ỦY BAN NHÂN DÂN TỈNH AN GIANG TRƯỜNG CAO ĐẲNG NGHỀ AN GIANG GIÁO TRÌNH An ninh mạng NGHỀ : QUẢN TRỊ MẠNG MÁY TÍNH TRÌNH ĐỘ CAO ĐẲNG (Ban hành theo Quyết định số: /QĐ-CĐN, ngày tháng năm 20 của Hiệu trưởng trường Cao đẳng nghề An Giang) An Giang, Năm ban hành: 2019 TUYÊN BỐ BẢN QUYỀN Tài liệu này thuộc loại sách giáo trình nên các nguồn thông tin có thể được phép dùng nguyên bản hoặc trích dùng cho các mục đích về đào tạo và tham khảo. Mọi mục đích khác mang tính lệch lạc hoặc sử dụng với mục đích kinh doanh thiếu lành mạnh sẽ bị nghiêm cấm. LỜI GIỚI THIỆU Giáo trình này phục vụ cho sinh viên hệ cao đẳng chuyên ngành Quản trị mạng máy tính. Giáo trình này sẽ giúp cho sinh viên hiểu các khái niệm về hệ thống an ninh mạng, nhận biết được các kiểu tấn công trên mạng, các phần mềm độc hại cũng như nắm vững được các phương pháp phát hiện thâm nhập trên máy đơn, trên hệ thống mạng hay trên hệ phân tán.
Giáo trình gồm những nội dung chính như sau: Bài 1 : Tổng quan về bảo mật mạng. Với bài chúng ta này các sinh viên sẽ có cái nhìn khái quát về một thống được bảo mật, các phần mềm độc hại cũng như những loại lỗ hỏng trong bảo mật hệ thống mạng. Với bài học này chúng ta sẽ khái quát về các vấn đề mã hóa dữ liệu, những cách mã hóa hiện đang được được áp dụng vào thực tế. Bài 3 : Bảo mật hạ tầng mạng.
Với bài chúng ta này sẽ trình bày về cách thức bảo mật hệ thống hạ tầng mạng bằng những công nghệ phổ biến hiện nay như Proxy, NAT, IPSec, VLAN. Giáo trình không chỉ đề cập đến những vấn đề cơ sở lý luận mà còn trình bày một số kỹ năng, kinh nghiệm cần thiết để thiết kế và bảo mật hệ thống mạng máy tính. Hy vọng giáo trình sẽ có ích cho các em sinh viên và những người muốn xây dựng các hệ thống an toàn, bảo mật cao phục vụ cho sản xuất, quản lý trong các doanh nghiệp. Có thể còn nhiều thiếu sót trong trình bày và biên soạn do khả năng, trình độ, nhưng người biên soạn mạnh dạn giới thiệu tài liệu này và mong nhận được sự góp ý của mọi người.
An Giang, ngày tháng năm 2019 Tham gia biên soạn 1. Thái Kim Ngân 2. Huỳnh Thị Mỹ Ngọc 1 MỤC LỤC ĐỀ MỤC TRANG 1. Lời giới thiệu.
2 Bài 1: Tổng quan về bảo mật mạng. Tổng quan về bảo mật mạng máy tính. Phân loại các lỗ hổng bảo mật. Giới thiệu về các loại lỗ hỏng bảo mật.
Phân loại lỗ hổng bảo mật. Tác hại của các lỗ hổng bảo mật. Phần mềm độc hại. Các kiểu phần mềm độc hại.
Kiểu lan truyền theo lây nhiễm nội dung. Kiểu lan truyền theo khai thác lỗ hổng. Kiểu lan truyền theo kỹ nghệ xã hội. Kiểu hành vi hủy hoại hệ thống.
Kiểu hành vi tác tử tấn công. Kiểu hành vi đánh cắp thông tin. Kiểu hành vi tàng hình. Các biện phòng chống.
Tấn công từ chối dịch vụ. Các tấn công phát tràn. Các tấn công từ chối dịch vụ phân tán. Các tấn công băng thông dựa vào ứng dụng.
Các tấn công phản xạ và khuếch đại. Phòng thủ trước các tấn công từ chối dịch vụ. Phản ứng lại một tấn công từ chối dịch vụ. Khái niệm về mã hóa.
Nhu cầu mã hóa thông tin. Một số kỹ thuật mã hóa. Mã hóa bất đối xứng. Hệ thống mã khóa lai.
Virtual Private Network .37 Bài 3: Bảo mật hạ tầng mạng. Giới thiệu Proxy. Minh họa hệ thống Proxy. Giới thiệu VLAN.
Bảo mật hệ thống với VLAN. Nat trong Windows Server. Các chính sách IPSec mặc định. Tạo quy tắc IPSec.
Cấu hình chứng thực các quy tắc IPSec. 69 Các thuật ngữ chuyên môn. 73 Tài liệu tham khảo. 75 3 GIÁO TRÌNH MÔ ĐUN Tên mô đun: AN NINH MẠNG Mã mô đun: MĐ 27 Vị trí, tính chất, ý nghĩa và vai trò của mô đun: - Vị trí: Mô đun được bố trí sau khi sinh viên đã học các môn chung , mô đun cơ sở chuyên ngành Quản trị mạng.
- Tính chất: Mô đun chuyên nghành bắt buộc. - Ý nghĩa và vai trò của mô đun: trang bị cho học sinh, sinh viên đầy đủ các kiến thức và kỹ năng về bảo mật hệ thống mạng. Nhận biết được các kiểu tấn công trên mạng, các phần mềm độc hại cũng như nắm vững được các phương pháp phát hiện thâm nhập trên máy đơn, trên hệ thống mạng hay trên hệ phân tán. Mục tiêu của mô đun: - Về kiến thức: + Hiểu các khái niệm về hệ thống an ninh mạng.
+ Nhận biết được các kiểu tấn công trên mạng, các phần mềm độc hại và những thảm họa do chúng gây ra. + Nắm vững các phương pháp phát hiện thâm nhập trên máy đơn, hệ thống mạng, trên hệ phân tán. + Trình bày được các phương thức bảo mật hạ tầng mạng. - Về kỹ năng: + Đánh giá và lựa chọn giải pháp an ninh mạng phù hợp cho các mạng thực tế.
+ Cấu hình được các phương pháp bảo mật hạ tầng mạng như: Proxy, NAT, IPSec, VLAN. + Bảo mật được hệ thống mạng theo mô hình thực tế đặt ra. + Xây dựng giải pháp an ninh và xử lý các lỗi trong quá trình cài đặt và cấu hình - Về năng lực tự chủ và trách nhiệm: + Làm việc nhóm. + Tăng tính chia sẻ và làm việc cộng đồng.
4 BÀI 1: TỔNG QUAN VỀ BẢO MẬT MẠNG Giới thiệu: Với bài này chúng ta sẽ giới thiệu một cái nhìn khái quát về quá trình hình thành hệ thống mạng, quy trình vận hành của hệ thống mạng. Bên cạnh đó sẽ cho chúng ta một cái nhìn đầy đủ về các loại phần mềm độc hại cũng như những loại lỗ hỏng trong bảo mật hệ thống mạng. Mục tiêu: - Trình bày được nguyên nhân tấn công mạng máy tính - Phân loại và trình bày được đặc điểm cơ bản các lỗ hổng trong hệ thống mạng. - Trình bày được các loại phần mềm độc hại.
- Phân loại và trình bày được các loại tấn công từ chối dịch vụ. - Đưa ra được các biện pháp phòng chống. Nội dung chính: 1. TỔNG QUAN VỀ MẠNG MÁY TÍNH - Giới thiệu về mạng máy tính.
Nói một cách ngắn gọn thì mạng máy tính là tập hợp các máy tính độc lập được kết nối với nhau thông qua các đường truyền vật lý và tuân theo các quy ước truyền thông nào đó. Khái niệm máy tính độc lập được hiểu là các máy tính không có máy nào có khả năng khởi động hoặc đình chỉ một máy khác) Các đường truyền vật lý được hiểu là các môi trường truyền tín hiệu vật lý (có thể là hữu tuyến hoặc vô tuyến). Các quy ước truyền thông chính là cơ sở để các máy tính có thể "nói chuyện" được với nhau và là một yếu tố quan trọng hàng đầu khi nói về công nghệ mạng máy tính. - Mô hình OSI.
Mô hình OSI là một mô hình không thể thiếu trong quá trình trao đổi dữ liệu trong mạng. Bất kỳ một trao đỗi dữ liệu, kết nối dữ liệu nào cũng được thực thi và xây dựng trên nền tảng mô hình OSI. Mô hình OSI được chia thành 7 tầng (lớp), mỗi tầng bao gồm những hoạt động, thiết bị và giao thức mạng khác nhau. Application Layer: cung cấp các ứng dụng truy xuất đến các dịch vụ mạng.
Nó bao gồm các ứng dụng của người dùng Presentation Layer (lớp trình bày): thoả thuận khuôn dạng trao đổi dữ liệu. Session Layer (lớp phiên): cho phép người dùng thiết lập các kết nối. Transport Layer (lớp vận chuyển): đảm bảo truyền thông giữa hai hệ thống. Network Layer (lớp mạng): định hướng dữ liệu truyền trong môi trường liên mạng.
Data link Layer (lớp liên kết dữ liệu): xác định việc truy xuất đến các thiết bị. Physical Layer (lớp vật lý): chuyển đổi dữ liệu thành các bit và truyền đi. 5 Các chức năng của các tầng trong mô hình OSI - Tầng 1: Tầng vật lý (Physical Layer): Điều khiển việc truyền tải thật sự các bit trên đường truyền vật lý. Nó định nghĩa các tín hiệu điện, trạng thái đường truyền, phương pháp mã hóa dữ liệu, các loại đầu nối được sử dụng.
Tầng này chuyển đổi dữ liệu thành các bit và truyền đi. - Tầng 2: Tầng liên kết dữ liệu (Tầng kết nối dữ liệu) (Data-Link Layer): Tầng này đảm bảo truyền tải các khung dữ liệu (Frame) giữa hai máy tính. Nó cài đặt cơ chế phát hiện và xử lý lỗi dữ liệu nhận.Tầng này Hình 1: Mô Hình OSI xác định việc truy xuất đến các thiết bị. - Tầng 3: Tầng mạng (Network Layer): Tầng này đảm bảo các gói tin dữ liệu (Packet) có thể truyền từ máy tính này đến máy tính kia cho dù không có đường truyền vật lý trực tiếp giữa chúng.
Nó nhận nhiệm vụ tìm đường đi cho dữ liệu đến các đích khác nhau trong mạng.Tầng này định hướng dữ liệu truyền trong môi trường liên mạng. - Tầng 4: Tầng vận chuyển (Tầng chuyển tải)(Transport Layer): Tầng này đảm bảo truyền tải dữ liệu giữa các quá trình. Dữ liệu gởi đi được đảm bảo không có lỗi, theo đúng trình tự, không bị mất, trùng lắp. Đối với các gói tin có kích thước lớn, tầng này sẽ phân chia chúng thành các phần nhỏ trước khi gởi đi, cũng như tập hợp lại chúng khi nhận được)Tầng này đảm bảo truyền thông giữa hai hệ thống.
- Tầng 5: Tầng giao dịch (Tầng phiên làm việc) (Session Layer): Tầng này cho phép các ứng dụng thiết lập, sử dụng và xóa các kênh giao tiếp giữa chúng (được gọi là giao dịch). Nó cung cấp cơ chế cho việc nhận biết tên và các chức năng về bảo mật thông tin khi truyền qua mạng. Tầng này cho phép người dùng thiết lập các kết nối. - Tầng 6: Tầng trình bày (Presentation Layer): Tầng này đảm bảo các máy tính có kiểu định dạng dữ liệu khác nhau vẫn có thể trao đổi thông tin cho nhau.
Thông thường các máy tính sẽ thống nhất với nhau về một kiểu định dạng dữ liệu trung gian để trao đổi thông tin giữa các máy tính. Một dữ liệu cần gởi đi sẽ được tầng trình bày chuyển sang định dạng trung gian trước khi nó được truyền lên mạng. Ngược lại, khi nhận dữ liệu từ mạng, tầng trình bày sẽ chuyển dữ liệu sang định dạng riêng của nó. Tầng này thoả thuận khuôn dạng trao đổi dữ liệu.
- Tầng 7: Tầng ứng dụng (Application Layer): Đây là tầng trên cùng, cung cấp các ứng dụng truy xuất đến các dịch vụ mạng.