Tổng quan các kỹ thuật lọc gói tin trong IP: Tĩnh, Động và Xây dựng Firewall

Khám phá các kỹ thuật lọc gói tin IP cơ bản và nâng cao: lọc gói tĩnh, động. Nền tảng cốt lõi để xây dựng firewall, nâng cao an toàn bảo mật mạng.

Chuyên ngành

Khoa học Máy tính

Người đăng

Ẩn danh

Thể loại

Luận văn Thạc sĩ

2015

99
1
0

Phí lưu trữ

35 Point

Tóm tắt

I. Khái niệm cơ bản về lọc gói tin IP

Lọc gói tin IP là một kỹ thuật bảo mật mạng quan trọng dùng để kiểm soát và quản lý lưu lượng dữ liệu trên mạng. Kỹ thuật này hoạt động bằng cách kiểm tra từng gói tin dựa trên các tiêu chí định sẵn như địa chỉ IP nguồn, địa chỉ IP đích, cổng TCP/UDP và các giao thức khác. Bảo mật mạng thông qua lọc gói tin giúp ngăn chặn các cuộc tấn công, bảo vệ dữ liệu nhạy cảm và duy trì tính toàn vẹn của hệ thống. Mỗi gói tin được so sánh với danh sách quy tắc lọc, nếu phù hợp sẽ được chuyển tiếp, nếu không sẽ bị từ chối hoặc ghi nhật ký.

1.1. Định nghĩa và tầm quan trọng

Lọc gói tin là quá trình kiểm tra và xác định xem các gói dữ liệu có được phép đi qua firewall hay không. Tầm quan trọng của kỹ thuật này nằm ở khả năng bảo vệ mạng khỏi các mối đe dọa, kiểm soát truy cập không phép và đảm bảo bảo mật thông tin. Đây là nền tảng của các giải pháp bức tường lửa hiện đại.

1.2. Vai trò trong bảo mật mạng

Lọc gói tin IP đóng vai trò then chốt trong việc phát hiện và ngăn chặn các cuộc tấn công như DoS, DDoS, và các mối đe dọa từ ngoài mạng. Nó giúp kiểm soát lưu lượng, ngăn chặn các kết nối không hợp lệ và bảo vệ các dịch vụ quan trọng của tổ chức khỏi những rủi ro bảo mật tiềm ẩn.

II. Kỹ thuật lọc gói tin tĩnh và động

Có hai phương pháp chính để lọc gói tin IP: lọc gói tin tĩnhlọc gói tin động. Lọc tĩnh áp dụng các quy tắc cố định dựa trên tiêu đề của gói tin như địa chỉ IP, cổng, và giao thức. Trong khi đó, lọc gói tin động theo dõi trạng thái kết nối, kiểm tra số trình tự TCP và các thông tin chi tiết hơn. Lọc động cung cấp mức độ bảo mật cao hơn vì nó có khả năng nhận biết các cuộc tấn công tinh vi hơn. Sự kết hợp cả hai phương pháp tạo thành một hệ thống bảo mật mạng toàn diện và hiệu quả.

2.1. Lọc gói tin tĩnh

Lọc tĩnh kiểm tra các tiêu đề của gói tin IP, TCP/UDP mà không xem xét trạng thái kết nối. Quy tắc áp dụng không thay đổi theo thời gian, đơn giản nhưng có giới hạn trong việc phòng chống các tấn công phức tạp. Phương pháp này phù hợp cho các mạng có quy mô nhỏ hoặc yêu cầu bảo mật cơ bản.

2.2. Lọc gói tin động

Lọc động theo dõi trạng thái của các kết nối, kiểm tra số trình tự TCP, phát hiện các giao thức bất thường và giữ lại thông tin chi tiết về các cuộc giao tiếp. Kỹ thuật này cung cấp bảo mật cao hơn, nhưng tiêu tốn nhiều tài nguyên hệ thống hơn, phù hợp cho các tổ chức cần bảo mật thông tin nghiêm ngặt.

III. Các nguy cơ và biện pháp bảo vệ

Mạng IP đối mặt với nhiều nguy cơ bảo mật như các cuộc tấn công từ chối dịch vụ (DoS/DDoS), tấn công xâm nhập, và bắt thông tin. Các nguy cơ này có thể gây gián đoạn dịch vụ, mất dữ liệu hoặc xâm phạm quyền riêng tư. Lọc gói tin là một trong những biện pháp bảo vệ hiệu quả nhất, cùng với các giải pháp khác như mã hóa thông tin, VPN, kiểm soát truy cập, và hệ thống phát hiện xâm nhập. Triển khai một chiến lược bảo mật mạng toàn diện kết hợp các kỹ thuật này sẽ tạo ra một hệ thống phòng thủ nhiều lớp hiệu quả.

3.1. Các loại tấn công trên mạng IP

Các mối đe dọa chính bao gồm tấn công từ chối dịch vụ (DoS/DDoS) làm quá tải hệ thống, tấn công xâm nhập để truy cập trái phép, và bắt thông tin để đánh cắp dữ liệu. Lọc gói tin IP giúp ngăn chặn phần lớn các cuộc tấn công này bằng cách kiểm tra và từ chối các gói tin đáng ngờ.

3.2. Giải pháp bảo mật toàn diện

Cần kết hợp lọc gói tin với mã hóa, VPN, và hệ thống phát hiện xâm nhập. Chiến lược này tạo ra nhiều lớp bảo vệ, từ kiểm soát lưu lượng đến bảo vệ dữ liệu. Cập nhật quy tắc lọc thường xuyên và giám sát hệ thống là yếu tố then chốt để duy trì bảo mật mạng liên tục.

IV. Ứng dụng thực tiễn của lọc gói tin

Lọc gói tin IP được triển khai rộng rãi trong các tường lửa (Firewall) của các tổ chức hiện đại. Các quy tắc lọc được cấu hình dựa trên chính sách bảo mật của từng tổ chức, cho phép kiểm soát chi tiết những dịch vụ nào được phép truy cập từ ngoài mạng. Ứng dụng thực tiễn bao gồm bảo vệ các máy chủ quan trọng, kiểm soát truy cập Internet, phòng chống DDoS, và theo dõi hành vi mạng đáng ngờ. Công cụ như iptables trên Linux hoặc Windows Defender Firewall cung cấp các tính năng lọc gói tin mạnh mẽ, giúp quản trị viên dễ dàng triển khai và quản lý bảo mật mạng.

4.1. Triển khai trong môi trường thực tế

Các tổ chức triển khai lọc gói tin thông qua các thiết bị tường lửa tại điểm cửa khẩu mạng hoặc trên từng máy chủ. Quy tắc lọc được thiết kế cụ thể theo yêu cầu kinh doanh, cho phép các kết nối hợp lệ và từ chối những kết nối nguy hiểm. Giám sát và ghi nhật ký chi tiết giúp phát hiện và phản ứng nhanh với các mối đe dọa.

4.2. Công cụ và công nghệ hỗ trợ

Các công cụ như iptables, pf, Windows Defender Firewall cung cấp giao diện quản lý lọc gói tin hiệu quả. Các giải pháp firewall thương mại như Cisco, Fortinet, Palo Alto Networks tích hợp lọc gói tin động với các tính năng bảo mật nâng cao, cung cấp bảo vệ toàn diện cho hạ tầng mạng của tổ chức.

21/12/2025

Trích đoạn nội dung tài liệu

phần mở đầu, ba chƣơng nội dung, phần kết luận và danh mục các tài liệu tham khảo. Chƣơng 1: Trình bày về các nguy cơ đe dọa mạng và các biện pháp bảo vệ mạng Chƣơng 2: Trình bày hai kỹ thuật lọc gói tin tĩnh và động Chƣơng 3: Giới thiệu về IPtables và đƣa ra bài toán thực tế có sử dụng hai kỹ thuật lọc gói tin. Xây dựng chƣơng trình thử nghiệm cho bài toán sử dụng mã nguồn mở Iptables. Cuối cùng là phần kết luận: Nêu tóm tắt những gì làm đƣợc và hƣớng phát triển Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.vn/ 3 Chƣơng 1 TỔNG QUAN VỀ AN TOÀN VÀ BẢO MẬT TRONG MẠNG IP 1.

Các khái niệm cơ bản 1. An toàn và bảo mật là gì? [11] Theo ISO (International Orgnization of Standardization) tổ chức tiêu chuẩn thế giới thì an toàn (Security) là hạn chế khả năng bị lạm dụng tài sản (Asset) và tài nguyên (Resource). Điều này cũng áp dụng đúng trong tin học. Mạng máy tính đƣợc xem nhƣ một hệ thống thông tin điện tử gồm có những ngƣời dùng (Sử dụng dữ liệu), các máy trạm (Xử lý dữ liệu), các máy chủ (Xử lý và lƣu trữ dữ liệu) cùng các thiết bị khác (Trao đổi dữ liệu).

Những thành phần này, kể cả dữ liệu là tài sản và tài nguyên của hệ thống. Do dữ liệu đƣợc xử lý, lƣu trữ, trao đổi qua lại nên có thể xảy ra khả năng bị đọc trộm, bị đánh cắp, bị phá huỷ một cách trái phép từ bên trong hoặc bên ngoài, một cách có chủ ý hoặc vô tình. Mục đích của an toàn và bảo mật là bảo vệ các thông tin và tài nguyên để đảm bảo các yêu cầu sau: - Đảm bảo tính nguyên vẹn (Integrity): Thông tin không thể bị sửa đổi, bị làm giả bởi những ngƣời không có thẩm quyền. - Đảm bảo tính tin cậy (Confidentiality): Thông tin không thể bị truy nhập trái phép bởi những ngƣời không có thẩm quyền.

- Đảm bảo tính sẵn sàng (Availability): Hệ thống luôn sẵn sàng để đáp ứng việc khai thác sử dụng cho ngƣời sử dụng hợp lệ. - Đảm bảo tính không thể từ chối (Non-repudiation): Thông tin đƣợc cam kết về mặt pháp luật của ngƣời cung cấp. Để bảo vệ an toàn thông tin dữ liệu trên đƣờng truyền và trên mạng có hiệu quả thì trƣớc tiên phải lƣờng trƣớc hoặc dự đoán trƣớc các khả năng không an toàn, các khả năng xâm phạm, các sự cố rủi ro có thể xảy ra đối với thông tin dữ liệu đƣợc lƣu trữ và trao đổi trên đƣờng truyền tin cũng nhƣ trên mạng. Xác định chính xác nguy cơ để quyết định tốt các giải pháp để giảm thiểu thiệt hại.

Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www. Các nguy cơ gây mất an toàn [11] Các sản phẩm, công nghệ cấu thành nên hệ thống mạng đƣợc tạo ra và sử dụng xuất phát từ các tiêu chí khác nhau, nhƣ mục đích sử dụng (Công cộng hay dung riêng), mô hình quản trị, vấn đề địa lý (Cục bộ hay diện rộng)… Do vậy, vấn đề an toàn nhìn từ góc độ đó cũng khác nhau. Khi phân tích an toàn mạng, các kẽ hở gây ra nguy cơ làm mất an toàn thƣờng bắt gặp có thể đƣợc phân loại nhƣ sau: - Kẽ hở trong các giao thức: Đây là những kẽ hở xuất phát từ những giao thức đƣợc dùng trong việc kết nối, chuyển tải, và quản trị mạng. Các kẽ hở trong những giao thức này đƣợc phân tích dựa trên mô hình cấu trúc 7 tầng OSI.

- Kẽ hở từ các hệ điều hành: Hệ điều hành là nền tảng căn bản nhất, nó có mặt hầu hết trên tất cả các máy trạm, máy chủ của mạng. Tuy nhiên tất cả không thể tránh đƣợc sai sót, tồn tại các kẽ hở để cho kẻ tấn công có thể lợi dụng để tấn công. Các kẽ hở này thƣờng đƣợc phát hiện trong quá trình khai thác và sử dụng. - Kẽ hở từ các ứng dụng: Các phần mềm ứng dụng nhƣ cơ sở dữ liệu, chƣơng trình duyệt, chƣơng trình quản trị … là nơi cung cấp cổng giao diện với hệ thống nên kẽ hở của các ứng dụng sẽ gây ra kẽ hở cho hệ thống.

- Kẽ hở từ ngƣời sử dụng: Con ngƣời, yếu tố quan trong nhất trong mọi vấn đề, nó quyết định sự thành công hay thất bại của chính sách an toàn bởi một hệ thống, một chính sách an toàn dù có hoàn hảo đến đâu nhƣng những ngƣời sử dụng, ngƣời quản trị không tuân theo các quy tắc đó thì sẽ không bao giờ đạt đƣợc kết quả nhƣ mong muốn. Yếu tố con ngƣời thƣờng đƣợc xem là mắt xích yếu tố quan trọng nhất trong vấn đề an toàn. Các kiểu tấn công mạng IP [2] Trong thực tế kẻ vi phạm có thể xâm phạm vào bất kỳ điểm nào mà thông tin đi qua hoặc đƣợc lƣu giữ, điểm đó có thể trên đƣờng truyền dẫn, nút mạng, mạng, máy tính chủ có nhiều ngƣời sử dụng hoặc tại các giao diện kết nối liên mạng (Bridge, router, gateway…). Các kỹ thuật bắt thông tin Công cụ bắt gói tin (Sniffers) là một chƣơng trình hay thiết bị có khả năng đón bắt lại các thông tin quan trọng từ giao thông mạng chỉ định đến một mạng riêng.

Các Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.vn/ 5 thông tin bị chặn bắt bao gồm: Mật khẩu, các thông tin về các thẻ tín dụng, thƣ điện tử, các tập tin văn bản mật khác. Công cụ này thƣờng đƣợc sử dụng vào 2 mục đích khác biệt nhau. Theo hƣớng tích cực nó có thể là một công cụ giúp cho các quản trị mạng theo dõi và bảo trì hệ thống mạng của mình. Theo hƣớng tiêu cực nó có thể là một chƣơng trình đƣợc cài vào một hệ thống mạng máy tính với mục đích chặn dữ liệu, các thông tin trên đoạn mạng này.

Về bản chất có thể phân loại các hành vi xâm phạm thông tin dữ liệu trên đƣờng truyền tin và mạng truyền tin làm 2 loại: Thụ động và chủ động Sniffers thụ động: Lấy dữ liệu chủ yếu qua Hub. Nó đƣợc gọi là thụ động là vì rất khó có thể phát hiện ra loại bắt gói tin này. Hacker sử dụng máy tính của mình kết nối đến Hub và bắt đầu thực hiện. Kỹ thuật bắt gói tin thụ động Sniffers chủ động: Lấy dữ liệu chủ yếu qua Switch, nó rất khó thực hiện và dễ bị phát hiện.

Hacker thực hiện theo trình tự: - Hacker kết nối đến Switch bằng cách gửi địa chỉ MAC nặc danh. - Switch xem địa chỉ kết hợp với mỗi khung (Frame). - Máy tính trong LAN gửi dữ liệu đến cổng kết nối. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.

Kỹ thuật Sniffers chủ động 1. Tấn công xâm nhập mạng Tấn công xâm nhập mạng gồm 4 bƣớc: Bƣớc 1: Thu thập thông tin: Mạng, Server, Ngƣời dùng…Để thu thập thông tin, tin tặc thƣờng sử dụng các kỹ thuật nhƣ:  Quét cổng (Port Scan): Gửi gói tin tới cổng, xem phản ứng, xác định trạng thái hoạt động của ứng dụng  Kiểm tra nhãn hiệu (Banner) để biết loại và phiên bản của ứng dụng  Thử tra vấn DNS server để tìm một địa chỉ IP, thực hiện chuyển miền để tìm máy tính trên mạng Khai thác giao thức quản trị mạng SNMP: Chiếm thông tin quản trị mạng để xác định vị trí của máy tính trên mạng Bƣớc 2: Tấn công, truy nhập, bẻ mật khẩu, tấn công chiếm quyền quản trị Để có mật khẩu, tin tặc sử dụng kỹ thuật nhƣ:  Tấn công vét cạn: Thử các tổ hợp ký tự để truy nhập vào hệ thống đích, dùng khi truy nhập mạng LAN  Tấn công bằng từ điển: Sử dụng một số từ khóa, dùng khi truy nhập từ xa  Phân tích để lấy mật khẩu của ngƣời quản trị Bƣớc 3: Sau khi vào mạng, tin tặc thƣờng khai thác các lỗ hổng nhƣ tràn bộ đệm để chiếm quyền ngƣời quản trị rồi phá hoại mạng bao gồm phần cứng, phần mềm hệ thống và các ứng dụng… Bƣớc 4: Sau phá hoại mạng tin tặc tạo cửa sau, xoá nhật ký truy nhập, cài các phần mềm độc hại để điều khiền từ xa… Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www. Tấn công từ chối dịch vụ DoS, DdoS [6] Tấn công từ chối dịch vụ (Denial of Service – DoS) là một cuộc tấn công thực hiện từ một ngƣời hoặc một nhóm ngƣời nào đó đến hệ thống mục tiêu. Khi cuộc tấn công xảy ra, trên hệ thống bị tấn công, ngƣời dùng không thể truy xuất dữ liệu hay thực hiện bất kỳ một công việc nào.

Mục đích của tấn công từ chối dịch vụ là không cho phép ủy quyền truy cập đến máy hoặc dữ liệu, ngăn chặn ngƣời dùng hợp pháp truy cập vào các dịch vụ của hệ thống. Khi tấn công, Hacker có thể thực hiện các công việc sau: Cố gắng làm ngập hệ thống, ngăn chặn việc trao đổi thông tin giữa các kết nối hợp lệ. Phá vỡ các kết nối giữa hai máy, ngăn chặn các truy cập đến dịch vụ. Ngăn chặn các thiết lập đặc biệt đến dịch vụ.

* Tấn công từ chối dịch vụ chia làm hai loại tấn công: - Tấn công DoS (Denial of Service): là kiểu tấn công từ một cá thể hay tập hợp các cá thể. - Tấn công DDoS (Distributed Denial of Service): Đây là sự tấn công từ một mạng máy tính đƣợc thiết kế để tấn công tới một đích cụ thể nào đó. Tấn công DoS  Các dạng tấn công DoS - Smurf: Ngƣời tấn công tạo ra một khối lƣợng lớn các giao tiếp ICMP (Internetwork Control Message Protocol) đến địa chỉ mạng broadcast thiết lập địa chỉ IP giả rồi đồng loạt gửi đến host của nạn nhân. Máy tính nạn nhân mất thời gian hồi đáp lại các thông điệp ICMP giả mạo, dẫn đến tình trạng quá tải.

Khi hồi đáp số lƣợng lớn các ICMP dẫn đến tình trạng ngập tràn mạng và kết nối không thể thực hiện đƣợc nữa. Kỹ thuật Tấn công kiểu Smurf Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.vn/ 8 - Tấn công tràn bộ đệm - Buffer Overflow Attack: Tấn công tràn bộ đệm xuất hiện bất kỳ lúc nào mà chƣơng trình ghi những thông tin vào bộ đệm lớn hơn không gian cho phép của bộ nhớ. Hacker thực hiện ghi đè các dữ liệu vào các chƣơng trình để chiếm quyền điều khiển và thực hiện các đoạn mã của Hacker. Nếu gửi thông điệp email mà số tập tin đính kèm lên đến 256 tập tin thì có thể là nguyên nhân dẫn đến tình trạng tràn bộ đệm.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ