HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA CÔNG NGHỆ THÔNG TIN ĐỀ TÀI THỰC TẬP CƠ SỞ AN TOÀN VÀ BẢO MẬT CÁC GIAO THỨC MẠNG Ở CÁC TẦNG TRONG MÔ HÌNH TCP/IP Cán hướng dẫn : Phạm Văn Hưởng Sinh viên thực hiện: - Nguyễn Văn Hai - Bùi Thị Vy - Ngụy Ánh Sáng Lớp : L01 Hà Nội 2016 HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA CÔNG NGHỆ THÔNG TIN ĐỀ TÀI THỰC TẬP CƠ SỞ AN TOÀN VÀ BẢO MẬT CÁC GIAO THỨC MẠNG Ở CÁC TẦNG TRONG MÔ HÌNH TCP/IP Nhận xét cán hướng dẫn:…………………………………………………………….… ……………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… Điểm chuyên cần:……………………………………………………………………………… Điểm báo cáo:………………………………………………………………………………… Xác nhận cán hướng dẫn MỤC LỤC Bảng danh mục từ viết tắt ……………………………………………………………… Danh mục hình vẽ .7 LỜI NÓI ĐẦU …………………………………………………………………………………8 Chương 1: TỔNG QUAN …………………………………………………………………… 1.1 Mô hình TCP/IP ……………………………………………………………………… 1.2 Các đặc tính TCP/IP ……………………………………………………………… 1.3 Tầm quan trọng vấn đề an toàn bảo mật mô hình TCP/IP …………………… Chương 2: AN TOÀN VÀ BẢO MẬT CÁC GIAO THỨC MẠNG Ở CÁC TẦNG TRONG MÔ HÌNH TCP/IP …………………………………………………………………………… 10 2.1 An toàn bảo mật giao thức mạng tầng ứng dụng (application layer) …… 10 2.1.1 Tầng ứng dụng (application layer) giao thức hoạt động tầng ứng dụng …………………………………………………………………………… 12 Giao thức truyền tập tin FTP (File Transfer Protocol) ………………………… 13 Giao thức truyền tải siêu văn HTTP (Hypertext Transfer Protocol) …… 14 Giao thức truyền tải thư tín đơn giản SMTP (Simple Mail Transfer Protocol) 15 Giao thức truyền tệp nhỏ TFTP (Trivial File Transfer Protocol)……………… 16 Giao thức telnet (TerminaL NETwork)………………………………………… 17 Các kiểu công giao thức tầng ứng dụng …………………………………… 18 2.1.7.1 Tấn công dịch vụ DNS………………………………………………… 19 2.1.7.2 Tấn công dịch vụ DHCP……………………………………………… 2.1.8 Các phương pháp phòng tránh………………………………………………… An toàn bảo mật giao thức mạng tầng giao vận (transport layer)……… 2.2.1 Tầng giao vận giao thức hoạt động tầng giao vận……………… 2.2.2 Giao thức điều khiển truyền vận TCP(Transmission Control Protocol)……… 2.2.3 Giao thức UDP(User Datagram Protocol)……………………………………… 2.2.4 Các kiểu công giao thức TCP……………………………………………… 2.2.4.1 Nguy ATBM với TCP (Tính sẵn sàng)…………………………… 2.2.4.2 Tấn công can thiệp vào kết nối TCP………………………………… 2.2.4.3 RST Injection………………………………………………………… 2.2.4.4 Data Injection………………………………………………………… 2.2.4.5 Tấn công kết nối TCP trường hợp thông tin kết nối …………………………………………………………………………… 2.2.4.6 Tấn công giả mạo kết nối TCP……………………………………… 2.2.5 Các phương pháp phòng tránh……………………………………………… An toàn bảo mật giao thức mạng tầng internet (internet layer)……… 2.3.1 Giao thức liên mạng IP (Internet Protocol)………………………………… 2.1.2 2.1.3 2.1.4 2.1.5 2.1.6 2.1.7 2.2 2.3 2.4 2.3.2 Giao thức thông điệp điều khiển ICMP (Internetwork Control Message Protocol) ………………………………………………………………………………… 2.3.3 Giao thức ARP (Address Resolution Protocol)……………………………… 2.3.4 Giao thức RARP (Reverse Address Resolution Protocol)…………………… 2.3.5 Các kiểu công giao thức tầng mạng…………………………………… 2.3.5.1 Giao thức IP ICMP………………………………………………… 2.3.5.2 Phân mảnh gói tin IP………………………………………………… 2.3.5.3 Nguy công vào giao thức IP (Tính sẵn sàng)………………… 2.3.5.4 Nguy công vào giao thức ICMP (Tính sẵn sàng)……………… 2.3.5.5 Tấn công giao thức định tuyến…………………………………… 2.3.5.6 Tấn công vào giao thức BGP………………………………………… 2.3.6 Các phương pháp phòng tránh ……………………………………………… Tầng truy nhập mạng (network access layer)…………………………………… 2.4.1 Lớp truy nhập mạng công nghệ đặc biệt dùng mạng……… 2.4.2 Ethernet……………………………………………………………………… 2.4.3 Token ring…………………………………………………………………… 2.4.4 Token bus…………………………………………………………………… 2.4.5 Các kiểu công giao thức tầng truy nhập mạng……………………… 2.4.5.1 Các nguy công………………………………………………… 2.4.5.2 Tấn công VLAN……………………………………………… 2.4.5.3 Tấn công: VLAN hopping…………………………………………… 2.4.5.4 Tấn công VLAN: DTP VTP……………………………………… 2.4.5.5 Tấn công giao thức STP…………………………………………… 2.4.5.6 Tấn công chế tự học MAC (chuyển mạch)……………………… 2.4.5.7 Tấn công giao thức ARP…………………………………………… 2.4.6 Các phương pháp phòng tránh ……………………………………………… Chương 3: TRIỂN KHAI HỆ THỐNG IPSEC/VPN TRÊN WINSERVER 2008…… 3.1 Chuần bị hệ thống……………………………………………………………………… 3.2 Triển khai hệ thống…………………………………………………………………… 3.3 Kết thử nghiệm đánh giá……………………………………………………… KẾT LUẬN………………………………………………………………………………… TÀI LIỆU THAM KHẢO ………………………………………………………………… Bảng danh mục từ viết tắt ARP( Address Resolution Protocol ) : Giao thức chuyển đổi từ địa IP sang địa vật lý BGP(Border Gateway Protocol): Giao thức định tuyến đa miền sử dụng DHCP(Dynamic Host Configuration Protocol): Giao thức cấu hình động máy chủ DNS(Domain Name Service): Dịch vụ tên miền DOS(Denied of Service) : Tấn công từ chối dịch vụ DTP(Dynamic Trunking Protocol):( Giao thức dùng để đàm phán trunk mode Switch) FTP(File Transfer Protocol) : Giao thức truyền file HTTP(Hyper Text Transfer Protocol) : Giao thức truyền siêu văn ICMP(Internet Control Message Protocol): Giao thức điều khiển thông điệp Internet IEEE(Institute of Electrical and Electronics Engineers):Tổ chức Quốc tế Kỹ sư điện Điện tử IP(Internet Protocol) : Giao thức Internet LAN(Local Area Network) : Mạng nội LSA( Link-State Advertisements):Cơ chế quảng bá thông tin MAC(Media Access Control) : Địa thiết bị MITM(Man In The Middle) OSPF(Open Shostest Path First): Giao thức định tuyến theo liên kết trạng thái triển khai dựa theo chuẩn mở RARP(Reverse Address Resolution Protocol ): Giao thức chuyển đổi từ địa vật lý sang địa IP RIP( Routing Information Protocol ) : Một kiểu giao thức dẫn đường SMTP(Simple Mail Transfer Protocol): Giao thức truyền thư tín đơn giản SSL(Secure Socket Layer) : Tầng socket an toàn STP(Spanning Tree Protocol): giao thức ngăn chặn lặp vòng TCP(Transmission Control Protocol) : Giao thức điều khiển truyền tin TELNET(Terminal Network): mạng thiết bị đầu cuối TFTP(Trivial File Transfer Protocol): Giao thức truyền tệp nhỏ NAT(Network Address Translation): Trình biên dịch địa mạng UDP(User Datagram Protocol) : Giao thức điều khiển truyền tin không tin cậy LỜI NÓI ĐẦU Trong năm gần đây, việc tổ chức khai thác mạng Internet phát triển Mạng Internet cho phép máy tính trao đổi thông tin cách nhanh chóng, thuận tiện Mọi đối tượng sử dụng dịch vụ tiện ích Internet cách dễ dàng trao đổi thông tin, tham khảo thư viện tri thức đồ sộ nhân loại…Tại thời điểm lợi ích Internet rõ ràng phủ nhận Nhưng điều không may kèm với nguy an toàn thông tin Internet vấn đề hàng đầu cản trở phát triển Internet Bảo đảm an toàn an ninh không nhu cầu riêng nhà cung cấp dịch vụ mà nhu cầu đáng người sử dụng Các thông tin nhạy cảm quốc phòng, thương mại vô giá để lọt vào tay đối thủ cạnh tranh Tại Việt Nam, Internet trở lên phổ biến năm gần vấn đề an toàn an ninh mạng không ngoại lệ Mặc dù thực chưa có tổn thất lớn kinh tế tiềm ẩn nhiều nguy an toàn Các công vào hệ thống nhà cung cấp dịch vụ, xoá bỏ liệu… ngày tăng Vấn đề bảo vệ mạng, xác bảo vệ thông tin lưu trữ di chuyển mạng, để chống lại người xâm phạm kẻ phá hoại (gọi chung hacker), kể hệ thống mạng, người quản trị mạng đặt lên hàng đầu công tác quản trị mạng Hacker không công vào mạng TCP/IP, mối đe doạ tiềm ẩn mạng lớn, TCP/IP giao thức mở nên hacker tìm thấy lỗ hổng cách dễ dàng cách thử nhiều kiểu công khác Trên sở đó, nhóm em chọn đề tài: “An toàn bảo mật giao thức mạng mô hình TCP/IP” Mục tiêu đề tài gồm: Tìm hiểu chung mô hình TCP/IP An toàn bảo mật giao thức tầng mô hình TCP/IP Triển khai hệ thống IPSEC/VPN WinServer 2008 Bố cục đề tài gồm chương: • Chương 1: Tổng quan Trình bày khái quát mô hình TCP/IP, đặc tính mô hình vấn đề an toàn bảo mật mô hình TCP/IP • Chương 2: An toàn bảo mật giao thức mạng tầng mô hình TCP/IP Trình bày khái niệm giao thức tầng, khả bị công phương pháp phòng tránh cho giao thức • Chương 3: Triển khai hệ thống IPSEC/VPN WinServer 2008 Thực xây dựng hệ thống IPSEC/VPN Hệ điều hành WinServer 2008 CHƯƠNG I : TỔNG QUAN 1.1 Mô hình TCP/IP - Bộ giao thức TCP/IP đƣợc phân làm tầng + Tầng ứng dụng (Application Layer) + Tầng giao vận (Transport Layer) + Tầng Internet (Internet Layer) + Tầng truy cập mạng (Network access Layer) Hình : Mô hình TCP/IP • Tầng ứng dụng (Application Layer) : + Cung cấp dịch vụ cho người dùng + Gồm tiến trình: client server + Sử dụng dịch vụ tầng giao vận để trao đổi liệu tiến trình + Giao thức tầng ứng dụng: DNS, DHCP, HTTP, SMTP, POP, IMAP • Tầng giao vận (Transport Layer) : + Điều khiển trình truyền liệu tiến trình + Dồn kênh/Phân kênh: số hiệu cổng dịch vụ + TCP: hướng liên kết, tin cậy, truyền theo dòng byte + UDP: hướng không liên kết, truyền theo tin (datagram) • Tầng Internet (Internet Layer) : Kết nối liên mạng (Internetworking): + Đóng gói, phân mảnh liệu + Định danh: địa IP + Định tuyến • Tầng truy cập mạng (Network access Layer) : + Điều khiển truyền liệu trêntừng liên kết vật lý: đóng gói, đồng bộ, phát sửa lỗi + Chuyển mạch liệu liên kết vật lý + Điều khiển truy cập đường truyền + Hỗ trợ truyền thông quảng bá VLAN + Mã hóa bit thành tín hiệu + Điều chế tín hiệu truyền tín hiệu liên kết vật lý 1.2 Các đặc tính TCP/IP Sự phổ dụng giao thức TCP/IP Internet giao thức có Internet hay quan quân bắt buộc phải sử dụng chúng Các giao thức đáp ứng đòi hỏi truyền giữ liệu toàn cầu vào thời gian cần thiết, chúng có số đặc tính quan trọng sau : • Bộ giao thức TCP/IP không bị ràng buộc vào phần cứng hay hệ điều hành TCP/IP cách lý tưởng để liên kết phần cứng phần mềm khác bạn sử dụng chúng để giao tiếp không qua Internet • Bộ giao thức TCP/IP độc lập với phần cứng mạng máy tính Đăch tính cho phép TCP/IP tích hợp kiểu mạng máy tính khác Bộ giao thức TCP/IP sử dụng Ethernet, token ring, dial-up line, mạng vật lý truyền thông khác • Bộ giao thức TCP/IP có chế độ đánh địa chung cho máy sử dụng TCP/IP giao tiếp với máy có địa toàn mạng , mạng máy tính lớn mạng toàn cầu • Bộ giao thức TCP/IP chuẩn hóa giao thức tầng hướng đến ổn định, dễ sử dụng cho dịch vụ mạng 1.3 Tầm quan trọng vấn đề an toàn bảo mật mô hình TCP/IP Vấn đề bảo mật hay xác vấn đề bảo vệ thông tin lưu trữ truyền mạng, để chống lại người xâm phạm hay kẻ phá hoại ( gọi chung hacker ) Kể mạng người quản trị đặt lên hàng đầu công tác quản trị mạng Hacker không công vào mạng TCP/IP, mối đe dọa tiềm ẩn với mạng lớn, TCP/IP giao thức mở nên hacker tìm thấy lỗ hổng cách dễ dàng cách thử nhiều kiểu công khác • - Mục tiêu Hacker : Hacker thường nhắm đến trước thực công mạng TCP/IP là: + Phải đạt “Sự mạo danh (Impersonation)”: Để thực truy cập không phép đến tài nguyên mạng + Phải làm cho mục tiêu bị công rơi vào tình trạng “ Từ chối dịch vụ(gọi công Dos: Denial-ofService)”: Để làm cho tài nguyên máy chủ mạng(như :Web server,…) trở nên tác dụng + Phải thực việc “Phát lại thông điệp (Replay of messages)”: Để truy cập /nhận thông tin thay đổi nó, thông tin di chuyển đường + Phải đoán mật (Guessing of key): Để từ truy cập đến thông tin/dịch vụ mà bị từ chối (gọi công từ điển: dictionary attack) + Phải đoán khóa (Guessing of key): Để truy cập đến mật liệu mã hóa (gọi công “thô bạo”: brute-force attack) • Chính sách an toàn cho mạng TCP/IP - Người quản trị an toàn hệ thống mạng, mạng TCP/IP, phải thực kết hợp sách bảo mật sau để bảo vệ mạng liệu truyền mạng họ, bảo vệ mạng không giới hạn LAN/WAN mà mạng nội internet + Thực mã hóa thông tin trước truyền/gửi mạng: Để bảo vệ liệu mật + Thực chế xác thực sử dụng chữ ký điện tử thẻ xác thực: Để kiểm tra la người gửi (nguồn gốc) liệu mạng + Sử dụng khóa “mạnh”; Ngăn ngừa tượng giả khóa tương lai, …: Để bảo vệ mạng chống lại công theo cách bẻ khóa: công “từ điển”, công “thô bạo” + Thực chế cho phép/cấp phép (authorization): Để ngăn chặn truy nhập không thích hợp/ không hợp lệ + Kiểm tra tính toàn vẹn liệu mã xác thực thông điệp: Để chống lại thay đổi/ sửa đổi thông điệp + Thực quy trình công nhận: Để đảm bảo hành động bị phủ nhận/ từ chối người thực + Thực sách mật lần số bắt tay ngẫu nhiên hai chiều: Để cho phép cặp truyền thông xác thực lẫn + Thực sách cập nhật làm tươi khóa thường xuyên + Thực sách che giấu/che đậy địa - sử dụng kỹ thuật NAT/PAT: Để bảo vệ mạng chống lại công theo kiểu từ chối dịch vụ(Dos) - Vì giao thức TCP/IP không thiết kế gắn liền với bảo mật, nên nhiều hệ thống bảo mật khác phát triển cho ứng dụng lưu lượng chạy Intranet/Internet Các phần mềm có nhiệm vụ chuẩn bị liệu cho việc truyền mạng, có ý đến khả xác thực mã hóa Trong mạng TCP/IP , ứng dụng nói xây dụng lớp: Ứng dụng; Giao vận/Mạng; Vật lý/Liên kết liệu • Đối phó với kiểu công Hacker + Để ngăn chặn việc đọc thông điệp truyền mạng: Thông điệp phải mã hóa trước truyền giải mã bên nhận Trong trường hợp bên gửi bên nhận phải chia sẻ khóa bị mật để phục vụ cho việc mã hóa giải mã thông điệp Với giải pháp , khóa phải truyền đi/phân bố mạng, nên vấn đề dặt làm để phân bố khóa cách an toàn , sử dụng kỹ thuật mã hóa khác nhau: Mã hóa khoa bị mật mã hóa khóa công khai + Không thể sử dụng khóa khoảng thời gian dài để ngăn chặn việc đoán khóa (có thể đoán khóa tương lai biết khóa tại) hacker Để đối phó , phải “làm tươi khóa” thường xuyên không sử dung sách “dựa vào khóa cũ để tính khóa mới”,điều đảm bảo khóa truyền đi/phân phối cách an toàn (bí mật) 10 BGP giao thức Internet lâu đời quan sử dụng để định tuyến Internet trao đổi thong tin thay đổi sơ đồ mạng Internet BGP cung giao thức tảng bên dễ bị công xây dựng thời điểm khái niệm Internet ngang hàng đời vốn dựa tin cậy thiết bị đầu cuối chủ yếu Khi làm việc , thông tin định tuyến Internet bị ngộ độc với thông tin định tuyến thật (do Hacker cố tình tạo ra), hay gọi BGP giả mạo Điều xảy trước Thảm họa gây từ giao thức thường dễ phát khác phục thời gian ngắn, nhiên nhiêu đủ để kẻ công (Hacker) gây thiệt hại khủng khiếp tệ vấn đề lai chưa thể khắc phục hoàn toàn 2.3.6 Các phương pháp phòng tránh - Khi bạn phát máy chủ bị công nhanh chóng truy tìm địa IP cấm - không cho gửi liệu đến máy chủ Dùng tính lọc liệu router/firewall để loại bỏ packet không mong muốn, giảm - lượng lưu thông mạng tải máy chủ Sử dụng tính cho phép đặt rate limit router/firewall để hạn chế số lượng packet vào hệ thống 32 - Nếu bị công lỗi phần mềm hay thiết bị nhanh chóng cập nhật sửa lỗi - cho hệ thống thay Dùng số chế, công cụ, phần mềm để chống lại TCP SYN Flooding Tắt dịch vụ khác có máy chủ để giảm tải đáp ứng tốt Nếu nâng cấp thiết bị phần cứng để nâng cao khả đáp ứng hệ thống hay sử dụng thêm máy chủ tính khác để phân chia tải - Tạm thời chuyển máy chủ sang địa khác 2.4 Tầng truy nhập mạng (network access layer) 2.4.1 Lớp truy nhập mạng công nghệ đặc biệt dùng mạng - Tầng truy cập Mạng có trách nhiệm đưa liệu tới nhận liệu từ phương tiện truyền - dẫn Tầng gồm thiết bị phần cứng vật lí chẳng hạn Card Mạng Cáp Mạng Card Mạng chẳng hạn card Ethernet chứa số HEX 12 kí tự (00-18-37-03-C0-F4) gọi Địa Chỉ MAC (Media Access Control) hay Địa Chỉ Truy Nhập Phương Tiện MAC đóng - 2.4.2 vai trò quan trọng việc gán địa truyền liệu số giao thức tiêu biểu thuộc tầng gồm : + ATM (Asynchronous Transfer Mode) + Ethernet + Token Ring + FDDI (Fiber Distributed Data Interface) + Frame Relay Ethernet Là phương pháp truy cập mạng máy tính cục (LAN) sử dụng phố biến Ethernet hình thành định nghĩa chuẩn 802.3 IEEE (Institute of Electrical and Electronics Engineers - Tổ chức Quốc tế Kỹ sư điện Điện tử) tổ chức có uy tín, chuyên thiết lập chuẩn cho máy tính mạng truyền thông Ngày nay, mạng Ethernet trở nên thịnh hành nói đến "kết nối mạng LAN" "card mạng" người ta nghĩ đến mạng Ethernet Về bản, Ethernet môi trường mạng LAN có môi trường truyền thông chia sẻ (shared media LAN) Tất trạm mạng (network station) chia tổng băng thông mạng (LAN bandwidth) Băng thông 10Mbps (megibit per second = megabit/giây), 100Mbps 1000Mbps Ngày nay, người ta dùng khái niệm Switched Ethernet (Mạng Ethernet chuyển mạch) để nói công nghệ mạng LAN Ethernet sử dụng Switch thay cho Hub Với Switched Ethernet, cặp máy tính Truyền Nhận có đường truyền riêng với băng thông đầy đủ (full bandwidth) Mạng Ethernet sử dụng cáp đồng trục (coaxial cable), cáp xoắn đôi (twisted-pair cable), cáp quang (Optical Fiber) vô tuyến (wireless) Mạng Ethernet sử dụng cấu trúc Tuyến tính (bus) hình (star) 2.4.3 Token ring Ngoài Ethernet LAN , công nghệ LAN chủ yếu khác dùng Token Ring Nguyên tắc mạng Token Ring định nghĩa tiêu chuẩn IEEE 802.5 Mạng Token Ring chạy tốc độ 4Mbps 16Mbps Phương pháp truy cập dùng mạng 33 Token Ring gọi Token passing Token passing phương pháp truy nhập xác định, xung đột ngǎn ngừa cách thời điểm trạm truyền tín hiệu Điều thực việc truyền bó tín hiệu đặc biệt gọi Token (mã thông báo) xoay vòng từ trạm qua trạm khác Một trạm gửi bó liệu nhận mã không bận Hoạt động Token ring - Token ring bao gồm số lượng repeater, repeater kết nối với repeater khác theo chiều truyền liệu tạo thành vòng khép kín - Để ring hoạt động cần phải có chức là: chức đưa liệu vào ring, lấy liệu từ ring gỡ bỏ gói tin, chức thực repeater - Trong ring liệu đóng gói thành frame có trường địa đích gói tin qua repeatert trường địa copy xuống so sánh với đại trạm, giống phần lại frame copy gói tin tiếp tục gởi - Việc gỡ bỏ gói tin ring phức tạp so với dạng bus Để gỡ bỏ gói tin ta có hai cách để lựa chọn + Cách thứ sử dụng repeater chuyên làm nhiệm vụ gỡ bỏ gói tin xác định rõ địa + Cách thứ hai gói tin gỡ bỏ bàng trạm gởi gói tin Thông thường thường dùng cách thứ hai có hai ưu điểm tạo chế trả lời tự động hai truyền gói tin đến nhiều trạm đích 2.4.4 Token bus Phương pháp truy nhập có điểu khiển dùng kỹ thuật “chuyển thẻ bài” để cấp phát quyền truy nhập đường truyền Thẻ (Token) đơn vị liệu đặc biệt, có kích thước có chứa thông tin điều khiển khuôn dạng Nguyên lý: Để cấp phát quyền truy nhập đường truyền cho trạm có nhu cầu truyền liệu,một thẻ lưu chuyển vòng logic thiết lập trạm Khi trạm nhận thẻ có quyền sử dụng đường truyền thời gian định trước Trong thời gian truyền nhiều đơn vị liệu Khi hết liệu hay hết thời đoạn cho phép, trạm phải chuyển thẻ đến trạm vòng logic Như công việc phải làm thiết lập vòng logic (hay gọi vòng ảo) bao gồm trạm có nhu cầu truyền liệu xác định vị trí theo chuỗi thứ tự mà trạm cuối chuỗi tiếp liền sau trạm Mỗi trạm biết địa trạm kề trước sau Thứ tự trạm vòng logic độc lập với thứ tự vật lý Các trạm không chưa có nhu cầu truyền liệu không đưa vào vòng logic chúng tiếp nhận liệu 2.4.5 Các kiểu công giao thức tầng truy nhập mạng 2.4.5.1 Các nguy công • Nghe lén: Với mạng quảng bá ( Wifi, mạng hình trục, mạng dùng hub): dễ dàng chặn bắt gói tin - Với mạng điểm – điểm: + Đoạt quyền điều khiển nút mạng 34 - + Chèn nút mạng trái phép vào hệ thống Giả mạo thông tin: công giao thức VLAN , chế tự học MAC Phá hoại liên kết: chèn tín hiệu giả, tín hiệu nhiễu hay thông điệp lỗi… Thông thường việc công tiến hành bên hệ thống mạng 2.4.5.2.Tấn công VLAN Có hình thức phổ biến công VLAN hopping Tấn công VLAN: DTP,VTP 2.4.5.3.Tấn công VLAN hopping: + Mục đích: Truy cập vào VLAN khác từ Native VLAN + Lỗ hổng: Các liệu chuyển Native VLAN không cần gắn tag + Gồm công VLAN Hopping công VLAN hopping đóng gói kép + Tấn công VLAN hopping bản: Vụ công xảy kẻ công đánh lừa switch để switch nghĩ switch muốn kết nối trung kế Kỹ thuật đòi hỏi thiết lập "trunking-favorable", kiểu thiết lập Auto , công thành công Bây giờ, kẻ công trở thành thành viên nhiều VLAN kết nối đến switch gửi nhận lưu lượng VLAN Cách tốt để ngǎn chặn kiểu công VLAN hopping tắt kết nối tất cổng ngoại trừ cổng cần thiết + Tấn công VLAN hopping đóng gói kép: Kiểu công lợi dụng cách mà phần cứng phần lớn switch hoạt động Hiện nay, phần lớn switch thực đóng gói IEEE 802.1Q mức Điều cho phép kẻ công, tính cụ thể, có khả nǎng gắn đuôi 802.1Q (gọi 1Q tag) vào khung Khung vào VLAN với đuôi 1Q đầu không xác định Một đặc điểm quan trọng kiểu công VLAN hopping đóng gói kép tiến hành với cổng trung kế thiết lập chế độ Off Ngǎn chặn công kiểu không dễ việc ngǎn chặn công kiểu VLAN hopping Biện pháp tốt để đảm bảo VLAN cổng trung kế phân biệt rạch ròi với VLAN cổng người dùng 2.4.5.4.Tấn công VLAN: DTP VTP + Giả mạo DTP: Kiểu công dựa vào giao thức DTP( Giao thức dùng để đàm phán trunk mode Switch) Kẻ công gửi tin DTP giả mạo khiến liên kết máy trạm switch trở thành liên kết trunk Nói cách khác, máy trạm kẻ công trở thành thành viên tất VLAN Tuy nhiên, kiểu công đòi hỏi NIC máy trạm phải có khả trunking Kết kẻ công lấy thông tin nhiều mạng VLAN khác + Cách phòng chống: loại bỏ bẳng cách disable DTP post switch câu lệnh: Switch(config-if)#switchport nonegotiate + Giả mạo VTP: kẻ công gửi tin VTP giả mạo với số revision number lớn để đảm bảo switch khác phải cập nhật lại cấu hình VLAN Hậu 35 kiểu công đặc biệt nghiêm trọng cấu hình VLAN VTP domain bị xóa trắng hoàn toàn + Cách phòng chống giả mạo VTP: yêu cầu cổng máy kẻ công phải có khả hỗ trợ trunking để đàm phán liên kết trunk với switch; trường hợp cần cấu hình cổng switch chế độ không đàm phán trunking: Switch(config-if)#switchport mode access Switch(config-if)#switchport nonegotiate Bên cạnh đó, kẻ công muốn thực thành công cần biết VTP domain name VTP password switch Do switch cần cấu hình thêm VTP password: Switch(vlan-data)#vtp password password 2.4.5.5 Tấn công giao thức STP • Spanning Tree Protocol: khử loop mạng kết nối Switch có vòng kín • Một switch có giá trị priority nhỏ đóng vai trò gốc • Các switch lại tạm ngắt cổng xa nút gốc • Tấn công vào STP: Đoạt quyền Root Switch để lấy cắp thông tin, thực nhiều • cách: DoS: Black-hole Attack, flooding attack Chèn liệu giả mạo vào luồng trao đổi thông tin Tấn công MITM ( man-in-the-middle) Cách phòng chống: sử dụng STP root guard/BPDU guard: loại bỏ công theo kiểu spanning-tree cách tắt tất cổng gây thay đổi cấu trúc mạng lớp 2.4.5.6 Tấn công chế tự học MAC (chuyển mạch) • Tấn công MAC flooding: gửi hàng loạt gói tin với địa MAC nguồn giả khiến bảng • MAC bị tràn, làm gói tin thực bắt buộc phải chuyển kiểu quảng bá Một công kiểu trông giống lưu lượng từ hàng ngàn máy tính chuyển đến cổng, thực tế đển từ máy giả mạo địa MAC hàng ngàn host giả mạo Macof, công cụ thông dụng để thực công kiểu này, tạo 155.000 tuyến kết nối giả (gọi MAC entry) đến cổng switch phút Switch nhìn thấy lưu lượng nghĩ địa MAC từ gói mà kẻ công gửi cổng hợp lệ thêm dẫn kết nối (entry) vào bảng CAM Mục tiêu làm tràn switch thực cách điền đầy bảng CAM với dẫn kết nối sai Khi bị làm tràn, switch phát quảng bá lưu lượng VLAN mà không cần dẫn từ bảng CAM cho phép kẻ công nhìn thấy lưu ưlợng mà bình thường nhìn thấy • Làm tràn swtich dễ, với switch có bảng CAM lớn cấu hình mạnh Cách phòng chống: Phương pháp sơ đẳng cấu hình an ninh cho cổng switch Việc cho phép nhân viên quản trị xác định số lượng PC phép kết nối đến cổng switch Nếu số lượng PC vượt quy định, cổng bị tắt chặn địa MAC vượt giới hạn xác định trước Do phải trì việc dò theo dấu vết địa 36 MAC lạ, hiệu nǎng hệ thống bị ảnh hưởng Vì thể, giải pháp thực tế tắt cổng vượt giới hạn 2.4.5.7 Tấn công giao thức ARP ARP giao thức thực việc tìm địa MAC máy mạng biết địa IP - ARP poisoning ARP poisoning phương pháp công hệ thống ARP, đầu độc hệ thống ARP làm cho thông tin ARP table xác ARP có điểm yếu chế xác thực Như biết để xây dựng ARP table, máy tính gửi ARP request, sau nhận lại ARP reply Hệ thống hoàn toàn chế xác minh xem thông tin ARP reply thật hay giả, thông tin lưu lại vào ARP table để sử dụng Lợi dụng điểm yếu người công thực đầu độc hệ thống ARP, sau công hệ thống mạng theo số phương pháp như: man in the middle, denial of services, MAC flooding…v.v Hình 17: công ARP theo kiểu man in the middle Hình minh họa công ARP kiểu man in the middle Người công ngồi máy C, muốn theo dõi nội dung trao đổi hai máy A B 37 Để lấy thông tin trao đổi A B, máy C thực công ARP poisoning theo kiểu man in the middle hai máy A, B Bằng cách: - Máy C gửi gói ARP reply tới máy A Nội dung ARP reply gồm địa IP máy B MAC máy C (192.168.1.4 : AA-BB-CC-DD-00-22) Máy A nhận cập nhật vào ARP table - Máy C gửi tiếp gói ARP reply khác tới máy B Nội dung ARP reply gồm địa IP máy A MAC máy C (192.168.1.3 : AA-BB-CC-DD-00-22) Máy B nhận cập nhật vào ARP table - Máy C thực chuyển tiếp (forwarding) gói tin trao đổi máy A máy B Điều giúp hai máy A B thực trao đổi liệu bình thường mà có người thứ ba theo dõi nội dung trao đổi 2.4.6 Các phương pháp phòng tránh Tại tầng mạng, việc chọn sử dụng mạch ảo hay datagram tác động đến tắc nghẽn nhiều giải thuật điều khiển tắc nghẽn chạy mạch ảo Giải pháp “lập hàng đợi cho gói tin phục vụ chúng” liên quan đến việc router có hàng đợi cho ngõ vào, hàng đợi cho ngõ hay hai Nó liên quan đến trình tự xử lý gói tin hàng đợi ( round-robin hay dựa ưu tiên) Chính sách hủy bỏ gói tin gói tin cần bị hủy bỏ không không gian chứa Một sách tốt giúp làm giảm tắc nghẽn, ngược lại làm tắc nghẽn trầm trọng thêm Một giải thuật vạch đường tốt giúp tránh tắc nghẽn cách trải giao thông tất đường nối, giải thuật tồi đơn giản gởi nhiều thông tin lên đường tải tải Cuối cùng, việc quản lý thời gian sống gói tin phải đưa định gói tin sống hàng đợi trước bị hủy bỏ Thời gian sống dài làm trì trệ công việc lâu Nhưng thời gian sống ngắn, gói tin bị mãn kỳ (timed-out) trước chúng đến đích, dẫn đến việc tái truyền 38 Chương 3: TRIỂN KHAI HỆ THỐNG IPSEC/VPN TRÊN WINSERVER 2008 3.1 Mô hình hệ thống Mô hình IPSec - Domain Controller (DC) sử dụng hệ điều hành windhows server 2008 với Domain name kma.test - client sử dụng hệ điều hành windows 64bit 3.1.1 Nâng cấp Domain Controller - Start -> Run -> dcpromo + enter 3.1.2 Cấu hình Địa IP cho DC Client - Máy Client có địa IP 192.168.1.3 - Máy client có địa IP 192.168.1.4 39 - Domain controller có IP 192.168.1.2 3.1.3 Client join Domain kma.test - Sau cấu hình ip tĩnh thực ping thông máy client với domain controller -Vào máy client thực join vào domain kma.test: + B1 : + B2 : 40 +B3 : 3.2 Triển khai sách bảo mật IPSec - Trên DC : + Start -> Administrative Tools -> Group Policy Management 41 + Click chuột phải vào kma.test -> Create a GPO in this domain -> đặt tên domain “Bao Mat Ket Noi IPsec” + Click chuột phải vào GPO “Bao Mat Ket Noi IPSec” ->Edit + Ở cửa sổ thực theo đường dẫn sau : Computer configuration ->Policies -> Windows setting -> Sercurity Settings -> IP Serurity Policies on Active Directoty (KMA.TEST) + Click chuột phải + Ở có cách để thực sách bảo mật : tạo sách bảo mật Create IP Sercurity Policy , thêm sách vào Ipsec có sẵn Chúng ta thực cách 42 + Click chọn Create IP Sercutity Policy -> Next -> Đặt tên “Bao Mat May” -> Next - > Next -> Tích chọn Edit -> Finish + Add -> Next -> Chọn this rule does not specify a tunnel -> Next + Chọn Local area network (LAN) muốn thực bảo mật máy mạng nội bộ> Next 43 + Chúng ta cần thêm sách bảo mật hay gọi Filter -> Chọn Add ->Đặt tên “Bao Mat 4” -> Add-> Next->Next + Tiếp đến điền địa nguồn địa đích 192.168.1.3 192.168.1.4 -> Next 44 + Cuối sau xong ta chọn filter “Bao Mat 4” -> Next-> Requeri sercurity -> Next -> Next -> Finish + Bước cuối để áp dụng sách bảo mật KMA.TEST ta thực Assign Vậy sách bảo mật IPSec thiết lập domain kma.test máy client 192.168.1.3 192.168.1.4 3.3 Kết thử nghiệm đánh giá KẾT LUẬN 45 Đề tài đề cập tới vấn đề chung an toàn, bảo mật mô hình TCP/IP nói chung nghiên cứu cách công vào giao thức tầng mô hình TCP/IP Cụ thể, đề tài đạt số thành sau: • • • • • Tìm hiểu vấn đề an toàn bảo mật hệ thống TCP/IP Tìm hiểu cấu trúc mô hình TCP/IP Những lỗ hổng bảo mật kiểu công thực giao thức mô hình TCP/IP Biện pháp hạn chế, khắc phục, phòng tránh nguy an toàn bảo mật Triển khai thử nghiệm hệ thống IPSEC/VPN Bên cạnh đó, hạn chế thời gian trình độ nên đề tài không tránh khỏi thiếu sót hạn chế cụ thể Những hạn chế là: • • • • Chỉ mang tính lý thuyết, chưa có ứng dụng thực tiễn vào đời sống VPN đòi hỏi hiểu biết an ninh mạng, việc cấu hình cài đặt phải cẩn thận, xác đảm bảo tính an toàn hệ thống IPSEC VPN yêu cầu phải có phần mềm Client cài đặt máy tính để bàn xách tay Sự không tương thích IPSec với việc chuyển đổi địa mạng NAT Trong tương lai, với mong muốn tiếp tục phát triển, nghiên cứu sâu đề tài trở thành từ điển đắc lực cho việc ngăn chặn nguy công gây an toàn bảo mật cho mô hình TCP/IP, hỗ trợ đắc lực cho người sử dụng quản trị viên Em xin đề xuất số hướng phát triển sau: • Mở rộng nghiên cứu kiểu công vào hệ thống mạng thực tiễn • Nghiên cứu sâu vào kiểu công từ chối dịch vụ :DoS, MITM, DDoS,… • Ứng dụng biện pháp bảo mật vào hệ thống lớn • Triển khai hệ thống IPSec Trên Phạm vi rộng Cuối cùng, nhóm em xin nói lời cảm ơn đến thầy giáo hướng dẫn, thầy Phạm Văn Hưởng, thầy cô khoa Công nghệ thông tin, Học viện Kỹ thuật Mật mã bạn học giúp đỡ nhóm em nhiều suốt trình làm đề tài để nhóm hoàn thành đề tài 46 [...]... mạng bên trong, bằng cách sử dụng: Filter, Firewall, Proxy, Packet Authentication, Conceal internal address and name structure (che dấu địa chỉ và cấu trúc mạng bên trong),… CHƯƠNG 2 : AN TOÀN VÀ BẢO MẬT CÁC GIAO THỨC MẠNG Ở CÁC TẦNG TRONG MÔ HÌNH TCP/IP 2.1 An toàn và bảo mật các giao thức mạng ở tầng ứng dụng (application layer) 2.1.1 Tầng ứng dụng (application layer) và các giao thức chính hoạt động... Firewall; Đóng tất cả các cổng không sử dụng đến; Sử dụng việc lọc địa chỉ MAC; Giám sát hoạt động của DHCP bằng cách xem các file log và xem thông tin thống kê của hệ thống trên DHCP Server 2.2 An toàn và bảo mật các giao thức mạng ở tầng giao vận (transport layer) 2.2.1.Tầng giao vận và các giao thức chính hoạt động ở tầng giao vận Là tầng vận chuyển chịu trách nhiệm chuyển phát toàn bộ thông báo từ... và chuẩn bị theo cách này gọi là một bản ghi SSL An toàn và bảo mật các giao thức mạng ở tầng internet (internet layer) 2.3.1 Giao thức liên mạng IP (Internet Protocol) 2.3 Giao thức IP (Internet Protocol - Giao thức Liên mạng) là một giao thức hướng dữ liệu được sử dụng bởi các máy chủnguồn và đích để truyền dữ liệu trong một liên mạng chuyển mạch gói Dữ liệu trong một liên mạng IP được gửi theo các. .. những giao thức này trong bài viết sau • RARP cùng với ARP nằm trên lớp DataLink Layer của mô hình OSI 2.3.5 Các kiểu tấn công các giao thức tầng mạng 2.3.5.1 Giao thức IP và ICMP - Giao thức liên mạng IP là một trong những giao thức quan trọng nhất của bộ giao thức TCP/IP Mục đích của giao thức liên mạng IP là cung cấp khả năng kết nối các mạng con thành liên mạng để truyền dữ liệu IP là giao thức. .. ( SSL): giao thức an toàn tầng giao vận SSL là một giao thức khách/chủ (client/ server) cung cấp dịch vụ bảo mật cơ bản trong việc kết nối ngang hàng sau đây: • • • - Các dịch vụ phải xác thực Các dịch vụ kết nối bảo mật Các dịch vụ kết nối toàn vẹn SLL cung cấp dịch vụ kết nối an ninh có ba đặc tính cơ bản Kết nối bí mật: Mã hóa được sử dụng sau khi thiết lập kết nối để xác định một khóa bí mật Mã... của bộ giao thức TCP/IP Tầng này bao gồm tất cả các chương trình có sử dụng tầng vận tải để truyền dữ liệu Có rất nhiều giao thức ứng dụng Đa số các giao thức ứng dụng cung cấp các dịch vụ và rất nhiều giao thức mới được tạo ra cho tầng ứng dụng Những giao thức ứng dụng đã được sử dụng biết đến nhiều là : • • • • • Telnet, là giao thức cung cấp khả năng truy cập từ xa qua mạng FTP, là giao thức chuyển... SMTP, là giao thức để chuyển thư điện tử HTTP, là giao thức để chuyển siêu văn bản TFTP, là giao thức truyền tệp nhỏ • … 11 2.1.2 Giao thức truyền tập tin FTP(File Transfer Protocol) Những người phát triển giao thức FTP cần phải cân bằng nhu cầu giữa việc phát triển một bộ giao thức vừa có nhiều chức năng và vừa đơn giản trong triển khai Do đó, FTP không đơn giản như “đứa em trai” của nó – là giao thức. .. thiết lập một kênh kết nối an toàn giữa các điểm giao tiếp (ví dụ, xác thực và bảo mật) Thứ hai là SSL sử dụng kết nối này để truyền tải dữ liệu của giao thức tầng cao hơn từ nơi gửi đến nơi nhận một cách an toàn Do đó nó chia dữ liệu thành các phần nhỏ hơn và xử lý từng phần chia nhỏ đó, mỗi phần có thể được nén, xác thực với một MAC, mã hóa, thêm vào trước với một tiêu đề và được truyềnđến nơi nhận... trong hệ thống mạng 2.4.5.2.Tấn công trên VLAN Có 2 hình thức phổ biến là tấn công VLAN hopping và Tấn công VLAN: DTP,VTP 2.4.5.3.Tấn công VLAN hopping: + Mục đích: Truy cập vào các VLAN khác từ Native VLAN + Lỗ hổng: Các dữ liệu chuyển trong Native VLAN không cần gắn tag + Gồm tấn công VLAN Hopping cơ bản và tấn công VLAN hopping đóng gói kép + Tấn công VLAN hopping cơ bản: Vụ tấn công xảy ra khi kẻ... cho tất cả các thiết bị khác.Theo đó các máy trạm không cần giữ bảng định tuyến nữa Router C sẽ có nhiệm vụ thực hiện, trả lời tất cả các ARP request của tất cả các máy 2.3.4 Giao thức RARP (Reverse Address Resolution Protocol) Giao thức RARP (Reverse Address ResolutionProtocol) hay còn gọi là giao thức phân giải địa chỉ ngược là một giao thức được sử dụng bởi một máy chủ yêu cầu giao thức Internet(IPv4)