Đại học quốc gia hà nội Trường đại học công nghệ - - Nguyễn Minh Tuấn  Bảo mật dịch vụ hệ thống mạng máy tính Ngành: Kỹ thuật điện tử viễn thơng Chun ngành: Kỹ thuật Vô tuyến điện tử thông tin liên lạc Mã số: 2.07.00 Luận văn thạc sĩ Hà nội – 2005 Mục lục Mở đầu Chương 1: Các vấn đề chung mạng máy tính bảo mật hệ thống 1.1 Căn mạng máy tính: 1.1.1 Khái niệm chung: 1.1.1.1 Các thành phần mạng máy tính: 1.1.1.2 Phân loại mạng máy tính: 1.1.2 Mạng Internet giao thức TCP/IP 1.2 Các vấn đề chung bảo mật hệ thống mạng Error! Bookmark not defined 1.2.1 Các vấn đề an ninh mạng: Error! Bookmark not defined 1.2.1.1 Một số khái niệm bảo mật Error! Bookmark not defined 1.2.1.2 Lịch sử bảo mật mạng hệ thống: Error! Bookmark not defined 1.2.1.3 Một số hình thức cơng mạng Error! Bookmark not defined 1.2.1.4 Các mức bảo vệ an toàn mạng Error! Bookmark not defined 1.2.2 Các phương thức mã hoá Error! Bookmark not defined 1.2.2.1 Đặc điểm chung phương thức mã hóa: Error! Bookmark not defined 1.2.2.2 Các phương thức mã hóa: Error! Bookmark not defined Chương 2: Các lỗ hổng phương thức công Mạng phổ biến 31 2.1 Các lỗ hổng điểm yếu mạng Error! Bookmark not defined 2.1.1 Các lỗ hổng Error! Bookmark not defined 2.1.1.1 2.1.1.2 Phân loại lỗ hổng bảo mật: Error! Bookmark not defined ảnh hưởng lỗ hổng bảo mật mạng Internet: Error! Bookmark not defined 2.1.1.3 Các biện pháp phát hệ thống bị công: Error! Bookmark not defined 2.1.2 Một số điểm yếu hệ thống: Error! Bookmark not defined 2.1.2.1 Deamon fingerd: Error! Bookmark not defined 2.1.2.2 File hosts.equiv: Error! Bookmark not defined 2.1.2.3 Thư mục /var/mail Error! Bookmark not defined 2.1.2.4 Chức proxy FTPd: Error! Bookmark not defined 2.1.3 Bảo mật dịch vụ Web: Error! Bookmark not defined 2.1.3.1 Lý do: Error! Bookmark not defined ii 2.1.3.2 2.1.3.3 Phương thức hoạt động dịch vụ Web Error! Bookmark not defined Các vấn đề bảo mật dịch vụ Web Error! Bookmark not defined 2.2 Một số phương thức công mạng phổ biến Error! Bookmark not defined 2.2.1 Scanner Error! Bookmark not defined 2.2.1.1 Khái niệm Scanner? Error! Bookmark not defined 2.2.1.2 Cơ chế hoạt động chương trình Scanner Error! Bookmark not defined 2.2.2 Password Cracker: Error! Bookmark not defined 2.2.3 Trojans Error! Bookmark not defined 2.2.3.1 Khái niệm Trojan Error! Bookmark not defined 2.2.3.2 Phương thức lây lan chương trình trojan: Error! Bookmark not defined 2.2.3.3 ảnh hưởng chương trình trojans: Error! Bookmark not defined 2.2.4 Sniffer: Error! Bookmark not defined 2.2.4.1 Khái niệm sniffer: Error! Bookmark not defined 2.2.4.2 Hoạt động sniffer: Error! Bookmark not defined 2.2.4.3 2.2.4.4 2.2.4.5 2.2.4.6 Mức độ nguy hại sniffer Error! Bookmark not defined Một số chương trình sniffer Error! Bookmark not defined Phát hệ thống bị sniffer: Error! Bookmark not defined Các biện pháp hạn chế sniffer Error! Bookmark not defined Chương 3: Các biện pháp bảo vệ mạng máy tính 55 3.1 Các biện pháp kiểm soát hệ thống Error! Bookmark not defined 3.1.1 Kiểm soát hệ thống qua logfile: Error! Bookmark not defined 3.1.1.1 Hệ thống Logfie Unix: Error! Bookmark not defined 3.1.1.2 Một số cơng cụ hữu ích hỗ trợ phân tích logfile: Error! Bookmark not defined 3.1.1.3 Các công cụ ghi log thường sử dụng Windows NT: Error! Bookmark not defined 3.2 Các biện pháp tạo kết nối an toàn Error! Bookmark not defined 3.2.1 Giới thiệu chung: Error! Bookmark not defined 3.2.2 Các hoạt động giao thức SSL dịch vụ Error! Bookmark not defined 3.2.3 SSL Handshake Error! Bookmark not defined iii 3.2.4 Quá trình kiểm tra tính xác thực Server mơ tả sau: Error! Bookmark not defined 3.2.5 Quá trình kiểm tra tính xác thực phía Client: Error! Bookmark not defined 3.3 Xây dựng hệ thống firewalls Error! Bookmark not defined 3.3.1 Giới thiệu chung: Error! Bookmark not defined 3.3.1.1 Định nghĩa: Error! Bookmark not defined 3.3.1.2 Chức firewalls: Error! Bookmark not defined 3.3.1.3 Phân loại: Error! Bookmark not defined 3.3.1.4 Nguyên tắc hoạt động firewalls: Error! Bookmark not defined 3.3.2 Kiến trúc chung firewall: Error! Bookmark not defined 3.3.2.1 Kiến trúc hệ thống có firewall: Error! Bookmark not defined 3.3.2.2 Các thành phần hệ thống firewalls: Error! Bookmark not defined 3.3.2.3 Các bước cần thiết xây dựng firewall Error! Bookmark not defined 3.3.3 Một số phần mềm firewalls thường sử dụng: Error! Bookmark not defined 3.4 Xây dựng sách bảo mật Error! Bookmark not defined Chương 4: Xây dựng mơ hình bảo mật hệ thống mạng máy tính………………… …94 4.1 Hiện trạng hệ thống mạng máy tính trường Đại học Quốc gia Hà nội…… 94 4.2 Những nhược điểm mạng thông tin Đại học Quốc gia Hà nội………….… 95 4.3 Quy hoạch lại hệ thống mạng Đại học quốc gia Hà nội…………………… … 96 4.3.1 Mục tiêu quy hoạch…………………………………………………………… 96 4.3.2 Kế hoạch thực quy hoạch lại hệ thống mạng máy tính ĐHQG HN… 96 4.3.3 Kết thực hiện……………………………………………………………… 97 Kết luận 140 Tài liệu tham khảo 141 iv Các hình Khóa Luận Hình - So sánh mơ hình mạng TCP/IP mơ hình OSI Error! Bookmark not defined Hình - Khuôn dạng segment TCP Error! Bookmark not defined Hình - Cấu trúc địa lớp A Error! Bookmark not defined Hình - Cấu trúc địa lớp B Error! Bookmark not defined Hình - Cấu trúc địa lớp C Error! Bookmark not defined Hình - Cơ chế hoạt động sâu Internet Error! Bookmark not defined Hình - Các hình thức công mạng Error! Bookmark not defined Hình - Các mức độ bảo vệ mạng Error! Bookmark not defined Hình - Phương thức mã hóa đối xứng Error! Bookmark not defined Hình 10 - Phương thức mã hóa phi đối xứng Error! Bookmark not defined Hình 11 - Mã hóa chiều Error! Bookmark not defined Hình 12 - Các loại lỗ hổng bảo mật mức độ ngưy hiểm Error! Bookmark not defined Hình 13 - Một phiên làm việc dịch vụ Web Error! Bookmark not defined Hình 14 - Hoạt động chương trình CGI Error! Bookmark not defined Hình 15 - Hoạt động chương trình bẻ khóa Error! Bookmark not defined Hình 16 - Các vị trí đặt sniffer segment mạng Error! Bookmark not defined Hình 17 - Ghi logs Windows 2000 Error! Bookmark not defined Hình 18 - Cơng cụ Event View Windows 2000 Error! Bookmark not defined Hình 19 - Chi tiết thông báo lỗi Windows 2000 Error! Bookmark not defined Hình 20 - Cấu hình dịchvụ ghi logs Windows 2000 Error! Bookmark not defined Hình 21 - Vị trị SSL mơ hình TCP/IP Error! Bookmark not defined Hình 22 - Quá trình kiểm tra xác thực phía Server Error! Bookmark not defined Hình 23 - Quá trình kiểm tra xác thực client Error! Bookmark not defined Hình 24 - Kiến trúc hệ thống mạng khơng có firewall Error! Bookmark not defined Hình 25 - Kiến trúc hệ thống cò firewall Error! Bookmark not defined Hình 26 - Các thành phần hệ thống firewalls Error! Bookmark not defined v Mở đầu Sự phát triển công nghệ thơng tin, cơng nghệ mạng máy tính đặc biệt mạng Internet ngày phát triển đa dạng phong phú Các dịch vụ mạng Internet xâm nhập vào hầu hết lĩnh vực đời sống xã hội Các thông tin trao đổi Internet đa dạng nội dung hình thức, có nhiều thơng tin cần bảo mật cao tính kinh tế, tính xác tin cậy Bên cạnh đó, dịch vụ mạng ngày có giá trị, u cầu phải đảm bảo tính ổn định an tồn cao Tuy nhiên, hình thức phá hoại mạng trở nên tinh vi phức tạp hơn, hệ thống, nhiệm vụ bảo mật đặt cho người quản trị quan trọng cần thiết Xuất phát từ thực tế nêu trên, giới xuất nhiều công nghệ liên quan đến bảo mật hệ thống mạng máy tính Việc nắm bắt công nghệ cần thiết cơng tác bảo mật hệ thống mạng Internet Việt Nam nói chung mạng nội khách hàng khơng nằm ngồi u cầu Chính vậy, Tơi lựa chọn đề tài để tìm hiểu, vấn đề mà tơi tìm hiểu nghiên cứu sau:  Các vấn đề chung hệ thống dịch vụ cung cấp mạng Internet  Các điểm yếu lỗ hổng bảo mật thường có số hệ thống cung cấp dịch vụ  Các phương thức công mạng phổ biến biến pháp phòng chống  Thiết lập sách bảo mật hệ thống Tôi biên soạn cấu trúc tài liệu làm bốn phần, gồm: Chương 1: Trình bày vấn đề chung mạng máy tính bảo mật hệ thống Chương 2: Trình bày vấn đề lỗ hổng bảo mật, điểm yếu hệ thống số dịch vụ cung cấp; Chương 3: Trình bày số giải pháp bảo mật hệ thống mạng như: tạo kết nối bảo mật, firewalls, xây dựng sách bảo mật Chương 4: Phần mô tả số thực hành làm khoá luận Bảo mật hệ thống vấn đề rộng Việt Nam, tơi nhận nhiệt tình hướng dẫn thầy Nguyễn Kim Giao, với góp ý quý báu anh chị làm việc cơng ty Điện tốn Truyền số liệu (VDC), nhiệt tình phần thực hành anh chị bạn đồng nghiệp Viện Công nghệ Thông tin - Đại học Quốc gia Hà Nội góp sức cho tơi hồn thành khóa luận Tơi tự nhận thấy kinh nghiệm kỹ thuật hạn chế, nội dung chắn sai sót, hy vọng đọc giả tham gia đóng góp nhiều ý kiến bổ sung để tơi hồn thiện kiến thức Chương 1: Các vấn đề chung mạng máy tính bảo mật hệ thống Căn mạng máy tính: 1.1 Khái niệm chung: 1.1.1 Các thành phần mạng máy tính: 1.1.1.1  Định nghĩa mạng máy tính: Mạng máy tính tập hợp máy tính nối với đường truyền vật lý theo kiến trúc Việc hình thành mạng máy tính cho phép nâng cao hiệu khai thác tài nguyên chung từ vị trí địa lý khác Hai thành phần mạng máy tính đường truyền vật lý kiến trúc mạng  Đường truyền vật lý: Đường truyền vật lý dùng để chuyển tín hiệu điện tử máy tính Các tín hiệu điện tử biểu thị giả trị liệu dạng xung nhị phân (on - off) Tất tín hiệu truyền máy tính thuộc dạng sóng điện từ (EM) đó, trải từ tần số radio tới sóng cực ngắn (viba) tia hồng ngoại Tuỳ theo tần số sóng điện từ dùng đường truyền vật lý khác để truyền tín hiệu  Kiến trúc mạng: Kiến trúc mạng thể cách nối máy tính với tập hợp qui tắc, qui ước mà tất thực thể tham gia truyền thông mạng phải tuân theo để đảm bảo cho mạng hoạt động tốt Các cách nối máy tính gọi hình trạng (topology) mạng Các tập hợp qui tắc, qui ước truyền thông gọi giao thức (protocol) mạng 1.1.1.2  Phân loại mạng máy tính: Phân loại theo khoảng cách địa lý: Phân loại theo khoảng cách địa lý cách phổ biến thông dụng nhât Theo cách phân loại ta có loại mạng sau:  Mạng cục bộ: Là mạng cài đặt phạm vi nhỏ (trong nhà, trường học ); khoảng cách tối đa máy tính vài km trở lại  Mạng đô thị: Là mạng cài đạt phạm vi đô thị trung tâm kinh tế - xã hội; khoảng cách tối đa máy tính khoảng vài chục km trở lại   Mạng diện rộng (WAN): Phạm vi mạng trải rộng phạm vi quốc gia, quốc gia toàn giới Mạng Internet ngày ví dụ điển hình mạng WAN Phân loại theo kiến trúc mạng sử dụng: Ngoài cách phân loại trên, người ta phân loại mạng theo kiến trúc mạng (topo mạng giao thức sử dụng) Theo cách phân loại này, có loại mạng như:  Mạng SNA IBM  Mạng ISO (theo kiến trúc chuẩn quốc tế)  Mạng TCP/IP Trong phạm vi tài liệu này, quan tâm đến vấn đề bảo mật mạng Internet hệ thống xây dựng dựa giao thức TCP/IP Vì vậy, phần sau tìm hiểu số khái niệm thường sử dụng mạng Internet giao thức TCP/IP 1.1.2 Mạng Internet giao thức TCP/IP 1.1.2.1 Mạng Internet: Thuật ngữ "Internet" xem "mạng mạng" hay liên kết mạng có tính tồn cầu Cơng nghệ Internet đời cho phép người sử dụng tồn cầu chia xẻ, trao đổi thơng tin với nhiều lĩnh vực Có thể nói dịch vụ mạng Internet có mặt hầu khắp lĩnh vực sống ngày  Lịch sử phát triển: Năm 1969, quan nghiên cứu phát triển tiên tiến thuộc Bộ quốc phòng Mỹ (Advanced Research Project Agency) xây dựng thành công mạng ARPANet, cho phép kết nối trung tâm máy tính tồn nước Mỹ, phục vụ mục đích quân Khởi đầu ARPANet sử dụng giao thức NCP (Network Control Protocol) Vào năm 1970, họ giao thức TCP/IP (Transmission Control Protocol/Internet Protocol) Vint Cerf (Đại học Stanford) Robert Kahn (BBN) phát triển, ban đầu tồn với NCP đến năm 1983 hồn tồn thay NCP mạng ARPANet Vào đầu năm 1980, mạng ARPANet tách làm hai phần: phần dân phục vụ mục đích nghiên cứu vần giữ tên ARPANet phần quân có tên mạng MILNET Tháng 11/1986, Uỷ ban khoa học quốc gia Mỹ NSF (National Science Foundation) thúc đẩy việc xây dựng mạng xương sống cho phép kết nối trung tâm máy tính lớn tồn liên bang Mỹ Năm 1987, mạng NSFNet đời với tốc độ đường truyền cao 1.5Mb/s cho phép nối trung tâm máy tính với Việc đời mạng xương sống NSFNet mạng vùng trở thành tiền thân mạng Internet ngày Một xa lộ thơng tin hình thành cho phép kết nối mạng trường đại học, viện nghiên cứu tham gia cộng đồng Internet Sau đó, quan phủ, tổ chức kinh doanh tham gia vào mạng Internet Về mặt địa lý Internet nhanh chóng vượt khỏi nước Mỹ trở thành mạng toàn cầu Đến nay, theo số liệu thống kê tập đồn liệu quốc tế IDG số lượng người sử dụng mạng Internet lên đến 150 triệu người TÀI LIỆU THAM KHẢO Tiếng Việt: Nguyễn Hồng Sơn (2002), “Giáo trình hệ thống mạng máy tính” Nguyễn Thúc Hải (1997), “Mạng máy tính hệ thống mở”, NXB Giáo dục Công ty Điện tốn Truyền số liệu (9-2000) Tài liệu khóa học “Bảo mật hệ thống mạng máy tính” Tiếng Anh: Jason Hiner (Otc 18, 2000), “Setting up a VPN with Windows 2000” Chris Brenton (1999 Synbex), “Mastering Network Sercurity” Cisco Systems (2004), “Cisco Networking Academy CCNA semester v3.0” Cisco Systems (2004), “Cisco Networking Academy CCNP semester v3.0” Cisco Systems (2004), “Cisco CCIE Security Student Guide v1.1” Modul 10 Page 783 Cisco Systems (2004), “CSVPN Student Guide v4.0 Cisco Secure Virtual Private Network” ... vấn đề chung mạng máy tính bảo mật hệ thống Căn mạng máy tính: 1.1 Khái niệm chung: 1.1.1 Các thành phần mạng máy tính: 1.1.1.1  Định nghĩa mạng máy tính: Mạng máy tính tập hợp máy tính nối với... chung mạng máy tính bảo mật hệ thống 1.1 Căn mạng máy tính: 1.1.1 Khái niệm chung: 1.1.1.1 Các thành phần mạng máy tính: 1.1.1.2 Phân loại mạng máy tính: 1.1.2 Mạng. .. “Giáo trình hệ thống mạng máy tính Nguyễn Thúc Hải (1997), Mạng máy tính hệ thống mở”, NXB Giáo dục Cơng ty Điện tốn Truyền số liệu (9-2000) Tài liệu khóa học “Bảo mật hệ thống mạng máy tính Tiếng