Tài liệu Giáo trình Quản trị mạng nâng cao: BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT HƯNG YÊN
GIÁO TRÌNH QUẢN TRỊ
MẠNG NÂNG CAO
TRÌNH ĐỘ ĐÀO TẠO: ĐẠI HỌC
NGÀNH ĐÀO TẠO: CÔNG NGHỆ THÔNG TIN
(INFORMATION TECHNOLOGY)
JULY 6, 2016
FIT-UTEHY
(LƯU HÀNH NỘI BỘ)
1
MỤC LỤC
CHƯƠNG I: TỔNG QUAN VỀ BẢO MẬT MẠNG VÀ CÁC THIẾT BỊ HẠ TẦNG MẠNG 4
1.1 Tổng quan về bảo mật mạng ................................................................................... 4
1.1.1 Nguy cơ bảo mật trong mạng thông tin ............................................................ 4
1.1.2 Mục tiêu bảo mật .............................................................................................. 4
1.2 Tổng quan về AAA ................................................................................................. 5
1.2.1 Điều khiển truy nhập – Access Control ............................................................ 6
1.2.2 Xác thực ...............................................................................
111 trang |
Chia sẻ: putihuynh11 | Lượt xem: 1006 | Lượt tải: 2
Bạn đang xem trước 20 trang mẫu tài liệu Giáo trình Quản trị mạng nâng cao, để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT HƯNG YÊN
GIÁO TRÌNH QUẢN TRỊ
MẠNG NÂNG CAO
TRÌNH ĐỘ ĐÀO TẠO: ĐẠI HỌC
NGÀNH ĐÀO TẠO: CÔNG NGHỆ THÔNG TIN
(INFORMATION TECHNOLOGY)
JULY 6, 2016
FIT-UTEHY
(LƯU HÀNH NỘI BỘ)
1
MỤC LỤC
CHƯƠNG I: TỔNG QUAN VỀ BẢO MẬT MẠNG VÀ CÁC THIẾT BỊ HẠ TẦNG MẠNG 4
1.1 Tổng quan về bảo mật mạng ................................................................................... 4
1.1.1 Nguy cơ bảo mật trong mạng thông tin ............................................................ 4
1.1.2 Mục tiêu bảo mật .............................................................................................. 4
1.2 Tổng quan về AAA ................................................................................................. 5
1.2.1 Điều khiển truy nhập – Access Control ............................................................ 6
1.2.2 Xác thực ............................................................................................................ 7
1.2.3 Kiểm tra quản lý – Auditing ........................................................................... 17
1.3 Các thiết bị hạ tầng mạng ...................................................................................... 18
1.3.1 Tường lửa - Firewall ....................................................................................... 18
1.2.2 Bộ định tuyến – Router ................................................................................... 19
1.2.3 Bộ chuyển mạch – Switch .............................................................................. 19
1.2.4 Bộ cân bằng tải ............................................................................................... 19
1.2.5 Proxies ............................................................................................................ 19
1.2.6 Cổng bảo vệ Web (Web Security Gateway) ................................................... 20
1.2.7 Hệ thống phát hiện xâm nhập ......................................................................... 20
CHƯƠNG 2: TƯỜNG LỬA - FIREWALL .............................................................................. 21
2.1. Tổng quan về Firewall ........................................................................................ 21
2.1.1 Khái niệm về Firewall .................................................................................... 21
2.1.2. Mục đích của Firewall ................................................................................... 21
2.1.3. Phân loại FIREWALL ................................................................................... 23
2.1.4. Mô hình kiến trúc của FIREWALL ............................................................... 27
2.2 Tường lửa mềm ISA2006, TMG 2010 & IPtables................................................ 33
2.2.1 ISA 2006 ......................................................................................................... 33
2
2.2.2 TMG 2010 ....................................................................................................... 39
2.2.3 Iptables ............................................................................................................ 42
2.3 Tường lửa cứng ASA ........................................................................................ 45
2.3.1 Giới thiệu về ASA ...................................................................................... 45
2.3.2 Triển khai một số tính năng của ASA trong hệ thống mạng...................... 46
CHƯƠNG 3: CÔNG NGHỆ VPN ............................................................................................. 55
3.1. Tổng quan về VPN ............................................................................................... 55
3.1.1 Khái niệm ........................................................................................................ 55
3.1.2 Lợi ích của VPN ............................................................................................. 56
3.1.3 Chức năng của VPN ....................................................................................... 56
3.1.4 Các thành phần cần thiết tạo nên kết nối VPN ............................................... 57
3.1.5 Phân loại VPN ............................................................................................ 57
3.2. Một số giao thức mã hóa trong VPN ................................................................... 59
3.2.1 Giao thức định hướng lớp 2 : L2F ( Layer 2 Forwarding) ............................. 60
3.2.2 Giao thức đường hầm điểm điểm - PPTP .......................................................... 62
3.2.2.1 PPP và PPTP ................................................................................................ 63
3.2.2.2 Cấu trúc gói của PPTP ................................................................................. 64
3.2.2.3 Đường hầm .................................................................................................. 67
3.2.3 Giao thức đường hầm lớp 2 – L2TP .............................................................. 68
3.2.4 Giao thức IP Sec ......................................................................................... 73
CHƯƠNG 4: HỆ THỐNG MAIL SERVER ............................................................................. 84
4.1. Tổng quan về hệ thống Email ........................................................................... 84
4.1.1 Khái niệm và các thành phần của Email ......................................................... 84
4.1.2 Một số giao thức trong Email ......................................................................... 88
4.2 MS.Exchange Server 2010 .................................................................................... 92
4.2.1. Giới thiệu về MS.Exchange Server 2010 ...................................................... 92
3
4.2.2 Một số đặc điểm của MS.Exchange 2010 ...................................................... 92
4.3 MailServer Mdaemon ............................................................................................ 96
CHƯƠNG 5: GIÁM SÁT HỆ THỐNG MẠNG ....................................................................... 98
5.1 Tổng quan về giám sát mạng ................................................................................ 98
5.1.1 Khái niệm ........................................................................................................ 98
5.1.2 Các lĩnh vực cần phải giám sát trong hệ thống mạng ..................................... 99
5.2 Giao thức quản lý mạng đơn giản – SNMP và một số phần mềm giám sát mạng
................................................................................................................................... 101
5.2.1 Giao thức quản lý mạng đơn giản – SNMP .................................................. 101
5.2.2 Một số phần mềm giám sát mạng thường gặp .............................................. 106
4
CHƯƠNG I: TÔ ̉NG QUAN VỀ BẢO MẬT MẠNG VÀ CÁC THIẾT BỊ HẠ
TẦNG MẠNG
MỤC TIÊU
Học xong chương này sinh viên có thể:
o Trình bày được một số nguy cơ và mục tiêu trong bảo mật hệ thống công nghệ
thông tin.
o Hiểu và giải thích được một số phương thức chứng thực
o Trình bày và phân tích được ba yếu tố AAA trong bảo mật hệ thống
o Phân biệt được các thiết bị hạ tầng mạng thường gặp trong một hệ thống
mạng.
o Rèn luyện tính tư duy logic.
1.1 Tổng quan về bảo mật mạng
1.1.1 Nguy cơ bảo mật trong mạng thông tin
Nguy cơ bảo mật (Threat) - là một hoặc một chuỗi các sự kiện hoặc hành động
nào đó có thể gây hại hoặc ảnh hưởng không tốt cho các mục tiêu bảo mật. Thể hiện
thực tế của nguy cơ bảo mật là một cuộc tấn công vào mạng.
Lỗ hổng bảo mật (Vulnerability Security) – Là các “lỗi” của phần mềm hoặc hệ
thống mà có thể bị kẻ tấn công lợi dụng, khai thác và ảnh hưởng tới an toàn thông
tin của hệ thống.
1.1.2 Mục tiêu bảo mật
Mục tiêu bảo mật hay còn gọi là đối tượng bảo mật. Được định nghĩa tuỳ theo
môi trường ứng dụng hoặc kỹ thuật thực hiện.
1.1.2.1 Theo môi trường ứng dụng
• Các tổ chức tài chính
Chống nguy cơ làm sai lệch và thay đổi tình cờ trong các giao dịch tài chính.
Xác nhận tính hợp pháp của các giao dịch của khách hàng.
Bảo mật cho các số nhận dạng cá nhân (PIN) .
Đảm bảo tính riêng tư cho khách hàng trong giao dịch.
• Thương mại điện tử
Đảm bảo tính toàn vẹn trong giao dịch.
Đảm bảo tính riêng tư cho doanh nghiệp.
Cung cấp chữ ký điện tử (electronic signature) cho các giao dịch điện tử.
Đảm bảo tính riêng tư, bí mật đối với các thông tin của khách hàng.
• Chính phủ
Chống nguy cơ rò rỉ các thông tin nhạy cảm.
Cung cấp chữ ký điện tử cho các tài liệu của chính phủ.
• Các nhà cung cấp dịch vụ viễn thông công cộng
5
Giới hạn quyền truy cập vào các chức năng quản trị chỉ dành cho những người có đủ thẩm
quyền.
Đảm bảo dịch vụ luôn sẵn sàng.
Bảo vệ tính riêng tư cho các thuê bao.
• Các mạng riêng và mạng doanh nghiệp
Bảo vệ tính riêng tư cho doanh nghiệp và cá nhân.
Đảm bảo khả năng xác nhận bản tin.
• Tất cả các mạng
Bảo vệ dữ liệu chống lại sự xâm nhập bất hợp pháp.
1.1.2.2 Theo kỹ thuật thực hiện
• Tính bí mật (confidentiality)
Đảm bảo chỉ những người có thẩm quyền mới xem được dữ liệu khi truyền đi hoặc lưu giữ.
• Tính toàn vẹn của dữ liệu (data integrity)
Phát hiện được bất cứ sự thay đổi nào trong dữ liệu trong khi truyền hoặc lưu giữ.
Xác nhận được ai là người tạo ra hoặc thay đổi dữ liệu.
• Tính kế toán (accountability)
Xác định trách nhiệm với bất kỳ sự kiện thông tin nào.
• Tính sẵn sàng (availability)
Các dịch vụ phải luôn sẵn sàng đáp ứng nhu cầu sử dụng của người dùng.
• Truy cập có điều khiển (controlled access)
Chỉ những thực thể có đủ thẩm quyền mới có thể truy cập các dịch vụ hoặc thông tin
1.2 Tổng quan về AAA
AAA(Điều khiển truy nhập – Access Control, Xác thực – Authentication, Kiểm
tra quản lý– Auditing ) là một nhóm các quá trình được sử dụng để bảo vệ dữ liệu,
thiết bị, tính bí mật của các thuộc tính và thông tin. AAA cung cấp:
- Tính bí mật (Confidentiality): Một trong những mục tiêu quan trọng nhất của
bảo mật thông tin là bảo đảm sự riêng tư của dữ liệu. Điều này có nghĩa là dữ
liệu hay thông tin của người nào thì chỉ người đó được biết và những người
khác không được quyền can thiệp vào. Trong thực tế, ở những khu vực riêng
của một cơ quan hay tổ chức nhằm ngăn chặn người lạ xâm nhập với bảng
cấm “không phận sự miễn vào” cũng là một hình thức bảo vệ tính riêng tư.
Đối với dữ liệu truyền để bảo vệ tính riêng tư (Confidentiality) thì dữ liệu
thường được mã hóa hay sử dụng các giao thức truyền thông an tòan như
SSH, SSL
6
Hình 1.1: Mục tiêu của bảo mật hệ thống
- Tính toàn vẹn (Integrity): Mục tiêu thứ hai trong bảo mật thông tin là bảo vệ
tính toàn vẹn cho dữ liệu. Nhằm bảo đảm khi dữ liệu truyền đi không bị thay
đổi bởi một tác nhân khác, ví dụ: khi một email quan trọng được gởi đi thì
thường được áp dụng các thuật toán bảo vệ tính tòan vẹn như chữ ký số nhằm
ngăn ngừa bị một tác nhân thứ 3 thay đổi bằng cách chặn bắt thông điệp trên.
- Tính sẵn dùng (Availability) : Các nội dung hay dữ liệu phải luôn sẵn sàng để
người dùng có thể truy cập và sử dụng nếu được phép. Ví dụ đối với một
trang Web phải luôn đảm bảo hoạt đông 24h/1ngày và 7ngày /1tuần để cho
người dùng có thể truy cập bất cứ lúc nào.
Để đạt được mục tiêu bảo mật AAA đối với dữ liệu và tài nguyên chúng ta cần
phải thực hiện ba công việc chính sau đây:
1.2.1 Điều khiển truy nhập – Access Control
Quá trình điều khiển truy cập là rất quan trọng. Điều khiển truy cập định nghĩa
cách thức người dùng và hệ thống liên lạc như thế nào và theo cách nào. Hay nói
cách khác, điều khiển truy cập giới hạn hay kiểm soát truy cập đến tài nguyên hệ
thống, bao gồm dữ liệu, và do đó bảo vệ thông tin khỏi những truy cập trái phép.
Điều khiển truy cập bao gồm 3 loại sau:
Điều khiển truy cập bắt buộc: Mandatory Access Control (MAC) là một mô
hình tĩnh sử dụng để thiết lập, xác định trước những quyền truy cập cho các tệp
trên hệ thống. Người quản trị hệ thống thiết lập quyền truy cập với những tham
số và kết hợp chúng với một tài khoản, các tệp hay các tài nguyên của hệ thống.
MAC sử dụng các nhãn để xác định mức độ quan trọng và áp dụng cho các đối
tượng. Khi một người dùng cố gắng truy cập vào một đối tượng, nhãn sẽ được
kiểm tra để xác định truy cập được phép xảy ra hay bị từ chối. Khi sử dụng
phương thức điều khiển truy cập này, tất cả các đối tượng đều phải có một nhãn
để xác định quyền truy cập.
Điều khiển truy cập tùy quyền: Discretionary Access Control (DAC) họat động
7
dựa trên định danh của người dùng, trong mô hình này người dùng được gán
quyền truy cập với các đối tượng như file, folder thông qua danh sách truy cập
(ACL), dựa trên sự phân quyền của chủ thể (owner) hay người tạo ra đối tượng
(creator).
Điều khiển truy cập dựa trên vai trò: Role – Based Access Control (RBAC) :
RBAC họat động dựa trên công việc của người dùng. Người dùng được cấp
quyền tùy theo vai trò và công việc. đây là mô hình rất thích hợp cho các môi
trường làm việc mà nhân sự có nhiều thay đổi.
1.2.2 Xác thực
Xác thực là ngưỡng cửa đầu tiên của hệ thống bảo mật, có nhiệm vụ xác định
được ai đang truy cập vào hệ thống, và đó có là một người sử dụng hợp lệ hay
không. Yếu tố xác thực là phần thông tin dùng để xác thực hoặc xác minh nhân dạng
(identity) của một người. Hệ thống xác thực hay phương thức xác thực dựa trên năm
yếu tố sau:
Những gì bạn biết. Ví dụ mật khẩu, mã PIN (Personal Identification
Number).
Những gì bạn có. Ví dụ thẻ chứng minh nhân dân (CMND), hộ chiếu, thẻ
thông minh, hay các thiết bị dùng để định danh .
Những gì là chính bạn. Ví dụ: dấu vân tay, giọng nói, hay chuỗi DNA.
Những gì bạn làm. Ví dụ: một hành động hay chuỗi hành động cần phải thực
hiện để hoàn thành xác thực.
Một nơi nào đó bạn ở. Ví dụ như dựa vào vị trí đang ở của bạn (hiện nay
nhiều hệ thống sử dụng tính toán di động, nên yếu tố xác thực này ít được sử
dụng).
Trên thực tế, nếu chỉ dùng một yếu tố để xác thực, độ an toàn sẽ không cao bằng
kết hợp nhiều yếu tố với nhau. Cũng giống như căn nhà, cửa chính nên được khóa
bằng nhiều ổ khóa. Nếu lỡ may chúng ta đánh rơi một chiếc chìa khóa, hay kẻ trộm
có thể bẻ gãy một ổ khóa, thì vẫn còn đó những ổ khóa khác, đủ làm nản lòng hoặc
chí ít là làm mất thời gian của kẻ trộm hơn khi phá cửa.
1.2.2.1 Giao thức xác thực mật khẩu( PAP – Password Authentication Protocol)
Phương pháp xác thực PAP dựa trên hai yếu tố chính: tên đăng nhập/mật
khẩu(username/password) là cách thông dụng nhất để kiểm tra một người dùng có
được quyền đăng nhập hoặc có quyền sử dụng tài nguyên hoặc hệ thống hay không.
Các ứng dụng thực tế của cơ chế này có rất nhiều như việc đăng nhập máy tính trên
màn hình logon, đăng nhập hộp thư điện tử
8
Hình 1.2: Xác thực sử dụng PAP
Theo cơ chế này thì khi người dùng cung cấp định danh, thông tin tài khỏan của
họ sẽ được chuyển đến một cơ sở dữ liệu để tìm và so sánh vơi các bản ghi (record)
trên hệ thống, nếu có sự trùng lặp xảy ra thì đây là người dùng hợp lệ và được đăng
nhập hệ thống. Trong trường hợp ngược lạ sẽ bị hệ thống từ chối cho phép truy cập.
Những thuận lợi của phương pháp này là cơ chế họat động đơn giản, dễ ứng dụng.
Nhưng kém an toàn vì các thông tin như Username & Password được gởi đi dưới
dạng văn bản thông thường (clear text) theo các giao thức không mã hóa như Telnet,
FTP, HTTP, POP... dễ dàng bị bắt lấy (bằng việc sử dụng các phần mềm sniffer như
Cain, Ethercap, IMSniff, Password ACE Sniff....) và sẽ bị xem trộm.
1.2.2.2 Kerberos
Một trong những điểm yếu của việc xác thực thông tin đăng nhập không mã hóa
(Cleartext) là thông tin nhạy cảm (username/password) dễ dàng bị đánh cắp bằng
các phương pháp nghe lén (Sniffer), tấn công phát lại (Replay attack) hay người đàn
ông ở giữa (Man in the middle), vì vậy một hệ thống xác thực mạnh mẽ và an toàn
đã được nghiên cứu bởi học viện MIT(Massachusetts Institute of Technology) trong
dự án Athena và ứng dụng thành công là Kerberos trên các hệ thống Windows
2000/2003/2008/2012, Linux, Unix. Mặc dù đây là một hệ thống họat động độc lập
không phụ thuộc vào nền của hệ thống nhưng cần có những sự tinh chỉnh riêng để
có thể tương thích giữa các hệ thống ví dụ muốn áp dụng Kerberos để chứng thực
cho hệ thống bao gồm Windows và Linux thì chúng ta cần có các dịch vụ hổ trợ
chẳng hạn SAMBA. Với đặc tính này, người dùng chỉ cần chứng thực một lần với
Trung tâm phân phối khóa (KDC – Key Distribution Center ) và sau đó có thể sử
dụng tất cả các dịch vụ khác đã được tin cậy (trust) theo những quyền hạn thích hợp
mà không cần phải tiến hành chứng thực lại với máy chủ hay dịch vụ mà mình sử
dụng. Ví dụ trong mô hình Windows Server 2008 Active Directory, sau khi tham
gia và đăng nhập domain các domain user có thể sử dụng các dịch vụ chia sẻ trên
9
mạng như File hay Print Server mà không cần phải cung cấp tên đăng nhập và mật
khẩu (username và password) khi kết nối đến các máy chủ này như khi họat động
trong môi trường WorkGroup. Đây là một ưu điểm lớn của việc ứng dụng Kerberos
nói chúng hay mô hình mạng sử dụng Active Directory nói riêng.
Các thành phần chính và cơ bản của một hệ thống kerberos:
Client: Người dùng (user), dịch vụ (service), máy (machine)
KDC : Trung tâm phân phối khóa (Key Distribution Center)
Máy chủ tài nguyên hoặc máy chủ lưu trữ.
Hình 1.3: Các thành phần chính của hệ thống chứng thực Kerberos
Để hiểu rõ về cơ chế làm việc của kerberos, chúng ta hãy xét một phiên chứng
thực khi một người dùng đăng nhập vào hệ thống để sử dụng các dịch vụ của hệ
thống đó. Bao gồm các bước sau đây:
1. Subject (client –máy khách hay còn gọi là người dùng) cung cấp thông tin
đăng nhập. Ví dụ: username và password.
2. Hệ thống Kerberos client tiến hành mã hóa password với thuật tóan Data
Encryption Standard (DES) sau đó truyền các thông tin đã được mã hóa đến KDC.
3. KDC sẽ xác nhận thông tin đăng nhập này và tạo một Ticket Granting Ticket
(TGT— là giá trị hash của password do người dùng (subject) cung cấp với giá trị
timestamp chỉ định thời gian sống (lifetime) của phiên truy cập. Giá trị TGT này sẽ
được mã hóa và gửi về cho client).
10
4. Client nhận TGT. Tại thời điểm này, người dùng (subject) xem như đã được
chứng thực trong mô hình Kerberos.
5. Khi người dùng có nhu cầu truy cập đến tài nguyên trên mạng, thì một yêu cầu
Service Ticket (ST) sẽ được gởi đến KDC.
6. KDC xác nhận giá trị TGT của client xem có còn hợp lệ không, nếu hợp lệ
KDC sẽ cấp ST cho client, giá trị ST này cũng kèm theo một timestame quy định
thời gian sử dụng
7. Client nhận ST từ KDC.
8. Client gởi ST đến network server cung cấp các dịch vụ cần truy cập, ví dụ
printer server.
9. Network server (ex. Print server) sẽ xác nhận ST. Nếu hợp lệ, một kênh truyền
thông sẽ được khởi tạo với client. Tại thời điểm này Kerberos sẽ không can thiệp
vào quá trình họat động của client và server nữa.
Hình 1.4: Quá trình chứng thực bằng kerberos
11
Với cơ chế quản lý chứng thực tập trung và có khả năng mở rộng, Kerberos
mang lại hiệu quả cao cho các mô hình mạng lớn. Trên hệ thống Windows OS, các
bạn có thể áp dụng Kerberos cho tổ chức của mình bằng cách triển khai hệ thống
Active Directory.
1.2.2.3 Challenge Handshake Authentication Protocol (CHAP)
CHAP là giao thức chứng thực được dùng chủ yếu trong các kết nối dial -up
(thường là PPP) với mục đích cung cấp một cơ chế truyền thông an tòan cho quá
trình đăng nhập của người dùng. CHAP sử dụng one-way hash để bảo vệ passwords
và tiến hành xác thực lại (reauthenticates)với các client một cách định kỳ.
Hình 1.5: Mô hình xác thực CHAP
Để hổ trợ quá trình đăng nhập và giúp cho client/server có thể xác thực lẫn nhau
CHAP khởi tạo một tiến trình xác thực của riêng nó theo trình tư như mô tả dưới
đây:
1. Sau khi người dùng nhập các thông tin đăng nhập và gởi đến server (client /
server đều sử dụng CHAP), CHAP sẽ tiến hành chức năng one-way hash (MD5,
SHA1) dựa trên password được cung cấp của người dùng (subject). Sau đó sẽ
chuyển username và giá trị hash đến máy chủ xác thưc(authentication server).
2. Authentication server so sánh username với cơ sở dữ liệu chứa tài khoản cùng
với giá trị hash để xác nhận người dùng có hợp lệ hay không.
3. Nếu quá trình so sánh có sự trùng khớp giữa thông tin được gởi từ client với
cơ sở dữ liệu trên server thì server sẽ truyền một chuổi thử thách(challenge) đến
client.
4. Client đáp ứng dựa trên chalenge string và phản hồi đền server.
5. Server phản hồi lại client.
6. Server so sánh các đáp ứng mà nó nhận từ client.
12
7. Nếu tất cả đều trùng khớp người dùng sẽ được chứng thực và cho phép
truyền thông với server
Hình 1.6: Minh họa quá trình xác thực của CHAP
Một khi client đã được chứng thực, CHAP sẽ gởi các chuổi ký tự thử thách với
thời gian ngẫu nhiên và client có nhiệm vụ phản hồi lại các chuỗi này với các đáp
ứng thích hợp nếu không kết nối sẽ tự động ngắt . Việc kiểm tra kết nối thông qua
các challenge string này giúp cho quá trình truyền thông không bị ảnh hưởng bởi
các dạng tấn công cướp phiên(Session Hijacking).
1.2.2.4 Thẻ bài – Token
Token hay thẻ bài là một thành phần vật lý như thẻ thông minh(smartcard) lưu
giữ các thông tin xác thực của người dùng. Trong các thẻ bài này sẽ chứa các thông
tin như mã PIN của người dùng, thông tin và mật mã đăng nhập. Chứng thực bằng
thẻ bài được cung cấp bởi phần cứng hoặc phần mềm. Quá trình chứng thực khi sử
dụng thẻ bài bao gồm một số bước:
Khởi đầu, tại một thời điểm bạn phải có một giá trị thẻ bài ngẫu nhiên(có thể
được sinh ra bởi phần cứng, hoặc phần mềm thông qua một thuật toán nào đó).
Người dùng khi đăng nhập vào hệ thống sẽ phải điền giá trị thẻ bài tại thời điểm
đó.
Hệ thống sẽ kiểm tra giá trị đó có trùng với giá trị tại thời điểm đó mà hệ thống
sinh ra hay không(sử dụng cùng một thuật toán với token của người dùng).
Nếu trùng khớp, quá trình chứng thực sẽ hoàn tất và người dùng có thể sử dụng
dịch vụ của hệ thống. Nếu không người dùng sẽ không đăng nhập vào hệ thống
được.
13
Hình 1.7: Xác thực sử dụng thẻ bài
1.2.2.5 Sinh trắc học – Biometric
Phương pháp xác thực dựa trên sinh trắc học là một phương pháp xác thực an
toàn nhất nhưng cũng tôn kém nhất.. Phương pháp này sẽ xác thực người dùng dựa
trên dấu vân tay, mắt, giọng nó hay khuôn mặt của người dùng.
Người ta chia phương thức xác thực bằng sinh trắc học ra làm các loại sau:
Xác thực bằng khuôn mặt
Xác thực bằng quét con ngươi mắt
Dấu vân tay
Nhận dạng bằng giọng nói
14
Hình 1.8: Xác thực bằng sinh trắc học
Hình 1.9: Xác thực bằng dấu vân tay
Hình 1.10: Xác thực bằng bàn tay
15
Hình 1.11: Xác thực bằng mống mắt
Hình1.12: Nhận dạng bằng khuôn mặt
Hình 1.13: Nhận dạng bằng giọng nói
16
1.2.2.6 Chứng chỉ - Certificate
Các chứng chỉ - Certificates được tạo ra và cung cấp bởi một bên đáng tin cậy
thứ 3 gọi là cơ quan chứng thực (CA – Certificate Authority). Quá trình xử lý (cấp
chứng chỉ số cho người dùng) là một phần của hệ thống sử dụng cấu trúc khóa công
khai (PIK – Public Infrastructure Key). Sau đây là một mô hình đơn CA.
Hình 1.14: Mô hình CA đơn
1.2.2.7 Chứng thực đa nhân tố - Multi factor Authentication
Là phương thức xác thực dựa trên 2 hay nhiều yếu tố của đối tượng. Một ví dụ
điển hình của cơ chế xác thực này là khi các bạn muốn rút tiền từ các trạm ATM thì
chúng ta cần có ít nhất 2 thành phần để máy ATM xác thực đó là thẻ ATM và mã
PIN đăng nhập của bạn (sử dụng 2 nhân tố đó là những gì bạn có – Thẻ ATM và
những gì bạn biết – PIN).
Hình 1.15: Chứng thực đa nhân tố
17
Khi sử dụng phương thức này hệ thống sẽ trải qua nhiều bước xử lý để chứng
thực người dùng. Sử dụng phương thức này thì an toàn hơn khi sử dụng chứng thực
một nhân tố. Tuy nhiên thời gian xử lý của hệ thống thường lâu và đôi khi gây khó
chịu với người dùng.
1.2.2.8 Đa chứng thực – Mutual Authentication
Mutual Authentication là một kỹ thuật xác thực mà cả hai phía đều có thể xác
nhận lẫn nhau , đầu tiên một dịch vụ hay tài nguyên sẽ xác nhận các thông tin của
client hay người dùng, máy trạm. Sau đó client sẽ xác nhận các đặc tính của máy
chủ hay nơi cung cấp dịch vụ.
Hình 1.16: Đa chứng thực
Mục đích của việc làm này là ngăn ngừa các client cung cấp thông tin nhạy cảm của
mình cho các dịch vụ thiếu tin cậy.
1.2.3 Kiểm tra quản lý – Auditing
Auditing cung cấp các phương thức để theo dõi, ghi lại các hoạt động ở trên
mạng và trong hệ thống, và xác định xem tài khoản người dùng nào hoặc tài nguyên
nào đang hoạt động.
Kiểm tra hệ thống: Việc kiểm tra phải xảy ra khi mà bạn đã hiểu hoàn toàn các
tiến trình đang chạy trên hệ thống. Khi bạn tạo ra các thủ tục để kiểm tra, bạn
phải ghi lại, giám sát các sự kiện theo dõi việc sử dụng và truy nhập cả được ủy
quyền và không được ủy quyền. Bạn phải xác định rõ là cần kiểm tra dịch vụ
nào, kiểm tra việc đăng nhập thành công, kiểm tra việc truy xuất vào một tài
nguyênđể có các phương thức, thủ tục thực hiện cho hợp lý.
Ghi lại (logging): Được cung cấp hầu hết trên các mạng và các hệ thống bao
gồm việc ghi lại một phần hay tất cả các hoạt động các sự kiện của tài nguyên.
Việc ghi lại này thường được sủ dụng để phân tích những vấn đề của hệ thống,
và nó cũng rất có ích trong việc tìm kiếm sự phát sinh về bảo mật.
18
Quét hệ thống (System Scanning): Là một phương thức sử dụng phần mềm hoặc
các câu lệnh (các script) dùng để xác định hiện trạng (cổng nào đang mở và dịch
vụ nào đang kết nối ra ngoài) và phát hiện ra các lỗ hổng bảo mật, các bản vá lỗi
còn thiếu của hệ thống.
1.3 Các thiết bị hạ tầng mạng
Các công ty, doanh nghiệp hay các tập đoàn đa quốc gia đang xây dựng hệ
thống mạng ngày càng phức tạp với quy mô ngày càng lớn. Các hệ thống mạng
này hoạt động sử dụng cả hai công nghệ có dây và không dây. Mặc dù sử dụng
công nghệ mạng có dây như cáp quang hay công nghệ mạng không dây thì các
phương thức truyền dữ liệu từ nơi này đến nơi khác ẩn chứa nhiều lỗ hổng và các
nguy cơ dễ bị khai thác. Nội dung phần này sẽ mô tả ngắn gọn về nhiệm vụ và
chức năng của các thiết bị thường gặp ở trong mạng.( Nhiều thiết bị mạng sử
dụng firmware có thể cấu hình. Vì mục đích bảo mật phải chứng thực với thiết bị
khi cấu hình. Thông thường chúng ta nên thay đổi những thông tin xác thực mặc
định của thiết bị cho lần sau đăng nhập)
1.3.1 Tường lửa - Firewall
Tường lửa là một trong những thiết bị đầu tiên bảo vệ trong hệ thống mạng.
Có nhiều loại tường lửa khác nhau, chúng có thể là các hệ thống độc lập hay
được tích hợp vào trong một số thiết bị khác như máy chủ hoặc Router. Chúng ta
có thể tìm thấy các giải pháp về tường lửa ở trên thị trường như là tường lửa
cứng hay tường lửa mềm. Nhiều loại tường lửa có thể là các phần mềm được
đính kèm và sẵn có trên các máy chủ hay máy trạm. Mục đích cơ bản của tường
lửa là ngăn chặn giữa mạng này với mạng khác. Chức năng chính của tường lửa
bao gồm một trong những chức năng sau.
Lọc gói tin: Cho phép hay từ chối gói tin đi qua dựa vào địa chỉ (các loại
ứng dụng) của gói tin mà không phân tích nội dung cụ thể của gói tin. Ví dụ
không cho phép giao thức Telnet đi qua thì tường lửa sẽ chặn cổng 23.
Tường lửa Proxy: Thường sẽ đứng ở giữa và xử lý những yêu cầu từ mạng
cần được bảo vệ với những mạng khác. Tường lửa Proxy kiểm tra dữ liệu và đưa
ra những quyết định dựa vào những luật được thiết lập trên nó. Một tường lửa
Proxy tiêu chuẩn thường sử dụng hai card mạng tách rời hai mạng khác nhau để
tăng cường bảo mật cho hệ thống.
Tường lửa kiểm tra trạng thái của gói tin (SPI- Statefull Packet Inspection):
Với công nghệ SPI, hệ thống tường lửa không chỉ dựa vào các thông số trong
Header như địa chỉ IP, TCP port, UDP Port mà nó còn dựa trên cả thông số
19
Sequence và các flag code (mã cờ). Việc kết hợp kiểm tra mào đầu và xét xem
gói tin có thuộc kết nối mới hay thuộc một kết nối đã được thiết lập từ trước sẽ
giúp lọc một cách hiệu quả hơn.
1.3.2 Bộ định tuyến – Router
Tính năng chính của bộ định tuyến là được sử dụng để kết nối hai hay
nhiều mạng với nhau. Bộ định tuyến là một thiết bị thông minh, chúng có thể lưu
những thông tin về các mạng mà chúng kết nối trực tiếp tới. Hầu hết, các bộ định
tuyến có thể cấu hình để hoạt động như một tường lửa lọc gói tin (dựa vào các
ACL mà người quản trị cấu hình). Bộ định tuyến là thiết bị đầu tiên của hệ thống
bảo vệ mạng và chúng phải được cấu hình để cho phép duy nhất lưu lượng mà
được người quản trị ủy quyền.
1.3.3 Bộ chuyển mạch – Switch
Switch là thiết bị đa cổng làm tăng hiệu năng hoạt động của hệ thống mạng.
Switch thường chứa ít thông tin về hệ thống mạng như bảng địa chỉ MAC.
Thông thường trong mạng LAN, việc sử dụng Switch mang lại hiệu quả cao hơn
về bảo mật(so với Hub) và hiệu năng chuyển mạch tốt hơn(so với Router).
1.3.4 Bộ cân bằng tải
Thiết bị Cân bằng tải dùng để chuyển “tải” từ một thiết bị này tới một thiết
bị khác. Thông thường các thiết bị cân bằng tải có thể là một máy chủ, nhưng
thuật ngữ này có thể được sử dụng cho một ổ đĩa cứng, CPU, hoặc hầu như bất
kỳ thiết bị nào muốn dùng để tránh quá tải. Cân bằng tải giữa nhiều máy chủ làm
giảm thời gian xử lý, tối đa hóa băng thông đi qua, và cho phép phân bổ tài
nguyên hệ thống tốt hơn. Thiết bị cân bằng tải có thể là một giải pháp phần mềm
hoặc phần cứng và nó thường được tích hợp vào trong một số thiết bị như router,
tường lửa, thiết bị NAT. Một ví dụ phổ biến nhất của thiết bị Cân bằng tải là tách
các lưu lượng dành cho một trang web sau đó luân chuyển đến các máy chủ khi
chúng trở nên có sẵn.
1.3.5 Proxies
Proxy là một máy chủ làm nhiệm vụ chuyển tiếp thông tin và kiểm soát tạo
sự an toàn cho việc truy cập của người dùng. Trong hệ thống mạng, việc sử dụng
Proxy giúp người dùng truy cập web nhanh hơn và an toàn hơn (do proxy có sử
dụng bộ nhớ đệm). Có thể lợi dụng Proxy để truy cập một số trang web mà nhà
cung cấp dịch vụ không cho vào.
20
1.3.6 Cổng bảo vệ Web (Web Security Gateway)
Một trong những thuật ngữ thông dụng và mới nhất là cổng bảo vệ Web.
Cổng bảo vệ Web hoạt động như Proxy (với tính năng cache sử dụng) được tích
hợp thêm phần mềm bảo vệ ở bên trong. Tùy thuộc vào các nhà cung cấp khác
nhau, Cổng bảo vệ Web có thể tích hợp một bộ quét virus tiêu chuẩn để kiểm tra
những gói tin đến và giám sát những lưu lượng đi ra của người dùng.
1.3.7 Hệ thống phát hiện xâm nhập
Hệ thống phát hiện xâm nhập (IDS - Intrusion Detection System) là phần
mềm chạy trên máy trạm hoặc trên các thiết bị mạng để giám sát và theo dõi các
hoạt động mạng. Bằng cách sử dụng một IDS, một quản trị mạng có thể cấu hình
hệ thống để hồi đáp giống như một hệ thống báo động. IDS có thể được cấu hình
để kiểm tra các bản ghi hệ thống, quan sát các hoạt động mạng đáng ngờ, và ngắt
kết nối phiên nếu xuất hiện vi phạm thiết lập mà người quản trị đưa ra. Trên thị
trường, nhiều nhà sản xuất đang bán IDS tích hợp với tường lửa và phương thức
này cho thấy nhiều hứa hẹn. Tường lửa có thể ngăn chặn nhiều cuộc tấn công
phổ biến, nhưng tường lửa không đủ khả năng để báo cáo và giám sát toàn bộ
lưu lượng mạng..
21
CHƯƠNG 2: TƯỜNG LỬA - FIREWALL
MỤC TIÊU
Học xong chương này sinh viên có thể:
o Trình bày được khái niệm và nhiệm vụ của tường lửa trong hệ thống mạng.
o Giải thích được nguyên lý hoạt động của tường lửa.
o Triển khai, cài đặt, cấu hình và quản lý một tường lửa mềm/cứng cơ
bản_ISA/TMG, Iptables, ASA.
o Tư vấn cho khách hàng lắp đặt một hệ thống tường lửa.
o Rèn luyện khả năng tư duy logic.
2.1. Tổng quan về Firewall
2.1.1 Khái niệm về Firewall
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để
ngăn chặn, hạn chế hỏa hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ thuật
được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các
nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng
có thể hiểu Firewall là một cơ chế để bảo vệ mạng tin tưởng (Trusted network) khỏi các
mạng không tin tưởng (Untrusted network).
Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một công ty,
tổ chức, ngành hay một quốc gia, và mạng Internet. Vai trò chính là bảo mật thông tin,
ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ
bên trong (Intranet) tới một số địa chỉ nhất định trên Internet. Firewall là một giải pháp
dựa trên phần cứng hoặc phần mềm dùng để kiểm tra và giám sát các lưu lượng đi qua
nó.
2.1.2. Mục đích của Firewall
Với Firewall, người sử dụng có thể yên tâm là đang được thực thi quyền giám
sát các dữ liệu truyền thông giữa máy tính của họ với các máy tính hay hệ thống khác.
Có thể xem Firewall là một người bảo vệ có nhiệm vụ kiểm tra "giấy thông hành" của
bất cứ gói dữ liệu nào đi vào máy tính hay đi ra khỏi máy tính của người sử dụng, chỉ
cho phép những gói dữ liệu hợp lệ đi qua và loại bỏ tất cả các gói dữ liệu không hợp lệ.
Firewall sẽ đảm bảo tất cả các dữ liệu đi vào là hợp lệ, ngăn ngừa những người
sử dụng bên ngoài đoạt quyền kiểm soát đối với máy tính của bạn. Chức năng kiểm soát
22
các dữ liệu đi ra của Firewall cũng rất quan trọng vì sẽ ngăn ngừa những kẻ xâm nhập
trái phép "cấy" những virus có hại vào máy tính của để phát động các cuộc tấn công
cửa sau tới những máy tính khác trên mạng Internet.
Thông thường, một Firewall gồm có ít nhất hai giao diện mạng: Chung và riêng,
giao diện chung kết nối với Internet, là phía mà mọi người có thể truy cập, giao diện
riêng là phía mà chứa các dữ liệu được bảo vệ. Trên một Firewall có thể có nhiều giao
diện riêng tuỳ thuộc vào số đoạn mạng cần được tách rời. Ứng với mỗi giao diện có
một bộ quy tắc bảo vệ riêng để xác định kiểu lưu thông có thể qua từ những mạng
chung và mạng riêng.
Firewall cũng có thể làm được nhiều việc hơn và cũng có nhiều thuận lợi và khó
khăn. Thông thường nhà quản trị mạng sử dụng Firewall như một thiết bị đầu nối VPN,
máy chủ xác thực hoặc máy chủ DNS. Tuy nhiên như bất kì một thiết bị mạng khác,
nhiều dịch vụ hoạt động trên cùng một máy chủ thì các rủi ro càng nhiều .Do đó, một
Firewall không nên chạy nhiều dịch vụ.
Firewall có ích cho việc bảo vể những mạng từ những lưu lượng không mong
muốn. Nếu một mạng không có các máy chủ công cộng thì Firewall là công cụ rất tốt
để từ chối những lưu lượng đi vào, những lưu lượng mà không bắt đầu từ một máy ở
Hình 2.1. Firewall được đặt ở giữa mạng riêng và mạng công cộng
23
sau Firewall, Một Firewall cũng có thể được cấu hình để từ chối tất cả các lưu lượng
ngoại trừ cổng 53 đã dành riêng cho máy chủ DNS.
Sức mạnh của Firewall nằm trong khả năng lọc lưu lượng dựa trên một tập hợp
các quy tắc bảo vệ, còn gọi là quy tắc bảo vệ do các nhà quản trị đưa vào. Đây cũng có
thể là nhược điểm lớn nhất của Firewall, bộ quy tắc xấu hoặc không đầy đủ có thể mở
lối cho kẻ tấn công, và mạng có thể không được an toàn.
2.1.3. Phân loại FIREWALL
2.1.3.1 Phân loại theo nguyên lý hoạt động
- Packet Filtering Firewall: là hệ thống tường lửa giữa các thành phần bên
trong mạng và bên ngoài mạng có kiểm soát.
- Application-proxy Firewall: là hệ thống cho phép kết nối trực tiếp giữa các
máy khách và các host.
Hình 2.2. Mạng gồm có Firewall và các máy chủ
24
a. Packet Filtering Firewall
Đây là kiểu Firewall thông dụng hoạt động dựa trên lớp 3 trong mô hình OSI.
Firewall mức mạng thường hoạt động theo nguyên tắc lọc gói tin dựa các luật lệ về
quyền truy cập mạng dựa trên mức mạng. Ở kiểu hoạt động này các gói tin đều được
kiểm tra địa chỉ nguồn nơi chúng xuất phát. Sau khi địa chỉ IP nguồn được xác định, nó
sẽ tiếp tục được kiểm tra với các luật đã đặt ra trên Firewall.
Với phương thức hoạt động như vậy, các Firewall hoạt động ở lớp mạng có tốc
độ xử lý nhanh vì nó chỉ kiểm tra địa chỉ IP nguồn mà không cần biết địa chỉ đó là địa
chỉ sai hay bị cấm. Đây chính là hạn chế của kiểu Firewall này vì nó không đảm bảo
tính tin cậy.
Lỗ hổng của kiểu Firewall này là nó chỉ sử dụng địa chỉ IP nguồn để làm chỉ thị.
Khi một gói tin mang địa chỉ nguồn là địa chỉ giả thì nó sẽ vượt qua được một số mức
truy nhập để vào bên trong mạng.
Firewall kiểu packet filtering chia làm hai loại:
- Packet filtering firewall: Hoạt động tại lớp mạng (Network Layer) của mô
hình OSI. Các luật lọc gói tin dựa trên các trường trong IP header, transport
header, địa chỉ IP nguồn và địa chỉ IP đích
Internet Private
Network
Security perimeter
Packet
filtering
router
- Circuit level gateway: Hoạt động tại lớp phiên (Session Layer) của mô hình
OSI. Mô hình này không cho phép các kết nối end to end.
Hình 2.3. Packet filtering firewall
25
Hình 2.4. Circuit level gateway
Outside host
Inside host
in
in
in
out
out
out
outside
connection
inside
connection
Circuit level
gateway
b. Application-proxy firewall
Khi một kết nối từ một người dùng nào đó đến mạng sử dụng Firewall kiểu này
thì kết nối đó sẽ bị chặn lại, sau đó Firewall sẽ kiểm tra các trường có liên quan của gói
tin yêu cầu kết nối. Nếu việc kiểm tra thành công, có nghĩa là các trường thông tin đáp
ứng được các luật đặt ra trên Firewall thì Firewall sẽ tạo mộ cầu kết nối cho gói tin đi
qua.
* Ưu điểm:
- Không có chức năng chuyển tiếp các gói tin IP.
- Điều khiển một cách chi tiết hơn các kết nối thông qua Firewall.
- Đưa ra công cụ cho phép ghi lại quá trình kết nối.
* Nhược điểm:
- Tốc độ xử lý khá chậm.
- Sự chuyển tiếp các gói tin IP khi mộ máy chủ nhận được mộ yêu cầu từ mạng
ngoài rồi chuyển chúng vào mạng trong chính là lỗ hổng cho hacker xâm
nhập.
- Kiểu firewallnày hoạt động dựa trên ứng dựng phần mềm nên phải tạo cho
mỗi dịch vụ trên mạng một trình ứng dựng uỷ quyền (proxy) trên Firewall
(Ex. Ftp proxy, Http proxy).
* Firewall kiểu Application- proxy chia thành hai loại:
26
- Applicatin level gateway: Hoạt động ở lớp ứng dụng (Application Layer)
trong mô hình TCP/IP.
Outside host Inside host
outside
connection
inside
connection
Application
level gateway
TELNET
HTTP
SMTP
FTP
- Stateful multilayer inspection firewall: Đây là loại Firewall kết hợp được tính
năng của các loại Firewall trên, mô hình này lọc các gói tin tại lớp mạng và
kiểm tra nội dung các gói tin tại lớp ứng dụng. Loại Firewall này cho phép
các kết nối trực tiếp giữa client và host nên giảm thiểu được lỗi, nó cung cấp
các tính năng bảo mật cao và trong suốt đối với End Users.
2.1.3.2 Phân loại theo cấu tạo Firewall
a. Firewall phần cứng
Về tổng thể, Firewall phần cứng cung cấp mức độ bảo vệ cao hơn so với
Firewall phần mềm và dễ bảo trì hơn. Firewall phần cứng cũng có một ưu điểm khác là
không chiếm dụng tài nguyên hệ thống trên máy tính như Firewall phần mềm.
Firewall phần cứng là một lựa chọn rất tốt đối với các doanh nghiệp nhỏ, đặc
biệt cho những công ty có chia sẻ kết nối Internet. Có thể kết hợp Firewall và một bộ
định tuyến trên cùng một hệ thống phần cứng và sử dụng hệ thống này để bảo vệ cho
toàn bộ mạng. Firewall phần cứng có thể là một lựa chọn đỡ tốn chi phí hơn so với
Firewall phần mềm thường phải cài trên mọi máy tính cá nhân trong mạng.
Trong số các công ty cung cấp Firewall phần cứng có thể kể tới Linksys
( và NetGear ( Tính năng Firewall phần
cứng do các công ty này cung cấp thường được tích hợp sẵn trong các bộ định tuyến
dùng cho mạng của các doanh nghiệp nhỏ và mạng gia đình.
Hình 2.5. Application-proxy firewall
27
b. Firewall phần mềm
Nếu không muốn tốn tiền mua Firewall phần cứng thì bạn có thể sử dụng
Firewall phần mềm. Về giá cả, Firewall phần mềm thường không đắt bằng firewall
phần cứng, thậm chí một số còn miễn phí (phần mềm Comodo Firewall Pro 3.0, PC
Tools Firewall Plus 3.0, ZoneAlarm Firewall 7.1 ) và có thể tải về từ mạng Internet.
So với Firewall phần cứng, Firewall phần mềm cho phép người quản trị linh
động hơn, nhất là khi cần đặt lại các thiết lập cho phù hợp hơn với nhu cầu riêng của
từng công ty. Chúng có thể hoạt động tốt trên nhiều hệ thống khác nhau, khác với
Firewall phần cứng tích hợp với bộ định tuyến chỉ làm việc tốt trong mạng có qui mô
nhỏ. Firewall phần mềm cũng là một lựa chọn phù hợp đối với máy tính xách tay vì
máy tính sẽ vẫn được bảo vệ cho dù mang máy tính đi bất kỳ nơi nào.
Từ các phiên bản Windows XP2 trở lên, Firewall đã được tích hợp sẵn trên hệ
điều hành.
* Ưu điểm:
- Không yêu cầu phần cứng bổ sung.
- Không yêu cầu chaỵ thêm dây máy tính.
- Môṭ lưạ choṇ tốt cho các máy tính đơn lẻ.
* Nhược điểm:
- Chi phí thêm: hầu hết các tường lửa phần mềm tốn chi phí.
- Viêc̣ cài đăṭ và và đăṭ cấu hình có thể cần để bắt đầu.
- Cần môṭ bản sao riêng cho mỗi máy tính.
2.1.4. Mô hình kiến trúc của FIREWALL
Kiến trúc thông thường của hệ thống sử dụng Firewall như sau:
28
Server Server
Server
Computer Computer Computer
ComputerComputer
Router
Computer
The
Internet
Internet
router
FIREWALL
Các hệ thống Firewall đều có điểm chung ở các cấu trúc cụ thể như sau:
Hình 2.6. Kiến trúc của hệ thống sử dụng Firewall
Hình 2.7. Cấu trúc chung của một hệ thống Firewall
29
Trong đó:
- Screening Router: là chặng kiểm soát đầu tiên cho LAN.
- DMZ: là vùng có nguy cơ bị tấn công từ internet.
- Gateway Host: là cổng ra vào giữa mạng LAN và DMZ, kiểm soát mọi liên
lạc, thực thi các cơ chế bảo mật.
- IF1 (Interface 1): là card giao tiếp với vùng DMZ.
- IF2 (Interface 2): là card giao tiếp với vùng mạng LAN.
- FTP Gateway: Kiểm soát truy cập FTP giữa LAN và vùng FTP từ mạng
LAN ra internet là tự do. Các truy cập FTP vào LAN đòi hỏi xác thực thông
qua Authentication server.
- Telnet gateway: Kiểm soát truy cập telnet tương tự như FTP, người dùng có
thể telnet ra ngoài tự do, các telnet từ ngoài vào yêu cầu phải xác thực thông
qua Authentication server.
- Authentication server: là nơi xác thực quyền truy cập dùng các kỹ thuật xác
thực mạnh như one-time password/token (mật khẩu sử dụng một lần).
Tất cả các Firewall đều có chung một thuộc tính là cho phép phân biệt đối xử
hay khả năng từ chối truy nhập dựa trên các địa chỉ nguồn. Nhờ mô hình Firewall mà
các máy chủ dịch vụ trong mạng LAN được bảo vệ an toàn, mọi thôn tin trao đổi với
internet đều được kiểm soát thông qua gateway.
2.1.4.1. Kiến trúc Dual - Homed host (máy chủ trung gian)
Firewall kiến trúc kiểu Dual-homed host được xây dựng dựa trên máy tính Dual-
homed host. Một máy tính được gọi là Dual-homed host nếu có ít nhất hai Network
interfaces, có nghĩa là máy đó có gắn hai card mạng giao tiếp với hai mạng khác nhau
và như thế máy tính này đóng vai trò là router phần mềm. Kiến trúc Dual-homed host
rất đơn giản. Dual-homed host ở giữa, một bên được kết nối với Internet và bên còn lại
nối với mạng nội bộ (LAN).
Dual-homed host chỉ có thể cung cấp các dịch vụ bằng cách ủy quyền (proxy)
chúng hoặc cho phép users đăng nhập trực tiếp vào Dual-homes host. Mọi giao tiếp từ
30
một host trong mạng nội bộ và host bên ngoài đều bị cấm, Dual-homed host là nơi giao
tiếp duy nhất.
Remote User
User UserUser
Internet
Firewall Dual-homed
host
Internal network
2.1.4.2. Kiến trúc Screend Host
Screened host có cấu trúc ngược lại với cấu trúc Dual-homed host, kiến trúc này
cung cấp các dịch vụ từ một host bên trong mạng nội bộ, dùng một router tách rời với
mạng bên ngoài. Trong kiểu kiến trúc này, bảo mật chính là phương pháp Packet
Filtering.
Bastion host được đặt bên trong mạng nội bộ, Packet Filtering được cài trên
router. Theo cách này, Bastion host là hệ thống duy nhất trong mạng nội bộ mà những
host trên Internet có thể kết nối tới. Mặc dù vậy, chỉ những kiểu kết nối phù hợp (được
thiết lập trong Bastion host) mới được phép kết nối. Bất kỳ một hệ thống bên ngoài nào
cố gắng truy cập vào hệ thống hoặc các dịch vụ bên trong đều phải kết nối tới host này.
Vì thế, Bastion host là host cần phải được duy trì ở chế độ bảo mật cao. Packet Filtering
cũng cho phép Bastion host có thể mở kết nối ra bên ngoài.
Cấu hình của packet filtering trên screening router như sau :
Hình 2.8. Kiến trúc Dual - Homed host
31
- Cho phép tất cả các host bên trong mở kết nốt tới host bên ngoài thông qua
một số dịch vụ cố định.
- Không cho phép tất cả các kết nối từ host bên trong (cấm những host này sử
dụng dịch vụ proxy thông qua Bastion host).
- Bạn có thể kết hợp nhiều lối vào cho những dịch vụ khác nhau.
- Một số dịch vụ được phép đi vào trực tiếp qua packet filtering.
- Một số dịch vụ khác thì chỉ được phép đi vào gián tiếp qua proxy.
Bởi vì kiến trúc này cho phép các packet đi từ bên ngoài vào mạng bên trong, nó
dường như nguy hiểm hơn kiến trúc Dual-homed host, vì thế nó được thiết kế để không
một packet nào có thể tới được mạng bên trong. Tuy nhiên trên thực tế thì kiến trúc
Dual-homes host đôi khi cũng có lỗi mà cho phép một packet thật sự đi từ bên ngoài
vào bên trong (bởi vì những lỗi này hoàn toàn không biết trước, nó hầu như không được
bảo vệ để chống lại những kiểu tấn công này) . Hơn nữa, kiến trúc Dual-homes host thì
dễ dàng bảo vệ router (là máy cung cấp rất ít các dịch vụ) hơn là bảo vệ các host bên
trong mạng.
Xét về toàn diện thì kiến trúc Screened host cung cấp độ tin cậy cao hơn và an
toàn hơn kiến trúc Dual-homed host.
So sánh với mộ số kiến trúc khác, chẳn hạn như kiến trúc Screened subnet thì
kiến trúc Screened host có một số bất lợi. Bất lợi chính là nếu kẻ tấn công tìm cách xâm
nhập Bastion host thì không có cách nào để ngăn tách giữa Bastion host và các host còn
lại bên trong mạng nội bộ. Router cũng có một số điểm yếu là nếu router bị tổn thương,
toàn bộ mạng sẽ bị tấn công.
Vì lý do này mà Screened subnet trở thành kiến trúc phổ biến nhất.
32
Remote User
User UserUser
Internet
Firewall Screening
Router
Internal network
Bastion Host
2.1.4.3. Kiến trúc Screened Subnet
Nhằm tăng cường khả năng bảo vệ mạng nội bộ, thực hiện chiến lược phòng thủ
theo chiều sâu, tăng cường sự an toàn cho bastion host, tách bastion host khỏi các host
khác, phần nào tránh lây lan một khi bastion host bị tổn thương, người ta đưa ra kiến
trúc Firewall có tên là Screened subnet.
Kiến trúc Screened subnet dẫn xuất từ kiến trúc Screened host bằng cách thêm
vào phần an toàn: mạng ngoại vi (perimeter network) nhằm cô lập mạng nội bộ ra khỏi
mạng bên ngoài, tách bastion host ra khỏi các host thông thường khác. Kiểu Screen
subnet đơn giản bao gồm hai screened router:
- Router ngoài (External router còn gọi là access router): nằm giữa mạng ngoại
vi và mạng ngoài có chức năng bảo vệ cho mạng ngoại vi (bastion host,
interior router). Nó cho phép ngững gì outbound từ mạng ngoại vi. Một số
quy tắc packet filtering đặc biệt được cài ở mức cần thiết đủ để bảo vệ
bastion host và interior router vì bastion host còn là host được cài đặt an toàn
ở mức cao. Ngoài các quy tắc đó, các quy tắc khác cần giống nhau giữa hai
router.
- Router trong (Interior router còn gọi là choke router): nằm giữa mạng ngoại
vi và mạng nội bộ, nhằm bảo vệ mạng nôi bộ trước khi ra ngoài và mạng
ngoại vi. Nó không thực hiện hết các quy tắc packet filtering của toàn bộ
firewall. Các dịch vụ mà interior router cho phép giữa bastion host và mạng
Hình 2.9. Kiến trúc Screened host
33
nội bộ, giữa bên ngoài và mạng nội bộ không nhất thiết phải giống nhau. Giới
hạn dịch vụ giữa bastion host và mạng nội bộ nhằm giảm số lượng máy (số
lượng dịch vụ trên các máy này) có thể bị tấn công khi bastion host bị tổn
thương và thỏa hiệp với bên ngoài. Chẳng hạn nên giới hạn các dịch vụ được
phép giữa bastion host và mạng nội bộ như SMTP khi có Email từ bên ngoài
vào, có lẽ chỉ giới hạn kết nối SMTP giữa bastion host và email server bên
trong.
Internet
User User User User
Internal Network
Interior Router
Perimeter Network
Exterior Router
Bastion Host
2.2 Tường lửa mềm ISA2006, TMG 2010 & IPtables
2.2.1 ISA 2006
ISA 2006 (Internet Security and Acceleration) được thiết kế chủ yếu để hoạt động như
một tường lửa, hòng đảm bảo rằng tất cả những ‘traffic’ không trông đợi từ Internet
được chặn lại bên ngoài mạng của tổ chức. Đồng thời, ISA Server có thể cho phép các
‘user’ bên trong mạng tổ chức truy cập một cách có chọn lọc đến các tài nguyên
Internet và ‘user’ trên Internet có thể truy cập vào tài nguyên trong mạng tổ chức sao
cho phù hợp với các ‘rule’ của ISA Server, chẳng hạn như máy chủ Web hoặc Mail của
tổ chức. Có thể hình dung ISA Server được triển khai trên vành đai bao quanh mạng tổ
chức, là nơi kết nối mạng tổ chức với một mạng khác bên ngoài (như Internet).
ISA Server được thiết kể để bảo vệ vành đai của mạng tổ chức. Trong hầu hết
trường hợp, vành đai này là giữa mạng cục bộ (LAN) của tổ chức và mạng dùng chung
Hình 2.10. Kiến trúc Screened Subnet
34
(như Internet). Hình bên dưới cho chúng ta một ví dụ đơn giản về việc triển khai một
ISA Server.
Hình 2.11 Vị trí của ISA trong hệ thống mạng
Mạng bên trong (‘interal network’) hay gọi là mạng được bảo vệ thường được
đặt trong tổ chức và có sự giám sát của nhân viên IT trong tổ chức. ‘Internal network’
coi như đã được bảo mật một cách tương đối, tức là, thông thường những ‘user’ đã
được chứng thực mới có quyền truy cập vật lý đến ‘interal network’. Ngoài ra, Nhân
viên IT có thể quyết định những loại ‘traffic’ nào được cho phép trên ‘internal
network’.
Thâṃ chí cho dù ‘interal network’ an toàn hơn Internet, thì baṇ cũng không nên
có ý nghi ̃sai lầm rằng, baṇ chỉ cần bảo vê ̣vành đai maṇg. Để bảo vê ̣maṇg của baṇ môṭ
cách đầy đủ, baṇ phải vac̣h ra kế hoac̣h bảo vê ̣theo chiều sâu, nó bao gồm nhiều bước
để đảm bảo cho maṇg của baṇ đươc̣ an toàn, thâṃ chí trong trường hơp̣ vành đai bị
“thủng”. Nhiều cuôc̣ tấn công maṇg gần đây như ‘virus’ và ‘worm’ đa ̃ tàn phá những
maṇg có vành đai an toàn. ISA Server là thiết yếu trong viêc̣ bảo vê ̣ vành đai maṇg,
nhưng baṇ đừng nghi,̃ sau khi triển khai ISA Server thì viêc̣ của baṇ đa ̃xong.
Một tổ chức không có sự giám sát xem ai truy cập Internet hoặc bảo mật các
‘traffic’ của mạng trên Internet. Thì bất kỳ một người nào trên thế giới với một kết nối
Internet đều có thể xác định và truy cập vào các kết nối Internet khác sử dụng hầu như
bất kỳ giao thức và ứng dụng gì. Ngoài ra, những gói tin trên mạng (‘network packet’)
gửi qua Internet không đươc̣ an toàn, bởi vì chúng có thể bị bắt lấy và xem trộm bởi bất
kỳ ai đang chạy ‘packet sniffer’ trên một phân đoạn mạng Internet. ‘Packet Sniffer’ là
một ứng dụng mà bạn có thể sử dụng để bắt lấy và xem tất cả các ‘traffic’ trên một
35
mạng, điều kiện để bắt được ‘traffic’ mạng là ‘packet sniffer’ phải kết nối được đến
phân đoạn mạng giữa hai ‘router’.
Internet là một phát minh khó tin và đầy quyến rũ. Bạn có thể tìm kiếm trên
mạng này nhiều thông tin hữu ích. Bạn có thể gặp gỡ những người khác, chia sẽ với họ
sở thích của bạn và giao tiếp với họ. Nhưng đồng thời Internet cũng là một nơi nguy
hiểm, rất đơn giản, bởi lẽ ai cũng truy cập được. Ví dụ, Internet không thể biết được ai
là một người dùng bình thường vô hại, ai là tội phạm mạng – những kẻ phá hoại, cả hai
đều có quyền truy cập Internet. Điều đó có nghĩa là, không sớm thì muộn, khi tổ chức
của bạn tạo một kết nối đến Internet thì kết nối đó sẽ được phơi bài ra cho bất kỳ ai kết
nối Internet. Đó có thể là một người dùng hợp pháp tìm kiếm thông tin trên Website của
tổ chức, đó cũng có thể là kẻ xấu cố gắng ‘deface’ toàn bộ dữ liệu trên Website hoặc
đánh cấp dữ liệu khách hàng từ tổ chức của bạn. Vì đó là bản chất hết sức tự nhiên của
Internet, việc bảo mật cho nó là hầu như không thể. Nên tốt nhất, bước đầu tiên trong
việc bảo vệ kết nối Internet của bạn là xem tất cả ‘user’ kết nối đến bạn đều là “kẻ xấu”
cho tới khi “thân phận” của họ được chứng minh.
ISA Server hoạt động như một tường lửa
Tường lửa (firewall) là một thiết bị được đặt giữa một phân đoạn mạng với một
phân đoạn mạng khác trong một mạng. Firewall được cấu hình với những ‘rule’ lọc
‘traffic’, trong đó định nghĩa những loại ‘network traffic’ sẽ được phép đi qua. Firewall
có thể được bố trí và cấu hình để bảo vệ mạng của tổ chức, hoặc được bố trí bên trong
để bảo vệ một vùng đặc biệt trong mạng.
Trong hầu hết trường hợp, firewall được triển khai ở vành đai mạng. Chức năng chính
của firewall trong trường hợp này là đảm bảo không có ‘traffic’ nào từ Internet có thể
tới được ‘internal network’ của tổ chức trừ khi nó được cho phép. Ví dụ, trong tổ chức
bạn có một ‘internal Web Server’ cần cho ‘internet user’ có thể tới được. Firewall có
thể được cấu hình để cho phép các ‘traffic’ từ Internet chỉ được truy cập đến Web
Server đó.
Về mặc chức năng ISA Server chính là một firewall. Bởi mặc định, khi bạn triển
khai ISA Server, nó sẽ khóa tất cả ‘traffic’ giữa các mạng mà nó làm Server, bao gồm
36
‘internal network’, vùng DMZ(*) và Internet. ISA Server 2006 dùng 3 loại quy tắc lọc
(‘filtering rule’) để ngăn chặn hoặc cho phép ‘network traffic’, đó là: packet filtering,
stateful filtering và application-layer filtering.
Packet Filtering – Lọc gói tin
Packet filtering làm việc bằng cách kiểm tra thông tin ‘header’ của từng
‘network packet’ đi tới firewall. Khi ‘packet’ đi tới giao tiếp mạng của ISA Server, ISA
Server mở ‘header’ của ‘packet’ và kiểm tra thông tin (địa chỉ nguồn và đích, ‘port’
nguồn và đích). ISA Server so sánh thông tin này dựa vào các ‘rule’ của firewall, đã
định nghĩa ‘packet’ nào được cho phép. Nếu địa chỉ nguồn và đích được cho phép, và
nếu ‘port’ nguồn và đích được cho phép, ‘packet’ được đi qua firewall để đến đích. Nếu
địa chỉ và ‘port’ không chính xác là những gì được cho phép, ‘packet’ sẽ bị đánh rớt và
không được đi qua firewall.
Stateful Filtering – Lọc trạng thái
Stateful filtering dùng một sự kiểm tra thấu đáo hơn đối với ‘network packet’ để
dẫn đến quyết định có cho qua hay là không. Khi ISA Sever dùng một sự xem xét kỹ
trạng thái, nó kiểm tra các ‘header’ của Internet Protocol (IP) và Transmission Control
Protocol (TCP) để xác định trạng thái của một ‘packet’ bên trong nội dung của những
‘packet’ trước đó đã đi qua ISA Server, hoặc bên trong nội dung của một phiên
(‘session’) TCP.
Ví dụ, một ‘user’ trong ‘internal network’ có thể gửi một ‘request’ đến một Web
Server ngoài Internet. Web Server đáp lại ‘request’ đó. Khi ‘packet’ trả về đi tới
firewall, firewall kiểm duyệt thông tin ‘TCP session’ (là một phần của ‘packet’).
Firewall sẽ xác định rằng ‘packet’ thuộc về một ‘session’ đang hoạt động mà đã được
khởi tạo bởi một ‘user’ trong ‘internal network’, vì thế ‘packet’ được chuyển đến máy
tính của ‘user’ đó. Nếu một ‘user’ bên ngoài mạng cố gắng kết nói đến một máy tính
bên trong mạng tổ chức, mà firewall xác định rằng ‘packet’ đó không thuộc về một
‘session’ hiện hành đang hoạt động thì ‘packet’ sẽ đị đánh rớt.
Application-Layer Filtering – Lọc lớp ứng dụng
37
ISA Server cũng dùng bộ lọc ‘application-layer’ để ra quyết định một ‘packet’
có được cho phép hay là không. ‘Application-layer filtering’ kiểm tra nội dung thực tế
của ‘packet’ để quyết định liêu ‘packet’ có thể được đi qua firewall hay không.
‘Application filter’ sẽ mở toàn bộ ‘packet’ và kiểm tra dữ liệu thực sự bên trong nó
trước khi đưa ra quyết định cho qua.
Ví dụ, một ‘user’ trên Internet có thể yêu cầu một trang từ ‘internal Web Server’
bằng cách dùng lệnh “GET” trong giao thức HTTP (Hypertext Transfer Protocol). Khi
‘packet’ đi tới firewall, ‘application filter’ xem xét kỹ ‘packet’ và phát hiện lệnh
“GET”. ‘Application filter’ kiểm tra chính sách của nó để quyết định.
Nếu một ‘user’ gửi một ‘packet’ tương tự đến Web Server, nhưng dùng lệnh
“POST” để ghi thông tin lên Web Server, ISA Server một lần nữa kiểm tra ‘packet’.
ISA Server nhận thấy lệnh “POST”, dựa vào chính sách của mình, ISA Server quyết
định rằng lệnh này không được phép và ‘packet’ bị đánh rớt.
HTTP application filter’ được cung cấp cùng với ISA Server 2006 có thể kiểm tra bất
kỳ thông tin nào trong dữ liệu, bao gồm: ‘virus signature’, chiều dài của ‘Uniform
Resource Location’ (URL), nội dung ‘page header’ và phần mở rộng của ‘file’. Ngoài
‘HTTP filter’, ISA Server còn có những ‘application filter’ khác dành cho việc bảo mật
những giao thức và ứng dụng khác.
Các ‘firewall’ mềm hiện nay xử lý lọc ‘packet’ và ‘stateful’. Tuy nhiên, nhiều
‘firewall’ không có khả năng thực hiện việc lọc lớp ứng dụng (‘application-layer’). Và
‘application-layer filtering’ đã trở thành một trong những thành phần thiết yếu trong
việc bảo mật vành đai mạng.
Ví dụ, giả định rằng tất cả các tổ chức đều cho phép ‘HTTP traffic (port 80)’ từ
‘internal network’ đến Internet. Kết quả là, nhiều ứng dụng giờ đây có thể hoạt động
thông qua giao thức ‘HTTP’. Chẳng hạn như Yahoo! Messenger và một vài ứng dụng
mạng ngang hàng chia sẽ ‘file’ như KazaA. ‘HTTP traffic’ cũng có thể chứa ‘virus’ và
mã độc (‘malicious code’). Cách ngăn chặn những ‘network traffic’ không mong muốn,
trong khi vẫn cho phép sử dụng ‘HTTP’ một cách phù hợp, chỉ có thể thực hiện được
bằng việc triển khai một ‘firewall’ có khả năng lọc lớp ứng dụng. ‘Application-layer
38
firewall’ có thể kiểm tra nội dung của các ‘packet’ và ngăn ‘traffic’ trên phương thức
‘HTTP’ (để ngăn ứng dụng) hoặc ‘signature’ (để ngăn ‘virus’, mã độc hại, hoặc ứng
dụng). ISA Server chính xác là một loại ‘application-layer firewall’ tinh vi, và vì thế mà
trở nên thiết yếu trong việc bảo vệ mạng.
Hình 2.12 Sơ đồ triển khai VPN qua ISA
Vành đai maṇg đa ̃ trở nên khó điṇh nghiã hơn theo như kic̣h bản trong hình 2.
Kic̣h bản này cũng khiến viêc̣ bảo mâṭ kết nối Internet khó khăn hơn rất nhiều. Cho dù
là vâỵ ISA Server đươc̣ thiết kế để đem laị sư ̣an toàn theo yêu cầu ở vành đai mạng. Ví
du,̣ theo kic̣h bản trong hình 2, ISA Server có thể đem laị sư ̣an toàn cho vành đai, bằng
cách thưc̣ hiêṇ các viêc̣ như sau:
Cho phép truy câp̣ năc̣ danh đến Website dùng chung (‘public website’), trong
khi đó loc̣ ra ma ̃đôc̣ haị nhắm đến viêc̣ gây haị Website.
Chứng thưc̣ ‘user’ từ tổ chức của đối tác trước khi gán quyền truy câp̣ đến
Website dùng riêng (‘private website’).
Cho phép truy câp̣ VPN giữa những vùng điạ lý khác nhau, nhờ đó ‘user’ ở chi
nhánh văn phòng có thể truy câp̣ đến tài nguyên trong ‘interal network’.
Cho phép nhân viên ở xa truy câp̣ ‘internal Mail Server’, và cho phép ‘client’
truy câp̣ VPN đến ‘internal File Server’.
39
Áp đăc̣ chính sách truy câp̣ Internet của tổ chức hòng giới haṇ những giao thức
đươc̣ dùng tới ‘user’, và loc̣ từng ‘request’ để chắc chắn ho ̣chỉ đang truy câp̣ đến các
tài nguyên Internet cho phép.
2.2.2 TMG 2010
Microsoft Forefront Threat Management Gateway (TMG) 2010, một thế hệ mới
của phần mềm tường lửa phát triển trên nền tảng Microsoft Internet Security
Acceleration (ISA) 2006, tích hợp các tính năng mới có khả năng cảnh báo, ngăn chặn
tấn công và lọc các mã độc hại khi truy cập Internet. Hơn thế nữa, Microsoft Forefront
TMG 2010 chính là phiên bản tích hợp các ứng dụng: Microsoft ISA Server 2006,
Forefront Client Security, Forefront Security for Exchange Server và Forefront Security
for Sharepoint nên nó cung cấp các đặc điểm nổi bật về bảo mật như:
- Bảo vệ hệ thống đa dạng và hoàn thiện.
- Phát hiện Virus, Malware và ngăn chặn tấn công.
- Giao diện quản lý thân thiện và dễ dàng.
- Giám sát hệ thống mạng được tăng cường.
Theo Microsoft giới thiệu thì Forefront TMG là một bức tường lửa (Firewall) là
chương trình chuyên về bảo mật hệ thống mạng. Mọi thông tin ra vào hệ thống của
chúng ta đều phải qua Forefront TMG kiểm duyệt rất kỹ lưỡng. Microsoft Forefront
TMG 2010 cho phép thiết lập bảo mật hệ thống mạng LAN, các người dùng trong công
ty sử dụng Internet để kinh doanh mà không cần lo ngại về phầm mềm độc hại và các
mối đe dọa khác. Nó cung cấp nhiều lớp bảo vệ liên tục được cập nhật, bao gồm tất cả
các tính năng được tích hợp vào một, TMG cho phép bạn dễ quản lý mạng, giảm chi
phí và độ phức tạp của việc bảo mật Web. Hay nói cách khác khi dựng Forefront TMG
lên mô hình mạng của chúng ta sẽ được chia ra làm 3 phần riêng biệt:
- Internal Network - Bao gồm tất cả máy tính có trong mạng chúng ta.
- Local Host - là một bức tường ngăn cách giữa mạng chúng ta và thế giới,
chính là máy Forefront TMG.
- External Network - là mạng Internet, như vậy mạng Internet được xem như
là một phần trong mô hình Forefront TMG mà thôi.
40
Hình 0.13: Mô hình tổng quan 3 lớp mạng của tường lửa
Cùng với Forefront Unified Access Gateway (UAG), TMG là một bổ sung mới
cho bộ sản phẩm Forefront Edge. TMG chủ yếu là nhắm mục tiêu vào các tình huống
bên ngoài, chẳng hạn như những người tạo ra bởi các Host trên mạng được bảo vệ;
UAG chủ yếu là nhắm mục tiêu vào các tình huống bên trong, như trong trường hợp
Microsoft SharePoint hoặc Exchange, Web Publishing.
Hai phiên bản của TMG là:
- TMG Medium Business Edition (MBE) trong đó có sẵn trong một phiên
bản độc lập hoặc với Windows Essential Bussiness Server(EBS)
- TMG 2010 cho tất cả các triển khai khác.
Bảng 0-1: So sánh các tính năng của TMG MBE và TMG FULL
41
Các tính năng chính của TMG 2010
Hình 0.11: Các tính năng chính trong Forefront TMG 2010
Hình 0.12: Những tính năng nổi bật của Forefront TMG 2010
Enhanced Voice over IP - Cho phép kết nối & sử dụng VoIP thông qua TMG.
ISP Link Redundancy - Hỗ trợ Load Balancing & Failover cho nhiều đường
truyền Internet.
Web Anti-Malware - Quét Virus, phần mềm độc hại & các mối đe dọa khác khi
truy cập Web.
URL Filtering - Cho phép hoặc cấm truy cập các trang Web theo danh sách phân
loại nội dung sẵn có như: nội dung không lành mạnh, mua bán.
42
HTTPS Inspection - Kiểm soát các gói tin được mã hóa HTTPS để phòng chống
phần mềm độc hại & kiểm tra tính hợp lệ của các SSL Certificate.
E-mail Protection Subscription Service - Tích hợp với Forefront Protection 2010
for Exchange Server & Exchange Edge Transport Server để kiểm soát Virus,
Malware, Spam E-mail trong hệ thống Mail Exchange.
Network Inspection System (NIS) - Ngăn chặn các cuộc tấn công dựa vào lỗ hổng
bảo mật.
Network Access Protection (NAP) Integration - Tích hợp với NAP để kiểm tra
tình trạng an toàn của các Client trước khi cho phép Client kết nối VPN.
Security Socket Tunneling Protocol (SSTP) Integration - Hỗ trợ VPN-SSTP.
Windows Server 2008 with 64-bit Support - Hỗ trợ Windows Server 2008 &
Windows Server 2008 R2 64-bit.
2.2.3 Iptables
Iptables là một tường lửa ứng dụng lọc gói dữ liệu rất mạnh, miễn phí và có sẵn
trên Linux. Netfilter/Iptables gồm 2 phần là Netfilter ở trong nhân Linux và Iptables
nằm ngoài nhân. Iptables chịu trách nhiệm giao tiếp giữa người dùng và Netfilter để
đẩy các luật của người dùng vào cho Netfiler xử lí. Netfilter tiến hành lọc các gói dữ
liệu ở mức IP. Netfilter làm việc trực tiếp trong nhân, nhanh và không làm giảm tốc độ
của hệ thống.
Iptables được chia làm 4 bảng (table): bảng filter dùng để lọc gói dữ liệu, bảng nat
dùng để thao tác với các gói dữ liệu được NAT nguồn hay NAT đích, bảng mangle
dùng để thay đổi các thông số trong gói IP và bảng contrack dùng để theo dõi các kết
nối. Mỗi table gồm nhiều mắc xích (chain).
43
Chain gồm nhiều luật (rule) để thao tác với các gói dữ liệu. Rule có thể là
ACCEPT (chấp nhận gói dữ liệu), DROP (thả gói), REJECT (loại bỏ gói) hoặc tham
chiếu (reference) đến một chain khác.
44
Hình 2.16: Quá trình xử lý gói tin của Iptables
Gói dữ liệu (packet) chạy trên chạy trên cáp mạng sau đó đi vào card mạng (chẳng
hạn như eth0). Đầu tiên packet sẽ qua chain PREROUTING (trước khi định tuyến). Tại
đây, packet có thể bị thay đổi thông số (mangle) hoặc bị đổi địa chỉ IP đích (DNAT).
Đối với packet đi vào máy, nó sẽ qua chain INPUT. Tại chain INPUT, packet có thể
được chấp nhận hoặc bị hủy bỏ. Tiếp theo packet sẽ được chuyển lên cho các ứng dụng
(client/server) xử lí và tiếp theo là được chuyển ra chain OUTPUT. Tại chain
OUTPUT, packet có thể bị thay đổi các thông số và bị lọc chấp nhận ra hay bị hủy bỏ.
Đối với packet forward qua máy, packet sau khi rời chain PREROUTING sẽ qua chain
FORWARD. Tại chain FORWARD, nó cũng bị lọc ACCEPT hoặc DENY. Packet sau
khi qua chain FORWARD hoặc chain OUTPUT sẽ đến chain POSTROUTING (sau khi
định tuyến). Tại chain POSTROUTING, packet có thể được đổi địa chỉ IP nguồn
(SNAT) hoặc MASQUERADE. Packet sau khi ra card mạng sẽ được chuyển lên cáp để
đi đến máy tính khác trên mạng.
45
2.3 Tường lửa cứng ASA
2.3.1 Giới thiệu về ASA
Cisco ASA viết tắt của từ: Cisco Adaptive Security Appliance. ASA là một giải
pháp bảo mật hàng đầu của Cisco. Hiện tại ASA là sản phẩm bảo mật dẫn đầu trên thị
trường về hiệu năng và cung cấp các mô hình phù hợp doanh nghiệp, tích hợp các giải
pháp bảo mật mạng khác như VPN, IPS, IDS
Dòng sản phẩm ASA giúp tiết kiệm chi phí, dễ dàng triển khai cho các doanh nghiệp.
Nó bao gồm các thuộc tính sau:
+ Bảo mật thời gian thực, hệ điều hành độc quyền của Cisco;
+ Công nghệ Stateful firewall sử dụng thuật toán SA của Cisco;
+ Sử dụng Cut through proxy để chứng thực telnet, http. ftp;
+ Chính sách bảo mật mặc định gia tăng bảo vệ mức tối đa và cũng có khả
năng tùy chỉnh những chính sách này và xây dựng lên chính sách của riêng
doanh nghiệp;
+ VPN: hỗ trợ các phương thức mã hóa như IPSec, SSL và L2TP;
+ Tích hợp hệ thống ngăn ngừa và phát hiện xâm nhập IDS/IPS;
+ NAT động, NAT tĩnh, NAT port (PAT) ;
+ Sử dụng đặc tính SNR (Sequence Number Randomization) để tăng bảo mật
cho phiên kết nối
+ Ảo hóa các chính sách sử dụng Context.
Cisco ASA có tất cả 7 model khác nhau. Dòng sản phẩm này phân loại khác
nhau cho các tổ chức nhỏ đến mô hình doanh nghiệp vừa hay cho nhà cung cấp dịch vụ
ISP. Mô hình càng cao thì thông lượng, số port, chi phí càng cao. Sản phẩm bao gồm :
ASA 5505, 5510, 5520, 5540, 5550, 5580, 5585-x
Hình 2.17 Sản phẩm ASA 5550
Ví dụ như thông số của dòng ASA 5550
Bảng 2.2 Các đặc tính của ASA 5550
46
2.3.2 Triển khai một số tính năng của ASA trong hệ thống mạng
2.3.2.1 Chuyển đổi địa chỉ - NAT
Để giải quyết vấn đề tiết kiệm không gian địa chỉ, cũng như giải quyết vấn đề sử
dụng địa chỉ IP Private và truy cập mạng Public, tổ chức IETF đã phát triển RFC 1631.
RFC 1631 định nghĩa quá trình thực hiện NAT. Điều này cho phép dịch chuyển từ địa
chỉ Private trong mào đầu của gói tin IP đến một địa chỉ IP Public khác và ngược lại.
Một trong những lợi ích chính của NAT là việc thoải mái sử dụng số lượng địa chỉ ip
private rộng lớn, hơn 17 triệu địa chỉ/ Điều này bao gồm 1 lớp địa chỉ mạng lớp A, 16
địa chỉ mạng lớp B và 256 địa chỉ mạng lớp C. Khi sử dụng địa chỉ Ip private dù có đổi
nhà cung cấp dịch vụ, cũng sẽ không cần phải đánh lại địa chỉ cho các thiết bị trong
mạng cục bộ mà chỉ phải thay đổi cấu hình NAT trên firewall để trùng với địa chỉ IP
public mới. Bởi vì tất cả các lưu lượng phải đi firewall để đến các thiết bị có địa chỉ IP
private, có thể điều khiển điều này bằng cách sau:
- Những nguồn mà Internet truy cập vào mạng bên trong (LAN)
- User nào trên mạng Inside được phép truy cập Internet
47
a. Một số thuật ngữ sử dụng trong NAT
Để hiểu tốt hơn về các câu lệnh được sử dụng trên firewall để cấu hình NAT, cần
phải hiểu một vài thuật ngữ thường được sử dụng trong NAT
- Inside: Những địa chỉ được translate, thường là địa chỉ Ip private cho các thiết bị
bên trong mạng LAN hay địa chỉ public mua từ ISP
- Outside: Những địa chỉ được cấp phát trên Internet
- Inside Local: Những địa chỉ Private được gán cho các host nằm bên trong mạng
LAN
- Inside Global: Những địa chỉ public được gán cho Inside host. Thường thì đây là
pool địa chỉ được cấp bởi ISP
- Outside Global: Những địa chỉ được gán cho các thiết bị Outside device
b. Một số mô hình và ví dụ triển khai
48
Hình 2.18 Ví dụ cấu hình NAT tĩnh
49
Hình 2.19 Ví dụ về cấu hình PAT
2.3.2.2 Điều khiển truy cập – Access Control
Access control list (ACL) là một tập hợp các quy tắc hay chính sách bảo mật
dùng để cho phép (permit) hoặc từ chối (deny) các gói tin dựa vào phần header và các
thuộc tính khác của gói tin. Mỗi dòng permit hoặc deny trong ACL được gọi là Access
Control Entry (ACE). Sau khi cấu hình xong ACL thì ta phải áp nó vào một interface
thì ACL mới phát huy tác dụng. Có 2 điểm khác biệt chính giữa ACL trên router và
ACL trên ASA. Điểm thứ nhất, đó là chỉ có gói tin đầu tiên mới bị xử lý bởi ACL trên
ASA. Đối với các giao thức được ASA thực hiện stateful inspection, sau khi kết nối đã
được ACL cho phép thì tất cả các gói tin tiếp theo (của cùng kết nối đó) đều không bị
kiểm tra bởi bất kỳ ACL nào. Trên Cisco IOS router thì tất cả các gói tin đều bị xử lý
bởi ACL. Điểm thứ hai đó là cú pháp ACL trên router sử dụng wildcard mask, trong khi
ACL trên ASA sử dụng đúng cú pháp của subnet mask.
Bảng 2.3 So sánh giữa ACL trong ASA và Cisco Router
50
a) Standard ACL
Giống như IOS Router, Firewall ASA hỗ trợ Standard ACL để lọc packet dựa trên địa
chỉ IP. Tuy nhiên với Standard ACL, Firewall không thể sử dụng để lọc traffic vào ra
Interface
Cú pháp
b) Extended ACL
Có thể lọc lưu lượng vào ra trên một interface dựa vào địa chỉ IP nguồn và đích, giao
thức sử dụng và Lọc địa chỉ nguồn và địch, giao thức, ứng dụng
51
c) ACL theo thời gian
ACL theo thời gian có thể được thực thi hoặc vô hiệu phụ thuộc vào thời gian mà ta cấu
hình
Ví dụ bạn cần cho phép truy cập vào Server từ 8h00 am đến 6h00 pm
Tạo time ranges
d) Kiểm tra cấu hình ACL
Để liệt kê các câu lệnh trong ACL có hai lựa chọn. Đầu tiên Show run access-list và
show run access-group để hiển thị cấu hình trong running-config.
-ciscoasa(config)# show running-config
Nếu không muốn xem ACL đơn, có thể xem toàn bộ các ACL sử dụng lệnh.
- ciscoasa(config)# show access-list
2.3.2.3 Web content
Ở phần trên ta đã tìm hiểu về các khả năng lọc của các thiết bị trong đó có cả
ACLs. Nhưng hạn chế của ACLs là nó chỉ có thể lọc địa chỉ lớp network và transport
trong mô hình tham chiếu OSI. Mà chúng không thể đọc được nội dung thông tin
(những thông tin được tải về). Trong trường hợp các Hacker muốn tấn công bằng cách
tạo ra các applet Java độc hại hoặc ActiveX mà người dùng sẽ tải về để tạo hoặc chạy
các ưng dụng đó. Một vấn đề của ACLs là một ACL có thể chấp nhận hay từ chối cổng
TCP 80, trong đó có bao gồm cả applet Java nói ở trên. Nó không thể lọc chỉ một ứng
dụng apple Java được. Tương tự như vậy, ACL cũng có vấn đề khi giao dịch với bộ lọc
nội dung các trang web. Có ba giải pháp cho những vấn đề này. Các giải pháp đầu tiên
là khả năng các thiết bị lọc trên Java và kịch bản ActiveX được nhúng vào trong các kết
nối HTTP. Giải pháp thứ hai cho lọc nội dung cho phép các thiết bị để làm việc với
52
phần mềm lọc nội dung của bên thứ ba để lọc HTTP và FTP. Giải pháp thứ ba là sự hỗ
trợ cho Web Cache các giao thức truyền thông (WCCP), cho phép các thiết bị để
chuyển hướng các yêu cầu web tới một máy chủ web bên ngoài bộ nhớ cache để tải về
nội dung.
Nội dung trong phần này bao gồm:
▼ Lọc JavaScript và ActiveX
■ Web content
▲ Web caching
a. Giải pháp lọc Java và ActiveX
Các thiết bị có thể lọc cả Javascript và kịch bản activeX mà không cần bất kỳ
phần mềm bổ sung hay các thành phần phần cứng nào. Về cơ bản các thiết bị cho
nhúng HTML với lệnh và thay thế chúng với những phản hồi. Một trong số
lệnh bao gồm: , , và CLASSID> .Tính năng
lọc này cho phép bạn ngăn chặn việc tải các applet độc hại và các kịch bản cho máy
tínhcủa người dùng trong khi vẫn cho phép tải nội dung trang web. Một lợi thế của việc
sử dụng các thiết bị là chúng cung cấp một điểm trung tâm cho chính sách lọc của bạn.
Tuy nhiên, bộ lọc chỉ có thể được thực hiện dựa trên địa chỉ IP của một máy chủ
web.Vì vậy, không có khả năng lọc một trình duyệt hoặc lọc một nội dung có động cơ
xấu, nhưng có thể sử dụng các thiết bị kết hợp với các công cụ khác, như cài đặt trình
duyệt an toàn và nội dung một công cụ lọc, để cung cấp bảo mật tối đa cho hệ thống
mạng. Hai phần sau đây thảo luận làm thế nào để lọc Java applet và kịch bản ActiveX
trên các thiết bị của bạn.
b. Web content
Một trong những mối quan tâm của nhiều công ty khi kết nối với Internet là các
loại thông tin mà nhân viên của họ đang tải về máy tính để bàn của họ.Tuy nhiên có
một vài nghiên cứu đã được thực hiện, và trung bình 30-40% lưu lượng truy cập
Internet của công ty là mục đích không phục vụ cho việc kinh doanh của họ.Trong một
số trường hợp, thông tin mà nhân viên tải về có thể gây khó chịu cho các nhân viên
khác. Thông tin này có thể là từ nội dung khiêu dâm tới nội dung chính trị hay tôn giáo.
Rất nhiều các nội dung được tải về như báo giá cổ phiếu và truyền âm thanh và video là
vô hại, nhưng có thể sử dụng băng thông đắt tiền. Các thiết bị có khả năng hạn chế và
ngắt kết nối khi lọc nội dung web. Một giải pháp khả năng mở rộng nhiều hơn nữa là
phải có các thiết bị làm việc với các sản phẩm của bên thứ ba để cung cấp tính năng lọc
web toàn diện. Các phần dưới đây bao gồm các thiết bị và sản phẩm lọc web tương tác
như thế nào, các sản phẩm lọc của bên thứ ba mà các thiết bị hỗ trợ, và cấu hình các
thiết bị lọc web.
Tiến trình lọc web
53
Để thực hiện lọc nội dung web, đôi khi còn được gọi là lọc web, có hai công việc chính
là:
- Chính sách phải được xác định là xác định những gì được hoặc là không được phép
của người sử dụng.
- Các chính sách phải được thi hành.
Hai phương pháp thực hiện các quá trình này thường được triển khai trong các mạng là
ứng dụng proxy và thay đổi Proxy.
Ứng dụng proxy
Với một proxy ứng dụng, cả hai thành phần định nghĩa và thực thi chính sách được
thực hiện trên một máy chủ. Trình duyệt web hoặc là người sử dụng được cấu hình để
trỏ đến các proxy, hoặc lưu lượng truy cập của họ chuyển hướng đến proxy.
Với một proxy ứng dụng, các bước sau đây xảy ra khi người dùng muốn tải về nội dung
trang web:
1. Người sử dụng sẽ mở ra một trang web.
2. Tất cả các kết nối được chuyển hướng đến các máy chủ proxy ứng dụng, mà có thể
yêu cầu người dùng xác thực trước khi truy cập bên ngoài được cho phép.
3. Proxy ứng dụng kiểm tra một (nhiều) kết nối và so sánh nó với danh sách của các
chính sách cấu hình.
4. Nếu kết nối là không được phép, người sử dụng thường được hiển thị một trang web
về vi phạm chính sách.
5. Nếu kết nối được cho phép, proxy mở các kết nối cần thiết đểtải về nội dung. Nội
dung sau đó được truyền lại qua ban đầu của người dùng kết nối và được hiển thị trong
trình duyệt web của người dùng.
Thay đổi Proxy
Một proxy đổi chia tách ra hai thành phần chính sách: một máy chủ bên ngoài có
danh sách các luật, và một thiết bị mạng thực hiện các chính sách lưu lượng truy cập
web thông qua nó. Các thiết bị hỗ trợ phương pháp tiếp cận proxy sửa đổi: bộ lọc nội
dung web, các thiết bị phải tương thích với một máy chủ nội dung web bên ngoài. Hình
dưới đây cho thấy sự tương tác giữa người sử dụng thực tế, thiết bị, chính sách máy
chủ, và các máy chủ web bên ngoài.
c. Web caching
Bộ nhớ đệm Web được sử dụng để giảm độ trễ và số tiền của lưu lượng khi tải
nội dung trang web. Giả sử một bộ nhớ cache web máy chủ được triển khai, khi người
dùng truy cập một trang web,nội dung được tải về lưu trữ trên máy chủ cache. Sau đó
truy cập cùng một nội dung sau đó được cung cấp từ máy chủ bộ nhớ cache địa phương
so với tải về các nội dungtừ máy chủ gốc. Truyền thông Web Cache Protocol (WCCP)
cho phép các thiết bị an ninh tương tác với bộ nhớ cache web bên ngoài và / hoặc các
máy chủ lọc.
Tiến trình WCCP
54
Để hiểu được những lợi ích mà WCCP cung cấp, ta sẽ đi qua quá trình thiết bị đi qua
khi sử dụng WCCP:
1. Người sử dụng sẽ mở ra một trang web, nơi kết nối (hoặc những kết nối) tạo ra
các
cách để đi đến các thiết bị.
2. Các thiết bị chặn các kết nối yêu cầu web này lại, đóng gói nó trong một Generic
Routing Encapsulation (GRE) gói tin để ngăn chặn thay đổi bởi thiết bị trung
gian
và chuyển tiếp đến bộ nhớ cache web của máy chủ .
3. Nếu nội dung được lưu trữ trong máy chủ, trùng với yêu cầu đó thì nó trả lại trực
tiếp nội dung cho người sử dụng.
4. Nếu nội dung không được lưu trữ trong máy chủ, yêu cầu được gửi đến các thiết
bị, và thiết bị cho phép kết nối giữa người dùng tới máy chủ web gốc. Đối với
bước 3 trong suốt quá trình chuyển hướng, thiết bị không thêm kết nối bảng liên
kết và do đó không thực hiện bất kỳ theo dõi trạng thái của TCP, không ngẫu
nhiên số thứ tự TCP trong tiêu đề TCP, không thực hiện Cut-through Proxy.
2.3.2.4 Modular Policy Framework
Modular Policy Framework (MPF) là cấu trúc mà ASA dùng để định nghĩa các
chính sách kiểm tra (inspection policies) cho lưu lượng. Với MPF, ta có thể định nghĩa
một tập hợp các chính sách để phân loại lưu lượng, và sau đó đưa ra hành động đối với
các lưu lượng đã được phân loại đó. MPF không thay thế cho ACL, mà nó chỉ đơn giản
cho phép ASA có thể thực hiện thêm nhiều hành động khác đối với lưu lượng.
MPF gồm có 3 thành phần sau:
Class map: Dùng để phân loại lưu lượng, được cấu hình bằng lệnh class-
map
Policy map: Đưa ra các hành động với lưu lượng đã được phân loại, được
cấu hình bằng lệnh policy-map
Service policy: Áp các chính sách đã cấu hình vào một hoặc nhiều giao
diện của ASA, được cấu hình bằng lệnh service-policy.
55
CHƯƠNG 3: CÔNG NGHỆ VPN
MỤC TIÊU
Học xong chương này sinh viên có thể:
o Trình bày được khái niệm, lợi ích của công nghệ VPN
o Trình bày được nguyên lý hoạt động của VPN
o Triển khai, cài đặt, cấu hình được công nghệ VPN cho doanh nghiệp
o Tư vấn cho khách hàng triển khai công nghệ VPN.
o Rèn luyện khả năng tư duy logic.
3.1. Tổng quan về VPN
3.1.1 Khái niệm
Mạng riêng ảo hay còn được gọi với từ viết tắt VPN, đây không phải là một khái
niệm mới trong công nghệ mạng. VPN có thể được định nghĩa như là một dịch vụ mạng
ảo được triển khai trên cơ sở hạ tầng của hệ thống mạng công cộng với mục đích tiết
kiệm chi phí cho các kết nối điểm - điểm. Hai đặc điểm quan trọng của công nghệ VPN
là “riêng” và “ảo” tương ứng với hai thuật ngữ tiếng anh (Virtual and Private). VPN có
thể xuất hiện tại bất cứ lớp nào trong mô hình OSI, VPN là sự cải tiến cơ sở hạ tầng
mạng WAN, làm thay đổi và làm tăng tính chất của mạng cục bộ cho mạng WAN.
56
Hình 3.1: Mô hình VPN
3.1.2 Lợi ích của VPN
- VPN làm giảm chi phí thường xuyên: VPN cho phép tiết kiệm chi phí thuê
đường truyền và giảm chi phí phát sinh cho nhân viên ở xa nhờ vào việc họ truy cập
vào hệ thống mạng nội bộ thông qua các điểm cung cấp dịch vụ ở địa phương POP
(Point of Presence), hạn chế thuê đường truy cập của nhà cung cấp đến giá thành cho
việc kết nối Lan – to – Lan giảm đi đáng kể so với việc thuê đường Leased - line.
- Giảm chi phí quản lý và hỗ trợ: Với việc sử dụng dịch vụ của nhà cung cấp,
chúng ta chỉ phải quản lý các kết nối đầu cuối tại các chi nhánh mạng, đồng thời tận
dụng cơ sở hạ tầng của mạng Internet và đội ngũ kỹ thuật của nhà cung cấp dịch vụ.
- VPN đảm bảo an toàn thông tin, tính toàn vẹn và xác thực: Dữ liệu truyền trên
mạng được mã hóa bằng các thuật toán và được truyền trong các đường hầm (Tunnel)
nên thông tin có độ an toàn cao.
- VPN dễ dàng kết nối các chi nhánh thành mạng nội bộ: VPN có thể dễ dàng kết
nối hệ thống mạng giữa các chi nhánh của một công ty và văn phòng trung tâm thành
một mạng LAN với chi phí thấp.
- VPN hỗ trợ các giao thức mạng thông dụng nhất hiện nay như TCP/IP: thông tin
được gửi đi trên VPN đã được mã hóa do đó các địa chỉ trên mạng riêng được che giấu
và chỉ sử dụng các địa chỉ bên ngoài Internet.
3.1.3 Chức năng của VPN
VPN cung cấp 3 chức năng chính:
- Sự tin cậy (Confidentiality) : Người gửi có thể mã hóa các gói dữ liệu trước khi
truyền chúng ngang qua mạng nên không ai có thể truy nhập thông tin mà không được
phép.
- Tính toàn vẹn dữ liệu (Data Integrity) : Người nhận có thể kiểm tra rằng dữ liệu
đã được truyền qua mạng internet mà không có sự thay đổi nào.
- Xác thực nguồn gốc (Origin authentication) : Người nhận có thể xác thực
nguồn gốc của gói dữ liệu, đảm bảo và công nhận nguồn thông tin.
57
3.1.4 Các thành phần cần thiết tạo nên kết nối VPN
- User authentication: cung cấp cơ chế chứng thực người dùng, cho phép người
dùng hợp lệ kết nối vào hệ thống VPN
- Address management : cung cấp địa chỉ IP hợp lệ cho người dùng sau khi gia
nhập hệ thống VPN để có thể truy cập tài nguyên trên mạng nội bộ.
- Data Encryption : cung cấp giải pháp mã hóa dữ liệu trong quá trình truyền
nhằm đảm bảo tính riêng tư và toàn vẹn dữ liệu.
- Key Management : cung cấp giải pháp quản lý các khóa dùng cho quá trình mã
hóa và giải mã dữ liệu.
Phụ thuộc vào kiểu VPN (truy nhập từ xa Remote Access hay kết nối ngang
hàng Site-to-Site), một số thành phần nhất định cần thiết để hình thành VPN:
- Phần mềm máy trạm cho mỗi người dùng xa.
- Các thiết bị phần cứng riêng biệt, ví dụ như: Bộ trung tâm (VPN Concentrator)
hoặc tường lửa (Secure PIX Firewall).
- Các máy chủ VPN sử dụng cho dịch vụ quay số.
- Máy chủ truy cập NAS (Network Access Server) dùng cho các người dùng VPN
ở xa truy nhập.
- Trung tâm quản lý mạng và chính sách VPN.
3.1.5 Phân loại VPN
3.1.5.1 VPN Remote Access
Hình 3.2: VPN Remote Access
58
VPN Remote Access: Hay cũng được gọi là Virtual Private Dial - up Network
(VPDN), đây là dạng kết nối User – to – Lan áp dụng cho các công ty mà các nhân viên
có nhu cầu kết nối tới mạng riêng (Private network) từ các địa điểm từ xa.
Mỗi công ty có thể cài đặt một mạng kiểu Remote – Access diện rộng theo các
tài nguyên từ một nhà cung cấp dịch vụ ESP (Enterprise Service Provider). ESP cài đặt
một công nghệ Network Access Server (NAS) và cung cấp cho các user ở xa với phần
mềm client trên mỗi máy của họ.
Một đặc điểm quan trọng của VPN Remote Access là: cho phép người dùng di
động truy cập từ xa vào hệ thống mạng nội bộ trong công ty để làm việc.
Để thực hiện được VPN Remote Access cần :
- Có 01 VPN Getway (có 01 IP Public). Đây là điểm tập trung xử lý khi VPN Client
quay số truy cập vào hệ thống VPN nội bộ.
- Các VPN Client kết nối vào mạng Internet.
3.1.5.2 VPN Site-to-Site
Hình 3.3: VPN Site - to – Site
VPN Site - to – Site: Bằng việc sử dụng một thiết bị chuyên dụng và cơ chế bảo
mật diện rộng, mỗi công ty có thể tạo kết nối với rất nhiều các site qua một mạng công
cộng như Internet.
Các mạng VPN Site – To – Site có thể thuộc hai dạng:
59
- Intranet: Intranet VPN mở rộng các dịch vụ của mạng nội bộ tới các trụ sở ở
xa, đây là một mô hình liên mạng hướng phi kết nối qua một mạng WAN dùng chung.
Yêu cầu ở đây là phải thực hiện được tất cả các dịch vụ mạng đã được thực hiện ở
mạng trung tâm.
- Extranet: Liên kết các khách hàng, các nhà cung cấp, hay cộng đồng người
sử dụng vào mạng Intranet của một tổ chức trên nền hạ tầng mạng công cộng sử dụng
các đường truyền thuê bao. Giải pháp này cũng cung cấp các chính sách như trong
mạng riêng của một tổ chức như đảm bảo tính bảo mật, tính ổn định.
Về mặt kiến trúc thì Intranet và Extranet tương tự nhau, tuy nhiên điểm khác
biệt giữa chúng là phạm vi các ứng dụng cho phép các đối tác Extranet VPN sử dụng.
So với Intranet VPN thì vấn đề tiết kiệm chi phí không rõ bằng nhưng điều quan trọng
là khả năng cộng tác với các đối tác, khách hàng hay các nhà cung cấp sản phẩm. Việc
để cho khách hàng nhập trực tiếp dữ liệu về các hợp đồng vào hệ thống sẽ tiết kiệm
được rất nhiều thời gian cũng như các lỗi không đáng có, tuy nhiên việc này rất khó
thực hiện với công nghệ WAN truyền thống. Extranet VPN thường sử dụng các kết nối
dành riêng và thêm vào các lớp bảo mật để xác thực và giới hạn truy nhập trên hệ
thống.
Để thực hiện được VPN Site-to-Site cần:
- Có 02 VPN Getway ( Mỗi VPN Getway có 01 IP Public). Đây là điểm tập trung
xử lý khi VPN Getway phía bên kia quay số truy cập vào.
- Các Client kết nối vào hệ thống mạng nội bộ.
3.2. Một số giao thức mã hóa trong VPN
Hiện nay có nhiều giải pháp để giải quyết hai vấn đề về đóng gói dữ liệu và an
toàn dữ liệu trong VPN, dựa trên nền tảng là các giao thức đường hầm. Một giao thức
đường hầm sẽ thực hiện đóng gói dữ liệu với phần Header (và có thể cả Trailer) tương
ứng để truyền qua Internet. Giao thức đường hầm là cốt lõi của giải pháp VPN và hiện
có 4 giao thức đường hầm được sử dụng trong VPN đó là :
- Giao thức định hướng lớp 2 : L2F ( Layer 2 Forwarding)
60
- Giao thức đường hầm điểm – điểm : PPTP (Point to point Tunneling protocol)
- Giao thức đường hầm lớp 2 : L2TP (Layer 2 tunneling protocol)
- Giao thức bảo mật IP : IPSec (Internet Protocol Security)
- Giao thức GRE (Generic Routing Encapsulation)
3.2.1 Giao thức định hướng lớp 2 : L2F ( Layer 2 Forwarding)
Giao thức định hướng lớp 2 L2F do Cisco phát triển độc lập và được phát triển
dựa trên giao thức PPP ( Point to Point Protocol). L2F cung cấp giải pháp cho dịch vụ
quay số ảo bằng cách thiết lập một đường hầm bảo mật thông qua cơ sở hạ tầng công
cộng như Internet. L2F cho phép đóng gói các PPP trong L2F, định hướng hầm ở lớp
liên kết dữ liệu.
3.2.1.1 Cấu trúc gói của L2F
1 bit 1 bit 1 bit 1 bit 8 bit 1 bit 3 bit 8 bit 8 bit
F K P S Reserved C Version Protocol Sequence
Multiplex ID Client ID
Length Offset
Key
Data
Checksums
Hình 3.4: Khuôn dạng gói của L2F
3.2.1.2 Ưu nhược điểm của L2F
- Ưu điểm :
+ Cho phép thiết lập đường hầm đa giao thức
+ Được cung cấp bởi nhiều nhà cung cấp
- Nhược điểm:
+ Không có mã hóa
+ Yếu trong việc xác thực người dùng
61
+ Không có điều khiển luồng cho đường hầm
3.2.2 Thực hiện L2F
L2F đóng gói những gói ở lớp 2 và trong trường hợp này là đóng gói PPP, truyền
qua một mạng. L2F sử dụng các thiết bị:
- NAS: Hướng lưu lượng đến và đi từ máy khách ở xa (Remote client) và
Gateway home.
- Tunnel: Định hướng đường đi giữa NAS và Home Gateway.
- Home Gateway: Ngang hàng với NAS.
- Kết nối: Là một kết nối PPP trong đường hầm. Trong CLI, một kết nối L2F
được xem như là một phiên.
- Điểm đích (Destination): Là điểm kết thúc ở đầu xa của đường hầm. Trong
trường hợp này thì Home gateway là điểm đích.
Hình 3.5: Mô hình L2F
Hoạt động của L2F
Hoạt động của L2F bao gồm các hoạt động: thiết lập kết nối, đường hầm và
phiên làm việc. Ví dụ minh họa hoạt động của L2F:
- Một người sử dụng ở xa quay số tới hệ thống NAS và khởi đầu một kết nối PPP tới
ISP.
62
- Hệ thống NAS và máy khách trao đổi các gói giao thức điều khiển liên kết LCP (Link
Control Protocol).
- NAS sử dụng cơ sở dữ liệu cục bộ liên quan đến vùng (Domain Name) hay nhận thực
Radius để quyết định có hay không người sử dụng yêu cầu dịch vụ L2F.
- Nếu có người sử dụng yêu cầu L2F thì quá trình tiếp tục: NAS thu nhận địa chỉ của
Gateway đích.
- Một đường hầm được thiết lập từ NAS tới Gateway đích nếu giữa chúng chưa có
đường hầm nào. Sự thành lập đường hầm bao gồm giai đoạn nhận thực từ ISP tới
Gateway đích để chống lại sự tấn công bởi những kẻ thứ ba.
- Một kết nối PPP mới được tạo ra trong đường hầm, điều này có tác động kéo dài
phiên PPP từ người sử dụng ở xa tới Home Gateway. Kết nối này được thiết lập như
sau: Home Gateway tiếp nhận các lựa chọn và tất cả thông tin nhận thực PAP/CHAP,
như đã thoả thuận bởi đầu cuối người sử dụng và NAS. Home Gateway chấp nhận kết
nối hay nó thoả thuận lại LCP và nhận thực lại người sử dụng.
- Khi NAS tiếp nhận lưu lượng dữ liệu từ người sử dụng, nó lấy gói và đóng gói lưu
lượng vào trong một khung L2F và hướng nó vào trong đường hầm.
- Tại Home Gateway, khung L2F được tách bỏ, và dữ liệu đóng gói được hướng tới
mạng công ty.
3.2.2 Giao thức đường hầm điểm điểm - PPTP
Giao thức đường hầm điểm – điểm PPTP được đưa ra đầu tiên bởi một nhóm
các công ty được gọi là PPTP Forum. Nhóm này bao gồm 3 công ty: Ascend,
Microsoft, ECI Telematicsunication và US Robotic. Ý tưởng cơ sở của giao thức này là
tách các chức năng chung và riêng của truy cập từ xa, lợi dụng cơ sở hạ tầng Internet
sẵn có để tạo kết nối bảo mật giữa người dùng ở xa và mạng riêng. Người dùng ở xa chỉ
việc quay số tới nhà cung cấp dịch vụ Internet địa phương là có thể tạo đường hầm bảo
mật tới mạng riêng của họ. Giao thức PPTP được xây dựng dựa trên chức năng của
PPP, cung cấp khả năng quay số truy cập tạo ra một đường hầm bảo mật thông qua
Internet đến site đích. PPTP sử dụng giao thức bọc gói định tuyến chung GRE (Generic
Routing Encapsulation) được mô tả lại để đóng gói và tách gói PPP, giao thức này cho
63
phép PPTP mềm dẻo xử lý các giao thức khác không phải IP như: IPX, TBEUI. Do
PPTP dựa trên PPP nên nó cũng sử dụng PAP, CHAP để xác thực. PPTP có thể sử dụng
PPP để mã hoá dữ liệu nhưng Microsoft đã đưa ra phương thức mã hoá khác mạnh hơn
đó là mã hoá điểm – điểm MPPE (Microsoft Point – to – Point Encryption) để sử dụng
cho PPTP.
3.2.2.1 PPP và PPTP
PPP đã trở thành giao thức quay số truy cập vào Internet và các mạng TCP/IP
rất phổ biến hiện nay. Làm việc ở lớp liên kết dữ liệu trong mô hình OSI, PPP bao gồm
phương thức đóng, tách gói cho các loại gói dữ liệu khác nhau để truyền nối tiếp. Đặc
biệt PPP định nghĩa hai bộ giao thức: giao thức điều khiển liên kết LCP (Link Control
Protocol) cho việc thiết lập, cấu hình và kiểm tra kết nối. Giao thức điều khiển mạng
NCP (Network Control Protocol) cho việc thiết lập và cấu hình các giao thức lớp mạng
khác nhau.
PPP có thể đóng các gói IP, IPX, NETBEUI và truyền đi trên kết nối điểm –
điểm từ máy gửi đến máy nhận. Để việc truyền dữ liệu có thể diễn ra thì mỗi PPP phải
gửi gói LCP để kiểm tra cấu hình và kiểm tra liên kết dữ liệu.
Khi một kết nối PPP được thiết lập thì người dùng thường đã được xác thực.
Đây là giai đoạn tùy chọn trong PPP, tuy nhiên, nó luôn luôn được cung cấp bởi các
ISP. Việc xác thực được thực hiện bởi PAP hay CHAP.
Với PAP mật khẩu dược gửi qua kết nối dưới dạng văn bản đơn giản và không
có bảo mật để tránh khỏi bị tấn công thử và lỗi. CHAP là một phương thức xác thực
mạnh hơn, CHAP sử dụng phương thức bắt tay 3 chiều. CHAP chống lại các vụ tấn
công quay lại bằng cách sử dụng các giá trị thách đố (challenge value) duy nhất và
không thể đoán trước được. CHAP phát ra giá trị thách đố trong suốt và sau khi thiết
lập xong kết nối, lập lại các thách đố có thể giới hạn số lần bị đặt vào tình thế bị tấn
công.
PPTP sử dụng PPP để thực hiện các chức năng sau:
- Thiết lập và kết thúc kết nối vật lý.
- Xác thực người dùng.
64
- Tạo các gói dữ liệu PPP.
PPP thiết lập kết nối, PPTP sử dụng các quy luật đóng gói của PPP để đóng các
gói truyền trong đường hầm. Để tận dụng ưu điểm của kết nối tạo ra bởi PPP, PPTP
định nghĩa 2 loại gói: Gói điều khiển; Gói dữ liệu và gán chúng vào 2 kênh riêng là
kênh điều khiển và kênh dữ liệu. Sau đó PPTP phân tách các kênh điều khiển và kênh
dữ liệu thành luồng điều khiển với giao thức TCP và luồng dữ liệu với giao thức IP. Kết
nối TCP được tạo giữa client PPTP và máy chủ PPTP được sử dụng để truyền thông
báo điều khiển.
Các gói dữ liệu là dữ liệu thường của người dùng. Các gói điều khiển được gửi
theo chu kỳ để lấy thông tin về trạng thái kết nối và quản lý báo hiệu giữa client PPTP
và máy chủ PPTP. Các gói điều khiển cũng được dùng để gửi các thông tin quản lý thiết
bị, thông tin cấu hình giữa hai đầu đường hầm.
Kênh điều khiển được yêu cầu cho việc thiết lập một đường hầm giữa client
PPTP và máy chủ PPTP. Phần mềm client có thể nằm ở máy người dùng từ xa hay nằm
tại máy chủ của ISP.
Đường hầm được thiết lập thì dữ liệu người dùng được truyền giữa client và
máy chủ PPTP. Các gói PPTP chứa các gói dữ liệu được đóng gói bởi tiêu đề GRE, sử
dụng số ID của Host cho điều khiển truy cập, ACK cho giám sát tốc độ dữ liệu truyền
trong đường hầm.
PPTP cũng có cơ chế điều khiển tốc độ nhằm giới hạn số lượng dữ liệu truyền
đi. Cơ chế này làm giảm tối thiểu dữ liệu phải truyền lại do mất gói.
3.2.2.2 Cấu trúc gói của PPTP
- Đóng gói dữ liệu đường hầm PPTP
Dữ liệu đường hầm PPTP được đóng gói thông qua nhiều mức: đóng gói
khung PPP, đóng gói các GRE, đóng gói lớp liên kết dữ liệu.
Cấu trúc gói dữ liệu đã được đóng gói
Tiêu đề
liên kết
dữ liệu
Tiêu
đề IP
Tiêu đề
GRE
Tiêu
đề PPP
Tải PPP được mã
hóa (IP, IPX,
NETBEUI)
Phần đuôi liên
kết dữ liệu
65
Hình 3.6: Cấu trúc gói dữ liệu trong đường hầm PPTP
+ Đóng gói khung PPP: Phần trải PPP ban đầu được mật mã và đóng gói với
phần tiêu đề PPP để tạo ra khung PPP. Sau đó, khung PPP được đóng gói với
phần tiêu đề của phiên bản sửa đổi giao thức GRE.
Đối với PPTP phần tiêu đề của GRE được sửa đổi một số điểm sau:
+ Một bit xác nhận được sử dụng để khẳng định sự có mặt của trường xác nhận
32 bit.
+ Trường Key được thay thế bằng trường độ dài Payload 16 bit và trường nhận
dạng cuộc gọi 16 bit. Trường nhận dạng cuộc gọi Call ID được thiết lập bởi PPTP
client trong quá trình khởi tạo đường hầm PPTP.
+ Một trường xác nhận dài 32 bit được đưa vào.
GRE là giao thức cung cấp cơ chế chung cho phép đóng gói dữ liệu để gửi qua
mạng IP.
- Đóng gói các gói GRE
Tiếp đó, phần tải PPP đã được mã hóa và phần tiêu đề GRE được đóng gói với
một tiêu đề IP chứa thông tin địa chỉ nguồn và đích cho PPTP client và PPTP server.
- Đóng gói lớp liên kết dữ liệu
Do đường hầm của PPTP hoạt động ở lớp 2 – lớp liên kết dữ liệu trong mô hình
OSI nên lược đồ dữ liệu IP sẽ được đóng gói với phần tiêu đề (Header) và phần kết thúc
(Trailer) của lớp liên kết dữ liệu. Ví dụ: Nếu IP datagram được gửi qua giao diện
Ethernet thì sẽ được đóng gói với phần Header và Trailer Ethernet. Nếu IP datagram
được gửi thông qua đường truyền WAN điểm tới điểm thì sẽ được đóng gói với phần
Header và Trailer của giao thức PPP.
- Xử lý dữ liệu đường hầm PPTP
66
Khi nhận được dữ liệu đường hầm PPTP, PPTP client hay PPTP server sẽ thực
hiện các bước xử lý:
+ Xử lý và loại bỏ phần Header và Trailer của lớp liên kết dữ liệu.
+ Xử lý và loại bỏ IP Header.
+ Xử lý và loại bỏ GRE Header và PPP Header.
+ Giải mã hoặc giải nén phần PPP Payload nếu cần.
+ Xử ls phần Payload để nhận hoặc chuyển tiếp.
Hình 3.7 : Sơ đồ đóng gói PPTP
IP IPX NetBEUI
NDISWAN
Async L2PT PPTP ISD
N
X.25
67
3.2.2.3 Đường hầm
PPTP cho phép người dùng và ISP có thể tạo ra nhiều loại đường hầm khác
nhau. Người dùng có thể chỉ định điểm kết thúc của đường hầm ngay tại máy tính của
mình nếu có cái PPTP, hay tại máy chủ của ISP (máy tính của ISP phải hỗ trợ PPTP).
Có 2 lớp đường hầm: Đường hầm tự nguyện và đường hầm bắt buộc.
Đường hầm tự nguyện được tạo ra theo yêu cầu của người dùng. Khi sử dụng
đường hầm tự nguyện, người dùng có thể đồng thời mở một đường hầm bảo mật thông
qua Internet và có thể truy cập đến một Host trên Internet bởi giao thức TCP/IP bình
thường. Đường hầm tự nguyện thường dùng để cung cấp tính riêng tư và toàn vẹn dữ
liệu cho lưu lượng Intranet được gửi qua Internet.
Đường hầm bắt buộc được tạo ra không thông qua người dùng nên nó trong
suốt đối với người dùng. Điểm kết thúc của đường hầm bắt buộc nằm ở máy chủ truy
cập từ xa. Tất cả dữ liệu truyền đi từ người dùng qua đường hầm PPTP đều phải thông
qua RAS. Do đường hầm bắt buộc định trước điểm kết thúc và người dùng không thể
truy cập phần còn lại của Internet nên nó điều khiển truy cập tốt hơn so với đường hầm
tự nguyện. Nếu vì tính bảo mật mà không cho người dùng truy cập Internet công cộng
thì đường hầm bắt buộc ngăn không cho họ truy cập Internet công cộng nhưng vẫn cho
phép họ truyền thông qua Internet để truy cập VPN. Một ưu điểm nữa của đường hầm
bắt buộc là một đường hầm có nhiều điểm kết nối. Đặc tính này làm giảm yêu cầu băng
thông cho các ứng dụng đa phiên làm việc. Một khuyết điểm của đường hầm bắt buộc
là kết nối từ RAS đến người dùng nằm ngoài đường hầm nên dễ bị tấn công.
68
Hình 3.8: Đường hầm bắt buộc và đường hầm tự nguyện
Sử dụng Radius để cung cấp đường hầm bắt buộc và có một vài ưu điểm đó là:
Các đường hầm có thể được định nghĩa và kiểm tra dựa trên xác thực người dùng và
tính cước dựa vào số điện thoại, các phương thức xác thực khác như thẻ bài (Token)
hay thẻ thông minh (Smart Card).
3.2.3 Giao thức đường hầm lớp 2 – L2TP
Giao thức đường hầm lớp 2 L2TP là sự kết hợp giữa hai giao thức PPTP và L2F
– chuyển tiếp lớp 2. PPTP do Microsoft đưa ra còn L2F do Cisco khởi xướng. Hai công
ty này đã hợp tác cùng kết hợp 2 giao thức lại và đăng ký chuẩn hoá tại IETF. Giống
như PPTP, L2TP là giao thức đường hầm, nó sử dụng tiêu đề đóng gói riêng cho việc
truyền các gói ở lớp 2. Một điểm khác biệt chính giữa L2F và PPTP là L2F không phụ
thuộc vào IP và GRE, cho phép nó có thể làm việc ở môi trường vật lý khác. Bởi vì
GRE không sử dụng như giao thức đóng gói, nên L2F định nghĩa riêng cách thức các
gói được điều khiển trong môi trường khác. Nhưng nó cũng hỗ trợ TACACS+ và
RADIUS cho việc xác thực. Có hai mức xác thực người dùng: Đầu tiên ở ISP trước khi
thiết lập đường hầm, sau đó là ở cổng nối của mạng riêng sau khi kết nối được thiết lập.
L2TP mang đặc tính của PPTP và L2F. Tuy nhiên, L2TP định nghĩa riêng một
giao thức đường hầm dựa trên hoạt động của L2F. Nó cho phép L2TP truyền thông qua
nhiều môi trường gói khác nhau như X.25, Frame Relay, ATM. Mặc dù nhiều công cụ
chủ yếu của L2TP tập trung cho UDP của mạng IP, nhưng có thể thiết lập một hệ thống
L2TP mà không cần phải sử dụng IP làm giao thức đường hầm. Một mạng ATM hay
Frame Relay có thể áp dụng cho đường hầm L2TP.
69
Do L2TP là giao thức ở lớp 2 nên nó cho phép người dùng sử dụng các giao thức
điều khiển một cách mềm dẻo không chỉ là IP mà có thể là IPX hoặc NETBEUI. Cũng
giống như PPTP, L2TP cũng có cơ chế xác thực PAP, CHAP hay RADIUS.
3.2.2.1 Dạng thức của L2TP
Các thành phần chức năng của L2TP bao gồm: giao thức điểm – điểm, đường
hầm, hệ thống xác thực và mã hoá. L2TP có thể sử dụng quản lý khoá để tăng thêm độ
bảo mật. Kiến trúc của L2TP như hình vẽ:
Hình 3.9 : Kiến trúc của L2TP
3.2.3.2 Cấu trúc gói dữ liệu L2TP
- Đóng gói dữ liệu đường hầm L2TP
Đường hầm dữ liệu L2TP được thực hiện thông qua nhiều mức đóng gói. Cấu
trúc cuối cùng của dữ liệu đường hầm L2TP trên nền IPSec được thể hiện qua hình vẽ
dưới đây:
Tiêu
đề
liên
kết
dữ
liệu
Tiêu
đề
IP
Tiêu
đề ESP
IPSec
Tiêu
đề
UDP
Tiêu
đề
L2TP
Tiêu
đề
PPP
Tiêu đề
PPP(IP,
IPX,Net
BEUI)
Phần
đuôi
ESP
IPSec
Phần
đuôi
nhận
thực
ESP
IPSec
Phần
đuôi
liên
kết
dữ
liệu
Được mã hóa
Được xác thực
Hình 3.10 : Cấu trúc gói dữ liệu trong đường hầm L2TP
70
Do đường hầm L2TP hoạt động ở lớp 2 của mô
Các file đính kèm theo tài liệu này:
- 01200026_69_1983565.pdf