HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA CÔNG NGHỆ THÔNG TIN ĐỀ TÀI THỰC TẬP CƠ SỞ AN TOÀN VÀ BẢO MẬT CÁC GIAO THỨC MẠNG Ở CÁC TẦNG TRONG MƠ HÌNH TCP/IP Cán hướng dẫn : Phạm Văn Hưởng Sinh viên thực hiện: - Nguyễn Văn Hai - Bùi Thị Vy - Ngụy Ánh Sáng Lớp : L01 Hà Nội 2016 HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA CÔNG NGHỆ THÔNG TIN ĐỀ TÀI THỰC TẬP CƠ SỞ AN TOÀN VÀ BẢO MẬT CÁC GIAO THỨC MẠNG Ở CÁC TẦNG TRONG MƠ HÌNH TCP/IP Nhận xét cán hướng dẫn:…………………………………………………………….… ……………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… Điểm chuyên cần:……………………………………………………………………………… Điểm báo cáo:………………………………………………………………………………… Xác nhận cán hướng dẫn MỤC LỤC Bảng danh mục từ viết tắt ……………………………………………………………… Danh mục hình vẽ .7 LỜI NÓI ĐẦU …………………………………………………………………………………8 Chương 1: TỔNG QUAN …………………………………………………………………… 1.1 Mơ hình TCP/IP ……………………………………………………………………… 1.2 Các đặc tính TCP/IP ……………………………………………………………… 1.3 Tầm quan trọng vấn đề an toàn bảo mật mơ hình TCP/IP …………………… Chương 2: AN TỒN VÀ BẢO MẬT CÁC GIAO THỨC MẠNG Ở CÁC TẦNG TRONG MƠ HÌNH TCP/IP …………………………………………………………………………… 10 2.1 An tồn bảo mật giao thức mạng tầng ứng dụng (application layer) …… 10 2.1.1 Tầng ứng dụng (application layer) giao thức hoạt động tầng ứng dụng …………………………………………………………………………… 12 Giao thức truyền tập tin FTP (File Transfer Protocol) ………………………… 13 Giao thức truyền tải siêu văn HTTP (Hypertext Transfer Protocol) …… 14 Giao thức truyền tải thư tín đơn giản SMTP (Simple Mail Transfer Protocol) 15 Giao thức truyền tệp nhỏ TFTP (Trivial File Transfer Protocol)……………… 16 Giao thức telnet (TerminaL NETwork)………………………………………… 17 Các kiểu công giao thức tầng ứng dụng …………………………………… 18 2.1.7.1 Tấn công dịch vụ DNS………………………………………………… 19 2.1.7.2 Tấn công dịch vụ DHCP……………………………………………… 2.1.8 Các phương pháp phòng tránh………………………………………………… An toàn bảo mật giao thức mạng tầng giao vận (transport layer)……… 2.2.1 Tầng giao vận giao thức hoạt động tầng giao vận……………… 2.2.2 Giao thức điều khiển truyền vận TCP(Transmission Control Protocol)……… 2.2.3 Giao thức UDP(User Datagram Protocol)……………………………………… 2.2.4 Các kiểu công giao thức TCP……………………………………………… 2.2.4.1 Nguy ATBM với TCP (Tính sẵn sàng)…………………………… 2.2.4.2 Tấn công can thiệp vào kết nối TCP………………………………… 2.2.4.3 RST Injection………………………………………………………… 2.2.4.4 Data Injection………………………………………………………… 2.2.4.5 Tấn công kết nối TCP trường hợp thông tin kết nối …………………………………………………………………………… 2.2.4.6 Tấn công giả mạo kết nối TCP……………………………………… 2.2.5 Các phương pháp phòng tránh……………………………………………… An toàn bảo mật giao thức mạng tầng internet (internet layer)……… 2.3.1 Giao thức liên mạng IP (Internet Protocol)………………………………… 2.1.2 2.1.3 2.1.4 2.1.5 2.1.6 2.1.7 2.2 2.3 2.4 2.3.2 Giao thức thông điệp điều khiển ICMP (Internetwork Control Message Protocol) ………………………………………………………………………………… 2.3.3 Giao thức ARP (Address Resolution Protocol)……………………………… 2.3.4 Giao thức RARP (Reverse Address Resolution Protocol)…………………… 2.3.5 Các kiểu công giao thức tầng mạng…………………………………… 2.3.5.1 Giao thức IP ICMP………………………………………………… 2.3.5.2 Phân mảnh gói tin IP………………………………………………… 2.3.5.3 Nguy công vào giao thức IP (Tính sẵn sàng)………………… 2.3.5.4 Nguy cơng vào giao thức ICMP (Tính sẵn sàng)……………… 2.3.5.5 Tấn cơng giao thức định tuyến…………………………………… 2.3.5.6 Tấn công vào giao thức BGP………………………………………… 2.3.6 Các phương pháp phòng tránh ……………………………………………… Tầng truy nhập mạng (network access layer)…………………………………… 2.4.1 Lớp truy nhập mạng công nghệ đặc biệt dùng mạng……… 2.4.2 Ethernet……………………………………………………………………… 2.4.3 Token ring…………………………………………………………………… 2.4.4 Token bus…………………………………………………………………… 2.4.5 Các kiểu công giao thức tầng truy nhập mạng……………………… 2.4.5.1 Các nguy công………………………………………………… 2.4.5.2 Tấn công VLAN……………………………………………… 2.4.5.3 Tấn công: VLAN hopping…………………………………………… 2.4.5.4 Tấn công VLAN: DTP VTP……………………………………… 2.4.5.5 Tấn công giao thức STP…………………………………………… 2.4.5.6 Tấn công chế tự học MAC (chuyển mạch)……………………… 2.4.5.7 Tấn cơng giao thức ARP…………………………………………… 2.4.6 Các phương pháp phòng tránh ……………………………………………… Chương 3: TRIỂN KHAI HỆ THỐNG IPSEC/VPN TRÊN WINSERVER 2008…… 3.1 Chuần bị hệ thống……………………………………………………………………… 3.2 Triển khai hệ thống…………………………………………………………………… 3.3 Kết thử nghiệm đánh giá……………………………………………………… KẾT LUẬN………………………………………………………………………………… TÀI LIỆU THAM KHẢO ………………………………………………………………… Bảng danh mục từ viết tắt ARP( Address Resolution Protocol ) : Giao thức chuyển đổi từ địa IP sang địa vật lý BGP(Border Gateway Protocol): Giao thức định tuyến đa miền sử dụng DHCP(Dynamic Host Configuration Protocol): Giao thức cấu hình động máy chủ DNS(Domain Name Service): Dịch vụ tên miền DOS(Denied of Service) : Tấn công từ chối dịch vụ DTP(Dynamic Trunking Protocol):( Giao thức dùng để đàm phán trunk mode Switch) FTP(File Transfer Protocol) : Giao thức truyền file HTTP(Hyper Text Transfer Protocol) : Giao thức truyền siêu văn ICMP(Internet Control Message Protocol): Giao thức điều khiển thông điệp Internet IEEE(Institute of Electrical and Electronics Engineers):Tổ chức Quốc tế Kỹ sư điện Điện tử IP(Internet Protocol) : Giao thức Internet LAN(Local Area Network) : Mạng nội LSA( Link-State Advertisements):Cơ chế quảng bá thông tin MAC(Media Access Control) : Địa thiết bị MITM(Man In The Middle) OSPF(Open Shostest Path First): Giao thức định tuyến theo liên kết trạng thái triển khai dựa theo chuẩn mở RARP(Reverse Address Resolution Protocol ): Giao thức chuyển đổi từ địa vật lý sang địa IP RIP( Routing Information Protocol ) : Một kiểu giao thức dẫn đường SMTP(Simple Mail Transfer Protocol): Giao thức truyền thư tín đơn giản SSL(Secure Socket Layer) : Tầng socket an toàn STP(Spanning Tree Protocol): giao thức ngăn chặn lặp vòng TCP(Transmission Control Protocol) : Giao thức điều khiển truyền tin TELNET(Terminal Network): mạng thiết bị đầu cuối TFTP(Trivial File Transfer Protocol): Giao thức truyền tệp nhỏ NAT(Network Address Translation): Trình biên dịch địa mạng UDP(User Datagram Protocol) : Giao thức điều khiển truyền tin khơng tin cậy LỜI NĨI ĐẦU Trong năm gần đây, việc tổ chức khai thác mạng Internet phát triển Mạng Internet cho phép máy tính trao đổi thơng tin cách nhanh chóng, thuận tiện Mọi đối tượng sử dụng dịch vụ tiện ích Internet cách dễ dàng trao đổi thông tin, tham khảo thư viện tri thức đồ sộ nhân loại…Tại thời điểm lợi ích Internet q rõ ràng phủ nhận Nhưng điều không may kèm với nguy an tồn thơng tin Internet vấn đề hàng đầu cản trở phát triển Internet Bảo đảm an tồn an ninh khơng nhu cầu riêng nhà cung cấp dịch vụ mà nhu cầu đáng người sử dụng Các thông tin nhạy cảm quốc phòng, thương mại vơ giá khơng thể để lọt vào tay đối thủ cạnh tranh Tại Việt Nam, Internet trở lên phổ biến năm gần vấn đề an toàn an ninh mạng không ngoại lệ Mặc dù thực chưa có tổn thất lớn kinh tế tiềm ẩn nhiều nguy an tồn Các cơng vào hệ thống nhà cung cấp dịch vụ, xoá bỏ liệu… ngày tăng Vấn đề bảo vệ mạng, xác bảo vệ thông tin lưu trữ di chuyển mạng, để chống lại người xâm phạm kẻ phá hoại (gọi chung hacker), kể hệ thống mạng, người quản trị mạng đặt lên hàng đầu công tác quản trị mạng Hacker không công vào mạng TCP/IP, mối đe doạ tiềm ẩn mạng lớn, TCP/IP giao thức mở nên hacker tìm thấy lỗ hổng cách dễ dàng cách thử nhiều kiểu công khác Trên sở đó, nhóm em chọn đề tài: “An tồn bảo mật giao thức mạng mơ hình TCP/IP” Mục tiêu đề tài gồm: Tìm hiểu chung mơ hình TCP/IP An tồn bảo mật giao thức tầng mơ hình TCP/IP Triển khai hệ thống IPSEC/VPN WinServer 2008 Bố cục đề tài gồm chương: • Chương 1: Tổng quan Trình bày khái qt mơ hình TCP/IP, đặc tính mơ hình vấn đề an tồn bảo mật mơ hình TCP/IP • Chương 2: An toàn bảo mật giao thức mạng tầng mơ hình TCP/IP Trình bày khái niệm giao thức tầng, khả bị cơng phương pháp phòng tránh cho giao thức • Chương 3: Triển khai hệ thống IPSEC/VPN WinServer 2008 Thực xây dựng hệ thống IPSEC/VPN Hệ điều hành WinServer 2008 CHƯƠNG I : TỔNG QUAN 1.1 Mơ hình TCP/IP - Bộ giao thức TCP/IP đƣợc phân làm tầng + Tầng ứng dụng (Application Layer) + Tầng giao vận (Transport Layer) + Tầng Internet (Internet Layer) + Tầng truy cập mạng (Network access Layer) Hình : Mơ hình TCP/IP • Tầng ứng dụng (Application Layer) : + Cung cấp dịch vụ cho người dùng + Gồm tiến trình: client server + Sử dụng dịch vụ tầng giao vận để trao đổi liệu tiến trình + Giao thức tầng ứng dụng: DNS, DHCP, HTTP, SMTP, POP, IMAP • Tầng giao vận (Transport Layer) : + Điều khiển trình truyền liệu tiến trình + Dồn kênh/Phân kênh: số hiệu cổng dịch vụ + TCP: hướng liên kết, tin cậy, truyền theo dòng byte + UDP: hướng không liên kết, truyền theo tin (datagram) • Tầng Internet (Internet Layer) : Kết nối liên mạng (Internetworking): + Đóng gói, phân mảnh liệu + Định danh: địa IP + Định tuyến • Tầng truy cập mạng (Network access Layer) : + Điều khiển truyền liệu trêntừng liên kết vật lý: đóng gói, đồng bộ, phát sửa lỗi + Chuyển mạch liệu liên kết vật lý + Điều khiển truy cập đường truyền + Hỗ trợ truyền thông quảng bá VLAN + Mã hóa bit thành tín hiệu + Điều chế tín hiệu truyền tín hiệu liên kết vật lý 1.2 Các đặc tính TCP/IP Sự phổ dụng giao thức TCP/IP Internet khơng phải giao thức có Internet hay quan quân bắt buộc phải sử dụng chúng Các giao thức đáp ứng đòi hỏi truyền giữ liệu tồn cầu vào thời gian cần thiết, chúng có số đặc tính quan trọng sau : • Bộ giao thức TCP/IP không bị ràng buộc vào phần cứng hay hệ điều hành TCP/IP cách lý tưởng để liên kết phần cứng phần mềm khác bạn sử dụng chúng để giao tiếp khơng qua Internet • Bộ giao thức TCP/IP độc lập với phần cứng mạng máy tính Đăch tính cho phép TCP/IP tích hợp kiểu mạng máy tính khác Bộ giao thức TCP/IP sử dụng Ethernet, token ring, dial-up line, mạng vật lý truyền thơng khác • Bộ giao thức TCP/IP có chế độ đánh địa chung cho máy sử dụng TCP/IP giao tiếp với máy có địa tồn mạng , mạng máy tính lớn mạng tồn cầu • Bộ giao thức TCP/IP chuẩn hóa giao thức tầng hướng đến ổn định, dễ sử dụng cho dịch vụ mạng 1.3 Tầm quan trọng vấn đề an toàn bảo mật mơ hình TCP/IP Vấn đề bảo mật hay xác vấn đề bảo vệ thơng tin lưu trữ truyền mạng, để chống lại người xâm phạm hay kẻ phá hoại ( gọi chung hacker ) Kể mạng người quản trị đặt lên hàng đầu công tác quản trị mạng Hacker không công vào mạng TCP/IP, mối đe dọa tiềm ẩn với mạng lớn, TCP/IP giao thức mở nên hacker tìm thấy lỗ hổng cách dễ dàng cách thử nhiều kiểu cơng khác • - Mục tiêu Hacker : Hacker thường nhắm đến trước thực công mạng TCP/IP là: + Phải đạt “Sự mạo danh (Impersonation)”: Để thực truy cập không phép đến tài nguyên mạng + Phải làm cho mục tiêu bị công rơi vào tình trạng “ Từ chối dịch vụ(gọi công Dos: DenialofService)”: Để làm cho tài nguyên máy chủ mạng(như :Web server,…) trở nên khơng có tác dụng + Phải thực việc “Phát lại thông điệp (Replay of messages)”: Để truy cập /nhận thơng tin thay đổi nó, thơng tin di chuyển đường + Phải đoán mật (Guessing of key): Để từ truy cập đến thơng tin/dịch vụ mà bị từ chối (gọi công từ điển: dictionary attack) + Phải đốn khóa (Guessing of key): Để truy cập đến mật liệu mã hóa (gọi cơng “thơ bạo”: brute-force attack) • Chính sách an tồn cho mạng TCP/IP - Người quản trị an toàn hệ thống mạng, mạng TCP/IP, phải thực kết hợp sách bảo mật sau để bảo vệ mạng liệu truyền mạng họ, bảo vệ mạng không giới hạn LAN/WAN mà mạng nội internet + Thực mã hóa thơng tin trước truyền/gửi mạng: Để bảo vệ liệu mật + Thực chế xác thực sử dụng chữ ký điện tử thẻ xác thực: Để kiểm tra la người gửi (nguồn gốc) liệu mạng + Sử dụng khóa “mạnh”; Ngăn ngừa tượng giả khóa tương lai, …: Để bảo vệ mạng chống lại công theo cách bẻ khóa: cơng “từ điển”, cơng “thơ bạo” + Thực chế cho phép/cấp phép (authorization): Để ngăn chặn truy nhập khơng thích hợp/ khơng hợp lệ + Kiểm tra tính tồn vẹn liệu mã xác thực thông điệp: Để chống lại thay đổi/ sửa đổi thơng điệp + Thực quy trình cơng nhận: Để đảm bảo hành động bị phủ nhận/ từ chối người thực + Thực sách mật lần số bắt tay ngẫu nhiên hai chiều: Để cho phép cặp truyền thông xác thực lẫn + Thực sách cập nhật làm tươi khóa thường xuyên + Thực sách che giấu/che đậy địa - sử dụng kỹ thuật NAT/PAT: Để bảo vệ mạng chống lại công theo kiểu từ chối dịch vụ(Dos) - Vì giao thức TCP/IP khơng thiết kế gắn liền với bảo mật, nên nhiều hệ thống bảo mật khác phát triển cho ứng dụng lưu lượng chạy Intranet/Internet Các phần mềm có nhiệm vụ chuẩn bị liệu cho việc truyền mạng, có ý đến khả xác thực mã hóa Trong mạng TCP/IP , ứng dụng nói xây dụng lớp: Ứng dụng; Giao vận/Mạng; Vật lý/Liên kết liệu • Đối phó với kiểu cơng Hacker + Để ngăn chặn việc đọc thông điệp truyền mạng: Thơng điệp phải mã hóa trước truyền giải mã bên nhận Trong trường hợp bên gửi bên nhận phải chia sẻ khóa bị mật để phục vụ cho việc mã hóa giải mã thơng điệp Với giải pháp , khóa phải truyền đi/phân bố mạng, nên vấn đề dặt làm để phân bố khóa cách an tồn , sử dụng kỹ thuật mã hóa khác nhau: Mã hóa khoa bị mật mã hóa khóa cơng khai + Khơng thể sử dụng khóa khoảng thời gian dài để ngăn chặn việc đốn khóa (có thể đốn khóa tương lai biết khóa tại) hacker Để đối phó , phải “làm tươi khóa” thường xun khơng sử dung sách “dựa vào khóa cũ để tính khóa mới”,điều đảm bảo khóa truyền đi/phân phối cách an tồn (bí mật) 10 BGP giao thức Internet lâu đời quan sử dụng để định tuyến Internet trao đổi thong tin thay đổi sơ đồ mạng Internet BGP cung giao thức tảng bên dễ bị công xây dựng thời điểm khái niệm Internet ngang hàng đời vốn dựa tin cậy thiết bị đầu cuối chủ yếu Khi làm việc , thơng tin định tuyến Internet bị ngộ độc với thơng tin định tuyến khơng có thật (do Hacker cố tình tạo ra), hay gọi BGP giả mạo Điều xảy trước Thảm họa gây từ giao thức thường dễ phát khác phục thời gian ngắn, nhiên nhiêu đủ để kẻ công (Hacker) gây thiệt hại khủng khiếp tệ vấn đề lai chưa thể khắc phục hoàn toàn 2.3.6 Các phương pháp phòng tránh - Khi bạn phát máy chủ bị cơng nhanh chóng truy tìm địa IP cấm - khơng cho gửi liệu đến máy chủ Dùng tính lọc liệu router/firewall để loại bỏ packet không mong muốn, giảm - lượng lưu thông mạng tải máy chủ Sử dụng tính cho phép đặt rate limit router/firewall để hạn chế số lượng packet vào hệ thống 32 - Nếu bị công lỗi phần mềm hay thiết bị nhanh chóng cập nhật sửa lỗi - cho hệ thống thay Dùng số chế, công cụ, phần mềm để chống lại TCP SYN Flooding Tắt dịch vụ khác có máy chủ để giảm tải đáp ứng tốt Nếu nâng cấp thiết bị phần cứng để nâng cao khả đáp ứng hệ thống hay sử dụng thêm máy chủ tính khác để phân chia tải - Tạm thời chuyển máy chủ sang địa khác 2.4 Tầng truy nhập mạng (network access layer) 2.4.1 Lớp truy nhập mạng công nghệ đặc biệt dùng mạng - Tầng truy cập Mạng có trách nhiệm đưa liệu tới nhận liệu từ phương tiện truyền - dẫn Tầng gồm thiết bị phần cứng vật lí chẳng hạn Card Mạng Cáp Mạng Card Mạng chẳng hạn card Ethernet chứa số HEX 12 kí tự (00-18-37-03-C0-F4) gọi Địa Chỉ MAC (Media Access Control) hay Địa Chỉ Truy Nhập Phương Tiện MAC đóng - 2.4.2 vai trò quan trọng việc gán địa truyền liệu số giao thức tiêu biểu thuộc tầng gồm : + ATM (Asynchronous Transfer Mode) + Ethernet + Token Ring + FDDI (Fiber Distributed Data Interface) + Frame Relay Ethernet Là phương pháp truy cập mạng máy tính cục (LAN) sử dụng phố biến Ethernet hình thành định nghĩa chuẩn 802.3 IEEE (Institute of Electrical and Electronics Engineers - Tổ chức Quốc tế Kỹ sư điện Điện tử) tổ chức có uy tín, chun thiết lập chuẩn cho máy tính mạng truyền thơng Ngày nay, mạng Ethernet trở nên thịnh hành nói đến "kết nối mạng LAN" "card mạng" người ta nghĩ đến mạng Ethernet Về bản, Ethernet mơi trường mạng LAN có mơi trường truyền thơng chia sẻ (shared media LAN) Tất trạm mạng (network station) chia tổng băng thông mạng (LAN bandwidth) Băng thơng 10Mbps (megibit per second = megabit/giây), 100Mbps 1000Mbps Ngày nay, người ta dùng khái niệm Switched Ethernet (Mạng Ethernet chuyển mạch) để nói cơng nghệ mạng LAN Ethernet sử dụng Switch thay cho Hub Với Switched Ethernet, cặp máy tính Truyền Nhận có đường truyền riêng với băng thông đầy đủ (full bandwidth) Mạng Ethernet sử dụng cáp đồng trục (coaxial cable), cáp xoắn đôi (twisted-pair cable), cáp quang (Optical Fiber) vô tuyến (wireless) Mạng Ethernet sử dụng cấu trúc Tuyến tính (bus) hình (star) 2.4.3 Token ring Ngồi Ethernet LAN , cơng nghệ LAN chủ yếu khác dùng Token Ring Nguyên tắc mạng Token Ring định nghĩa tiêu chuẩn IEEE 802.5 Mạng Token Ring chạy tốc độ 4Mbps 16Mbps Phương pháp truy cập dùng mạng 33 Token Ring gọi Token passing Token passing phương pháp truy nhập xác định, xung đột ngǎn ngừa cách thời điểm trạm truyền tín hiệu Điều thực việc truyền bó tín hiệu đặc biệt gọi Token (mã thơng báo) xoay vòng từ trạm qua trạm khác Một trạm gửi bó liệu nhận mã khơng bận Hoạt động Token ring - Token ring bao gồm số lượng repeater, repeater kết nối với repeater khác theo chiều truyền liệu tạo thành vòng khép kín - Để ring hoạt động cần phải có chức là: chức đưa liệu vào ring, lấy liệu từ ring gỡ bỏ gói tin, chức thực repeater - Trong ring liệu đóng gói thành frame có trường địa đích gói tin qua repeatert trường địa copy xuống so sánh với đại trạm, giống phần lại frame copy gói tin tiếp tục gởi - Việc gỡ bỏ gói tin ring phức tạp so với dạng bus Để gỡ bỏ gói tin ta có hai cách để lựa chọn + Cách thứ sử dụng repeater chuyên làm nhiệm vụ gỡ bỏ gói tin xác định rõ địa + Cách thứ hai gói tin gỡ bỏ bàng trạm gởi gói tin Thơng thường thường dùng cách thứ hai có hai ưu điểm tạo chế trả lời tự động hai truyền gói tin đến nhiều trạm đích 2.4.4 Token bus Phương pháp truy nhập có điểu khiển dùng kỹ thuật “chuyển thẻ bài” để cấp phát quyền truy nhập đường truyền Thẻ (Token) đơn vị liệu đặc biệt, có kích thước có chứa thông tin điều khiển khuôn dạng Nguyên lý: Để cấp phát quyền truy nhập đường truyền cho trạm có nhu cầu truyền liệu,một thẻ lưu chuyển vòng logic thiết lập trạm Khi trạm nhận thẻ có quyền sử dụng đường truyền thời gian định trước Trong thời gian truyền nhiều đơn vị liệu Khi hết liệu hay hết thời đoạn cho phép, trạm phải chuyển thẻ đến trạm vòng logic Như cơng việc phải làm thiết lập vòng logic (hay gọi vòng ảo) bao gồm trạm có nhu cầu truyền liệu xác định vị trí theo chuỗi thứ tự mà trạm cuối chuỗi tiếp liền sau trạm Mỗi trạm biết địa trạm kề trước sau Thứ tự trạm vòng logic độc lập với thứ tự vật lý Các trạm khơng chưa có nhu cầu truyền liệu khơng đưa vào vòng logic chúng tiếp nhận liệu 2.4.5 Các kiểu công giao thức tầng truy nhập mạng 2.4.5.1 Các nguy cơng • Nghe lén: Với mạng quảng bá ( Wifi, mạng hình trục, mạng dùng hub): dễ dàng chặn bắt gói tin - Với mạng điểm – điểm: + Đoạt quyền điều khiển nút mạng 34 - + Chèn nút mạng trái phép vào hệ thống Giả mạo thông tin: công giao thức VLAN , chế tự học MAC Phá hoại liên kết: chèn tín hiệu giả, tín hiệu nhiễu hay thơng điệp lỗi… Thông thường việc công tiến hành bên hệ thống mạng 2.4.5.2.Tấn công VLAN Có hình thức phổ biến cơng VLAN hopping Tấn công VLAN: DTP,VTP 2.4.5.3.Tấn công VLAN hopping: + Mục đích: Truy cập vào VLAN khác từ Native VLAN + Lỗ hổng: Các liệu chuyển Native VLAN không cần gắn tag + Gồm công VLAN Hopping cơng VLAN hopping đóng gói kép + Tấn cơng VLAN hopping bản: Vụ công xảy kẻ công đánh lừa switch để switch nghĩ switch muốn kết nối trung kế Kỹ thuật đòi hỏi thiết lập "trunking-favorable", kiểu thiết lập Auto , cơng thành cơng Bây giờ, kẻ công trở thành thành viên nhiều VLAN kết nối đến switch gửi nhận lưu lượng VLAN Cách tốt để ngǎn chặn kiểu công VLAN hopping tắt kết nối tất cổng ngoại trừ cổng cần thiết + Tấn công VLAN hopping đóng gói kép: Kiểu cơng lợi dụng cách mà phần cứng phần lớn switch hoạt động Hiện nay, phần lớn switch thực đóng gói IEEE 802.1Q mức Điều cho phép kẻ cơng, tính cụ thể, có khả nǎng gắn đuôi 802.1Q (gọi 1Q tag) vào khung Khung vào VLAN với đuôi 1Q đầu không xác định Một đặc điểm quan trọng kiểu cơng VLAN hopping đóng gói kép tiến hành với cổng trung kế thiết lập chế độ Off Ngǎn chặn công kiểu không dễ việc ngǎn chặn công kiểu VLAN hopping Biện pháp tốt để đảm bảo VLAN cổng trung kế phân biệt rạch ròi với VLAN cổng người dùng 2.4.5.4.Tấn công VLAN: DTP VTP + Giả mạo DTP: Kiểu công dựa vào giao thức DTP( Giao thức dùng để đàm phán trunk mode Switch) Kẻ cơng gửi tin DTP giả mạo khiến liên kết máy trạm switch trở thành liên kết trunk Nói cách khác, máy trạm kẻ công trở thành thành viên tất VLAN Tuy nhiên, kiểu cơng đòi hỏi NIC máy trạm phải có khả trunking Kết kẻ cơng lấy thơng tin nhiều mạng VLAN khác + Cách phòng chống: loại bỏ bẳng cách disable DTP post switch câu lệnh: Switch(config-if)#switchport nonegotiate + Giả mạo VTP: kẻ cơng gửi tin VTP giả mạo với số revision number lớn để đảm bảo switch khác phải cập nhật lại cấu hình VLAN Hậu 35 kiểu công đặc biệt nghiêm trọng cấu hình VLAN VTP domain bị xóa trắng hồn tồn + Cách phòng chống giả mạo VTP: u cầu cổng máy kẻ cơng phải có khả hỗ trợ trunking để đàm phán liên kết trunk với switch; trường hợp cần cấu hình cổng switch chế độ khơng đàm phán trunking: Switch(config-if)#switchport mode access Switch(config-if)#switchport nonegotiate Bên cạnh đó, kẻ cơng muốn thực thành cơng cần biết VTP domain name VTP password switch Do switch cần cấu hình thêm VTP password: Switch(vlan-data)#vtp password password 2.4.5.5 Tấn cơng giao thức STP • Spanning Tree Protocol: khử loop mạng kết nối Switch có vòng kín • Một switch có giá trị priority nhỏ đóng vai trò gốc • Các switch lại tạm ngắt cổng xa nút gốc • Tấn cơng vào STP: Đoạt quyền Root Switch để lấy cắp thông tin, thực nhiều • cách: DoS: Black-hole Attack, flooding attack Chèn liệu giả mạo vào luồng trao đổi thông tin Tấn công MITM ( man-in-the-middle) Cách phòng chống: sử dụng STP root guard/BPDU guard: loại bỏ công theo kiểu spanning-tree cách tắt tất cổng gây thay đổi cấu trúc mạng lớp 2.4.5.6 Tấn công chế tự học MAC (chuyển mạch) • Tấn cơng MAC flooding: gửi hàng loạt gói tin với địa MAC nguồn giả khiến bảng • MAC bị tràn, làm gói tin thực bắt buộc phải chuyển kiểu quảng bá Một công kiểu trông giống lưu lượng từ hàng ngàn máy tính chuyển đến cổng, thực tế đển từ máy giả mạo địa MAC hàng ngàn host giả mạo Macof, công cụ thông dụng để thực công kiểu này, tạo 155.000 tuyến kết nối giả (gọi MAC entry) đến cổng switch phút Switch nhìn thấy lưu lượng nghĩ địa MAC từ gói mà kẻ cơng gửi cổng hợp lệ thêm dẫn kết nối (entry) vào bảng CAM Mục tiêu làm tràn switch thực cách điền đầy bảng CAM với dẫn kết nối sai Khi bị làm tràn, switch phát quảng bá lưu lượng VLAN mà không cần dẫn từ bảng CAM cho phép kẻ cơng nhìn thấy lưu ưlợng mà bình thường khơng thể nhìn thấy • Làm tràn swtich dễ, với switch có bảng CAM lớn cấu hình mạnh Cách phòng chống: Phương pháp sơ đẳng cấu hình an ninh cho cổng switch Việc cho phép nhân viên quản trị xác định số lượng PC phép kết nối đến cổng switch Nếu số lượng PC vượt quy định, cổng bị tắt chặn địa MAC vượt giới hạn xác định trước Do phải trì việc dò theo dấu vết địa 36 MAC lạ, hiệu nǎng hệ thống bị ảnh hưởng Vì thể, giải pháp thực tế tắt cổng vượt q giới hạn 2.4.5.7 Tấn cơng giao thức ARP ARP giao thức thực việc tìm địa MAC máy mạng biết địa IP - ARP poisoning ARP poisoning phương pháp công hệ thống ARP, đầu độc hệ thống ARP làm cho thơng tin ARP table xác ARP có điểm yếu khơng có chế xác thực Như biết để xây dựng ARP table, máy tính gửi ARP request, sau nhận lại ARP reply Hệ thống hồn tồn khơng có chế xác minh xem thơng tin ARP reply thật hay giả, thơng tin lưu lại vào ARP table để sử dụng Lợi dụng điểm yếu người công thực đầu độc hệ thống ARP, sau cơng hệ thống mạng theo số phương pháp như: man in the middle, denial of services, MAC flooding…v.v Hình 17: cơng ARP theo kiểu man in the middle Hình minh họa công ARP kiểu man in the middle Người công ngồi máy C, muốn theo dõi nội dung trao đổi hai máy A B 37 Để lấy thông tin trao đổi A B, máy C thực công ARP poisoning theo kiểu man in the middle hai máy A, B Bằng cách: - Máy C gửi gói ARP reply tới máy A Nội dung ARP reply gồm địa IP máy B MAC máy C (192.168.1.4 : AA-BB-CC-DD-00-22) Máy A nhận cập nhật vào ARP table - Máy C gửi tiếp gói ARP reply khác tới máy B Nội dung ARP reply gồm địa IP máy A MAC máy C (192.168.1.3 : AA-BB-CC-DD-00-22) Máy B nhận cập nhật vào ARP table - Máy C thực chuyển tiếp (forwarding) gói tin trao đổi máy A máy B Điều giúp hai máy A B thực trao đổi liệu bình thường mà khơng biết có người thứ ba theo dõi nội dung trao đổi 2.4.6 Các phương pháp phòng tránh Tại tầng mạng, việc chọn sử dụng mạch ảo hay datagram tác động đến tắc nghẽn nhiều giải thuật điều khiển tắc nghẽn chạy mạch ảo Giải pháp “lập hàng đợi cho gói tin phục vụ chúng” liên quan đến việc router có hàng đợi cho ngõ vào, hàng đợi cho ngõ hay hai Nó liên quan đến trình tự xử lý gói tin hàng đợi ( round-robin hay dựa ưu tiên) Chính sách hủy bỏ gói tin gói tin cần bị hủy bỏ khơng khơng gian chứa Một sách tốt giúp làm giảm tắc nghẽn, ngược lại làm tắc nghẽn trầm trọng thêm Một giải thuật vạch đường tốt giúp tránh tắc nghẽn cách trải giao thông tất đường nối, giải thuật tồi đơn giản gởi nhiều thông tin lên đường tải tải Cuối cùng, việc quản lý thời gian sống gói tin phải đưa định gói tin sống hàng đợi trước bị hủy bỏ Thời gian sống q dài làm trì trệ cơng việc lâu Nhưng thời gian sống ngắn, gói tin bị mãn kỳ (timed-out) trước chúng đến đích, dẫn đến việc tái truyền 38 Chương 3: TRIỂN KHAI HỆ THỐNG IPSEC/VPN TRÊN WINSERVER 2008 3.1 Mơ hình hệ thống Mơ hình IPSec - Domain Controller (DC) sử dụng hệ điều hành windhows server 2008 với Domain name kma.test - client sử dụng hệ điều hành windows 64bit 3.1.1 Nâng cấp Domain Controller - Start -> Run -> dcpromo + enter 3.1.2 Cấu hình Địa IP cho DC Client - Máy Client có địa IP 192.168.1.3 - Máy client có địa IP 192.168.1.4 39 - Domain controller có IP 192.168.1.2 3.1.3 Client join Domain kma.test - Sau cấu hình ip tĩnh thực ping thông máy client với domain controller -Vào máy client thực join vào domain kma.test: + B1 : + B2 : 40 +B3 : 3.2 Triển khai sách bảo mật IPSec - Trên DC : + Start -> Administrative Tools -> Group Policy Management 41 + Click chuột phải vào kma.test -> Create a GPO in this domain -> đặt tên domain “Bao Mat Ket Noi IPsec” + Click chuột phải vào GPO “Bao Mat Ket Noi IPSec” ->Edit + Ở cửa sổ thực theo đường dẫn sau : Computer configuration ->Policies -> Windows setting -> Sercurity Settings -> IP Serurity Policies on Active Directoty (KMA.TEST) + Click chuột phải + Ở có cách để thực sách bảo mật : tạo sách bảo mật Create IP Sercurity Policy , thêm sách vào Ipsec có sẵn Chúng ta thực cách 42 + Click chọn Create IP Sercutity Policy -> Next -> Đặt tên “Bao Mat May” -> Next - > Next -> Tích chọn Edit -> Finish + Add -> Next -> Chọn this rule does not specify a tunnel -> Next + Chọn Local area network (LAN) muốn thực bảo mật máy mạng nội bộ> Next 43 + Chúng ta cần thêm sách bảo mật hay gọi Filter -> Chọn Add ->Đặt tên “Bao Mat 4” -> Add-> Next->Next + Tiếp đến điền địa nguồn địa đích 192.168.1.3 192.168.1.4 -> Next 44 + Cuối sau xong ta chọn filter “Bao Mat 4” -> Next-> Requeri sercurity -> Next -> Next -> Finish + Bước cuối để áp dụng sách bảo mật KMA.TEST ta thực Assign Vậy sách bảo mật IPSec thiết lập domain kma.test máy client 192.168.1.3 192.168.1.4 3.3 Kết thử nghiệm đánh giá KẾT LUẬN 45 Đề tài đề cập tới vấn đề chung an tồn, bảo mật mơ hình TCP/IP nói chung nghiên cứu cách công vào giao thức t ầng mơ hình TCP/IP C ụ th ể, đề tài đạt số thành sau: • • • • • Tìm hiểu vấn đề an tồn bảo mật hệ thống TCP/IP Tìm hiểu cấu trúc mơ hình TCP/IP Những lỗ hổng bảo mật kiểu công thực giao thức mơ hình TCP/IP Biện pháp hạn chế, khắc phục, phòng tránh nguy an toàn bảo mật Triển khai thử nghiệm hệ thống IPSEC/VPN Bên cạnh đó, hạn chế thời gian trình độ nên đề tài khơng tránh khỏi thiếu sót hạn chế cụ thể Những hạn chế là: • • • • Chỉ mang tính lý thuyết, chưa có ứng dụng thực tiễn vào đời sống VPN đòi hỏi hiểu biết an ninh mạng, việc cấu hình cài đặt phải cẩn thận, xác đảm bảo tính an tồn hệ thống IPSEC VPN yêu cầu phải có phần mềm Client cài đặt máy tính để bàn xách tay Sự khơng tương thích IPSec với việc chuyển đổi địa mạng NAT Trong tương lai, với mong muốn tiếp tục phát triển, nghiên cứu sâu đề tài trở thành m ột từ điển đắc lực cho việc ngăn chặn nguy cơng gây an tồn bảo mật cho mơ hình TCP/IP, hỗ trợ đắc lực cho người sử dụng quản trị viên Em xin đề xuất số hướng phát triển sau: • Mở rộng nghiên cứu kiểu cơng vào hệ thống mạng thực tiễn • Nghiên cứu sâu vào kiểu công từ chối dịch vụ :DoS, MITM, DDoS,… • Ứng dụng biện pháp bảo mật vào hệ thống lớn • Triển khai hệ thống IPSec Trên Phạm vi rộng Cuối cùng, nhóm em xin nói lời cảm ơn đến thầy giáo hướng dẫn, thầy Phạm Văn Hưởng, thầy cô khoa Công nghệ thông tin, Học viện Kỹ thuật Mật mã bạn học giúp đ ỡ nhóm em nhiều suốt q trình làm đề tài để nhóm hồn thành đ ề tài 46 ... internal address and name structure (che dấu địa cấu trúc mạng bên trong),… CHƯƠNG : AN TOÀN VÀ BẢO MẬT CÁC GIAO THỨC MẠNG Ở CÁC TẦNG TRONG MÔ HÌNH TCP/IP 2.1 An tồn bảo mật giao thức mạng tầng... 2.1.8 Các phương pháp phòng tránh………………………………………………… An tồn bảo mật giao thức mạng tầng giao vận (transport layer)……… 2.2.1 Tầng giao vận giao thức hoạt động tầng giao vận……………… 2.2.2 Giao thức. .. ……………………………………………………………………… 1.2 Các đặc tính TCP/IP ……………………………………………………………… 1.3 Tầm quan trọng vấn đề an tồn bảo mật mơ hình TCP/IP …………………… Chương 2: AN TOÀN VÀ BẢO MẬT CÁC GIAO THỨC MẠNG Ở CÁC TẦNG TRONG MƠ