BỘ CÔNG AN TRƯỜNG ĐẠI HỌC KỸ THUẬT – HẬU CẦN CAND KHOA CÔNG NGHỆ THÔNG TIN - - BÁO CÁO THỰC TẬP CHUYÊN ĐỀ Đề tài: “NGHIÊN CỨU KỸ THUẬT TẤN CÔNG MẠNG LAN VÀ GIẢI PHÁP ĐẢM BẢO AN TOÀN MẠNG LAN” Giảng viên hướng dẫn: ThS BÙI HỒNG ĐẠI Sinh viên thực hiện: ĐOÀN MINH TỒN Lớp: D3B Chun ngành: CƠNG NGHỆ THƠNG TIN Bắc Ninh, năm 2016 MỤC LỤC MỤC LỤC i DANH MỤC HÌNH iii DANH MỤC BẢNG v LỜI CẢM ƠN vi PHẦN MỞ ĐẦU CHƯƠNG TỔNG QUAN VỀ MẠNG CỤC BỘ 1.1 Giới thiệu mạng cục 1.1.1 Khái niệm mạng cục 1.1.2 Lịch sử phát triển mạng cục 1.1.3 Những thiết bị cấu thành mơ hình thực thi 1.2 Công nghệ Ethernet 11 1.2.1 Khái niệm công nghệ Ethernet 11 1.2.2 Lịch sử phát triển công nghệ Ethernet 12 1.2.3 Các đặc tính chung Ethernet 12 1.3 Các kỹ thuật chuyển mạch mạng LAN 15 1.3.1 Khái niệm chuyển mạch 15 1.3.2 Lịch sử phát triển hệ thống chuyển mạch 15 1.3.3 Các chế độ chuyển mạch LAN 15 CHƯƠNG TẤN CÔNG MẠNG CỤC BỘ VÀ GIẢI PHÁP PHÒNG CHỐNG 17 2.1 Tổng quan an ninh mạng 17 2.1.1 Khái niệm an ninh mạng 17 2.1.2 Hacker ảnh hưởng việc hack 17 2.1.3 Các giai đoạn công 18 2.1.4 Các loại công mạng 19 i 2.1.5 Các đối tượng bị cơng LAN hình thức cơng phổ biến 20 2.2 Một số kiểu cơng mạng LAN cách phịng chống 21 2.2.1 Kiểu công ARP spoofing 21 2.2.2 Kiểu công DNS spoofing 24 2.2.3 Kiểu công DHCP spoofing 27 2.3 Một số giải pháp đảm bảo an toàn mạng LAN 29 2.3.1 Tường lửa (Firewall) 29 2.3.2 Công nghệ phát ngăn chặn xâm nhập mạng IDS/IPS 31 2.3.3 Mạng VLAN ảo 31 2.3.4 Mạng riêng ảo (VPN) 32 CHƯƠNG THỬ NGHIỆM TẤN CÔNG MẠNG CỤC BỘ 33 3.1 Giới thiệu hệ điều hành Backtrack R3 33 3.2 Xây dựng mơ hình thử nghiệm 36 3.3 Tiến hành công 36 3.3.1 Tấn công AR spoofing 36 3.3.2 Tấn công DHCP spoofing 42 3.3.3 Tấn công DNS spoofing 44 3.4 Đánh giá, kết luận 46 3.4.1 Đánh giá 46 3.4.2 Kết luận 47 TÀI LIỆU THAM KHẢO 48 ii DANH MỤC HÌNH Hình 1.1 Modem việc kết nối với thiết bị khác Hình 1.2 Dồn kênh phân tín hiệu Hình 1.3 Mơ hình liên kết mạng sử dụng Repeater Hình 1.4 Đầu nối mạng qua Hub Hình 1.5 Bộ chuyển mạch (Switch) Hình 1.6 Cầu (Bridge) Hình 1.7 Router việc kết nối mạng Hình 1.8 Kết nối mạng sử dụng Brouter Hình 1.9 Lay Switch Hình 1.10 Cấu trúc mạng hình Hình 1.11 Cấu trúc mạng hình tuyến 10 Hình 1.12 Cấu trúc mạng dạng vòng 11 Hình 1.13 Cấu trúc khung tin Ethernet 12 Hình 2.1 Các giai đoạn cơng 18 Hình 2.2 Vị trí ARP 21 Hình 2.3 Cách thức hoạt động ARP 22 Hình 2.4 Cách thức công ARP spoofing 23 Hình 2.5 Hoạt động DNS 25 Hình 2.6 Tấn cơng giả mạo DNS phương pháp giả mạo DNS ID 26 Hình 2.7 Hoạt động DHCP 28 Hình 2.8 Firewall cứng 30 Hình 2.9 Firewall mềm 30 Hình 3.1 Giao diện Backtrack R3 34 iii Hình 3.2 Các cơng cụ Backtrack R3 34 Hình 3.3 Mơ hình thử nghiệm cơng phịng thủ 36 Hình 3.4 Địa MAC bên máy nạn nhân 37 Hình 3.5 Địa MAC bên máy công 37 Hình 3.6 Chọn Network interface 38 Hình 3.7 Giao diện sau chọn cổng interface 38 Hình 3.8 Danh sách Hosts sau quét 39 Hình 3.9 Chọn kiểu công ARP poisoning 39 Hình 3.10 Bắt đầu cơng ARP poisonning 40 Hình 3.11 Kiểm tra địa MAC bên máy nạn nhân 40 Hình 3.12 Telnet vào Server từ máy nạn nhân 41 Hình 3.13 Thơng tin bắt bên máy công công arp spoofing 41 Hình 3.14 Telnet đến Server máy cơng 42 Hình 3.15 Chọn chức công Dhcp spoofing 43 Hình 3.16 Điền thơng tin Server 43 Hình 3.17 Thơng tin bắt bên máy cơng cơng Dhcp spoofing 44 Hình 3.18 Sửa tập tin etter.dns 45 Hình 3.19 Khởi động dns_spoof 45 Hình 3.20 Trang web thegioitinhoc.vn bị điều hướng 46 iv DANH MỤC BẢNG Bảng 1.1 Các loại mạng Ethernet 14 Bảng 3.1 Thời gian phát hành phiên Backtrack 33 v LỜI CẢM ƠN Sau thời gian học tập, nghiên cứu với giúp đỡ quý báu thầy giáo, cô giáo, em hoàn thành báo cáo đề tài kết thúc học phần mơn Thực tập chun đề Hồn thành báo cáo này, cho phép em bày tỏ lời cảm ơn tới thầy cô giáo khoa Công nghệ thông tin trường Đại học Kỹ thuật - Hậu cần CAND giúp đỡ em hoàn thiện báo cáo Đồng thời, em gửi lời cảm ơn đặc biệt dẫn tận tình thầy Bùi Hồng Đại suốt trình nghiên cứu thực đề tài Tuy vậy, thời gian có hạn kinh nghiệm hạn chế nên báo cáo khơng tránh khỏi thiếu sót, hạn chế định Vì vậy, em mong nhận bảo, đóng góp ý kiến thầy để em có điều kiện bổ sung, nâng cao kiến thức thân Em xin chân thành cảm ơn! Bắc Ninh, ngày 22 tháng 06 năm 2016 SINH VIÊN THỰC HIỆN Đoàn Minh Toàn vi PHẦN MỞ ĐẦU Tính cấp thiết chun đề Cơng nghệ thơng tin ngày đóng vai trị quan trọng lĩnh vực đời sống nói chung mặt cơng tác lực lượng Cơng an nói riêng Với nhu cầu trao đổi thông tin, bắt buộc quan, tổ chức phải hồ vào mạng tồn cầu Internet An tồn bảo mật thơng tin vấn đề quan trọng hàng đầu, thực kết nối mạng nội quan, doanh nghiệp, tổ chức với Internet Ngày nay, biện pháp an tồn thơng tin cho máy tính cá nhân mạng nội nghiên cứu triển khai Tuy nhiên, thường xuyên có mạng bị cơng, có tổ chức bị đánh cắp thông tin, gây nên hậu vô nghiêm trọng Không vụ công tăng lên nhanh chóng mà phương pháp cơng liên tục hồn thiện Điều phần nhân viên quản trịhệ thống ngày đề cao cảnh giác Vì việc kết nối mạng nội quan tổ chức vào mạng Internet mà khơng có biện pháp đảm bảo an ninh xem tự sát Trong công tác Công an, việc nghiên cứu kỹ thuật cơng, phịng thủ, giải pháp đảm bảo an tồn mạng nơi có vai trò quan trọng Qua kiểm tra hệ thống mạng máy tính Bộ Cơng an, phận an tồn thơng tin phát nhiều thiết bị kết nối mạng có lỗ hổng an ninh cho phép hacker phần mềm gián điệp xâm nhập Sự tồn lỗ hổng an ninh gây hậu như: làm lộ lọt thông tin, điểm yếu để hacker phần mềm gián điệp công máy tính khác mạng.v.v Ngồi ra, nhiều đơn vị sử dụng đường điện thoại để tổ chức kết nối mạng cho máy tính xa, tạo lỗ hổng an ninh lớn mạng máy tính Bộ Cơng an Xuất phát từ lý em định lựa chọn sâu phân tích nghiên cứu đề tài “Nghiên cứu kỹ thuật công mạng LAN xây dựng giải pháp đảm bảo an toàn mạng LAN” Mục tiêu chuyên đề - Tìm hiểu tổng quan mạng LAN - Nghiên cứu số kỹ thuật công mạng LAN xây dựng cách phịng chống cơng - Đề xuất số giải pháp đảm bảo an tồn mạng LAN - Xây dựng mơ hình thử nghiệm triển khai số biện pháp công phòng chống Phạm vi nghiên cứu chuyên đề Tổng quan mạng LAN, số kỹ thuật cơng mạng LAN cách phịng chống Đối tượng nghiên cứu Kỹ thuật công mạng LAN, cách phịng chống giải pháp đảm bảo an tồn Để phục vụ q trình nghiên cứu cần áp dụng phương pháp sau: + Nghiên cứu tài liệu + Khai thác sử dụng phần mềm máy tính + Phương pháp thực nghiệm Nội dung nghiên cứu chuyên đề gồm - Nghiên cứu tổng quan mạng LAN - Nghiên cứu số kỹ thuật công mạng LAN phổ biến - Nghiên cứu cách phòng chống xây dựng giải pháp đảm bảo an toàn mạng LAN - Xây dựng thử nghiệm số kỹ thuật cơng phịng chống Cấu trúc báo cáo gồm chương: Chương Tổng quan mạng cục Chương Một số kỹ thuật công mạng LAN cách phòng chống Chương Thử nghiệm công mạng cục CHƯƠNG TỔNG QUAN VỀ MẠNG CỤC BỘ 1.1 Giới thiệu mạng cục 1.1.1 Khái niệm mạng cục - Định nghĩa mạng cục bộ: LAN (Local Area Network) hay gọi mạng máy tính cục hệ thống mạng dùng để kết nối máy tính phạm vi nhỏ (nhà ở, phòng làm việc, trường học,…) Các máy tính mạng LAN chia sẻ tài ngun với nhau, mà điển hình chia sẻ tập tin, máy in, máy quét số thiết bị khác [1] - Mục đích mạng cục bộ: + Liên lạc với + Chia sẻ thông tin + Chia sẻ tài nguyên 1.1.2 Lịch sử phát triển mạng cục Vào năm 80, với xuất PC, người sử dụng thấy họ thỏa mãn phần lớn nhu cầu tính tốn họ mà khơng cần tới máy tính lớn Việc tính tốn xử lý độc lập ngày phát triển vai trò xử lý tập trung ngày giảm dần Trong vòng 15 năm qua, LAN trở thành cơng cụ có ý nghĩa chiến lược hoạt động tổ chức, doanh nghiệp Sau đó, LAN tiêu chuẩn cho phép nối PC khác để hoạt động lợi ích chung xuất - LAN hệ thứ nhất: LAN hệ thứ nối máy để bàn với để chia sẻ tài nguyên Tiếp theo đó, LAN nối với để tạo thành liên mạng cách sử dụng Hub, Bridge Router Mạng doanh nghiệp với chi nhánh xa hình thành thơng qua việc sử dụng Router với đường xa có tốc độ 64 Kbps, đường truyền Leased Line (đường thuê riêng) X.25 Các mạng LAN loại sử dụng chung mơi trường truyền, có nghĩa đường cáp dùng để truyền liệu máy tính - LAN hệ thứ hai: Thế hệ đặc trưng công nghệ chuyển mạch đa dịch vụ (Multimedia) trước hiểu phương tiện truyền dẫn khác cáp đồng xoắn, cáp đồng trục, cáp quang Gần đây, multimedia hiểu đa dịch vụ: liệu, thoại hình ảnh Vấn đề khó khăn ngày làm cách để nâng cấp mạng hệ thứ lên mạng hệ thứ hai mà ứng dụng phát triển mạng yêu cầu điều 1.1.3 Những thiết bị cấu thành mơ hình thực thi 1.1.3.1 Những thiết bị cấu thành - Modem (Bộ điều chế giải điều chế) Modem (Modulation/ Demodulation) thiết bị có chức chuyển đổi tín hiệu số thành tín hiệu tương tự ngược lại (Digital Analog) để kết nối máy tính qua đường điện thoại Hình 1.1 Modem việc kết nối với thiết bị khác - Multiplexor (Bộ phân kênh) Multiplexor thiết bị có chức tổ hợp tín hiệu để chúng truyền với sau nhận lại tách trở lại tín hiệu gốc (chức phục hồi lại tín hiệu gốc gọi phân kênh) Hình 1.2 Dồn kênh phân tín hiệu - Bộ lặp tín hiệu (Repeater) Repeater loại thiết bị phần cứng đơn giản thiết bị liên kết mạng, hoạt động tầng vật lý mơ hình OSI Khi Repeater nhận tín hiệu từ phía mạng phát tiếp vào phía mạng Hình 1.3 Mơ hình liên kết mạng sử dụng Repeater - Bộ tập trung (Hub) Hub chia (hay gọi Bộ tập trung – Concentrator) yếu tố quan trọng LAN, điểm kết nối dây trung tâm mạng, tất trạm mạng LAN kết nối thơng qua Hub Hình 1.4 Đầu nối mạng qua Hub - Bộ chuyển mạch (Switch) Bộ chuyển mạch tiến hố cầu (Bridge), có nhiều cổng dùng mạch tích hợp nhanh để giảm độ trễ việc chuyển khung liệu Switch bảng địa MAC cổng thực giao thức Spanning Tree Switch hoạt động tầng Data Link suốt với giao thức tầng Hình 1.5 Bộ chuyển mạch (Switch) - Cầu nối (Bridge) Bridge thiết bị có xử lý dùng để nối hai mạng giống khác nhau, dùng với mạng có giao thức khác Hình 1.6 Cầu (Bridge) - Bộ định tuyến (Router) Router thiết bị hoạt động tầng mạng, tìm đường tốt cho gói tin qua nhiều kết nối để từ trạm gửi thuộc mạng đầu đến trạm nhận thuộc mạng cuối Router sử dụng việc nối nhiều mạng với cho phép gói tin theo nhiều đường khác để tới đích Hình 1.7 Router việc kết nối mạng - Brouter Brouter thiết bị đóng vai trị Router lẫn Bridge Khi nhận gói tin, Brouter chọn đường cho gói tin mà “hiểu” (giao thức) bắc cầu cho tất gói tin mà khơng hiểu Hình 1.8 Kết nối mạng sử dụng Brouter - Bộ chuyển mạch có định tuyến (Layer Switch) Switch L3 chạy giao thức định tuyến tầng mạng, tầng mơ hình tầng OSI Switch L3 có cổng WAN để nối LAN khoảng cách xa Thực chất bổ sung thêm tính Router Hình 1.9 Lay Switch 1.1.3.2 Các mơ hình thực thi a Mạng dạng hình (Star Topology) Mạng dạng hình bao gồm kết nối trung tâm nút Các nút trạm đầu cuối, máy tính thiết bị khác mạng Bộ kết nối trung tâm mạng điều phối hoạt động mạng [1] Mạng dạng hình cho phép nối máy tính vào tập trung (Hub) cáp, giải pháp cho phép nối trực tiếp máy tính với Hub không cần thông qua trục Bus, tránh yếu tố gây ngưng trệ mạng Hình 1.10 Cấu trúc mạng hình Mơ hình kết nối hình ngày trở nên phổ biến Với việc sử dụng tập trung chuyển mạch, cấu trúc hình mở rộng cách tổ chức nhiều mức phân cấp, dễ dàng việc quản lý vận hành - Các ưu điểm mạng hình sao: + Hoạt động theo nguyên lý nối song song nên có thiết bị nút thơng tin bị hỏng mạng hoạt động bình thường + Cấu trúc mạng đơn giản thuật toán điều khiển ổn định + Mạng dễ dàng mở rộng thu hẹp - Những nhược điểm mạng dạng hình sao: + Khả nǎng mở rộng mạng hồn tồn phụ thuộc vào khả nǎng trung tâm + Khi trung tâm có cố tồn mạng ngừng hoạt động + Mạng yêu cầu nối độc lập riêng rẽ thiết bị nút thông tin đến trung tâm Khoảng cách từ máy đến trung tâm hạn chế (100 m) b Mạng hình tuyến (Bus Topology) Thực theo cách bố trí hành lang, máy tính thiết bị khác nút, nối với trục đường dây cáp để chuyển tải tín hiệu Tất nút sử dụng chung đường dây cáp Phía hai đầu dây cáp bịt thiết bị gọi Terminator Các tín hiệu liệu truyền dây cáp mang theo điạ nơi đến [1] Hình 1.11 Cấu trúc mạng hình tuyến - Ưu điểm: Loại hình mạng dùng dây cáp nhất, dễ lắp đặt, giá thành rẻ - Nhược điểm: + Sự ùn tắc giao thông di chuyển liệu với lưu lượng lớn + Khi có hỏng hóc đoạn khó phát hiện, ngừng đường dây để sửa chữa ngừng toàn hệ thống Cấu trúc ngày sử dụng c Mạng dạng vịng (Ring Topology) Mạng dạng này, bố trí theo dạng xoay vòng, đường dây cáp thiết kế làm thành vịng khép kín, tín hiệu chạy quanh theo chiều Các nút truyền tín hiệu cho thời điểm nút mà Dữ liệu truyền phải có kèm theo địa cụ thể trạm tiếp nhận [1] - Ưu điểm: + Mạng dạng vịng có thuận lợi nới rộng xa, tổng đường dây cần thiết so với hai kiểu + Mỗi trạm đạt tốc độ tối đa truy nhập - Nhược điểm: Đường dây phải khép kín, bị ngắt nơi tồn hệ thống bị ngừng 10 Hình 1.12 Cấu trúc mạng dạng vịng d Mạng dạng kết hợp - Kết hợp hình tuyến (Star/Bus Topology): Cấu hình mạng dạng có phận tách tín hiệu (Spitter) giữ vai trị thiết bị trung tâm, hệ thống dây cáp mạng chọn Ring Topology Linear Bus Topology Lợi điểm cấu hình mạng gồm nhiều nhóm làm việc cách xa nhau, ARCNet mạng dạng kết hợp Star/Bus Topology Cấu hình dạng đem lại uyển chuyển việc bố trí đường dây, tương thích dễ dàng tồ nhà - Kết hợp hình vịng (Star/Ring Topology): Cấu hình dạng kết hợp Star/Ring Topology, có "thẻ bài" liên lạc (Token) chuyển vòng quanh Hub trung tâm Mỗi trạm làm việc (Workstation) nối với Hub - cầu nối trạm làm việc để tǎng khoảng cách cần thiết 1.2 Công nghệ Ethernet 1.2.1 Khái niệm công nghệ Ethernet Ethernet công nghệ khu vực nội sử dụng để kết nối thiết bị khoảng cách gần, vận hành nhà Ở mức tối đa ,người ta sử dụng hàng trăm mét để kết nối thiết bị Ethernet Nhưng để kết nối thiết bị khoảng cách địa lý xa khơng thể Ngày nay, nhờ tiến mặt cơng nghệ, người ta xem xét lại trở ngại mặt địa lý này, cho phép mạng lưới Ethernet mở rộng đến hàng chục kilomet 11 1.2.2 Lịch sử phát triển công nghệ Ethernet - Năm 1972: + Thí nghiệm hệ thống thực Xerox PARC ( Palo Alto Research Center ) + Hệ thống mạng truyền 2,94Mbps dựa Ethernet - Năm 1979: Xây dựng chuẩn Ethernet II, tốc độ 10Mbps - Năm1981: + Chuẩn IEEE 802.3 thức sử dụng + Digital Equipment, Intel, Xerox phát triển đưa phiên Ethernet Version 2.0, Ethernet II => chuẩn quốc tế - Năm 1995: Được IEEE chuẩn hóa thành Fast Ethernet 1.2.3 Các đặc tính chung Ethernet 1.2.3.1 Cấu trúc khung tin Ethernet Các chuẩn Ethernet hoạt động tầng Data Link mơ hình lớp OSI đơn vị liệu mà trạm trao đổi với khung (Frame) Cấu trúc khung tin Ethernet sau: Hình 1.13 Cấu trúc khung tin Ethernet - Các trường quan trọng phần mào đầu mô tả đây: + Preamble: Trường đánh dấu xuất khung bit, ln mang giá trị 10101010 Từ nhóm bit này, phía nhận tạo xung đồng hồ 10 Mhz + SFD (Start Frame Delimiter): Trường thực xác định bắt đầu khung Nó ln mang giá trị 10101011 + Các trường Destination Source: Mang địa vật lý trạm nhận gửi khung, xác định khung gửi từ đâu gửi tới đâu + LEN: Giá trị trường nói lên độ lớn phần liệu mà khung mang theo + FCS mang CRC (Cyclic Redundancy Checksum): Phía gửi tính tốn trường trước truyền khung Phía nhận tính tốn lại CRC theo 12 cách tương tự Nếu hai kết trùng nhau, khung xem nhận đúng, ngược lại khung coi lỗi bị loại bỏ 1.2.3.2 Cấu trúc địa Ethernet Mỗi giao tiếp mạng Ethernet định danh 48 bit địa (6 Octet) Đây địa ấn định sản xuất thiết bị, gọi địa MAC ( Media Access Control Address ) Địa MAC biểu diễn chữ số Hexa ( hệ số 16 ) Ví dụ: 00:60:97:8F:4F:86 00-60-97-8F-4F-86 - Khuôn dạng địa MAC chia làm phần: + Octet đầu xác định hãng sản xuất, chịu quản lý tổ chức IEEE + Octet sau nhà sản xuất ấn định Kết hợp ta có địa MAC cho giao tiếp mạng Ethernet Địa MAC sử dụng làm địa nguồn địa đích khung Ethernet 1.2.3.3 Các loại khung Ethernet - Các khung Unicast Giả sử trạm cần truyền khung tới trạm Khung Ethernet trạm tạo có địa chỉ: MAC nguồn: 00-60-08-93-DB-C1, MAC đích : 00-60-0893-AB-12 Đây khung Unicast Khung truyền tới trạm xác định Tất trạm phân đoạn mạng nhận khung này, nhưng: + Chỉ có trạm thấy địa MAC đích khung trùng với địa MAC giao tiếp mạng nên tiếp tục xử lý thông tin khác khung + Các trạm khác sau so sánh địa bỏ qua không tiếp tục xử lý khung - Các khung Broadcast Các khung Broadcast có địa MAC đích FF-FF-FF-FF-FF-FF (48 bit 1) Khi nhận khung này, không trùng với địa MAC giao tiếp mạng trạm phải nhận khung tiếp tục xử lý Giao thức ARP sử dụng khung Broadcast để tìm địa MAC tương ứng với địa IP cho trước Một số giao thức định tuyến sử dụng khung Broadcast để Router trao đổi bảng định tuyến - Các khung Multicast 13