Mục Lục
DANH MỤC HÌNH ẢNH ..................................................................................... 3
LỜI CẢM ƠN ........................................................................................................ 4
LỜI NÓI ĐẦU ....................................................................................................... 5
CHƯƠNG 1: TÌM HIỂU VỀ MẠNG LAN........................................................... 7
1.1. Mạng LAN là gì? ............................................................................................. 7
1.1.1. Khái niệm mạng LAN .......................................................................... 7
1.1.2. Lịch sử ra đời ........................................................................................ 7
1.1.3. Hoạt động của mạng LAN .................................................................... 7
1.2. Các loại topology mạng LAN.......................................................................... 8
1.2.1. Mạng hình sao (Star topology) ............................................................. 8
1.2.2. Mạng hình tuyến (Bus topology) .......................................................... 9
1.2.3. Mạng dạng vòng (Ring topology) ........................................................ 9
1.2.4. Mạng dạng kết hợp hình sao và tuyến (Star/Bus topology) ............... 10
1.2.5. Mạng dạng kết hợp hình sao và vòng (Star/Ring topology) ............... 10
1.2.6. Mạng Full Mesh .................................................................................. 10
1.2.7. Mạng phân cấp (Hierarchical) ............................................................ 10
1.3. Các giao thức (Protocol) ................................................................................ 10
1.3.1. Giao thức CSMA/CD ......................................................................... 11
1.3.2. Token passing protocol ....................................................................... 11
1.4. Mạng WLAN ................................................................................................. 12
1.4.1. Giới thiệu về mạng WLAN ................................................................ 12
1.4.2. Quá trình phát triển của WLAN ......................................................... 14
1.4.3. Phân loại mạng WLAN ...................................................................... 15
1.4.4. Ứng dụng của hệ thống mạng WLAN ................................................ 16
1.4.5. Ưu và nhược điểm mạng WLAN ....................................................... 18
1
CHƯƠNG 2: BẢO MẬT MẠNG LAN .............................................................. 20
2.1. Các mối đe dọa .............................................................................................. 20
2.2. Các giải pháp cơ bản để đảm bảo an toàn ..................................................... 22
2.3. Các vấn đề chung về bảo mật hệ thống và bảo mật mạng ............................. 23
2.3.1. Đối tượng tấn công mạng (intruder) .................................................. 24
2.3.2. Các lỗ hổng bảo mật........................................................................... 24
2.3.3. Chính sách bảo mật ............................................................................ 26
2.4. Vấn đề bảo mật cho mạng LAN ................................................................... 26
2.4.1. Mạng riêng ảo (Virtual Private Network- VPN) ............................... 27
2.4.2. Tường lửa (Firewall) .......................................................................... 29
2.4.3. Bảo mật bằng Switch ......................................................................... 32
2.4.4. Bảo mật bằng Router .......................................................................... 34
CHƯƠNG 3: SỬ DỤNG CÔNG CỤ NESSUS QUÉT LỖ HỔNG BẢO MẬT
MẠNG LAN ........................................................................................................ 38
3.1. Lịch sử hình thành và phát triển của NESSUS ............................................ 38
3.2. Các thành phần của NESSUS ....................................................................... 38
3.2.1. Kiến trúc của NESSUS với mô hình Client – Server ......................... 38
3.2.2. Mô hình Nessus Knowledge Base ...................................................... 39
3.2.3. Mô hình Nessus Plugin ....................................................................... 39
3.3. Ngôn ngữ NASL trong Nessus ...................................................................... 40
3.3.1. Lịch sử ngôn ngữ Nasl ........................................................................ 40
3.3.2. Sự khác biệt giữa NASL1 và NASL2................................................. 43
3.4. Cài đặt Nessus ............................................................................................... 43
3.5. Kiểm tra các lỗ hổng mạng LAN .................................................................. 46
KẾT LUẬN .......................................................................................................... 51
TÀI LIỆU THAM KHẢO .................................................................................... 52
2
DANH MỤC HÌNH ẢNH
Hình 3.1 Mô hình kiến trúc Nessus dạng Client – Server.................................... 39
Hình 3.2 Mô hình hoạt động của Nessus Plugin .................................................. 40
Hình 3.3 Cài đặt Nessus ....................................................................................... 44
Hình 3.4 Chọn I accept the terms in the license agreement để cài đặt ................ 44
Hình 3.5 Click Finish để hoàn tất cài đặt Nessus................................................. 45
Hình 3.6 Chương trình Nessus yêu cầu nhập Activation Code ........................... 45
Hình 3.7 Giao diện đăng nhập của Nessus ........................................................... 46
Hình 3.8 Giao diện của chương trình Nessus....................................................... 46
Hình 3.9 Chọn phương thức Basic Network Scan ............................................... 47
Hình 3.10 Điền các yêu cầu để Scan .................................................................... 47
Hình 3.11 Quá trình Scan được bắt đầu ............................................................... 48
Hình 3.12 Kết quả Scan ....................................................................................... 48
Hình 3.13 Chi tiết các lỗi bảo mật........................................................................ 49
Hình 3.14 Chi tiết lỗ hổng bảo mật Microsoft Windows SMB Guest Account
Local User Access ................................................................................................ 49
Hình 3.15 Lưu kết quả Scan ................................................................................. 50
3
LỜI CẢM ƠN
Trước hết, em cám ơn đến các thầy cô đã truyền đạt những kiến thức quý
báu cho chúng em trong suốt quá trình học tập. Đặc biệt, em xin gửi lời cám ơn
chân thành và sâu sắc đến thầy ThS, thầy đã tận tình hướng dẫn giúp đỡ và đóng
góp cho chúng em nhiều ý kiến qúy báu trong suốt quá trình làm đề tài.
Tuy nhiên vẫn còn nhiều thiếu sót cần được khắc phục. Em rất mong nhận
được sự góp ý của các thầy cô và hướng dẫn thêm để em có kiến thức hoàn thiện
hơn.
Em cảm ơn các thầy cô trong bộ môn an toàn hệ thống thông tin trong
suốt những năm học qua đã cung cấp cho em rất nhiều những kiến thức phục vụ
cho công tác sau này.
Một lần nữa em xin chân thành cảm ơn các thầy cô giáo đã tạo điều kiện
giúp đỡ em hoàn thành bài thực tập tốt nghiệp.
4
LỜI NÓI ĐẦU
Với nhu cầu trao đổi thông tin, bắt buộc các cơ quan, tổ chức phải
hoà mình vào mạng toàn cầu Internet. An toàn và bảo mật thông tin là một
trong những vấn đề quan trọng hàng đầu, khi thực hiện kết nối mạng nội bộ của
các cơ quan, doanh nghiệp, tổ chức với Internet. Ngày nay, các biện pháp an
toàn thông tin cho máy tính cá nhân cũng như các mạng nội bộ đã được nghiên
cứu và triển khai. Tuy nhiên, vẫn thường xuyên có các mạng bị tấn công, có
các tổ chức bị đánh cắp thông tin gây nên những hậu quả vô cùng nghiêm
trọng.
Những vụ tấn công này nhằm vào tất cả các máy tính có mặt trên
Internet, các máy tính của các công ty lớn như AT&T, IBM, các trường đại học
và các cơ quan nhà nước, các tổ chức quân sự, ngân hàng,…một số vụ tấn công
với quy mô khổng lồ (có tới 100.000 máy tính bị tấn công). Hơn nữa những con
số này chỉ là phần nổi của tảng băng trôi. Một phần rất lớn các vụ tấn công
không được thông báo vì nhiều lý do, trong đó có thể kể đến nỗi lo mất uy
tín hoặc chỉ đơn giản những người quản trị dự án không hề hay biết những
vụ tấn công nhằm vào hệ thống của họ.
Không chỉ các vụ tấn công tăng lên nhanh chóng mà các phương pháp tấn
công cũng liên tục được hoàn thiện. Điều đó một phần do các nhân viên quản
trị hệ thống ngày càng đề cao cảnh giác. Vì vậy việc kết nối mạng nội bộ của cơ
quan tổ chức mình vào mạng Internet mà không có các biện pháp đảm bảo an
ninh thì cũng được xem là tự sát.
Trong quá trình bảo mật hệ thống mạng cho một công ty hay tổ chức việc
sử dụng các công cụ mạnh để kiểm tra hay phát hiện các lỗi bảo mật nhằm nâng
cao tính an toàn của hệ thống và toàn mạng là rất quan trọng. Trong đó Nessus
và GFI LanGuard là hai trong số các chương trình rà soát lỗ hổng bảo mật mạng
hàng đầu hiện nay. Nhưng GFI LanGuard là một phần mềm thương mại, trong
khi đó Nessus lại là một phần mềm miễn phí hoàn toàn cho người dùng cá nhân,
với cơ sở dữ liệu về các lỗ hổng có thể được rất phong phú cho cả hệ thống chạy
Window hay Linux và được cập nhật thường xuyên. Theo thống kê của trang
sectools.org, Nessus là phần mềm quét lỗ hổng bảo mật phổ biến nhất trong các
5
năm 2000, 2003 và 2006. Hãng Tenable ước tính rằng nó được sử dụng rộng rãi
bởi hơn 75000 tổ chức trên toàn thế giới.
Việc dò tìm các lỗ hổng bảo mật đóng một vai trò rất quan trọng với các
quản trị viên hệ thống, các chuyên gia bảo mật v.v… nhằm tìm ra các biện pháp
tăng cường bảo mật cho hệ thống, và cả những kẻ muốn tấn công thực sự.
Tuy nhiên việc tìm thêm các lỗ hổng mới tương đối khó khăn, một phần do các
lỗ hổng cũ sau khi công bố một thời gian, các nhà sản xuất sẽ tìm cách “vá” lại
những lổ hổng đó, một phần do những người tìm ra những lỗ hổng mới đó
không muốn công khai rộng rãi. Việc dò quét các lỗ hổng của Nessus được thực
hiện dựa trên hai thành phần chính là Nessus Engine và Nessus Plugin. Nessus
Engine đóng vai trò như một trình biên dịch để thực hiện các câu lệnh của
Nessus Plugin.
Từ nhu cầu phát triển, đòi hỏi các cơ quan, tổ chức phải hòa mình
vào mạng toàn cầu, mạng Internet song vẫn phải đảm bảo an toàn thông tin
trong quá trình kết nối. Bởi vậy, em đã quyết định chọn đề tài: “Tìm hiểu về bảo
mật mạng LAN và sử dụng công cụ Nessus quét lỗ hổng bảo mật trong mạng
LAN”, nhằm điều khiển luồng thông tin ra, vào và bảo vệ các mạng nội bộ khỏi
sự tấn công từ Internet. Nội dung đề tài này sẽ trình bày một cách khái quát các
khái niệm về mạng LAN, các cơ chế bảo mật mạng LAN, các nguy cơ mất an
toàn trong mạng nội bộ, các phòng chống và sử dụng công cụ NESSUS quét lỗ
hổng bảo mật mạng LAN.
Nội dung chính của đề tài gồm 3 chương như sau:
Chương 1: Tìm hiểu về mạng LAN
Chương 2: Bảo mật mạng LAN
Chương 3: Sử dụng công cụ NESSUS quét lỗ hổng bảo mật mạng LAN
6
CHƯƠNG 1: TÌM HIỂU VỀ MẠNG LAN
1.1.
Mạng LAN là gì?
1.1.1. Khái niệm mạng LAN
LAN (Local Area Network) là mạng máy tính cục bộ là một hệ thống
mạng dùng để kết nối các máy tính trong một phạm vi nhỏ (nhà ở, phòng làm
việc, trường học). Các máy tính trong mạng LAN có thể chia sẻ tài nguyên với
nhau, mà điển hình là chia sẻ tập tin, máy in, máy quét và một số thiết bị khác.
Một mạng LAN tối thiểu cần có máy chủ thường là máy có bộ xử lý tốc độ cao,
bộ nhớ (RAM) và đĩa cứng (HD) lớn; các thiết bị ghép nối như: Repeater, Hub,
Switch, Bridge; máy tính con, card mạng và dây cáp để kết nối các máy tính lại
với nhau. Trong thời đại của hệ điều hành MS-DOS, máy chủ mạng LAN thường
sử dụng phần mềm Novell NetWare, tuy nhiên điều này đã trở nên lỗi thời hơn
sau khi Windows xuất hiện. Ngày nay hầu hết máy chủ sử dụng hệ điều hành
Windows và tốc độ mạng LAN có thể lên đến 10Mbps, 100 Mbps hay thậm chí
là 1 Gbps.
1.1.2. Lịch sử ra đời
Vào thời gian trước khi những máy tính cá nhân xuất hiện, một máy tính
trung tâm chiếm trọn 1 căn phòng, người dùng truy nhập những thiết bị đầu cuối
máy thông qua cáp truyền dữ liệu tốc độ thấp. Những Mạng SNA của IBM (cấu
trúc mạng hệ thống) được tập trung vào những thiết bị đầu cuối liên kết hay
những máy tính lớn khác tại những chỗ từ xa qua những đường dây cáp thuê bao.
Từ đây nó là những mạng được kết nối trên diện rộng. Những mạng cục bộ LAN
(Local Network Area) đầu tiên đã được tạo ra vào cuối những năm 1970 và
thường tạo ra những mối liên kết cao tốc giữa vài máy tính trung tâm lớn tại một
chỗ. Nhiều hệ thống cạnh tranh được tạo ra vào thời gian này Ethernet và
ARCNET được biết đến nhiều nhất.
1.1.3. Hoạt động của mạng LAN
Việc kết nối các máy tính với một dây cáp được dùng như một phương
tiện truyền tin chung cho tất cả các máy tính. Công việc kết nối vật lý vào mạng
được thực hiện bằng cách cắm một card giao tiếp mạng NIC (Network Interface
Card) vào trong máy tính và nối nó với cáp mạng. Sau khi kết nối vật lý đã hoàn
7
tất, quản lý việc truyền tin giữa các trạm trên mạng tuỳ thuộc vào phần mềm
mạng. Khi một máy muốn gửi một thông điệp cho máy khác thì nó sẽ dùng một
phần mềm trong máy nào đó đặt thông điệp vào một gói tin (packet) bao gồm dữ
liệu thông điệp được bao bọc giữa tín hiệu đầu và tín hiệu cuối và dùng phần
mềm mạng để gửi gói tin đó đến máy đích. NIC sẽ chuyển gói tín hiệu vào mạng
LAN, gói tín hiệu được truyền đi như một dòng các bit dữ liệu. Khi nó chạy
trong cáp chung mọi máy đều nhận được tín hiệu này. NIC ở mỗi trạm sẽ kiểm
tra địa chỉ đích trong tín hiệu đầu của gói để xác định đúng địa chỉ đến, khi gói
tín hiệu đi tới máy có địa chỉ cần đến, đích ở máy đó sẽ sao gói tín hiệu rồi lấy dữ
liệu ra khỏi gói tin và đưa vào máy tính.
1.2.
Các loại topology mạng LAN
Topology của mạng là cấu trúc hình học không gian mà thực chất là cách
bố trí phần tử của mạng cũng như cách nối giữa chúng với nhau. Thông thường
mạng có 3 dạng cấu trúc là: Mạng dạng hình sao (Star Topology), mạng dạng
vòng (Ring Topology) và mạng dạng tuyến (Bus Topology). Ngoài 3 dạng cấu
hình kể trên còn có một số dạng khác biến tướng từ 3 dạng này như mạng phân
cấp, mạng full mesh, mạng partial mesh…
1.2.1. Mạng hình sao (Star topology)
Mạng dạng hình sao bao gồm một trung tâm và các nút thông tin. Các nút
thông tin là các trạm đầu cuối, các máy tính và các thiết bị khác của mạng. Trung
tâm của mạng điều phối mọi hoạt động trong mạng với các chức năng cơ bản là:
Xác định cặp địa chỉ gửi và nhận được phép chiếm tuyến thông tin và liên lạc
với nhau
Cho phép theo dõi và sử lý sai trong quá trình trao đổi thông tin
Thông báo các trạng thái của mạng
Ưu điểm:
Hoạt động theo nguyên lý nối song song nên nếu có một thiết bị nào đó ở
một nút thông tin bị hỏng thì mạng vẫn hoạt động bình thường
Cấu trúc mạng đơn giản và các thuật toán điều khiển ổn định
Mạng có thể mở rộng hoặc thu hẹp tuỳ theo yêu cầu của người sử dụng
Nhược điểm:
8
Khả nǎng mở rộng mạng hoàn toàn phụ thuộc vào khả nǎng của trung tâm.
Khi trung tâm có sự cố thì toàn mạng ngừng hoạt động
Mạng yêu cầu nối độc lập riêng rẽ từng thiết bị ở các nút thông tin đến trung
tâm. Khoảng cách từ máy đến trung tâm rất hạn chế (100m).
Nhìn chung, mạng dạng hình sao cho phép nối các máy tính vào một bộ
tập trung (HUB hay Switch) bằng cáp xoắn, giải pháp này cho phép nối trực tiếp
máy tính với HUB/Switch không cần thông qua trục BUS, tránh được các yếu tố
gây ngưng trệ mạng. Gần đây, cùng với sự phát triển switching hub, mô hình này
ngày càng trở nên phổ biến và chiếm đa số các mạng mới lắp.
1.2.2. Mạng hình tuyến (Bus topology)
Theo cách bố trí hành lang các đường thì máy chủ (host) cũng như tất cả
các máy tính khác (workstation) hoặc các nút (node) đều được nối về với nhau
trên một trục đường dây cáp chính để chuyển tải tín hiệu. Tất cả các nút đều sử
dụng chung đường dây cáp chính này. Phía hai đầu dây cáp được bịt bởi một
thiết bị gọi là terminator. Các tín hiệu và gói dữ liệu (packet) khi di chuyển lên
hoặc xuống trong dây cáp đều mang theo điạ chỉ của nơi đến.
Ưu điểm:
Dùng dây cáp ít, dễ lắp đặt
Không giới hạn độ dài cáp
Nhược điểm:
Sẽ gây ra nghẽn mạng khi chuyển lưu lượng dữ liệu lớn
Khi một trạm trên đường truyền bị hỏng thì các trạm khác cũng phải ngừng
hoạt động
1.2.3. Mạng dạng vòng (Ring topology)
Mạng dạng này, bố trí theo dạng xoay vòng, đường dây cáp được thiết kế
làm thành một vòng khép kín, tín hiệu chạy quanh theo một chiều nào đó. Các
nút truyền tín hiệu cho nhau mỗi thời điểm chỉ được một nút mà thôi. Dữ liệu
truyền đi phải có kèm theo địa chỉ cụ thể của mỗi trạm tiếp nhận.
Ưu điểm: Mạng dạng vòng có thuận lợi là có thể nới rộng ra xa, tổng
đường dây cần thiết ít hơn so với hai kiểu trên.
9
Nhược điểm: Đường dây phải khép kín, nếu bị ngắt ở một nơi nào đó thì
toàn bộ hệ thống cũng bị ngừng.
1.2.4. Mạng dạng kết hợp hình sao và tuyến (Star/Bus topology)
Cấu hình mạng dạng này có bộ phận tách tín hiệu (spitter) giữ vai trò thiết
bị trung tâm, hệ thống dây cáp mạng có thể chọn hoặc Ring Topology hoặc Bus
Topology.
Ưu điểm của cấu hình này là mạng có thể gồm nhiều nhóm làm việc ở
cách xa nhau, ARCNET là mạng dạng kết hợp Star/Bus Topology. Cấu hình
dạng này đưa lại sự uyển chuyển trong việc bố trí đường dây tương thích dễ dàng
đối với bất cứ toà nhà nào
1.2.5. Mạng dạng kết hợp hình sao và vòng (Star/Ring topology)
Cấu hình dạng kết hợp Star/Ring Topology có một "thẻ bài" liên lạc
(Token) được chuyển vòng quanh một cái HUB trung tâm. Mỗi trạm làm việc
(workstation) được nối với HUB - là cầu nối giữa các trạm làm việc và để tǎng
khoảng cách cần thiết.
1.2.6. Mạng Full Mesh
Topo này cho phép các thiết bị kết nối trực tiếp với các thiết bị khác mà
không cần phải qua bộ tập trung như Hub hay Switch
Ưu điểm: Các thiết bị hoạt động độc lập, khi thiết bị này hỏng vẫn không
ảnh hưởng đến thiết bị khác
Nhược điểm: Tiêu tốn tài nguyên về memory, về xử lý của các máy trạm
và quản lý phức tạp
1.2.7. Mạng phân cấp (Hierarchical)
Mô hình này cho phép quản lý thiết bị tập chung, các máy trạm được đặt
theo từng lớp tùy thuộc vào chức năng của từng lớp, ưu điểm rõ ràng nhất của
topo dạng này là khả năng quản lý, bảo mật hệ thống,nhưng nhược điểm của nó
là việc phải dùng nhiều bộ tập trung dẫn đến chi phí nhiều.
1.3.
Các giao thức (Protocol)
Một tập các tiêu chuẩn để trao đổi thông tin giữa hai hệ thống máy tính
hoặc hai thiết bị máy tính với nhau được gọi là giao thức (Protocol). Các giao
thức (Protocol) còn được gọi là nghi thức hoặc định ước của mạng máy tính.
10
Để đánh giá khả nǎng của một mạng được phân chia bởi các trạm như thế
nào. Hệ số này được quyết định chủ yếu bởi hiệu quả sử dụng môi trường truy
xuất (medium access) của giao thức, môi trường này ở dạng tuyến tính hoặc
vòng.... Một trong các giao thức được sử dụng nhiều trong các LAN là:
1.3.1. Giao thức CSMA/CD
Giao thức CSMA/CD (Carries Sense Multiple Access/Collision Detect)
các trạm hoàn toàn có quyền truyền dữ liệu trên mạng với số lượng nhiều hay ít
và một cách ngẫu nhiên hoặc bất kỳ khi nào có nhu cầu truyền dữ liệu ở mỗi
trạm. Mối trạm sẽ kiểm tra tuyến và chỉ khi nào tuyến không bận mới bắt đầu
truyền các gói dữ liệu. CSMA/CD có nguồn gốc từ hệ thống radio đã phát triển ở
trường đại học Hawai vào khoảng nǎm 1970, gọi là ALOHANET.
Khi nhiều trạm đồng thời truyền dữ liệu và tạo ra sự xung đột (collision)
làm cho dữ liệu thu được ở các trạm bị sai lệch. Để tránh sự tranh chấp này mỗi
trạm đều phải phát hiện được sự xung đột dữ liệu. Trạm phát phải kiểm
tra Bus trong khi gửi dữ liệu để xác nhận rằng tín hiệu trên Bus thật sự đúng, như
vậy mới có thể phát hiện được bất kỳ xung đột nào có thể xẩy ra. Khi phát hiện
có một sự xung đột, lập tức trạm phát sẽ gửi đi một mẫu làm nhiễu (Jamming) đã
định trước để báo cho tất cả các trạm là có sự xung đột xẩy ra và chúng sẽ bỏ qua
gói dữ liệu này. Sau đó trạm phát sẽ trì hoãn một khoảng thời gian ngẫu nhiên
trước khi phát lại dữ liệu. Ưu điểm của CSMA/CD là đơn giản, mềm dẻo, hiệu
quả truyền thông tin cao khi lưu lượng thông tin của mạng thấp và có tính đột
biến. Việc thêm vào hay dịch chuyển các trạm trên tuyến không ảnh hưởng đến
các thủ tục của giao thức. Điểm bất lợi của CSMA/CD là hiệu suất của tuyến
giảm xuống nhanh chóng khi phải tải quá nhiều thông tin.
1.3.2. Token passing protocol
Đây là giao thức thông dụng sau CSMA/CD được dùng trong các LAN có
cấu trúc vòng (Ring). Trong phương pháp này khối điều khiển mạng hoặc token
được truyền lần lượt từ trạm này đến trạm khác. Token là một khối dữ liệu đặc
biệt. Khi một trạm đang chiếm token thì nó có thể phát đi một gói dữ liệu. Khi đã
phát hết gói dữ liệu cho phép hoặc không còn gì để phát nữa thì trạm đó lại
gửi token sang trạm kế tiếp có mức ưu tiên cao nhất.
11
Trong token có chứa một địa chỉ đích và được luân chuyển tới các trạm
theo một trật tự đã định trước. Đối với cấu hình mạng dạng xoay vòng thì trật tự
của sự truyền token tương đương với trật tự vật lý của các trạm xung quanh
vòng.
Giao thức truyền token có trật tự hơn nhưng cũng phức tạp hơn
CSMA/CD, có ưu điểm là vẫn hoạt động tốt khi lưu lượng truyền thông lớn.
Giao thức truyền token tuân thủ đúng sự phân chia của môi trường mạng, hoạt
động dựa vào sự xoay vòng tới các trạm. Việc truyền token sẽ không thực hiện
được nếu việc xoay vòng bị đứt đoạn. Giao thức phải chứa các thủ tục kiểm
tra token để cho phép khôi phục lại token bị mất hoặc thay thế trạng thái
của token và cung cấp các phương tiện để sửa đổi logic (thêm vào, bớt đi hoặc
định lại trật tự của các trạm).
1.4.
Mạng WLAN
1.4.1. Giới thiệu về mạng WLAN
Với sự phát triển nhanh chóng của khoa học, công nghệ thông tin và viễn
thông, ngày nay các thiết bị di động công nghệ cao như máy tính xách tay
laptop, máy tính bỏ túi palm top, điện thoại di động, máy nhắn tin… không còn
xa lạ và ngày càng được sử dụng rộng rãi trong những năm gần đây. Nhu cầu
truyền thông một cách dễ dàng và tự phát giữa các thiết bị này dẫn đến sự phát
triển của một lớp mạng di động không dây mới, đó là mạng WLAN. WLAN
cho phép duy trì các kết nối mạng không dây, người sử dụng duy trì các kết
nối mạng trong phạm vi phủ sóng của các điểm kết nối trung tâm. Phương
thức kết nối mới này thực sự đã mở ra cho người sử dụng một sự lựa chọn
tối ưu, bổ xung cho các phương thức kết nối dùng dây.
WLAN là mô hình mạng được sử dụng cho một khu vực có phạm vi
nhỏ như một tòa nhà, khuôn viên của một công ty, trường học. Nó là loại mạng
linh hoạt có khả năng cơ động cao thay thế cho mạng cáp đồng truyền thống và
bắt đầu phát triển vào giữa thập kỉ 80 của thế kỷ XX bởi tổ chức FCC
(Federal Communications Commission). WLAN sử dụng sóng vô tuyến hay
hồng ngoại để truyền và nhận dữ liệu thông qua không gian, xuyên qua tường
trần và các cấu trúc khác mà không cần cáp. WLAN cung cấp tất cả các chức
12
năng và các ưu điểm của một mạng LAN truyền thống như Ethernet hay Token
Ring nhưng lại không bị giới hạn bởi cáp. Ngoài ra WLAN còn có khả năng kết
hợp với các mạng có sẵn, WLAN kết hợp rất tốt với LAN tạo thành một mạng
năng động và ổn định hơn. WLAN là mạng rất phù hợp cho việc phát triển điều
khiển thiết bị từ xa, cung cấp mạng dịch vụ ở nơi công cộng, khách sạn, văn
phòng. Sự phát triển ngày càng tăng nhanh của các máy tính xách tay nhỏ
gọn hơn, hiện đại hơn và rẻ hơn đã thúc đẩy sự tăng trưởng rất lớn trong
công nghiệp WLAN những năm gần đây.
WLAN sử dụng băng tần ISM (băng tần phục vụ công nghiệp, khoa
học, y tế: 2.4GHz và 5GHz ), vì thế nó không chịu sự quản lý của chính phủ
cũng như không cần cấp giấy phép sử dụng. Sử dụng WLAN sẽ giúp các nước
đang phát triển nhanh chóng tiếp cận với các công nghệ hiện đại, nhanh chóng
xây dựng hạ tầng viễn thông một cách thuận lợi và ít tốn kém.
Trên thị trường hiện nay có rất nhiều sản phẩm phục vụ cho WLAN
theo các chuẩn khác nhau như: IrDA (Hồng ngoại), OpenAir, BlueTooth,
HiperLAN 2, IEEE 802.11b, IEEE 802.11a, 802.11g (Wi-Fi), …trong đó mỗi
chuẩn có một đặc điểm khác nhau. IrDA, OpenAir, BlueTooth là các mạng liên
kết trong phạm vi tương đối nhỏ: IrDA (1m), OpenAir(10m), Bluetooth (10m)
và mô hình mạng là dạng peer-to-peer tức là kết nối trực tiếp không thông
qua bất kỳ một thiết bị trung gian nào. Ngược lại, HiperLAN và IEEE 802.11
là hai mạng phục vụ cho kết nối phạm vi rộng hơn khoảng 100m, và cho phép
kết nối 2 dạng: kết nối trực tiếp, kết nối dạng mạng cơ sở (sử dụng Access
Point) . Với khả năng tích hợp với các mạng thông dụng như (LAN, WAN),
HiperLAN và Wi-Fi được xem là hai mạng có thể thay thế hoặc dùng để
mở rộng mạng LAN.
Ứng dụng lớn nhất của WLAN là việc áp dụng WLAN như một giải pháp
tối ưu cho việc sử dụng Internet. Mạng WLAN được coi như một thế hệ mạng
truyền số liệu mới cho tốc độ cao được hình thành từ hoạt động tương hỗ của
cả mạng hữu tuyến hiện có và mạng vô tuyến. Mục tiêu của việc triển khai
mạng WLAN cho việc sử dụng internet là để cung cấp các dịch vụ số liệu vô
tuyến tốc độ cao.
13
1.4.2. Quá trình phát triển của WLAN
Mạng WLAN, với đặc tính “không dây” nó rất linh động trong điều kiện
người dùng di động hay trong các cấu hình tạm thời. Các mạng LAN không
dây đang ngày càng được ưa chuộng và phát triển trên thế giới. Với các ưu
điểm nổi trội như: dễ dàng cải thiện năng suất, cài đạt nhanh, đơn giản và linh
hoạt, dễ cấu hình không đòi hỏi cơ sở hạ tầng cồng kềnh như các mạng LAN
truyền thống, đặc biệt là hiệu quả trong các vùng khó thực hiện bằng dây và
đòi hỏi có thẩm mỹ cao…WLAN phát triển rất nhanh chóng và đang dần
thay thế cho các mạng có dây trong nhiều lĩnh vực khác nhau.
Quá trình phát triển của các mạng WLAN được sơ lược qua:
Công nghệ WLAN lần đầu tiên xuất hiện vào cuối năm 1990, khi những
nhà sản xuất giới thiệu những sản phẩm hoạt động trong băng tần 900Mhz.
Những giải pháp này (không được thống nhất giữa các nhà sản xuất) cung
cấp tốc độ truyền dữ liệu 1Mbps, thấp hơn nhiều so với tốc độ 10Mbps của
hầu hết các mạng sử dụng cáp hiện thời.
Năm 1992, những nhà sản xuất bắt đầu bán những sản phẩm WLAN sử
dụng băng tần 2.4Ghz. Mặc dầu những sản phẩm này đã có tốc độ truyền dữ
liệu cao hơn nhưng chúng vẫn là những giải pháp riêng của mỗi nhà sản xuất
không được công bố rộng rãi. Sự cần thiết cho việc hoạt động thống nhất giữa
các thiết bị ở những dãy tần số khác nhau dẫn đến một số tổ chức bắt đầu phát
triển ra những chuẩn mạng không dây chung.
Năm 1997, Institute of Electrical and Electronics Engineers (IEEE) đã
phê chuẩn sự ra đời của chuẩn 802.11, và cũng được biết với tên gọi WIFI
(Wireless Fidelity) cho các mạng WLAN. Chuẩn 802.11 hỗ trợ ba phương pháp
truyền tín hiệu, trong đó có bao gồm phương pháp truyền tín hiệu vô tuyến ở tần
số 2.4Ghz.
Năm 1999, IEEE thông qua hai sự bổ sung cho chuẩn 802.11 là các
chuẩn 802.11a và 802.11b (định nghĩa ra những phương pháp truyền tín
hiệu). Và những thiết bị WLAN dựa trên chuẩn 802.11b đã nhanh chóng trở
thành công nghệ không dây vượt trội. Các thiết bị WLAN 802.11b truyền phát
ở tần số 2.4Ghz, cung cấp tốc độ truyền dữ liệu có thể lên tới 11Mbps. IEEE
14
802.11b được tạo ra nhằm cung cấp những đặc điểm về tính hiệu dụng,
thông lượng (throughput) và bảo mật để so sánh với mạng có dây thông
thường.
Năm 2003, IEEE công bố thêm một sự cải tiến là chuẩn 802.11g mà
có thể truyền nhận thông tin ở cả hai dãy tần 2.4Ghz và 5Ghz và có thể nâng
tốc độ truyền dữ liệu lên đến 54Mbps. Thêm vào đó, những sản phẩm áp
dụng 802.11g cũng có thể tương thich ngược với các thiết bị chuẩn 802.11b.
1.4.3. Phân loại mạng WLAN
Các mạng WLAN có thể được phân loại thành mạng WLAN vô tuyến và
WLAN hồng ngoại. Các mạng WLAN vô tuyến có thể dựa trên quá trình truyền
dẫn băng hẹp hay truyền dẫn trải phổ trong khi đó đối với các WLAN hồng
ngoại có thể là khuyếch tán hay được định hướng. Dưới đây đề cập cơ bản các
mạng WLAN vô tuyến và hồng ngoại, có đánh giá điểm mạnh cũng như điểm
yếu của mỗi loại.
a.
Các WLAN vô tuyến
Đa số các hệ thống mạng WLAN sử dụng công nghệ trải phổ. Khái niệm
về trải phổ đảm bảo quá trình truyền thông tin cậy và an toàn. Trải phổ đề cập
đến các sơ đồ tín hiệu dựa trên một số dạng mã hoá (độc lập với thông tin được
phát đi) và chúng sử dụng băng thông lớn hơn nhiều so với yêu cầu để truyền
tín hiệu. Băng thông lớn hơn có nghĩa là nhiễu và các hiệu ứng fading đa
đường chỉ ảnh hưởng một phần đến quá trình truyền dẫn trải phổ. Vì vậy mà
năng lượng tín hiệu thu hầu như không đổi theo thời gian. Điều này cho phép
tách sóng dễ dàng khi máy thu được đồng bộ với các tham số của tín hiệu
trải phổ. Các tín hiệu trải phổ có khả năng hạn chế nhiễu và gây khó khăn cho
quá trình phát hiện và chặn tín hiệu trên đường truyền.
b.
Các mạng WLAN hồng ngoại
Mạng WLAN đầu tiên được phát triển sử dụng truyền dẫn hồng ngoại
cách đây khoảng chừng 20 năm. Các hệ thống này khai thác các điểm thuận lợi
do sử dụng vô tuyến hồng ngoại như là một môi trường cho truyền dẫn vô
tuyến. Chẳng hạn, tia hồng ngoại có băng thông không cấp phép rất dồi dào, nó
loại bỏ được nhiễu vô tuyến, các thiết bị hồng ngoại nhỏ và tiêu thụ ít công suất.
15
Không giống như các sóng vô tuyến, các tần số hồng ngoại là quá cao
để thực hiện điều chế giống như đối với các tần số vô tuyến. Vì vậy, các đường
truyền hồng ngoại thường dựa trên cơ sở điều chế xung bật- tắt và tách sóng
tín hiệu quang. Quá trình truyền dẫn xung bật- tắt được thực hiện bằng cách
biến đổi cường độ (biên độ) dòng điện trong máy phát hồng ngoại như là laser
diode hay diode phát quang chẳng hạn. Theo cách này, dữ liệu được mang đi
bởi cường độ (chứ không phải là pha hay tần số) của sóng ánh sáng. Các hệ
thống hồng ngoại sử dụng hai thành phần vật lý khác nhau (các bộ phát và
các bộ tách) để phát và thu tín hiệu sóng quang. Điều này trái ngược với các
hệ thống vô tuyến vì ở đó sử dụng một anten chung để phát và thu tín hiệu.
Các mạng WLAN hồng ngoại khác với các mạng WLAN vô tuyến ở
nhiều điểm. Nói chung, các hệ thống vô tuyến luôn tạo ra vùng phủ rộng hơn.
Mặt khác, tín hiệu vô tuyến luôn có độ rộng băng thông hẹp hơn các tín hiệu
quang mặc dù các hệ thống thương mại vẫn chưa khai thác được hết băng thông
tín hiệu quang.
1.4.4. Ứng dụng của hệ thống mạng WLAN
Lúc đầu WLAN chỉ được sử dụng bởi các tổ chức, công ty lớn nhưng
ngày nay, thì WLAN đã có giá cả chấp nhận được mà ta có thể sử dụng. Sau
đây là một số ứng dụng chung và phù hợp của WLAN.
a.
Vai trò truy cập (Access Role)
WLAN ngày nay hầu như được triển khai ở lớp access, nghĩa là chúng
được sử dụng ở một điểm truy cập vào mạng có dây thông thường. Wireless
là một phương pháp đơn giản để người dùng có thể truy cập vào mạng. Các
WLAN là các mạng ở lớp data - link như tất cả những phương pháp truy cập
khác. Vì tốc độ thấp nên WLAN ít được triển khai ở core và distribution.
Các WLAN cung cấp giải pháp cho một vấn đề khá khó đó là: khả năng di
động. Giải pháp sử dụng cellular có tốc độ thấp và mắc. Trong khi WLAN
thì có cùng sự linh hoạt nhưng lại rẻ hơn. Các WLAN nhanh, rẻ và có thể xác
định ở mọi nơi.
b.
Mở rộng mạng (Network Extension)
16
Các mạng không dây có thể được xem như một phần mở rộng của một
mạng có dây. Khi muốn mở rộng một mạng hiện tại, nếu cài đặt thêm đường
cáp thì sẽ rất tốn kém. Hay trong những toà nhà lớn, khoảng cách có thể
vượt quá khoảng cách của CAT5 cho mạng Ethernet. Có thể cài đặt cáp
quang nhưng như thế sẽ yêu cầu nhiều thời gian và tiền bạc hơn, cũng như
phải nâng cấp switch hiện tại để hỗ trợ cáp quang.
Các WLAN có thể được thực thi một cách dễ dàng. Vì ít phải cài đặt cáp
trong mạng không dây.
c.
Kết nối các tòa nhà
Trong môi trường mạng campus hay trong môi trường có 2 toà nhà sát
nhau, có thể có trường hợp những người dùng từ toà nhà này muốn truy cập
vào tài nguyên của toà nhà khác. Trong quá khứ thì trường hợp này được
giải quyết bằng cách đi một đường cáp ngầm giữa 2 toà nhà hay thuê một
đường leases- line từ công ty điện thoại. Sử dụng kỹ thuật WLAN, thiết bị có
thể được cài đặt một cách dễ dàng và nhanh chóng cho phép 2 hay nhiều toà
nhà chung một mạng. Với các loại anten không dây phù hợp, thì bất kỳ toà
nhà nào cũng có thể kết nối với nhau vào cùng một mạng trong một khoảng
cách cho phép.
Có 2 loại kết nối: P2P và P2MP. Các liên kết P2P là các kết nối không
dây giữa 2 toà nhà. Loại kết nối này sử dụng các loại anten trực tiếp hay bán
trực tiếp ở mỗi đầu liên kết.
d.
Văn phòng nhỏ - Văn phòng lớn
Trong một số doanh nghiệp chỉ có một vài người dùng và họ muốn trao
đổi thông tin giữa các người dùng và chỉ có một đường ra Internet. Với những
ứng dụng này (Small office-home office-SOHO), thì một đường wireless
LAN là rất đơn giản và hiệu quả. Các thiết bị wireless SOHO thì rất có ích
khi những người dùng muốn chia sẻ một kết nối Internet.
e.
Văn phòng di động
Các văn phòng di động cho phép người dùng có thể di chuyển đến một vị
trí khác một cách dễ dàng. Vì tình trạng quá tải của các lớp học, nhiều trường
hiện nay đang sử dụng lớp học di động. Để có thể mở rộng mạng máy tính ra
17
những toà nhà tạm thời, nếu sử dụng cáp thì rất tốn chi phí. Các kết nối WLAN
từ toà nhà chính ra các lớp học di động cho phép các kết nối một cách linh hoạt
với chi phí có thể chấp nhận được.
1.4.5. Ưu và nhược điểm mạng WLAN
a.
Ưu điểm
Mạng không dây không dùng cáp cho các kết nối, thay vào đó, chúng
sử dụng sóng Radio. Ưu thế của mạng không dây là khả năng di động và sự tự
do, người dùng không bị hạn chế về không gian và vị trí kết nối. Những ưu
điểm của mạng không dây bao gồm:
Khả năng di động và sự tự do- cho phép kết nối bất kì đâu trong khu vực
triển khai mạng. Với sự gia tăng người sử dụng máy tính xách tay là một điều
rất thuận lợi.
Không bị hạn chế về không gian và vị trí kết nối: Người dùng có thể duy trì
kết nối mạng khi họ di chuyển từ nơi này đến nơi khác.
Dễ lắp đặt và triển khai. Đáp ứng tức thời khi gia tăng số lượng người dùng.
Tiết kiệm thời gian lắp đặt dây cáp.
Không làm thay đổi thẩm mỹ, kiến trúc tòa nhà.
Giãm chi phí bảo trì, bảo dưỡng hệ thống.
Với những công ty mà vị trí không tốt cho việc thi công cáp như tòa nhà
cũ, không có khoảng không gian để thi công cáp hoặc thuê chổ để đặt văn
phòng.
Hiện nay, công nghệ mạng không dây đang dần dần thay thế các hệ
thống có dây vì tính linh động và nâng cấp cao.
b.
Nhược điểm
Nhiễu: Nhược điểm của mạng không dây có thể kể đến nhất là khả năng
nhiễu sóng radio do thời tiết, do các thiết bị không dây khác, hay các vật chắn
(như các nhà cao tầng, địa hình đồi núi…)
Bảo mật: Đây là vấn đề rất đáng quan tâm khi sử dụng mạng không
dây. Việc vô tình truyền dữ liệu ra khỏi mạng của công ty mà không thông
qua lớp vật lý điều khiển khiến người khác có thể nhận tín hiệu và truy cập
mạng trái phép. Tuy nhiên WLAN có thể dùng mã truy cập mạng để ngăn cản
18
truy cập, việc sử dụng mã tuỳ thuộc vào mức độ bảo mật mà người dùng yêu
cầu. Ngoài ra người ta có thể sử dụng việc mã hóa dữ liệu cho vấn đề bảo mật.
Phạm vi: Một mạng chuẩn 802.11g với các thiết bị chuẩn cũng chỉ hoạt
động tốt trong phạm vi vài chục met. Nó chỉ phù hợp cho không gian khoảng
cách nhỏ. Nếu muốn sử dụng phải sử dụng thêm thiết bị: Repeater hay AP. Dẫn
đến chi phí gia tăng
19
CHƯƠNG 2: BẢO MẬT MẠNG LAN
2.1.
Các mối đe dọa
Trong xã hội, cái thiện và cái ác luôn song song tồn tại như hai mặt không
tách rời, chúng luôn phủ định nhau. Có biết bao nhiêu người muốn hướng tới cái
chân thiện, cái tốt đẹp, thì cũng có không ít kẻ vì mục đích này hay mục đích
khác lại làm cho cái ác nảy sinh, lấn lướt cái thiện. Sự giằng co giữa cái thiện
và cái ác ấy luôn là vấn đề bức xúc của xã hội, cần phải loại trừ cái ác, thế
nhưng cái ác lại luôn nảy sinh theo thời gian. Mạng máy tính cũng vậy, có
những người phải mất biết bao nhiêu công sức nghiên cứu ra các biện pháp
bảo vệ cho an ninh của tổ chức mình, thì cũng lại có kẻ tìm mọi cách phá vỡ
lớp bảo vệ đó với nhiều ý đồ khác nhau.
Mục đích của người lương thiện là luôn muốn tạo ra các khả năng bảo
vệ an ninh cho tổ chức rất rõ ràng. Ngược lại, ý đồ của kẻ xấu lại ở nhiều
góc độ, cung bậc khác nhau. Có kẻ muốn phá vỡ lớp vỏ an ninh để chứng tỏ khả
năng của mình, để thoả mãn thói hư ích kỷ. Loại người này thường làm hại
người khác bằng cách phá hoại các tài nguyên trên mạng, xâm phạm quyền
riêng tư hoặc bôi nhọ danh dự của họ. Nguy hiểm hơn, có những kẻ lại muốn
đoạt không các nguồn lợi của người khác như việc lấy cắp các thông tin mật của
các công ty, đột nhập vào ngân hàng để chuyển trộm tiền... Bởi trên thực tế,
hầu hết các tổ chức công ty tham gia vào mạng máy tính toàn cầu đều có một
lượng lớn các thông tin kết nối trực tuyến. Trong lượng lớn các thông tin ấy,
có các thông tin bí mật như: các bí mật thương mại, các kế hoạch phát triển
sản phẩm, chiến lược maketing, phân tích tài chính... hay các thông tin về nhân
sự, bí mật riêng tư... Các thông tin này hết sức quan trọng, việc để lộ ra các
thông tin cho các đối thủ cạnh tranh sẽ dẫn đến một hậu quả hết sức nghiêm
trọng.
Tuy nhiên, không phải bất cứ khi nào muốn những kẻ xấu cũng có thể
thực hiện được mục đích của mình. Chúng cần phải có thời gian, những sơ hở,
yếu kém của chính những hệ thống bảo vệ an ninh mạng. Và để thực hiện được
điều đó, chúng cũng phải có trí tuệ thông minh cộng với cả một chuỗi dài
kinh nghiệm. Còn để xây dựng được các biện pháp đảm bảo an ninh, đòi hỏi ở
20
- Xem thêm -
.PDF 
52 
2416 
82 
