TRƯỜNG ĐẠI HỌC BÁCH KHOA KHOA CÔNG NGHỆ THÔNG TIN BỘ MÔN MẠNG VÀ TRUYỀN THÔNG Tel. (84-511) 736 949, Fax. (84-511) 842 771 Website: itf.dut.edu.vn, E-mail: cntt@dut.udn.vn BÁO CÁO ĐỒ ÁN MÔN HỌC LẬP TRÌNH MẠNG ĐỀ TÀI : TÌM HIỂU VÀ XÂY DỰNG HỆ THỐNG FIREWALL SINH VIÊN : XXX LỚP : YYY CBHD : ZZZ Đà Nẵng, 06/2014 MỤC LỤC MỞ ĐẦU CHƯƠNG 1. CƠ SỞ LÝ THUYẾT 1 1.1 MẠNG MÁY TÍNH 1 1.2 CƠ CHẾ FIREWALL 2 1.3 Kết chương 3 CHƯƠNG 2. THIẾT KẾ XÂY DỰNG CHƯƠNG TRÌNH 4 2.1 PHÁT BIỂU BÀI TOÁN 4 2.2 PHÂN TÍCH CHỨC NĂNG 4 2.3 THIẾT KẾ XÂY DỰNG CÁC MÔĐUN 6 CHƯƠNG 3. TRIỂN KHAI VÀ ĐÁNH GIÁ KẾT QUẢ 11 3.1 Môi trường triển khai 11 3.2 Kết quả thực hiện các chức năng 11 [1] XXX 17 [2] XXX 17 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN TÀI LIỆU THAM KHẢO PHỤ LỤC DANH MỤC HÌNH ẢNH HÌNH 1 MẠNG MÁY TÍNH 1 HÌNH 2 FIREWALL BẢO VỆ HỆ THỐNG MẠNG 2 HÌNH 3 CÁC CHỨC NĂNG CHÍNH CỦA HỆ THỐNG 4 HÌNH 4 SƠ ĐỒ THÊM LUẬT MỚI VÀO HỆ THỐNG 6 HÌNH 5 SƠ ĐỒ KIỂM TRA VÀ CHẶN IP 6 HÌNH 6 SƠ ĐỒ THÊM MỘT ỨNG DỤNG CẦN CHẶN 8 HÌNH 7 SƠ ĐỒ CHẶN ỨNG DỤNG 8 HÌNH 8 SƠ ĐỒ CHỌN QUÉT CỔNG 10 HÌNH 9 GIAO DIỆN CHÍNH CỦA CHƯƠNG TRÌNH 11 HÌNH 10 TRƯỚC KHI CHẶN IP 12 HÌNH 11 SAU KHI CHẶN IP 13 HÌNH 12 CHẶN ỨNG DỤNG TRUY CẬP MẠNG 14 HÌNH 13 TRƯỚC KHI BẢO VỆ QUÉT CỔNG 15 HÌNH 14 SAU KHI BẢO VỆ QUÉT CỔNG 15 MỞ ĐẦU 1. GIỚI THIỆU Từ khi mạng máy tính được hình thành, các máy tính đã không chỉ được sử dụng một cách độc lập mà có thể kết nối lại với nhau. Thông qua mạng máy tính, các thông tin, dữ liệu sẽ được trao đổi giữa các máy tính với nhau, các tài nguyên phần cứng cũng như phần mềm được chia sẻ sử dụng chung. Người dùng được cung cấp các tiện ích để sử dụng các nguồn tài nguyên này như trình duyệt (Web browser), thư điện tử (Email), truyền dẫn tập tin … Tuy nhiên, cùng với việc các máy tính được kết nối với nhau thì nguy cơ bị mất cắp thông tin của người dùng càng trở nên phổ biến, đặc biệt là các năm trở lại đây. Qua đó đặt ra yêu cầu cấp thiết là xây dựng các công cụ, phần mềm giúp người dùng bảo vệ được các thông tin, dữ liệu của mình trước nguy cơ của các cuộc tấn công mạng. 2. MỤC TIÊU CỦA ĐỀ TÀI Nắm rõ được cách máy tính truy cập đến một địa chỉ để từ đó có thể chặn được sự truy cập của máy tính đến địa chỉ đó. Nắm rõ được cách một phần mềm đăng kí với hệ thống máy tính để có thể truy cập vào mạng máy tính để từ đó có thể chặn được sự truy cập của phần mềm xác định vào mạng máy tính. Xây dựng được chương trình mô phỏng thực hiện đầy đủ các chức năng trên. Hiểu được cách thức máy tính truy cập vào hệ thống mạng máy tính ở mức độ hệ thống, qua đó, từ đó hiểu được nguy cơ và cách thức phòng chống các mối nguy hiểm từ mạng máy tính. 3. PHƯƠNG PHÁP TRIỂN KHAI 4. BỐ CỤC ĐỒ ÁN Chương 1: Các cơ sở lý thuyết liên quan đến mạng máy tính và đề tài. Chương 2: Phân tích các chức năng của đề tài. Thiết kế xây dựng nên các chức năng và chương trình. Chương 3: Thực thi chương trình, kiểm thử sự hoạt động của các chức năng, đánh giá kết quả nhận được. Chương 1. CƠ SỞ LÝ THUYẾT 1.1 MẠNG MÁY TÍNH Hình 1 Mạng máy tính Mạng máy tính hay hệ thống mạng (tiếng Anh: computer network hay network system), được thiết lập khi có từ 2 máy vi tính trở lên kết nối với nhau để chia sẻ tài nguyên: máy in, máy fax, tệp tin, dữ liệu Một máy tính được gọi là tự hoạt (autonomous) nếu nó có thể khởi động, vận hành các phần mềm đã cài đặt và tắt máy mà không cần phải có sự điều khiển hay chi phối bởi một máy tính khác. Các thành phần của mạng có thể bao gồm: Các hệ thống đầu cuối (end system) kết nối với nhau tạo thành mạng, có thể là các máy tính hoặc các thiết bị khác. Nói chung hiện nay ngày càng nhiều các loại thiết bị có khả năng kết nối vào mạng máy tính như điện thoại di động, PDA, tivi, Môi trường truyền (media) mà các thao tác truyền thông được thực hiện qua đó. Môi trường truyền có thể là các loại dây dẫn (dây cáp), sóng điện từ (đối với các mạng không dây). Tên tác giả, LỚP XXX Tìm hiểu và xây dựng hệ thống Firewall Giao thức truyền thông (protocol) là các quy tắc quy định cách trao đổi dữ liệu giữa các thực thể. - xxx - xxx 1.2 CƠ CHẾ FIREWALL 1.2.1 Giới thiệu Firewall là một kỹ thuật được tích hợp vào hệ thống mạng nhằm ngăn cản những gì bất hợp pháp đi ra và vào mạng. Hệ thống Firewall thường bao gồm cả phần cứng và phần mềm. Firewall thường được dùng theo phương thức ngăn chặn hay tạo các luật đối với các địa chỉ khác nhau. Hình 2 Firewall bảo vệ hệ thống mạng Hoạt động của một hệ thống Firewall về cơ bản đảm bảo các chức năng sau: - Ngăn chặn các truy nhập bất hợp pháp từ ngoài vào trong hệ thống - Hạn chế các truy nhập từ trong hệ thống ra ngoài. Xây dựng Firewall là một biện pháp khá hữu hiệu, nó cho phép bảo vệ và kiểm soát hầu hết các dịch vụ, do đó được áp dụng phổ biến nhất trong các biện pháp bảo vệ mạng. Thông thường, một hệ thống Firewall là một cổng (gateway) giữa mạng nội bộ giao tiếp với mạng bên ngoài và ngược lại. Để Firewall làm việc được hiệu quả, tất cả các thông tin được trao đổi từ trong ra ngoài và ngược lại đều phải được kiểm soát bởi Firewall. Họ tên sinh viên, Lớp 2 Tìm hiểu và xây dựng hệ thống Firewall 1.2.1.1 Khả năng của Firewall Những khả năng của Firewall có thể làm đối với một hệ thống mạng bao gồm: - Firewall đóng vai trò một chốt chặn, mọi dòng thông tin đi vào hay đi ra một mạng nội bộ đều được nó kiểm soát. Hoạt động của nó theo các chính sách an toàn đã được cài đặt. - XXX 1.2.1.2 Những hạn chế của Firewall Ngoài những khả năng trờn thì Firewall có những hạn chế nhất định sau: - Firewall không thể bảo vệ trước những kẻ phá hoại từ bên trong. Đánh cắp dữ liệu, làm hư hỏng phần cứng và phần mềm hay thay đổi chương trình mà không cần đến gần Firewall. - XXX 1.2.2 Kiến trúc của Firewall Kiến trúc của Firewall được chia ra thành nhiều loại, mỗi loại có những lợi thế và bất lợi riêng. Việc thiết lập, cài đặt một kiến trúc Firewall phụ thuộc vào hệ thống mạng, kinh phí, yêu cầu về độ an toàn v.v Một Firewall có thể tuân theo một trong những kiến trúc sau: - XXX 1.3 Kết chương Họ tên sinh viên, Lớp Tìm hiểu và xây dựng hệ thống Firewall Chương 2. THIẾT KẾ XÂY DỰNG CHƯƠNG TRÌNH 2.1 PHÁT BIỂU BÀI TOÁN Xây dựng một chương trình Firewall thực hiện các chức năng sau: - Chặn hệ thống kết nối tới một địa chỉ IP xác định. - Chặn một phần mềm trong máy tính thực hiện kết nối vào hệ thống mạng. - Hỗ trợ bảo vệ hệ thống khỏi việc quét các cổng của hệ thống. 2.2 PHÂN TÍCH CHỨC NĂNG Hình 3 Các chức năng chính của hệ thống Như hình trên, chương trình sẽ có 3 chức năng chính: 2.2.1 Chặn địa chỉ IP Với chức năng này, ta nhập vào một địa chỉ IP cùng với một số hiệu cổng và giao thức kết nối. Khi chương trình hoạt động, mỗi khi hệ thống kết nối tới một địa chỉ IP có số hiệu cổng và giao thức xác định, chương trình sẽ xem xét các thông tin trên với thông tin về các địa chỉ IP đã được nạp vào chương trình để ra quyết định chặn lại hay cho đi qua. 2.2.2 Chặn ứng dụng Bất kì một ứng dụng nào cũng sẽ đăng kí với hệ thống thông qua một mã số là Application ID. Hệ thống sẽ sử dụng mã số này để quản lý việc ứng dụng truy cập vào hệ thống mạng. Vì vậy, để thực hiên việc chặn một ứng dụng, ta sẽ kiểm tra mã số Application ID , nếu trùng với mã số bị chặn thì ta sẽ thực hiện việc chặn ứng dụng truy cập hệ thống mạng. Họ tên sinh viên, Lớp Tìm hiểu và xây dựng hệ thống Firewall Với chức năng này, chương trình sẽ quét tất cả các ứng dụng, sau đó chọn ứng dụng mà ta muốn chương trình chặn truy cập vào hệ thống mạng. Sau khi chương trình thực thi, nếu ứng dụng có trong danh sách chặn thực hiện bất kì việc kết nối vào hệ thống mạng thì chương trình sẽ chặn kết nối đó lại. 2.2.3 Bảo vệ quét cổng Khi một kẻ muốn tấn công vào hệ thống, thông thường họ sẽ thực hiện việc quét từng cổng của hệ thống. Nếu hệ thống phản hồi lại một thông báo chấp nhận kết nối, kẻ tấn công sẽ biết được cổng đó được mở và sẽ sử dụng cho việc tấn công. Kẻ tấn công sẽ gởi các gói tin với cờ reset để duy kì kết nối và thực hiện việc đột nhập. Còn nếu như hệ thống gởi lại một gói tin với cờ reset thì họ sẽ biết được cổng đó đã đóng hoặc đã được lọc. Vì vậy, để có thể xây dựng chương trình có thể bảo vệ hệ thống khỏi việc quét cổng, ta sẽ ngăn cản việc hết thống phản hồi kể cả thông báo chấp nhận lẫn reset khi bị kẻ tấn công quét cổng. Họ tên sinh viên, Lớp [...].. .Tìm hiểu và xây dựng hệ thống Firewall 2.3 THIẾT KẾ XÂY DỰNG CÁC MÔĐUN 2.3.1 Chức năng chặn địa chỉ IP Hình 4 Sơ đồ thêm luật mới vào hệ thống Hình 5 Sơ đồ kiểm tra và chặn IP B1 Xây dựng cấu trúc để lưu các địa chỉ IP được nhận vào để chặn: Họ tên sinh viên, Lớp Tìm hiểu và xây dựng hệ thống Firewall typedef struct _PFBlocked { char *IP; UINT16... lọc đến hệ thống 3 Xóa bỏ interface 4 Làm rỗng hoàn toàn các danh sách chặn và danh sách IP thêm vào Họ tên sinh viên, Lớp Tìm hiểu và xây dựng hệ thống Firewall 2.3.2 Chức năng chặn ứng dụng Hình 6 Sơ đồ thêm một ứng dụng cần chặn Hình 7 Sơ đồ chặn ứng dụng B1 Ta tiến hành quết tất cả các file thực thi (.exe) và hiện lên cho người dùng chọn Họ tên sinh viên, Lớp Tìm hiểu và xây dựng hệ thống Firewall. .. viên, Lớp 14 Tìm hiểu và xây dựng hệ thống Firewall Hình 13 Trước khi bảo vệ quét cổng Chương trình cho thấy 3 cổng được mở Thực hiện lần nữa với tùy chọn bảo vệ quét cổng, ta được kết quả Hình 14 Sau khi bảo vệ quét cổng Ta thấy chương trình đã phần nào hạn chế được việc quét các cổng (bây giờ chỉ còn 1 cổng mở) Họ tên sinh viên, Lớp 15 Tìm hiểu và xây dựng hệ thống Firewall KẾT LUẬN VÀ HƯỚNG PHÁT... hệ thống 3 Xóa bỏ interface của chức năng này Họ tên sinh viên, Lớp 10 Tìm hiểu và xây dựng hệ thống Firewall Chương 3 TRIỂN KHAI VÀ ĐÁNH GIÁ KẾT QUẢ 3.1 Môi trường triển khai Chương trình được viết bằng ngôn ngữ Visual C++, sử dụng bộ công cụ Visual Studio 2008 Môi trường áp dụng: hệ điều hành Windows 7 Để chương trình có thể hoạt động tốt các chức năng, trong đề tài này em sẽ thực hiện trên một hệ. .. thống vừa được cài đặt, không có bất kì chương trình bảo mật nào khác, tường lửa của hệ thống cũng sẽ được tắt đi 3.2 Kết quả thực hiện các chức năng Hình 9 Giao diện chính của chương trình 3.2.1 Chức năng chặn truy cập vào địa chỉ IP Trước khi chạy hệ thống, dùng trình duyện IE mặc định vẫn truy cập vào trang web bình thường (ở đây là trang vnexpress.net) Họ tên sinh viên, Lớp 11 Tìm hiểu và xây dựng. .. phóng việc chặn ứng dụng như sau: 1 Xóa bỏ tất cả các ứng dụng đã thêm ra khỏi bộ lọc 2 Xóa bỏ liên kết interface của bộ lọc đến hệ thống 3 Xóa bỏ interface 4 Làm rỗng hoàn toàn các danh sách chặn và danh sách ứng dụng thêm vào Họ tên sinh viên, Lớp Tìm hiểu và xây dựng hệ thống Firewall 2.3.3 Chức năng bảo vệ quét cổng Hình 8 Sơ đồ chọn quét cổng B1 Khi chương trình chạy, chương trình sẽ kiểm tra tùy... Họ tên sinh viên, Lớp 11 Tìm hiểu và xây dựng hệ thống Firewall Hình 10 Trước khi chặn IP Dùng cmd của hệ thống ping đến trang wed để lấy địa chỉ IP, sau đó thêm vào chương trình các thông tin sau: IP Address: 111.65.248.132 Port: 80 Protocols: TCP Sau đó nhấn vào nút vào nút để thêm địa chỉ cần chặn vào chương trình và nhấn để chạy chương trình Tắt trang và mở lại trang web, vì chương trình chặn kết... không load được cho đến khi ta nhấn nút Họ tên sinh viên, Lớp để dừng chương trình 12 Tìm hiểu và xây dựng hệ thống Firewall Hình 11 Sau khi chặn IP 3.2.2 Chức năng chặn ứng dụng Lúc mới chạy chương trình lần đầu, ta nhấn nút để chương trình quét tất cả ứng dụng, sau đó sẽ hiển thị vào khung bên cạnh đồng thời lưu lại vào file test, lần sử dụng tiếp theo, chúng ta chỉ cần nhấn nút để chương trình load... hiển thị các file xong, ta chọn file cần chặn (ở đây chọn file thực thi của trình duyệt IE) và khởi chạy chương trình Việc truy cập vào các trang web bây giờ của trình duyệt IE hoàn toàn bị ngắt, khi ta tắt chương trình, việc truy cập trở lại như bình thường Họ tên sinh viên, Lớp 13 Tìm hiểu và xây dựng hệ thống Firewall Hình 12 Chặn ứng dụng truy cập mạng 3.2.3 Bảo vệ quét cổng Sử dụng phần mềm Nmap... interface này đến hệ thống Windows Filtering Platform 3 Từ đây, thông qua hệ thống WFP, chương trình sẽ giám sát mỗi khi có kết nối nào đến hệ thống thực hiện hành vi kiểm tra các cổng thì chương trình sẽ chặn việc phản hồi của hệ thống cả thông điệp chấp nhận lẫn reset B2 Sau khi kết thúc, chương trình sẽ thực hiện các bước ngược lại để thực hiện giải phóng kết nối như sau: 1 Hủy bỏ việc chặn hệ thống phản . thêm luật mới vào hệ thống Hình 5 Sơ đồ kiểm tra và chặn IP B1. Xây dựng cấu trúc để lưu các địa chỉ IP được nhận vào để chặn: Họ tên sinh viên, Lớp Tìm hiểu và xây dựng hệ thống Firewall typedef. soát bởi Firewall. Họ tên sinh viên, Lớp 2 Tìm hiểu và xây dựng hệ thống Firewall 1.2.1.1 Khả năng của Firewall Những khả năng của Firewall có thể làm đối với một hệ thống mạng bao gồm: - Firewall. interface của bộ lọc đến hệ thống. 3 Xóa bỏ interface. 4 Làm rỗng hoàn toàn các danh sách chặn và danh sách IP thêm vào. Họ tên sinh viên, Lớp Tìm hiểu và xây dựng hệ thống Firewall 2.3.2 Chức năng