ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ  - - NGUYỄN MINH TUẤN  BẢO MẬT DỊCH VỤ HỆ THỐNG MẠNG MÁY TÍNH Ngành: Kỹ thuật điện tử viễn thơng Chuyên ngành: Kỹ thuật Vô tuyến điện tử thông tin liên lạc Mã số: 2.07.00 LUẬN VĂN THẠC SĨ Hà nội – 2005 Mục lục Mở đầu Chương 1: Các vấn đề chung mạng máy tính bảo mật hệ thống 1.1 Căn mạng máy tính: 1.1.1 Khái niệm chung: 1.1.1.1.Các thành phần mạng máy tính: 1.1.2 Mạng Internet giao thức TCP/IP 1.2 Các vấn đề chung bảo mật hệ thống mạng 1.2.1.Các vấn đề an ninh mạng: 1.2.1.1.Một số khái niệm bảo mật 1.2.1.2.Lịch sử bảo mật mạng hệ thống: 1.2.1.3.Một số hình thức cơng mạng 1.2.1.4.Các mức bảo vệ an toàn mạng 1.2.2.Các phương thức mã hoá 1.2.2.1.Đặc điểm chung phương thức mã hóa: 1.2.2.2.Các phương thức mã hóa: Chương 2: Các lỗ hổng phương thức công Mạng phổ biến 2.1 Các lỗ hổng điểm yếu mạng 2.1.1 Các lỗ hổng 2.1.1.1.Phân loại lỗ hổng bảo mật: 2.1.1.2.ảnh hưởng lỗ hổng bảo mật mạng Internet: 2.1.1.3.Các biện pháp phát hệ thống bị công: 2.1.2.Một số điểm yếu hệ thống: 2.1.3.Bảo mật dịch vụ Web: 2.1.3.2.Phương thức hoạt động dịch vụ Web ii 2.2 Một số phương thức công mạng phổ biến 2.2.1 Scanner 2.2.1.1.Khái niệm Scanner? 2.2.1.2.Cơ chế hoạt động chương trình Scanner 2.2.2 Password Cracker: 2.2.3 Trojans 2.2.3.1.Khái niệm Trojan 2.2.3.2.Phương thức lây lan chương trình trojan: 2.2.3.3.ảnh hưởng chương trình trojans: 2.2.4 Sniffer: 2.2.4.1 2.2.4.2 2.2.4.3 2.2.4.4.Một số chương trình sniffer 2.2.4.5.Phát hệ thống bị sniffer: 2.2.4.6.Các biện pháp hạn chế sniffer Chương 3: Các biện pháp bảo vệ mạng máy tính 3.1 Các biện pháp kiểm soát hệ thống 3.1.1.Kiểm soát hệ thống qua logfile: 3.1.1.1.Hệ thống Logfie Unix: 3.1.1.2.Một số cơng cụ hữu ích hỗ trợ phân tích logfile: 3.1.1.3.Các công cụ ghi log thường sử dụng Windows NT: 3.2 Các biện pháp tạo kết nối an toàn 3.2.1 Giới thiệu chung: 3.2.2.Các hoạt động giao thức SSL dịch vụ 3.2.3 SSL Handshake 3.2.4.Q trình kiểm tra tính xác thực Server mơ tả sau: 3.2.5.Q trình kiểm tra tính xác thực phía Client: 3.3 Xây dựng hệ thống firewalls 3.3.1 Giới thiệu chung: 3.3.1.1 iii 3.3.1.2 3.3.1.3 3.3.1.4 Chức firewalls: 78 Phân loại: 79 Nguyên tắc hoạt động firewalls: 79 3.3.2 Kiến trúc chung firewall: 82 3.3.2.1 Kiến trúc hệ thống có firewall: 82 3.3.2.2 Các thành phần hệ thống firewalls: 83 3.3.2.3 Các bước cần thiết xây dựng firewall 85 3.3.3 Một số phần mềm firewalls thường sử dụng: 86 3.4 Xây dựng sách bảo mật 87 Chương 4: Xây dựng mơ hình bảo mật hệ thống mạng máy tính………………… …94 4.1 Hiện trạng hệ thống mạng máy tính trường Đại học Quốc gia Hà nội…… 94 4.2 Những nhược điểm mạng thông tin Đại học Quốc gia Hà nội………….… 95 4.3 Quy hoạch lại hệ thống mạng Đại học quốc gia Hà nội…………………… … 96 4.3.1 Mục tiêu quy hoạch…………………………………………………………… 96 4.3.2 Kế hoạch thực quy hoạch lại hệ thống mạng máy tính ĐHQG HN… 96 4.3.3 Kết thực hiện……………………………………………………………… 97 Kết luận 140 Tài liệu tham khảo 141 iv CÁC HÌNH TRONG KHĨA LUẬN Hình - So sánh mơ hình mạng TCP/IP mơ hình OSI Hình - Khuôn dạng segment TCP Hình - Cấu trúc địa lớp A Hình - Cấu trúc địa lớp B Hình - Cấu trúc địa lớp C Hình - Cơ chế hoạt động sâu Internet 22 Hình - Các hình thức công mạng 24 Hình - Các mức độ bảo vệ mạng 24 Hình - Phương thức mã hóa đối xứng 28 Hình 10 - Phương thức mã hóa phi đối xứng 30 Hình 11 - Mã hóa chiều 32 Hình 12 - Các loại lỗ hổng bảo mật mức độ ngưy hiểm 36 Hình 13 - Một phiên làm việc dịch vụ Web 46 Hình 14 - Hoạt động chương trình CGI 47 Hình 15 - Hoạt động chương trình bẻ khóa 54 Hình 16 - Các vị trí đặt sniffer segment mạng 60 Hình 17 - Ghi logs Windows 2000 68 Hình 18 - Cơng cụ Event View Windows 2000 69 Hình 19 - Chi tiết thông báo lỗi Windows 2000 69 Hình 20 - Cấu hình dịchvụ ghi logs Windows 2000 70 Hình 21 - Vị trị SSL mơ hình TCP/IP 70 Hình 22 - Quá trình kiểm tra xác thực phía Server 75 Hình 23 - Quá trình kiểm tra xác thực client 78 Hình 24 - Kiến trúc hệ thống mạng khơng có firewall 83 Hình 25 - Kiến trúc hệ thống cò firewall 83 Hình 26 - Các thành phần hệ thống firewalls 84 v MỞ ĐẦU Sự phát triển công nghệ thông tin, cơng nghệ mạng máy tính đặc biệt mạng Internet ngày phát triển đa dạng phong phú Các dịch vụ mạng Internet xâm nhập vào hầu hết lĩnh vực đời sống xã hội Các thông tin trao đổi Internet đa dạng nội dung hình thức, có nhiều thơng tin cần bảo mật cao tính kinh tế, tính xác tin cậy Bên cạnh đó, dịch vụ mạng ngày có giá trị, u cầu phải đảm bảo tính ổn định an tồn cao Tuy nhiên, hình thức phá hoại mạng trở nên tinh vi phức tạp hơn, hệ thống, nhiệm vụ bảo mật đặt cho ngƣời quản trị quan trọng cần thiết Xuất phát từ thực tế nêu trên, giới xuất nhiều công nghệ liên quan đến bảo mật hệ thống mạng máy tính Việc nắm bắt công nghệ cần thiết cơng tác bảo mật hệ thống mạng Internet Việt Nam nói chung mạng nội khách hàng khơng nằm ngồi u cầu Chính vậy, Tơi lựa chọn đề tài để tìm hiểu, vấn đề mà tơi tìm hiểu nghiên cứu nhƣ sau:  Các vấn đề chung hệ thống dịch vụ cung cấp mạng Internet   Các điểm yếu lỗ hổng bảo mật thƣờng có số hệ thống cung cấp dịch vụ Các phƣơng thức công mạng phổ biến biến pháp phòng chống  Thiết lập sách bảo mật hệ thống Tôi biên soạn cấu trúc tài liệu làm bốn phần, gồm: Chƣơng 1: Trình bày vấn đề chung mạng máy tính bảo mật hệ thống Chƣơng 2: Trình bày vấn đề lỗ hổng bảo mật, điểm yếu hệ thống số dịch vụ cung cấp; Chƣơng 3: Trình bày số giải pháp bảo mật hệ thống mạng nhƣ: tạo kết nối bảo mật, firewalls, xây dựng sách bảo mật Chƣơng 4: Phần mô tả số thực hành đƣợc làm khoá luận Bảo mật hệ thống vấn đề rộng Việt Nam, tơi nhận đƣợc nhiệt tình hƣớng dẫn thầy Nguyễn Kim Giao, với góp ý quý báu anh chị làm việc cơng ty Điện tốn Truyền số liệu (VDC), nhiệt tình phần thực hành anh chị bạn đồng nghiệp Viện Công nghệ Thông tin - Đại học Quốc gia Hà Nội góp sức cho tơi hồn thành khóa luận Tơi tự nhận thấy kinh nghiệm kỹ thuật hạn chế, nội dung chắn cịn sai sót, hy vọng đọc giả tham gia đóng góp nhiều ý kiến bổ sung để tơi hồn thiện kiến thức CHƢƠNG 1: CÁC VẤN ĐỀ CHUNG VỀ MẠNG MÁY TÍNH VÀ BẢO MẬT HỆ THỐNG 1.1 CĂN BẢN VỀ MẠNG MÁY TÍNH: 1.1.1 1.1.1.1  Khái niệm chung: Các thành phần mạng máy tính: Định nghĩa mạng máy tính: Mạng máy tính tập hợp máy tính đƣợc nối với đƣờng truyền vật lý theo kiến trúc Việc hình thành mạng máy tính cho phép nâng cao hiệu khai thác tài nguyên chung từ vị trí địa lý khác Hai thành phần mạng máy tính đƣờng truyền vật lý kiến trúc mạng Đường truyền vật lý:  Đƣờng truyền vật lý dùng để chuyển tín hiệu điện tử máy tính Các tín hiệu điện tử biểu thị giả trị liệu dƣới dạng xung nhị phân (on off) Tất tín hiệu đƣợc truyền máy tính thuộc dạng sóng điện từ (EM) đó, trải từ tần số radio tới sóng cực ngắn (viba) tia hồng ngoại Tuỳ theo tần số sóng điện từ dùng đƣờng truyền vật lý khác để truyền tín hiệu Kiến trúc mạng:  Kiến trúc mạng thể cách nối máy tính với tập hợp qui tắc, qui ƣớc mà tất thực thể tham gia truyền thông mạng phải tuân theo để đảm bảo cho mạng hoạt động tốt Các cách nối máy tính đƣợc gọi hình trạng (topology) mạng Các tập hợp qui tắc, qui ƣớc truyền thông đƣợc gọi giao thức (protocol) mạng 1.1.1.2  Phân loại mạng máy tính: Phân loại theo khoảng cách địa lý: Phân loại theo khoảng cách địa lý cách phổ biến thông dụng nhât Theo cách phân loại ta có loại mạng sau:  Mạng cục bộ: Là mạng đƣợc cài đặt phạm vi nhỏ (trong nhà, trƣờng học ); khoảng cách tối đa máy tính vài km trở lại  Mạng đô thị: Là mạng đƣợc cài đạt phạm vi đô thị trung tâm kinh tế - xã hội; khoảng cách tối đa máy tính khoảng vài chục km trở lại Mạng diện rộng (WAN): Phạm vi mạng trải rộng phạm vi quốc gia, quốc gia toàn giới Mạng Internet ngày ví dụ điển hình mạng WAN  Phân loại theo kiến trúc mạng sử dụng: Ngoài cách phân loại trên, ngƣời ta cịn phân loại mạng theo kiến trúc  mạng (topo mạng giao thức sử dụng) Theo cách phân loại này, có loại mạng nhƣ:  Mạng SNA IBM  Mạng ISO (theo kiến trúc chuẩn quốc tế)  Mạng TCP/IP Trong phạm vi tài liệu này, quan tâm đến vấn đề bảo mật mạng Internet hệ thống xây dựng dựa giao thức TCP/IP Vì vậy, phần sau tìm hiểu số khái niệm thƣờng đƣợc sử dụng mạng Internet giao thức TCP/IP 1.1.2 Mạng Internet giao thức TCP/IP 1.1.2.1 Mạng Internet: Thuật ngữ "Internet" đƣợc xem nhƣ "mạng mạng" hay liên kết mạng có tính tồn cầu Công nghệ Internet đời cho phép ngƣời sử dụng tồn cầu chia xẻ, trao đổi thơng tin với nhiều lĩnh vực Có thể nói dịch vụ mạng Internet có mặt hầu khắp lĩnh vực sống ngày  Lịch sử phát triển: Năm 1969, quan nghiên cứu phát triển tiên tiến thuộc Bộ quốc phòng Mỹ (Advanced Research Project Agency) xây dựng thành công mạng ARPANet, cho phép kết nối trung tâm máy tính tồn nƣớc Mỹ, phục vụ mục đích qn Khởi đầu ARPANet sử dụng giao thức NCP (Network Control Protocol) Vào năm 1970, họ giao thức TCP/IP (Transmission Control Protocol/Internet Protocol) đƣợc Vint Cerf (Đại học Stanford) Robert Kahn (BBN) phát triển, ban đầu tồn với NCP đến năm 1983 hoàn toàn thay NCP mạng ARPANet Vào đầu năm 1980, mạng ARPANet đƣợc tách làm hai phần: phần dân phục vụ mục đích nghiên cứu vần giữ tên ARPANet phần quân có tên mạng MILNET Tháng 11/1986, Uỷ ban khoa học quốc gia Mỹ NSF (National Science Foundation) thúc đẩy việc xây dựng mạng xƣơng sống cho phép kết nối trung tâm máy tính lớn tồn liên bang Mỹ Năm 1987, mạng NSFNet đời với tốc độ đƣờng truyền cao 1.5Mb/s cho phép nối trung tâm máy tính với Việc đời mạng xƣơng sống NSFNet mạng vùng trở thành tiền thân mạng Internet ngày Một xa lộ thông tin đƣợc hình thành cho phép kết nối mạng trƣờng đại học, viện nghiên cứu tham gia cộng đồng Internet Sau đó, quan phủ, tổ chức kinh doanh tham gia vào mạng Internet Về mặt địa lý Internet nhanh chóng vƣợt khỏi nƣớc Mỹ trở thành mạng toàn cầu Đến nay, theo số liệu thống kê tập đồn liệu quốc tế IDG số lƣợng ngƣời sử dụng mạng Internet lên đến 150 triệu ngƣời Việc phát triển mạnh mẽ mạng Internet gắn liền với việc phát triển giao thức TCP/IP Ra đời vào năm 1970, TCP/IP sau đƣợc tích hợp vào môi trƣờng điều hành Unix (một hệ điều hành mạng trƣờng đại học California Berkeley) Đến xuất máy tính cá nhân (Personal Computer - PC) TCP/IP lại đƣợc chuyển sang máy PC chạy DOS trạm làm việc Unix kết nối với TCP/IP ngày phát triển hoàn thiện, đến giao thức đƣợc tích hợp vào hầu hết sản phẩm mạng nhƣ UNIX, WINDOWS NT, NETWARE Tiếp theo ta điền tên máy tính địa IP máy tính muốn kết nối, ta điền địa IP VPN Server có địa 10.10.4.11 Cửa sổ “Network Connection Wizard” cho ta hai lựa chọn sau:  For all users: cho phép ngƣời dùng sử dụng kết nối  Only for myself: Cho phép ta sử dụng Clik “Next” 134 Click “Finish” Click “Yes” Nhập User name = “ketnoi2” Password = “ketnoi2” Chọn Save password quay tới số “5000” Router 2650, Click “Dial” 135 Click “Accept” Nhập User name = “ketnoi2” Password = “ketnoi2” 136 Nhƣ ta thiết lập thành công kết nối ảo VPN Kết ta thu đƣợc nhƣ sau: Ta sử dụng tiện ích NetMeeting ứng dụng cho phép ta truyền File, Chat, Voice … môi trƣờng Windows 137 138 Sau thử nghiệm phòng thực hành hệ thống Viễn thông, môn Điện tử Viễn thông Đại học Công nghệ, tiến hành triển khai hệ thống mạng trƣờng Đại học Quốc gia Hà nội với mơ hình nhƣ sau 139 Internet Cisco 3620 Catalyst 1900 Mail Server Catalyst 5000 + RSM Kh 17 140 Phân vùng địa IP nhƣ sau: STT 10 141 11 12 Đến 13 14 15 16 17 Đến Kết luận: Sau hệ thống mạng máy tính đƣợc quy hoạch lại chạy tốt, tốc độ đƣờng truyền ổn định tăng lên rõ rệt, máy tính chạy dịch vụ hoạt động tốt việc quản lý bảo mật hệ thống dễ dàng Kiến nghị: Hiện toàn hệ thống mạng máy tính hoạt động tốt, đƣờng truyền ổn định nhƣng việc liên lạc qua điện thoại để trao đổi thông tin lớn Hàng tháng phòng Kế hoạnh tài vụ phải trả khoản tiền lớn cho việc liên lạc điện thoại phòng ban Đại học quốc gia trƣờng thành viện với Nên xin để xuất hƣớng là:  Ổn định dịch vụ có phát triển dịch vụ nhƣ học qua mạng, Thƣ viện Điện tử, Phòng học điện tử…  Ngồi dịch vụ ta nên triển khai khai thác hệ thống liên lạc điện thoại qua mạng sẵn có nhằm tiết kiệm khoản tiền không nhỏ cho Đại học quốc gia  Nghiên cứu sâu giao thức ứng dụng chuyển mạch mềm 142  Tìm hiểu xây dựng dịch vụ hệ thống quản lý đào tạo trực tuyến  Nghiên cứu sâu phƣơng thức phịng chống kiểu cơng dịch vụ hệ thống 143 KẾT LUẬN Sau q trình tìm tịi, học hỏi dƣới bảo ân cần thầy giáo Nguyễn Kim Giao anh chị Trung tâm Điện toán truyền số liệu KVI, anh chị Viện Công nghệ Thông tin Đại học Quốc gia đến khóa luận tơi hồn thành Trong luận văn đƣa hình nêu đƣợc vấn đề chung hệ thống dịch vụ cung cấp mạng Internet, điểm yếu lỗ hổng bảo mật có số hệ thống cung cấp dịch vụ Các phƣơng thức công mạng phổ biến biện pháp phịng chống, tơi đề xuất sách bảo mật hệ thống Mạng máy tính phát triển mạnh dịch vụ nhƣ trao đổi thƣ tín điện tử, báo điện tử, truyền hình, điện thoại, toán dịch vụ qua mạng v.v việc bảo mật dịch vụ thơng tin điều cần thiết cá nhân, quan doanh nghiệp Do thời gian có hạn công nghệ dịch vụ ngày phát triển mở rộng nên thời gian ngắn việc nắm bắt thâu tóm nhƣ phần trình bày chƣa đƣợc thỏa mãn với ngƣời quan tâm có chun mơn cao Tơi mong muốn sau khóa luận tơi tiếp tục nghiên cứu đề tài để tơi tìm hiểu chƣơng trình học tập cấp cao 144 TÀI LIỆU THAM KHẢO Tiếng Việt: Nguyễn Hồng Sơn (2002), “Giáo trình hệ thống mạng máy tính” Nguyễn Thúc Hải (1997), “Mạng máy tính hệ thống mở”, NXB Giáo dục Công ty Điện tốn Truyền số liệu (9-2000) Tài liệu khóa học “Bảo mật hệ thống mạng máy tính” Tiếng Anh: Jason Hiner (Otc 18, 2000), “Setting up a VPN with Windows 2000” Chris Brenton (1999 Synbex), “Mastering Network Sercurity” Cisco Systems (2004), “Cisco Networking Academy CCNA semester v3.0” Cisco Systems (2004), “Cisco Networking Academy CCNP semester v3.0” Cisco Systems (2004), “Cisco CCIE Security Student Guide v1.1” Modul 10 Page 783 Cisco Systems (2004), “CSVPN Student Guide v4.0 Cisco Secure Virtual Private Network” 145 Thank you for evaluating AnyBizSoft PDF Merger! To remove this page, please register your program! Go to Purchase Now>> AnyBizSoft PDF Merger  Merge multiple PDF files into one  Select page range of PDF to merge  Select specific page(s) to merge  Extract page(s) from different PDF files and merge into one ... CHUNG VỀ MẠNG MÁY TÍNH VÀ BẢO MẬT HỆ THỐNG 1.1 CĂN BẢN VỀ MẠNG MÁY TÍNH: 1.1.1 1.1.1.1  Khái niệm chung: Các thành phần mạng máy tính: Định nghĩa mạng máy tính: Mạng máy tính tập hợp máy tính đƣợc... sách bảo mật 87 Chương 4: Xây dựng mơ hình bảo mật hệ thống mạng máy tính? ??……………… …94 4.1 Hiện trạng hệ thống mạng máy tính trường Đại học Quốc gia Hà nội…… 94 4.2 Những nhược điểm mạng. .. Chương 1: Các vấn đề chung mạng máy tính bảo mật hệ thống 1.1 Căn mạng máy tính: 1.1.1 Khái niệm chung: 1.1.1.1.Các thành phần mạng máy tính: 1.1.2 Mạng Internet giao thức TCP/IP