Tài liệu Phát hiện và phòng chống xâm nhập trái phép mạng máy tính

  • Số trang: 26 |
  • Loại file: PDF |
  • Lượt xem: 163 |
  • Lượt tải: 0
nganguyen

Đã đăng 34345 tài liệu

Mô tả:

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG --------------------------------------- Nguyễn Mạnh Hùng PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP TRÁI PHÉP MẠNG MÁY TÍNH Chuyên ngành: Truyền dữ liệu và mạng máy tính Mã số: 60.48.15 TÓM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI - 2013 Luận văn được hoàn thành tại: HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG Người hướng dẫn khoa học: PGS.TSKH HOÀNG ĐĂNG HẢI (Ghi rõ học hàm, học vị) Phản biện 1: …………………………………………………………………………… Phản biện 2: ………………………………………………………………………….. Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ Bưu chính Viễn thông Vào lúc: ....... giờ ....... ngày ....... tháng ....... .. năm ............... Có thể tìm hiểu luận văn tại: - Thư viện của Học viện Công nghệ Bưu chính Viễn thông 1 MỞ ĐẦU Hiện nay hầu hết các cơ quan, tổ chức, doanh nghiệp đều có hệ thống mạng máy tính riêng kết nối với mạng Internet và ứng dụng nhiều tiện ích CNTT vào các hoạt động sản xuất kinh doanh. Việc làm này đã góp phần tích cực trong quản lý, điều hành, kết nối, quảng bá và là chìa khoá thành công cho sự phát triển chung của họ và cộng đồng. Trong các hệ thống mạng máy tính đó có chứa rất nhiều các dữ liệu, các thông tin quan trọng liên quan đến hoạt động của các cơ quan, tổ chức, doanh nghiệp. Điều này hấp dẫn, thu hút các kẻ tấn công. Công nghệ về máy tính và mạng máy tính liên tục phát triển và thay đổi, các phần mềm mới liên tục ra đời mang đến cho con người nhiều tiện ích hơn, lưu trữ được nhiều dữ liệu hơn, tính toán tốt hơn, sao chép và truyền dữ liệu giữa các máy tính nhanh chóng thuận tiện hơn,....Nhưng bên cạnh đó, hệ thống mạng vẫn còn tồn tại nhiều lỗ hổng, các nguy cơ về mất an toàn thông tin. Các vụ xâm nhập mạng lấy cắp thông tin nhạy cảm cũng như phá hủy thông tin diễn ra ngày càng nhiều, thủ đoạn của kẻ phá hoại ngày càng tinh vi. Việc làm thế nào để có thể phát hiện ra máy tính hoặc mạng máy tính của mình đang bị xâm nhập trái phép, cũng như cách phòng và chống xâm nhập trái phép hiệu quả, luôn là mong muốn của tất cả những ai làm CNTT nói chung cũng như người sử dụng máy tính nói riêng. Nắm bắt được xu thế và sự quan tâm đó, cộng với niềm đam mê cá nhân trong lĩnh lực tìm hiểu bảo mật và hệ thống, học viên đã chọn đề tài: “Phát hiện và phòng chống xâm nhập trái phép mạng máy tính” với mong muốn tìm hiểu một cách hệ thống về các nguy cơ tiềm ẩn về xâm nhập trái phép vào mạng máy tính, cũng như các cách thức cần thiết để đối phó với vấn đề này. Cấu trúc của luận văn, ngoài phần mở đầu và phần kết luận có các chương chính sau đây: Chương 1. Tổng quan về xâm nhập mạng máy tính Nội dung chương này nêu khái niệm về vấn đề xâm nhập mạng máy tính, các kỹ thuật tấn công và xâm nhập trái phép mạng máy tính cùng với hậu quả của nó. Chương 2. Phương pháp và hệ thống phát hiện xâm nhập mạng máy tính. Nội dung chương trình bày về các phương pháp phát hiện xâm nhập mạng máy tính; Hệ thống phát hiện xâm nhập trái phép mạng máy tính. Chương 3. Phòng chống và ngăn chặn xâm nhập mạng máy tính Nội dung chương gồm: Các biện pháp kỹ thuật phòng chống xâm nhập; Các hệ thống phát hiện và ngăn chặn xâm nhập mạng. Chương 4. Mô hình thử nghiệm Giới thiệu về môi trường thử nghiệm, xây dựng kịch bản, cài đặt phần mềm mô phỏng và thực hiện các bài thử nghiệm, đánh giá và đưa ra kết luận. 2 Chương 1. TỔNG QUAN VỀ XÂM NHẬP MẠNG MÁY TÍNH 1.1. Khái quát về vấn đề xâm nhập trái phép mạng máy tính. Xâm nhập trái phép mạng máy tính là hành vi đột nhập vào mạng (tấn công mạng) để truy cập, thao tác hoặc lạm dụng một số tài sản có giá trị trên mạng. Việc lạm dụng có thể dẫn đến kết quả hoặc khiến cho tài sản trong mạng trở nên không đáng tin cậy hoặc không sử dụng được. Hầu hết các cuộc tấn công xâm nhập mạng máy tính chỉ với mục tiêu phá huỷ hệ thống bảo mật của hệ thống theo những phương thức cụ thể. Ví dụ một số cuộc tấn công nhằm đọc, đánh cắp các thông tin nhưng không thay đổi thành phần nào trong hệ thống; Một số cuộc tấn công lại tắt hoặc ngưng sử dụng thành phần nào đó trong hệ thống; Hoặc những cuộc tấn công khác thì có khả năng chiếm toàn quyền điều khiển hệ thống hoặc phá huỷ hệ thống. Chung quy lại chúng thường gây nên ba tổn thương đến bảo mật hệ thống: tính bí mật, tính toàn vẹn và tính khả dụng của thông tin hoặc hệ thống thông tin. 1.2. Một số kỹ thuật xâm nhập mạng máy tính. 1.2.1. Xâm nhập qua lỗ hổng lớp vật lý Một số lỗ hổng về lớp này có thể thấy ở đây gồm: Lỗi nguồn điện; Lỗi môi trường kiểm soát). Trộm cắp dữ liệu và phần cứng;Thiệt hại vật chất hoặc phá huỷ dữ liệu và phần cứng;Thay đổi trái phép môi trường chức năng hệ thống; gián đoạn các liên kết vật lý;.... 1.2.2. Xâm nhập qua lớp 2 a. Đầu độc ARP (ARP Poisoning) Tấn công đầu độc ARP (ARP poisoning) là cách cố gắng truyền tải thông tin sai vào trong bảng ARP. Gói tin được gửi bởi máy bị nhiễm độc sẽ không được gửi đúng địa chỉ đích mà đến một địa chỉ IP được chỉ định bởi các thông tin ARP giả mạo. Mục đích chính của phương pháp này là gắn kết địa chỉ MAC của kẻ giả mạo với địa chỉ IP của một máy bị tấn công, khiến cho bất kỳ lưu lượng truy cập tới máy có IP đó sẽ được gửi tới kẻ tấn công thay vì gửi đến đúng đích hợp pháp. b. Giả mạo địa chỉ MAC (MAC Spoofing) MAC Spoofing liên quan đến kỹ thuật thay đổi địa chỉ MAC. MAC Spoofing được thực hiện gồm cả lý do không chính đáng như việc chiếm danh tính máy tính khác và cả lý do chính đáng như việc tạo ra các kết nối không dây với một mạng. c. Đánh tràn địa chỉ MAC (Mac Flooding) Kiểu tấn công làm tràn bảng CAM (MAC flooding) dựa vào điểm yếu của thiết bị chuyển mạch: bảng CAM chỉ chứa được một số hữu hạn các ánh xạ và các ánh xạ này không tồn tại mãi mãi trong bảng CAM. Sau một khoảng thời gian nào đó, thường là 300s, nếu địa 3 chỉ này không được dùng thì nó sẽ bị gỡ bỏ khỏi bảng. Khi bảng CAM được điền đầy, tất cả thông tin đến sẽ được gửi đến tất cả các cổng của nó trừ cổng nó nhận được. Chức năng của switch khi đó không khác một HUB. Hậu quả của kiểu tấn công này có thể thay đổi qua việc thực thi, địa chỉ MAC hợp lệ sẽ đẩy ra khỏi bảng CAM khiến cho một số lượng đáng kể khung tin bị tràn ra ngoài các cổng. d. Làm cạn kiệt DHCP (DHCP Exhaustion / Starvation) Về cơ bản, đây là cách kẻ tấn công yêu cầu máy chủ DHCP cung cấp không chỉ một mà nhiều địa chỉ IP cho đến khi kết sạch, không còn địa chỉ IP để cung cấp cho người dùng khác. Việc vét cạn địa chỉ IP làm cho các bộ định tuyến không còn địa chỉ IP cung cấp cho người dùng, việc này đồng nghĩa rằng các máy trạm sẽ không thể kết nối mạng. Kẻ tấn công chạy các chương trình DHCP cung cấp địa chỉ IP từ các bộ định tuyến/ gateway giả, ngăn chặn các yêu cầu nội mạng từ máy tính của người dùng, cho phép người dùng sử dụng máy chủ DHCP giả để kết nối ra bên ngoài. e. Máy chủ DHCP giả mạo (Rouge DHCP Server) Máy chủ DHCP không yêu cầu xác thực trong quá trình cấp phát địa chỉ IP cho DHCP client và các DHCP client không cần biết địa chỉ IP của DHCP server trong quá trình xin cấp địa chỉ IP. Lợi dụng kẽ hở này, kẻ tấn công có thể xây dựng một máy chủ DHCP giả mạo nhằm mục đích cung cấp một địa chỉ Gateway IP giả mạo (của kẻ tấn công hoặc một máy tính nào đó được đặt dưới sự kiểm soát của chúng) cho DHCP client. Việc này cho phép kẻ tấn công xem trộm nội dung gói tin. f. Giả mạo nút mạng ẩn (Hidden Node Attack) g. Giả mạo điểm truy nhập không dây (Fake access point attack) 1.2.3. Xâm nhập thông qua lớp 3 a. Giả mạo IP (IP Spoofing) Giả mạo IP hoặc giả mạo địa chỉ IP (IP addresss spoofing/IP spoofing) là khởi tạo gói tin IP với một nguồn địa chỉ IP giả mạo nhằm mục đích che giấu danh tính thực của người gửi hoặc mạo nhận một hệ thống máy tính nào đó. b. Quét/Chuyển đổi IP (IP Scan/Sweep) Quét ICMP (Internet control message protocol scanning) là quá trình gửi một yêu cầu ICMP hoặc ping cho tất cả các host trên mạng để xác định những host đang tồn tại và trả lời ping. Lợi ích của quét ICMP là có thể quét đồng thời tất cả các máy, do đó nhanh chóng quét được toàn bộ mạng. c. Tấn công định tuyến (RIP Attacks) Tấn công định tuyến có thể sử dụng bộ định tuyến giả mạo, nghĩa là bộ định tuyến trái 4 phép được triển khai và thay đổi nó phù hợp với nhu cầu của kẻ tấn công. Một bộ định tuyến giả mạo có thể là một máy tính đang chạy một hệ điều hành phổ biến, với một bộ cài đặt phần mềm định tuyến. Ngoài ra, kẻ tấn công có thể xen các cập nhật định tuyến lậu vào mạng bằng các gói công cụ thủ công, như là Nemesis, Spoof, hoặc IRPAS. Kẻ tấn công có thể tiếm quyền một bộ định tuyến bằng cách khai thác một lỗ hổng trong quá trình định tuyến dữ liệu. Kết quả cuối cùng của bất kỳ cuộc tấn công định tuyến nào là chuyển hướng lưu lượng truy nhập trên mạng. 1.2.4. Xâm nhập thông qua lớp 4 a. Quét UDP (UDP scans) Quét UDP là kỹ thuật gửi một gói tin UDP cho các cổng đích khác nhau. Nếu cổng đích đáp ứng bằng một thông điệp "ICMP port unreachable ", có nghĩa là cổng đã đóng, không thể truy nhập. Ngược lại, nếu không nhận được thông điệp trên, ta có thể suy ra cổng mở ! Độ chính xác của kỹ thuật này tùy thuộc nhiều vào yếu tố có liên quan đến việc sử dụng các tài nguyên mạng và hệ thống. Ngoài ra, quét UDP là một quá trình diễn ra chậm, nếu như muốn quét một thiết bị có sử dụng tính năng lọc gói tin quá nặng. b. Quét TCP (TCP scans) Quét TCP được xây dựng dựa trên cơ chế bắt tay 3 bước của TCP (TCP three−way −handshake). Kết nối TCP yêu cầu three−way −handshake trước khi kết nối được tạo và truyền dữ liệu giữa người gửi và người nhận. Kẻ tấn công có thể ngăn cản việc phát hiện bằng cách sử dụng cờ thay vì hoàn thành một kết nối TCP thông thường. Trên gói TCP/UDP có 16 bit dành cho Port Number điều đó có nghĩa nó có từ 1 – 65535 port. Không một kẻ tấn công nào lại scan toàn bộ các port trên hệ thống, chúng chỉ scan những port hay sử dụng nhất (thường chỉ từ 1... 1024). ACK Scan: dạng Scan này nhằm mục đích tìm những Access Controll List trên Server. Client cố gắng kết nối tới Server bằng gói ICMP nếu nhận được gói tin là “Host Unreachable” thì client sẽ hiểu port đó trên server đã bị lọc. c. Tấn công TCP “SYN” Kẻ tấn công gửi các yêu cầu (request ảo) TCP SYN tới máy chủ bị tấn công. Để xử lý lượng gói tin SYN này hệ thống cần tốn một lượng bộ nhớ cho kết nối. Khi có rất nhiều gói SYN ảo tới máy chủ và chiếm hết các yêu cầu xử lý của máy chủ. d. Tấn công giả mạo SSL (SSL Man-in-the-Middle Attacks) Tấn công SSL Man-in-the-middle nhằm mục đích gây tổn hại cho các phiên SSL, có nghĩa là kẻ tấn công cố gắng để thấy các thông điệp đã mã hóa dưới dạng văn bản gốc. Khi việc này được thực hiện, kẻ tấn công có thể đảm nhận vai trò gateway. Sau đó giả mạo DNS 5 (DNS spoofing) được thực hiện, kẻ tấn công không chỉ hành động đơn giản như một gateway giả mạo, mà sẽ hoạt động như máy chủ web mong muốn đối với nạn nhân. Nếu tất cả điều này được thực hiện, sau đó kẻ tấn công sẽ xử lý một phiên mã hóa với máy chủ thực, và một phiên riêng rẽ với nạn nhân. Vì thế thông điệp bất kỳ được gửi hoặc được nhận sẽ kết dừng lại ở văn bản gốc của kẻ tấn công. e. Đánh cắp phiên TCP (TCP Session Hijacking) TCP Session Hijacking là quá trình chiếm lấy một phiên TCP đang hoạt động, nhằm mục đích vượt qua quá trình chứng thực để truy cập bất hợp lệ vào thông tin hoặc dịch vụ của một hệ thống máy tính. Quá trình chứng thực chỉ xuất hiện khi bắt đầu một phiên TCP, kẻ tấn công có thể giành quyền truy cập vào máy tính. 1.2.5. Xâm nhập thông qua lớp cao Kẻ tấn công có thể xâm nhập thông qua các ứng dụng ở lớp cao hơn. Tuy nhiên, nội dung này vượt quá phạm vi của bài luận văn này. 1.3. Tóm tắt chương Chương 1 đã trình bày khái niệm xâm nhập mạng, các kỹ thuật tấn công xâm nhập mạng. Như đã nêu ở trên, các kỹ thuật xâm nhập mạng có thể được thực hiện thông qua lỗ hổng bảo mật tại các lớp từ vật lý đến lớp cao. Dựa vào đó, có thể đưa ra các biện pháp rà quét lỗ hổng bảo mật, phát hiện tấn công và đưa ra các biện pháp ngăn chặn, phòng chống xâm nhập trái phép. Vấn đề đặt ra là làm thế nào để phát hiện ra xâm nhập mạng trái phép để từ đó đề ra được các biện pháp phòng chống, ngăn chặn hiệu quả? Trong chương tiếp theo, luận văn sẽ đi sâu vào phân tích kỹ thuật phát hiện xâm nhập mạng máy tính, tập trung chủ yếu vào việc bắt các dấu hiệu tấn công hoặc dấu hiệu bất thường để phát hiện tấn công xâm nhập. Chương 2. PHƯƠNG PHÁP VÀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP MẠNG MÁY TÍNH 2.1. Phương pháp phát hiện xâm nhập mạng máy tính 2.1.1. Khái niệm “Phát hiện xâm nhập” Phát hiện xâm nhập là tập hợp các kỹ thuật và phương pháp được sử dụng trong quá trình theo dõi các sự kiện bất thường đáng nghi ngờ xảy ra trên một hệ thống máy tính hoặc mạng, từ đó phân tích tìm ra các dấu hiệu sự cố có thể xảy ra, đó là các vi phạm hoặc các mối 6 đe dọa sắp xảy ra xâm phạm chính sách bảo mật máy tính. Xâm nhập trái phép được hiểu là sự cố gắng tìm mọi cách để xâm hại đến tính toàn vẹn, tính sẵn sàng, tính tin cậy hay là sự cố gắng vượt qua các cơ chế bảo mật của hệ thống máy tính hay mạng đó. Kẻ xâm nhập trái phép có thể là kẻ đột nhập từ bên ngoài hệ thống máy tính, hệ thống mạng hoặc cũng có thể là một người dùng hợp pháp trong hệ thống máy tính, hệ thống mạng đó. 2.1.2. Hiện tượng và các dấu hiệu nhận biết khi máy tính bị xâm nhập Có nhiều cuộc tấn công hoạt động trong chế độ nền, âm thầm, không để lại bất kỳ dấu vết đặc biệt nào hoặc không gây hậu quả trên chính máy người dùng, ví dụ các chương trình đánh cắp thông tin người dùng, thì rất khó nhận biết nếu không có các công cụ đặc biệt hỗ trợ. Tuy nhiên cũng có một số kiểu thâm nhập, tấn công gây ra những hậu quả, hiện tượng có thể nhận biết được. 2.2. Hệ thống phát hiện xâm nhập trái phép mạng máy tính. 2.2.1. Giới thiệu về hệ thống phát hiện xâm nhập Một hệ thống phát hiện xâm nhập (IDS-Intrusion Detection System) là một thiết bị phần cứng hoặc phần mềm theo dõi hệ thống mạng, có chức năng giám sát lưu thông mạng, tự động theo dõi các sự kiện xảy ra trên một hệ thống mạng máy tính, phân tích để phát hiện ra các vấn đề liên quan đến an ninh, bảo mật và đưa ra cảnh báo. Một số hệ thống phát hiện xâm nhập còn có thể ngăn chặn các nỗ lực xâm nhập nhưng điều này là không bắt buộc đối với một hệ thống giám sát. Khác với tường lửa, IDS không thực hiện các thao tác ngăn chặn truy xuất mà chỉ theo dõi các hoạt động trên mạng để tìm ra các dấu hiệu của tấn công và cảnh báo. 2.2.2. Phân loại IDS a. NIDS – Hệ thống IDS dựa trên mạng Phần lớn các IDS thương mại là ở dạng Network-based. NIDS (Network-based IDS) thường bao gồm một tập hợp các cảm biến được đặt tại các điểm khác nhau trong mạng. b. IDS dựa trên máy chủ HIDS sử dụng các chương trình phần mềm cài đặt trên một máy chủ. HIDS hoạt động thu thập thông tin từ bên trong một hệ thống máy tính cá nhân như quan sát tất cả các hoạt động hệ thống, các file log và những lưu lượng mạng thu thập được. c. IDS dựa trên ứng dụng AIDS là một bộ phận đặc biệt về IDS dựa trên máy chủ để phân tích các sự kiện xảy ra trong một ứng dụng phần mềm. d. IDS dựa trên dấu hiệu 7 Signature-based IDS là hệ sử dụng định nghĩa trừu tượng để mô tả về tấn công gọi là dấu hiệu. Dấu hiệu bao gồm một nhóm các thông tin cần thiết để mô tả kiểu tấn công. e. IDS dựa trên thống kê sự bất thường Statistical-Anomaly-based-IDS hay behavior-based-IDS tự động phát hiện sai lệch của các mẫu được học từ hành vi bình thường của người dùng và kích hoạt báo động khi hoạt động xâm nhập xảy ra. Các hệ IDS dựa trên hành vi học bình thường hoặc dự kiến hành vi của hệ thống hay người dùng và dự kiến một xâm nhập có thể được phát hiện bởi việc quan sát độ lệch từ tiêu chí này. 2.2.3. Kiến trúc và thành phần của IDS.  Bộ phận thu thập phân tích gói tin: Bộ phận này có nhiệm vụ lấy tất cả các gói tin đi đến mạng.  Bộ phận phát hiện gói tin: Trong bộ phận phát hiện gói tin có một thành phần quan trọng đó là bộ cảm biến. Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không tương thích đạt được từ các sự kiên liên quan đến hệ thống bảo vệ, vì vậy có thể phát hiện được các hành động nghi ngờ.  Bộ phận xử lý (phản ứng): Khi có dấu hiệu của sự tấn công hoặc thâm nhập, thành phần phát hiện tấn công sẽ gửi tín hiệu báo hiệu đến thành phần phản ứng. Lúc đó thành phần phản ứng sẽ kích hoạt tường lửa thực hiện chức năng ngăn chặn cuộc tấn công hay cảnh báo tới người quản trị. 2.2.4. Cơ chế hoạt động của IDS.  Phát hiện dựa trên sự bất thường: công cụ này thiết lập một hiện trạng các hoạt động bình thường và sau đó duy trì một hiện trạng hiện hành cho một hệ thống. Khi hai yếu tố này xuất hiện sự khác biệt, nghĩa là đã có sự xâm nhập.  Phát hiện thông qua giao thức (Protocol):Tương tự như việc phát hiện dựa trên dấu hiệu, nhưng nó thực hiện một sự phân tích theo chiều sâu của các giao thức được xác định cụ thể trong gói tin.  Phát hiện nhờ quá trình tự học: Kỹ thuật này bao gồm hai bước. Khi bắt đầu thiết lập, hệ thống phát hiện tấn công sẽ chạy ở chế độ tự học và tạo ra một hồ sơ về cách cư xử của mạng với các hoạt động bình thường. Sau thời gian khởi tạo, hệ thống sẽ chạy ở chế độ làm việc, tiến hành theo dõi, phát hiện các hoạt động bất thường của mạng bằng cách so sánh với hồ sơ đã thiết lập. 8 2.3. Tóm tắt chương Nội dung chương 2 trình bày khái niệm về “phát hiện xâm nhập” trái phép mạng máy tính, nêu các hiện tượng và các dấu hiệu nhận biết khi máy tính bị xâm nhập và giới thiệu hệ thống phát hiện xâm nhập trái phép mạng máy tính (IDS). Như đã trình bày, hệ thống IDS có chức năng tự động theo dõi các sự kiện xảy ra trên một hệ thống mạng máy tính, phân tích để phát hiện ra các vấn đề liên quan đến an ninh, bảo mật và đưa ra cảnh báo. Chương 3. PHÒNG CHỐNG VÀ NGĂN CHẶN XÂM NHẬP MẠNG MÁY TÍNH 3.1. Một số biện pháp kỹ thuật phòng chống xâm nhập điển hình 3.1.1. Tường lửa (Firewall) Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn từ bên ngoài vào mạng cũng như những kết nối không hợp lệ từ bên trong ra tới một số địa chỉ nhất định trên Internet. Firewall thực hiện việc lọc bỏ những địa chỉ không hợp lệ dựa theo các quy tắc hay chỉ tiêu định trước. Cũng có thể hiểu Firewall là một cơ chế để bảo vệ mạng tin tưởng khỏi các mạng không tin tưởng. Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một công ty, tổ chức, nghành hay một quốc gia, và Internet. Firewall có thể là hệ thống phần cứng, phần mềm hoặc kết hợp cả hai. a. Chức năng của Firewall Firewall dùng để kiểm soát và thiết lập cơ chế điều khiển luồng thông tin giữa nội bộ mạng và bên ngoài.  Cho phép hoặc cấm các dịch vụ truy nhập ra ngoài mạng.  Cho phép hoặc cấm các dịch vụ truy nhập từ mạng ngoài và trong mạng.  Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.  Kiểm soát địa chỉ truy nhập, cấm hoặc cho phép địa chỉ truy nhập.  Kiểm soát người dùng và việc truy nhập của người dùng.  Kiểm soát nội dung thông tin lưu chuyển trên mạng. b. Thành phần của Firewall Firewall có thể có các thành phần sau:  Bộ lọc gói tin (Packet filtering router):  Cổng lọc ứng dụng (Application level gateway hay proxy server):  Cổng mạch (Circuit level gateway): 9  Kiểm soát nội dung gói tin tại nhiều lớp (Stateful Muliplayer Inspection): c. Nguyên lý hoạt động của Firewall Firewall hoạt động với giao thức TCP/IP. Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng (các dịch vụ chạy trên các giao thức telnet, SNMP, DNS, SNTP, NFS…) thành các gói dữ liệu rồi gán cho các gói này những địa chỉ có thể nhận dạng, tái lập lại ở đích cần đến, các địa chỉ được lưu trong phần đầu của gói tin (Header) và Firewall sẽ dựa và Header của gói tin để lọc. Bộ lọc gói tin có khả năng cho phép hay từ chối mỗi gói tin mà nó nhận được. Nó kiểm tra toàn bộ dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong các luật lệ của lọc gói tin hay không. Nếu thỏa mãn, gói tin đó được chuyển qua, ngược lại, gói tin sẽ bị hủy. Việc kiểm soát các cổng sẽ cho phép Firewall kiểm soát một số loại kết nối nhất định mới được vào mạng cục bộ. Do việc kiểm tra dựa trên Header của các gói tin nên bộ lọc không kiểm soát được nội dung thông tin của gói tin đó. Vì vậy các gói tin chuyển qua vẫn có thể mang theo những hành động với ý đồ xấu của Hacker. d. Các chế độ hoạt động của Firewall  Chế độ Route/NAT:  Chế độ trong suốt (Transparent): e. Các dạng của Firewall  Mô hình firewall ở mức mạng:  Firewall hoạt động dựa trên cổng lớp ứng dụng: 3.1.2. Hệ thống Proxy Server. a. Khái niệm Proxy Server Một Proxy Server là một máy chủ (một máy tính hoặc một chương trình ứng dụng) đóng vai trò trung gian cho các yêu cầu giữa người dùng tìm kiếm tài nguyên với hệ thống máy chủ dịch vụ hoặc kết nối truy nhập/ truy xuất mạng và Internet. Khi các máy khách áp dụng Proxy Server, nếu muốn truy nhập Internet hoặc các dịch vụ mạng từ máy chủ ứng dụng khác, nó phải thông qua Proxy Server. b. Chức năng của Proxy Server Chức năng quan trọng của Proxy server là tường lửa (firewall) và lọc ứng dụng (filtering). Đối với hệ thống mạng lớn, Proxy server đóng vai trò quản lý mọi truy nhập vào ra trong mạng, cho phép hoặc không một yêu cầu hay đáp ứng từ nội bộ trong mạng ra ngoài hoặc ngược lại. Proxy Server làm cho việc sử dụng băng thông có hiệu quả do chúng có thể quản lý được các hoạt động của người dùng. Nên có thể giới hạn thông tin nào được dùng và 10 không được dùng tránh việc nghẽn bằng thông. Một chức năng khác của hệ thống Proxy Server là Caching, lưu trữ tạm thời nội dung các trang web có thể cải thiện chất lượng dịch vụ của một mạng theo 3 cách. Thứ nhất, nó có thể bảo tồn băng thông mạng, tăng khả năng mở rộng. Tiếp đến, có thể cải thiện khả năng đáp trả cho các máy khách. Ví dụ, với một HTTP proxy cache, Web page có thể load nhanh hơn trong trình duyệt web. 3.1.3. Tạo đường hầm (Tunneling) Kỹ thuật tạo đường hầm (tunneling) là cách dùng hệ thống mạng trung gian (thường là Internet hoặc Extranet) để kết nối logic điểm – điểm, từ máy tính này đến máy tính qua hệ thống mạng. Kỹ thuật này cho phép mã hóa và tiếp nhận đối với toàn bộ gói tin IP. Các cổng bảo mật sử dụng kỹ thuật này để cung cấp các dịch vụ bảo mật thay cho các thực thể khác trên mạng. Phương thức này đã được áp dụng trong mạng riêng ảo VPN. Dữ liệu được chia nhỏ thành các khung hoặc các gói theo giao thức truyền thông sẽ được bọc thêm một lớp header chứa thông tin định tuyến giúp các gói tin có thể truyền qua các hệ thống mạng trung gian theo những tuyến đường truyền ngầm riêng (tunnel – đường hầm). Khi đã đến đích, các khung hoặc gói tin sẽ được tách bỏ lớp header và chuyển đến các máy trạm đích cuối cùng. Việc thiết lập đường hầm đòi hỏi máy trạm và máy chủ phải sử dụng cùng một giao thức (tunnel protocol). 3.1.4. Thiết bị kiểm soát nội dung SCM (Secure Content Management) a. Khái niệm và tầm quan trọng của thiết bị kiểm soát nội dung Secure Content Management (SCM) là một thiết bị mạng chuyên dụng được đặt sau tường lửa và trên một vùng mạng để bảo vệ cho toàn bộ hệ thộng phía sau. Thiết bị SCM phân tích sâu vào nội dung của dữ liệu, ví dụ tệp tin đính kèm, email hay những tệp dữ liệu được tải về qua các giao thức HTTP, FTP,… để tìm Virus/Spam, Spyware, Keyloggerm Phishing,…Khi phát hiện được phần tử phá hoại như trên, thiết bị sẽ phản ứng bằng cách ngăn chặn (block), loại bỏ và cảnh báo cho người quản trị mạng. Thiết bị SCM thường được sử dụng chuyên biệt cho việc kiểm soát các dòng dữ liệu quan trọng như SMTP, POP3, HTTP, FTP… b. Cơ chế hoạt động của bộ quản lý nội dung SCM SCM kiểm soát truy nhập tới các website dựa trên tiêu chí đã xác định trước.  Ngăn chăn website hay giám sát nội dung: Giải pháp quản lý bảo mật nội dung sử dụng một trong hai phương pháp cơ bản: Ngăn chặn trang web (Site blocking) hoặc Giám sát nội dung (Content Monitoring).  Site blocking: 11 Phương pháp này quản lý nội dung sử dụng các bộ lọc danh sách URL hoặc dựa trên nội dung URL, để xác định và ngăn chặn nội dung website. Một số giải pháp dựa trên danh sách trắng chỉ cho phép truy nhập tới các website có trong danh sách đó. Giải pháp sử dụng danh sách đen chỉ cho phép truy nhập vào tất cả các website, ngoại trừ các website có trong danh sách đen. Hạn chế của phương pháp Site Blocking là nó chỉ tập trung vào truy nhập dựa trên HTTP, mà không chặn được tin nhắn tức thời, tệp đính kèm email, các ứng dụng ngang hàng và các ứng dụng khác có chứa các mối đe dọa an ninh.  Content Monitoring: Cấp độ cơ bản nhất của Content Monitoring sử dụng phương pháp ngăn chặn bằng từ khóa (keyword-blocking). Thay vì ngăn chặn URL, nó so sánh các từ khóa dữ liệu vào một thư viện mà người dùng đã định nghĩa một từ hoặc cụm từ. Khi một trong các từ hoặc cụm từ bị chặn được phát hiện phù hợp, thì giải pháp lọc hoặc chặn dữ liệu, hoặc trong một số trường hợp là đóng ứng dụng được thực thi. Có vấn đề với phương pháp này là vô tình ngăn chặn các website hợp pháp dựa trên thực tế là chúng có chứa các từ khóa phù hợp với từ bị chặn.  Giải pháp kiến trúc:  Giải pháp máy trạm (Client solutions): giải pháp phần mềm máy trạm bao gồm một giao diện quản lý và một cơ sở dữ liệu của các website bị chặn;  Giải pháp độc lập (Sandalone solutions): giải pháp này bao gồm các máy chủ cơ sở dữ liệu chuyên dụng để xác định các chính sách và một gateway riêng biệt hoặc firewall để thi hành các chính sách quản lý nội dung.  Giải pháp tích hợp: giải pháp tích hợp tăng cường quản lý và xử lý trong một gateway duy nhất hoặc tường lửa. Tuy nhiên, khi gateway hoặc firewall cũng được sử dụng cho các dịch vụ như chống virus và phòng chống xâm nhập, hiệu suất có thể bị ảnh hưởng. c. Đánh giá các giải pháp: Tùy thuộc vào mức độ bảo vệ, thực hiện và quản lý yêu cầu, khách hàng ở cố định nên lựa chọn giữa giải pháp độc lập và giải pháp tích hợp. Cả hai lựa chọn có thể kết hợp quản lý nội dung Internet với các kỹ thuật bảo vệ động để quản lý truy nhập và bảo đảm mạng chống lại một loạt các đe dọa từ virus, phần mềm gián điệp (spyware), sâu máy tính (worm), tin nhắn tức thời và các ứng dụng ngang hàng.  SCM và tường lửa: Lọc nội dung được tích hợp trên một tường lửa là một giải pháp quản lý nội dung hiệu quả và lý tưởng cho các tổ chức có mạng cỡ vừa và nhỏ. Phương án này tích hợp công nghệ tường lửa hiện có, hoặc được cài đặt đồng thời vào một giải pháp tường lửa mới. Một dịch vụ 12 điển hình sẽ cung cấp một cập nhật liên tục cập, toàn diện cơ sở dữ liệu của hàng triệu trang web, tên miền và địa chỉ IP.  Các công cụ độc lập: Đối với các doanh nghiệp lớn hơn và môi trường doanh nghiệp đòi hỏi phải có khả năng kiểm soát nội dung toàn diện hơn, một công cụ lọc nội dung độc lập tối đa hóa việc bảo vệ mạng bất kỳ, trước các mối đe dọa phức tạp từ Internet ngày nay. Mặc dù nó đòi hòi việc mua thiết bị phần cứng bổ sung, nhưng việc dễ dàng cài đặt và sử dụng tạo nên sự hấp dẫn của giải pháp này. Thiết bị có thể được thêm vào mạng hiện tại mà không cần phải cấu hình lại thiết bị phần cứng và phần mềm hiện có. 3.2. Hệ thống phát hiện và ngăn chặn xâm nhập 3.2.1. Giới thiệu về hệ thống phát hiện và ngăn chặn xâm nhập Hệ thống phòng chống xâm nhập (IPS – Intrusion Prevention System) hay còn gọi là Hệ thống phát hiện và phòng chống xâm nhập (IDPS – Intrusion Detection and Prevention System) là các thiết bị an ninh mạng để theo dõi phát hiện các hoạt động độc hại trong mạng và hệ thống máy tính, xác định khi một cuộc tấn công bắt đầu và thực hiện các biện pháp đối phó thích hợp, cố gắng ngăn chặn sự xâm nhập và cảnh báo sự cố. Hơn nữa, IDPS cũng có thể nhận ra các hoạt động do thám - điều mà có thể là dấu hiệu của một cuộc tấn công sắp diễn ra, ngăn chặn chúng và báo cáo cho quản trị viên an ninh mạng – người mà sau đó có thể cho phép kiểm soát an ninh hoặc chống lại các cuộc tấn công. Ví dụ khi mã độc thực hiện quét cổng để xem có thể tấn công được hay không. Ngoài ra IDPS còn được sử dụng cho các mục đích khác, chẳng hạn như xác định chính sách bảo mật, ghi lại các mối đe dọa, ngăn chặn riêng rẽ các vi phạm chính sách bảo mật... IDPS đã trở thành một sự bổ sung cần thiết cho cơ sở hạ tầng an ninh của gần như tất cả các tổ chức. 3.2.2. Thành phần và kiến trúc của IDPS a. Các thành phần điển hình  Bộ cảm biến/tác tử: các bộ cảm biến/tác tử theo dõi và phân tích các hoạt động.  Máy chủ quản lý: một máy chủ quản lý là một thiết bị tập trung tiếp nhận thông tin từ các cảm biến hoặc các tác tử và quản lý chúng.  Máy chủ cơ sở dữ liệu: Một máy chủ cơ sở dữ liệu là một kho lưu trữ thông tin sự kiên được ghi lại bởi các bộ cảm biến, các tác tử, và/hoặc các máy chủ quản lý.  Giao diện điều khiển (Console): là một chương trình cung cấp giao diện cho người dùng IDPS và quản trị viên. b. Kiến trúc mạng Các thành phần của IDPS có thể được kết nối với nhau thông qua mạng chuẩn của một 13 tổ chức hoặc thông qua một mạng riêng biệt được thiết kế đúng để quản lý phần mềm an ninh, được biết đến như một mạng giám sát. 3.2.3. Khả năng bảo mật a. Khả năng thu thập thông tin Một số công nghệ IDPS cung cấp các khả năng thu thập thông tin, chẳng hạn như thu thập thông tin về máy chủ hoặc các mạng từ hoạt động được quan sát. b. Khả năng đăng nhập Các trường dữ liệu được sử dụng phổ biến bởi IDPS bao gồm ngày giờ sự kiện, kiểu sự kiện, tầm quan trọng (ví dụ: mức độ ưu tiên, mức độ nghiêm trọng, tác động, tự tin), và hành động phòng ngừa được thực hiện (nếu có). c. Khả năng phát hiện Các công nghệ IDPS thường kết hợp kỹ thuật phát hiện, hỗ trợ phát hiện chính xác hơn và linh hoạt. Các kiểu của sự kiện được phát hiện và độ chính xác của phát hiện thay đổi rất nhiều tùy thuộc vào kiểu công nghệ IDPS. d. Khả năng ngăn chặn IDPS thường cho phép xác định cấu hình khả năng ngăn chặn đối với từng loại cảnh báo. Điều này thường bao gồm việc kích hoạt hoặc vô hiệu hóa phòng chống, xác định loại khả năng phòng ngừa nên được sử dụng. Một số cảm biến IDPS có một chế độ học hoặc mô phỏng ngăn chặn tất cả các hành động phòng ngừa. 3.2.4. Phân loại IDPS 3.2.4.1. Network – based IDPS (NIDPS) Một NIDPS giám sát lưu lượng mạng cho các phân đoạn mạng riêng biệt hoặc các thiết bị và phân tích mạng, chuyển vận, và các giao thức ứng dụng để xác định các hoạt động đáng ngờ. 3.2.4.2. Network behavior analysis (NBA) Một hệ thống phân tích các hành vi mạng (NBA) kiểm tra lưu lượng mạng hoặc số liệu thống kê về lưu lượng để xác định lưu lượng bất thường. 3.2.4.3. Host-based IDPS (HIDPS – IDPS dựa trên máy chủ) HIDPS giám sát các đặc tính của một máy đơn nhất và các sự kiện hoạt động đáng ngờ xảy ra bên trong máy đó. Các kiến trúc mạng cho HIDPS thường đơn giản, các tác tử triển khai cho host hoặc các máy chủ quan trọng, giao tiếp qua mạng thay vì sử dụng mạng quản lý riêng. Kỹ thuật phát hiện của HIDPS sử dụng phân tích mã, phân tích lưu lượng mạng, lọc lưu lượng mạng, giám sát tệp tin hệ thống, phân tích các đăng nhập và theo dõi cấu hình mạng. Điều này có thể rất hiệu quả trong việc ngăn chặn cả các cuộc tấn công đã được biết hoặc 14 chưa biết trước đây. HIDPS có một số hạn chế. Một số kỹ thuật phát hiện thực hiện định kỳ theo giờ hoặc một vài lần một ngày, để xác định những sự kiện đã xảy ra, gây ra sự chậm trễ đáng kể trong xác định các sự kiện và ảnh hưởng đến hiệu suất máy. 3.3. Tóm tắt chương Toàn bộ nội dung chương 3 tập trung chủ yếu vào vấn đề phòng chống và ngăn chặn xâm nhập trái phép mạng máy tính, trong đó có nêu một số biện pháp kỹ thuật phòng chống xâm nhập điển hình và đặc biệt giới thiệu hệ thống phát hiện và ngăn chặn xâm nhập (Tiếng Anh: Intrusion Detection and Prevention System). Đây là một thiết bị an ninh mạng có chức năng theo dõi phát hiện các hoạt động độc hại xảy ra trong hệ thống mạng máy tính, đưa ra cảnh báo phòng chống hoặc có thể xác định khi nào một cuộc tấn công bắt đầu và thực hiện các biện pháp đối phó thích hợp, ngăn chặn tấn công. Chương 4. MÔ PHỎNG THỬ NGHIỆM TẤN CÔNG XÂM NHẬP MẠNG 4.1. Môi trường thử nghiệm 4.1.1. Giới thiệu công cụ mô phỏng NeSSi2. NeSSi2 là một công cụ mô phỏng mạng do TU Berlin (CHLB Đức) mới phát triển. NeSSi2 cho phép mô phỏng thế hệ tấn công tự động dựa trên profile, phân tích lưu lượng và hỗ trợ cho các thuật toán phát hiện sử dụng cho nghiên cứu an ninh và các mục đích đánh giá. NeSSi2 đã được thử nghiệm thành công cho các thuật toán phát hiện xâm nhập, tiến hành phân tích an ninh mạng. NeSSi2 cung cấp hỗ trợ rộng rãi các kịch bản ứng dụng phức tạp trên đỉnh một mô phỏng tin cậy của ngăn xếp giao thức TCP/IP. Mạng mô phỏng được mô hình hóa để phản ánh cấu trúc liên kết mạng trong thế giới thực bởi sự hỗ trợ mô hình hóa lớp mạng con và các loại nút khác nhau với các khả năng sử dụng khác. NeSSi2 tuân thủ một mẫu thiết kế kiểu môđun. Các kịch bản tấn công phổ biến đặc biệt được hỗ trợ và có thể được mô phỏng, các kịch bản sâu lây lan và các cuộc tấn công DDoS dựa trên botnet là hai trong số các kịch bản ví dụ được hỗ trợ bởi NeSSi2. Ngoài ra, các profile tùy chỉnh thể hiện các hành vi nút có thể được áp dụng trong mô phỏng. 4.1.2. Các thành phần của NeSSi2 a. Giao diện người dùng đồ họa (Graphical User Interface): 15 Giao diện người dùng đồ họa của NeSSi2 là thành phần cho phép người dùng tạo và thay đổi tất cả các thành phần cần thiết cho một mô phỏng. Kết quả của các mô phỏng hoàn thành có thể được hình dung ở đây. Các thành phần mô phỏng trong giao diện người dùng:  Lập dự án mô phỏng (NeSSi2 project): Một NeSSi2 Project bao gồm một tệp tin mạng duy nhất trong một thư mục gốc, nơi mà các thông tin về topo đang được lưu trữ vào. Cấu trúc liên kết mạng mô tả các thông tin tĩnh được chứa trong mạng (ví dụ, các nút, thuộc tính của chúng và kết nối với nhau...). Các mạng dựa trên nền IP, thêm các thông tin, như băng thông cho các liên kết hoặc MTU cho các giao diện mạng, được lưu trữ.  Hồ sơ (Profile): Profile được sử dụng cho các ứng dụng được triển khai trên các nút trong mạng. Đây là bước đầu tiên của việc tạo ra thông tin hành vi động cho một mô phỏng. Khi tạo profile, người dùng cần thêm các ứng dụng cho nó. Ứng dụng tạo thành hành vi thực tế của một nút trong thời gian chạy mô phỏng.  Kịch bản mô phỏng (Scenarios): Để triển khai profile vào các nút trong một mạng, người dùng cần phải tạo ra một kịch bản, bước thứ hai là tạo ra các thông tin hành vi động cho một mô phỏng. Một kịch bản về cơ bản là một bản đồ của các nút trong cấu trúc liên kết mạng và các profile đã được triển khai vào các nút này.  Phiên mô phỏng (Sessions): Để mô phỏng một kịch bản, một phiên làm việc đã được tạo ra, phiên chứa tất cả các thành phần tạo ra trước đó cùng với thông tin bổ sung cho các kịch bản sẽ được mô phỏng.  Mẫu dữ liệu (Templates): Khi tạo các topology mạng, NeSSi2 cung cấp một loạt các nút có thể được đặt vào mạng. Ý tưởng của Templates là người dùng có thể tạo ra các mẫu bổ sung. b. Phần mềm nền của mô phỏng (Simulation Backend) Sau khi một phiên được gửi để thi hành, phần mềm nền phân tích các thông số phiên (sự kiện đăng nhập, bao nhiêu tiến trình chạy được thực thi, v.v…), tạo ra một môi trường mô phỏng tương ứng, thiết lập các kết nối cơ sở dữ liệu và lập biểu mô phỏng để chạy càng sớm càng tốt các nguồn lực xử lý cần thiết có sẵn. c. Các tính năng của NeSSi2  Tạo lưu lượng mô phỏng (Traffic Generation) Lưu lượng mạng dưới dạng các gói IP, với phần tiêu đề và thân, có thể được tạo ra bởi 16 cách thức khác nhau. Thực thi ngăn xếp giao thức TCP/IP, các tính năng một mô-đun lớp ứng dụng NeSSi2 dựa trên tiêu chuẩn triển khai Java socket. NeSSi2 kết hợp một số giao thức mức ứng dụng (HTTP, SMTP, v.v…) và hỗ trợ các giao thức định tuyến tĩnh hoặc động mà có thể được lựa chọn bởi người dùng.  Ngăn xếp giao thức và Socket-based API Đối với quản lý lỗi, TTL và checksum tiêu đề được hỗ trợ và giao thức ICMP được thực thì để thông báo lỗi.  Đặc tính an ninh NeSSi2 tập trung trong khuôn khổ an ninh mạng và đánh giá thuật toán. NeSSi2 tập trung mô phỏng các lưu lượng mạng qua các profile nút, một mô hình thực hiện song song, mô phỏng các sự kiện rời rạc và trực quan. d. Đánh giá mô phỏng NeSSi2 cho phép mô phỏng các tình huống bảo mật khác nhau. Các thành phần đánh giá chính trong NeSSi2 xem các thống kê để hình dung các sự kiện mô phỏng đã được ghi lại. Các biểu đồ này linh hoạt và có thể cấu hình theo nhiều cách. Hàng loạt các sự kiện được ghi lại có thể được hển thị như biểu đồ vùng, thanh hoặc dòng, hơn nữa có thể xếp chồng hoặc/và cộng dồn. Mặt khác, cơ chế phát lại cho các mô phỏng đã được ghi, cho phép người dùng xem lại toàn bộ các mô phỏng, theo các sự kiện xảy ra. 4.1.3. Cài đặt phần mềm mô phỏng NeSSi2 a. Yêu cầu chung cho việc cài đặt NeSSi 2: b. Tải và cài đặt NeSSi2 c. Cấu hình NeSSi2 d. Khởi động NeSSi2 4.1.4. Cài đặt giao diện người dùng NeSSi2 Giao diện người dùng NeSSi2 là cần thiết để tạo topo mạng, hồ sơ, kịch bản, phiên và quản và giám sát mô phỏng đang chạy. a. Tải và cài đặt b. Cấu hình c. Khởi động giao diện người dùng NeSSi 2 4.1.5. Cơ sở dữ liệu NeSSi2 NeSSi2 dùng một cơ sở dữ liệu để ghi lại một cấu trúc liên kết (topology) mạng, các kịch bản và thông tin phiên cho hoạt động mô phỏng. Trong thời gian một mô phỏng chạy, nó ghi các sự kiện mô phỏng được lựa chọn vào cơ sở dữ liệu.  Tải về và cài đặt 4.2. Mô phỏng vấn đề phát hiện và phòng chống xâm nhập mạng máy tính trên phần mềm NeSSi2 17 4.2.1. Xây dựng mô hình mạng mô phỏng, kiến trúc và thành phần Hình 4 – 3: Sơ đồ mạng mô phỏng. Dựa trên mô hình mạng thực tế tại Đài Dịch vụ khách hàng – VDC1, tác giả xây dựng mô hình mạng mô phỏng trên phần mềm NeSSi2 với kiến trúc mạng và các thành phần cụ thể như sau: 4.2.2. Quy trình thực hiện các bước mô phỏng với phần mềm NeSSi 2 Quy trình tạo và chạy mô phỏng trên phần mềm NeSSi2 được mô tả qua sơ đồ và các bước cụ thể như sau: Khởi đầu Khởi tạo kịch bản Khởi tạo một dự án NeSSi2 Khởi tạo phiên Khởi tạo mạng Chạy mô phỏng Khởi tạo profile Kết thúc Hình 4 – 4: Sơ đồ quy trình tạo và chạy mô phỏng với NeSSi 2 4.2.3. Thiết lập mô hình mô phỏng cụ thể với phần mềm NeSSi2 a. Khởi động phần mềm mô phỏng Khởi động phần mềm NeSSi2 đã được cài đặt trên máy thử nghiệm. b. Thiết lập dự án mạng mô phỏng (Project) Khởi tạo một dự án NeSSi2, chứa toàn bộ các thông tin về cấu trúc liên kết, hồ sơ, kịch bản, phiên… Tiếp đó, khởi tạo một subnet → thêm vào các thành phần như kiến trúc mạng dự kiến mô phỏng. Dưới đây là quy trình thiết lập một mạng cần mô phỏng trong phần mềm NeSSi2. 18 Hình 4 – 5: Sơ đồ quy trình thiết lập một dự án trong NeSSi2 Thiết lập các thành phần của mạng mô phỏng cụ thể gồm: − Access Router: bộ định tuyến và tập trung kết nối trong các mạng LAN. − Internet PE Router: bộ định tuyến biên của nhà cung cấp dịch vụ Internet, kết nối ra Internet. − Insite Client 1 và 2: máy trạm trong nội mạng. − Remote Client: máy trạm truy nhập từ xa qua mạng Internet. − E-mail Sever: máy chủ dịch vụ email. − Web Server: máy chủ dịch vụ web. − Database Server: máy chủ cơ sở dữ liệu. − Application server: máy chủ chạy các ứng dụng dịch vụ khác. − Insite Attacker 1 và 2: kẻ tấn công từ bên trong mạng LAN. − Outsite Attacker: kẻ tấn công từ bên ngoài mạng LAN, thông qua kết nối Internet. − Firewall: tường lửa. − Internet: mạng Internet. c. Thiết lập hồ sơ (Profile) Dưới đây là quy trình thiết lập một hồ sơ (profile) cho mạng cần mô phỏng.
- Xem thêm -