Tải bản đầy đủ (.pdf) (75 trang)

xây dựng phương pháp thu thập và phân tích số liệu lỗi cấu hình mạng máy tính

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.03 MB, 75 trang )

0

ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

NGUYỄN KHÁNH TÙ NG

XÂY DỰNG PHƯƠNG PHÁP THU THẬP VÀ PHÂN TÍ CH
SỐ LIỆU LỖI CẤU HÌ NH MẠNG MÁY TÍ NH
Ngành: Hê ̣ thố ng thông tin
Chuyên ngành: Hê ̣ thố ng thông tin
Mã số : 60480104

LUẬN VĂN THẠC SĨ HỆ THỐNG THÔNG TIN

Hà Nô ̣i - 2016


0

LỜI CAM ĐOAN
Tôi cam đoan luâ ̣n văn này không sao chép của ai. Nế u sao chép luâ ̣n văn của người
khác, tôi xin chiụ hoàn toàn mo ̣i trách nhiê ̣m.
Người cam đoan

Nguyễn Khánh Tùng


1

MỤC LỤC



LỜI CAM ĐOAN .................................................................................................................... 0
MỤC LỤC ................................................................................................................................ 1
DANH MỤC CÁC BẢNG....................................................................................................... 3
DANH MỤC HÌ NH VẼ VÀ ĐỒ THI ̣.................................................................................... 4

CHƯƠNG 1. TỔNG QUAN VỀ AN NINH MẠNG ............................................................. 5

1.1 Tổ ng quan về an ninh ma ̣ng .............................................................................................. 5
1.1.1 Sự phát triể n của liñ h vực an ninh ma ̣ng .................................................................... 5
1.1.2 Mô ̣t số tổ chức an ninh ma ̣ng ..................................................................................... 8
1.1.3 Các liñ h vực về an ninh ma ̣ng .................................................................................... 9
1.1.4 Chính sách an ninh ma ̣ng ......................................................................................... 11
1.1.5 Khái niê ̣m lỗi cấ u hình an ninh ................................................................................ 11
1.1.6 Khái niê ̣m về đường cơ sở an ninh (Security Baseline) ........................................... 12
1.1.7 Khái niê ̣m gia cố thiế t bi ̣(device hardening) ........................................................... 14
1.2 Lý do lựa cho ̣n đề tài ...................................................................................................... 14
1.2.1 Phân tić h mô ̣t vài chỉ số về ATTT ta ̣i Viê ̣t Nam năm 2015 ..................................... 14
1.2.2 Tầ m quan tro ̣ng của viê ̣c quản lý cấ u hiǹ h ma ̣ng ..................................................... 16
1.2.3 Các hình thức tấn công mạng khai thác lỗi cấ u hình. .............................................. 17
1.2.4 Hâ ̣u quả của những vu ̣ tấ n công ma ̣ng do lỗi cấ u hình. ........................................... 19
1.3 Phương pháp nghiên cứu và kế t quả đa ̣t đươ ̣c ................................................................ 21
1.3.1 Phương pháp nghiên cứu .......................................................................................... 21
1.3.2 Kế t quả đa ̣t đươ ̣c của luâ ̣n văn ................................................................................. 23
CHƯƠNG 2. KHẢO SÁT MỘT MẠNG MÁY TÍ NH ĐIỂN HÌNH ................................ 24
2.1 Mô hiǹ h hê ̣ thố ng ma ̣ng doanh nghiê ̣p ........................................................................... 24
2.2 Những lỗi quản tri ̣viên gă ̣p phải khi cấ u hình hê ̣ thố ng ma ̣ng ....................................... 26
2.2.1 Các lỗi liên quan đế n cấ u hình quản lý thiế t bi ........................................................
26
̣

2.2.2 Các lỗi cấ u hiǹ h trên thiế t bi ̣tầ ng truy nhâ ̣p ............................................................ 32
2.2.3 Các lỗi cấ u hình trên thiế t bi ̣tầ ng phân phố i và tầ ng lõi .......................................... 39
CHƯƠNG 3. PHƯƠNG PHÁP THU THẬP CẤU HÌNH ................................................. 42
3.1 Yêu cầ u của viê ̣c thu thâ ̣p số liê ̣u cấ u hiǹ h ..................................................................... 42
3.2 Chuẩ n bi ̣về con người, quy trình, phầ n cứng, phầ n mề m, dữ liê ̣u ................................. 42
3.3 Cách copy cấ u hình về máy chủ ..................................................................................... 46
3.3.1 Quy đinh
̣ về đă ̣t tên file cấ u hiǹ h. ............................................................................ 47
3.3.2 Phương pháp lấ y mẫu nế u số lươ ̣ng thiế t bi ̣lớn....................................................... 47
3.3.3 Kiể m tra các file cấ u hình thu thâ ̣p đươ ̣c ................................................................. 47
CHƯƠNG 4. PHƯƠNG PHÁP ĐÁNH GIÁ CẤU HÌNH AN NINH ............................... 49
4.1 Phương pháp chung để đánh giá cấ u hiǹ h an ninh ......................................................... 49
4.2 Tiêu chuẩ n đo lường an ninh TCVN 10542:2014 .......................................................... 50


2
4.3 Đánh giá lỗi cấu hình quản lý ......................................................................................... 56
4.4 Đánh giá lỗi cấu hình thiết bị tầng truy nhập .................................................................. 58
4.5 Đánh giá lỗi cấu hình thiết bị tầng phân phối và tầng core ............................................ 60
4.6 Chương triǹ h đánh giá lỗi cấ u hiǹ h ................................................................................ 63
4.6.1 Những tính năng chính của chương trình ................................................................. 63
4.6.2 So sánh với mô ̣t số chương trình đánh giá khác ...................................................... 66
CHƯƠNG 5. KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN .................................................... 70
5.1 Tầ m quan tro ̣ng của đề tài............................................................................................... 70
5.2 Những vấ n đề đa ̣t đươ ̣c: .................................................................................................. 71
5.3 Những vấ n đề còn tồ n ta ̣i ................................................................................................ 71
5.3 Hướng phát triể n ............................................................................................................. 72
TÀ I LIỆU THAM KHẢO..................................................................................................... 73



3

DANH MỤC CÁC BẢNG
Bảng 1.1 Các kỹ thuâ ̣t tấ n công vào hê ̣ thố ng ma ̣ng Viê ̣t Nam năm 2015.
Bảng 2.1. Những lỗi cấ u hiǹ h an ninh trong quản lý
Bảng 2.2. Cấ u hiǹ h quản lý có lỗi và cấ u hình khuyế n nghi ̣
Bảng 2.3. Lỗi cấ u hình an ninh trên swich và khuyế n nghi ̣
Bảng 2.4. Mẫu cấ u hình an ninh khuyế n nghi ̣trên switch
Bảng 2.5. Tóm tắ t các lỗi cấ u hình trên thiế t bi ̣đinh
̣ tuyế n không dây.
Bảng 2.6 Bảng mô tả lỗi cấ u hiǹ h và cách cấ u hin
̀ h khuyế n nghi ̣
Bảng 2.7. Mẫu cấ u hiǹ h an ninh cho thiế t bi tầ
̣ ng phân phố i và tầ ng lõi.
Bảng 3.1 Các bước copy file cấ u hình từ thiế t bi lên
̣ máy chủ.
Bảng 4.1 Các thuâ ̣t ngữ trong mô hình đo kiể m ATTT
Bảng 4.2 Bảng đo kiể m các lỗi cấ u hin
̀ h quản lý
Bảng 4.3 Bảng đo kiể m các lỗi cấ u hin
̀ h tầ ng truy nhâ ̣p
Bảng 4.4 Đo kiể m các lỗi cấ u hình tầ ng phân phố i và tầ ng lõi


4

DANH MỤC HÌ NH VẼ VÀ ĐỒ THI ̣


5


CHƯƠNG 1. TỔNG QUAN VỀ AN NINH MẠNG
1.1 Tổ ng quan về an ninh ma ̣ng
Đảm bảo an ninh mạng hiện nay là một yêu cầ u cấ p thiế t trong viê ̣c quản tri ̣ mô ̣t hê ̣
thố ng ma ̣ng máy tiń h. An ninh ma ̣ng liên quan đến các giao thức, công nghệ, thiết bị,
công cụ và kỹ thuật để đảm bảo an toàn dữ liệu và giảm thiểu các mối đe dọa. Ngay từ
những năm 1960, vấ n đề an ninh mạng đã đươ ̣c đề câ ̣p đế n nhưng chưa phát triển thành
một tập các giải pháp toàn diê ̣n. Cho đế n những năm 2000, các giải pháp toàn diê ̣n về
an ninh ma ̣ng mới thực sự đươ ̣c công bố . Các nỗ lực đảm bảo an ninh mạng xuấ t phát
từ viê ̣c cầ n đi trước tin tặc (hacker) có ý đồ xấu một bước. Các chuyên gia an ninh mạng
phải liên tu ̣c tìm ra các dấ u hiê ̣u tấ n công, các lỗ hổ ng, để ngăn chặn các cuộc tấn công
tiềm năng trong khi giảm thiểu những ảnh hưởng của các cuộc tấn công. Đảm bảo cho
hê ̣ thố ng hoa ̣t đô ̣ng ổ n đinh,
̣ luôn sẵn sàng đáp ứng với các nghiê ̣p vu ̣ kinh doanh cũng
là mô ̣t trong những động lực chính dẫn đế n viê ̣c bảo đảm an ninh mạng.
Trên thế giới, các tổ chức an ninh ma ̣ng đươ ̣c thành lâ ̣p. Các tổ chức này cung cấ p mô ̣t
môi trường hoa ̣t đô ̣ng cô ̣ng đồ ng cho các chuyên gia nhằ m trao đổ i thông tin, xây dựng
những giải ý tưởng, giải pháp về an ninh. Nguồ n tài nguyên đươ ̣c cung cấ p bởi các tổ
chức này (các tài liê ̣u, khuyế n nghi,̣ giải pháp…) là rấ t hữu ić h cho công viê ̣c hàng ngày
của những người làm về an ninh ma ̣ng.
Chính sách an ninh mạng được tạo ra bởi các công ty và tổ chức chính phủ để cung cấp
một khuôn khổ mà các nhân viên cầ n phải thực hiê ̣n trong công việc hằng ngày của họ.
Các chuyên gia an ninh mạng ở cấp quản lý phải chịu trách nhiệm cho việc tạo ra và duy
trì các chính sách an ninh mạng. Tất cả các biện pháp an ninh mạng liên quan đến và
được hướng dẫn bởi các chính sách an ninh mạng.
Các kỹ thuâ ̣t tấn công mạng thường được phân loại để tìm hiểu và xử lý một cách thích
hợp. Virus, sâu, và Trojan là loại hình cụ thể của các cuộc tấn công mạng. Các cuộc tấn
công mạng được phân loại thành các hin
̀ h thức: tấ n công do thám, tấ n công truy cập, tấn
công từ chối dịch vụ (DoS). Giảm nhẹ các cuộc tấn công mạng là công việc của một

chuyên gia an ninh mạng.
1.1.1 Sự phát triể n của linh
̃ vực an ninh ma ̣ng
Năm 2011, sâu code red đã lây lan ra hê ̣ thố ng ma ̣ng trên toàn thế giới. Ước tính có
khoảng 350 nghiǹ máy tiń h bi ̣lây nhiễm. Sâu code red làm cho các máy chủ không thể


6

truy câ ̣p đươ ̣c và do đó làm ảnh hưởng đế n hàng triê ̣u người dùng. Đây là mô ̣t ví du ̣ điể n
hin
̀ h minh chứng cho thấ y nế u quản tri ̣viên không luôn luôn sát sao với hê ̣ thố ng min
̀ h
quản lý, đă ̣c biê ̣t là tìm hiể u nhũng lỗ hổ ng an ninh và câ ̣p nhâ ̣t những bản vá lỗi, thì hâ ̣u
quả xảy ra có thể là khôn lường. Những hâ ̣u quả thường xảy ra do các vu ̣ tấ n công ma ̣ng
có thể gây ra:
- Mấ t mát dữ liê ̣u
- Lô ̣ lo ̣t thông tin
- Thông tin bi sư
̣ ̉ a đổ i
- Không truy câ ̣p đươ ̣c dich
̣ vu ̣
Năm 1985 khi các loa ̣i sâu, virus phát triể n ma ̣nh, những người làm về ma ̣ng bắ t đầ u
quan tâm đế n viê ̣c bảo vê ̣ hê ̣ thố ng ma ̣ng. Lúc đó những tin tă ̣c có kiế n thức và kỹ năng
rấ t tố t nhưng những công cu ̣ mà tin tă ̣c ta ̣o ra còn thô sơ. Nhưng đế n nay, những công
cu ̣ sử du ̣ng để tấ n công ma ̣ng thường rấ t phức ta ̣p. Kẻ tấ n công không cầ n nhiề u kiế n
thức và kỹ năng cũng có thể gây ra những cuô ̣c tấ n công gây nhiề u thiê ̣t ha ̣i khi sử du ̣ng
những công cu ̣ trên.
Có thể liê ̣t kê mô ̣t số công cu ̣ bảo vê ̣ hê ̣ thố ng ma ̣ng đươ ̣c xây dựng và phát triể n:
- Năm 1990: DEC Packet Filter Firewall, AT&T Bell Labs Stateful Packet Firewall,

DEC SEAL Application Firewall.
- Năm 1995: CheckPoint Firewall, NetRanger IDS, RealSecure IDS
- Năm 2000: Snort IDS
- Năm 2005: Cisco Zonebase Policy Firewall
- Năm 2010: Cisco Security Intelligent Operation
Những năm gầ n đây với sự phát triể n của công nghê ̣ điê ̣n toán đám mây, sự bùng nổ của
các thiế t bi di
̣ đô ̣ng, thiế t bi IoT,…co
̣
́ thêm nhiề u giải pháp an ninh ma ̣ng toàn diê ̣n đươ ̣c
phát triể n để đáp ứng các yêu cầ u bảo vê ̣ đa da ̣ng. Các giải pháp không chỉ ngăn chă ̣n
những mố i nguy cơ từ bên ngoài, mà cả những nguy cơ xuấ t phát từ bên trong hê ̣ thố ng
ma ̣ng nô ̣i bô ̣.


7

Hình 1.1 Mố i nguy cơ đế n từ bên ngoài và bên trong. Nguồ n: CCNA Security

Những nguy cơ đế n từ bên trong có thể do mô ̣t nhân viên có kỹ năng nhưng bấ t mañ và
có ý đồ phá hoa ̣i. Các nguy cơ xuấ t phát từ bên trong có thể chia làm 2 da ̣ng: giả ma ̣o
(spoofing) hoă ̣c tấ n công DoS. Giả ma ̣o là hình thức tấ n công trong đó mô ̣t máy tính
thay đổ i danh tiń h để trở thành mô ̣t máy tin
́ h khác. Ví du ̣: giả ma ̣o điạ chỉ MAC, giả
ma ̣o điạ chỉ IP. Tấ n công từ chố i dich
̣ vu ̣ làm cho mô ̣t máy tính (thường là máy chủ cung
cấ p dich
̣ vu ̣) không thể phu ̣c vu ̣ đươ ̣c các yêu cầ u từ phiá máy khách.
Những giải pháp về tường lửa (Firewall), phát hiê ̣n và phòng chố ng xâm nhâ ̣p (IDS/IPS)
có đă ̣c điể m là ngăn chă ̣n những luồ ng thông tin đô ̣c ha ̣i (malicious traffic). Bên ca ̣nh

đó, viê ̣c đảm bảo an ninh ma ̣ng là phải bảo vê ̣ đươ ̣c dữ liê ̣u. Mâ ̣t mã đươ ̣c sử du ̣ng rấ t
phổ biế n trong viê ̣c bảo đảm an ninh ma ̣ng hiê ̣n nay. Các da ̣ng truyề n tin khác nhau đề u
có những giao thức và kỹ thuâ ̣t để che dấ u các thông tin của da ̣ng truyề n tin đó. Ví du ̣
mã hóa các cuô ̣c go ̣i điê ̣n thoa ̣i trên Internet, mã hóa các file đươ ̣c truyề n trên ma ̣ng v.v.
Mâ ̣t mã đảm bảo tính bí mâ ̣t cho dữ liê ̣u. Tính bí mâ ̣t là mô ̣t trong ba tính chấ t của đảm
bảo an toàn thông tin đó là: tiń h bí mâ ̣t (Confidentiality), tin
́ h toàn ve ̣n (Intergrity) và
tính sẵn sàng( Availability). Để đảm bảo tính bí mâ ̣t của dữ liê ̣u thì phương pháp thường
đươ ̣c sử du ̣ng là mã hóa. Để đảm bảo tin
̣
́ h toàn ve ̣n, tức là đảm bảo dữ liê ̣u không bi thay
đổ i, phương pháp thường đươ ̣c sử du ̣ng là băm (hashing mechanism). Để đảm bảo tin
́ h
sẵn sàng, tức là luôn có thể truy câ ̣p đươ ̣c thông tin khi cầ n, phương pháp là gia cố hê ̣
thố ng và sao lưu dự phòng. Mô ̣t vài giải pháp bảo vê ̣ cho dữ liê ̣u có thể kể đế n:
- Năm 1997: giải pháp site-to-site IPSec VPN
- Năm 2001: giải pháp remote access IPSec VPN
- Năm 2005: giải pháp SSL VPN
- Năm 2009: GET VPN


8

1.1.2 Mô ̣t số tổ chức an ninh ma ̣ng
Đặc thù công việc của các chuyên gia an ninh mạng là phải thường xuyên trao đổi, cập
nhật thông tin với các đồng nghiệp cả trong và ngoài nước để nắm bắt được tình hình an
ninh mạng trong nươc và thế giới.
Có thể liệt kê một số tổ chức nổi tiếng là:
- Viện SANS (SysAdmin, Audit, Network, Security)
Viện SANS được thành lập vào năm 1989, tập trung vào việc đào tạo và cấp chứng chỉ

về an toàn thông tin. SANS xây dựng các tài liệu nghiên cứu về an toàn thông tin, sau
đó công bố rộng rãi trên trang web của viện. Các tài liệu này thường xuyên được cập
nhật và được đóng góp ý kiến bởi cộng đồng những người làm an ninh mạng.
Bên cạnh đó SANS xây dựng những khóa học về bảo mật từ cấp độ cơ bản đến nâng
cao để trang bị những kỹ năng chuyên nghiệp cho những người làm bảo mật, ví như ví
dụ các kỹ năng về giám sát an ninh, phát hiện xâm nhập, điều tra thông tin, các kỹ thuật
của hacker, sử dụng tường lửa bảo vệ hệ thống mạng, lập trình ứng dụng an toàn…
- Trung tâm Phản Ứng Nhanh Sự Cố Máy Tính (Computer Emergency Response Team
– CERT)
Tháng 12/1988, sau khi xảy ra sự cố sâu MORRIS phát tán và lây lan, văn phòng
DARPA thuộc bộ quốc phòng Mỹ đã quyết định thành lập Trung tâm Phản Ứng Nhanh
Sự Cố Máy Tính, viết tắt là CERT.
CERT giải quyết những sự cố an ninh lớn và phân tích các lỗ hổng phát hiện được. Từ
việc phát hiện này, CERT phát triển các giải pháp kỹ thuật công nghệ, các giải pháp
quản lý để chống lại và làm giảm thiệt hại do các vụ tấn công trong tương lai. Bằng
những kinh nghiệm có được, CERT có thể sớm phát hiện tấn công và hỗ trợ cơ quan an
ninh truy bắt kẻ tấn công.
Hiện nay CERT tập trung vào 5 mảng chính đó là: bảo hiểm phần mềm, bảo mật hệ
thống, an toàn thông tin trong tổ chức, phối hợp tác chiến, giáo dục đào tạo.
- (ISC)2: International Information Systems Security Certification Consortium
Đây là tổ chức nổi tiếng với chứng chỉ CISSP danh giá, có thể coi là hàng đầu trong số
các chứng chỉ quốc tế về an ninh mạng. Tuy nhiên nhiệm vụ chính của (ISC)2 là góp
phần làm cho không gian mạng toàn cầu trở nên an toàn hơn bằng việc nâng cao nhận


9

thức về an toàn thông tin cho cộng đồng và xây dựng đội ngũ chuyên gia an ninh mạng
trên toàn thế giới.
Hiện nay các sản phẩm và dịch vụ đào tạo của ISC2 đã có mặt ở trên 135 quốc gia và tổ

chức này có hơn 75000 chuyên gia thành viên trên khắp thế giới. Khi bạn là thành viên
của ISC2, bạn có thể tham gia trao đổi với mạng lưới các chuyên gia này.
-InfoSysSec
Là tổ chức về an ninh mạng, có các cổng thông tin cập nhật về các cảnh báo an ninh,
các lỗ hổng, các khai thác.
- MITRE
Là tổ chức đang lưu trữ và công khai danh sách các lỗ hổng bảo mật phổ biến (Common
Vulnerabilities and Exposures - CVE) phổ biến. Bạn có thể tra cứu thông tin bằng CVEID tại website này.
Bên cạnh đó còn có các diễn đàn và tổ chức như FIRST (Forum of Incident Response
and Security Teams, Center for Internet Security (CIS).
1.1.3 Các linh
̃ vực về an ninh ma ̣ng

Hình 1.2 Các lin
̃ h vực an ninh ma ̣ng


10
Đươ ̣c đề câ ̣p trong tiêu chuẩ n ISO/IEC 27002, 12 liñ h vực về an ninh ma ̣ng đóng vai trò là mô ̣t
cái nhiǹ tổ ng thể , giúp cho những người theo đuổ i an ninh ma ̣ng có thể nắ m đươ ̣c tổ ng quan và
đi theo các liñ h vực chuyên sâu. Bên ca ̣nh đó, viê ̣c đưa ra 12 liñ h vực về an ninh ma ̣ng còn giúp
cho các tổ chức có thể xây dựng những tiêu chuẩ n, những quy tắ c thực thi tố t nhấ t, thúc đẩ y sự
trao đổ i thông tin giữa các tổ chức.
- Chính sách an ninh: là mô ̣t văn bản quy đinh
̣ các vấ n đề liên quan đế n viê ̣c đảm bảo an toàn
khi sử du ̣ng hê ̣ thố ng công nghê ̣ thông tin trong doanh nghiê ̣p. Chiń h sách an ninh chỉ ra cách
thức truy câ ̣p dữ liê ̣u như thế nào và những dữ liê ̣u nào đươ ̣c phép truy câ ̣p và truy câ ̣p bởi
những ai.
- Quản lý sự cố về an ninh: mô tả cách thức đố i phó và xử lý những lỗ hổ ng về an ninh có thể
xảy ra.

- Hợp chuẩn (compliance): mô tả quá trình nhằ m đảm bảo rằ ng hê ̣ thố ng là tuân thủ các chính
sách an ninh, các tiêu chuẩ n, các quy tắ c đă ̣t ra từ trước.
- Điề u khiển truy cập (Access Control): mô tả những quy tắ c giới ha ̣n viê ̣c truy câ ̣p vào ma ̣ng,
hê ̣ thố ng, ứng du ̣ng, chức năng, và dữ liê ̣u.
- Đánh giá rủi ro (risk assessment): là bước đầ u tiên trong quá triǹ h quản lý rủi ro. Nó ước tiń h
về giá tri,̣ số lươ ̣ng tài sản gă ̣p rủi ro trong những tiǹ h huố ng mấ t an ninh xảy ra.
- Tổ chức an toàn thông tin (Organization of Information Security): là mô hình mà tổ chức đề
ra nhằ m đảm bảo an toàn thông tin.
- Xây dựng hê ̣ thố ng thông tin, phát triển và bảo trì: mô tả cách thức tić h hơ ̣p yế u tố an ninh
vào các ứng du ̣ng.
- Quản lý viê ̣c truyề n thông và hoạt động: mô tả viê ̣c quản lý các khía ca ̣nh kỹ thuâ ̣t về an ninh
trong hê ̣ thố ng và ma ̣ng.
- An ninh nguồ n nhân lực: mô tả các thủ tu ̣c nhằ m đảm bảo tiń h an ninh trong viê ̣c tuyể n du ̣ng
nhân sự, điề u đô ̣ng nhân sự nô ̣i bô ̣ và nghỉ viê ̣c của nhân viên, trong mô ̣t tổ chức.
- Quản lý tài sản thông tin: là bản kiể m kê, có sự phân loa ̣i các tài sản thông tin.
- An ninh vật lý và môi trường: mô tả viê ̣c bảo vê ̣ về mă ̣t vâ ̣t lý cho hê ̣ thố ng máy tiń h trong
mô ̣t tổ chức.
- Quản lý tính liên tục trong kinh doanh: mô tả viê ̣c bảo vê ̣, bảo trì và khôi phu ̣c những nghiê ̣p
vu ̣ kinh doanh và hê ̣ thố ng cố t lõi .


11

1.1.4 Chính sách an ninh ma ̣ng
Các chính sách an ninh mạng là một tài liệu đươ ̣c phổ biế n rộng rãi cho người dùng hê ̣ thố ng
ma ̣ng, được viế t mô ̣t cách rõ ràng nhằ m áp dụng cho hoạt động của một tổ chức. Chính sách
này còn được sử dụng để hỗ trợ trong viê ̣c thiết kế mạng, truyền thông các nguyên tắc bảo mật,
và tạo thuận lợi cho việc triển khai mạng.
Các chính sách an ninh mạng chỉ ra quy tắc cho viê ̣c truy cập vào mạng, xác định các chính
sách được thực thi, và mô tả kiến trúc cơ bản của môi trường an ninh mạng của tổ chức. Do

tiń h chấ t của chiń h sách an ninh là khá rô ̣ng, do vâ ̣y nó thường được biên soạn bởi một nhóm
người có trách nhiê ̣m liên quan. Chính sách an ninh là một tài liệu phức tạp bao gồ m các mục,
như truy cập dữ liệu, duyệt web, sử dụng mật khẩu, mã hóa, và đính kèm email.
Khi một chính sách được tạo ra, nó phải rõ ràng những gì dịch vụ phải được cung cấp cho người
sử dụng cụ thể. Các chính sách an ninh mạng thiết lập một hệ thống các quyền truy cập, cho
nhân viên chỉ có quyền truy cập tối thiểu cần thiết để thực hiện công việc của họ.
Các chính sách an ninh mạng chỉ ra những tài sản cần được bảo vệ và hướng dẫn về cách làm
thế nào để bảo vệ các tài sản đó. Từ đó có thể xác định các thiết bị an ninh, chiến lược và quy
trình làm giảm các vu ̣ tấ n công ma ̣ng.

1.1.5 Khái niêm
̣ lỗi cấ u hin
̀ h an ninh
Hạ tầng mạng trong các công ty/tổ chức bao gồm các máy chủ, thiết bị mạng. Những người
quản trị mạng chịu trách nhiệm quản lý hạ tầng mạng. Một trong những nhiệm vụ của người
quản trị mạng là cấu hình bảo đảm tính an ninh cho các thiết bị mạng. Các cấu hình an ninh
(secure configuration) được thực hiện theo các chính sách an ninh của công ty/tổ chức. Cấ u
hình là những câu lê ̣nh đươ ̣c quản tri viên
nhâ ̣p vào giao diê ̣n dòng lê ̣nh trên thiế t bi.̣ Ví du ̣ mô ̣t
̣
cấ u hiǹ h an ninh “Bâ ̣t giao thức SSH” trên thiế t bi ̣ma ̣ng:

!
hostname router
!
ip domain-name example.com
!
crypto key generate rsa modulus 2048
!
ip ssh time-out 60

ip ssh authentication-retries 3


12

ip ssh source-interface GigabitEthernet 0/1
!
ip ssh version 2
!
line vty 0 4
transport input ssh
!
Cấ u hình an ninh là cấ u hiǹ h nhằ m bảo vê ̣ an toàn cho thiế t bi.̣ Mô ̣t vài ví dụ về cấ u
hình an ninh:
- Những dịch vụ mạng không được sử dụng thì nên tắt;
- Phải đổi mật khẩu tài khoản quản trị mặc định trên thiết bị;
- Khi tạo các kết nối quản lý từ xa tới thiết bị nên sử dụng giao thức an toàn như SSH
(Secure Shell) thay vì sử dụng giao thức kém an toàn như Telnet…
Cầ n phân biê ̣t khái niê ̣m “Cấ u hình an ninh” và “An ninh cấ u hình”. Cấ u hình an ninh
là những cấ u hiǹ h nhằ m bảo vê ̣ cho thiế t bi trươ
̣
́ c những nguy cơ tấ n công có thể xảy ra.
Ví du ̣: cấ u hình an ninh cổ ng switch để tránh tấ n công làm tràn bảng MAC...
Còn “An ninh cấ u hình” nhằ m bảo đảm an toàn cho những cấ u hin
̀ h đang hoa ̣t đô ̣ng:
phòng tránh bi lô
̣ ̣ thông tin cấ u hin
̀ h, bi ̣sửa đổ i cấ u hin
̀ h trái phép.
Một hê ̣ thố ng mạng đươ ̣c xem là quản lý yế u kém là mạng mà trong đó các thiết bị

không được cấu hình đầ y đủ các chin
́ h sách về an ninh. Từ đó trên các thiết bị mạng có
các lỗ hổng, dẫn đến bị kẻ tấn công khai thác và thực hiện các hành vi có chủ đích của
hắn.
1.1.6 Khái niêm
̣ về đường cơ sở an ninh (Security Baseline)
Đường cơ sở an ninh là mô ̣t danh sách kiể m tra (checklist) mà theo đó các hê ̣ thố ng
đươ ̣c đánh giá và kiể m toán đố i với tin
̀ h hin
̀ h an ninh trong mô ̣t tổ chức. Đường cơ sở
phác thảo ra những yế u tố an ninh chin
́ h đố i với mô ̣t hê ̣ thố ng, và trở thành điể m xuấ t
phát cho viê ̣c bảo vê ̣ hê ̣ thố ng đó.1

1

Theo giáo trình CompTIA Security+


13

Trong y ho ̣c, đường cơ sở là giá tri ̣ dữ liê ̣u đã biế t ban đầ u, đươ ̣c xác đinh
̣ ngay từ khi
bắ t đầ u nghiên cứu, dùng để so sánh với giá tri dư
̣ ̃ liê ̣u tić h góp đươ ̣c về sau. Trong công
nghê ̣ thông tin, giá tri ̣ ban đầ u đó không phải là tra ̣ng thái bảo mâ ̣t hiê ̣n ta ̣i của mô ̣t hê ̣
thố ng, trái la ̣i nó là mô ̣t tiêu chuẩ n, theo đó tra ̣ng thái hiê ̣n ta ̣i đươ ̣c so sánh.
Báo cáo đường cơ sở an ninh là viê ̣c so sánh tra ̣ng thái hiê ̣n ta ̣i của mô ̣t hê ̣ thố ng với
đường cơ sở của nó. Mo ̣i sự khác biê ̣t cầ n đươ ̣c ghi nhâ ̣n và giải quyế t đúng đắ n. Những
sự khác biê ̣t đó không chỉ là về vấ n đề kỹ thuâ ̣t, mà còn bao gồ m về vấ n đề quản lý và

vâ ̣n hành. Do vâ ̣y cầ n hiể u mô ̣t điề u là không phải mo ̣i sai khác với đường cơ sở là có
ha ̣i, bởi vì mỗi hê ̣ thố ng có đă ̣c điể m khác nhau. Tuy nhiên mo ̣i sự khác biê ̣t đề u phải
đươ ̣c ghi nhâ ̣n, đánh giá và lâ ̣p tài liê ̣u rõ ràng.
Theo Phòng an ninh máy tính của tổ chức nguyên tử châu Âu (CERN Computer
Security), đường cơ sở an ninh xác đinh
̣ mô ̣t tâ ̣p hơ ̣p các mu ̣c tiêu cơ bản về an ninh mà
bấ t kỳ mô ̣t hê ̣ thố ng hay dich
̣ vu ̣ nào đề u phải đa ̣t đươ ̣c. Để thực hiê ̣n các mu ̣c tiêu này,
cầ n phải có tài liê ̣u hướng dẫn kỹ thuâ ̣t chi tiế t đố i với từng hê ̣ thố ng cu ̣ thể . (CERN).2
Theo Cisco, đường cơ sở an ninh ma ̣ng là mô ̣t tâ ̣p các khuyế n nghi cầ
̣ n thực hiê ̣n để đảm
bảo an ninh cho hê ̣ thố ng ma ̣ng đó. Các khuyế n nghi ̣này đươ ̣c đúc kế t từ kinh nghiê ̣m
triể n khai thực tế , có tính cơ bản và tổ ng quát, không quá khó để triể n khai. Đây cũng
là cơ sở để thực hiê ̣n nguyên tắ c phòng thủ theo chiề u sâu (defence-in-depth). Để thực
hiê ̣n nguyên tắ c này thì viê ̣c đầ u tiên cầ n đảm bảo đó là cầ n phải kiể m tra đánh giá xem
hê ̣ thố ng có đa ̣t đươ ̣c các mu ̣c tiêu mà đường an ninh cơ sở đề ra hay không.3

2

https://security.web.cern.ch/security/rules/en/baselines.shtml

3

http://www.cisco.com/c/dam/en/us/td/docs/solutions/CRD/Sep2015/WP-Enterprise-Security-Baseline-

Sep15.pdf


14


Hình 1.3 Cơ chế phòng thủ theo chiều sâu
1.1.7 Khái niêm
hardening)
̣ gia cố thiế t bi (device
̣
Mu ̣c đích của viê ̣c gia cố thiế t bi ̣là làm giảm càng nhiề u rủi ro càng tố t, và làm cho hê ̣
thố ng an toàn hơn. Thiế t bi ha
̣ ̣ tầ ng ma ̣ng khi mua về đề u có các thông số cấ u hin
̀ h mă ̣c
đinh
̣ từ nhà sản xuấ t (ví du ̣: tài khoản và mâ ̣t khẩ u mă ̣c đinh,
̣ dich
̣ vu ̣ cha ̣y mă ̣c đinh…).
̣
Khi đưa vào sử du ̣ng, quản tri viên
cầ n cấ u hình la ̣i những tham số này sao cho phù hơ ̣p
̣
với các tiêu chuẩ n an ninh đươ ̣c đề câ ̣p đế n trong chin
́ h sách an ninh của doanh nghiê ̣p.
1.2 Lý do lựa cho ̣n đề tài
1.2.1 Phân tích mô ̣t vài chỉ số về ATTT ta ̣i Viêṭ Nam năm 2015
Tại Hội thảo Ngày An toàn thông tin Việt Nam 2015, Hiệp hội An toàn thông tin Việt
Nam (VNISA) đã công bố báo cáo Kết quả khảo sát thực trạng an toàn thông tin Việt
Nam năm 2015 và đưa ra Chỉ số An toàn thông tin Việt Nam 2015 - VNISA Index 2015.
Theo đó, chỉ số trung bình của Việt Nam là 46,5%, tuy ở dưới mức trung bình và vẫn
còn sự cách biệt với các nước như Hàn Quốc (hơn 60%), song so với năm 2014 thì đã
có bước tiến rõ rệt (tăng 7,4%). Năm nay, VNISA tiến hành khảo sát với 600 tổ chức,
doanh nghiệp (TC/DN) trong cả nước (trong đó có 40% tổ chức là trong khu vực nhà
nước) với 36 tiêu chí đánh giá ở các cấp độ khác nhau. Trong số các TC/DN được khảo
sát, có 51% là các TC/DN có quy mô nhỏ (sử dụng từ 1-50 máy tính), 27% (sử dụng từ

50-300 máy tính). Số còn lại có quy mô trên 300 máy tính.
Mô ̣t vài thố ng kê đáng lưu tâm trong báo cáo trên:


15

-

Khi hỏi: Hệ thống của tổ chức có được kiểm tra, đánh giá ATTT (ATTT) hay
không? 53% trả lời là có và 47% trả lời là không.

Hình 1.4 Tỉ lê ̣ đánh giá ATTT trong tổ chức doanh nghiê ̣p
-

Khi hỏi cán bộ vận hành, khai thác, sử dụng hệ thống của tổ chức đã tuân thủ
các chính sách về ATTT hay không: Có 61% cho rằng có tuân thủ và 39%
không tuân thủ.

Hình 1.5 Tỉ lê ̣ tuân thủ các chính sách ATTT
-

Quy trình đánh giá, quản lý và xử lý nguy cơ về ATTT trong các TC/DN vẫn
còn nhiều hạn chế, 62% được đánh giá không theo quy trình, chỉ có 28% là
tuân thủ theo đúng quy trình.

-

Một trong các vấn đề khó khăn nhất mà TC/DN gặp phải trong việc bảo đảm
ATTT cho thông tin và hệ thống đó là việc quản lý chặt chẽ cấu hình hệ thống
mạng (Configuration Management).


Qua các thông tin ở trên có thể thấ y rằ ng:
 Cầ n phải đẩ y ma ̣nh công tác đánh giá sự an toàn của mô ̣t hê ̣ thố ng CNTT.
 Bên ca ̣nh đó vì mô ̣t trong những khó khăn lớn nhấ t mà doanh nghiê ̣p gă ̣p phải đó là
làm thế nào để quản lý đươ ̣c cấ u hin
̀ h ma ̣ng. Hê ̣ thố ng ma ̣ng trong doanh nghiê ̣p có thể
phức ta ̣p, nhiề u thiế t bi.̣ Mỗi thiế t bi ̣ có nhiề u cấ u hin
̀ h. Viê ̣c quản lý cấ u hin
̀ h thiế t bi ̣
ma ̣ng đảm bảo cấ u hình đó là an toàn theo đúng theo các khuyế n nghi,̣ các tiêu chuẩ n là
mô ̣t vấ n đề khó nhưng cầ n giải quyế t.


16

1.2.2 Tầ m quan tro ̣ng của viêc̣ quản lý cấ u hin
̀ h ma ̣ng
Năm 2011, trong mô ̣t báo cáo của hañ g phân tić h Gartner chỉ ra rằ ng, viê ̣c quản lý cấ u
hình an ninh là mô ̣t viê ̣c bắ t buô ̣c phải làm, và là ưu tiên số 1 trong danh sách các công
viê ̣c bảo vê ̣ cho máy chủ.4
Năm 2012, ta ̣p chí ATTT SANS đã đưa ra 20 mức đô ̣ cấ p thiế t khi quản lý an ninh cho
mô ̣t tổ chức (SANS 20 Critical Security Control), trong đó xế p ha ̣ng mức đô ̣ cấ p thiế t
của viê ̣c quản lý cấ u hình an ninh cho máy chủ, hê ̣ thố ng, thiế t bi đầ
̣ u cuố i có mức đô ̣ 3;
xế p ha ̣ng mức đô ̣ cấ p thiế t viê ̣c quản lý cấ u hin
̀ h an ninh trên các thiế t bi ̣ ma ̣ng là cấ p
đô ̣ 10.5
Theo mô ̣t khảo sát năm 2012 của ta ̣p chí InformationWeek đố i với 900 chuyên gia công
nghê ̣ thông tin, thì viê ̣c triể n khai các chính sách an ninh là mô ̣t viê ̣c có mức đô ̣ khó xế p
ha ̣ng thứ 2. Ta ̣i sao? Bởi vì nó quá nă ̣ng nho ̣c. Với mô ̣t hê ̣ thố ng có hàng trăm, thâ ̣m chí

hàng nghiǹ , hàng chu ̣c nghiǹ thiế t bi ̣ma ̣ng, làm thế nào để bảo đảm các thiế t bi ̣này có
cấ u hình an ninh tuân thủ theo đúng chính sách? Làm thế nào để biế t những quản tri ̣
viên khác không thay đổ i những cấ u hin
̀ h an ninh tiêu chuẩ n? Khi cầ n gấ p mô ̣t viê ̣c gì
đó, có thể phải thực thi mô ̣t vài chính sách kém an ninh nhưng sau đó làm sao để khôi
phu ̣c la ̣i tra ̣ng thái an ninh ban đầ u theo khuyế n nghi?̣ Làm thế nào để tự đô ̣ng hóa công
viê ̣c triể n khai cấ u hình an ninh trên những ha ̣ tầ ng không đồ ng nhấ t?...Đó là những câu
hỏi luôn làm đau đầ u những quản tri ̣viên.6
Trong mô ̣t báo cáo kinh doanh của hañ g truyề n thông Verizon (My)̃ , hacker thường
xuyên khai thác thành công những lỗi cấ u hình và những lỗ hổ ng đã đươ ̣c biế t từ trước,
để thực hiê ̣n xâm nhâ ̣p vào hê ̣ thố ng của na ̣n nhân.7
Qua những số liê ̣u nêu trên, có thể thấ y rằ ng viê ̣c quản lý cấ u hin
̀ h để ngăn ngừa những
lỗi có thể xảy ra là mô ̣t vấ n đề rấ t cầ n đươ ̣c quan tâm trong công tác quản tri ma
̣ ̣ng. Mặc
dù viê ̣c này không đơn giản nhưng cầ n có những giải pháp để kiể m tra, đánh giá một hê ̣
thố ng có tồ n tại những lỗi cấ u hình hay không, và từ đó đưa ra cách khắ c phục.

Neil MacDonald and Peter Firstbrook, “How To Devise a Server Protection Strategy,” December 2011.
www.gartner.com/id=1866915
5
http://www.networkworld.com/article/2992503/security/sans-20-critical-security-controls-you-need-toadd.html
6
http://reports.informationweek.com/abstract/21/8815/Security/research-2012-strategic-security-survey.html
7
http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2011_en_xg.pdf
4


17


1.2.3 Các hình thức tấn công mạng khai thác lỗi cấ u hin
̀ h.
Theo thống kê cho thấy, năm 2015, có nhiều hình thức tấn công với những kỹ thuật khác
nhau, phổ biến nhất là các kỹ thuật: Tấn công dò quét điểm yếu dịch vụ UPNP, tấn công
gây từ chối dịch vụ phân giải tên miền DNS, tấn công dò mật khẩu dịch vụ FTP bằng
phương pháp vét cạn (brute force login attempt) …
Số lượng các cuộc tấn công theo từng loại hình kỹ thuật đã được Trung tâm ứng cứu sự
cố máy tiń h khẩ n cấ p (VNCERT) thống kê cụ thể hàng năm với con số không nhỏ. Dưới
đây là bảng thống kê theo quý Top 5 kỹ thuật tấn công trong năm 2015 vào hệ thống
thông tin nước ta:
TÊN KỸ THUẬT TẤN CÔNG

SỐ
LƯỢNG

STT
QUÝ I
1

Tấn công dò quét điểm yếu dịch vụ UPNP

1165518

2 Tấn công gây từ chối dịch vụ phân giải tên miền DNS

950146

3 Lạm dụng các dịch vụ của Google để tiến hành tấn công các


219061

hệ thống trang thông tin điện tử gây tình trạng từ chối dịch vụ
4 Tấn công dò mật khẩu dịch vụ FTP bằng phương pháp vét cạn

204926

(brut force login attempt)
5 Tấn công máy chủ website sử dụng phần mềm APACHE

154862

QUÝ II
1 Tấn công dò quét điểm yếu dịch vụ UPNP

293015

2 Tấn công dò mật khẩu dịch vụ FTP bằng phương pháp vét cạn

240912

(brut force login attempt)
3 Tấn công chuyển hướng tên miền nhằm vào người dùng thông

217938

qua dịch vụ DNS bằng kỹ thuật dns cache poisoning
4 Tấn công vét cạn mật khẩu thông qua dịch vụ SSH

174910



18

5 Tấn công điểm yếu ứng dụng Web thông qua giao thức HTTP

96052

POST request khi tính năng file_uploads được kích hoạt
QUÝ III
1 Tấn công khai thác điểm yếu bảo mật của ứng dụng Web

2352175

2 Lây nhiễm mã độc, kết nối đến mạng lưới mã độc qua dịch vụ

944694

DNS
3 Lạm dụng dịch vụ calendar access của các hệ thống trang

327714

thông tin điện tử để thu thập thông tin
4 Tấn công chuyển hướng tên miền nhằm vào người dùng thông

283958

qua dịch vụ DNS bằng kỹ thuật dns cache poisoning
5 Tấn công vét cạn mật khẩu thông qua dịch vụ SSH


248713

QUÝ IV
1 Tấn công gây từ chối dịch vụ phân giải tên miền DNS bằng

741184

phương pháp truy vấn random DNS domain nhằm vào dịch vụ
DNS
2 Tấn công dò quét điểm yếu dịch vụ UPNP

234865

3 Lạm dụng dịch vụ calendar access của các hệ thống trang

196255

thông tin điện tử để thu thập thông tin
4 Tấn công gây từ chối dịch vụ phân giải tên miền DNS

179827

5 Tấn công chuyển hướng tên miền nhằm vào người dùng thông

173814

qua dịch vụ DNS bằng kỹ thuật dns cache poisoning
Bảng 1.1 Các kỹ thuật tấ n công vào hê ̣ thố ng ma ̣ng Viê ̣t Nam năm 2015
Thống kê trên cho thấy các kỹ thuật tấn công phổ biến vào hệ thống thông tin của nước

ta là rất đa dạng và thay đổi liên tục. Trong đó có thể thấ y ở thố ng kê trên, mô ̣t trong
những thủ đoa ̣n của kẻ tấ n công thường ngắ m tới những điể m yế u về về cấ u hình. Mô ̣t
số ví du ̣ có thể chỉ ra dưới đây:


19

Ví dụ 1: hiǹ h thức dò quét điể m yế u của giao thức UPNP, theo khuyế n nghi cầ
̣ n tắ t dich
̣
vu ̣ UPNP trên các thiế t bi nế
̣ u không sử du ̣ng bởi vì UPNP có rấ t nhiề u lỗ hổ ng bảo mâ ̣t.
Tuy nhiên nế u người quản tri ̣không thực hiê ̣n viê ̣c này thì rấ t có thể hê ̣ thố ng ma ̣ng sẽ
bi tấ
̣ n công.
Ví dụ 2: là tấn công dò mật khẩu dịch vụ FTP, SSH bằng phương pháp vét cạn (brute
force login attempt). Theo khuyế n nghi,̣ khi đă ̣t mâ ̣t khẩ u cầ n phải đă ̣t mâ ̣t khẩ u ma ̣nh
(thỏa mañ tiêu chí về đô ̣ dài, sư kế t hơ ̣p các ký tự trên bàn phím). Nế u quản tri ̣viên hê ̣
thố ng/người dùng sử du ̣ng mâ ̣t khẩ u yế u (đơn giản, dễ đoán) để cài đă ̣t cho các dich
̣ vu ̣
SSH, FTP, thì sẽ trở thành na ̣n nhân của kỹ thuâ ̣t tấ n công da ̣ng này.
Qua phân tích ở trên có thể thấ y rằ ng nế u quản tri viên
không tuân thủ các khuyế n nghi ̣
̣
về an ninh khi cấ u hiǹ h hê ̣ thố ng thì có thể dẫn đế n hê ̣ thố ng đó có những điể m yế u và
bi khai
thác bởi kẻ tấ n công.
̣
1.2.4 Hâ ̣u quả của những vu ̣ tấ n công ma ̣ng do lỗi cấ u hin
̀ h.

Tại Việt Nam trong năm 2015 và 2016, theo thố ng kê của công ty an ninh ma ̣ng BKAV,
xảy ra một số vụ việc mất an toàn thông tin do việc cấu hình trên thiết bị mạng:
- Tháng 06/2016, có 70.624 máy chủ Remote Desktop Protocol (RDP) được rao bán trên
thị trường chợ đen xDedic và giá chỉ 6 USD cho mỗi quyền truy cập, trong đó có 841
máy chủ ở Việt Nam. Sau khi các đơn vị an ninh mạng Việt Nam tiến hành tìm hiểu và
kiểm tra trên thực tế thông tin các máy chủ Remote Desktop Protocol (RDP) tại Việt
Nam được rao bán trên thị trường chợ đen xDedic, kết quả cho thấy, 153 máy chủ vẫn
đang mở cổng 3389 (RDP), trong đó có 51 máy chủ mở cả cổng 3389 (RDP) và 80
(HTTP). Những máy chủ này có nguy cơ bị khai thác, chiếm quyền điều khiển và bị lợi
dụng cho những mục đích xấu. Chỉ từ 6 USD cho mỗi máy chủ, thành viên diễn đàn
xDedic đã có thể truy cập vào tất cả dữ liệu của một máy chủ và sử dụng chúng như nền
tảng để tấn công về sau, có thể bao gồm tấn công có chủ đích, phần mềm độc hại, DDoS,
lừa đảo bằng email, tấn công bằng kỹ thuật xã hội và adware. Cũng theo kết quả kiểm
tra, trong số 153 máy chủ này, có 7 máy chủ thuộc các cơ quan nhà nước, 20 máy chủ
thuộc doanh nghiệp… Chúng có thể được dùng để tấn công hệ thống hoặc làm bệ phóng


20

cho những cuộc tấn công lớn hơn, trong khi đó, chủ hệ thống, bao gồm các tổ chức chính
phủ, tập đoàn và trường đại học lại biết rất ít hoặc chẳng biết gì về chuyện đang xảy ra. 8
- Cũng trong 4 tháng đầu năm 2015, theo báo cáo bảo mật từ công ty bảo mật BKAV,
sau những ghi nhận từ hệ thống phòng vệ DDoS của mình cho thấy có nhiều cuộc tấn
công-từ chối-dịch vụ (DDoS) xuất phát từ nhiều địa chỉ IP thuộc nhiều nhà cung cấp
dịch vụ Internet (ISP) tại nhiều quốc gia. Những địa chỉ IP này xuất phát từ các router
(bộ định tuyến mạng) kết nối Internet dùng trong gia đình hay doanh nghiệp nhỏ đã bị
hack. Và tất cả router "thây ma" đều không được người dùng thay đổi mật khẩu mặc
định của tài khoản quản trị (admin) từ nhà sản xuất. Hacker có thể lấy được tài khoản
quản trị này rất dễ dàng, chỉ cần tham khảo tài liệu nhà sản xuất công bố rộng rãi trên
mạng. Khi nắm trong tay tài khoản quản trị có đủ quyền thiết lập cho router, hacker có

thể điều khiển hướng truy cập của các thiết bị kết nối Internet thông qua router đó đến
các địa chỉ website mà chúng muốn. Từ đó có thể lây nhiễm mã độc, chiếm giữ thêm
các tài khoản khác của người dùng hoặc gia tăng lưu lượng truy cập cho các website
kiếm tiền từ quảng cáo, hay dùng các thiết bị của nạn nhân như di động hay máy tính
tham gia đội quân "botnet" để tấn công-từ chối-dịch vụ (DDoS) nhắm vào các mục tiêu
định sẵn. Hacker còn có thể đánh cắp dữ liệu ra vào mạng Internet gia đình hay doanh
nghiệp.9

 Vâ ̣y vấ n đề đă ̣t ra ở đây là làm thế nào để đánh giá mô ̣t hê ̣ thố ng đươ ̣c cấ u hiǹ h có
tuân thủ các khuyế n nghi ̣ hoă ̣c tiêu chuẩ n an toàn hay không? Từ đó có các biê ̣n pháp
khắ c phu ̣c những điể m yế u về cấ u hin
khai thác
̣
̀ h, làm giảm khả năng bi hacker

8

http://vnreview.vn/tin-tuc-an-ninh-mang/-/view_content/content/1861042/thi-truong-cho-den-dang-rao-ban-

hon-841-may-chu-viet-nam-bi-hack

9

https://forum.whitehat.vn/forum/thao-luan/tin-tuc/57141-hon-300-nghin-he-thong-mang-tai-viet-nam-dang-

trong-tinh-trang----bo-ngo---


21


1.3 Phương pháp nghiên cứu và kế t quả đa ̣t đươ ̣c
1.3.1 Phương pháp nghiên cứu
Mu ̣c tiêu của luâ ̣n văn này tâ ̣p trung vào viê ̣c phân tích và đánh giá xem cấ u hình an
ninh trên các thiế t bi ̣ hạ tầ ng mạng của một tổ chức, doanh nghiê ̣p có tuân thủ theo
chính sách an ninh của tổ chức đó hay không.
Để thực hiê ̣n đươ ̣c viê ̣c này, đầ u tiên luâ ̣n văn khảo sát mô ̣t mô hình ma ̣ng máy tin
́ h điể n
hình, đươ ̣c sử du ̣ng phổ biế n ta ̣i các doanh nghiê ̣p. Mă ̣c dù các doanh nghiê ̣p có quy mô
khác nhau, yêu cầ u khác nhau đố i với hê ̣ thố ng ma ̣ng máy tin
́ h, tuy nhiên khi xây dựng
ma ̣ng, cầ n tuân thủ những nguyên lý chung về thiế t kế , nhằ m đảm bảo cho hê ̣ thố ng
ma ̣ng đa ̣t đươ ̣c những tiêu chí về tính sẵn sàng, tính mở rô ̣ng, tính an ninh và khả năng
quản lý. Luâ ̣n văn sẽ khảo sát mô hin
̀ h ma ̣ng tuân thủ theo nguyên lý thiế t kế phân tầ ng:
tầ ng truy nhâ ̣p (access layer), tầ ng phân phố i (distribution layer) và tầ ng lõi (core layer).
Ở mỗi tầ ng sẽ có những thiế t bi ma
̣ ̣ng đă ̣c trưng, để thực hiê ̣n những chức năng của tầ ng
đó. Trong luâ ̣n văn sẽ đề câ ̣p đế n các thiế t bi ̣ma ̣ng ở các tầ ng như sau:
- Tầ ng access: thiế t bi ̣ switch lớp 2 (switch), thiế t bi ̣ đinh
̣ tuyế n không dây (Wireless
Router – WR). Các thiế t bi ̣ này đóng vai trò kế t nố i thiế t bi ̣ đầ u cuố i người dùng vào
ma ̣ng.
- Tầ ng distribution: thiế t bi ̣ đinh
̣ tuyế n (Router). Các thiế t bi ̣ này thực hiê ̣n tính năng
đinh
̣ tuyế n liên ma ̣ng.
- Tầ ng Core: thiế t bi ̣ đinh
̣ tuyế n (Router). Các thiế t bi ̣ này thực hiê ̣n tính năng chuyể n
ma ̣ch tố c đô ̣ cao.
Tiế p theo, luâ ̣n văn sẽ chỉ ra những lỗi cấ u hình an ninh thường gă ̣p trên các thiế t bi ̣ ở

từng tầ ng. Cấ u hình an ninh là những cấ u hình nhằ m đảm bảo sự an toàn cho thiế t bi khi
̣
hoa ̣t đô ̣ng. Nế u không cấ u hiǹ h hoă ̣c cấ u hin
̀ h sai, sẽ dẫn đế n sự mấ t an toàn cho hê ̣
thố ng ma ̣ng. Luâ ̣n văn sẽ làm rõ từng cấ u hình an ninh; những nguy cơ mấ t an toàn có
thể xảy ra khi không thực hiê ̣n cấ u hin
̀ h an ninh đó; cách thức cài đă ̣t cấ u hin
̀ h an ninh
như thế nào. Những lỗi cấ u hiǹ h an ninh thường đươ ̣c tham khảo ở các tài liê ̣u của hãng
sản xuấ t thiế t bi,̣ các tài liê ̣u khuyế n nghi ̣ an ninh; các tiêu chuẩ n an ninh trên thiế t bi ̣
ma ̣ng.
Bước tiế p theo, luâ ̣n văn sẽ đề xuấ t phương pháp thu thâ ̣p cấ u hình trên các thiế t bi ma
̣ ̣ng
về mô ̣t máy chủ lưu trữ tâ ̣p trung. Viê ̣c thu thâ ̣p cấ u hin
̃ các yêu cầ u nhấ t
̀ h cầ n thỏa man
đinh.
̣ Do vâ ̣y luâ ̣n văn đề xuấ t phương pháp thu thâ ̣p số liê ̣u bao gồ m cả quy trin
̀ h, con


22

người, máy móc, phầ n mề m, kỹ thuâ ̣t thực hiê ̣n. Các yế u tố trên cầ n đươ ̣c kế t hơ ̣p theo
trin
̀ h tự logic và có kiể m tra nhằ m đảm bảo viê ̣c thu thâ ̣p diễn ra thành công, thỏa mañ
các yêu cầ u đề ra từ đầ u.

Hình 1.6 Phương pháp thu thập cấ u hình
Sau khi đã thu thâ ̣p cấ u hiǹ h tâ ̣p trung, luâ ̣n văn đề xuấ t phương pháp đánh giá xem cấ u

hình an ninh trên từng thiế t bi ̣có tuân thủ theo quy đinh
̣ hay không. Phương pháp là so
sánh giữa cấ u hiǹ h thu thâ ̣p đươ ̣c và cấ u hin
̀ h mẫu (khuyế n nghi).̣
ß So

nh

Cấu hình đang hoạt đ ng
(Running-config)

Cấu hình khuy n ngh
(đường an ninh cơ s )

Hình 1.7 Phương pháp đánh giá cấ u hình an ninh
Kế t quả thu đươ ̣c sau bước đánh giá này là mô ̣t báo cáo tổ ng hơ ̣p về tình tra ̣ng cấ u hình
an ninh trên các thiế t bi ̣ma ̣ng của tổ chức đó.
Để hỗ trơ ̣ cho viê ̣c đánh giá, luâ ̣n văn đề xuấ t xây dựng mô ̣t chương trình ứng du ̣ng phân
tích cấ u hình tự đô ̣ng. Đầ u vào của chương trình là mô ̣t thư mu ̣c chứa các file cấ u hình
của các thiế t bi ̣ma ̣ng trong mô ̣t hê ̣ thố ng ma ̣ng. Đầ u ra là kế t quả báo cáo tổ ng hơ ̣p về
tình tra ̣ng cấ u hình an ninh của hê ̣ thố ng ma ̣ng đó. Ngoài ra chương trình còn xuấ t ra
báo cáo chi tiế t những lỗi cấ u hin
̀ h an ninh trên từng thiế t bi ̣ ma ̣ng. Đây có thể coi là
mô ̣t ưu điể m của chương triǹ h so với mô ̣t số phầ n mề m ứng du ̣ng khác đang đươ ̣c sử
du ̣ng.
Thiế t bi ̣ha ̣ tầ ng ma ̣ng đề câ ̣p đế n trong luâ ̣n văn là thiế t bi ̣đinh
̣ tuyế n - Router, thiế t bi ̣
chuyể n ma ̣ch - switch, thiế t bi ̣ đinh
̣ tuyế n không dây - wireless router. Lựa cho ̣n hañ g



23

thiế t bi ̣ là hañ g Cisco, đươ ̣c sử du ̣ng phổ biế n trong ma ̣ng của các công ty, tổ chức ta ̣i
Viê ̣t Nam.
Pha ̣m vi phân tích là ma ̣ng máy tính của mô ̣t doanh nghiê ̣p ta ̣i tru ̣ sở chính của doanh
nghiê ̣p đó. Tức là không bao gồ m hê ̣ thố ng ma ̣ng diê ̣n rô ̣ng (WAN).
1.3.2 Kế t quả đa ̣t đươ ̣c của luâ ̣n văn
- Phân tić h đươ ̣c tầ m quan tro ̣ng của viê ̣c quản lý cấ u hình trong công tác đảm bảo an
toàn cho hê ̣ thố ng ma ̣ng máy tính của doanh nghiê ̣p.
- Làm rõ đươ ̣c những lỗi cấ u hiǹ h an ninh trên thiế t bi ̣ma ̣ng, những nguy cơ có thể
xảy ra khi để tồ n ta ̣i những lỗi này; cách cấ u hin
̀ h khắ c phu ̣c lỗi.
- Đề xuấ t đươ ̣c phương pháp thu thâ ̣p cấ u hình tâ ̣p trung
- Đề xuấ t đươ ̣c phương pháp đánh giá lỗi cấ u hin
̀ h.
- Xây dựng chương trình đánh giá cấ u lỗi cấ u hình có những ưu điể m hơn so với
những chương trình hiê ̣n có.


Xem Thêm

×