ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ - - - - *** - - - - - TRIỆU THỊ THU THỦY NGHIÊN CỨU GIẢI PHÁP AN TỒN THƠNG TIN CHO HỆ THỐNG TÍNH TỐN LƯỚI Ngành: Công nghệ thông tin Chuyên ngành: Hệ thống thông tin Mã số: 60 48 05 LUẬN VĂN THẠC SĨ NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS TS Nguyễn Văn Tam HÀ NỘI – 2011 MỤC LỤC DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT MỞ ĐẦU Chương - Tổng quan an tồn thơng tin hệ thống tính tốn lưới 1.1 Vai trị tính tốn lưới 1.1.1 Giới thiệu 1.1.2 Vai trò tính tốn lưới nghiên cứu khoa học (e-science) 1.1.2.1 Chia sẻ tài nguyên bên tổ chức ảo (Virtual Organization) 10 1.1.2.2 Giao tiếp với công việc thực thi hệ thống lưới 11 1.1.2.3 Tính tốn phân tán 13 1.1.2.4 Quản lý liệu 15 1.2 Các thách thức an tồn thơng tin điện toán đám mây 16 1.2.1 Đặc trưng 16 1.2.2 Kiến trúc phân lớp tính tốn lưới 17 1.2.3 Thách thức an tồn thơng tin 18 Chương - Giải pháp bảo mật 20 2.1 Middleware 20 2.1.3 Định nghĩa 20 2.1.3 Các công nghệ Middleware tính tốn lưới 23 2.1.3.1 Globus Toolkit 23 2.1.3.1 Glite 25 2.1.3.1 Unicore 29 2.1.3 Các phương pháp an tồn thơng tin thường áp dụng tầng middleware tính tốn lưới 30 2.1.3.1 Xác thực cấp phép 30 2.1.3.2 Ủy quyền 33 2.1.3.3 Giao tiếp bí mật 35 2.2 Hạ tầng 37 2.2.3 An ninh mức vật lý 37 2.2.4 An ninh hệ điều hành 38 2.2.5 Bức tường lửa 39 2.2.6 Phát truy nhập 41 Chương - Giải pháp tường lửa mã nguồn mở iptables 42 3.1 Giới thiệu IPTables 42 3.2 Nguyên lý hoạt động IPTables 44 3.3 Cấu trúc IPTables 45 3.3.1 Bảng MANGLE 45 3.3.2 Bảng NAT 46 3.3.3 Bảng FILTER 47 3.4 Các thành phần IPTables 47 3.4.1 Targets 47 3.4.2 Các tham số chuyển mạch quan trọng IPTables 49 3.4.3 Sử dụng chuỗi luật người dụng định nghĩa 52 3.4.4 Những module kernel 53 3.5 Các điều kiện chuỗi luật IPTables 54 3.6 Hành động luật 58 3.7 Tường lửa Grid 61 3.7.1 Lưu lượng cổng dịch vụ Grid 61 3.7.2 Điều khiển phạm vi cổng Grid 64 Chương - Mơ hình thử nghiệm 65 TÀI LIỆU THAM KHẢO 72 Thank you for evaluating AnyBizSoft PDF Splitter A watermark is added at the end of each output PDF file To remove the watermark, you need to purchase the software from http://www.anypdftools.com/buy/buy-pdf-splitter.html DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT Ký hiệu Tiếng Anh Ý nghĩa VO Virtual Organization Tổ chức ảo VOMS Virtual Organization Manager Service Dich vụ quản trị tổ chức ảo Giao thức thong điệp điều khiển ICMP Internet Control Message Protocol Internet TCP Transmission Control Protocol Giao thức điều khiển giao vân IP Internet Protocol Giao thức Internet FW Firewall Tường lửa NAT Network address translation Chuyển đổi địa mạng QoS Quality of Service Chất lượng dịch vụ GSI Grid Security Infrastructure Kiến trúc an ninh lưới FTP File Transfer Protocol Giao thức truyền tập tin MỞ ĐẦU Tính tốn lưới giữ vai trị vơ quan trọng, đặc biệt lĩnh vực nghiên cứu Trên giới, dự án tính tóan lưới tiếp tục triển khai phát triển Với mong muốn làm chủ vấn đề an tồn thơng tin tính tốn lưới, luận văn gồm phần sau sau: Chương 1: Tổng quan an tồn thơng tin hệ thống Chương 2: Giải pháp bảo mật Chương 3: Bức tường lửa Iptables Chương 4: Demo Cuối Tài liệu tham khảo Chương - Tổng quan an tồn thơng tin hệ thống tính tốn lưới 1.1 Vai trị tính tốn lưới Trước phát triển mạnh mẽ điện toán đám mây, phần trả lời cho câu hỏi ý nghĩa điện tốn lưới ngày 1.1.1 Giới thiệu Khái niệm Tính toán lưới bắt đầu xuất vào đầu thập niên 90 với nghĩa ẩn dụ làm cho việc sử dụng sức mạnh máy tính dễ dàng việc sử dụng điện Ngày có nhiều định nghĩa tính tốn lưới Một định nghĩa Grid hoàn chỉnh đưa tiến sỹ Ian Foster sau : “Grid loại hệ thống song song, phân tán cho phép chia sẻ, lựa chọn, kết hợp tài nguyên phân tán theo địa lý, thuộc nhiều tổ chức khác dựa tính sẵn sàng, khả năng, chi phí chúng yêu cầu chất lượng dịch vụ (QoS) người dùng để giải tốn, ứng dụng có quy mô lớn khoa học, kỹ thuật thương mại Từ hình thành nên “tổ chức ảo” (Virtual Organization (VO)), liên minh tạm thời tổ chức tập đoàn, liên kết với để chia sẻ tài nguyên và/hoặc kỹ nhằm đáp ứng tốt hội kinh doanh dự án có nhu cầu lớn tính tốn liệu, toàn việc liên minh dựa mạng máy tính” Hình 1-1 mơ tả q trình phát triển điện toán, từ kiến trúc máy vi tính lớn/thiết bị đầu cuối, đến máy tính cá nhân, mạng điện toán đến điện toán lưới đám mây Trong giai đoạn 1, nhiều người dùng tương tác với máy vi tính lớn qua thiết bị đầu cuối Trong giai đoạn 2, máy tính cá nhân có sức mạnh đủ để thỏa mãn đa số người sử dụng Trong giai đoạn 3, máy tính cá nhân, máy tính xách tay máy chủ kết nối với thông qua mạng nội để chia sẻ tài nguyên tăng hiệu Trong giai đoạn 4, mạng nội kết nối với mạng nội khác tạo thành mạng toàn cầu Internet để tận dụng tài nguyên ứng dụng xa Trong giai đoạn 5, điện toán lưới cung cấp khả chia sẻ sức mạnh điện toán lưu trữ thơng qua hệ thống điện tốn phân tán Trong giai đoạn 6, điện toán đám mây cung cấp khả chia sẻ tài nguyên Internet thông qua cách đơn giản linh động Hình 1-1 Các giai đoạn phát triển điện toán Điện toán lưới kết hợp chia sẻ tài nguyên cách thức giải vấn đề môi trường tổ chức ảo động, nhiều thành viên nghiên cứu Việc chia sẻ giám sát chặt chẽ nhà cung cấp tài nguyên nhà tiêu thụ định nghĩa rõ ràng cẩn thận chia sẻ, chia sẻ chia sẻ điều kiện Bước phát triển điện toán lưới điện toán theo nhu cầu, tài ngun máy tính đo đạc dịch vụ Điện toán theo nhu cầu giới thiệu ý tưởng việc cung cấp động tài nguyên điện toán Điện toán đám mây định nghĩa cung cấp ứng dụng dịch vụ thông qua Internet, phần mềm sở hạ tầng phần cứng trung tâm liệu cung cấp dịch vụ dùng mơ hình kinh doanh giống điện toán theo nhu cầu Việc đo đạc dịch vụ để hỗ trợ cho mơ hình kinh doanh tốn theo nhu cầu thích hợp với phần mềm ứng dụng (SaaS), tảng (PaaS), sở hạ tầng (IaaS) Thêm vào đó, điện tốn đám mây tận dụng công nghệ phát triển Web 2.0 cho dịch vụ ứng dụng, ảo hóa cho việc cung cấp tài nguyên động So sánh giai đoạn phát triển điện tốn, điện toán đám mây quay trở lại với mơ hình điện tốn máy tính lớn ban đầu Tuy nhiên, hai mơ hình có vài điểm khác biệt quan trọng Điện tốn máy vi tính lớn cho phép sức mạnh tính tốn giới hạn, điện toán đám mây cung cấp sức mạnh dung lượng gần vô hạn Thêm vào đó, điện tốn máy tính lớn thiết bị đầu cuối thiết bị truy cập, với điện tốn đám mây máy tính cá nhân cung cấp khả điện tốn đệm Dẫu cho, ngày điện toán đám mây nơi nhắc đến hưởng ứng tính tốn lưới có chỗ đứng phòng nghiên cứu dự án tổ chức cần đến hỗ trợ tính tốn lớn dựa tảng hạ tầng có sẵn với cộng đồng tài nguyên tự nguyện “Grid needs Cloud to prosper; Cloud needs Grid to scale” “Tính tốn lưới cần Cloud để phát triển, Cloud cần lưới để mở rộng” Ian Foster [4] [5] Một số dự án lưới tiếp tục quan tâm triển khai EGI = European Grid Infrastructure: Các tài nguyên sử dụng 13.000 nhà khoa học khắp châu Âu [6] StratusLab: Gia tăng hạ tầng điện tốn lưới với cơng nghệ ảo hóa đám mây [10] Initiative for Globus in Europe (IGE) : Mục tiêu tiếp tục hỗ trợ sở hạ tầng máy tính châu Âu, để phục vụ điểm trung tâm liên lạc châu Âu cho Globus, vào hướng Globus phát triển phù hợp với yêu cầu người dùng châu Âu tăng cường ảnh hưởng nhà phát triển châu Âu Liên minh Globus … 1.1.2 Vai trò tính tốn lưới nghiên cứu khoa học (e-science) Mục đề cập đến vai trị Tính tốn lưới lý giải Tính tốn lưới mơ hình lý tưởng cho tốn thuộc nhiều ngành khoa học khác Chúng ta lấy ví dụ tốn mơ đụng độ lỗ đen để nói lên đặc tính thường có toán thuộc nhiều lĩnh vực khác phù hơp dùng Tính tốn lưới để giải toán Một số vấn đề cịn dạng nghiên cứu phát triển tin chúng thực tường lai gần vấn đề thường thấy toán khoa học mà cụ thể tốn vật lý thiên thể, mơ đụng độ lỗ đen  Chia sẻ tài nguyên bên tổ chức ảo (Virtual Organization) 10    Giao tiếp với công việc thực thi hệ thống lưới Tính tốn phân tán Quản lý liệu 1.1.2.1 Chia sẻ tài nguyên bên tổ chức ảo (Virtual Organization) Một tổ chức ảo tập hợp tài nguyên quản lý cách độc lập, hợp tác, tập hợp lại để cộng đồng dùng giải mục tiêu chung Việc tổ chức sử dụng tài nguyên cách hiệu quan trọng cộng đồng người sử dụng Kịch sử dụng đơn giản quan trọng tính tốn khoa học dựa Grid khám phá tài nguyên (resource discovery) nhờ hệ thống lưới thực thi công việc (job submission) Một nhà khoa học Châu Âu chuẩn bị file thực thi tham số đầu vào để giả lập việc trộn lẫn vào lỗ đen,việc giả lập sử dụng nhiều tài nguyên phân tán khắp nơi giới, thông thường việc truy xuất tài nguyên nơi cần có tài khoản, mật khẩu, hàng đợi, hệ thống tệp… khác nhau.Điều gây khó khăn lớn cho cho nhà khoa học tiến hành thí nghiệm, mơ với quy mơ lớn Ngay việc đơn giản chọn nơi để thực thi q trình mơ phức tạp Nhưng với công nghệ Grid, trình truy xuất tài nguyên trở nên đơn giản Việc xác nhận dựa chứng (certificate) cho phép người sử dụng truy xuất tất hệ thống tổ chức ảo với lần đăng nhập, định danh mật đăng nhập vào tổ chức ảo ánh xạ vào tài khoản người sử dụng Đồng thời mơ hình Grid loại bỏ đặc tính riêng tài nguyên, tạo giao diện chung cho hệ thống tệp, cách nén liệu… cho phép người sử dụng dùng câu lệnh truy xuất thống cho tất tài nguyên Việc xây dựng cổng thông tin dựa web ( web-based portal) cho phép người dùng truy xuất dễ dàng thân thiện tất tài nguyên tổ chức ảo Sau đăng nhập vào, người dùng nguyên tắc nhìn thấy tất tài nguyên sẵn có cho chạy (submit) công việc tài nguyên Đôi người dùng quan tâm đưa cơng việc lên lưới để chạy (submit), việc phân tán tài nguyên hệ thống tự động 60  MASQUERADE Hành động MASQUERADE sử dụng hành động SNAT, khơng địi hỏi phải sử dụng lựa chọn to-source Hành động MASQUERADE sử dụng để làm việc với kết nối sử dụng địa IP động kết nối quay số (dial-up) hay DHCP Điều có nghĩa sử dụng hành động MASQUERADE với kết nối IP đượcgán địa động Nếu ta có kết nối IP tĩnh, nên sử dụng hành động SNAT Khi thực masquerade kết nối, có nghĩa sử dụng địa IP giao tiếp mạng thay địa IP nguồn header gói tin Hành động MASQUERADE tác động tới kết nối bị „bỏ quên‟ giao tiếp mạng tắt (nếu sử dụng SNAT bị liệu tr-ờng hợp này) Hành động MASQUERADE sử dụng thay cho SNAT sử dụng địa IP tĩnh, nhiên việc sử dụng khơng có lợi phải thực thêm nhiều xử lý có mâu thuẫn tương lai Chú ý hành động MASQUERADE hợp lệ đặt chuỗi luật POSTROUTING bảng nat Hành động MASQUERADE sử dụng với lựa chọn to-ports Lựa chọn sử dụng để gán lại cổng nguồn cho gói tin Ta cổng hay dãy cổng, phân cách ký tự '-' Lựa chọn hợp lệ luật có điều kiện -p tcp hay -p udp Ví dụ: iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE to-ports 102431000  DNAT Hành động DNAT sử dụng để thực chuyển đổi địa mạng đích (Destination Network Address Translation) có nghĩa sử dụng để ghi lại địa IP Destination header gói tin Nếu gói tin thoả điều kiện luật, chịu tác động hành động DNAT, gói tin tất gói tin theo sau dịng liệu chuyển đổi địa IP đích header chúng sau dẫn đường tới giao tiếp mạng, máy hay mạng yêu cầu Hành động hữu dụng, ví dụ trường hợp ta có máy chủ web nằm LAN khơng có địa thật Ta thông báo cho firewall chuyển tiếp tất gói tin vào cổng HTTP thân (có địa thật) tới máy chủ web LAN 61 Hành động DNAT sử dụng chuỗi luật PREROUTING OUTPUT bảng nat Lựa chọn to-destination sử dụng với DNAT để thông báo cho DNAT biết địa IP sử dụng thay cho địa đích đến header gói tin Ta dãy địa đích, phân cách ký tự '-', dòng liệu sử dụng ngẫu nhiên địa dãy địa Tất gói tin dòng liệu sử dụng địa IP Ta bổ sung thêm cổng hay dãy cổng muốn chuyển hướng gói tin tới cổng Để thêm cổng, khai báo thêm :port vào địa mà ta muốn DNAT gói tin; lựa chọn hợp lệ luật có điều kiện -p tcp hay -p udp Ví dụ: iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 dport 80j DNAT to-destination 192.168.1.1-192.168.1.10 Khi sử dụng DNAT, máy mạng cục không truy nhập đượcmáy dịch vụ vấn đề dẫn đường Do vậy, giải pháp đơn giản cho vấn đề sử dụng hành động SNAT cho tất gói vào firewall Ví dụ: iptables -t nat -A POSTROUTING -p tcp dst $HTTP_IP –dport 80 -j SNAT tosource $LAN_IP Ngoài điều kiện, hành động nêu trên, iptables cịn có nhiều điều kiện hành động khác nữa; để biết chi tiết chúng, người dùng tham khảo qua lệnh man 3.7 Tường lửa Grid 3.7.1 Lưu lượng cổng dịch vụ Grid Application Network Ports Comments GRAM Gatekeeper (để khởi động công việc) Kết nối trở lại cho máy khách thực thi liệu tổ chức từ máy khách đầu từ công việc gửi lại cho máy khách Cổng 2119/tcp định nghĩa IANA Tới cổng 2119/tcp máy chủ từ cổng cổng thời có điều khiển máy khách GRAM Từ cổng thời có Cổng máy chủ lựa chọn kết nối Quản lý điều khiển máy ban đầu thực máy khách công việc khách đến cổng Gatekeeper trả lại cho máy khách 62 thời có điều khiển URL Có thể kết kết nối trở lại máy chủ cho máy khách từ cổng thời máy chủ cổng thời có điều khiểntrên máy khách MDS Dịch Từ cổng thời vụ thông tin máy khách tới cổng tài nguyên 2135/tcp máy chủ Host sử dụng dịch vụ Grid (thường lưới (GRIS) tất máy chạy dịch vụ Globus) hay Dịch vụ Cổng 2135/tcp định nghĩa IANA đánh số thông tin (GIIS) Tới cổng 2135/tcp MDS GRIS GIIS cha từ cổng or GIIS thời GRIS/GIIS Kết nối từ GRIS tới GIIS cho đăng ký Kết registration Tới cổng 2135/tcp nối từ GIIS tới GRIS cho hàng đợi Cổng to a parent GRIS/GIIS từ 2135/tcp định nghĩa IANA GIIS cổng thời GIIS cha GridFTP Từ cổng thời có điều khiển máy khách tới cổng 2811/tcp Cổng 2811/tcp định nghĩa IANA máy chủ cho kênh điều khiển GSIEnabled SSH Từ cổng thời Như chuẩn SSH Cổng 22/tcp định máy khách tới cổng nghĩa IANA 22/tcp máy chủ MyProxy Từ cổng thời máy khách tới cổng Mặc định Có thể thay đổi 7512/tcp máy chủ Bảng 3.7 Tổng kết đặc trưng lưu lượng cho dịch vụ : Globus Toolkit (chưa hỗ trợ dịch vụ Web) 63 Application Network Ports Comments GT4 GRAM (điều khiển khởi động công việc) Kết nối trở lại cho máy khách thực thi liệu tổ chức từ máy khách đầu từ công việc gửi lại cho máy khách Cổng 8443/tcp mặc định cấu hình Từ cổng thời máy khách tới cổng 8443/tcp máy chủ GT4 MDS Từ cổng thời máy khách tới Cùng cổng cho GT4 gram cổng 8443/tcp máy chủ GridFTP Từ cổng thời Cổng 2811/tcp định nghĩa IANA có điều khiển máy khách tới cổng 2811/tcp máy chủ cho kênh điều khiển GSIEnabled SSH Từ cổng thời máy khách tới Như chuẩn SSH Cổng 22/tcp định nghĩa cổng 22/tcp IANA máy chủ MyProxy Từ cổng thời máy khách tới Mặc định Có thể thay đổi cổng 7512/tcp máy chủ Bảng 3.8 Tổng kết đặc trưng lưu lượng cho dịch vụ : Globus Toolkit V.4 dựa dịch vụ Web WSRF 64 3.7.2 Điều khiển phạm vi cổng Grid - Cho GT chưa hỗ trợ Web cấu hình bước sau: * Chọn phạm vi cổng điều khiển GLOBUS_TCP_PORT_RANGE * Cấu hình Gatekeeper/Job-Manager để sử dụng GLOBUS_TCP_PORT_RANGE * Cấu hình GridFTP để sử dụng GLOBUS_TCP_PORT_RANGE *Cấu hình MDS để sử dụng GLOBUS_TCP_PORT_RANGE - Cho GT hỗ trợ Web sử dụng thư viện C Java - Trên sở cổng dịch vụ xác định Globus Toolkit cho phép người sử dụng cấu hình tường hai phía máy khách máy chủ 65 Chương - Mơ hình thử nghiệm 4.1 Hệ thống thử nghiệm Mơ hình: máy tính hosta.localgrid – vai trị CA, địa 172.16.2.30 hostb.localgrid, địa 172.16.2.31 hostc.localgrid, địa 172.16.2.32 4.2 Các kịch thử nghiệm - Tạo certificate Dùng firewall để chặn ứng dụng GridFTP a Demo tạo certificate nội dung - tạo host certificate (optional) tạo user certificate Nói chung tạo cặp key cert_request, cert_request sau gửi tới CA ký để tạo cert, sau gửi lại Có thể tạo nhanh host certificate cách copy host có sẵn đổi tên, đổi ip …, sau xóa file /etc/grid-security xóa user không cần thiết Tạo host certificate Trên máy muốn tạo hostcert [root@hostb]# scp root@hosta:~/.globus/simpleCA \ /globus_simple_ca_(ca_hash)_setup-0.18.tar.gz # $GLOBUS_LOCATION/sbin/gpt-build \ globus_simple_ca_(ca_hash)_setup-0.18.tar.gz gcc32dbg # $GLOBUS_LOCATION/sbin/gpt-postinstall 66 # $GLOBUS_LOCATION/setup\ /globus_simple_ca_[ca_hash]_setup/setup-gsi -default Chạy lệnh yêu cầu tạo host # grid-cert-request -host `hostname` Copy file /etc/grid-security/hostcert_request.pem đến CA Trên CA tiến hành ký nhận root@hosta# grid-ca-sign -in hostcert_request.pem -out hostcert.pem To sign the request please enter the password for the CA key: (type ca passphrase) The new signed certificate is at: /home/globus/.globus/simpleCA//newcerts/01.pem Copy file hostcert vừa tạo vào lại thư mục /etc/grid-secutiry Tạo user certificate login tên người muốn tạo certificate $ grid-cert-request Copy file (userhome)/.globus/usercert_request.pem sang máy CA Ký nhận CA # grid-ca-sign -in usercert_request.pem -out usercert.pem Copy file usercert.pem vừa dc tạo vào /userhome/.globus Chạy grid-proxy-init để tạo proxy Muốn xem thông số certificate, chạy grid-cert-info Muốn xem SN certificate, grid-cert-info -subject So sánh Certificate: Data: 67 Version: (0x2) Serial Number: 56 (0x38) Signature Algorithm: sha1WithRSAEncryption Issuer: O=grid, O=pragma, CN=pragma-exp CA Validity Not Before: Oct 19:21:55 2009 GMT Not After : Oct 19:21:55 2010 GMT Subject: O=grid, O=pragma, OU=VN-IOIT-VAST, CN=Thuy Trieu Thu Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:e5:1e:a0:a0:fe:b2:a7:19:57:a9:c0:ad:1a:dd: ec:e8:a3:d6:e0:06:b0:c9:2a:29:db:ab:88:e2:9a: 46:8f:09:f1:5f:22:4b:7c:9e:2f:44:75:0e:b6:f7: f6:2f:5d:f6:9e:9e:1b:16:20:8c:35:1e:4f:09:2b: f1:83:2a:f4:4c:79:64:1f:35:55:f5:0d:2e:cf:1c: 2b:f6:de:7c:f4:1a:ab:13:78:3a:f7:ec:85:57:4c: 2d:49:47:fe:85:a4:82:7e:8a:bb:03:b2:3f:d5:46: 26:4c:fa:25:f2:fe:7b:5c:f7:6b:db:b1:3a:33:5a: 73:38:c2:eb:f3:c8:7b:54:33 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Certificate Policies: Policy: 1.3.6.1.4.1.13230.101.2.1.0 68 Policy: 1.2.840.113612.5.2.2.1 X509v3 Extended Key Usage: TLS Web Client Authentication X509v3 CRL Distribution Points: URI:http://ca.pragma-grid.net/ca-certs/5456d9ca.der X509v3 Key Usage: critical Digital Signature, Key Encipherment, Data Encipherment X509v3 Basic Constraints: critical CA:FALSE X509v3 Authority Key Identifier: keyid:A0:FA:32:A3:E6:6A:B7:9E:A5:64:B7:AA:C2:DD:6C:A0:13:33:DA:A2 X509v3 Subject Key Identifier: D4:C8:0F:A7:2F:DE:11:89:18:0E:16:E5:AB:B4:8A:25:90:18:64:93 Signature Algorithm: sha1WithRSAEncryption 03:3d:6d:00:ea:dd:78:2f:ea:f6:93:c1:94:0c:08:c5:8b:e0: f6:28:93:93:f0:dd:9a:88:94:5c:5c:51:7e:78:a2:43:97:8a: 43:6c:69:c5:38:97:91:5d:1f:c2:f6:2a:60:7d:cd:de:d7:40: b5:20:87:14:d6:c6:8b:af:00:38:f1:80:f5:4c:09:82:e5:32: a9:c8:ed:02:70:79:57:df:ef:97:d8:88:f2:ad:08:0f:31:d3: 15:a6:f4:53:aa:c6:7d:b5:15:e3:47:ee:41:e1:a1:74:a8:44: a7:56:cb:d8:ac:13:6f:f4:fd:27:e9:b1:22:ec:ea:a1:dc:a7: 4c:56:ec:50:c4:a7:a3:a0:73:39:56:bb:3d:f9:26:d9:4f:22: 14:76:49:75:3f:89:83:23:0a:8b:81:99:4e:07:30:99:09:c3: fa:21:43:9a:a5:ef:00:e8:e1:9b:44:a9:a5:bd:f5:74:5e:53: 24:fc:35:6c:5f:d1:1c:1f:f8:91:b3:43:da:ba:41:2c:e1:e5: 69 10:0d:86:00:8a:e1:ea:f4:ea:f2:73:c4:7a:6a:13:24:95:b4: 45:47:b1:d9:b5:ff:6a:74:f7:6b:07:4e:fd:09:7b:87:28:94: 21:9f:63:0b:b3:44:1b:4f:50:1e:1a:53:35:f9:82:d9:bc:d6: 4a:84:ce:71 Ánh xạ người dùng lưới thành người dùng hệ thống = cách edit vào /etc/gridsecurity/grid-mapfile thuytt@hostc:/etc$ cat /etc/grid-security/grid-mapfile "/O=Grid/OU=GlobusTest/OU=simpleCA-hosta.localgrid/OU=localgrid/CN=Thuy Trieu Thu" auser1 (dạng file grid-mapfile sau “SN người dùng lưới” tên người dùng local) b Thử nghiệm firewall Thử nghiệm: kiểm tra GridFTP trước sau chặn cổng 2811 Login tên người dùng có certificate Kiểm tra người dùng map máy đối tác chưa (trong file /etc/grid-mapfile máy đối tác, SN ng map vào người dùng local chưa) Tạo certificate: $ grid-proxy-init Tạo file để thử copy $ echo "ThirdParty GridFTP Test" > /tmp/thirdparty.txt Copy $ globus-url-copy gsiftp://hosta/tmp/thirdparty.txt \ gsiftp://hostb/tmp/thirdparty.txt Sau bật firewall hostc, lệnh copy thể thành công Cách tạo firewall cấm cổng 2811 Tạo script để chạy iptables 70 $ cat /etc/firewall.sh #!/bin/bash … iptables -A INPUT -p tcp dport 2811 -j DROP iptables -A INPUT -p udp dport 2811 -j DROP … Chạy script khởi động card mạng $ cat /etc/network/interfaces # This file describes the network interfaces available on your system # and how to activate them For more information, see interfaces(5) # The loopback network interface auto lo iface lo inet loopback # The primary network interface auto eth1 iface eth1 inet static address 172.16.2.32 netmask 255.255.255.0 network 172.16.2.0 broadcast 172.16.2.255 gateway 172.16.2.1 pre-up /etc/firewall.sh Khởi động lại card mạng $ sudo /etc/init.d/networking restart Khi Firewall chặn cổng 2811, cổng dịch vụ truyền file GridFTP 71 KẾT LUẬN Luận văn đề cập đến Tổng quan an tồn thơng tin hệ thống tính toán lưới, giải pháp bảo mật kết hợp tảng an ninh lưới GSI an ninh hệ thống tưởng lửa Iptables Các vấn đề luận văn chủ yếu giải quyết, thử nghiệm dựa middleware: Globus Toolkit.Trong tương lai, với kết có q trình làm luận văn, tơi định hướng phát triển luận văn theo hướng: - - Nghiên cứu, so sánh giải pháp an toàn thơng tin Điện tốn đám mây Thử nghiệm cài đặt grid với cơng nghệ ảo hóa mây hóa Stratuslab vấn đề an tồn thơng tin Ứng dụng DIRAC middleware vào hệ thống thử nghiệm để gia tăng linh động kết nối, thân thiện với người dùng thay đổi cách quản trị liệu hệ thống Sử dụng hiểu biết, làm chủ an toàn thơng tin lưới áp dụng cho tốn triển khai Lưới Việt Nam: o Đề tài khoa học công nghệ cấp Viện Khoa học Công nghệ Việt Nam: ”Ứng dụng lưới đám mây điện tốn để tính sẵn kịch ứng phó sóng thần xảy khu vực Biển Đông nhằm phục vụ công tác cảnh báo.” Thực từ: tháng 01/2012 đến tháng 12/2013 o Thực sàng lọc ảo tính tốn lưới điện tốn đám mây với liệu Việt Nam- Nghiên cứu sinh Bùi Thế Quang- IFI o … 72 TÀI LIỆU THAM KHẢO Tiếng Việt [1] PGS TS Vũ Đức Thi đồng nghiệp, Viện Công nghệ Thông tin, Viện khoa học Công nghệ Việt Nam, Đề tài KC.01.04/06-10, “Nghiên cứu, phát triển hệ thống tính tốn lưới để hỗ trợ giải tốn có khối lượng tính tốn lớn” [2] Xơn xay, Nguyễn Tuấn Việt, Trầm Thế Phiên “Grid Computing Middleware” Tiếng Anh [3] Globus Toolkit: http://www.globus.org/toolkit/docs/5.0/5.0.4/security/ [4] Ian Foster,Carl Kesselman “The grid: blueprint for a new computing infrastructure” [5] Ian Foster,Yong Zhao, Ioan Raicu, Shiyong Lu “Cloud Computing and Grid Computing 360-Degree Compared” [6] European Grid Infrastructure (EGI), http://egi.edu/ [7] Von Welch1, Frank Siebenlist, Ian Foster, John Bresnahan “Security for Grid Services” [8] Unicore, http://www.unicore.eu/ [9] gLite Consortium, gLite Middleware, http://glite.org [10] Stratuslab, http://stratuslab.com/ Thank you for evaluating AnyBizSoft PDF Splitter A watermark is added at the end of each output PDF file To remove the watermark, you need to purchase the software from http://www.anypdftools.com/buy/buy-pdf-splitter.html Thank you for evaluating AnyBizSoft PDF Merger! To remove this page, please register your program! Go to Purchase Now>> AnyBizSoft PDF Merger  Merge multiple PDF files into one  Select page range of PDF to merge  Select specific page(s) to merge  Extract page(s) from different PDF files and merge into one ... 7 Chương - Tổng quan an tồn thơng tin hệ thống tính tốn lưới 1.1 Vai trị tính toán lưới Trước phát triển mạnh mẽ điện toán đám mây, phần trả lời cho câu hỏi ý nghĩa điện toán lưới ngày 1.1.1 Giới... giải pháp bảo mật cục bộ: Đó việc tổ chức, tài nguyên có giải pháp bảo mật riêng cho Do đó, giải pháp bảo mật hệ thống lưới tận dụng giải pháp bảo mật cục có sẵn mà không cần phải thay giải pháp. .. Infrastructure Kiến trúc an ninh lưới FTP File Transfer Protocol Giao thức truyền tập tin MỞ ĐẦU Tính tốn lưới giữ vai trị vô quan trọng, đặc biệt lĩnh vực nghiên cứu Trên giới, dự án tính t? ?an lưới tiếp tục