Vui lòng liên hệ ZALO 0353764719 hoặc GMAIL : 123docntcgmail.com để mua tài liệu với giá ưu đãi, GIẢM GIÁ 2060% giá tài liệu. Xin cám ơn Vui lòng liên hệ ZALO 0353764719 hoặc GMAIL : 123docntcgmail.com để mua tài liệu với giá ưu đãi, GIẢM GIÁ 2060% giá tài liệu. Xin cám ơn
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA CƠNG NGHỆ THÔNG TIN - - ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC ĐỀ TÀI: NGHIÊN CỨU TÌM HIỂU VỀ CÔNG NGHỆ IPSEC VÀ ỨNG DỤNG TRONG BẢO MẬT THÔNG TIN MẠNG Giảng viên hướng dẫn : TS Đặng Minh Tuấn Sinh viên thực : Nguyễn Tuấn Anh Mã sinh viên : B17DCAT010 Lớp : D17CQAT02-B Khóa : 2017-2022 Hệ : Đại học quy Hà Nội, 2022 HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA CƠNG NGHỆ THÔNG TIN - - ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC ĐỀ TÀI: NGHIÊN CỨU TÌM HIỂU VỀ CÔNG NGHỆ IPSEC VÀ ỨNG DỤNG TRONG BẢO MẬT THÔNG TIN MẠNG Giảng viên hướng dẫn : TS Đặng Minh Tuấn Sinh viên thực : Nguyễn Tuấn Anh Mã sinh viên : B17DCAT010 Lớp : D17CQAT02-B Khóa : 2017-2022 Hệ : Đại học quy Hà Nội, 2022 Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn LỜI CẢM ƠN Lời đầu tiên, em xin chân thành cảm ơn thầy, cô Khoa Công Nghệ Thông Tin Học viện Cơng nghệ Bưu Chính Viễn Thơng, đặc biệt thầy mơn An tồn thơng tin tồn thể cán Học viện Cơng nghệ Bưu Viễn thơng quan tâm, dạy bảo truyền đạt kiến thức cần thiết bổ ích cho em suốt thời gian học tập học viện, kiến thức không tiền đề, hành trang để em thực đồ án mà cịn phục vụ cho cơng việc tương lai Để hồn thành tốt q trình học tập em thầy cô bảo không kiến thức chun mơn, chun ngành, mà cịn chia sẻ, kinh nghiệm sống Em xin gửi lời biết ơn sâu sắc tới Thầy giáo hướng dẫn em - TS Đặng Minh Tuấn, người tận tình bảo, định hướng cho em suốt trình học tập thực đồ án Thầy ln theo dõi giúp đỡ, động viên tin tưởng để em hoàn thành cách tốt đồ án Cuối cùng, em xin cảm ơn gia đình, bạn bè, người bên cạnh, quan tâm, giúp đỡ, động viên để thân hồn thành đồ án Với kiến thức hiểu biết em cịn hạn chế nên đồ án khơng tránh khỏi thiếu sót, em mong nhận góp ý từ thầy cô bạn để đồ án em hoàn thiện Em xin chân thành cảm ơn! Hà Nội, ngày 12, tháng 01, năm 2022 SINH VIÊN Nguyễn Tuấn Anh Nguyễn Tuấn Anh – D17CQAT02-B Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn NHẬN XÉT, ĐÁNH GIÁ, CHO ĐIỂM (Của giảng viên hướng dẫn) Điểm: …………………………… (bằng chữ: ……………………………………… ) Đồng ý/Không đồng ý cho sinh viên bảo vệ trước hội đồng chấm đồ án tốt nghiệp? Hà Nội, ngày 12, tháng 01, năm 2022 CÁN BỘ - GIẢNG VIÊN HƯỚNG DẪN (ký, họ tên) Nguyễn Tuấn Anh – D17CQAT02-B Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn NHẬN XÉT, ĐÁNH GIÁ, CHO ĐIỂM (Của giảng viên phản biện) Điểm: …………………………… (bằng chữ: ……………………………………… ) Đồng ý/Không đồng ý cho sinh viên bảo vệ trước hội đồng chấm đồ án tốt nghiệp? Hà Nội, ngày 12, tháng 01, năm 2022 CÁN BỘ - GIẢNG VIÊN PHẢN BIỆN (ký, họ tên) Nguyễn Tuấn Anh – D17CQAT02-B Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn MỤC LỤC LỜI CẢM ƠN DANH MỤC CÁC TỪ VIẾT TẮT DANH MỤC CÁC HÌNH VẼ 10 DANH MỤC CÁC BẢNG 12 LỜI MỞ ĐẦU 13 CHƯƠNG 1: TÌM HIỂU VỀ TÌNH HÌNH AN NINH MẠNG VÀ CÁC HÌNH THỨC TẤN CƠNG MẠNG PHỔ BIẾN HIỆN NAY 14 1.1 Khái quát chung tình hình an ninh mạng năm gần 14 1.1.1 Vấn đề an ninh mạng bên nước 14 1.1.2 Những nguy thường trực hậu công mạng 15 1.1.3 Một số biện pháp nâng cao tính an tồn cho người truy cập mạng 18 1.2 Một số hình thức công mạng phổ biến 19 1.2.1 Hình thức cơng mạng phần mềm độc hại (Malware Attack) 19 1.2.2 Hình thức công giả mạo, lừa đảo (Phishing Attack) 21 1.2.3 Hình thức cơng trung gian (Man in the middle Attack) 24 1.2.4 Hình thức cơng sở liệu (SQL Injection) 25 1.2.5 Hình thức cơng từ chối dịch vụ (DoS & DDoS Attack) 28 1.2.6 Hình thức công khai thác lỗ hổng Zero-Day (Zero-Day Attack) 30 1.3 Kết chương 32 CHƯƠNG 2: NGHIÊN CỨU VỀ CÔNG NGHỆ IPSEC (INTERNET PROTOCOL SECURITY) 33 2.1 Tổng quan công nghệ IPSec 33 2.1.1 Đặt vấn đề 33 2.1.2 Giới thiệu chung IPSec 34 2.2 Kiến trúc nguyên lý hoạt động công nghệ IPSec 35 2.2.1 Mơ hình kiến trúc tổng qt IPSec 35 2.2.2 Tìm hiểu giao thức thành phần IPSec 37 2.2.2.1 Giao thức xác thực tiêu đề (Authentication Header) 37 2.2.2.2 Giao thức đóng gói tải trọng bảo mật (Encapsulating Security Payload) 42 2.2.2.3 Các sách bảo mật/ liên kết bảo mật (Security Policies/ Security Associations) 48 2.2.2.4 Giao thức trao đổi khóa (IKE) 48 2.2.3 Các chế độ hoạt động IPSec 51 2.2.4 Cách thức hoạt động IPSec 54 2.3 Ưu điểm, nhược điểm ứng dụng công nghệ IPSec 56 Nguyễn Tuấn Anh – D17CQAT02-B Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn 2.4 Kết chương 58 CHƯƠNG 3: TRIỂN KHAI MƠ HÌNH ỨNG DỤNG CƠNG NGHỆ IPSEC TRONG VIỆC TRUYỀN THƠNG TIN AN TỒN TRÊN MẠNG INTERNET 59 3.1 Tìm hiểu phần mềm sử dụng mơ hình triển khai 59 3.1.1 Phần mềm StrongSwan 59 3.1.2 Phần mềm Wireshark Tcpdump 61 3.2 Cài đặt, triển khai vận hành mơ hình áp dụng cơng nghệ IPSec 63 3.2.1 Mơ hình triển khai 63 3.2.2 Quá trình cài đặt phần mềm, công cụ 65 3.2.2.1 Cài đặt phần mềm StrongSwan 65 3.2.2.2 Cài đặt Wireshark Tcpdump 67 3.2.3 Thiết lập cấu hình StrongSwan vận hành hệ thống 67 3.2.4 Phân tích kết đánh giá độ an toàn 71 3.3 Kết chương 74 KẾT LUẬN 75 TÀI LIỆU THAM KHẢO 76 Nguyễn Tuấn Anh – D17CQAT02-B Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn DANH MỤC CÁC TỪ VIẾT TẮT Ý nghĩa Tiếng Việt Ký hiệu Tên Tiếng Anh AH Authentication Header BSD Berkeley Software Distribution CLI Command line interface Giao diện dòng lệnh CPU Central Processing Unit Bộ xử lý trung tâm DDoS Distributed Denial of Service DH Diffie Hellman DNS Domain Name System DoS Denial of Service ECDSA Elliptic Curve Digital Signature Algorithm Thuật toán sinh chữ ký số dựa đường cong Elliptic ESP Encapsulating Security Payload Giao thức đóng gói tải trọng bảo mật FTP File Transfer Protocol Giao thức truyền tải tệp tin HTTP HyperText Transfer Protocol ICMP Internet Control Message Protocol ICV Integrity Check Value Giá trị kiểm tra tính tồn vẹn IKE Internet Key Exchange Giao thức trao đổi khóa IP Internet Protocol IPSec Internet Protocol Security ISAMP Internet Security Association and Key Management Protocol LAN Local Area Network MITM Man in the Middle Nguyễn Tuấn Anh – D17CQAT02-B Giao thức xác thực tiêu đề Tên hệ điều hành dẫn xuất từ UNIX phát hành Tấn công từ chối dịch vụ phân tán Một phương pháp trao đổi khóa phát minh sớm mật mã học Hệ thống phân giải tên miền Tấn công từ chối dịch vụ Giao thức truyền tải siêu văn Một giao thức báo cáo trạng thái thông điệp Địa giao thức internet Một giao thức mật mã bảo vệ lưu lượng liệu qua mạng Liên kết bảo mật Internet giao thức quản lý khóa Mạng máy tính cục Tấn cơng người đứng Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn Một kỹ thuật cho phép chuyển đổi từ địa IP thành địa IP khác NAT Network Address Translation OSI Open system Interconnection Mơ hình tham chiếu kết nối hệ thống mở OWASP Open Web Application Security Project Một tổ chức phi lợi nhuận quốc tế chuyên bảo mật ứng dụng web PDO PHP Data Objects PHP Hypertext Preprocessor PKCS Public Key Cryptography Standards SA Security Association Liên kết bảo mật SAD Security Association Database Cơ sở liệu liên kết bảo mật SMS Short Messaging Service Dịch vụ tin nhắn ngắn SPD Security Policy Database Cơ sở liệu sách bảo mật SQL Structured Query Language SSL Secure Sockets Layer Một công nghệ tiêu chuẩn cho phép thiết lập kết nối mã hóa an tồn mạng TCP Transmission Control Protocol Giao thức gửi liệu tới máy khác cung cấp tin cậy thứ tự truyền nhận UDP User Datagram Protocol Giao thức gửi liệu tới máy khác không cung cấp tin cậy thứ tự truyền nhận URL Uniform Resource Locator Trình định vị tài nguyên thống nhất, gọi cách thông thường địa web USD United States Dollar VNIS VietNam Internet Security VPN Virtual Private Network Công nghệ mạng riêng ảo WAN Wide Area Network Mạng máy tính diện rộng Nguyễn Tuấn Anh – D17CQAT02-B Một lớp truy xuất sở liệu Tập hợp ngôn ngữ script JavaScript Python Tiêu chuẩn khóa mã hóa Ngơn ngữ truy vấn liệu Đơn vị tiền tệ thức Hoa Kỳ Diễn đàn bảo mật mạng hàng đầu Việt Nam Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn DANH MỤC CÁC HÌNH VẼ Hình 1.1: Thống kê công mạng trọng yếu năm 2021 Việt Nam 15 Hình 1.2: Những nguy tiềm ẩn công mạng 16 Hình 1.3: Một số loại mã độc phổ biến 19 Hình 1.4: Hình thức công Phishing 22 Hình 1.5: Minh họa trực quan cách thức công MITM 24 Hình 1.6: Kịch công SYN Flood 28 Hình 1.7: Kịch công Smurf 29 Hình 1.8: Kịch công Ping of Death 29 Hình 1.9: Minh họa vịng đời cơng Zero-Day 31 Hình 2.1: Cơng nghệ bảo mật gói IP - IPSec 34 Hình 2.2: Vị trí IPSec mơ hình OSI 34 Hình 2.3: Mơ hình kiến trúc tổng qt IPSec 36 Hình 2.4: Khn dạng giao thức xác thực tiêu đề AH 37 Hình 2.5: Định dạng gói tin gốc IPv4 IPv6 39 Hình 2.6: Định dạng gói tin IPv4 IPv6 có chứa AH chế độ truyền tải 39 Hình 2.7: Định dạng gói tin IPv4 IPv6 có chứa AH chế độ đường hầm 40 Hình 2.8: Quá trình AH xác thực tính tồn vẹn gói tin IP 41 Hình 2.9: Các thành phần trường tương ứng giao thức ESP 43 Hình 2.10: Định dạng gói tin IPv4 IPv6 có chứa ESP chế độ truyền tải 45 Hình 2.11: Định dạng gói tin IPv4 IPv6 có chứa ESP chế độ đường hầm 46 Hình 2.12: Hoạt động hai chế độ Main Mode Aggressive Mode 50 Hình 2.13: Hai chế độ hoạt động IPSec 51 Hình 2.14: Chế độ truyền tải IPSec 52 Hình 2.15: Chế độ đường hầm IPSec 53 Hình 2.16: Sự kết hợp AH ESP chế độ truyền tải 54 Hình 2.17: Sự kết hợp AH ESP chế độ đường hầm 54 Hình 2.18: Quá trình hoạt động IPSec 55 Hình 2.19: Ứng dụng IPSec VPN 58 Hình 3.1: Quá trình phát triển StrongSwan 59 Hình 3.2: Giao diện GNU Wireshark 61 Hình 3.3: Giao diện dịng lệnh chức Tcpdump 62 Hình 3.4: Tình thực tế cần triển khai 63 Hình 3.5: Mơ hình triển khai hệ thống sử dụng StrongSwan 64 Hình 3.6: Bản nén StrongSwan trang chủ nhà phát hành 66 Nguyễn Tuấn Anh – D17CQAT02-B 10 Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn Tcpdump cơng cụ phân tích mạng sử dụng nhiều cung cấp đơn giản hiệu giao diện Nó phân tích gói theo dõi ghi lại lưu lượng TCP / IP mạng máy chạy Tcpdump tiện ích mạng mã nguồn mở miễn phí cấp phép theo giấy phép BSD Tcpdump sử dụng giao diện dòng lệnh để cung cấp định nghĩa nội dung gói nhiều định dạng khác dựa lệnh sử dụng Hình 3.3: Giao diện dòng lệnh chức Tcpdump ❖ So sánh Wireshark Tcpdump: Wireshark Tcpdump Định nghĩa Là cơng cụ giao diện Là cơng cụ bắt gói dựa người dùng đồ họa giúp bạn CLI bắt gói liệu Chức Nó thực phân tích gói giải mã tải trọng liệu khóa mã hóa xác định nhận tải trọng liệu từ việc truyền tệp smtp, http, v.v Giao diện mạng Nó có khả hỗ trợ hầu hết Nó có giao diện thơng thường giao diện mạng tiên tiến dựa hệ thống Khả lọc liệu Wireshark sử dụng tốt cho Tcpdump sử dụng cho bộ lọc phức tạp lọc đơn giản Tcpdump cung cấp phân tích đơn giản loại lưu lượng vậy, chẳng hạn truy vấn DNS Nó cung cấp đa dạng khả Nó có cung cấp q trình giải Khả giải giải mã gói tin dựa hầu mã Wireshark mã gói tin hết giao thức hiệu Bảng 3.1: So sánh hai công cụ Wireshark Tcpdump Nguyễn Tuấn Anh – D17CQAT02-B 62 Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn Mặc dù Wireshark ưu tiên nhiều so với Tcpdump tính hiệu quả, Tcpdump lại ưu tiên để nắm bắt gói dựa quy trình ngắn nhanh chóng Độ xác hiệu suất Tcpdump tốt để quét nhanh chụp gói, cịn Wireshark ln lựa chọn cho lần quét phức tạp ❖ Chức năng: Bản thân Wireshark Tcpdump tích hợp nhiều tính khác Nhưng chức quan trọng an ninh mạng khả phân tích nhật ký, phân tích lưu lượng phân tích bắt gói Bắt gói xử lý gói sử dụng để phân tích lưu lượng Lưu lượng mạng luồng gói Giờ đây, việc chặn kiểm tra gói tin quan trọng để xác định loại lưu lượng mạng cần bảo vệ Cả Wireshark Tcpdump sử dụng cho q trình phân tích gói tin, điều yếu tố then chốt để đánh giá độ an tồn gói tin truyền mơ hình IPSec môi trường mạng không tin cậy 3.2 Cài đặt, triển khai vận hành mơ hình áp dụng cơng nghệ IPSec 3.2.1 Mơ hình triển khai ❖ Tình thực tiễn: Học viện Cơng nghệ Bưu Viễn thơng có hai sở đào tạo hai đầu đất nước, đầu sở Hà Nội sở lại nằm Thành phố Hồ Chí Minh Giả sử, cán phụ trách học viện hai miền cần trao đổi liệu nội với việc chuyển giao liệu trực tiếp môi trường mạng internet nguy hiểm, gặp nhiều rủi ro thường trực bị kẻ công nhắm tới Vấn đề đặt cần biện pháp đảm bảo truyền liệu nội cách tin cậy, giao tiếp qua môi trường mạng internet lại đảm bảo an tồn để kẻ cơng khó tiếp cận để khai thác Thì giải pháp đưa ra áp dụng cơng nghệ IPSec kết hợp với môi trường mạng riêng ảo VPN Vậy q trình triển khai cơng nghệ thực chi tiết ta tìm hiểu tiếp phần sau Hình 3.4: Tình thực tế cần triển khai Nguyễn Tuấn Anh – D17CQAT02-B 63 Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn ❖ Quá trình triển khai: Quá trình thực tế triển khai mơ sau: người site LAN Học viện sở Thành phố Hồ Chí Minh muốn truyền liệu sang người site LAN sở Hà Nội ngược lại liệu an toàn truyền qua mạng internet Vì người gửi truyền liệu đến máy có cài đặt StrongSwan sau qua internet đến máy có cài đặt StrongSwan liệu máy StrongSwan mã hóa IPSec truyền đến mạng internet khơng an tồn có kẻ bắt gói tin khơng thể đọc mã hóa sau gói tin tiếp từ internet truyền đến máy StrongSwan mã hóa Khi StrongSwan nhận liệu giải mã truyền sang cho người nhận bên sở bên cịn lại cách an tồn Hình 3.5: Mơ hình triển khai hệ thống sử dụng StrongSwan Mơ hình triển khai dựa việc thiết lập VPN site-to-site áp dụng cơng nghệ IPSec đường truyền nhằm mục đích đảm bảo an toàn cho liệu từ bên gửi gửi cho bên nhận hai miền khác thông qua mạng không tin cậy Trong thiết bị sử dụng tảng hệ điều hành nhân Linux Mơ hình bao gồm: • Hai site LAN Học viện hai sở: LAN gồm nhiều máy client cài ứng dụng người dùng sử dụng hệ điều hành Ubuntu • Hai máy StrongSwan 1, StrongSwan 2: đóng vai trị cổng truy nhập an toàn Cả StrongSwan StrongSwan cài hệ điều hành Ubuntu 16.04 có hai giao diện mạng: giao diện nối với mạng site LAN, giao diện mạng nối với mạng (nối với máy StrongSwan lại) Đương nhiên hai máy này cài đặt phần mềm StrongSwan Khi chạy IPSec chúng tạo Tunnel cho phép máy truyền thơng an tồn với Nguyễn Tuấn Anh – D17CQAT02-B 64 Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn ❖ Cấu hình hệ thống: Card Card cross Card lan Strongswan (VPN HN) Strongswan (VPN HCM) IP 192.168.1.204 192.168.1.253 Subnet 255.255.255.0 255.255.255.0 Gateway 192.168.1.1 192.168.1.1 Đặc tính Client HN Client HCM IP 10.1.0.10 10.1.0.1 11.1.0.1 11.1.0.10 Subnet 255.255.0.0 255.255.0.0 255.255.0.0 255.255.0.0 Gateway 10.1.0.1 11.1.0.1 Bảng 3.2: Cấu hình hệ thống mơ hình triển khai ❖ Kết luận: Trong mơ hình triển khai này, ta tập trung chủ yếu vào việc phân tích q trình truyền liệu từ hai máy đóng vai trị hai cổng an tồn có cài đặt phần mềm StrongSwan Vì q trình thực mơi trường mạng internet khơng tin cậy, ta thấy rõ khả hoạt động cơng nghệ IPSec để giúp cho gói tin truyền đảm bảo an tồn thơng qua chế mã hóa xác thực mạnh mẽ chúng Còn tất nhiên, liệu truyền mạng cục gần đảm bảo an tồn 3.2.2 Q trình cài đặt phần mềm, cơng cụ Q trình cài đặt phần mềm, cơng cụ thực tương tự hai máy ảo chạy hệ điều hành Ubuntu 16.04 (gọi hai máy StrongSwan mơ hình) 3.2.2.1 Cài đặt phần mềm StrongSwan Có hai phương pháp phổ biến để cài đặt phần mềm StrongSwan hệ điều hành Ubuntu: ❖ Phương pháp 1: • Bước 1: Tải trực tiếp nén có tar.gz trang chủ nhà phát hành www.strongswan.org Nguyễn Tuấn Anh – D17CQAT02-B 65 Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn Hình 3.6: Bản nén StrongSwan trang chủ nhà phát hành • Bước 2: Chuyển file cài đặt StrongSwan vào thư mục (giả sử /usr/src) Sau đó, truy nhập vào thư mục /usr/src để tiến hành giải nén StrongSwan hồn tất q trình cài đặt • Chi tiết thực bước sau: root@vm1ptithcm:~# mv strongswan-5.9.4.tar.gz /usr/src root@vm1ptithcm:~# cd /usr/src root@ vm1ptithcm:/src# tar -xzf strongswan-5.9.4.tar.gz Tiếp tục vào thư mục strongswan-5.9.4 để cài đặt root@vm1ptithcm:/src# cd strongswan-5.9.4 root@vm1ptithcm:/strongswan-5.9.4# make programs root@vm1ptithcm:/strongswan-5.9.4# make install root@vm1ptithcm:/strongswan-5.9.4# /usr/src/kernels/linux-2.6.18 export KERNELSRC= root@vm1ptithcm:/strongswan-5.9.4# make module root@vm1ptithcm:/strongswan-5.9.4# make module_install ❖ Phương pháp 2: • Bước 1: Mở giao diện Terminal cấp quyền sudo: sudo su • Bước 2: Sử dụng câu lệnh apt-get install strongswan • Đợi lúc cho q trình cài đặt hồn tất thành cơng cách dễ dàng nhanh chóng Nguyễn Tuấn Anh – D17CQAT02-B 66 Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn 3.2.2.2 Cài đặt Wireshark Tcpdump Với công cụ Tcpdump hệ điều hành Ubuntu tích hợp sẵn giao diện dịng lệnh nên khơng cần thiết phải cài đặt Hình 3.7: Tcpdump tích hợp sẵn giao diện dịng lệnh Ubuntu Cịn với cơng cụ Wireshark nhiều phiên hệ điều hành Linux tích hợp sẵn cơng cụ đó, có giao diện GUI đẹp dễ sử dụng Tuy nhiên, có phiên chưa tích hợp sẵn ta dễ dàng cài đặt hình đây: Hình 3.8: Cài đặt cơng cụ Wireshark giao diện Terminal Vì trình cài đặt diễn trước nên gõ cú pháp “apt install wireshark” hiển thị lên phiên tích hợp vào máy Cịn cài dễ thôi, cần chờ lúc trình cài đặt hồn tất 3.2.3 Thiết lập cấu hình StrongSwan vận hành hệ thống Sau cài đặt thành công phần mềm StrongSwan vào hai máy gateway thực với thiết lập cấu hình để tạo đường hầm IPSec để truyền liệu Mỗi máy cấu hình đầy đủ, cần quan tâm đến hai file quan trọng bao gồm: file ipsec.conf chứa tham số cho việc cấu hình hai gateway, file ipsec.secrets chứa tham số khóa chia sẻ trước hai gateway ❖ Cấu hình file ipsec.conf: Đây file cấu hình IPSec mơ tả thơng tin điều khiển cấu hình hệ thống Trong mơ hình cài đặt hệ thống kết nối hai nút mạng liên lạc gateway với gateway, gateway với subnet, subnet với gateway hay subnet với subnet Để tạo kết nối tunnel nút mạng liên lạc ta cần thêm nội dung có dạng sau vào file /etc/ipsec.conf Nguyễn Tuấn Anh – D17CQAT02-B 67 Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn • Dịng chứa từ khóa conn tên kết nối: ▪ conn : mô tả đặc trưng kết nối Ta quy ước cách viết nút trước đại diện cho phía trái (left) kết nối, nút viết sau đại diện cho phía phải (right) kết nối ▪ Ví dụ: conn gateway-to-net mô tả kết nối gateway (bên trái) với mạng bên phải, … • Các dịng chứa tham số có định dạng sau: = Các tham số có sau: ▪ Tham số authby thể tính xác thực hai nút, thơng thường giá trị sau secret ▪ Tham số chứa giao thức cốt lõi sử dụng thành phần trao đổi khóa: AH, ESP, IKE giá trị đằng sau thuật tốn mã hóa khóa đối xứng hay hàm băm như: AES, DES, SHA1, SHA256, … ▪ Tham số thể thơng tin kết nối gồm có left, leftsubnet, right, rightsubnet với giá trị địa dải địa tương ứng theo hướng kết nối Tùy thuộc vào loại kết nối ta chọn cặp tham số cho phù hợp ▪ Tham số auto với hai giá trị start route để thiết lập kết nối hai nút, để start tự động kết nối, route chế độ tùy chọn ▪ Tham số biểu thị chế độ hoạt động type giá trị sau transport ứng với chế độ truyền tải tunnel ứng với chế độ đường hầm ▪ Ngồi cịn vài tham số khác vòng đời kết nối lifetime, thời gian tồn khóa trao đổi ikelifetime, độ trễ delay, … Dưới hình ảnh minh họa cho kết nối hai gateway thiết lập mơ hình triển khai: Nguyễn Tuấn Anh – D17CQAT02-B 68 Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn Hình 3.9: Cấu hình file ipsec.conf thiết lập kết nối từ hai đầu gateway ❖ Cấu hình file ipsec.secrets: File ipsec.secrets chứa tham số khóa chung dùng cho việc trao đổi hai bên Cách phổ biến hay sử dụng sử dụng khóa chia sẻ trước hay cịn gọi Pre-Shared Key Khóa hai bên kết nối phải để giống thông qua việc trao đổi cách bí mật Nếu hai bên thiết lập hai khóa chia sẻ trước khác giá trị việc thiết lập đường hầm IPSec khơng diễn Hình 3.10: Định dạng cấu hình file ipsec.secrets hai gateway Tham số bên khóa chia sẻ trước kí tự hai bên tự tham khảo đặt với giống việc đặt mật khẩu, nhiên để đảm bảo an tồn cho khóa nên dùng thuật tốn tạo khóa sẵn có để khóa thiết lập khó bị bẻ gãy Ví dụ ta tạo khóa câu lệnh sau đây: Hình 3.11: Sử dụng tính rand openssl để tạo mật ngẫu nhiên Nguyễn Tuấn Anh – D17CQAT02-B 69 Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn ❖ Vận hành hệ thống: Sau thiết lập đầy đủ thông tin cần cho việc kết nối hai gateway xong Ta thực vận hành hệ thống để thiết lập đường hầm IPSec hai máy StrongSwan StrongSwan này: Các câu lệnh sau thực lúc cho hai máy (tất chạy với quyền sudo: • ipsec restart (hoặc thay restart thành start, stop): Để khởi động đường hầm IPSec, tắt Hình 3.12: Khởi động đường hầm IPSec hai máy • ipsec up : Để thực kết nối đường hầm IPSec hai máy với nhau, tham số file cấu hình khóa chia sẻ trùng khớp trình thiết lập đường hầm IPSec hai máy hồn tất Hình 3.13: Hồn tất việc kết nối hai đầu gateway lại với • ipsec status ipsec statusall: Để kiểm tra trạng thái kết nối Nguyễn Tuấn Anh – D17CQAT02-B 70 Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn Hình 3.14: Trạng thái kết nối thiết lập hai đầu gateway Ta thấy sau thực bật chế độ IPSec hai đầu gateway, lúc trình trao đổi liên kết bảo mật triển khai theo cấu hình định trước sau hồn tất q trình đường hầm IPSec tạo việc trao đổi liệu thời điểm bảo vệ cơng nghệ IPSec 3.2.4 Phân tích kết đánh giá độ an toàn ❖ Khi chưa khởi động đường hầm IPSec: Khi dịch vụ IPSec chưa bật hai bên nút ta thực ping đến địa IP thiết bị cịn lại ta thấy tcpdump bắt gói tin ICMP echo reply dạng rõ Gói tin IP truyền qua hai thiết bị lúc chưa đảm bảo tính an tồn chưa mã hóa đường truyền, điều bị kẻ công khai thác đánh cắp, sửa đổi thơng tin gói khiến tính tồn vẹn bị ảnh hưởng Hình 3.15: Các gói tin IP chưa khởi động đường hầm IPSec Nguyễn Tuấn Anh – D17CQAT02-B 71 Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn ❖ Khi khởi động đường hầm IPSec Khi bắt đầu khởi động đường hầm IPSec hai bên bước việc thiết lập kết nối trao đổi liên kết bảo mật (SA) thống thuật toán sử dụng đường hầm tạo Những tham số cần trao đổi thuật tốn mã hóa, thuật tốn xác thực, nhóm trao đổi khóa Diffie-Hellman, … Hình 3.16: Q trình khởi tạo liên kết bảo mật SA hai bên gửi nhận Sau trình trao đổi liên kết bảo mật SA hai bên đàm phán xong, chúng xác thực mã hóa thơng tin lại bước trình thiết lập đường hầm IPSec hồn tất Hình 3.17: Tồn thơng tin SA trao đổi hai bên mã hóa xác thực Nguyễn Tuấn Anh – D17CQAT02-B 72 Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn Khi trình trao đổi liên kết bảo mật SA đường hầm IPSec hoàn tất, đường hầm IPSec tạo thành công Lúc ta kiểm tra xem liệu qua đường hầm có mã hóa xác thực chức hay khơng? Như phần lý thuyết, ta biết IPSec sử dụng hai giao thức cốt lõi giao thức xác thực tiêu đề AH, giao thức đóng gói tải trọng bảo mật ESP Dưới kết gói tin truyền với giao thức Hình 3.18: Gói tin IP truyền qua IPSec giao thức AH Ta thấy rằng, tên gọi giao thức sử dụng để xác thực hai bên liệu qua thông số SPI, ICV, liệu đường truyền hoàn toàn khơng mã hóa Điều bị kẻ công khai thác để đánh cắp liệu đường truyền Hình 3.19: Gói tin IP truyền qua IPSec giao thức ESP Nguyễn Tuấn Anh – D17CQAT02-B 73 Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn Hình 3.20: Tcpdump bắt gói tin IP mã hóa mạng cơng cộng Ta thấy, với giao thức ESP sử dụng cho đường hầm IPSec liệu gửi nhận lại từ hai đầu mã hóa cẩn thận Điều giúp cho liệu bị đánh cắp khó bị rị rỉ việc trao đổi sử dụng thuật tốn tân tiến nhất, cịn an tồn với hình thức cơng Q trình vận hành sử dụng chế độ truyền tải, ngồi ta sử dụng đường hầm để địa IP nguồn gói tin mã hóa ln chung với gói tin truyền để tránh việc bị lộ địa IP Và nên thử kết hợp hai giao thức AH ESP lại để cơng nghệ IPSec đạt hiệu tối ưu Ngoài ra, việc truyền liệu từ client đến gateway triển khai mạng LAN q trình IPSec khơng áp dụng cho giai đoạn Tuy việc công liệu mạng LAN hạn chế khơng phải khơng có vấn đề đảm bảo an tồn cho q trình truyền liệu mạng LAN cần phải giải triệt để mơ hình thực an toàn tuyệt đối từ điểm đầu tới điểm cuối 3.3 Kết chương Như vậy, chương triển khai mơ hình ứng dụng cơng nghệ IPSec tảng hệ điều hành nhân Linux Thông qua việc cấu hình, thiết lập cơng nghệ IPSec đường truyền ta có vài kết đạt để đánh giá nhận xét độ an toàn tính bảo mật cơng nghệ Nguyễn Tuấn Anh – D17CQAT02-B 74 Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn KẾT LUẬN Kết đạt được: Đồ án hồn thành nội dung sau: • Trình bày tổng quan vấn đề an ninh mạng, nguy cơ, hậu biện pháp khắc phục cơng mạng • Trình bày khái qt hình thức cơng mạng phổ biến đưa khái niệm, dấu hiệu nhận biết, hậu biện pháp phòng chống cho hình thức cơng mạng • Trình bày chi tiết công nghệ IPSec – công nghệ bảo mật gói IP Những khía cạnh trình bày bao gồm: khái niệm, mục đích, chức năng, dịch vụ hỗ trợ, kiến trúc tổng quát, nguyên lý hoạt động, ưu nhược điểm ứng dụng IPSec thực tế • Xây dựng triển khai mơ hình truyền liệu site-to-site VPN áp dụng công nghệ IPSec tảng hệ điều hành Ubuntu, thơng qua việc vận hành biết cách thức hoạt động có đánh giá nhận xét độ an toàn bảo mật mà công nghệ đem lại Kết chưa đạt được: • Trên mơ hình truyền liệu áp dụng riêng lẻ giao thức công nghệ IPSec, cần phải liên kết áp dụng kết hợp hai giao thức lại để việc đảm bảo an tồn thơng tin truyền mạng khơng tin cậy công nghệ IPSec tối ưu Hướng phát triển tương lai: • Trong đồ án lần này, việc triển khai mơ hình ứng dụng thực mơi trường mạng ảo Chính vậy, dựa vào kinh nghiệm, kiến thức tìm hiểu qua đồ án, ta vận dụng để triển khai mơ hình ứng dụng thực tế cơng nghệ IPSec, đặc biệt khía cạnh mạng riêng ảo • Có thể xây dựng cơng cụ mã nguồn mở tích hợp công nghệ IPSec áp dụng đa tảng để đảm bảo an tồn việc truyền tin thơng qua môi trường mạng internet Nguyễn Tuấn Anh – D17CQAT02-B 75 Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn TÀI LIỆU THAM KHẢO [1] H.X.Dậu, "Bài giảng Cơ sở An tồn thơng tin," 2017 [Online] Available: http://www.infosecptit.com/cs-attt/DauHoang-Baigiang-cs-attt-2017.pdf [2] VNIS, "Thống kê tình hình an ninh mạng 2021," 01 2021 [Online] Available: https://vnis.vn/vi-VN/blogs/thong-ke-tinh-hinh an-ninh-mang-nam-2021 [3] Peter Loshin, "IPsec (Internet Protocol Security)," 2021 [Online] Available: https://www.techtarget.com/searchsecurity/definition/IPsec-Internet-ProtocolSecurity [4] M Kozierok, "TCP/IP Guide Chapter 29," 10 2005 [Online] Available: https://cdn.ttgtmedia.com/searchEnterpriseLinux/download/Kozierok_Ch29.pdf [5] Kruvin, "IP security (IPSec)," 03 2021 [Online] Available: https://www.geeksforgeeks.org/ip-security-ipsec/ [6] A Steffen, M Willi, T.Brunner, "StrongSwan Documentaion," [Online] https://wiki.strongswan.org/projects/strongswan/wiki [7] "Internet Protocol Security (IPsec)," [Online] Available: https://en.wikipedia.org/wiki/IPsec [8] “IPsec (Internet Protocol Security)” [Online] Available: https://networklessons.com/cisco/ccie-routing-switching/ipsec-internetprotocol-security [9] “Phishing Attacks: Statistics and Examples” [Online] Available: https://www.checkpoint.com/cyber-hub/threat-prevention/what-isphishing/ [10] "What is a Zero-day Attack? - Definition and Explanation," [Online] Available: https://www.kaspersky.com/resource-center/definitions/zero-day-exploit [11] T Osiński, “IPSec explanation based on StrongSwan implementation”, 06 2017 [Online] Available: https://www.youtube.com/watch?v=DEsrw8wxA4 [12] A Kili, "How to Set Up IPsec-based VPN with Strongswan on Debian and Ubuntu," 13 2020 [Online] Available: https://www.tecmint.com/setup-ipsecvpn-with-strongswan-on-debian-ubuntu/? Nguyễn Tuấn Anh – D17CQAT02-B 76