RELEASE. Các interface trust sẽ cho phép nhận gói tin DHCP OFFER. Nếu một DHCP
server giả gắn vào switch được cấu hình tính năng snooping và gửi DHCP OFFER thì
switch sẽ loại bỏ gói tin này.
Trong bài tập này, cấu hình tính năng DHCP snooping trên interface e0/1 của
switch SW (cổng nối với DHCP Server).
SW(config)# ip dhcp snooping

SW(config)# ip dhcp snooping vlan 1
SW(config-if)# interface e0/1
SW(config-if)# ip dhcp snooping trust
SW(config-if)# exit
SW(config)#no ip dhcp snooping information option
- Monitor DHCP Server
Sử dụng các lệnh show để monitor các pool, các tiến trình và quá trình xử lý của
DHCP Server:
R1#show process: Để xem các tiến trình và hiệu suất xử lý của CPU.
R1#show ip dhcp pool: Để xem các pool tạo trên DHCP Server, tổng số địa chỉ IP
cấp, địa chỉ IP hiện tại đang cấp và số lượng địa chỉ IP đã cấp.
Lưu ý: Để cấu hình được tính năng này trên switch sử dụng phần mềm
gns3, yêu cầu thiết bị switch phải sử dụng Cisco IOU Switch để giả lập.
Bài thực hành số 2: AAA, RADIUS

I. Giới thiệu AAA và RADIUS
- AAA (Authentication, Authorization, Accounting): Là thuật ngữ cho một

khuôn khổ, sử dụng cho việc kiểm soát thông minh truy cập vào tài nguyên
máy tính, chính sách thực thi, kiểm toán sử dụng và cung cấp các thông tin cần
thiết cho các dịch vụ. Các quá trình kết hợp này được coi là quan trọng cho việc
quản lý mạng hiệu quả và an toàn.
- RADIUS (Remote Authentication Dial-In User Service): Là dịch vụ quay số

xác thực người dùng từ xa, giao thức được sử dụng trong giao tiếp giữa NAS và
máy chủ AAA. Hỗ trợ xác thực, ủy quyền và kiểm toán, được định nghĩa trong
RFC 2865.
II. Bài tập thực hành
Mô hình triển khai
Trong bài thực hành này, xây dựng một mạng lưới nhiều router và cấu hình các
router và host. Sử dụng các lệnh CLI khác nhau để cấu hình các router với xác thực
cục bộ cơ bản và xác thực cục bộ sử dụng AAA. Cài đặt phần mềm RADIUS trên một
máy tính bên ngoài và sử dụng AAA để xác thực người dùng với RADIUS server.
Bảng địa chỉ IP
Yêu cầu
Phần 1: Cấu hình thiết bị mạng cơ bản
- Cấu hình các thiết lập cơ bản như host name, địa chi IP cho cổng và mật
khẩu truy cập.
- Cấu hình định tuyến tĩnh.
Phần 2: Cấu hình xác thực cục bộ trên R1 và R3
- Cấu hình một cơ sở dữ liệu người dùng cục bộ và truy cập cục bộ cho các
đường console và vty.
- Kiểm tra cấu hình.
Phần 3: Cấu hình xác thực cục bộ sử dụng AAA trên R3
- Cấu hình cơ sở dữ liệu người dùng cục bộ.
- Cấu hình AAA xác thực cục bộ.
- Kiểm tra cấu hình.
Phần 4: Cấu hình xác thực tập trung sử dụng AAA và RADIUS trên R1
- Cài đặt một RADIUS server trên PC-A.
- Cấu hình các người dùng trên RADIUS server.
- Cấu hình dịch vụ AAA trên R1 để truy cập đến RADIUS server để xác thực.
- Kiểm tra cấu hình AAA RADIUS.
Thiết bị và phần mềm hỗ trợ
- Phần mềm GNS3
- Phần mềm VMWARE
- 3 router (Cisco IOS C3725 , phiên bản 12.4(20)T hoặc tương đương)
- PC-A: Windows XP, Vista, hoặc Windows Server với phần mềm RADIUS
server có sẵn
- PC-C: Windows XP hoặc Vista
Hướng dẫn cấu hình
- Cấu hình cơ bản địa chỉ IP cho các Router và PC:
Router R1
R1#configure terminal
R1(config)# interface f0/0
R1(config-if)# no shutdown
R1(config-if)# ip address 192.168.1.1 255.255.255.0
R1(config)# exit
R1(config)# interface s0/0
Router R2
R2(config)# exit
Router R3
R3(config)# exit
PC-A
PC-C
- Cấu hình định tuyến tĩnh trên R2, default route trên R1, R3:
Router R1
R1(config)# ip route 0.0.0.0 0.0.0.0 10.1.1.2
Router R2
R2(config)# ip route 192.168.1.0 255.255.255.0 10.1.1.1
R2(config)# ip route 192.168.3.0 255.255.255.0 10.2.2.1
Router R3
R3(config)# ip route 0.0.0.0 0.0.0.0 10.2.2.2
- Kiểm tra kết nối giữa các PC và router:
Ping thành công từ R1 đến R3

Ping thành công từ PC-A đến PC-C
- Cấu hình và mã hóa mật khẩu trên R1 và R3
Bước 1: Sử dụng lệnh security passwords để thiết lập chiều dài mật khẩu tối thiểu
10 ký tự:
Router(config)# security passwords min-length 10
Bước 2: Sử dụng lệnh Service password-encryption để mã hóa password console,

vty:
Router(config)#service password-encryption
Bước 3: Cấu hình password secret sử dụng lệnh enable secret password:
Router(config)# enable secret cisco12345
Bước 3: Cấu hình cơ bản cổng console và các đường truy cập ảo (telnet)
- Password console. Trong đó, lệnh exec-timeout gây ra các dòng log sau 5 phút
không hoạt động và lệnh logging synchronous ngăn chặn các message console
làm gián đoạn lệnh nhập vào:
Router(config)# line console 0

Router(config-line)# password ciscoconpass
Router(config-line)# exec-timeout 5 0
Router(config-line)# login
Router(config-line)# logging synchronous
- Password trên line vty cho router dùng để telnet:

Router(config)# line vty 0 4

Router(config-line)# password ciscovtypass
- Cấu hình một biểu ngữ cảnh báo đăng nhập:
Sử dụng lệnh banner motd để cấu hình. Khi một người sử dụng kết nối đến một
trong những router, banner motd xuất hiện trước dấu nhắc đăng nhập, các dấu đô la
($) được sử dụng để bắt đầu và kết thúc thông điệp.
Router(config)# banner motd $Truy cap trai phep deu bi nghiem cam$
Phần 2: Cấu hình xác thực cục bộ (thực hiện trên R1 và R3):
Các thủ tục dưới đây thực hiện trên R1
- Cấu hình cơ sở dữ liệu người dùng cục bộ:
Tạo một tài khoản cục bộ với hàm băm MD5 để mã hóa mật khẩu.
Router(config)#username user01 secret user01pass
- Cấu hình xác thực cục bộ cho đường console và đăng nhập:
Thiết lập đường console để sử dụng tên người dùng đăng nhập và mật khẩu xác
định tại cục bộ.
Router(config)#line console 0
Router(config-line)#login local
Thoát ra màn hình ban đầu của router (sử dụng lệnh exit) hiển thị: R1 con0 is now
available, Press RETURN to get started.
Đăng nhập bằng cách sử dụng tài khoản user01 và mật khẩu được định nghĩa
trước đó, để vào chế độ privileged EXEC sử dụng lệnh enable và nhập password
secret là cisco12345.
Thiết lập các đường vty để sử dụng các tài khoản được xác định cục bộ.
Router(config)#line vty 0 4
Từ PC-A telnet đến R1, đăng nhập với tài khoản user01 và mật khẩu là
user01pass. Trong khi telnet đến R1, truy vào chế độ privileged EXEC với lệnh enable,
sử dụng mật khẩu secret là cisco12345.
Lưu cấu hình
Sử dụng lệnh copy run start ở chế độ privileged EXEC
Router# copy run start
Thực hiện tương tự trên R3
Phần 3: Cấu hình xác thực cục bộ sử dụng AAA trên R3:
- Cấu hình cơ sở dữ liệu người dùng cục bộ:
Cấu hình một tài khoản người dùng cục bộ với hàm băm MD5 để mã hóa mật
khẩu.
R3(config)#username Admin01 privilege 15 secret Admin01pass
- Cấu hình AAA xác thực cục bộ:
Kích hoạt dịch vụ AAA:
R3(config)#aaa new-model
Triển khai dịch vụ AAA cho việc truy cập console sử dụng cơ sở dữ liệu cục bộ:
Tạo một danh sách xác thực đăng nhập mặc định bằng cách ban hành lệnh aaa
authentication login default method1[method2][method3] với một danh sách phương
pháp sử dụng local và none keywords.
R3(config)#aaa authentication login default local none
Thoát ra màn hình router ban đầu (sử dụng lệnh exit) hiển thị: R3 con0 is now
available, Press RETURN to get started.
Đăng nhập vào console với tài khoản người dùng Admin01 và mật khẩu
Admin01pass.
Thoát ra màn hình ban đầu hiển thị: R3 con0 is now available, Press RETURN to
get started.
Cố gắng đăng nhập đến console với người dùng bất kỳ (ở đây là baduser).
Nếu người dùng không tìm thấy trong cơ sở dữ liệu cục bộ, tùy chọn none trên
lệnh aaa authentication login default local none yêu cầu không xác thực, cho nên vẫn
có thể đăng nhập với người dùng bất kỳ đến cổng console.
- Tạo một hồ sơ chứng thực AAA cho Telnet sử dụng cơ sở dữ liệu cục bộ:
Tạo một danh sách xác thực duy nhất cho Telnet truy cập đến router. Chỉ định tên
một danh sách TELNET_LINES và áp dụng nó đến các đường vty.
R3(config)#aaa authentication login TELNET_LINES local

R3(config)#line vty 0 4
R3(config-line)#login authentication TELNET_LINES
Xác minh rằng hồ sơ chứng thực này được sử dụng bằng cách mở một phiên Telnet
từ PC-C đến R3, đăng nhập với tài khoản Admin01, mật khẩu Admin01pass.
Thoát phiên Telnet với lệnh exit, và telnet đến R1 một lần nữa. Cố gắng để đăng
nhập với người dùng và mật khẩu bất kỳ (ở đây sử dụng người dùng baduser, mật
khẩu 123).
Nếu người dùng không được tìm thấy trong cơ sở dữ liệu cục bộ, không có phương
pháp dự phòng quy định trong danh sách chứng thực cho các đường vty cho nên
không thể thiết lập phiên telnet.
- Quan sát Chứng thực AAA sử dụng lệnh Debug:
Kiểm tra thời gian hệ thống:
Sử dụng lệnh show clock để xác định thời gian hiện tại cho router. Để Thiết lập
thời gian từ chế độ privilged EXEC với lệnh clock set HH:MM:SS DD Month YYYY.
R3# clock set 14:15:00 1 nov 2015
Sử dụng lệnh debug để kiểm tra người dùng truy cập:
Kích hoạt debug cho chứng thực AAA.
R3#debug aaa authentication

AAA Authentication debugging is on
Bắt đầu một phiên Telnet từ PC-C đến R3. Đăng nhập với người dùng Admin01 và
mật khẩu Admin01pass. Quan sát sự kiện chứng thực AAA trong cửa sổ phiên
console. Thông điệp debug tương tự như sau sẽ được hiển thị.
R3#
Dec 26 14:36:42.323: AAA/BIND(000000A5): Bind i/f
Dec 26 14:36:42.323: AAA/AUTHEN/LOGIN (000000A5): Pick method list
'default'
Từ cửa sổ Telnet, vào chế độ privileged EXEC. Sử dụng mật khẩu enable secret là
cisco12345. Các thông điệp debug tương tự như sau sẽ được hiển thị. Trong thành
phần thứ 3, lưu ý tên người dùng (Admin01), số cổng ảo (tty194), và địa chỉ client
telnet ở xa (192.168.3.3). Cũng lưu ý rằng thành phần trạng thái cuối cùng là
"PASS."
R3#
Dec 26 14:40:54.431: AAA: parse name=tty194 idb type=-1 tty=-1
Dec 26 14:40:54.431: AAA: name=tty194 flags=0x11 type=5 shelf=0 slot=0
adapter=0 port=194 channel=0
Dec 26 14:40:54.431: AAA/MEMORY: create_user (0x64BB5510) user='Admin01'

ruser=' NULL' ds0=0 port='tty194' rem_addr='192.168.3.3' authen_type=ASCII
service=ENABLE priv=15 initial_task_id='0', vrf= (id=0)
Dec 26 14:40:54.431: AAA/AUTHEN/START (2467624222): port='tty194' list=''
action=LOGIN service=ENABLE
Dec 26 14:40:54.431: AAA/AUTHEN/START (2467624222): non-console enable –
default to enable password
Dec 26 14:40:54.431: AAA/AUTHEN/START (2467624222): Method=ENABLE
R3#
Dec 26 14:40:54.435: AAA/AUTHEN(2467624222): Status=GETPASS
R3#
Dec 26 14:40:59.275: AAA/AUTHEN/CONT (2467624222): continue_login
(user='(undef)')
Dec 26 14:40:59.275: AAA/AUTHEN/CONT (2467624222): Method=ENABLE
Dec 26 14:40:59.287: AAA/AUTHEN(2467624222): Status=PASS
Dec 26 14:40:59.287: AAA/MEMORY: free_user (0x64BB5510) user='NULL'
ruser='NULL' port='tty194' rem_addr='192.168.3.3' authen_type=ASCII
service=ENABLE priv=15 v
rf= (id=0)
Từ cửa sổ Telnet, thoát khỏi chế độ privileged EXEC sử dụng lệnh disable. Cố gắng
để vào chế độ privileged EXEC một lần nữa, nhưng sử dụng một mật khẩu sai cho lần
này. Quan sát lệnh đầu ra debug trên R3, lưu ý rằng trạng thái là "FAIL" cho lần này.

Dec 26 15:46:54.027: AAA/AUTHEN/CONT (2175919868): Method=ENABLE
Dec 26 15:46:54.039: AAA/AUTHEN(2175919868): password incorrect
Dec 26 15:46:54.039: AAA/AUTHEN(2175919868): Status=FAIL
Dec 26 15:46:54.039: AAA/MEMORY: free_user (0x6615BFE4) user='NULL'
ruser='NULL'
port='tty194' rem_addr='192.168.3.3' authen_type=ASCII service=ENABLE
priv=15 v
rf= (id=0)
Phần 4: Cấu hình chứng thực tập trung sử dụng AAA và RADIUS trên R1:
Khôi phục R1 với cấu hình cơ bản:
- Xóa và reload router:
Trên gns3 xóa file cấu hình của R1 chứa trong thư mục configs của bài thực hành
(R1.cfg). Sau đó, tắt và chạy lại các router của bài thực hành để khôi phục cấu hình
mặc định của R1.
- Khôi phục cấu hình cơ bản:
Khi khởi động lại router, khôi phục cấu hình cơ bản cho R1 như trong phần 1 và
phần 2 của bài thực hành này.
- Tải và cài đặt một máy chủ RADIUS trên PC-A:
Tải phần mềm WinRadius:
Tải phiên bản mới nhất từ đường dẫn http://downloads.fyxm.net/WinRadius-

103252.html.
Cấu hình cơ sở dữ liệu cho máy chủ WinRadius:
Khởi động ứng dụng WinRadius.exe. WinRadius sử dụng cơ sở dữ liệu cục bộ, trong
đó nó lưu thông tin người dùng. khi ứng dụng được khởi động cho lần đầu tiên, thông
điệp sau đây được hiển thị.
Please go to “Settings/Database and create the ODBC for your RADIUS

database.
Launch ODBC service failed.
Chọn Settings  Database từ menu chính và màn hình sau đây được hiển thị.
Chọn nút Configure ODBC automatically và sau đó nhấn OK. Bạn sẽ thấy rằng một
thông báo ODBC được tạo thành công. Thoát WinRadius và khởi động lại ứng dụng để
thay đổi có hiệu lực.
Thiết lập ODBC trên WinRadius

Khi WinRadius khởi động lại. Bạn sẽ nhìn thấy thông báo tương tự sau đây.
Giao diện chính WinRadius

- Cấu hình người dùng và mật khẩu trên máy chủ WinRadius:
Từ menu chính, chọn Operation  Add User. Nhập tên người sử dụng RadUser,
mật khẩu RadUserpass.
Thêm người dùng trong WinRadius

Nhấn OK. Bạn sẽ thấy một thông báo trên màn hình thông báo log rằng người
dùng đã được tạo thành công.
- Kiểm tra người dùng mới được bổ sung sử dụng tiện ích test trên WinRadius:
Khởi động ứng dụng RadiusTest, và nhập vào địa chỉ IP máy chủ RADIUS
(192.168.1.3), tên người dùng RadUser, mật khẩu RadUserpass như hình dưới. Không
thay đổi số cổng RADIUS mặc định là 1813 và mật khẩu RADIUS là WinRadius.
Chọn Send và bạn sẽ thấy một thông báo Send Access_Request cho biết máy chủ
là 192.168.1.3, số cổng 1813, nhận được 44 ký tự thập lục phân. Hiển thị trên màn
hình log của WinRadius, Bạn cũng sẽ thấy một thông điệp chỉ ra rằng người dùng
RadUser được chứng thực thành công.
Kiểm tra người dùng trong RadiusTest

- Cấu hình dịch vụ AAA trên R1 và truy cập máy chủ RADIUS:
Kích hoạt AAA trên R1:
Sử dụng lệnh aaa new-model trong chế độ global config để kích hoạt AAA.
R1(config)#aaa new-model
Cấu hình danh sách chứng thực đăng nhập mặc định:
Cấu hình danh sách để đầu tiên sử dụng RADIUS cho dịch vụ chứng thực, và sau
đó là none. Nếu không có máy chủ RADIUS có thể đạt được và chứng thực không thể
được thực hiện, R1 cho phép truy cập mà không cần xác thực. Đây là một biện pháp
tự vệ trong trường hợp R1 khởi động mà không thể kết nối đến một máy chủ RADIUS
hoạt động.
R1(config)#aaa authentication login default group radius none
Xác định một máy chủ RADIUS:
Sử dụng lệnh radius-server host hostname key key để trỏ đến máy chủ RADIUS.
Tham số hostname chấp nhận hoặc là một tên máy chủ hoặc là một địa chỉ IP. Sử
dụng địa chỉ máy chủ RADIUS, PC-A (192.168.1.3). Key là một mật khẩu secret được
chia sẽ bí mật giữa máy chủ RADIUS và máy khách RADIUS (R1 trong trường hợp
này) và được sử dụng để chứng thực kết nối giữa router và máy chủ trước khi quá
trình xác thực người dùng diễn ra. Máy khách RADIUS có thể là một máy chủ truy cập
mạng (NAS), nhưng router R1 đóng vai trò trong bài thực hành này.
R1(config)#radius-server host 192.168.1.3 key WinRadius
- Kiểm tra cấu hình AAA RADIUS:
Nếu khởi động lại máy chủ WinRadius, phải tạo lại người dùng RadUser với một
mật khẩu là RadUserpass bằng cách chọn Operation  Add User.
Xóa các log trên máy chủ WinRadius bằng cách chọn Log  Clear từ menu chính.
Trên R1, thoát đến màn hình ban đầu hiển thị: R1 con0 is now available, Press
RETURN to get started.
Kiểm tra cấu hình AAA RADIUS bằng cách đăng nhập đến console trên R1 sử dụng
tên người dùng RadUser và mật khẩu RadUserpass. Có một sự chậm trễ đáng kể.
Thoát đến màn hình ban đầu hiển thị: R1 con0 is now available, Press RETURN to
get started.
Kiểm tra cấu hình AAA RADIUS một lần nữa bằng cách đăng nhập vào cổng
console trên R1 sử dụng tên người dùng không tồn tại Userxxx và mật khẩu
Userxxxpass. Mặc dù một tên người dùng và mật khẩu không hợp lệ được cung cấp,
tham số none trên danh sách đăng nhập mặc định cho phép bất kỳ tên người dùng
truy cập.
Khi máy chủ RADIUS không có sẵn, các thông điệp tương tự sau thường được hiển
thị sau khi cố gắng đăng nhập.
*Mar 1 00:20:25.739: %RADIUS-4-RADIUS_DEAD: RADIUS server
192.168.1.3:1645,1646 is not responding.
*Mar 1 00:20:25.743: %RADIUS-4-RADIUS_ALIVE: RADIUS server
192.168.1.3:1645,1646 is being marked alive.
- Khắc phục sự cố giao tiếp giữa R1 và máy chủ RADIUS:
Kiểm tra số cổng mặc định RADIUS UDP được sử dụng trên R1 với lệnh radius-
server host.
R1(config)#radius-server host 192.168.1.3 ?

acct-port UDP port for RADIUS accounting server (default is 1646)
alias 1-8 aliases for this server (max. 8)
auth-port UDP port for RADIUS authentication server (default is 1645)
< Output omitted >
Mặc định R1 có số cổng UDP mặc định cho máy chủ RADIUS là 1645 và 1646.
Từ menu chính của WinRadius chọn Settings  System.
Thông số hệ thống trên WinRadius

Mặc định Số cổng WinRadius UDP là 1812 và 1813.
- Thay đổi số cổng RADIUS trên R1 để phù hợp với máy chủ WinRadius:
Hủy bỏ Cấu hình trước đó sử dụng lệnh sau đây.
R1(config)#no radius-server host 192.168.1.3 auth-port 1645 acct-port 1646
Ban hành lệnh radius-server host một lần nữa và lần này xác định số cổng 1812 và
1813, cùng với địa chỉ IP và khóa bí mật cho máy chủ RADIUS.
R1(config)#radius-server host 192.168.1.3 auth-port 1812 acct-port 1813 key

WinRadius
- Kiểm tra cấu hình AAA RADIUS bằng cách đăng nhập vào trong cổng console
trên R1:
get started.
Đăng nhập một lần nữa với tên người dùng RadUser và mật khẩu là RadUserpass.
Có sự chậm trễ không đáng kể, R1 đã có thể truy cập máy chủ RADIUS để xác nhận
tên người dùng và mật khẩu.
Các thông báo sau sẽ hiển thị trên RADIUS server log.
User (RadUser) authenticate OK.
get started.
Đăng nhập một lần nữa sử dụng tên người dùng không xác định Userxxx và mật
khẩu Userxxxpass. R1 không thể truy cập máy chủ RADIUS và xác nhận thất bại.
Các thông điệp sau đây sẽ hiển thị trên RADIUS server log.
Reason: Unknown username

User (Userxxx) authenticate failed
Thông báo log chứng thực người dùng thất bại

- Tạo một danh sách phương thức xác thực cho Telnet và thử nghiệm:
Tạo một danh sách xác thực duy nhất cho Telnet truy cập đến R1. Đặt tên danh
sách phương thức xác thực là TELNET_LINES.
R1(config)#aaa authentication login TELNET_LINES group radius
Áp dụng danh sách đến các đường vty trên R1 sử dụng lệnh login authentication.
R1(config)#line vty 0 4
R1(config-line)#login authentication TELNET_LINES
Telnet từ PC-A đến R1 và đăng nhập bằng tên người dùng RadUser và mật khẩu
RadUserpass. R1 liên lạc máy chủ Radius để xác thực người dùng và mật khẩu thành
công.
Thoát khỏi phiên Telnet và telnet từ PC-A đến R1 lần nữa. Đăng nhập với tên người
dùng Userxxx và mật khẩu Userxxxpass. R1 liên lạc với máy chủ RADIUS cho xác
thực người dùng và sự kết hợp tên người dùng/mật khẩu không được định nghĩa trong
cơ sở dữ liệu RADIUS, do đó truy cập bị từ chối.
Phần 5: Bài tập mở rộng
a. Cài đặt một TACACS Server trên PC-A, sử dụng phần mềm Cisco-ACS phiên
bản 4.2.
b. Cấu hình TACACS client trên router R1.
c. Tạo username: user1, password: 123 trên TACACS SERVER.
d. Kiểm tra cấu hình TACACS: Trên PC-C mở phiên Telnet đến router R1, sử
dụng tài khoản vừa tạo trên TACACS Server để xác thực.
Bài thực hành số 3: ACL

I. Giới thiệu ACL (Access Control List)
ACL là danh sách các điều kiện được áp dụng thông qua cổng của router,
firewall,... Các danh sách cho router, firewall biết loại gói tin được cho phép hoặc từ
chối. khả năng cho phép và từ chối dựa trên các điều kiện quy định. ACL cho phép
quản lý lưu lượng và truy cập an toàn đến và đi từ một mạng.
Phân loại ACL: ACL được chia thành các loại sau:
 Standard ACL
 Extended ACL
 Reflexive ACL
 Dynamic ACL
 Time-Based ACL
 Context-based Access Control (CBAC) ACL

Yêu cầu
- Cấu hình cơ bản địa chỉ IP cho các Router và PC.
- Cấu hình telnet và mã hóa tất cả các mật khẩu (enable, console, vty) trên tất cả
router.
- Cấu hình định tuyến tĩnh trên 2 router.
- Kiểm tra kết nối giữa các PC và router.
Phần 2: Cấu hình ACL
- Lọc các gói tin sử dụng standard ACL:
 Thực hiện cấm tất cả các lưu lượng từ PC-B đến các PC trong mạng
172.16.1.0/24.
 Chỉ cho phép PC-A telnet vào R2.
 Chỉ cho phép PC-B truy cập vào R2 qua giao diện web.
- Lọc các gói tin sử dụng extended ACL. R1 cho phép tất cả các lưu lượng từ
PC-C đến PC-A và từ chối tất cả các lưu lượng từ PC-C đến PC-B.
- Phần mềm GNS3

- 3 PC: PC-A, PC-B sử dụng Windows XP hoặc Windows 7, PC-C sử dụng

Windows server hoặc Linux Server.
Router R1
R1(config)# exit
R1(config-if)# clock rate 64000
Router R2
R2(config)# exit
PC-A
PC-B
PC-C
- Cấu hình telnet và mã hóa tất cả các mật khẩu (enable, console, vty)
trên tất cả router:
Cấu hình telnet
Sử dụng lệnh password để đặt mật khẩu cho các đường truy cập ảo dùng để
telnet.

Cấu hình mật khẩu enable secret sử dụng lệnh enable secret <password>.
Cấu hình cơ bản cổng console sử dụng lệnh password để đặt mặt khẩu cho cổng
console.

Sử dụng lệnh Service password-encryption để mã hóa mật khẩu console, vty:
Kiểm tra telnet từ PC-A đến R2 thành công, mật khẩu sử dụng là ciscovtypass.
- Cấu hình định tuyến tĩnh trên 2 router:
R1(config)# ip route 172.16.1.0 255.255.255.0 203.162.1.2

R2(config)# ip route 192.168.1.0 255.255.255.0 203.162.1.1
Ping thành công từ PC-C đến PC-B

Phần 2: Cấu hình ACL
- Lọc các gói tin sử dụng standard ACL:
 Thực hiện cấm tất cả các lưu lượng từ PC-B đến các PC trong mạng
172.16.1.0/24
Bước 1: Tạo ACL 1 trên R2 cấm tất cả lưu lượng từ PC-B và cho phép các lưu lượng
còn lại đến các PC trong mạng 172.16.1.0/24:
Sử dụng lệnh access-list để tạo một ACL có số hiệu là 1.
R2(config)#access-list 1 deny host 192.168.1.3

R2(config)#access-list 1 permit any
Bước 2: Áp dụng ACL 1 vào cổng f0/0 theo chiều out:
Sử dụng lệnh ip access-group để áp dụng danh sách truy cập theo chiều ra lưu lượng
trên cổng f0/0.
R2(config-if)# ip access-group 1 out
Bước 3: xác nhận lưu lượng từ PC-B vào các PC trong mạng 172.16.1.0/24 đã bị loại
bỏ và cho phép các lưu lượng còn lại:
Ping không thành công từ PC-B vào PC-C
Ping thành công từ PC-A vào PC-C

 Chỉ cho phép PC-A telnet vào R2
Bước 1: Tạo ACL 2 trên R2 chỉ cho phép PC-A truy cập từ xa (sử dụng telnet) đến R2:
R2(config)#access-list 2 permit host 192.168.1.2
Bước 2: Áp dụng ACL 2 vào các đường vty theo chiều in:
Sử dụng lệnh access-class để áp dụng danh sách truy cập theo chiều vào lưu lượng
trên các đường vty.
R2(config)# line vty 0 4

R2(config)# access-class 2 in
Bước 3: Kiểm tra:
Telnet không thành công từ PC-C vào R2
Telnet thành công từ PC-A vào R2
 Chỉ cho phép PC-B truy cập vào R2 qua giao diện web.
Bước 1: Tạo ACL 3 trên R2 chỉ cho phép PC-B truy cập vào R2 qua giao diện web:
R2(config)#access-list 3 permit host 192.168.1.3
Bước 2: Áp dụng ACL 3 vào http server để hạn chế truy cập vào giao diện web trên
R2:
Sử dụng lệnh ip http server để kích hoạt http trên R2 và ip http access-class để áp
dụng danh sách truy cập vào giao diện web trên R2 .
R2(config)# ip http server

R2(config)# ip http access-class 3
PC-A không thể truy cập vào giao diện web của R2
Truy cập http bị chặn

PC-B truy cập thành công vào giao diện web của R2, username là rỗng, password là
cisco12345.
Truy cập http thành công

- Lọc các gói tin sử dụng extended ACL. R1 cho phép tất cả các lưu
lượng từ PC-C đến PC-A và từ chối tất cả các lưu lượng từ PC-C đến
PC-B.
Bước 1: Hủy bỏ ACL 1 từ cổng f0/0 của R2
Hủy bỏ ACL 1. Nếu không, tất cả lưu lượng từ PC-B sẽ bị từ chối cho phần sau.
Sử dụng lệnh no ip access-group để hủy bỏ danh sách truy cập từ cổng f0/0
R2(config-if)#no ip access-group 1 out
Bước 2: Tạo ACL 100 trên R1 cho phép tất cả các lưu lượng từ PC-C đến PC-A và từ
chối tất cả các lưu lượng từ PC-C đến PC-B:
R1(config)#access-list 100 permit ip host 172.16.1.2 host 192.168.1.2

R1(config)#access-list 100 deny ip host 172.16.1.2 host 192.168.1.3
Bước 3: : Áp dụng ACL 100 vào cổng s0/0 theo chiều in:
Sử dụng lệnh ip access-group để áp dụng danh sách truy cập theo chiều vào lưu
lượng trên cổng s0/0.

R1(config-if)# ip access-group 100 in

Ping thành công từ PC-C đến PC-A
Ping không thành công từ PC-C đến PC-B
- Mô hình triển khai:
- Yêu cầu:
a. Đặt địa chỉ IP như mô hình và cấu hình định tuyến EIGRP as 1 trên 2 router.
b. Cài đặt các dịch vụ HTTP, FTP, DNS trên máy server.
c. Cấu hình Extended ACL, Reflexive ACL, Dynamic ACL và Time-Based ACL
trên các router với các yêu cầu sau:
 Cấu hình Extended ACL trên router R2 sao cho, chỉ cho phép địa chỉ IP lẻ và
cấm địa chỉ IP chẵn thuộc lớp mạng 192.168.1.0/24 truy cập các dịch vụ trên
máy Server.
 Cấu hình Reflexive ACL trên router R2, cho phép các gói tin ICMP và TCP xuất
phát từ mạng 192.168.2.0/24 (LAN) được phép truy cập ra bên ngoài (router
R1, máy client). Tất cả mọi loại dữ liệu từ bên ngoài đi vào mạng LAN đều bị
cấm, ngoại trừ các gói tin trả về cho các gói tin ICMP và TCP đã đi ra trước đó.
 Cấu hình Dynamic ACL trên router R1, thực hiện cấp quyền truy cập dịch vụ
HTTP trên máy Server cho máy client. Máy client muốn sử dụng dịch vụ HTTP
này, bắt buộc phải thực hiện telnet đến router R1, sử dụng tài khoản username
và password tạo trên router R1 (trong bài tập này, tạo username là u1 và
password là 123). Nếu đăng nhập thành công, máy client được phép truy cập
dịch vụ HTTP.
 Cấu hình Time-based ACL trên router R1, chỉ cho phép các máy tính thuộc
mạng 192.168.1.0/24 được truy cập dịch vụ FTP ngoài giờ làm việc. Giờ làm
việc của công ty là từ 08g00 đến 12g00 và 13g30 đến 17g00 các ngày trong
tuần (từ thứ 2 đến thứ 6).
- Lưu ý:
 Các câu lệnh cấu hình ACL(Extended ACL, Reflexive ACL, Dynamic ACL và
Time-Based ACL) không ảnh hưởng đến hoạt động định tuyến EIGRP của
router R1 và R2.
 Khi cấu hình tới loại ACL nào, phải bỏ các cấu hình của loại ACL trước đó.
Ví dụ: Khi cấu hình Reflexive ACL, phải bỏ các câu lệnh cấu hình
Extended ACL trước đó.
- Gợi ý:
 Extended ACL: Các dịch vụ trên máy Server gồm HTTP (sử dụng giao
thức: tcp, port:80); FTP(sử dụng giao thức: tcp, port:20,21); DNS(sử
dụng giao thức: tcp và udp, port: 53). Áp dụng extended acl đã tạo tới
cổng S0/0 của router R2 theo chiều in.
 Reflexive ACL:
 Tạo ra 2 ACL OUTBOUND (kiểm soát các dòng dữ liệu đi ra mạng

Lan) và INBOUND(kiểm soát các dòng dữ liệu đi vào mạng Lan).
Đối với ACL OUTBOUND thêm tùy chọn "reflect", đối với ACL
INBOUND thêm tùy chọn "evaluate". Sau đó áp dụng ACL
INBOUND và ACL OUTBOUND đến cổng S0/0 của router R2 theo
chiều in (ACL INBOUND) và out (ACL OUTBOUND).
 Để tạo ra gói tin ICMP xuất phát từ mạng LAN ra bên ngoài, thực
hiện lệnh ping từ máy server tới máy client, quá trình ping thành
công. Nhưng từ máy client không thể ping tới máy server.
 Để tạo ra gói tin TCP xuất phát từ mạng LAN ra bên ngoài, trên
router R1 cấu hình telnet. Sau đó máy server thực hiện telnet tới
router R1 thành công. Nhưng máy Client(bên ngoài) không thể truy
cập dịch HTTP trên máy server.
 Dynamic ACL:
 Để cấu hình Dynamic ACL, chỉ cần thêm thông số "dynamic

tên_hiệu" vào câu lệnh Extended ACL, với "tên_hiệu" là 1 chuỗi ký
tự bất kỳ, mang tính gợi nhớ.
 Nguyên tắc hoạt động của dòng Dynamic ALC: Trong điều kiện bình
thường, dòng acl này không phát huy tác dụng và được bỏ qua. Chỉ
khi một user truy cập vào router (sử dụng telnet) thông qua cổng
VTY và thực hiện lệnh "access-anable", lúc này dòng Dynamic ACL
mới được kích hoạt.
 Áp dụng ACL vừa tạo lên cổng f0/0 của router R1 theo chiều in.
 Sau khi cấu hình Dynamic ACL trên router R1, để máy client có thể
truy cập dịch vụ HTTP trên máy server, phải thực hiện telnet tới
router R1 trước khi truy cập dịch vụ này.
 Time-based ACL:
 Áp dụng khoảng thời gian được active(thời gian được truy cập dịch
vụ FTP ngoài giờ làm việc) lên ACL sử dụng time-range. Kiểu time-
range sử dụng là: periodic (định nghĩa khoảng thời gian được lặp đi
lặp lại mà một entry của ACL được active).
 Áp dụng ACL vừa tạo lên cổng f0/0 của router R1 theo chiều in.
Bài thực hành số 4: Hệ thống phát hiện và ngăn

chặn xâm nhập IPS
I. Giới thiệu IPS (Intrusion Protection System)
IPS Là hệ thống ngăn chặn xâm nhập, có chức năng tự động theo dõi và ngăn
chặn các sự kiện xảy ra trong và ngoài hệ thống mạng, phân tích và ngăn ngừa
các vấn đề liên quan tới bảo mật và an ninh. Hệ thống ngăn chặn xâm nhập giám
sát các gói tin đi qua và đưa ra quyết định liệu đây có phải là một cuộc tấn công
hay một sự truy cập hợp pháp – sau đó thực hiện hành động thích hợp để bảo vệ
hệ thống mạng.
Mô hình minh họa hệ thống gồm mạng nội bộ và thiết bị Cisco IOS IPS, Cisco IOS
IPS ngoài chức năng Firewall nó còn có chức năng tìm kiếm, so sánh những lưu lượng
có dấu hiệu tấn công vào hệ thống, khi phát hiện có dấu hiệu tấn công nó gửi cảnh
báo đến hệ thống cảnh báo hoặc loại bỏ những gói tin mà nó so sánh trùng với các
dấu hiệu tấn công hoặc reset lại kết nối.
Yêu cầu
- Cấu hình định tuyến tĩnh trên R2, default route trên R1, R3.
- Cài đặt web server trên PC-1.
Phần 2: Cấu hình Cisco IPS
- Cài đặt SDM trên PC-2.
- Phát hiện và ngăn chặn tấn công ping of death, scan port, denial of service
(dos) vào web server từ PC-3 (attacker).
- Phần mềm GNS3
- PC-1: Windows Server với web server

- PC-2: Windows XP, windows 7 với SDM
- PC-2: Windows XP, windows 7 với công cụ superscan, doshttp
Router R1
R1# configure terminal

R1config-if)# exit
Router R2

R2(config-if)# exit
R2(config-if)# clock rate 64000
Router R3

R3(config-if)# exit

PC-1
PC-2
PC-3
Router R1
R1(config)# ip route 0.0.0.0 0.0.0.0 192.168.12.2
Router R2
R2(config)# ip route 192.168.1.0 255.255.255.0 192.168.12.1
R2(config)# ip route 192.168.2.0 255.255.255.0 192.168.23.1
Router R3
R3(config)# ip route 0.0.0.0 0.0.0.0 192.168.23.2
- Cài đặt web server trên PC-1:
Thực hiện trên windows server 2003:

Vào start  control panel  add or remove programs  add/remove windows
components.
Trong cửa sổ windows components wizard, chọn vào dòng application server  next.
Cài đặt dịch vụ web server

Xuất hiện hộp thoại files needed, chỉ đường dẫn tới thư mục i386 chứa file cài web
server  finish.
Tạo trang web cho web server, vào my compurter  ổ đĩa c  inetpub  wwwroot.
Tạo file index.htm, với nội dung tùy ý.
Ping thành công từ PC-1 đến PC-3

Truy cập web server thành công từ bên ngoài internet (PC-3) hoặc bên trong mạng
nội bộ.
Truy cập web server

Phần 2: Cấu hình Cisco IPS
Tạo một tài khoản người dùng và kích hoạt HTTP server trên R2 trước khi truy cập
SDM:
R2(config)#username sdm privilege 15 password 0 cisco

R2(config)#ip http server
R2(config)#ip http authentication local
- Cài đặt SDM trên PC-2:
Yêu cầu PC-2 đã cài đặt java-jre phiên bản 6 trở lên.
Tải phần mềm Cisco SDM:
Tải SDM phiên bản 2.5 từ đường dẫn

https://drive.google.com/file/d/0B4rIOTvEwpnAMjFIOVk3T2xsWmM/edit
Cài đặt SDM:
Giải nén thư mục SDM v2.5 vừa tải về, chọn file “setup.exe” để bắt đầu cài đặt,
hộp thoại Ciso SDM xuất hiện chọn “next”, chấp nhận các điều khoản bản quyền của
SDM, chọn “i accept….”, trong hộp thoại “install option” chọn “this computer” và nhấn
“install” để cài đặt.
Chạy phần mềm Cisco SDM vừa cài đặt, nhập vào IP của R2 (192.168.12.2) trong
trường “Device IP Address or Hostname  lauch”.
Chương trình khởi động SDM

Tắt chức năng “Block popup Window” ở trình duyệt Web. Đăng nhập với người
dùng “sdm” và mật khẩu “cisco”.
Giao diện chính của SDM

Cấu hình rule cho IPS:
- Menu Configure  chọn Intrusion Prevention (bên trái) chọn “Launch IPS Rule
Wizard” để bắt đầu cài đặt các rule IPS lên R2.
- SDEE là một công nghệ để báo cáo những sự kiện bảo mật khi kích hoạt IPS trong
router, Cisco SDM yêu cầu thông báo sự kiện IPS qua SDEE để cấu hình tính năng
Cisco IOS IPS, theo mặc định, thông báo SDEE không được kích hoạt. Cisco SDM
sẽ nhắc nhở người dùng để cho phép thông báo sự kiện IPS qua SDEE chọn ok.
Trong hộp thoại “IPS policies wizard” chọn “next”. Chọn cổng s0/0 theo chiều inbound
và nhấn “next” khi kết thúc việc lựa chọn.
Chọn vào “Use Built-In Signatures ( as backup)” sử dụng các signatures đã được xây
dựng trên Cisco IOS và chọn “next”  “finish”. Hộp thoại “command delivery status”
xuất hiện chọn ok để nạp các signature lên R2.
Card mạng IPS đang theo dõi

Chọn configure  intrusion prevention  edit IPS  signatures, để kiểm tra các
signature mặc định được nạp lên R2.
Các signature trên R2

Chọn edit IPS  import  from pc để import thêm signature mới từ file cài đặt sdm.
Nạp file SDF cho IOS IPS (R2)

Chỉ đường dẫn tới file cài đặt SDM  256.sdf  open. Chọn “merge” để tiến hành
import các signature vào R2 và chọn “apply changes” để tiến hành import các
signature.
Các signature được import

- Phát hiện và ngăn chặn tấn công ping of death từ PC-3 (Attacker):
Phát hiện:
Trên PC-3 thực hiện tấn công ping of death vào PC-1(web server) với số kích thước
gói tin là 10000
R2 xuất hiện các log thông báo có tấn công ping of death từ PC-3 vào PC-1 với sig id:
2151, name: Large ICMP
Ngăn chặn:
Chọn vào sig id: 2151  chọn “action” và lựa chọn hành động
Định nghĩa hành động cho dấu hiệu

Chọn vào hành động “alarm và denyAttackerInline” và nhấn ok. Để áp dụng những
thay đổi về hành động lên R2 chọn “apply changes”.
Lúc này PC-3 không thể ping of death vào PC-1, do rule chặn tấn công ping of death
trên R2 đã chặn hành động này.
Tấn công ping of death bị chặn

- Phát hiện và ngăn chặn tấn công scan port từ PC-3 (Attacker):
Phát hiện:
Trên PC-3 chạy công cụ superscan. Trong tab IPs tiến hành thêm ip của PC-1
(192.168.1.254) vào mục hostname/IP và nhấn vào hình mũi tên tam giác để tiến
hành quét port trên PC-1.
Các port đang mở trên PC-1

Thông báo log trên R2 phá hiện quá trình scan port từ PC-3
Log thông báo quá trình scan port

Ngăn chặn:Quá trình scan port sử dụng công cụ superscan sẽ gửi gói icmp req tới PC-
1, nên để ngăn chặn quá trình scan port sử dụng công cụ này, chỉ cần áp dụng chính
sách ngăn chặn đối với rule này. Chọn vào sig id: 2004  chọn “action” và lựa chọn
hành động “alarm và denyAttackerInline” và nhấn ok. Để áp dụng những thay đổi về
hành động lên R2 chọn “apply changes”.
Lúc này PC-3 không thể scan port vào PC-1.

Quá trình scan port đã bị chặn

- Phát hiện và ngăn chặn tấn công denial of service (dos) vào web server từ
PC-3 (Attacker):
Phát hiện:
Trên PC-3 chạy công cụ doshttp phiên bản 2.5.1. Trong mục target URL, nhập vào
đường dẫn truy cập web server(http://192.168.1.254), với số socket là: 500,
request: 25000. Sau đó nhấn start flood để tiến hành tấn công.
Tấn công dos vào web server

R2 xuất hiện các log thông báo có tấn công từ chối dịch vụ vào web server từ PC-3
vào PC-1 với sig id: 3051, name: TCP connection window size DOS.
Log thông báo tấn công từ chối dịch vụ vào web server
Ngăn chặn:
Chọn vào sig id: 3051, có subsigID là 1  chọn “action” và lựa chọn hành động
“alarm và denyAttackerInline” và nhấn ok. Để áp dụng những thay đổi về hành động
lên R2 chọn “apply changes”.
Lúc này PC-3 không thể tấn công từ chối dịch vụ vào web server, do rule chặn tấn
công từ chối dịch vụ vào web server trên R2 đã chặn hành động này.
Tấn công dos vào web server đã bị từ chối

Bài thực hành số 5: SSH, NTP, SYSLOG,

AUTOSECURE
I. Giới thiệu SSH, NTP, SYSLOG, AUTOSECURE
- SSH(Secure Shell): Là một giao thức mạng dùng để thiết lập kết nối mạng một
cách an toàn. SSH cung cấp cho người dùng cách thức để thiết lập kết nối mạng
được mã hóa để tạo một kênh kết nối riêng.
- NTP(Network Time Protocol): Là giao thức đồng bộ thời gian của các hệ thống
máy tính thông qua mạng dữ liệu chuyển mạch gói với độ trễ biến đổi.
- SYSLOG: Là một cách cho các thiết bị mạng gửi thông báo sự kiện đến một máy
chủ logging - thường được biết đến như một máy chủ Syslog. Giao thức Syslog
được hỗ trợ bởi một loạt các thiết bị và có thể được sử dụng để log các loại sự kiện
khác nhau.
- AUTOSECURE: Là một tính năng an toàn cho router bằng cách sử dụng một lệnh
CLI duy nhất để vô hiệu hóa các dịch vụ IP phổ biến có thể được khai thác để tấn
công mạng, cho phép các dịch vụ IP và các tính năng có thể trợ giúp trong việc
bảo vệ mạng khi bị tấn công và đơn giản hóa, làm vững chắc cấu hình an toàn của
router.

router và host. Sử dụng các công cụ CLI và SDM khác nhau để đảm bảo tiếp cận cục
bộ và từ xa đến router, phân tích các lỗ hổng tiềm năng và thực hiện các bước để
giảm thiểu chúng. Cũng cho phép các báo cáo quản lý để giám sát router thay đổi cấu
hình.
Yêu cầu
- Cấu hình định tuyến tĩnh trên R2, default route trên R1, R3.
Phần 2: Kiểm soát truy cập quản trị cho các router (thực hiện trên R1 và R3)
- Cấu hình và mã hóa tất cả các mật khẩu.

- Cấu hình một biểu ngữ cảnh báo đăng nhập.
- Cấu hình nâng cao bảo mật username, password.
- Cấu hình nâng cao bảo mật các kết nối ảo.
- Cấu hình SSH Server.
- Cài đặt một SSH client và kiểm tra kết nối (thực hiện trên PC-A và PC-C).
Phần 3: Cấu hình quản trị các roles (thực hiện trên R1 và R3)
- Tạo các view admin1, admin2, tech và phân quyền như sau:
 View admin1 có thể sử dụng lệnh show, config và debug.
 View admin2 chỉ có thể sử dụng lệnh show.
 View tech chỉ được sử dụng lệnh show version, show interfaces, show ip
interface brief và show parser view.
Phần 4: Cấu hình NTP và Syslog
- Cấu hình R2 như một nguồn đồng bộ thời gian cho R1 và R3 sử dụng NTP.
- Cấu hình hỗ trợ syslog trên R1 và PC-A.
Phần 5: Cấu hình tính năng tự động bảo mật
- Khóa các dịch vụ của R3 sử dụng AutoSecure và kiểm tra cấu hình.
- Sử dụng công cụ SDM Security Audit để xác định các lỗ hổng và khóa các dịch vụ
của R1.
- Phần mềm GNS3

- PC-A: Windows XP, 7, hoặc Windows Server với Putty SSH client và Kiwi syslog
- PC-C: Windows XP hoặc 7 với Putty SSH Client
Router R1
R1(config)# exit
Router R2
R2(config)# exit
Router R3
R3(config)# exit
PC-A
PC-C
Router R1
R1(config)# ip route 0.0.0.0 0.0.0.0 10.1.1.2
Router R2
R2(config)# ip route 192.168.1.0 255.255.255.0 10.1.1.1
R2(config)# ip route 192.168.3.0 255.255.255.0 10.2.2.1
Router R3
R3(config)# ip route 0.0.0.0 0.0.0.0 10.2.2.2
Phần 2: Kiểm soát truy cập quản trị cho các router (thực hiện trên R1 và R3)
- Cấu hình và mã hóa mật khẩu:
Bước 1: Sử dụng lệnh security passwords để thiết lập chiều dài mật khẩu tối thiểu
10 ký tự:
Router(config)# security passwords min-length 10

Bước 2: Sử dụng lệnh Service password-encryption để mã hóa password console,
vty:
Bước 3: Cấu hình password secret sử dụng lệnh enable secret password:
Bước 4: Cấu hình cơ bản cổng console và các đường truy cập ảo (telnet)
- Password console. Trong đó, lệnh exec-timeout gây ra các dòng log sau 5 phút
không hoạt động và lệnh logging synchronous ngăn chặn các message console
làm gián đoạn lệnh nhập vào:

Router(config-line)# logging synchronous
- Password trên line vty cho router dùng để telnet:

Kiểm tra telnet từ R2 đến R1 thành công, password sử dụng là ciscovtypass. Để

vào chế độ privileged EXEC sử dụng password secret là cisco12345.
- Cấu hình một biểu ngữ cảnh báo đăng nhập:
Sử dụng lệnh banner motd để cấu hình. Khi một người sử dụng kết nối đến một
trong những router, banner motd xuất hiện trước dấu nhắc đăng nhập, các dấu đô la
($) được sử dụng để bắt đầu và kết thúc thông điệp.
Router(config)# banner motd $Truy cap trai phep deu bi nghiem cam$
Để kiểm tra biểu ngữ có hoạt động hay không, thoát khỏi chế độ privileged EXEC
sử dụng lệnh exit và nhấn enter để bắt đầu. Một biểu ngữ xuất hiện trông giống như
những gì đã tạo.
- Cấu hình nâng cao bảo mật username, password:
Tạo tài khoản user01, chỉ định password không mã hóa:
Router(config)# username user01 password 0 user01pass
Do lệnh service password-encryption có hiệu lực nên không thể đọc password của
user01.
Tạo tài khoản user02, sử dụng password secret:
Router(config)#username user02 secret user02pass
Kiểm tra tài khoản mới bằng việc đăng nhập đến cổng console, thiết lập line
console để sử dụng các tài khoản đăng nhập được xác định tại local.
Router(config-line)#end
Router#exit
Đăng nhập bằng cách sử dụng tài khoản user01 và password được định nghĩa
trước, để vào chế độ privileged EXEC sử dụng lệnh enable và nhập password secret là
cisco12345.
Kiểm tra tài khoản người dùng mới bằng cách đăng nhập từ một phiên telnet.
Thiết lập các đường vty để sử dụng tài khoản đăng nhập xác định tại local.
Router(config)# login local
Từ PC-A telnet đến R1, đăng nhập với tài khoản user02 và password là
user02pass. Trong khi telnet đến R1, truy vào chế độ privileged EXEC với lệnh enable,
sử dụng password secret là cisco12345.
- Cấu hình nâng cao bảo mật các kết nối ảo:
Bước 1: Cấu hình router để xem các cuộc tấn công đăng nhập:
Sử dụng lệnh login block-for để cấu hình tắt đăng nhập sau 60 giây nếu hai nỗ lực
đăng nhập thất bại được thiết lập thực hiện trong vòng 30 giây.
Router(config)# login block-for 60 attempts 2 within 30
Sử dụng lệnh show login để xem các thiết lập tấn công đăng nhập trên router.
R1# show login

A default login delay of 1 second is applied.
No Quiet-Mode access list has been configured.
Router enabled to watch for login Attacks.

If more than 2 login failures occur in 30 seconds or less,
logins will be disabled for 60 seconds.
Router presently in Normal-Mode.

Current Watch Window
Time remaining: 29 seconds.
Login failures for current window: 0.
Total login failures: 0.
Bước 2: Cấu hình router cảnh báo các log cho hoạt động đăng nhập:
Các lệnh sau đây cảnh báo log mỗi đăng nhập thành công và các nỗ lực đăng nhập
thất bại sau mỗi lần đăng nhập thất bại thứ 2.
Router(config)#login on-success log

Router(config)#login on-failure log every 2
Router(config)#exit
Kiểm tra cấu hình nâng cao bảo mật các kết nối ảo
Từ PC-A, thiết lập một phiên kết nối tới R1. Đăng nhập với user ID hoặc password
sai trong 2 lần. Thông điệp Connection to host lost hiển thị trên PC-A sau hai lần nổ
lực thất bại.
Thông điệp hiển thị trên console router R1 sau khi nổ lực đăng nhập thất bại lần
thứ 2
*Dec 14 22:45:22.851: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: x]

[Source:
192.168.1.3] [localport: 23] [Reason: Login Authentication Failed -
BadUser] at
22:45:22 UTC Sun Dec 14 2008
Từ PC-A, cố gắng thiết lập một phiên telnet khác đến R1 trong vòng 60 giây.
Thông điệp hiển thị trên PC-A sau khi cố gắng kết nối telnet
Connecting To 10.1.1.1...Could not open connection to the host, on port 23:

Connect failed
Thông điệp hiển thị trên router R1 sau khi cố gắng kết nối telnet
*Dec 14 22:24:48.171: %SEC-6-IPACCESSLOGP: list sl_def_acl denied tcp

192.168.1.3 (1068) -> 0.0.0.0(23), 1 packet
- Cấu hình SSH Server:
Bước 1: Cấu hình một domain name:
Router#config t
Router(config)# ip domain-name ccnasecurity.com
Bước 2: Cấu hình một user với mức đặc quyền cao nhất và password secret cho
đăng nhập từ SSH client:
Router(config)# username admin privilege 15 secret cisco12345
Bước 3: Cấu hình các line vty đầu vào:
Router(config-line)#privilege level 15
Router(config-line)#transport input ssh
Router(config-line)#exit
Bước 4: Tạo cặp key mã hóa RSA cho router:
Cấu hình các key RSA với 1024 cho số bit modulus.
Router(config)# crypto key generate rsa general-key modulus 1024

Bước 5: Cấu hình thời gian SSH timeout và các tham số xác thực:
Router(config)# ip ssh time-out 90

Router(config)# ip ssh authentication-retries 2
- Cài đặt một SSH client và kiểm tra kết nối (thực hiện trên PC-A và PC-C):
Bước 1: Cài đặt một SSH client trên PC-A và PC-C:
Ở đây sử dụng phần mềm PuTTY
Bước 2: Kiểm tra kết nối SSH đến R1 từ PC-A:
Nhập địa chỉ IP cổng f0/0 của R1 là: 192.168.1.1 trong mục Host Name (or IP
address) và kiểm tra radi button SSH được lựa chọn.
Kết nối SSH

Nhập username admin và password cisco12345 trong cửa sổ PuTTY.
Bước 3: Lưu cấu hình
Phần 3: Cấu hình quản trị các roles (thực hiện trên R1 và R3)
Bước 1: Kích hoạt tính năng AAA trên router

Router#config t
Router(config)#aaa new-model
Router(config)#exit
Bước 2: Kích hoạt tính năng view root
Router#enable view
password: cisco12345
*Dec 16 22:41:17.483: %PARSER-6-VIEW_SWITCH: successfully set to view
'root'.
Bước 3: Tạo các view admin1, admin2, tech
- Tạo view admin1 có thể sử dụng lệnh show, config và debug:
Sử dụng lệnh parser view <tên view> để tạo view admin1.
Router(config)# parser view admin1

Router(config-view)#
*Dec 16 22:45:27.587: %PARSER-6-VIEW_CREATED: view 'admin1’ successfully
created.
Kết hợp view admin1 với một password được mã hóa.
Router(config-view)#secret admin1pass
Thêm tất cả các lệnh config, show, debug đến view admin1 và sau đó thoát ra khỏi
chế độ configuration.
Router(config-view)# commands exec include all show

Router(config-view)# command exec include all config terminal
Router(config-view)# command exec include all debug
Router(config-view)# end
Kiểm tra view admin1.
Router#enable view admin1

password: admin1pass
'admin1'
Router#show parser view
Router#Current view is 'admin1'
Kiểm tra các lệnh có sẵn trong view admin1.
Router#?
Exec commands:
configure Enter configuration mode
debug Debugging functions (see also 'undebug')
enable Turn on privileged commands
exit Exit from the EXEC
show Show running system information
Kiểm tra các lệnh show sẵn có trong view admin1.
Router# show ?
aaa Show AAA values
accounting Accounting data for active sessions
adjacency Adjacent nodes
alignment Show alignment information
appfw Application Firewall information
archive Archive of the running configuration information
arp ARP table
<output omitted>
- Tạo View admin2 chỉ có thể sử dụng lệnh show:
Sủ dụng lệnh enable view để kích hoạt view root và nhập vào password secret là
cisco12345.
Router#enable view
password:cisco12345
Sử dụng các lệnh sau đây để tạo view admin2:
Router(config)#parser view admin2

*Dec 16 23:02:27.587: %PARSER-6-VIEW_CREATED: view 'admin2’ successfully
created.
Kết hợp view admin2 với một password

Router(config-view)# secret admin2pass
Thêm tất cả các lệnh show đến view và sau đó thoát khỏi chế độ configuration
Router(config-view)# commands exec include all show

Router(config-view)#end
Kiểm tra view admin2
Router(config-view)#end
Router#enable view admin2
password:admin2pass
'admin2'
Router#Curent view is 'admin2'
Kiểm tra các lệnh sẵn có trong view admin2
Router#?
Exec commands:
Tạo View tech chỉ được sử dụng lệnh show version, show interfaces, show ip
interface brief và show parser view:
Sử dụng lệnh enable view để kích hoạt view root và nhập vào password secret là
cisco12345
Router#enable view
password:cisco12345
Sử dụng các lệnh sau đây để tạo view tech
Router(config)# parser view tech

*Dec 16 23:10:27.587: %PARSER-6-VIEW_CREATED: view 'tech’ successfully
created.
Kết hợp view tech với một password
Router(config-view)#secret techpasswd
Thêm các lệnh show sau đây đến view và sau đó thoát khỏi chế độ configuration
của view
Router(config-view)# commands exec include show version

Router(config-view)# commands exec include show interfaces
Router(config-view)# commands exec include show ip interface brief
Router(config-view)# commands exec include show parser view
Router(config-view)# end
Kiểm tra view tech
Router#enable view tech

Password: techpasswd
'tech'
Router#Current view is 'tech'
Kiểm tra các lệnh sẵn có trên view tech
Router#?
Exec commands:
Kiểm tra các lệnh show sẵn có trên view tech
Router#show ?
flash: display information about flash: file system
interfaces Interface status and configuration
ip IP information
parser Show parser commands
version System hardware and software status
Bước 4: Lưu cấu hình

Phần 4: Cấu hình NTP và Syslog
- Cấu hình R2 như một nguồn đồng bộ thời gian cho R1 và R3 sử dụng NTP:
Bước 1: Thiết lập NTP master
Hiển thị thời gian hiện tại trên router sử dụng lệnh show clock.
R2#show clock
*01:19:02.331 UTC Mon Dec 15 2008
Để thiết lập thời gian trên router, sử dụng lệnh clock set time.
R2#clock set 20:12:00 Dec 17 2008

R2#
*Dec 17 20:12:18.000: %SYS-6-CLOCKUPDATE: System clock has been updated
from 01:20:26 UTC Mon Dec 15 2008 to 20:12:00 UTC Wed Dec 17 2008,
configured from console by admin on console.
Cấu hình R2 như là NTP master sử dụng lệnh ntp master stratum-number trong
chế độ global configuration. Số stratum number chỉ ra khoảng cách từ nguồn gốc. Đối
với bài thực hành này, sử dụng số stratum number là 3 trên R2. Khi một thiết bị học
thời gian từ nguồn NTP, số stratum number của thiết bị trở thành một số lớn hơn số
number stratum nguồn của thiết bị này.
R2(config)#ntp master 3
Bước 2: Cấu hình R1 và R3 như là NTP client
R1 và R3 sẽ trở thành NTP client của R2. Để cấu hình R1, sử dụng lệnh ntp server
hostname ở mode global configuration. Hostname cũng có thể là một địa chỉ IP.
R1(config)#ntp server 10.1.1.2
Kiểm tra rằng R1 đã có một hiệp ước với R2 sử dụng lệnh show ntp associations.
R1#show ntp associations

address ref clock st when poll reach delay offset disp
~10.1.1.2 127.127.1.1 3 14 64 3 0.000 -280073 3939.7
*sys.peer, #selected, +candidate, -outlyer, x falseticker, ~ configured
Kiểm tra thời gian trên R1 sau khi đã đồng bộ thời gian với R2.
R1#show clock
*20:12:24.859 UTC Wed Dec 17 2008
- Cấu hình hỗ trợ syslog trên R1 và PC-A:
Bước 1: Cài đặt syslog server:
Trong bài thực hành này sử dụng Kiwi syslog server, tải phiên bản mới nhất của
kiwi từ đường dẫn http://www.kiwisyslog.com
Bước 2: Cấu hình R1 để thông báo log đến syslog server:
R1(config)#logging 192.168.1.3
Bước 3: Cấu hình mức độ thông báo log:
Sử dụng lệnh logging trap để thiết lập mức độ thông báo log cho R1, ở đây sử
dụng mức độ warnings.
R1(config)#logging trap warnings
Bước 3: Start Kiwi syslog Server trên PC-A
Mở ứng dụng kiwi Syslog Daemon trên Desktop của bạn hoặc chọn nút Start và
chọn Programs  Kiwi Enterprises  Kiwi Syslog Daemon.
Giao diện chính của kiwi syslog

Bước 4: Xác minh rằng quá trình gửi log đến syslog server đang xảy ra
Gửi một thông điệp log kiểm tra đến kiwi syslog server bằng cách chọn File  Send
test mesage to local host.
a. Tạo một thông điệp log bằng cách tắt interface s0/0 trên R1 hoặc R2 và sau đó
bật lại nó.
R1(config)#interface S0/0
R1(config-if)#shutdown
Màn hình kiwi syslog server trong giống như hình dưới đây.
Log thông báo trạng thái up/down của cổng

Từ mode global configuration của R1, kích hoạt logging là userinfo và thiết lập lại
mức độ trap là information.
R1(config)#logging userinfo
R1(config)#logging trap informational
Trên Kiwi Syslog Daemon, chọn View  Clear Display để xóa log hiển thị.
Thoát khỏi màn hình đăng nhập và kích hoạt view admin1 đã tạo trong phần 3 của
bài thực hành. Nhập vào password là admin1pass.
R1# enable view admin1

Password: admin1pass
Thoát khỏa màn hình đăng nhập một lần nữa và kích hoạt view admin1. Lần này
nhập vào password không chính xác.
R1# enable view admin1

Password: 123
Thông điệp hiển thị trên syslog server
Log thông báo trạng thái chứng thực người dùng thất bại
Phần 5: Cấu hình tính năng tự động bảo mật
- Khóa các dịch vụ của R3 sử dụng AutoSecure và kiểm tra cấu hình:
Bước 1: Khôi phục R3 với cấu hình cơ bản:
Khi khởi động lại router, khôi phục cấu hình cơ bản cho R3 như trong phần 1 của
bài thực hành này.
Bước 2: Sử dụng tính năng AutoSecure để đảm bảo an toàn trên R3:
Tính năng AutoSecure cho phép bạn vô hiệu hóa các dịch vụ IP phổ biến mà có thể
được khai thác cho các tấn công mạng và kích hoạt các dịch vụ IP và các tính năng
mà có thể trợ giúp trong bảo vệ một mạng khi bị tấn công. AutoSecure đơn giản hóa
cấu hình bảo mật của router và đông cứng lại cấu hình router.
- Vào chế độ privileged EXEC sử dụng lệnh enable.

- Nhập lệnh auto secure trên R3 để khóa các dịch vụ trên router. Router R2 đại
diện một router ISP, do đó giả định rằng R3 s0/0 được kết nối trực tiếp đến
internet khi được nhắc bởi những câu hỏi của lệnh AutoSecure. Trả lời với các
câu hỏi của lệnh này như thể hiện dưới đây. Các câu hỏi trả lời được in đậm.
R3#auto secure
--- AutoSecure Configuration ---
*** AutoSecure configuration enhances the security of the router, but it

will not make it absolutely resistant to all security attacks ***
AutoSecure will modify the configuration of your device. All configuration

changes will be shown. For a detailed explanation of how the configuration
changes enhance security and any possible side effects, please refer to
Cisco.com for
Autosecure documentation.
At any prompt you may enter '?' for help.
Use ctrl-c to abort this session at any prompt.
Gathering information about the router for AutoSecure
Is this router connected to internet? [no]: yes

Enter the number of interfaces facing the internet [1]: Nhấn enter để chấp
nhận mặc định là 1 trong dấu ngoặc vuông
Interface IP-Address OK? Method Status Protocol

FastEthernet0/0 192.168.3.1 YES NVRAM up up
FastEthernet0/1 unassigned YES NVRAM administratively down down
Serial0/0 10.2.2.1 YES NVRAM up up
Serial0/1 unassigned YES NVRAM administratively down down
Enter the interface name that is facing the internet: serial0/0 {interface
kết nối tới R2}
Securing Management plane services...
Disabling service finger

Disabling service pad
Disabling udp & tcp small servers
Enabling service password encryption
Enabling service tcp-keepalives-in
Enabling service tcp-keepalives-out
Disabling the cdp protocol
Disabling the bootp server

Disabling the http server
Disabling the finger service
Disabling source routing
Disabling gratuitous arp
Here is a sample Security Banner to be shown

at every access to device. Modify it to suit your
enterprise requirements.
Authorized Access only

This system is the property of So-&-So-Enterprise.
UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED.
You must have explicit permission to access this
device. All activities performed on this device
are logged. Any violations of access policy will result
in disciplinary action.
Enter the security banner {Put the banner between

k and k, where k is any character}:
# Unauthorized Access Prohibited # {tạo một biểu ngữ}
Enable secret is either not configured or

is the same as enable password
Enter the new enable secret: cisco12345
Confirm the enable secret : cisco12345
Enter the new enable password: cisco67890
Confirm the enable password: cisco67890
Configuration of local user database

Enter the username: admin

Enter the password: cisco12345
Confirm the password: cisco12345
Configuring AAA local authentication
Configuring Console, Aux and VTY lines for
local authentication, exec-timeout, and transport
Securing device against Login Attacks
Configure the following parameters
Blocking Period when Login Attack detected: 60 {chu kỳ block khi phát hiện
tấn công đăng nhập}
Maximum Login failures with the device: 2 {tối đa số lần đăng nhập thất bại
trên thiết bị}
Maximum time period for crossing the failed login attempts: 30 {chu kỳ thời
gian tối đa cho để xuyên qua các lần nổ lực đăng nhập thất bại}
Configure SSH server? [yes]: Nhấn enter để chấp nhận mặc định là yes
Enter the domain-name: ccnasecurity.com
Configuring interface specific AutoSecure services

Disabling the following ip services on all interfaces:
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
Disabling mop on Ethernet interfaces
Securing Forwarding plane services...
Enabling CEF (This might impact the memory requirements for your platform)
Enabling unicast rpf on all interfaces connected
to internet
Configure CBAC Firewall feature? [yes/no]: no

Tcp intercept feature is used prevent tcp syn attack
on the servers in the network. Create autosec_tcp_intercept_list
to form the list of servers to which the tcp traffic is to
be observed
Enable tcp intercept feature? [yes/no]: yes {kích hoạt tính năng tcp
intercept }
This is the configuration generated:
no service finger
no service pad
no service udp-small-servers
no service tcp-small-servers
service password-encryption
service tcp-keepalives-in
service tcp-keepalives-out
no cdp run
no ip bootp server
no ip http server
no ip finger
no ip source-route
no ip gratuitous-arps
no ip identd
banner motd ^C Unauthorized Access Prohibited ^C
security passwords min-length 6
security authentication failure rate 10 log
enable secret 5 $1$FmV1$.xZUegmNYFJwJv/oFwwvG1
enable password 7 045802150C2E181B5F
username admin password 7 01100F175804575D72
aaa new-model
aaa authentication login local_auth local
line con 0
login authentication local_auth
exec-timeout 5 0
transport output telnet
line aux 0
exec-timeout 10 0
transport output telnet
line vty 0 4
transport input telnet
line tty 1
exec-timeout 15 0
login block-for 60 attempts 2 within 30
ip domain-name ccnasecurity.com
crypto key generate rsa general-keys modulus 1024
ip ssh time-out 60
ip ssh authentication-retries 2
line vty 0 4
transport input ssh telnet
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
logging facility local2
logging trap debugging
service sequence-numbers
logging console critical
logging buffered
interface FastEthernet0/0
no ip redirects
no ip proxy-arp
no ip unreachables
no ip mask-reply
no mop enabled
interface FastEthernet0/1
no ip redirects
no ip proxy-arp
no ip unreachables
no ip mask-reply
no mop enabled
interface Serial0/0/0
no ip redirects
no ip proxy-arp
no ip unreachables
no ip mask-reply
no ip redirects
no ip proxy-arp
no ip unreachables
no ip mask-reply
interface Vlan1
no ip redirects
no ip proxy-arp
no ip unreachables
no ip mask-reply
no mop enabled
ip cef
access-list 100 permit udp any any eq bootpc
ip verify unicast source reachable-via rx allow-default 100
ip tcp intercept list autosec_tcp_intercept_list
ip tcp intercept drop-mode random
ip tcp intercept watch-timeout 15
ip tcp intercept connection-timeout 3600

ip tcp intercept max-incomplete low 450
ip tcp intercept max-incomplete high 550
!
end
Apply this configuration to running-config? [yes]: <ENTER>
Applying the config generated to running-config

The name for the keys will be: R3.ccnasecurity.com
% The key modulus size is 1024 bits

% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
R3#
000037: *Dec 19 21:18:52.495 UTC: %AUTOSEC-1-MODIFIED: AutoSecure
configuration has been Modified on this device
Bước 3: Thiết lập một kết nối SSH từ PC-C đến R3.
Chạy chương trình client PuTTy và đăng nhập với tài khoản admin và password là
cisco12345 được tạo khi AutoSecure chạy. Nhập vào địa chỉ IP của cổng f0/0 R3 là
192.168.3.1.
Bước 4: kiểm tra các dịch vụ vô hiệu hóa trên R3
Các dịch vụ vô hiệu hóa bao gồm:
no service finger
no service pad
no service udp-small-servers
no service tcp-small-servers
no cdp run
no ip bootp server
no ip http server
no ip finger
no ip source-route
no ip gratuitous-arps
no ip identd
Đối với mỗi interface, các dịch vụ sau bị vô hiệu hóa:
no ip redirects
no ip proxy-arp
no ip unreachables
no ip mask-reply
- Sử dụng công cụ SDM Security Audit để xác định các lỗ hổng và khóa các dịch vụ
của R1:
Bước 1: Khôi phục R3 với cấu hình cơ bản:
Khi khởi động lại router, khôi phục cấu hình cơ bản cho R1 mà được tạo và lưu
trong phần 1 của bài thực hành.
Bước 2: Sử dụng công cụ SDM Security Audit trên R1 để xác định rủi ro an ninh
Để sử dụng công cụ SDM Security Audit ta cần cài đặt SDM trên PC-A. Ở đây sử
dụng SDM phiên bản 2.5, trước hết ta cần cài đặt java-jre phiên bản 6 trở lên lên PC-
A, sau đó tiến hành cài đặt SDM-v2.5.
- Tạo một SDM user và kích hoạt HTTP, HTTPS trên R1:
Tạo một username với privilege-level 15 và password trên R1.
R1(config)#username admin privilege 15 secret 0 cisco12345
Kích hoạt HTTP và HTTPS trên R1.

R1(config)#ip http secure-server
Kích hoạt xác thực HTTP local trên R1.
R1(config)#ip http authentication local

R1(config)#end
Lưu cấu hình running-config lên startup-config.
R1# copy run start
- Chạy phần mềm SDM đã cài đặt trên PC-A, Đăng nhập với username và
password đã được cấu hình trước đó:
username: admin
password: cisco12345
- Tại các thông điệp cảnh báo an ninh, nhấn Yes.

- Tại các thông điệp Password Needed-Networking, nhập vào username và
pasword một lần nữa.
- Chọn Configure  Security Audit.
Giao diện configure SDM

- Nhấn button Perform Security Audit để bắt đầu Security Audit wizard.
- Sau khi bạn đã quen thuộc với các hướng dẫn wizard, nhấn Next.
Giao diện cài đặt Security Audit

- Trên cửa sổ Security Audit Interface Configuration, chỉ ra các interface mà được
hiển thị bên trong (trusted) và được đặt bên ngoài (untrusted). Đối với
interface f0/0, chọn Inside (trusted). Cho interface s0/0, chọn Outside
(untrusted).
- Chọn Next để kiểm tra cấu hình bảo mật. Bạn có thể xem quá trình kiểm tra an
ninh.
- Sau khi xem báo cáo Security Audit, nhấn Save Report. Lưu nó đến desktop sử
dụng tên SDMSecurityAuditReportCard.html.
Các dịch vụ trên Security Audit

- Trong cửa sổ Security Audit, chọn Close.
- Chọn Fix All và chọn Next để sửa chữa tất cả các vấn đề an ninh.
- Khi được nhắc, nhập vào một enable password secret là cisco12345 và nhập lại
password này để xác nhận.
- Nhập văn bản cho biểu ngữ đăng nhập là: Unauthorized Access Prohibited. Nhấn
Next.
- Thêm địa chỉ IP logging là: 192.168.1.3, và chấp nhận logging defaults. Nhấn
Next.
- Chấp nhận thiết lập an ninh mặc định cho cổng inside và outside và nhấn Next.
- Bỏ lựa chọn URL Filter Server, và nhấn Next.
- Đối với mức độ bảo mật, chọn Low Security và nhấn Next.
- Tại Firewall Configuration Summary, xem lại cấu hình và nhấn Finish.
- Di chuyển thông qua màn hình Summary. Màn hình này cho thấy những gì
Security Audit sẽ cấu hình cho router.
- Nhấn Finish để xem lệnh thực tế mà được chuyển giao đến router. Di chuyển để
xem trước các lệnh.
- Hãy chắc rằng Save running config to router's startup config được lựa chọn, và nhấn
Deliver.
- Nhấn OK trong cửa sổ Commands Delivery Status để thoát công cụ Security
Audit.
Bước 3: Kiểm tra kết nối
- Ping thành công từ router R1 đến router R3 cổng s0/0 (10.2.2.1). Vì AutoSecure
không thiết lập một tường lửa trên R3.
- Ping thành công từ PC-A trên LAN R1 đến PC-C trên LAN router R3. Vì tường lửa
trên R1 cho phép lưu lượng mà bắt đầu từ host trên LAN R1 để trả về.
- Ping thành công từ router R3 đến router R2 cổng s0/0 (10.1.1.2). Vì Không có
tường lửa hoặc bảo mật khóa ping trên R2.
- Ping không thành công từ router R3 đến router R1 cổng s0/0 (10.1.1.1). Vì SDM
Security Audit cấu hình không cho phép R1 s0/0 trả lời.
- Ping Không thành công từ PC-C trên LAN R3 đến PC-A trên LAN R1. Vì SDM
Security Audit cấu hình không cho phép trên LAN R1 để trả lời yêu cầu từ bên
ngoài tường lửa.
Bài thực hành số 6: SITE-TO-SITE VPN

I. Giới thiệu
Site-to-site VPN cho phép các văn phòng ở nhiều địa điểm cố định thiết lập các kết
nối an toàn qua một mạng công cộng như Internet. Site-to-site VPN mở rộng mạng
lưới của công ty, làm cho các tài nguyên máy tính từ một địa điểm có sẵn cho nhân
viên tại các địa điểm khác sử dụng . GRE, IPSec và MPLS VPN là các giao thức thường
được sử dụng trong kết nối site-to-site VPN.
router và host. Sử dụng Cisco IOS và SDM để cấu hình một VPN site-to-site. Đường
hầm IPsec VPN từ router R1 đến router R3 qua R2.
Yêu cầu
Phần 1: Cấu hình thiết bị (router và host) cơ bản
- Cấu hình cơ bản cho 3 router: host name, địa chỉ ip cho các cổng, mật khẩu
truy cập và giao thức định tuyến động EIGRP.
- Cấu hình IP cho host (PC-A và PC-C).
Phần 2: Cấu hình site-to-site IPsec VPN sử dụng Cisco IOS
- Cấu hình IPsec VPN thiết lập trên R1 và R3.
- Kiểm tra cấu hình site-to-site IPsec VPN.
- Kiểm tra hoạt động IPsec VPN.
Phần 3: Cấu hình site-to-site Ipsec VPN sử dụng SDM
- Cấu hình IPsec VPN thiết lập trên R1.
- Tạo một cấu hình mirror cho R3.
- Áp dụng cấu hình mirror đến R3 và kiểm tra cấu hình.
- Kiểm tra cấu hình VPN sử dụng SDM.

- Phần mềm GNS3
- 2 PC (Windows XP hoặc 7)
Cấu hình cơ bản cho 3 router:
Cấu hình host name và địa chỉ IP:
Router R1

Router(config# hostname R1
R1(config)# exit
Router R2
R2(config)# exit
Router R3
R3(config)# exit
Cấu hình một xung nhịp cho cổng serial của router (cổng s0/0 R1 và cổng s0/1 R2)
và vô hiệu hóa tra cứu DNS:
Router R1
R1(config-if)#clock rate 64000
R1(config)#no ip domain-lookup
Router R2
Router R3
Cấu hình giao thức định tuyến EIGRP:
Router R1
R1(config)#router eigrp 101

R1(config-router)#network 192.168.1.0 0.0.0.255
R1(config-router)#no auto-summary
Router R2


Router R3

Cấu hình độ dài mật khẩu tối thiểu là 10 ký tự, sử dụng lệnh security passwords để
thiết lập và mã hóa mật khẩu console, vty; sử dụng lệnh service password-
encryption:
Router(config)#security passwords min-length 10

Cấu hình các đường console và vty cơ bản:
- Cấu hình mật khẩu console. Để thêm an toàn, sử dụng lệnh exec-timeout gây ra
các dòng log sau 5 phút không hoạt động và lệnh logging synchronous ngăn
chặn thông điệp console làm gián đoạn nhập lệnh.
Router(config-line)#password ciscoconpass
Router(config-line)#exec-timeout 5 0
Router(config-line)#login
Router(config-line)#logging synchronous
- Cấu hình mật khẩu trên đường vty
Router(config-line)#password ciscovtypass
Lưu cấu hình running config lên startup config
Router#copy running-config startup-config
Cấu hình thiết lập IP cho host (PC-A và PC-C)

PC-A
PC-C
Kiểm tra kết nối giữa các PC và router
R1#ping 10.2.2.1
Type escape sequence to abort.
!!!!!
Phần 2: Cấu hình site-to-site VPN sử dụng Cisco IOS
Cấu hình IPsec VPN thiết lập trên R1 và R3
Bước 1: Kích hoạt chính sách IKE:
a. Xác minh rằng IKE được hỗ trợ và kích hoạt

Sử dụng lệnh crypto isakmp enable để xác minh rằng router IOS hỗ trợ IKE và nó
được kích hoạt.
R1(config)#crypto isakmp enable
R3(config)#crypto isakmp enable
b. Thiết lập chính sách Internet Security Association and Key Management Protocol
(ISAKMP):
Sử dụng lệnh cấu hình crypto isakmp policy number trên R1 và R3 cho policy 10.
R1(config)#crypto isakmp policy 10
R3(config)#crypto isakmp policy 10
Bước 2: Cấu hình các thông số chính sách ISAKMP:
Cấu hình một loại chứng thực khóa chia sẻ. Sử dụng mã hóa AES 256, SHA như
thuật toán băm, trao đổi khóa Diffie-Hellman nhóm 5 và thời gian sống 3600 giây cho
chính sách IKE này.
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#encryption aes 256
R1(config-isakmp)#hash sha
R1(config-isakmp)#group 5
R1(config-isakmp)#lifetime 3600
R1(config-isakmp)#end
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#encryption aes 256
R3(config-isakmp)#hash sha
R3(config-isakmp)#group 5
R3(config-isakmp)#lifetime 3600
R3(config-isakmp)#end
Bước 3: Cấu hình pre-shared key:

Cấu hình pre-shared key là cisco123 trên R1 và R3 sử dụng lệnh crypto isakmp
key key-string address address được sử dụng để nhập một pre-shared key. Lệnh cho
R1 trỏ đến địa chỉ IP s0/0 R3, còn lệnh cho R3 trỏ đến địa chỉ IP s0/0 R1
R1(config)#crypto isakmp key cisco123 address 10.2.2.1
R3(config)#crypto isakmp key cisco123 address 10.1.1.1
Bước 4: Cấu hình IPsec transform set và life times:
a. Cấu hình IPsec transform set
Trên R1 và R3, Tạo một transform set với tag 50 và sử dụng giao thức
Encapsulating Security Protocol (ESP) với một thuật toán mã hóa AES 256 và hàm
băm SHA.
R1(config)#crypto ipsec transform-set 50 esp-aes 256 esp-sha-hmac

R1(cfg-crypto-trans)#exit
R3(config)#crypto ipsec transform-set 50 esp-aes 256 esp-sha-hmac

R3(cfg-crypto-trans)#exit
b. Cấu hình life times
Trên R1 và R3, thiết lập thời gian sống IPsec security association đến 30 phút hoặc
1800 giây.
R1(config)#crypto ipsec security-association lifetime seconds 1800
R3(config)#crypto ipsec security-association lifetime seconds 1800
Bước 5: Xác định lưu lượng quan tâm:
a. Cấu hình ACL quan tâm lưu lượng IPsec VPN trên R1.
R1(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.3.0

0.0.0.255
b. Cấu hình ACL quan tâm lưu lượng IPsec VPN trên R3.
R3(config)#access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.1.0

0.0.0.255
Bước 7: Tạo và áp dụng một crypto map:
a. Tạo crypto map trên R1 và R3, tên CMAP và sử dụng số thứ tự là 10.
R1(config)#crypto map CMAP 10 ipsec-isakmp
R3(config)#crypto map CMAP 10 ipsec-isakmp
b. Sử dụng lệnh match address access-list để xác định danh sách truy cập định
nghĩa lưu lượng mã hóa.
R1(config-crypto-map)#match address 101
R3(config-crypto-map)#match address 101
c. Thiết lập một peer IP, để đặt nó đến R3/R1 cổng đầu cuối VPN ở xa sử dụng lệnh
set peer address.
R1(config-crypto-map)#set peer 10.2.2.1
R3(config-crypto-map)#set peer 10.1.1.1
d. Code cứng transform set để được sử dụng với peer này, sử dụng lệnh set
transform-set tag. Thiết lập các loại chuyển tiếp bí mật hoàn hảo sử dụng lệnh set pfs
type và cũng thay đổi mặc định thời gian sống IPsec security association với lệnh set
security-association lifetime seconds seconds.
R1(config-crypto-map)#set pfs group5

R1(config-crypto-map)#set transform-set 50
R1(config-crypto-map)#set security-association lifetime seconds 900
R1(config-crypto-map)#exit
R3(config-crypto-map)#set pfs group5

R3(config-crypto-map)#set transform-set 50
R3(config-crypto-map)#set security-association lifetime seconds 900
R3(config-crypto-map)#exit
e. Áp dụng các crypto map đến cổng thích hợp trên R1 và R3.
R1(config-if)#crypto map CMAP
R1(config)#end
R3(config-if)#crypto map CMAP
R3(config)#end
Kiểm tra cấu hình site-to-site VPN:
Bước 1: Kiểm tra cấu hình IPsec trên R1 và R3:
a. Sử dụng lệnh show crypto ipsec transform-set hiển thị các chính sách cấu hình
IPsec trong hình thức của các transform set.
R1#show crypto ipsec transform-set

Transform set 50: { esp-256-aes esp-sha-hmac }
will negotiate = { Tunnel, },

Transform set 50: { esp-256-aes esp-sha-hmac }
a. Sử dụng lệnh crypto map để hiển thị các crypto map mà sẽ được áp dụng đến
router.
R1#show crypto map

Crypto Map "CMAP" 10 ipsec-isakmp
Peer = 10.2.2.1
Extended IP access list 101
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
Current peer: 10.2.2.1

Security association lifetime: 4608000 kilobytes/900 seconds
PFS (Y/N): Y
DH group: group5
Transform sets={
50: { esp-256-aes esp-sha-hmac } ,

}
Interfaces using crypto map MYMAP: Serial0/0/0
R3#show crypto map

Crypto Map "CMAP" 10 ipsec-isakmp
Peer = 10.1.1.1
Extended IP access list 101
access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255

PFS (Y/N): Y
DH group: group5
Transform sets={
50: { esp-256-aes esp-sha-hmac } ,
}
Interfaces using crypto map MYMAP: Serial0/0/1
Kiểm tra hoạt động IPsec VPN:
Bước 1: Hiển thị các isakmp security associations.
Lệnh show crypto isakmp sa cho thấy rằng không có IKE SA tồn tại. Khi lưu lượng
quan tâm được gửi đi, đầu ra của lệnh này sẽ thay đổi.
R1#show crypto isakmp sa
dst src state conn-id slot status
Bước 2: Hiển thị các IPsec security associations.
a. Lệnh show crypto ipsec sa cho thấy SA không được sử dụng giữa R1 và R3.
R1#show crypto ipsec sa
interface: Serial0/0/0
Crypto map tag: CMAP, local addr 10.1.1.1
protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0)
current_peer 10.2.2.1 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 10.1.1.1, remote crypto endpt.: 10.2.2.1

path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0/0
current outbound spi: 0x0(0)
inbound esp sas:

inbound ah sas:
inbound pcp sas:
outbound esp sas:
outbound ah sas:
outbound pcp sas:
Bước 3: Tạo một vài lưu lượng kiểm tra và quan sát kết quả.
a. Sử dụng ping mở rộng từ R1 đến R3 cổng f0/0 địa chỉ IP 192.168.3.1.
R1#ping
Protocol [ip]:
Target IP address: 192.168.3.1
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 192.168.1.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:

Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Packet sent with a source address of 192.168.1.1

!!!!!
b. Sử dụng lệnh show crypto isakmp sa một lần nữa:
IKE SA được tạo giữa R1 và R3 trong thời gian này. Các đầu cuối của đường hầm
IPsec VPN, nguồn: 10.1.1.1 (cổng S0/0 R1), đích: 10.2.2.1 (cổng S0/0 R3).

IPv4 Crypto ISAKMP SA
10.2.2.1 10.1.1.1 QM_IDLE 1001 0 ACTIVE
c. Sử dụng lệnh show crypto ipsec sa. Để xem số gói tin được chuyển đổi giữa R1
và R3
interface: Serial0/0
Crypto map tag: CMAP, local addr 10.1.1.1


path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0
current outbound spi: 0x0(0)
inbound esp sas:
inbound ah sas:
inbound pcp sas:
outbound esp sas:
outbound ah sas:
outbound pcp sas:
Phần 3: Cấu hình site-to-site IPsec VPN với SDM
Khôi phục R1 và R3 với cấu hình cơ bản
Trên gns3 xóa file cấu hình của R1 và R3 chứa trong thư mục configs của bài thực
hành (R1.cfg, R3.cfg). Sau đó, tắt và chạy lại project của bài thực hành để khôi phục
cấu hình mặc định của R1 và R3.
Khi khởi động lại router, khôi phục cấu hình cơ bản cho R1 và R3 như trong phần 1
của bài thực hành này.
Cấu hình IPsec VPN cài đặt trên R1 sử dụng SDM
Bước 1: Cấu hình mật khẩu enable secret và HTTP trước khi bắt đầu SDM.
R1(config)#enable secret cisco12345

Bước 2: Truy cập SDM và thiết lập tùy chọn gửi lệnh.
a. Chạy ứng dụng SDM trên PC-A và bắt đầu SDM bằng cách nhập địa chỉ IP R1
192.168.1.1 trong trường địa chỉ.
b. Đăng nhập với không người dùng và mật khẩu enable secret là cisco12345.
c. Trong hộp thoại Authentication Required, trường Username để trống và nhập vào
cisco12345 trong trường Password. Nhấn Yes.
d. Chọn Edit  Preferences để cấu hình SDM cho phép xem trước các lệnh trước khi
gửi chúng đến router. Trong cửa sổ User Preferences, chọn Preview commands before
delivering to router và nhấn OK.
Bước 3: Bắt đầu SDM VPN wizard để cấu hình R1.
a. Chọn nút Configure ở trên cùng của màn hình SDM và sau đó nhấn nút VPN.
Chọn Site-to-Site VPN từ danh sách của các tùy chọn. Tùy chọn mặc định là Create
Site-to-Site VPN.
Giao diện Create Site-to-Site VPN

b. Chọn nút Launch the selected task để bắt đầu SDM Site-to-Site VPN wizard.
c. Từ cửa sổ Site-to-Site VPN wizard ban đầu, Chọn Step by Step wizard, và sau đó
chọn Next.
Bước 4: Cấu hình các thiết lập thông tin kết nối VPN cơ bản.
a. Từ cửa sổ VPN Connection Information, chọn cổng cho kết nối, nên là R1
serial0/0.
b. Trong phần Peer Identity, Chọn Peer with static address và nhập địa chỉ IP của
peer R3 ở xa cổng s0/0 (10.2.2.1).
c. Trong phần Authentication, Chọn Pre-shared keys và nhập vào khóa pre-shared
VPN là cisco12345. Nhập lại khóa để xác nhận và nhấn Next.
Giao diện VPN Connection Information

Bước 5: Cấu hình các thông số chính sách IKE.
a. Cửa sổ IKE Proposals, một đề xuất chính sách mặc định được hiển thị. Chọn nút
Add để tạo một chính sách IKE mới.
b. Thiết lập chính sách an ninh như trong hộp thoại Add IKE Policy bên dưới. Khi
hoàn tất, nhấn OK để thêm chính sách. Sau đó nhấn Next.
Hộp thoại Add IKE Policy

Bước 6: Cấu hình một transform set.
a. Một SDM transform set mặc định được hiển thị. Chọn nút Add để tạo mới một
transform set.
b. Thiết lập transform set như hộp thoại Transform Set dưới đây. Khi hoàn tất,
nhấn OK để thêm transform set. Sau đó nhấn Next.
Hộp thoại Add Transform Set

Bước 7: Xác định lưu lượng quan tâm.
Trong cửa sổ Traffic to protect, nhập thông tin như bên dưới. Khi hoàn tất, nhấn
Next.
Giao diện Traffic to protect

Bước 8: Xem lại cấu hình tóm tắt và cung cấp các lệnh đến router.
a. Cửa sổ xem lại cấu hình tóm tắt Summary of the Configuration. Không chọn vào
mục Test VPN connectivity after configuring. Sau đó, chọn finish.
Giao diện Summary of the Configuration

b. Trong cửa sổ Deliver Configuration to router window, chọn Save running config
to router’s startup config và nhấn nút Deliver. Sau khi các lệnh được giao đến router,
nhấn OK.
Tạo một Mirror Configuration cho R3
Bước 1: Sử dụng SDM trên R1 để tạo ra một cấu hình mirror cho R3.
a. Trên R1, Chọn VPN  Site-to-Site VPN và chọn tab Edit Site-to-Site VPN.
b. Chọn chính sách VPN vừa cấu hình trên R1 và nhấn nút Generate Mirror phía
dưới bên phải của cửa sổ. Cửa sổ Generate Mirror hiển thị các lệnh cần thiết để cấu
hình R3 như một VPN peer.
Giao diện Generate Mirror

Bước 2: Lưu các lệnh cấu hình cho R3.
a. Chọn nút Save để tạo một file text.

b. Lưu các lệnh ra desktop hoặc vị trí khác và đặt tên nó là VPN-Mirror-Cfg-for-
R3.txt.
c. Chỉnh sửa tập tin để loại bỏ các text giải thích ở đầu và các mục sau mô tả lệnh
crypto map SDM_CMAP_1.
Áp dụng Mirror Configuration đến R3 và kiểm tra cấu hình
Bước 1: Truy cập CLI R3 và sao chép các lệnh mirror.
a. Trên R3, vào chế độ privileged EXEC và chế độ global config sau đó.
b. Sao chép các lệnh từ tập tin text vào CLI R3.
Bước 2: Áp dụng crypto map đến cổng s0/0 R3.
R3(config)#interface s0/0
R3(config-if)#crypto map SDM_CMAP_1
Bước 3: Kiểm tra cấu hình VPN trên R3 sử dụng Cisco IOS.
a. Trên R3, sử dụng lệnh show crypto isakmp policy để hiển thị cấu hình các chính
sách ISAKMP.
R3#show crypto isakmp policy
Global IKE policy

Protection suite of priority 1
encryption algorithm: Three key triple DES
hash algorithm: Secure Hash Standard
authentication method: Pre-Shared Key
Diffie-Hellman group: #2 (1024 bit)
lifetime: 86400 seconds, no volume limit
Protection suite of priority 10

encryption algorithm: AES - Advanced Encryption Standard (256 bit
keys
).
hash algorithm: Message Digest 5
authentication method: Pre-Shared Key
Diffie-Hellman group: #5 (1536 bit)
lifetime: 28800 seconds, no volume limit
b. Sử dụng lệnh show crypto ipsec transform-set để hiển thị các chính sách IPsec
cấu hình trong form của các transform set.

Transform set Lab-Transform: { esp-256-aes esp-sha-hmac }
c. Sử dụng lệnh show crypto map để hiển thị các crypto map sẽ được áp dụng đến
R3.
R3#show crypto map

Crypto Map "SDM_CMAP_1" 1 ipsec-isakmp
Peer = 10.1.1.1
Extended IP access list SDM_1
access-list SDM_1 permit ip 192.168.3.0 0.0.0.255 192.168.1.0
0.0.0.255
PFS (Y/N): N
Transform sets={
Lab-Transform,
}
Interfaces using crypto map SDM_CMAP_1:
Serial0/0
Kiểm tra cấu hình VPN sử dụng SDM trên R1.
a. Trên R1, sử dụng SDM để kiểm tra đường hầm IPsec VPN giữa hai router. Chọn
VPN > Site-to-Site VPN và chọn tab Edit Site-to-Site VPN.
b. Từ tab Edit Site to Site VPN, chọn VPN và kích chọn Test Tunnel.
c. Khi cửa sổ VPN Troubleshooting hiển thị, nhấn nút Start để SDM bắt đầu
Troubleshooting tunnel.
d. Khi cửa sổ SDM Warning hiển thị chỉ ra rằng SDM sẽ cho phép router debug và
tạo ra một số lưu lượng đường hầm, chọn Yes để tiếp tục.
e. Trong cửa sổ VPN Troubleshooting tiếp theo, địa chỉ IP của R1 cổng fa0/0 trong
source network được hiển thị bởi mặc định (192.168.1.1). Nhập địa chỉ IP của R3
cổng fa0/1 trong trường destination network (192.168.3.1) và nhấn Continue để bắt
đầu quá trình debug.
Giao diện VPN Troubleshooting

f. Nếu debug là thành công và đường hầm up, bạn sẽ thấy màn hình dưới đây. Nếu
kiểm tra thất bại, SDM hiển thị lý do thất bại và những đề nghị. Nhấn OK để loại bỏ
cửa sổ.
Giao diện VPN Troubleshooting thành công

g. Có thể lưu báo cáo nếu muốn; nếu không, nhấn Close.
h. Ban hành lệnh show crypto isakmp sa trên R3 để xem security association được
tạo ra.
IPv4 Crypto ISAKMP SA
10.2.2.1 10.1.1.1 QM_IDLE 1001 0 ACTIVE
i. Sử dụng lệnh show crypto ipsec sa trên R3, để xem số gói tin được chuyển đổi
giữa R1 và R3.
interface: Serial0/0/1
Crypto map tag: SDM_CMAP_1, local addr 10.2.2.1


path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0/1
current outbound spi: 0x207AAD8A(544910730)
inbound esp sas:

spi: 0xAF102CAE(2937072814)
transform: esp-256-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2007, flow_id: FPGA:7, crypto map: SDM_CMAP_1
sa timing: remaining key lifetime (k/sec): (4558294/3037)
IV size: 16 bytes
replay detection support: Y

Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:

spi: 0x207AAD8A(544910730)
transform: esp-256-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2008, flow_id: FPGA:8, crypto map: SDM_CMAP_1
sa timing: remaining key lifetime (k/sec): (4558294/3037)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
Bắt và phân tích gói tin ISAKMP và ESP trên wireshark, trả lời các câu hỏi sau:
+ Gói tin ISAKMP:
1. Có bao nhiêu loại exchange type trong các gói tin ISAKMP?
2. ISAKMP sử dụng dịch vụ UDP hay TCP ? Số hiệu cổng bao nhiêu?
3. Trong các loại Exchange Type, loại Exchange Type nào có chứa Security
Association (SA)?
4. Thuật toán mã hóa gì được sử dụng?
5. Phương pháp xác thực được sử dụng là gì?
+ Gói tin ESP:

6. Người gửi và người nhận có địa chỉ IP gì? Giá trị SPI tương ứng? Giá trị này
dùng để làm gì?
7. Gói tin ESP sử dụng số protocol number bao nhiêu?

Bài thực hành số 7: Remote-Access VPN

III. Giới thiệu
Remote-access VPN cho phép người dùng cá nhân truy cập an toàn vào các nguồn
tài nguyên của công ty bằng cách thiết lập một đường hầm được mã hóa trên mạng
Internet. Một số giao thức thường thường được sử dụng trong remote-access VPN
như: PPTP, L2TP, L2F, và IPSEC.
IV. Bài tập thực hành
router và host. Cấu hình một remote access IPsec VPN giữa một máy client (PC-A) và
một mạng công ty mô phỏng (R3). Bắt đầu bằng cách sử dụng SDM để cấu hình một
zoned-based firewall (ZBF) để ngăn chặn các kết nối từ bên ngoài mạng công ty.
Cũng có thể sử dụng SDM để cấu hình Cisco Easy VPN Server trên router R3. Tiếp
theo, Cấu hình Cisco VPN Client trên PC-A và kết nối đến R3 thông qua một router giả
lập ISP (R2).
Yêu cầu
- Cấu hình cơ bản cho 3 router: host name, địa chỉ ip cho các cổng, mật khẩu
truy cập và định tuyến tĩnh.
- Cấu hình IP cho host (PC-A và PC-C).
- Kiểm tra kết nối giữa PC-A và R3.
Phần 2: Cấu hình Remote Access VPN
- Cấu hình zone-based firewall (ZBF) trên R3 sử dụng SDM.
- Cấu hình Router R3 để hỗ trợ Cisco Easy VPN Server sử dụng SDM.
- Cấu hình Cisco VPN Client trên PC-A và kết nối đến R3.
- Kiểm tra hoạt động VPN.
- Phần mềm GNS3
- PC-A: Windows XP hoặc 7 (với Cisco VPN Client)
- PC-C: Windows XP hoặc 7

Cấu hình cơ bản cho 3 router:
Cấu hình host name và địa chỉ IP:
Router R1

R1(config)# exit
Router R2
R2(config)# exit
Router R3
R3(config)# exit
Cấu hình một xung nhịp cho cổng serial của router (cổng s0/0 R1 và cổng s0/1 R2)
và vô hiệu hóa tra cứu DNS:
Router R1
Router R2
Router R3
Cấu hình định tuyến tĩnh:
- Cấu hình một static default route từ R1 đến R2 và từ R3 đến R2
R1(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2
R3(config)#ip route 0.0.0.0 0.0.0.0 10.2.2.2
- Cấu hình một static route từ R2 đến LAN R1 và từ R2 đến LAN R3
R2(config)#ip route 192.168.1.0 255.255.255.0 10.1.1.1

R2(config)#ip route 192.168.3.0 255.255.255.0 10.2.2.1
Cấu hình độ dài mật khẩu tối thiểu là 10 ký tự, sử dụng lệnh security passwords để
thiết lập và mã hóa mật khẩu console, vty; sử dụng lệnh service password-
encryption:
Router(config)#security passwords min-length 10

Cấu hình các đường console và vty cơ bản:

- Cấu hình mật khẩu console. Để thêm an toàn, sử dụng lệnh exec-timeout gây ra
các dòng log sau 5 phút không hoạt động và lệnh logging synchronous ngăn
chặn thông điệp console làm gián đoạn nhập lệnh
Router(config-line)#password ciscoconpass
Router(config-line)#logging synchronous
- Cấu hình mật khẩu trên đường vty
Router(config-line)#password ciscovtypass
Cấu hình một biểu ngữ cảnh báo đăng nhập trên router R1 và R3
R1(config)#banner motd $Truy cap trai phep deu bi nghiem cam$
R3(config)#banner motd $Truy cap trai phep deu bi nghiem cam$
Lưu cấu hình running config lên startup config
Router#copy running-config startup-config
Cấu hình thiết lập IP cho host (PC-A và PC-C)
PC-A
PC-C
Kiểm tra kết nối giữa PC-A và R3
Từ PC-A, ping thành công R3 cổng s0/0 tại địa chỉ 10.2.2.1
Phần 2: Cấu hình Remote Access VPN
Chuẩn bị R3 cho SDM truy cập
Bước 1: Cấu hình HTTP truy cập router và một người dùng trước khi bắt đầu SDM.
a. Kích hoạt HTTP server trên R3.
b. Tạo một tài khoản admin01 trên R3 với mức quyền 15 và một mật khẩu
admin01pass.
R3(config)#username admin01 privilege 15 password 0 admin01pass
Bước 2: Truy cập SDM và thiết lập tùy chọn gửi lệnh.
a. Chạy ứng dụng SDM trên PC-C. Bắt đầu SDM bằng cách nhập địa chỉ IP của R3
cổng fa0/0 192.168.3.1 trong trường địa chỉ.
b. Đăng nhập với không người dùng và kích hoạt mật khẩu enable secret là
cisco12345.
c. Trong hộp thoại Authentication Required, nhập cisco12345 trong trường
Password và nhấn OK.
d. Nếu hộp thoại IOS IPS Login xuất hiện, nhập mật khẩu enable secret là
cisco12345.
e. Chọn Edit  Preferences để cho phép xem trước các lệnh trước khi gửi chúng
đến router. Trong cửa sổ User Preferences, chọn Preview commands before delivering
to router và nhấn OK.
Cấu hình một ZBF Firewall trên R3
Bước 1: Sử dụng SDM Firewall wizard để cấu hình một zone-based firewall (ZBF)
trên R3.
a. Nhấn nút Configure ở trên cùng của màn hình SDM và sau đó nhấn vào Firewall
and ACL.
Giao diện Firewall and ACL

b. Chọn Basic Firewall và nhấp vào nút Launch the selected task. Trên màn hình
Basic Firewall Configuration wizard, nhấn Next.
c. Chọn vào Inside (trusted) cho FastEthernet0/0 và Outside (untrusted) cho
Serial0/0. Nhấn Next. Nhấn OK khi SDM launch warning for Serial0/0 được hiển thị.
Giao diện Basic Firewall Configuration wizard

d. Trong cửa sổ tiếp theo, Chọn Low Security cho mức bảo mật và nhấn Next.
e. Trong cửa sổ Summary, chọn Finish.
f. Chọn Deliver để gửi các lệnh đến router. Nhấn OK trong cửa sổ Commands
Delivery Status. Nhấn OK trên cửa sổ Information. Bạn quay trở lại tab Edit Firewall
Policy như hình dưới đây.
Giao diện Edit Firewall Policy

Bước 2: Kiểm tra chức năng tường lửa.
a. Từ PC-C, ping thành công R2 cổng s0/1 tại địa chỉ IP 10.2.2.2.
C:\Documents and Settings\Administrator>ping 10.2.2.2

Pinging 10.2.2.2 with 32 bytes of data:
Reply from 10.2.2.2: bytes=32 time=101ms TTL=254

Ping statistics for 10.2.2.2:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 49ms, Maximum = 101ms, Average = 68ms
b. Từ router R2 bên ngoài, Ping không thành công PC-C tại địa chỉ IP 192.168.3.3
R2#ping 192.168.3.3

.....
Success rate is 0 percent (0/5)
Sử dụng SDM VPN Wizard để cấu hình Easy VPN Server
Bước 1: Khởi động Easy VPN Server wizard và cấu hình dịch vụ AAA.
a. Nhấn nút Configure ở phía trên cùng của màn hình chính SDM. Nhấn nút VPN để
xem trang cấu hình VPN.
b. Chọn Easy VPN Server từ cửa sổ VPN chính, và sau đó nhấn Launch Easy VPN
Server Wizard.
Giao diện Easy VPN Server

c. Easy VPN Server wizard kiểm tra cấu hình router để xem nếu AAA được kích
hoạt. Nếu AAA không được kích hoạt, cửa sổ Enable AAA hiển thị. AAA phải được kích
hoạt trên router trước khi bắt đầu cấu hình Easy VPN Server. Nhấn Yes để tiếp tục với
cấu hình.
d. Khi được nhắc để gửi cấu hình đến router, nhấn Deliver.
e. Trong cửa sổ Command Delivery Status, nhấn OK. Khi một thông điệp “AAA has
been successfully enabled on the router” hiển thị, nhấn OK.
f. Khi quay lại cửa sổ Easy VPN Server wizard, nhấn Next.
g. Bây giờ AAA đã được kích hoạt, có thể bắt đầu Easy VPN Server wizard bằng
cách nhấn nút Launch Easy VPN Server Wizard. Sau đó nhấn Next.
Giao diện Easy VPN Server Wizard

Bước 2: Cấu hình cổng đường hầm ảo và xác thực.
a. Chọn cổng mà client kết nối. Nhấn vào nút Unnumbered to và chọn cổng
Serial0/0 từ menu thả xuống.
b. Chọn Pre-shared Keys cho loại xác thực và nhấn Next để tiếp tục.
Giao diện Interface and authentication

Bước 3: Chọn một IKE proposal.
a. Trong cửa sổ IKE Proposals, IKE Proposals mặc định được sử dụng cho R3.
Giao diện IKE Proposals

b. Nhấn Next để chấp nhận chính sách IKE mặc định.
Bước 4: Chọn transform set.
a. Trong cửa sổ transform set, SDM transform set mặc định được sử dụng.
Giao diện Transform Set

b. Nhấn Next để chấp nhận transform set mặc định.
Bước 5: Xác định group authorization và group policy lookup.
a. Trong cửa sổ Group Authorization and Group Policy Lookup, chọn tùy chọn Local.
Giao diện Group Authorization and Group Policy Lookup

b. Nhấn Next để tạo một danh sách phương pháp AAA mới cho group policy lookup
mà sử dụng cơ sở dữ liệu router cục bộ.
Bước 6: Cấu hình user authentication (XAuth).
a. Trong cửa sổ User Authentication (Xauth). Chọn Enable User Authentication và

chấp nhận mặc định Local Only.
Giao diện User Authentication (Xauth)

b. Chọn nút Add User Credentials. Trong cửa sổ User Accounts, có thể xem các
người dùng hiện tại đã được xác định hoặc thêm các người dùng mới.
c. Cửa sổ User Accounts, nhấn nút Add để thêm người dùng khác. Nhập tên người
dùng VPNuser1 với một mật khẩu VPNuser1pass. Chọn encrypting the password using
the MD5 hash algorithm. Chọn 1 trong mục privilege level.
Hộp thoại Add an Account

d. Nhấn OK để chấp nhận VPNuser01, và sau đó nhấn OK để đóng cửa sổ User
Accounts.
Hộp thoại User Accounts

e. Trong cửa sổ User Authentication (XAuth), nhấn Next để tiếp tục.
Bước 7: Xác định group authorization and user group policies.
a. Trong cửa sổ Group Authorization and User Group Policies, phải tạo ít nhất một
group policy cho VPN server.
Giao diện group authorization and user group policies

b. Nhấn Add để tạo một group policy.
c. Trong cửa sổ Add Group Policy, nhập VPN-Access như tên của group này. Nhập
một pre-shared key mới là cisco12345 và sau đó nhập lại nó.
d. Chọn vào Pool Information và nhập địa chỉ bắt đầu 192.168.3.100 và địa chỉ kết
thúc 192.168.3.150 và subnet mask 255.255.255.0.
e. Nhập 50 cho dòng Maximum Connections Allowed.
f. Nhấn OK để chấp nhận các thành phần.
Hộp thoại Add Group Policy

g. Một thông điệp SDM warning xuất hiện chỉ ra rằng địa chỉ IP trong pool và địa chỉ
IP của cổng FastEthernet0/0 trong cùng một subnet. Nhấn Yes để tiếp tục.
h. Khi quay lại cửa sổ Group Authorization, chọn Configure Idle Timer và nhập vào
1 giờ. Điều này sẽ ngắt kết nối idle user nếu không có hoạt động trong một giờ và cho
phép những người khác kết nối. Nhấn Next để tiếp tục.
Giao diện group authorization and user group policies sau khi tạo group
i. Khi cửa sổ Cisco Tunneling Control Protocol (cTCP) xuất hiện, không cho phép
cTCP. Nhấn Next để tiếp tục.
j. Khi cửa sổ Easy VPN Server Passthrough Configuration xuất hiện, hãy chắc rằng
Action Modify đã được chọn. Nhấn OK để tiếp tục.
Giao diện Modify Firewall

Bước 8: Xem lại tóm tắt cấu hình và cung cấp các lệnh.
a. Di chuyển qua các lệnh mà SDM sẽ gửi đến router. Không chọn mục test VPN.
Nhấn Finish.
b. Khi được nhắc để cung cấp cấu hình cho router, nhấn Deliver.
Giao diện Summary of the Configuration

c. Trong cửa sổ Command Delivery Status, nhấn OK.
Bước 9: Kiểm tra VPN Server.
a. Quay trở lại cửa sổ chính của VPN với tab Edit Easy VPN Server được chọn. Nhấn
nút Test VPN Server ở phía dưới bên phải của màn hình.
b. Trong cửa sổ VPN Troubleshooting, nhấn nút Start. Màn hình sẽ trông giống như
hình dưới đây. Nhấn OK để đóng cửa sổ information. Nhấn Close để thoát cửa sổ VPN
Troubleshooting.
Giao diện VPN Troubleshooting

Sử dụng Cisco VPN Client để Test Remote Access VPN
Bước 1: Cài đặt Cisco VPN client trên PC-A.
Trong bài thực hành này sử dụng Cisco VPN Client 4.8.02.0010 cho Windows XP.
Giải nén tập tin .exe hoặc .zip và bắt đầu cài đặt. Chấp nhận giá trị mặc định khi được
nhắc. Nhấn Finish khi VPN Client được cài đặt thành công. Nhấn Yes để khởi động lại
máy tính để những thay đổi cấu hình có hiệu lực.
Giao diện cài đặt Cisco VPN client

Bước 2: Cấu hình PC-A như một VPN client để truy cập VPN server.
a. Bắt đầu Cisco VPN Client và chọn Connection Entries  New hoặc nhấn New icon
với dấu cộng màu đỏ (+).
Giao diện chính VPN Client

b. Nhập thông tin sau đây để xác định các mục kết nối mới. Nhấn Save khi hoàn
thành.
- Connection Entry: VPN-R3
- Description: Kết nối đến mạng nội bộ R3
- Host: 10.2.2.1 (địa chỉ IP của R3 cổng s0/0)
- Group Authentication Name: VPN-Access
- Password: cisco12345
- Confirm Password: cisco12345
Giao diện Create New VPN Connection Entry

Bước 3: Kiểm tra truy cập từ PC-A mà không có một kết nối VPN.
Từ PC-A, ping không thành công PC-C địa chỉ IP 192.168.3.3. Vì PC-A vẫn được
cấu hình địa chỉ IP (192.168.1.3) và bị chặn bởi tường lửa.
Request timed out.

Request timed out.
Request timed out.
Request timed out.

Bước 4: Thiết lập một kết nối VPN và đăng nhập.
a. Chọn kết nối VPN-R3 đã được tạo mới và nhấn biểu tượng Connect.
Giao diện kết nối VPN-R3

b. Nhập tên người dùng VPNuser1 tạo ra trước đó trong hộp thoại VPN Client User
Authentication và nhập mật khẩu VPNuser1pass. Nhấn OK để tiếp tục.
Hộp thoại User Authentication for “VPN-R3”

Kiểm tra đường hầm VPN giữa client, server và mạng nội bộ
Bước 1: Kiểm tra các số liệu thống kê đường hầm.
a. Chọn Status  Statistics. Chọn tab Tunnel Details.

Hộp thoại Statistics

Bước 4: Kiểm tra truy cập PC-A client sử dụng kết nối VPN.
a. Với kết nối VPN từ PC-A đến router R3 được kích hoạt, PC-A ping thành công PC-
C địa chỉ IP 192.168.3.3. PC-A có một địa chỉ IP (192.168.3.100 trong trường hợp
này) mà được gán bởi VPN server. PC-A có thể truy cập PC-C nội bộ trên mạng
192.168.3.0/24 vì cả hai host cùng một subnet.


Approximate round trip times in milli-seconds:
Minimum = 87ms, Maximum = 175ms, Average = 112ms
Bước 5: Kiểm tra thông điệp Cisco IOS trên R3 khi đường hầm được tạo.
Mở console R3 và vị trí thông điệp hiển thị chỉ ra rằng cổng ảo Virtual-Access2 đã
đưa ra khi VPN Client kết nối được thực hiện.
R3#
*Feb 20 12:09:08.907: %LINEPROTO-5-UPDOWN: Line protocol on Interface
Virtual-Access2, changed state to up
Bước 6: Kiểm tra thông tin kết nối VPN cho PC-A.
Từ dấu nhắc lệnh PC-A, sử dụng lệnh ipconfig/all để xem các kết nối mạng.
C:\Documents and Settings\Administrator>ipconfig/all
Windows IP Configuration
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix . :

Description . . . . . . . . . . . : VMware Accelerated AMD PCNet
Adapter
Physical Address. . . . . . . . . : 00-0C-29-93-29-F5

Dhcp Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.1.3
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :
Ethernet adapter Local Area Connection 3:
Connection-specific DNS Suffix . :

Description . . . . . . . . . . . : Cisco Systems VPN Adapter
Physical Address. . . . . . . . . : 00-05-9A-3C-78-00
Dhcp Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.3.100
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.3.1
Bài thực hành số 8: TỔNG HỢP

Sơ đồ mạng
Yêu cầu:
- Đặt địa chỉ IP như mô hình.

- Trên switch SW: Tạo vlan 10,20; gán interface vào vlan; cấu hình trunking.
Trên router R3: Định tuyến interVLAN routing đảm bảo các PC (C3 và C4)
thuộc 2 vlan thấy nhau.
- Cấu hình định tuyến RIP version 2 trên 3 router.
- Cấu hình dịch vụ HTTP, DNS trên máy C3.
- Cấu hình ACL trên router R3, sao cho:
+ Cấm máy C1 thực hiện lệnh ping nhưng cho phép truy cập web vào máy
C3 bằng địa chỉ IP (cấm truy cập web bằng tên miền).
+ Cho phép mạng 30.0.0.0/8 truy cập web trên máy C3 bằng tên miền.
+ Cho phép các gói tin ICMP xuất phát từ VLAN10 được phép truy cập ra bên
ngoài (router R1, R2, máy C1 và C2). Tất cả mọi loại dữ liệu từ bên ngoài đi
vào VLAN10 đều bị cấm, ngoại trừ gói tin trả về cho gói tin ICMP đã đi ra trước
đó.
- Cấu hình Radius:
+ Cấu hình Radius Server trên máy C4 (sử dụng phần mềm Cisco-ACS phiên
bản 4.2 để cài đặt và cấu hình).
+ Cấu hình router R2 làm Radius Client.
+ Tạo username: Radius, password: 123 trên Radius Server.
+ Mở phiên kết nối telnet từ máy C1 vào router R2 sử dụng tài khoản tạo trên
Radius Server để xác thực và truy cập.
HƯỚNG DẪN CẤU HÌNH
- Đặt địa chỉ IP:
R1
R1#conf t
R1(config)#int f0/0
R1(config-if)#ip add 10.0.0.36 255.0.0.0
R1(config-if)#no shut
R1(config)#int f0/1
R1(config-if)#ip add 30.0.0.36 255.0.0.0
R1(config-if)#exit
R1(config)#int s1/0
R1(config-if)#ip add 192.168.1.30 255.255.255.0
R2
R2#conf t
R2(config)#int s1/0
R2(config-if)#ip add 192.168.1.36 255.255.255.0
R2(config-if)#exit
R2(config)#int s1/1
R2(config-if)#ip add 192.168.2.30 255.255.255.0
R3
R3#conf t
R3(config)#int s1/0
R3(config-if)#ip add 192.168.2.36 255.255.255.0
R3(config)#no shut
C1:
C2:
C3:
C4:
- Tạo Vlan, gán vlan vào interface, cấu hình trunking trên switch sw và
định tuyến interVLAN routing trên router R3:
+ Tạo Vlan 10,20 trên switch sw:
sw#vlan database
sw(vlan)#vlan 10
sw(vlan)#vlan 20
+ Gán vlan 10 vào interface f0/1, vlan 20 vào interface f0/2 trên switch sw:
Sw#config t
Sw(config)#interface f0/1
Sw(config-if)#switchport mode access
Sw(config-if)#switchport access vlan 10
Sw(config)#interface f0/2
Sw(config-if)#switchport mode access
Sw(config-if)#switchport access vlan 20
+ Cấu hình trunking trên cổng f0/0 của switch sw:
sw#config t
sw(config)# interface f0/0
sw(config-if)# switchport mode trunk
+ Cấu hình định tuyến interVLAN routing trên router R3, đảm bảo 2 máy tính
thuộc vlan 10 và 20 kết nối thành công.
R3#conf t
R3(config)#interface f0/0.10
R3(config-if)# encapsulation dot1Q 10
R3(config-if)#ip add 20.10.0.30 255.255.0.0
R3(config)#interface f0/0.20
R3(config-if)# encapsulation dot1Q 20
R3(config-if)#ip add 20.20.0.30 255.255.0.0
- Cấu hình định tuyến RIP version 2 trên R1, R2, R3:
R1
R1#conf t
R1(config)#router rip
R1(config)#version 2
R1(config-router)#network 192.168.1.0
R2
R2#conf t
R3
R3#conf t
+ Kiểm tra định tuyến: Thực hiện lệnh Ping từ máy C1 đến máy C2, C3 và C4
- Cấu hình HTTP, DNS trên máy C3:
Giao diện cấu hình HTTP

Giao diện cấu hình DNS

+ Kết quả truy cập vào dịch vụ web bằng tên miền từ máy C1,C2,C4 vào máy C3:
Truy cập HTTP

- Cấu hình ACL, RADIUS: sinh viên tự thực hiện (tham khảo các bài thực hành
trước).
TÀI LIỆU THAM KHẢO

1. Giáo trình Bảo mật thông tin (TS. Trần Văn Dũng)
2. Sách: Bảo mật thông tin – mô hình và ứng dụng (Nguyễn Xuân Dũng).
3. Douglas Stinson, Cryptography: Theory and Practic, CRC Press, CRC Press LLC.
4. The CISSP All-in-One Exam guide, 6th Edition, SHON HARRIS.
5. Tài liệu hacker mũ trắng CEHv7.
6. Tài liệu CCIE security
7. Stephen Northcutt, Network Intrusion Detection: An Analyst’s Handbook, SANS.
8. Jon Erickson, Hacking: The Art of Exploitation, 2nd Edition.
9. J. Michael Stewart, Network Security, Firewalls, and VPNs.
10. William Stallings, Network Security Esentials: Applications and Standards.
11. Comptia Security+, Deluxe study guide, Sybex, Wiley Publising, Inc.

An Toan Mang

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

An Toan Mang

Uploaded by

Copyright:

Available Formats

BỘ GIÁO DỤC VÀ ĐÀO TẠO

Biên soạn: TS. Văn Thiên Hoàng

2.4.1 Khái niệm......................................................................................................32

NỘI DUNG MÔN HỌC

KIẾN THỨC TIỀN ĐỀ

CÁCH TIẾP NHẬN NỘI DUNG MÔN HỌC

PHƯƠNG PHÁP ĐÁNH GIÁ MÔN HỌC

BÀI 1: TỔNG QUAN VỀ AN

- Giới thiệu an toàn mạng máy tính

- Chiến lược bảo mật hệ thống AAA.

- Các nguy cơ mất an ninh mạng.

- Nguyên tắc xây dựng một hệ thống bảo mật.

1.1 GIỚI THIỆU

- Các lỗ hổng trong các hệ điều hành.

- Các ứng dụng.

- Lỗi phần cứng.

- Các nguyên nhân khác.

1.1.2 Tính bí mật

1.1.3 Tính toàn vẹn

1.2 CÁC MÔ HÌNH BẢO MẬT

1.2.1 Mô hình CIA (Confidentiality-Integrity-Availability)

Hình 1.1: Mô hình CIA

1.2.2 Mô hình PARKERIAN HEXAD

- Tính bảo mật mở rộng thêm tính sở hữu, chủ

- Tính toàn vẹn mở rộng thêm tính xác thực: ngoài

- Tính khả dụng mở rộng thêm tính hữu dụng:

1.2.3 Mô hình nguy cơ STRIDE

- Spoofing (giả mạo) mục đích là đối lập với Authentication.

- Tampering (xáo trộn) đối lập với Integrity.

- Repudiation (phủ nhận) đối lập một phần với Authenticity.

- Denial of Service (D.o.S) đối lập với Availability.

- Elevation of privilege mục đích là đối lập với Authorization.

1.3 CHIẾN LƯỢC AN NINH MẠNG AAA

1.3.1 Điều khiển truy cập

Mô hình điều khiển truy cập tự do (DAC-Discretionary Access Control): mô hình

Hình 1.3: Bảng điều khiển truy cập của NTFS

1.3.2 Xác thực

PAP – Password Authentication Protocol, so sánh credentials (username/ password,

Hình 1.5: Cơ chế xác thực CHAP [11].

Hình 1.6: Cơ chế xác thực Kerberos (nguồn Internet)

1.3.3 Kiểm tra

Các thành phần của hệ thống kiểm tra gồm có:

- Đánh giá khả năng xâm nhập hệ thống từ bên ngoài.

1.4 CÁC NGUY CƠ MẤT AN NINH MẠNG

1.4.1 Phân loại

Phần cứng: Lỗi thiết bị phần cứng như Firewall, Router,..

1.4.2 Thách thức an ninh

- Nguồn nhân lực an ninh mạng.

- Khai thác các lỗ hổng, vận hành hệ thống an ninh.

- Bảo vệ các cơ sở hạ tầng quan trọng.

- Cân bằng giữa việc công và tư.

Danh sách các nguy cơ an ninh:

- Trojans, đánh cắp thông tin

- Mạng ma Flux Botnet

- Thất thoát giữ liệu, vi phạm an ninh

- Các mối đe dọa an ninh trong nội bộ

- Tổ chức tội phạm mạng

- Gián điệp mạng

- Mối đe dọa từ web 2.0

- Các loại virus mới

- Tống tiền trên mạng

- Lỗ hổng trong công nghệ mới

- Dự án gia công phần mềm

- Công nghệ ảo hóa và điện toán đám mây