Chơng trình KC-01: Nghiên cứu khoa học phát triển công nghệ thông tin truyền thông Đề tài KC-01-01: Nghiên cứu số vấn đề bảo mật an toàn thông tin cho mạng dùng giao thức liên mạng máy tính IP Báo cáo kết nghiên cứu Phần mềm bảo mật mạng dùng giao thức IP Quyển 4B: Phần mềm bảo mật môi trờng Solaris Hà NộI-2002 Báo cáo kết nghiên cứu Phần mềm bảo mật mạng dùng giao thức IP Quyển 4B: Phần mềm bảo mật môi trờng Solaris Chủ trì nhóm thực hiện: TS Đặng Vũ Sơn Mục lục Mở đầu Chơng 1: Khái quát chung giải pháp bảo vệ gói IP b»ng kü thuËt mËt m· 1.1 Can thiÖtp mËt m· vào hệ thống mạng dùng giao thức TCP/IP 1.1.1 Can thiệp mật mà vào tầng giao thức TCP/IP1 1.1.2 ý nghÜa cđa viƯc can thiƯp mËt m· vµo tầng IP 1.1.2.1 Bảo vệ đợc liệu tất ứng dụng dùng giao thức TCP/IP 1.1.2.2 Không phải can thiệp sửa đổi ứng dụng có 1.1.2.3 Trong suốt với ngời dùng 1.1.2.4Tăng cờng khả Firewall 1.1.2.5 Giảm số đầu mối cần can thiệp dịch vụ an toàn 1.1.2.6 Cho phép bảo vƯ d÷ liƯu cđa mét sè øng dơng giao tiÕp thời gian thực 1.2 Giao thức an toàn tầng Internet 1.2.1 Quá trình truyền liệu giao thức TCP/IP 1.2.2 Cấu trúc TCP/IP với giao thức an toàn tầng Internrt 1.3 Các dịch vụ bảo vệ gói IP kü tht mËt m· 1.3.1 DÞch vơ bÝ mËt 1.3.2 Dịch vụ xác thực toàn vẹn 1.3.3 Kết hợp dịch vụ bí mật với dịch vụ xác thực, an toàn 1.3.4 Kỹ thuật đóng gói việc bảo vệ gói IP 1.4 Mô hình chức hệ thống b¶o vƯ gãi IP dïng kü tht mËt m· 1.4.1 Liên kết an toàn hệ thống bảo vệ gói IP 1.4.1.1 Khái niệm liên kết an toàn 1.4.1.2 Mối quan hệ liên kết an toàn giao thức an toàn tầng IP 1.4.2 Mô hình chúc cđa hƯ thèng b¶o vƯ gãi IP b»ng kü tht mật mà 1.4.3 Những yếu tố ản hởng đến dộ an toàn hệ thống bảo vệ gói IP 1.4.3.1 Độ an toàn thuật toán mà hoá xác thực liệu 1.4.3.2 Độ an toàn giao thức thiết lập liên kết an toàn 1.4.3.3 An toàn hệ thống Chơng II: Cơ chế quản lý liệu cđa giao thøc TCP/IP trªn Solaris 2.1 Giíi thiƯu vỊ lng (Stream) Solaris 2.1.1 Kh¸i niƯm vỊ lng 2.1.2 Các thao tác luồng 2.1.3 Các thành phần luồng 2.1.3.1 Các hàng đợi (queue) 2.1.3.2 Các thông báo (Message) 2.1.3.3 Các mô đun 3 8 8 9 10 10 12 15 15 17 19 21 22 22 22 23 25 27 27 28 29 30 30 30 33 33 33 34 36 37 2.1.3.4 Các tiên trình điều khiển (Driver) 2.2 Cơ chế quản lý luồng (Stream mechanism) 2.2.1 Giới thiệu chế quản lý luồng 2.2.2 Xây dựng luồng 2.2.2.1 Mở file thiết bị STREAMS 2.2.2.2 Thêm huỷ mô đun 2.2.2.3 Đóng luồng 2.3 Các trình xử lý luồng 2.3.1 Các thủ tục put service 2.3.1.1 Thđ tơc put 2.3.1.2 Thđ tơc service 2.4 Các thông báo 2.4.1 Giới thiệt thông báo 2.4.2 Cấu trúc thông báo 2.4.3 Gửi nhận thông báo 2.4.5 Cấu trúc hàng đợi (queue) 2.4.5 Xử lý thông báo 2.4.6 Giao diện dịch vụ 2.4.7 Một số cấu trúc liệu đợc dùng luồng 2.5 Các trình điều khiển 2.5.1 Tổng quan trình điều khiển 2.5.2 Đa luồng (Multiplexing) 2.5.2.1 Giới thiệu đa luồng 2.5.2.2 Xây dựng đa luồng STREAMS TCP/IP Chơng III: Giải pháp bảo vệ liệu nhân hệ điều hành Solaris 3.1 Giải pháp bảo vệ gói IP Solaris kỹ thuật mật mà 3.1.1 Đặt vấn đề 3.1.2 Mô hình mạng WAN bảo vệ gói IP kỹ thuật mật mà 3.1.3 Giải pháp bắt gói IP để thực việc mà hoá 3.1.4 Quản lý liệu gói IP tầng IPF 3.1.5 Cơ chế mà hoá liệu gói IP STREAMS TCP/IP 3.1.6 Quản lý gói STREAMS TCP/IP 3.1.7 Mà liệu gói IP 3.1.8 Tích hợp nút mà hoá với Router lọc gói Chơng IV: Khảo sát khả chống lại phần mềm Hacker tốc độ truyền liệu hệ thống bảo vệ gói IP Solaris 4.1 Khảo sát khả bảo vệ gói IP mạng LAN phần mềm IPSEC_SUN 4.1.1 Khả ngăn chặn công phần mềm Sniffit V.0.3.5 4.1.2 Khả ngăn chặn công phần mềm IPSCAN 4.1.3 Khẳ ngăn chặn công phần mềm Packetboy 4.1.4 Khẳ ngăn chặn công phần mềm ICMP_Bomber 4.1.5 So sánh khẳ chống lại phần mềm công phần mềm IPSEC_SUN phần mềm FreeS/WAN 38 38 39 41 42 42 43 43 43 44 45 45 46 47 48 49 50 51 53 53 54 54 54 57 57 57 59 60 61 62 63 63 64 66 66 67 70 71 76 78 4.2 Khảo sát ảnh hởng phần mềm IPSEC_SUN thời gian truyền liệu số dịch vụ 4.2.1 Khảo sát ảnh hởng phần mềm IPSEC_SUN thời gian truyền liệu dịch vụ trun tƯp FTP (File Transfer Protocol) 4.2.2 So s¸nh thêi gian trun d÷ liƯu gi÷a hai hƯ thèng dïng IPSEC_SUN FreeS/WAN Kết luận 82 82 86 89 Mở đầu TCP/IP giao thức truyền thông đợc cài đặt hầu hết hệ điều hành mạng giao thức chuẩn Internet Để bảo vệ thông tin mạng dùng giao thức TCP/IP, can thiệp mật mà vào tầng tầng ứng dụng, tầng vận tải, tầng Internet tầng truy nhập mạng Việc can thiệp mật mà vào tầng có u nhợc điểm riêng Tuy nhiên với phát triển mạnh mẽ Internet mạng công cộng, việc can thiệp mật mà vào tầng IP cho phép tạo mạng riêng ảo kết nối mạng nội thông qua kênh công khai Hơn nữa, giải pháp đà cho phép bảo vệ đợc liệu tất ứng dụng dùng giao thức TCP/IP bao gồm ảnh động âm mà can thiệp vào cấu trúc ứng dụng Chính điều đà giải đợc khó khăn thực tế Việt nam có nhiều ứng dụng có thông tin cần đợc bảo vệ nhng lại can thiƯp mËt m· vµo cÊu tróc cđa nã vµ c¸c øng dơng thêi gian thùc B¸o c¸o gåm chơng, giới thiệu giải pháp nhúng kỹ thuật mật mà vào nhân hệ điều hành Solaris kết khảo sát chức phần mềm bảo vệ gói IP Solaris sản phẩm đề tài Nghiên cứu bảo vệ liệu tầng IP cho mạng máy tính sử dụng hệ điều hành UNIX Ban Cơ yếu phủ Chơng 1: Khái quát chung giải pháp bảo vệ gói IP kỹ thuật mật mà Phân tích khả bảo vệ thông tin can thiệp mật mà vào tầng giao thức TCP/IP, đánh giá u nhợc điểm giải pháp can thiệp mật mà vào tầng IP Phân tích chế truyền liệu giao thức TCP/IP, dịch vụ bảo vệ gói IP kỹ thuật mật mà Từ đa mô hình chức hƯ thèng b¶o vƯ gãi IP b»ng kü tht mËt mà Chơng : Cơ chế quản lý liệu giao thức TCP/IP Solaris Trình bầy vấn đề chế quản lý thành phần gói IP Solaris , có cấu trúc STREAMS TCP/IP Chơng 3: Giải pháp nhúng kỹ thuật mật mà vào nhân hệ điều hành Solaris Trình bầy giải pháp xây dựng tầng IPF d−íi tÇng IP cÊu tróc Streams TCP/IP cđa Solaris Chơng 4: Khảo sát khả chống lại phần mềm hacker tốc độ truyền liệu hệ thèng b¶o vƯ gãi IP b»ng kü tht mËt m· Solaris Giới thiệu kết khảo sát số đặc trng phần mềm bảo vệ gói IP kỹ thuật mật mà hệ điều hành Solaris (IPSEC_SUN) hệ điều hành LINUX (FreeS/WAN), bao gồm khả ngăn chặn công số phần mềm Hacker, tốc độ truyền liệu hệ thống trờng hợp không chạy chạy phần mềm IPSEC_SUN FreeS/WAN Khả mà hoá liệu gói Multicast phục vụ cho việc bảo vệ liệu hội nghị truyền hình đợc giới thiệu chơng Chơng I KháI quát chung giảI pháp bảo vệ gói IP Bằng Kỹ thuật mật mà Xây dựng hệ thống bảo mật thông tin mạng máy tính đòi hỏi giải pháp tổng thể bao gồm nhiều chế an toàn nh điều khiển truy nhập, mà hoá liệu, chữ ký số, xác thùc, b¶o vƯ vËt lý, Kü tht mËt m· đóng vai trò quan trọng việc bảo vệ thông tin mạng, cho phép cài đặt hầu hết dịch vụ an toàn, bao gồm dịch vụ bí mật, xác thực, toàn vẹn, không chối bỏ Ngoài góp phần quan trọng việc cài đặt dịch vụ điều khiển truy nhập 1.1 can thiệp mật mà vào hệ thống mạng dùng giao thức TcP/IP 1.1.1 Can thiệp mật mà vào tÇng giao thøc TCP/IP CÊu tróc giao thøc TCP/IP cho phÐp chóng ta can thiƯp mËt m· vµo mét tầng tuỳ theo sách an toàn đợc đa Dới số lựa chọn tầng để can thiệp mật mà - Lựa chọn thành phần gói IP để bảo vệ Một gói IP chứa liệu bao gồm thành phần liệu ứng dụng (data), header tầng vận tải (TCP/UDP header), header tầng Internet (IP header) nh hình 1.1 dới Hình 1.1: Các thành phần gói IP Khi liệu đợc chuyển từ tầng vận tải xuống tầng dới, tầng header điều khiển đợc gắn vào phía bên trái liệu tầng chuyển xuống Mỗi header có cấu trúc riêng có vai trò việc chuyển liệu từ øng dơng cđa m¸y ngn tíi øng dơng cđa m¸y đích Bảng 1.1 khả bảo vệ thành phần gói IP can thiệp mật mà vào tầng giao thức TCP/IP Bảng 1.1: Bảo vệ thành phần gói IP giao thøc TCP/IP Data TCP/UDP header IP header TÇng øng dơng x Tầng vận tải x x Tầng Internet x x x Tầng truy nhập mạng x x x Nhìn vào bảng 1.1 thấy để bảo vệ liƯu øng dơng chóng ta cã thĨ can thiƯp mËt mà vào bốn tầng Nhng để bảo vệ header tầng vận tải can thiệp vào ba tầng dới Tầng ứng dụng không quan tâm đến header tầng vận tải đợc nối vào đầu khối liệu chuyển xuống Cuối để bảo vệ IP header lựa chọn hai tầng dới Nh để bảo vệ toàn gói IP phải can thiệp mật mà vào hai tầng dới tầng Internet tầng truy nhập mạng Tuy nhiên ta cần ý tầng truy nhập mạng bảo vệ toàn frame chứa gói IP bao gồm địa vật lý giao diện mạng - Lựa chọn dịch vụ cần đợc cài đặt Chuẩn ISO 7498-2 đà dịch vụ an toàn đợc cài đặt tầng mô hình OSI Đối chiếu mô hình TCP/IP với mô hình OSI, có dịch vụ an toàn đợc cài đặt kỹ thuật mật mà tầng giao thức TCP/IP nh bảng 1.2 Ta có số nhận xét sau: o Tại tầng ứng dụng cài đặt tất dịch vụ an toàn o Tầng vận tải có hai giao thức TCP UDP, TCP lµ giao thøc kÕt nèi vµ UDP lµ giao thøc không kết nối Tại tầng vận tải ta cài đặt dịch vụ an toàn kết nối không kết nối o Giao thức IP giao thức không kết nối, dịch vụ an toàn cài tầng IP dịch vụ không kết nối o Tại tầng truy nhập mạng ta cài đặt số dịch vụ bí mật - Interval: Khoảng thời gian lần gửi gói tin (Tốc độ gửi), đợc tính mili giây Các lệnh chạy: - Start: Bắt đầu chạy ICMP_Bomber - Stop: Dừng chạy ICMP_Bomber Hình 4.9: Kết chạy Qua trình khảo sát khả công ICMP_bomber hệ thống an toàn thông tin, ta thu đợc kết sau: Khi ta sử dụng máy Windows98 (cã cÊu h×nh nh− sau: Processor Pentium Celeron 333 Mhz, 32 Mb RAM, 7.5 Gb HDD, ) để kích hoạt phần mềm ICMP_Bomber để công máy chủ Sun Slaris (IP address: 200.1.1.3, Cấu hình phần cứng : Processor Pentium Celeron 300, 32 Mb RAM, 7.5 Gb HDD) theo tham số sau: - Host : 200.1.1.3 ( Đây địa IP máy chủ Sun) - Size : 1000 ( Độ lớn liệu gói 1000 byte) - Interval: 0.01 (Khoảng cách lần gửi 0.01 mili giây) 78 Ta thấy rằng, trờng hợp có chạy không chạy phần mềm bảo vệ gói IP máy chủ Sun chịu công nh nhau, tợng nhận biết đợc tốc độ xử lí máy chậm hẳn lại Khi ta tiếp tục gia tăng sức công cách cho chạy ICMP_Bomber máy Windows NT (Có cấu hình phần cứng nh sau: Processor PII 450, 64 Mb RAM, 9.2 Gb HDD, ) để công vào máy chủ Sun kết máy chủ sun hoàn toàn bị tê liệt, đáp ứng đợc dịch vụ mạng thông thờng (ta kiểm nghiệm cách từ máy mạng ftp telnet vào địa 200.1.1.3) Nhận xét : Phần mềm IPSEC_SUN khả ngăn chặn công kiểu từ chối dịch vụ dùng phần mềm ICMP_BOMBER 4.1.4 So sánh khả chống lại phần mềm công phần mềm IPSEC_SUN phần mềm FreeS/WAN FreeS/WAN sản bảo vệ gói IP mạng LINUX, đợc xây dựng dựa chuẩn IPSEC có mà nguồn mở Giao thức IPsec cung cấp chức an toàn, dịch vụ xác thực (authentication) mà ho¸ (encryption) ë møc IP (Internet Protocol) cđa chång giao thức mạng, đồng thời yêu cầu giao thức IKE mức cao mức IP để thiết lập dịch vụ mức IP Đợc bắt đầu với phiên 1.0, đến đà có phiên 1.9 FreeS/WAN dïng kü thuËt m· khèi DES, 3DES mode CBC để để mà hoá liệu , dùng phép biến đổi HMAC với hàm Hash MD5, SHA-1 để xác thực liệu Việc trao đổi khoá đợc càI đặt dùng giao thức IKE với giao thức Diffie-Hellman 768, 1024 and 1512 bits đợc xác thực cách dùng khoá bí mật chia sẻ chữ ký số RSA Có giao thức đợc dùng IPsec là: AH (Authentication Header): cung cấp dịch vụ xác thùc ë møc gãi (packet-level) ESP (Encapsulating Security Payload): cung cấp dịch vụ mà hoá cộng với xác thực liệu IKE (Internet Key Exchange): thoả thuận tham số kết nối, bao gồm khoá cho hai đối tợng khác Hạn chế IPsec không đáng kể, có trờng hợp IPsec dùng giao thức trên, có trờng hợp dùng AH ESP Hai chế độ làm việc FreeS/WAN chế độ tunnel chế độ transport Trong chế độ tunnel toàn gói IP đợc bảo vệ chế độ transport phân đoạn tầng vận tảI số trờng không thay đổi IP header đợc bảo vệ 79 Thông tin FreeS/Wan đợc giới thiệu http://www.freeswan.org/ Trớc hết giới thiệu số kết việc thiết kế xây dựng phần mềm bảo vệ gói IP LINUX theo công nghệ IPSEC dựa mà nguồn mở FreeS/WAN Cụ thể giữ nguyên thiết kÕ hƯ thèng hiƯn cã, chØ thay thÕ, bỉ xung module mật mà nh module mà khối tham số mật nh số nguyên tố cho thuật toán Diffie-Hellman RSA Các công việc mà đà hoàn thành là: -Đà khảo sát đợc cấu trúc hệ thống chế hoạt động FreeS/Wan -Thiết kế, xây dựng tích hợp mô đun kü tht m· khèi IDEA phơc vơ cho viƯc b¶o vệ liệu -Thiết kế, xây dựng mô đun sinh tham số (bao gồm khoá bí mật khóa công khai) phục vụ cho việc tạo chữ ký số RSA với đầu vào cặp số nguyên tố p,q cđa Häc viƯn Kü tht mËt m· (512 bits 1024 bits) -Tích hợp đợc số nguyên tố lín cđa Häc viƯn Kü tht mËt m· phơc vơ cho việc xác thực lẫn máy chủ LINUX, thoả mÃn đầy đủ yêu cầu an toàn (các số nguyên tố có dạng p=2q+1, q số nguyên tố 64 bit cao 64 bit thấp có giá trị 1) -Xây dựng xong phần mềm bảo vệ gói IP phiên LINUX RedHad 6.2 theo công nghệ IPSEC dựa FreeS/Wan 1.5 với mô đun tham sè mËt m· cđa Häc viƯn kü tht mËt mà -Cài đặt kiểm tra nhiều lần phần mềm hệ thống gồm nhiều máy chủ LINUX mạng LAN phía sau kết nối qua cáp mạng -Xây dựng quy trình tạo, quản lý phân phối tham số hệ mật khoá công khai RSA cho máy chủ LINUX bảo vệ gói IP mạng diện rộng -Xây dựng quy trình cài đặt cấu hình phần mềm bảo vệ gói IP mạng diện rộng Cũng với khảo sát tơng tự nh phần mềm IPSEC_SUN, chúng tôI đà khảo sát khả FreeS/WAN việc chống lại công bốn phần mềm Packeyboy 1.3, Sniffit V.0.3.5 , IPScan ICMP_Bomber đà thu đợc kết sau: 80 Phần mềm FreeS/WAN có khả chống lại công dùng phần mềm Sniffit, IPScan, Packetboy khả chống lại công dùng phần mềm ICMP_BOMBER Tuy nhiên, có khác khả ngăn chặn công hai phần mềm FreeS/WAN IPSEC_SUN FreeS/WAN chế độ Tunnel, IP header gói IP ban đầu đợc che dấu (do toàn gói IP đợc mà hoá), thay vào IP header với địa IP địa hai Gateway Dới hình ảnh minh hoạ gói IP đà đợc càI đặt dịch vụ an toàn FreeS/WAN Packetboy chặn bắt đợc Hình 4.10: Gói IP đà đợc càI đặt dịch vụ an toàn chế độ Tunnel với giao thức ESP FreeS/WAN Khi chạy FreeS/WAN, tất gói liệu đợc truyền từ client đến client đà đợc chặn bắt, mà hoá đóng gói lại Gateway Một IP header đợc bổ xung với địa nguồn đích địa IP hai Gateway Trong hình trên, packetboy đà đọc đợc thông tin IP header với địa nguồn (200.1.1.12), địa đích (200.1.1.10) địa gateway có cài 81 đặt FreeS/WAN, giao thức tầng IP lại ESP (có giá trị 0x32) Packetboy phân tích để lấy đợc thông tin gói IP bên đợc truyền hai máy client, liệu chúng đợc mà hoá chứa thành phần ESP (Encapsulating Security Payload) Từ kết có nhận xét là: Cả hai phần mềm IPSEC_SUN FreeS/WAN có khả chống lại công chặn bắt thông tin phần mềm nh Packeyboy 1.3, Sniffit V.0.3.5 , IPScan ngăn chặn công kiểu từ chối dịch vụ nh ICMP_Bomber Cụ thể thành phần gói IP đà đợc mà hoá đợc giữ bí mật công Packetboy thông tin cổng ứng dụng header tầng vận tảI đợc giữ bí mật nên hai phần mềm Sniffit IPScan đà bị vô hiệu hoá hoạt động đợc Còn phần mềm ICMP_BOMBER, tàI nguyên hệ thống bị cạn kiệt phảI đáp ứng lại nhiều đòi hỏi giả hai phần mềm IPSEC_SUN FreeS/WAN khả chống lại đợc Từ kết khảo sát trên, có kết luận sau: - Các ứng dụng làm việc ổn định gói IP đợc bảo vệ hai Gateway phần mềm IPSEC_SUN - Hệ thống có khả chặn bắt can thiệp mật mà vào gói IP - Hệ thống có khả chống lại công chặn bắt thông tin dùng phần mềm Packetboy 1.3, Sniffit V.0.3.5 IPScan - Hệ thống khả chống lại công dùng phần mềm ICMP_Bomber 82 4.2 Khảo sát ảnh hởng phần mềm IPSEC_SUN thời gian truyền liệu số dịch vụ Để cài đặt dịch vụ an toàn gói IP, IPSEC_SUN phải tiến hành chặn bắt can thiệp mật mà vào phân đoạn tầng vận tải Mục tiêu xây dựng phần mềm an toàn kỹ thuật mật mà việc càI đặt dịch vụ an toàn làm ảnh hởng tới hiệu hệ thống Chúng đà khảo sát ảnh hởng phần mềm IPSEC_SUN phần mềm FreeS/WAN thời gian truyền liệu dịch vụ truyền tệp FTP 4.2.1 Khảo sát ảnh hởng phần mềm IPSEC_SUN thời gian truyền liệu dịch vụ truyền tệp FTP (File transfer Protocol) Hình 4.11 mô hình mạng đợc dùng để khảo sát, bao gồm Gateway có cài đặt phần mềm IPSEC_SUN hệ điều hành Solaris hai máy client client chạy hệ đIều hành LINUX 6.2 dùng để truyền số liệu dùng dịch vụ FTP Với file liệu chúng tôI đà tiến hành truyền lần để đo thời gian tốc độ có đợc kết khác từ thông báo dịch vụ FTP Hình 4.11: Mô hình mạng khảo sát Bảng sau kết thu đợc qua khảo sát, ghi thời gian truyền đợc tính giây lần truyền file ba trờng hợp không m·, m· dïng Blowfish, m· dïng IDEA : 83 KÝch thớc Thời gian truyền (s), tốc độ (Kytes/s) Không mà Blowfish IDEA 0.54 0.63 0.74 0.57 0.59 0.62 0.61 0.58 0.61 0.63 0.57 0.61 0.6 0.61 0.65 0.59 ( 868 ) 0.596 ( 859 ) 0.646 ( 793 ) 1.2 1.2 1.4 1.1 1.1 1.3 1.3 1.3 1.3 1.3 1.3 1.2 1.2 1.2 1.2 1.22 ( 839 ) 1.22 ( 839 ) 1.28 ( 800 ) 8.4 7.6 9.4 8.3 8.5 7.4 7.8 9.4 8.3 8.9 8.1 8.8 7.6 8.3 8.28 ( 742 ) 8.24 ( 746 ) 8.44 ( 728 ) 25 23 24 24 22 24 22 23 22 22 22 23 20 24 24 22.6 ( 680 ) 22.8 ( 674 ) 23.4 ( 656 ) 512KB Trung b×nh 1MB Trung b×nh 6MB Trung b×nh 15MB Trung b×nh 1:512KB 2:1MB 3:6MB 4:15MB 1000 800 600 400 200 Kh«ng m· 868 839 742 680 Blowfish 859 839 746 674 IDEA 793 800 728 656 Hình 4.12: Biểu đồ thời gian truyền liệu hệ thống càI đặt IPSEC_SUN 84 Hình 4.12 biểu đồ thời gian truyền trung bình file liệu trờng hợp không chạy chạy IPSEC_SUN với IDEA Blowfish Hình 4.13 biểu đồ tốc độ truyền liệu đợc tính theo Kbytes/s 1:512 K - 2:1MB - 3:6MB - 4:15MB 25 20 15 10 Kh«ng m· 0.59 1.22 8.28 22.6 Blowfish 0.596 1.22 8.24 22.8 IDEA 0.646 1.28 8.44 23.4 Hình 4.13 Biểu đồ tốc độ truyền liệu hệ thống dùng IPSEC_SUN Bảng dới tỷ lệ % tốc độ truyền liệu chạy không chạy IPSEC_SUN : KÝch th−íc Kh«ng m· Blowfish IDEA 512 KB 100% 99% 91% MB 100% 100% 95% MB 100% 101% 98% 15 MB 100% 99% 96% 99,75% 95 % Trung bình 85 Từ số liệu có nhận xét là: Với file liệu, thời gian tốc độ truyền từ client đến client khác Với mô hình mạng nh trên, nói chung việc mà hoá gói IP hầu nh không làm giảm tốc độ truyền số liệu hai client vµ client Khi m· víi IDEA, tû lƯ tốc độ đạt 95 %, đặc biệt mà với Blowfish tỷ lệ tốc độ đạt 99,75% Với file có kích thớc lớn, tốc độ truyền liệu có xu hớng giảm nhng tỷ lệ % tốc độ truyền liệu chạy không chạy IPSEC có xu hớng tăng lên Khi sử dụng mà khối Blowfish, nói chung tốc độ truyền liệu nhanh dïng kü thuËt m· khèi IDEA Mét c¸c lý để thời gian truyền liệu không tăng đáng kể cài đặt phần mềm IPSEC_SUN máy đợc dùng để khảo sát có cấu hình mạnh Với máy với cấu hình thấp, việc càI đặt IPSEC_SUN ảnh hởng đáng thời gian truyền liệu Với mô hình mạng nh hình 4.11 nhng máy có cấu hình thấp nh sau: Gateway1 : Compaq Celeron 400MHZ, 32 MB RAM, 4.3 GB HDD Gateway2 :Compaq Celeron 400MHZ, 32 MB RAM, 4.3 GB HDD Client1 : Celeron 400MHZ, 32 MB RAM, 4,3 GB HDD Client : IBM Pentium II 133 MHZ, 32 MB RAM, , 2,1 GB HDD Chúng đà truyền hai file có độ lớn 16 MB 61 MB từ Client chạy Windows 95 đến máy Client chạy Windows NT 4.0 đà thu đợc kết biểu đồ sau: 86 1:16MB 2:61MB 600 500 400 300 200 100 Kh«ng m· 48.06 137.86 IPSEC_SUN IDEA 178.29 531.13 Hình 4.14: Biểu đồ thời gian truyền liệu hệ thống càI đặt IPSEC_SUN (Với máy có cấu hình thấp) Qua biểu đồ thấy cấu hình máy thấp, việc càI đặt IPSEC_SUN gây ảnh hởng đáng kể đến thời gian truyền liệu Trong trờng hợp thời gian truyền liệu chặn bắt mà hoá gói IP tăng khoảng 2,8 lần Chúng ta lu ý không chạy IPSEC_SUN thời gian truyền liệu trờng hợp đà gấp đôI thời gian truyền liệu không mà sơ đồ 4.2.2 So sánh thời gian truyền liệu hai hệ thống dùng IPSEC_SUN FreeS/WAN Do phiên FreeS/WAN không càI đặt kỹ thuật mà khối IDEA, nên để so sánh ảnh hởng hai phần mềm IPSEC_SUN FreeS/WAN đến tốc độ truyền liệu mạng, chúng tôI đà càI đặt bổ xung mô đun mà khối IDEA vào phần mềm FreeS/WAN Với mô hình mạng nh hình 4.11, chúng tôI đà khảo sát thời gian tốc độ truyền liệu hai trờng hợp không m· vµ m· dïng FreeS/WAN víi kü tht m· khèi IDEA 87 KÝch th−íc Thêi gian trun (s) FreeS/WAN Kh«ng m· (IDEA) 512K 0.65 0.737 Tèc ®é 788 695 MB 1.48 1.48 Tèc ®é 692 692 MB 9.43 9.65 Tèc ®é 652 637 15 MB 23.8 24.6 Tèc ®é 645 624 Tû lƯ % trung b×nh cđa tèc ®é Tû lƯ % cđa tèc ®é 88% 100% 98% 96% 95.5 % Bảng thời gian (s) tốc độ (Kbytes/s) truyền file liệu có kÝch th−íc 512KB, 1MB, MB vµ 15 MB tõ client đến client hai trờng hợp chạy không chạy FreeS/WAN với mà khối IDEA Hình 4.15 biểu đồ thời gian truyền liệu hệ thống càI đặt FreeS/WAN với mà khối IDEA 1:512K 2:1MB 3:6MB 4:15MB 25 20 15 10 Kh«ng m· 0.65 1.4 9.43 23.8 FreeS/WAN - IDEA 0.737 1.48 9.65 24.6 Hình 4.15: Biểu đồ vỊ thêi gian trun d÷ liƯu cđa hƯ thèng dïng FreeS/WAN víi m· khèi IDEA 88 Tõ c¸c sè liƯu trªn, chóng ta nhËn xÐt r»ng, cịng nh− IPSEC_SUN, víi cấu hình máy mạnh nh hình 4.11, phần mềm FreeS/WAN không ảnh hởng đáng kể đến tốc độ truyền liệu Với máy có cấu hình thấp, thời gian truyền liệu chạy FreeS/WAN tăng khoảng 2,85 lần so với thời gian truyền liệu không can thiệp mật mà Bảng dới tổng hợp số liệu tốc độ thời gian truyền file liệu hệ thống mạng không chạy chạy IPSEC_SUN FreeS/WAN với cïng m· khèi IDEA KÝch th−íc FreeS/WAN – IDEA IPSEC_SUN - IDEA M· Kh«ng m· 512K 0.646 (793) 0.59 (868) Tỷ lệ tốc độ Mà Không mà 91% 0.737 (695) 0.65 (788) Tû lƯ tèc ®é 88% MB 1.28 (800) 1.22 (839) 95% 1.48 (692) 1.48 (692) 100% MB 8.44 (728) 8.28 (742) 98% 9.65 (637) 9.43 (652) 98% 15 MB 23.4 (656) 22.6 (680) 96% 24.6 (624) 23.8 (645) 96% 95 % Tû lƯ tèc ®é ( trung bình ) Tỷ lệ tốc độ ( trung bình ) 95.5% Chóng ta thÊy r»ng thêi gian trun d÷ liƯu cđa hai hƯ thèng can thiƯp mËt m· tăng không đáng kể so với thời gian truyền liệu không can thiệp mật mà Tính trung bình, tỷ lệ tốc độ truyền liệu mà không mà 95% IPSEC_SUN 95,5 % chạy FreeS/WAN Từ số liệu khảo s¸t, chóng ta thÊy r»ng thêi gian trƠ cđa gãi IP trình chặn bắt mà hoá phụ thuộc vào yếu tố sau: Cấu hình máy: Cấu hình máy mạnh thời gian mà hoá gói IP Thuật toán mà khối: Trong thuật toán mà khối thông dụng DES, IDEA Blowfish thuật toán Blowfish có tốc độ tính toán nhanh Các dịch vụan toàn đợc càI đặt Về mặt lý thuyết ta thấy rằng, việc mà hoá toàn phân đoạn tầng vận tảI (bao gồm TCP/UDP header liệu ứng dụng) nhanh ta chØ m· d÷ liƯu øng dơng 89 KÕt ln Bảo vệ gói IP kỹ thuật mật mà hớng nghiên cứu có nhiều triển vọng có ý nghĩa thực tiễn cao Giải pháp đợc giới thiệu phần áp dụng cho mạng sử dụng hệ đIều hành thuộc họ UNIX có hỗ trợ chế STREAMS không cần mà nguồn më ThiÕt kÕ cđa hƯ thèng lµ më vµ cho phép dễ dàng thay đổi môđun mật mà giao thức quản lý khoá Chúng ta hoàn thiện phần mềm IPSEC_SUN theo mô hình IPSEC cách chèn header xác thực, phân phối khoá theo cặp Gateway xây dựng Firewall có chức mật mà 90 Tài liệu tham khảo Tiếng Việt Đặng Vũ Sơn (2000), Nghiên cứu bảo vệ liệu tầng IP cho mạng máy tính sử dụng hệ điều hành UNIX, Báo cáo đề tài cấp - Ban Cơ yếu Chính phủ Nguyễn Hữu Giao, Vũ Quốc Khánh, Đặng Vũ Sơn (2001), Về giao thức phân phối khoá phiên phần mềm bảo vệ gói IP Solaris, Giới thiệu kết nghiên cứu Học viện kỹ thuật mật mà - Năm 1999-2000, tr 155-162, Học viện Kỹ tht MËt m· (KTMM), Ban C¬ u chÝnh phđ TiÕng Anh Arto Pulkki (1996), The IP Security Architecture, Department of Physis Helsinki University of technology Bill Rieken, Lyle Weiman (1992), Adventures in Unix Network Applications Programming, John Wiley & Sons, Inc , Canada D.R Stinson (1995), Cryptography: Theory and Practice, CRC Press, Inc., USA David A.Curry (1992), UNIX System Security, Addition-Wesley Publishing company, INC., USA D Harkins, D Carrel, (1998), “The Internet Key Exchange (IKE)”, RFC 2409 D.W Davies and W.L Price (1989), Security for Computer Networks - Second Edition, John Wiley & Sons Ltd, USA D Harkins, D Carrel ( 1998), “The Internet Key Exchange (IKE)”, RFC 2049 D Brent Chapman and Elizabeth D.Zwicky (1995), Building Internet Firewalls, O’Reilly & Associates, Inc., USA D Maughan, M Schertler, M Schneider, J Turner (1998) ‘Internet Security Association and Key Management Protocol (ISAKMP)’, RFC2408 10 Gary R.Wright, W Richard Stevens (1995), TCP/IPIllustrated, Volume 2, Adddison-wesley publishing company, USA 91 11.George Pajari (1992), Writing unix device drivers, Addison-Wesley Publishing Company, Inc., Canada 12 Janice Winsor (1993), Solaris System Administrator’s Guide, Ziff-Davis Press, USA 13 John R Vacca (1996), Internet Security Secrets, IDC books Worldwide, Inc USA 14 John Hughes (1998), Implementation and application of virtual private networks, Trusted information systems, England 15.Marcus Goncalves (1998), Firewalls complete, McGraw-Hill, USA 16 Randall Atkinson (1995), “Security Architecture for Internet Protocol”, RFC 1825 17 Randall Atkinson (1995), “IP Authentication Header “, RFC 1826 18 Sean Boran (2001), “Hardening Solaris - Security installing a firewall bastion host”, http://www.boran.com/security/sp/solaris-hardening2.html 19 Sun Microsystems, Inc (1995), Streams Programming Guide, USA 20 Sun Microsystems, Inc (1995), Writing Device Drivers, USA 21 SUN(2002) , “Solaris Security Guide”, http://home.attbi.com/~cabernet/paper/solaris.html 22 William Caelli, Dennis Longley, Michael Shain (1994), Information Security Handbook, Macmillan Press Ltd., Great Britain 23 William Stallings, Ph.D (1995) Network and internetwork security - Principles and Practice, Prentice -Hall, Inc., USA 24 William Stallings Ph.D (1999), Cryprography and Network security: and Practice - Second edition, Prentice -Hall, Inc.,USA 25 http://www.freeswan.org/ 92 Principles ... chặn công phần mềm IPSCAN 4.1.3 Khẳ ngăn chặn công phần mềm Packetboy 4.1.4 Khẳ ngăn chặn công phần mềm ICMP_Bomber 4.1.5 So sánh khẳ chống lại phần mềm công phần mềm IPSEC_SUN phần mềm FreeS/WAN... nghiên cứu Phần mềm bảo mật mạng dùng giao thức IP Quyển 4B: Phần mềm bảo mật môi trờng Solaris Chủ trì nhóm thực hiện: TS Đặng Vũ Sơn Mục lục Mở đầu Chơng 1: Khái quát chung giải pháp bảo vệ gói... sát khả chống lại phần mềm Hacker tốc độ truyền liệu hệ thống bảo vệ gói IP Solaris 4.1 Khảo sát khả bảo vệ gói IP mạng LAN phần mềm IPSEC_SUN 4.1.1 Khả ngăn chặn công phần mềm Sniffit V.0.3.5