Bảo vệ thông tin trên mạng TCP IP Bảo vệ thông tin trên mạng TCP IP Bảo vệ thông tin trên mạng TCP IP luận văn tốt nghiệp,luận văn thạc sĩ, luận văn cao học, luận văn đại học, luận án tiến sĩ, đồ án tốt nghiệp luận văn tốt nghiệp,luận văn thạc sĩ, luận văn cao học, luận văn đại học, luận án tiến sĩ, đồ án tốt nghiệp
Bộ giáo dục đào tạo Trường Đại học Bách khoa Hà Nội =====*****===== Nguyễn Tú Anh Đề tài Bảo vệ thông tin mạng tcp/ip Luận văn thạc sỹ Ngành: điện tử viễn thông Người hướng dẫn khoa học: TS Nguyễn viết nguyên Hà nội, 11-2004 Mục lục LI MỞ ĐẦU CHƯƠNG 1: TỔNG QUAN VỀ MẠNG TCP/IP I GIỚI THIỆU MẠNG TCP/IP I.1 Cấu trúc phân tầng họ giao thức TCP/IP I.2 Giao thức liên mạng IP I.2.1 Cấu trúc gói IP I.2.2 Cấu trúc địa IP 11 I.2.3 Phân đoạn khối liệu 11 I.2.4 Cơ chế truyền gói IP 11 I.3 Giao thức TCP 12 I.3.1 Cấu trúc đoạn liệu TCP 13 I.3.2 Chức TCP 14 II ĐÁNH GIÁ CÁC ĐIỂM YẾU VỀ AN NINH BẢO MẬT TRONG MẠNG TCP/IP 18 II.1 Tại mạng TCP/IP có nhiều điểm yếu 18 II.2 Các điểm yếu mạng TCP/IP 19 II.3 Các giao thức dịch vụ dễ công 20 CHƯƠNG 2: AN TỒN THƠNG TIN TRÊN MẠNG I AN TỒN MẠNG 22 II CÁC HÀNH ĐỘNG TẤN CÔNG TRÊN MẠNG 24 II.1 Hành động thăm dò (Probe) 25 II.2 Hành động quét (Scan) 25 II.3 Hành động hút nạp liệu (Spooling) 25 II.4 Hành động cướp quyền điều khiển hệ thống 25 II.5 Hành động thu thập gói tin (Packet Sniffer) 26 II.6 Hành động công tứ chối dịch vụ (Denial of Service) 26 II.7 Hành động giả mạo 26 III YÊU CẦU ĐẶT RA ĐỐI VỚI HỆ THỐNG BẢO MẬT 26 IV BẢO MẬT TRONG MẠNG TCP/IP 27 IV.1 Bảo mật lớp ứng dụng 27 IV.1.1 Mật mã khóa cá nhân PGP 27 IV.1.2 S-HTTP (Secure HTTP) 28 IV.2 Bảo mật lớp giao vận 28 IV.2.1 SSL (Security Socket Layer) 28 IV.2.2 SSH (Secure Shell) 29 IV.2.3 Lọc (Filtering) 29 IV.3 Bảo mật lớp mạng 30 IV.3.1 Giao thức bảo mật IP 30 IV.3.2 ACL (Access Control List) 31 IV.4 Bảo mật lớp liên kết liệu 31 V CÁC CÔNG NGHỆ BẢO MẬT CHO MẠNG TCP/IP 32 CHƯƠNG 3: MỘT SỐ GIẢI PHÁP AN NINH MẠNG CỤ THỂ I GIẢI PHÁP BỨC TƯỜNG LỬA - FIREWALL 35 I.1 Tại phải dùng Firewall 35 I.2 Bức tường lửa 36 I.2.1 Khái niệm 36 I.2.2 Các biện pháp bảo vệ liên quan đến Firewall 37 I.3 Các thành phần hệ thống Firewall 38 I.3.1 Bộ lọc gói liệu 38 I.3.2 Bộ lọc phiên kiểm sốt có trạng thái 39 I.3.3 Các cổng ứng dụng 39 I.4 Các kiến trúc Firewall thông dụng 40 I.4.1 Kiến trúc Dual-Homed 40 I.4.2 Kiến trúc che dấu Host 41 I.4.3 Kiến trúc che dấu mạng 43 II CÔNG NGHỆ MÃ HĨA VÀ CƠ SỞ HẠ TẦNG KHĨA CƠNG KHAI 45 II.1 Bảo vệ thông tin mật mã 45 II.1.1 Mã hóa đối xứng 46 II.1.2 Mã hóa khơng đối xứng – khóa mã công khai 48 II.1.2.1 Thuật tốn trao đổi khóa Diffie-Hellman 49 II.1.2.2 Thuật tốn mã hóa RSA 50 II.1.3 Chuẩn chữ ký điện tử- DSS (Digital Signaling Standard) 50 II.1.4 Đánh giá ưu nhược điểm loại mã hóa 52 II.2 Cơ sở hạ tầng khóa cơng khai – PKI (Public Key Infrastructure) 54 II.2.1 Cơ sở hạ tầng khóa cơng khai gì? 55 II.2.2 Các khái niệm PKI 56 II.2.2.1 Khóa cặp khóa 57 II.2.2.2 Chứng 57 II.2.3 Cơng nghệ PKI tích hợp ứng dụng 59 II.2.4 Các kỹ thuật bảo mật PKI 61 II.2.4.1 Mã hóa khóa cơng khai 61 II.2.4.2 Chữ ký điện tử PKI 61 II.2.5 Các thành phần PKI 63 II.2.5.1 Certificate Authorities 63 II.2.5.2 Registration Authorities 65 II.2.5.3.Ứng dụng PKI 67 II.2.6 Lựa chọn giải pháp PKI 67 II.2.7 Ứng dụng PKI cho mạng riêng ảo VPN 69 CHƯƠNG 4: ĐỀ XUẤT GIẢI PHÁP BẢO MẬT CHO HỆ THỐNG MẠNG NGÂN HÀNG ĐẦU TƯ VÀ PHÁT TRIỂN VIỆT NAM -BIDV I An toàn mạng ngân hàng 72 I.1 Tầm quan trọng việc an ninh cho hệ thông ngân hàng 72 I.2 Tiêu chuẩn an ninh đối hệ thống ngân hàng thương mại điện tử 72 II Hiện trạng yêu cầu bảo mật hệ thống mạng BIDV 73 II.1 Hiện trạng mức độ an ninh bảo mật mạng BIDV 73 II.2 Yêu cầu giải pháp bảo mật cho mạng BIDV 81 III Giải pháp bảo mật cụ thể cho mạng BIDV 82 III.1 Mơ hình bảo mật tổng quát mạng BIDV 82 III.2 Hệ thống tường lửa 83 IV.3 Thiết lập mạng riêng ảo VPN cho truy nhập hệ thống từ xa 86 IV.4 Hệ thống dị tìm xâm nhập bất hợp pháp 91 IV.4 Hệ thống xác thực truy nhập 93 IV.5 Mã hóa thơng tin đường truyền cơng cộng 98 IV.6 Sử dụng hệ thống giám sát tình trạng an ninh mạng 99 IV.7 Phương pháp bố trí máy chủ có độ an tồn cao cho ứng dụng Internet 100 IV Bảo mật cho ứng dụng dịch vụ mạng BIDV 104 CHƯƠNG 5: NHẬN XÉT VÀ ĐÁNH GIÁ GIẢI PHÁP Mức độ an ninh bảo mật giải pháp 110 Khả mở rộng tương lai 110 3.Hạn chế giải pháp 111 Giải pháp bảo mật nâng cao cho dịch vụ mạng BIDV tương lai 111 KẾT LUẬN TÀI LIỆU THAM KHẢO TÀI LIỆU THAM KHẢO Network and Internetwork Security - William Stallings < Prientice Hall International Editions -1995> Firewall Complete - Marcus Goncalves < McGraw-Hill International - 1998> Bức tường lửa Internet an ninh mạng - Ths.Trần Quang Cường, PTS.Hồ Khánh Lâm – NXB Bưu điện, 01-2000 Secure Electronic Commerce - Warwick Ford & Michael S.baum < Prentice Hall International Editions – 1997> Mission Critical Internet Security < Source: www.syngress.com> Virtual Private Network - Charlie Scott.Paul Wolfe & Mike Erwin < Source: www.vpnguide.com> Cisco Network Security - Cisco System, Inc < Source: www.cisco.com> Public Key Infrastructure - RSA Security Inc < www.rsasecurity.com> Tạp chí tin học ngân hàng – NXB Cục cơng nghệ tin học ngân hàng -1Bảo mật thông tin mạng TCP/IP LỜI MỞ ĐẦU Trong thời đại hội nhập kinh tế tồn cầu, vấn đề trao đổi thơng tin trở nên quan trọng cấp thiết, việc có thơng tin xác kịp thời quan trọng cá nhân, tổ chức doanh nghiệp Mạng máy tính đặc biệt mạng kết nối dùng công nghệ IP giúp cho người tiếp cận, trao đổi thông tin cách nhanh chóng, thuận tiện mà cụ thể mạng Internet, Intranet, Extranet, dịch vụ mang lại cho người lợi ích phủ nhận Tuy nhiên vấn đề cần phải giải cho cá nhân, hay tổ chức dùng công nghệ IP để kết nối mạng có đảm bảo vấn đề an ninh bảo mật thông tin hệ thống mạng họ hay không? Vấn đề an ninh bảo mật thông tin mạng TCP/IP cần giải thiết kế, xây dựng để đưa dịch vụ mạng hay mạng vào hoạt động Đặc biệt mà hàng ngày liệt kê nhiều vụ thử công, hay công tin tặc vào mạng cài đặt, hay trang web đưa Tin tặc ln tìm dùng nhiều loại công khác nhau, phương thức khác mạng Internet vào hàng trăm trạm máy lớn nhỏ mạng Số lượng công hàng năm không giảm mà ngày tăng mức độ vi phạm thiệt hại ngày trầm trọng Hiện có nhiều cơng nghệ giải pháp an ninh mạng TCP/IP, vấn đề đặt cho người thiết kế tích hợp hệ thống người quản trị cần phải chọn xây dựng giải pháp phù hợp với yêu cầu kinh tế, kỹ thuật Trong luận văn tơi trình bày số công nghệ an ninh bảo mật mạng TCP/IP sử dụng việc đề xuất giải pháp xây dựng hệ thống an ninh bảo mật cho mạng dùng riêng Nội dung luận văn gồm chương: Chương 1: Tổng quan mạng TCP/IP Chương 2: An tồn thơng tin mạng Nguyễn Tú Anh – Cao học ĐTVT 2002 -2Bảo mật thông tin mạng TCP/IP Chương 3: Các giải pháp bảo mật cho mạng nội Chương 4: Đề xuất giải pháp bảo mật mạng BIDV Chương 5: Nhận xét đánh giá giải pháp Vấn đề mà luận văn đề cập liên quan đến nhiều lĩnh vực khác rộng Tơi cố gắng trình bày vấn đề cần thiết phục vụ cho việc an ninh mạng dùng cơng nghệ IP nói chung mạng cung cấp dịch vụ mạng ngân hàng, khuôn khổ luận văn cao học, nên trách khỏi khiếm khuyết, mong đóng góp thầy bạn đồng nghiệp Tôi xin chân thành cảm ơn thầy giáo TS Nguyễn Viết Nguyên, thầy giáo TS Hồ Khánh Lâm thầy giáo khoa ĐTVT, Trung tâm sau đại học trường đại học Bách Khoa Hà Nội đồng nghiệp giúp đỡ tơi q trình học tập hoàn thành luận văn Nguyễn Tú Anh – Cao học ĐTVT 2002 -3Bảo mật thông tin mạng TCP/IP CHƯƠNG 1: TỔNG QUAN VỀ MẠNG TCP/IP I TỔNG QUAN VỀ MẠNG TCP/IP I.1 Cấu trúc phân tầng giao thức TCP/IP Mạng Internet mạng thông tin liên kết máy tính khắp giới với thông qua mạng điện thoại hay kênh chuyên dùng đặc biệt Thơng qua Internet, người dùng liên lạc với nhau, chia tài nguyên, tìm kiếm thông tin truy xuất nhiều dịch vụ khác Mạng Internet coi cộng đồng mạng LAN nối với giao thức TCP/IP Giao thức TCP giao thức IP hai giao thức quan trọng Internet Giao thức TCP giao thức lớp mơ hình lớp OSI, cung cấp phương tiện truyền liệu tin cậy, xác cho phép truyền lại gói liệu bị Giao thức IP giao thức lớp mơ hình OSI, cung cấp phương thức truyền linh hoạt, tạo liên kết ảo truyền gói liệu Giao thức TCP/IP thực chất họ giao thức làm việc với để cung cấp phương tiện truyền thông liên mạng Cấu trúc phân tầng TCP/IP so với mô hình tham chiếu OSI Hình 1.1: Mơ hình giao thức TCP/IP Nguyễn Tú Anh – Cao học ĐTVT 2002 -4Bảo mật thông tin mạng TCP/IP - Tầng ứng dụng (Application Layer): bao gồm ứng dụng tiến trình sử dụng mạng như: Telnet, FTP, SMTP - Tầng truyền vận (Transport Layer): cung cấp dịch vụ truyền liệu liên tục giao thức TCP, UDP - Tầng liên mạng (Internet Layer): xác định đơn vị truyền tìm đường bao gồm giao thức IP, ARP - Tầng truy nhập mạng (Network access Layer): có nhiệm vụ truy nhập mạng vật lý, chuẩn thường dùng là: Ethernet (IEEE802.3), Token bus (IEEE802.4), Token ring (IEEE802.5) Telnet FTP Transmistion Control Protocaol (TCP) SMTP DNS User Datagram Protocol (UDP) SNMP RIP ICMP ARP Internet Protocol (IP) Ethernet Tokenbus Tokenring IEEE 802.3 IEEE802.4 IEEE802.5 FDDI ANSI X3 T95 Hình 1.2: Họ giao thức TCP/IP Trong cấu trúc phân tầng này, liệu truyền từ tầng ứng dụng đến tầng vật lý tầng thêm phần header tầng vào Các header chứa thông tin điều khiển việc truyền liệu xác Mỗi tầng xem tất thơng tin mà nhận từ tầng liệu thêm phần header vào trước liệu truyền xuống tầng Quá trình truyền liệu từ tầng lên tầng diễn theo chiều ngược lại, tức tầng tách phần header trước truyền liệu lên tầng Mỗi tầng có cấu trúc liệu độc lập với tầng tầng Tức tầng có cấu trúc liệu riêng thuật tốn riêng để mơ tả cấu trúc Nguyễn Tú Anh – Cao học ĐTVT 2002 ... Cao học ĐTVT 2002 - 3Bảo mật thông tin mạng TCP/ IP CHƯƠNG 1: TỔNG QUAN VỀ MẠNG TCP/ IP I TỔNG QUAN VỀ MẠNG TCP/ IP I.1 Cấu trúc phân tầng giao thức TCP/ IP Mạng Internet mạng thơng tin liên kết máy...VT 2002 -7 9Bảo mật thông tin mạng TCP/ IP Hình 4.3 : Mạng diện rộng Nguyễn Tú Anh - Cao học ĐTVT 2002 -8 0Bảo mật thông tin mạng TCP/ IP II.1.3 Đánh giá chung mức độ an ninh hệ thống mạng BIDV Trên ... chắn” hoạt động xâm phạm Việc bảo vệ thông tin mạng chủ yếu bảo vệ thông tin cất giữ máy tính, đặc biệt máy chủ mạng Bởi vậy, số biện pháp bảo vệ chống thất thoát thông tin đường truyền, cố gắng