Nghiên cứu về MobileIP và triển khai giải pháp bảo mật với IPSec trên GNS3

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề	Nghiên Cứu Bảo Mật Dữ Liệu Đối Với Mobile IP
Tác giả	Nguyễn Trọng Đạt
Trường học	Học Viện Bưu Chính Viễn Thông
Chuyên ngành	An Ninh Thông Tin
Thể loại	Đồ Án Tốt Nghiệp
Năm xuất bản	2022
Thành phố	Hà Nội

Định dạng
Số trang	74
Dung lượng	1,81 MB

Nội dung

Đồ án thực hiện nghiên cứu về công nghệ mạng mới là MobileIP của Cisco. Giải pháp Mobile IPv6 và giải pháp Mobile IPv4 và so sánh hai giải pháp này. Đưa ra các giải pháp bảo mật và triển khai trên GNS3.

BỘ THƠNG TIN VÀ TRUYỀN THƠNG HỌC VIỆN BƯU CHÍNH VIỄN THÔNG ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP NGHIÊN CỨU BẢO MẬT DỮ LIỆU ĐỐI VỚI MOBILE IP Ngành: An ninh thông tin Mã số: Sinh viên thực hiện: Mã SV: Họ tên: Nguyễn Trọng Đạt Hà Nội, 2022 i MỤC LỤC MỤC LỤC Error! Bookmark not defined Danh mục kí hiệu viết tắt iv Danh mục hình vẽ v Danh mục bảng vii Lời Cảm ơn viii Lời nói đầu ix Chương Tổng quan mobile ip 1.1 Khái niệm 1.2 Giao thức Mobile IPv4 1.2.1 Phát agent 1.2.2 Quá trình đăng ký 1.2.3 Tạo đường hầm 1.3 Giao thức Mobile IPv6 10 1.3.1 Các tùy chọn Mobile IPv6 10 1.3.2 Cấu trúc liệu 11 1.4 Cơ chế định tuyến gói tin Mobile IP 11 1.4.1 Định tuyến gói tin MN 11 1.4.2 Định tuyến gói tin HA 12 1.4.3 Định tuyến gói tin FA 13 1.5 Đánh giá Mobile IPv4 Mobile IPv6 14 1.5.1 Mobile IPv4 14 1.5.2 Mobile IPv6 16 1.6 Kết luận chương 16 Chương Nghiên cứu vấn đề bảo mật MOBILE IP 17 2.1 Các yêu cầu bảo mật thông tin mạng 17 2.2 Các nguy an ninh Mobile IP 17 2.2.1 Tấn công từ chối dịch vụ 17 2.2.2 Tấn công phát lại 19 2.2.3 Tấn công chiếm phiên liên lạc 19 2.2.4 Nghe thụ động 20 2.3 Các giải pháp tăng cường an ninh cho Mobile IP 21 2.3.1 Giải pháp xác thực phân quyền với giao thức AAA 21 2.3.2 Bảo mật liệu Mobile IP với IPSec 22 2.3.3 Cơ chế chống lại định tuyến tối ưu 35 2.3.4 Tường lửa lọc gói tin 37 2.3.5 Tạo địa Mobile IPv6 từ mật mã khóa công khai 37 2.4 Kết luận chương 41 Chương Cài đặt, thử nghiệm bảo vệ liệu Mobile IP 43 ii 3.1 Giới thiệu Site-Site VPN với IPSec 43 3.2 Triển khai, cài đặt bảo mật liệu Mobile IP 44 3.2.1 Mơ hình mạng Mobile IP 44 3.2.2 Cài đặt cấu hình Mobile IP node 45 3.2.3 Cài đặt cấu hình IP SEC VPN 54 Kết luận 64 Tài liệu tham khảo 65 iii DANH MỤC KÍ HIỆU VÀ VIẾT TẮT AH Authentication Header ARP Address Resolution Protocol CoA Care of Address DHCP Dynamic Host Configuration Protocol ESP Encapsulating Security Payload GRE Generic Routing Encapsulation ICMP Internet Control Message Protocol ICV Integrity Check Value IETF Internet Engineering Task Force IKE Internet Key Exchange IP Internet Protocol ISP Internet Service Provider NAT Network Address Translators SA Security Association TCP Transmission Control Protocol TTL Time To Live UDP User Datagram Protocol VPN Virtual Private Network iv DANH MỤC HÌNH VẼ Hình 1.1: Cấu trúc tin Agent Advertisement Hình 1.2: Cấu trúc tin Agent Solicitation Hình 1.3: Mobile Node đăng ký gián tiếp Hình 1.4: Mobile Node đăng ký trực tiếp Hình 1.5: Cấu trúc tin Registration Request Hình 1.6: Cấu trúc tin Registration Reply Hình 1.7: Các cách để đặt HA mạng chủ 13 Hình 2.1: Kẻ cơng sử dụng DDos 18 Hình 2.2: Replay Attack 19 Hình 2.3: Session hjacking 20 Hình 2.4: Cấu trúc IPSec 23 Hình 2.5: AH Transport Mode 24 Hình 2.6: AH Tunnel Mode 25 Hình 2.7: ESP Transport Mode 28 Hình 2.8: ESP Tunnel Mode 28 Hình 2.9: Hoạt động IPSec 33 Hình 2.10: Mơ hình triển khai MN - HA 35 Hình 2.11: Định tuyến tối ưu 35 Hình 2.12: Ví dụ tường lửa 37 Hình 3.1 Mơ hình mạng VPN truy nhập từ xa 43 Hình 3.2: Mơ hình triển khai Mobile IP 44 Hình 3.3: Hiển thị địa cấu hình IP R2 46 Hình 3.4: Hiển thị cấu hình định tuyến IP R2 46 Hình 3.5: Hiển thị cấu hình địa IP HA 47 Hình 3.6: Hiển thị cấu hình định tuyến IP HA 48 Hình 3.7: Hiển thị cấu hình Mobile IP HA 48 Hình 3.8: Hiển thị cấu hình IP FA1 49 Hình 3.9: Hiển thị cấu hình định tuyến IP FA1 49 Hình 3.10: Hiển thị cấu hình Mobile IP FA1 50 Hình 3.11: Hiển thị cấu hình địa IP FA2 51 Hình 3.12: Hiển thị cấu hình định tuyến IP FA2 51 Hình 3.13: Hiển thị cấu hình Mobile FA2 51 Hình 3.14: Hiển thị cấu hình địa IP CN 52 v Hình 3.15: Hiển thị cấu hình địa IP MN 53 Hình 3.16: Hiển thị cấu hình định tuyến IP MN 53 Hình 3.17: Hiển thị cấu hình Mobile IP MN 54 vi DANH MỤC BẢNG Bảng 1: Bảng địa IP Router 45 vii LỜI CẢM ƠN Trong trình thực đồ án tốt nghiệp này, tơi nhận giúp đỡ tận tình cán hướng dẫn, quan tâm sâu sát cán Hệ quản lý sinh viên, động viên người thân bạn bè Xin cảm ơn tất người tạo điều kiện tốt để hoàn thành đồ án tốt nghiệp SINH VIÊN THỰC HIỆN ĐỒ ÁN viii LỜI NÓI ĐẦU Internet truyền thông di động không dây phát triển cách nhanh chóng Trong đó, thơng tin dịch vụ triển khai thông qua giao thức IP chiếm ưu Nhu cầu trì liên tục kết nối IP thiết bị di động trở nên cần thiết Giao thức Mobile IP đời đưa vào ứng dụng để đáp ứng nhu cầu Mục tiêu Mobile IP hỗ trợ khả kết nối IP thiết bị di chuyển liên mạng với kết nối không dây nên vấn đề bảo mật liệu quan trọng Đề tài vào nghiên cứu Mobilie IP hỗ trợ cho kết nối IP thiết bị không cố định vấn đề bảo liệu gắn liền với giao thức Mục tiêu đặt thực đồ án là: Nghiên cứu tổng quan Mobile IP Nghiên cứu vấn đề bảo mật Mobile IP Cài đặt, thử nghiệm bảo vệ liệu Mobile IP với công nghệ bảo SiteSite VPN Sau thời gian khoảng ba tháng thực đồ án, mục tiêu đạt Tuy nhiên mật mã lĩnh vực khoa học phức tạp, thời gian thực đồ án tương đối ngắn nên chắn không tránh khỏi thiếu sót Rất mong góp ý thầy cô, bạn học viên để đồ án hoàn thiện SINH VIÊN THỰC HIỆN ĐỒ ÁN ix CHƯƠNG TỔNG QUAN MOBILE IP 1.1 Khái niệm Mobile IP giao thức IETF giúp người dùng với thiết bị di động di chuyển từ mạng sang mạng khác mà trì kết nối diễn Mobile IP trở thành giao thức thiếu giới di động, công nghệ tương lai (cơng nghệ 4G) Mobile IP có nhiều mở rộng phát triển khác Mobile IPv4, Mobile IPv6, Fast Mobile IP, Multiple CoA Mobile IP,… Mobile IP cho phép node tiếp tục nhận liệu mà khơng quan tâm đến vị trí kết nối node vào mạng Internet Mobile IP cung cấp tin điều khiển cho phép thành phần mạng cập nhật bảng định tuyến cách tin cậy Mobile IP triển khai mà khơng cần có yêu cầu với tầng vật lý liên kết liệu, Mobile IP độc lập với công nghệ truy cập không dây [1] Một số khái niệm Mobile IP: - Mobile Node (MN) nút di động: để host rounter thay đổi điểm kết nối từ mạng sang mạng khác - Home Agent (HA), MN di chuyển khỏi mạng thường trú (home network) cần đại diện thay mặt, đại diện HA, vai trò HA tạo đường hầm để chuyển tiếp gói tin đến MN rời khỏi mạng thường trú lưu trữ thơng tin ví trí MN - Foreign Agent (FA), MN di chuyển khỏi mạng thường trú phải có địa tạm trú gọi CoA (Care of Address) địa IP sử dụng để truyền gói liệu đến đích tương ứng với địa theo giao thức tìm đường IP MN thông báo địa CoA cho HA để biết địa điểm MN, MN có địa từ FA - Correspondent Node (CN) node mạng có nhu cầu truyền thơng với MN, CN khơng phải thành phần Mobile IP đưa vào để mô tả hoạt động giao thức Nguyên tắc hoạt động Mobile IP: - Khi MN khỏi mạng thường trú (home network), làm để MN biết khỏi mạng tìm đại diện mạng khách (foreign network)? HA FA thường xuyên gửi gói tin quảng bá để thơng báo khả theo chu kỳ, MN phát mạng khác tiến hành q trình tìm kiếm đại diện tạm trú Kết cấu hình: Hình 3.11: Hiển thị cấu hình địa IP FA2 Hình 3.12: Hiển thị cấu hình định tuyến IP FA2 Hình 3.13: Hiển thị cấu hình Mobile FA2 51 e) Cấu hình CN CN sử dụng peer cho lưu lượng truy cập từ Mobile Node Việc sử dụng CN cho ta thấy định tuyến sở hạ tầng thường sở hạ tầng Mobile IP tương tác chúng CN cần cấu hình với địa IP interface Các câu lệnh cấu hình: ! interface Ethernet0/0 ip address 192.168.2.2 255.255.255.0 ! end Kết cấu hình: Hình 3.14: Hiển thị cấu hình địa IP CN f) Cấu hình Mobile Node Trong đồ án này, Mobile Node chi router đơn giản chạy IOS Mỗi Mobile Node phải định cấu hình với identification, địa IP Home Agent security association (Thoả thuận an toàn) chia sẻ với Home Agent Các câu lệnh cấu hình hostname MN ! interface Loopback0 ip address 192.168.100.10 255.255.255.255 ! interface Ethernet0/0 ip address 169.254.255.1 255.255.255.0 ip mobile router-service roam ! 52 router mobile ! ip mobile secure home-agent 192.168.1.2 spi 100 key hex 1234567890abcdef1234567890abcdef algorithm hmac-md5 ! ip mobile router address 192.168.100.10 255.255.255.0 home-agent 192.168.1.2 Kết cấu hình: Hình 3.15: Hiển thị cấu hình địa IP MN Hình 3.16: Hiển thị cấu hình định tuyến IP MN 53 Hình 3.17: Hiển thị cấu hình Mobile IP MN 3.2.3 Cài đặt cấu hình IP SEC VPN Ở phần này, ta cấu hình IP SEC node quan trọng HA FA Node IS node trung gian nên ta cấu phần trước a) Cấu hình HA - Cấu hình IP: R1(config-if)# ip address 192.168.1.2 - Định tuyến OSPF: R1(config)# router ospf 101 R1(config-router)# network 192.168.100.0 0.0.0.255 area R1(config-router)# network 192.168.1.0 0.0.0.255 area - Cấu hình Site-Site: - Mở IKE policy R1(config)# crypto isakmp enable R1(config)# crypto isakmp policy 10 - Cấu hình IKE phase 1: R1(config)# crypto R1(config-isakmp)# R1(config-isakmp)# R1(config-isakmp)# R1(config-isakmp)# isakmp policy 10 hash sha authentication pre-share group 14 lifetime 3600 54 R1(config-isakmp)# encryption aes 256 R1(config-isakmp)# end - Kiểm tra trình cấu hình: R1# show crypto isakmp policy Hình 3.18: Thơng tin sách isakmp - Cấu hình Pre-shared key: R1(config)# crypto isakmp key hoanganhvan address 192.168.3.2 - Cấu hình đóng gói IP Sec TTL: R1(config)# crypto ipsec transform-set 50 esp-aes 256 esp-shahmac R1(config)# crypto ipsec security-association lifetime seconds 1800 - Cấu hình access-list: R1(config)# access-list 101 permit ip 192.168.100.0 0.0.0.255 169.254.255.0 0.0.0.255 - Tạo dùng Cryptomap: R1(config)# crypto map CMAP 10 ipsec-isakmp % NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured R1(config-crypto-map)# match address 101 R1(config-crypto-map)# set peer 192.168.3.2 R1(config-crypto-map)# set pfs group1 R1(config-crypto-map)# set transform-set 50 R1(config-crypto-map)# set security-association lifetime seconds 900 55 R1(config-crypto-map)# exit R1(config)# interface SE0/0 R1(config-if)# crypto map CMAP R1(config)# end - Kiểm tra cấu hình: R1# show crypto ipsec transform-set Hình 3.19: Thơng tin IP SEC R1# show crypto map Hình 3.20: Hiện Crypto Map b) Cấu hình FA - Cấu hình IP: R3(config-if)# ip address 192.168.3.2 - Định tuyến OSPF: R3(config)# router ospf 101 R3(config-router)# network 192.168.100.0 0.0.0.255 area R3(config-router)# network 192.168.1.0 0.0.0.255 area - Cấu hình Site-Site: - Mở IKE policy R3(config)# crypto isakmp enable 56 R3(config)# crypto isakmp policy 10 - Cấu hình IKE phase: R3(config)# crypto R3(config-isakmp)# R3(config-isakmp)# R3(config-isakmp)# R3(config-isakmp)# R3(config-isakmp)# R3(config-isakmp)# isakmp policy 10 hash sha authentication pre-share group 14 lifetime 3600 encryption aes 256 end - Kiểm tra trình cấu hình: R3# show crypto isakmp policy Hình 3.21: Hiện thơng tin sách isakmp - Cấu hình Pre-shared key: R3(config)# crypto isakmp key hoanganhvan address 192.168.3.2 - Cấu hình đóng gói IP Sec TTL: R3(config)# crypto ipsec transform-set 50 esp-aes 256 esp-shahmac R3(config)# crypto ipsec security-association lifetime seconds 1800 - Cấu hình access-list: R3(config)# access-list 101 permit ip 192.168.100.0 0.0.0.255 169.254.255.0 0.0.0.255 - Tạo dùng Cryptomap 57 R3(config)# crypto map CMAP 10 ipsec-isakmp % NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured R3(config-crypto-map)# match address 101 R3(config-crypto-map)# set peer 192.168.1.2 R3(config-crypto-map)# set pfs group14 R3(config-crypto-map)# set transform-set 50 R3(config-crypto-map)# set security-association lifetime seconds 900 R3(config-crypto-map)# exit R3(config)# interface SE0/0 R3(config-if)# crypto map CMAP R3(config)# end - Kiểm tra cấu hình: R3# show crypto ipsec transform-set Hình 3.22: Hiện thơng tin IP SEC R3# show crypto map Hình 3.23: Hiện thơng tin Crypto Map c) Cấu hình IS - Cấu hình định tuyến bản: R2(config)# router ospf 101 R2(config-router)# network 192.168.1.0 0.0.0.255 area R2(config-router)# network 192.168.3.0 0.0.0.3 area 58 d) Kiểm tra kết cấu hình - Bước 1: Kiểm tra thông mạng: Từ HA, ping sang FA Hình 3.24: Kiểm tra kết nối từ HA sang FA - Bước 2: Hiện ISAKMP security association R1# show crypto isakmp sa Hình 3.25: Hiện Isakmp SA Như hình kết trên, ta chưa thấy chưa thực gửi gói tin đóng gói ipsec Vậy nên show SA ta chưa thấy 59 - Bước 3: Hiện IP SEC security association R1# show crypto ipsec sa Hình 3.26: Hiển thị IP SEC SA Ở kết trên, ta để ý thông số packet ta cấu hình xong, chưa gửi gói tin nên thơng số gửi nhận gói tin Tí ta thực việc gửi nhận gói tin ICMP để kiểm tra việc cấu hình chưa 60 - Bước 4: Gửi gói tin ICMP Tại đây, ta thực gửi gói tin ICMP (Lệnh Ping) từ HA đến FA để kiểm tra Hình 3.27: Gửi gói tin ICMP từ HA đến FA Như hình, ta thấy gửi gói tin ICMP thành cơng với tỷ lệ 4/5 - Bước 5: Hiện ISAKMP SA R1# show crypto isakmp sa Hình 3.28: Thơng tin isakmp sa hiển thị Lúc trước, dùng lệnh ta khơng thu output Vì tại, ta vừa gửi gói tin đóng gói IPSEC (gói tin ICMP) xong nên SA ISAKMP Cũng vào hình, ta dễ dàng thấy điểm đầu cuối tunnel (dst-destination src-source) State (Trạng thái) Idle (chờ) tình trạng (Status) Active (đang hoạt động) 61 - Bước 6: Hiện IP SEC SA R1# show crypto ipsec sa Hình 3.29: Thơng tin IP SEC SA hiển thị Cũng đến bây giờ, ta thấy thông số dùng lệnh IP SEC SA Ở đoạn 1, ta dễ dàng thấy IP SEC đóng gói gói tin (tương ứng với gói tin ICMP gửi thành cơng lúc trên, gói tin khơng gửi được) Ở đoạn tiếp 62 theo, ta dễ dàng thấy hệ mật dùng lúc ta cấu hình thơng số quan trọng IPSEC spi - Bước 7: Bắt gói tin với Wireshark Hình 3.30: Bắt gói tin đóng gói ESP IP SEC Wireshark Để xác nhận việc ta cấu hình thành cơng IP SEC mobile IP, ta thực việc bắt gói tin với Wireshark Như hình trên, ta dễ dàng thấy gói tin đóng gói ESP cấu hình Hơn ESP SPI tương đồng (0x6f8574bd) 63 KẾT LUẬN Trong suốt tháng nghiên cứu tìm hiều giao thức Mobile IP Ba chương đồ án thể mục tiêu đặt thực đồ án đạt Cụ thể:  Giao thức Mobile IP, tìm hiểu loại ghi giao thức, cách giao tiếp sử dụng loại ghi để thực chức giao thức, tìm hiểu thơng qua phiên Mobile IPv4, IPv6 đánh giá ưu nhược điểm Mobile IPv4 Mobile IPv6  Nghiên cứu vấn đề bảo mật Mobile IP, vấn đề an ninh nguy an toàn Mobile IP để khắc phục đưa giải pháp tăng cường an nình  Triển khai mơ hình cài đặt IPSec đảm bảo an tồn hệ thống mạng doanh nghiệp nhỏ để đưa ví dụ giải pháp tăng cường an toàn Mobile IP Tuy nhiên chương đồ án triển khai bảo mật hệ thống mạng Mobile IPv4 Trên thực tế, giao thức Mobile IPv6 mang nhiều lợi ích nhiều mặt so với Mobile IPv4 Việc giải điểm tồn hướng phát triển tương lai đồ án 64 TÀI LIỆU THAM KHẢO Nguyễn Thị Thu Huyền, Đồ án Mobile IP & 4G, ĐH Quốc gia Hà Nội, 2009 GV Vũ Văn Tấn, Đề tài Mobile IP, ĐH Giao thơng vận tải, 2010 Hồng Sơn, Đồ án tốt nghiệp Mobilie IPv6, 2012 Đường Tất Toàn, Luận văn thạc sĩ Nghiên cứu giao thức Mobile IP giải pháp bảo mật, ĐH Quốc gia Hà Nội, 2006 [5] Th.s Văn Thiên Hoàng, Đề tài IPSec, ĐH Kỹ thuật Công nghiệp, 2012 [6] Luuk Hendriks, “Measuring IPv6 Resilience and Security” [7] Wiliam Stalling, “Cryptography and Network Security Principles and Pratice” [8] C Perkins, Ed IP Mobility Support for IPv4, Revised, November 2010 [9] Ms Ritika Kumari Gupta, “Store Management System”, B.E 3rd Year, 2018 [10] Youn Hen Han, MIPv4 & MIPv6 Overview of IP Mobility Protocol, February 2009 [11] Mohammad Meraj, Issues in Mobile IP, Security, Challenges and Solutions, vol 3, December 2015 [12] Shakeel Ahmad, Security Issues and Solutions in MIPv4 and MIPV6 February 2013 [13] Mark Grayson, Kevin Shatzkamer, Scott Wainner IP Design for Mobile Network, 2009 [14] IP Mobility, https://www.cisco.com/c/en/us/td/docs/iosxml/ios/mob_ntwks/configuration/15-mt/mob_ntwks-15-mt-book/imo-mblntwks.html [15] Mobile IP Technology and Applications, https://www.ciscopress.com/articles/index.asp?st=42074 [16] Balkarank, “Security issues with Mobile IP”, https://github.com/Balkarank00/Security-issues-with-Mobile-IP, 2019 [1] [2] [3] [4] 65 ... pháp xác thực, mã hóa liệu tăng cường an ninh cho mạng MobileIP Phần cuối chương giải pháp tăng cường bảo mật cho mạng MobileIP Trong hai giải pháp sử dụng giao thức AAA IPSec cho phép mạng MobileIP. .. giao thức Mục tiêu đặt thực đồ án là: Nghiên cứu tổng quan Mobile IP Nghiên cứu vấn đề bảo mật Mobile IP Cài đặt, thử nghiệm bảo vệ liệu Mobile IP với công nghệ bảo SiteSite VPN Sau thời gian khoảng... sách bảo mật công ty Giao thức AAA sử dụng hiệu mạng MobileIP việc đảm bảo vấn đề xác thực phần quyền người dùng Việc sử dụng giao thức AAA mạng MobileIP triển khai theo kịch sau: - Triển khai

Ngày đăng: 14/01/2022, 22:44