i ĐẠI HỌC THÁI NGUYÊN TRƢỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN & TRUYỀN THÔNG LƢU THỊ THANH HƢƠNG MỘT SỐ KỸ THUẬT LỌC GÓI TIN TRONG IP LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH Thái Nguyên - 2015 Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ ii LỜI CAM ĐOAN Những kết nghiên cứu đƣợc trình bày luận văn hồn tồn trung thực, khơng vi phạm điều luật sở hữu trí tuệ pháp luật Việt Nam Nếu sai, tơi hồn tồn chịu trách nhiệm trƣớc pháp luật Thái nguyên, ngày 20 tháng năm 2015 Tác giả luận văn Lưu Thị Thanh Hương Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ iii LỜI CẢM ƠN Trƣớc hết xin gửi lời cảm ơn sâu sắc đến thầy hƣớng dẫn khoa học PGS.TS Nguyễn Văn Tam dẫn khoa học, định hƣớng nghiên cứu tận tình hƣớng dẫn tơi suốt q trình làm luận văn Tơi xin cảm ơn các Thầy viện Công Nghệ Thông Tin, Thầy, Cô giáo trƣờng Đại học Công Nghệ Thông Tin Truyền Thông - Đại học Thái Nguyên cung cấp cho kiến thức vô quý báu cần thiết suốt thời gian học tập trƣờng để tơi thực hoàn thành tốt đồ án chuyên ngành Tôi xin chân cảm ơn lãnh đạo, bạn đồng nghiệp trƣờng THPT Đồng Hỷ tạo điều kiện giúp đỡ công việc để yên tâm theo học Cuối cùng, tơi xin cảm ơn gia đình bạn bè, ngƣời ủng hộ động viên tơi, giúp tơi n tâm có tâm lý thuận lợi để nghiên cứu luận văn Tuy nhiên giới hạn mặt thời gian kiến thức nên đồ án chắn không tránh khỏi sai sót ngồi ý muốn Tơi mong nhận đƣợc thơng cảm đóng góp ý kiến thầy cô bạn Học viên Lƣu Thị Thanh Hƣơng Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ iv MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN iii MỤC LỤC iv BẢNG KÝ HIỆU CÁC TỪ VIẾT TẮT .vi DANH MỤC CÁC HÌNH VẼ viii DANH MỤC BẢNG .x MỞ ĐẦU .1 Chƣơng TỔNG QUAN VỀ AN TOÀN VÀ BẢO MẬT TRONG MẠNG IP 1.1 Các khái niệm 1.1.1 An toàn bảo mật gì? [11] 1.1.2 Các nguy gây an toàn [11] 1.2 Các kiểu công mạng IP [2] .4 1.2.1 Các kỹ thuật bắt thông tin .4 1.2.2 Tấn công xâm nhập mạng 1.2.3 Tấn công từ chối dịch vụ DoS, DdoS [6] 1.3 Các biện pháp bảo vệ an toàn mạng .10 1.3.1 An toàn trung chuyển (Transit Security) 10 1.3.1.1 Các mạng riêng ảo (VPN - Virtual Private Network) [11] 10 1.3.1.2 Giải pháp mật mã thông tin (Cryptography) [2] 11 1.3.2 Giải pháp kiểm soát lƣu lƣợng (Traffic Regulation) 17 1.3.2.1 Giải pháp phát phòng tránh xâm nhập [3] 17 1.3.2.2 Giải pháp kỹ thuật tƣờng lửa (Firewall technology) [5] 19 Chƣơng 27 Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ v KỸ THUẬT LỌC GÓI TIN 27 2.1 Kỹ thuật lọc gói tin .27 2.2 Kỹ thuật lọc gói tin tĩnh 30 2.2.1 Giải thuật lọc gói tĩnh [4] 30 2.2.2 Lọc gói dựa tiêu đề TCP/UDP .33 2.2.3 Lọc gói dựa tiêu đề gói tin IP 37 2.2.4 Mặc định từ chối so với mặc định cho phép .40 2.3 Kỹ thuật lọc gói tin động 40 2.3.1 Giải thuật lọc gói tin động [4] 41 2.3.2 Theo dõi trạng thái 43 2.3.3 Lƣu giữ kiểm tra trạng thái 46 2.3.4 Theo dõi số trình tự TCP 46 2.3.5 Kiểm tra giao thức .47 2.4 Sự khác kỹ thuật lọc gói tin tĩnh kỹ thuật lọc gói tin động .48 Chƣơng 49 XÂY DỰNG THỬ NGHIỆM BỨC TƢỜNG LỬA 49 3.1 Phân tích tốn 49 3.1.1 Xây dựng sách lọc gói tin tĩnh 50 3.1.2 Xây dựng sách lọc gói tin động 51 3.2 Phân tích lựa chọn công cụ 51 * Hoạt động xử lý gói tin IP 53 3.3 Kết thử nghiệm thực thi chƣơng trình 56 KẾT LUẬN 66 TÀI LIỆU THAM KHẢO -m icmp icmp-type 11/1 -j ACCEPT $IPTABLES -A Cid4169X2512.0 -p tcp -m tcp -m multiport dports 21,80,443,143,110,25,22 -j ACCEPT Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ 62 //Tạo luồng mới, lưu vào bảng luồng Nếu chưa tồn bảng luồng $IPTABLES -A INPUT -p icmp ACCEPT $IPTABLES -A INPUT -p icmp ACCEPT $IPTABLES -A INPUT -p icmp ACCEPT $IPTABLES -A INPUT -p icmp j ACCEPT $IPTABLES -A INPUT -p icmp j ACCEPT -m icmp icmp-type -m state state NEW -j -m icmp icmp-type 0/0 -m state state NEW -j -m icmp icmp-type 8/0 -m state state NEW -j -m icmp icmp-type 11/0 -m state state NEW -m icmp icmp-type 11/1 -m state state NEW - $IPTABLES -A INPUT -p tcp -m tcp -m multiport dports 21,80,443,143,110,25,22 -m state state NEW -j ACCEPT Tương tự cho luồng lại từ Rule – Rule NHƢ ĐƢỢC TRÌNH BÀY TRONG PHỤ LỤC Kiểm tra tồn bảng luồng Nếu thấy so sánh thơng tin kết nối có phù hợp hay khơng Các gói tin dịch vụ sau hợp luồng đƣợc cho accept cịn lại hủy gói tin 4, Nếu chƣa có luồng tạo luồng mới, lƣu vào bảng luồng Chi tiết chƣơng trình tạo luật lọc gói tin động đƣợc trình bày Phụ lục Khi thực thi chƣơng trình, luật firewall đƣợc cài đặt active thiết bị Nếu có kết nối thực dải địa phòng máy nhƣ địa hosting tƣơng ứng sách luật đƣợc thực thi Hình 3.8 Giao diện chƣơng trình Quikly Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ 63 * Tóm tắt chƣơng trình quickly: Chƣơng trình quickly sử dụng lập trình python Nó cho phép thực thi lệnh shell dòng lệnh import os import os.system import os.spawn* import os.popen* import popen2.* import commands.* Class FirewallUI(Window): gtype_name “FirewallUI” def finish_initializing( self, builder): # pylint: disable=f1002 ”””Setup the main window””” supper(FirewallUI, self).finish_initializing(builder) self.PreferencesDialog = Preferences FirewallUIDialog // main code def on_tbtNewStaticFW_clicked( self, builder): ””” – Static firewall button clicked – ””’ process = subprocess.Popen ([ufw,'-disable], stdout=subprocess.PIPE) print process.stdout.read() process = subprocess.Popen("/home/huong/Desktop/staticFirewall.fw", shell=True) print process process = subprocess.Popen ([ufw,'-enable], stdout=subprocess.PIPE) print process.stdout.read() def on_tbtNewStaticFW_clicked( self, builder): ””” – Dynamic firewall button clicked – ””’ process = subprocess.Popen ([ufw,'-disable], stdout=subprocess.PIPE) print process.stdout.read() process = subprocess.Popen("/home/huong/Desktop/DynamicFw.fw", shell=True) print process Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ 64 process = subprocess.Popen Popen([ufw,'-enable], stdout=subprocess.PIPE) print process.stdout.read() #buil Kết thử nghiệm đƣợc thực trƣờng hợp: * Trường hợp 1: Thử kiểm tra truy nhập Internet trƣờng hợp điều kiện truy cập không thỏa mãn theo tập luật cho kết nhƣ hình sau: Hình 3.9 Cấm truy cập Internet Khi điều kiện truy cập Internet thỏa mãn tập luật đƣợc phép truy cập cho kết nhƣ hình sau: Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ 65 Hình 3.10 Cho phép truy cập Internet Trường hợp 2: Thử kiểm tra tín hiệu kết nối tới Website bị cấm theo tập luật cho kết nhƣ hình sau: Hình 3.11 Luật chƣa đƣợc active Thử luật đƣợc active cho kết nhƣ hình sau: Hình 3.12 Luật đƣợc active Trong chƣơng 3, luận văn phát biểu toán cần giải Luận văn lựa chọn Bức tƣờng lửa mã nguồn mở IPTables và xây dƣng chƣơng trình lập sách cho trƣờng hợp lọc gói tĩnh lọc gói động tốn Luận văn giới thiệu cơng Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ 66 cụ Firewall Builder với giao diện Window cho phép ngƣời quản trị mạng tạo sách cho IPTables tƣờng lửa khác nhƣ Ipfilter pf (Packet filter) PIX dễ dàng Với hệ thống Firewall sử dụng Iptables Linux đạt đƣợc ổn định cao hệ điều hành Linux Iptables với nhiều chức đáp ứng đƣợc cho nhu cầu đơn vị có nhu cầu xây dựng hệ thống Firewall có mạng nội kết nối Internet KẾT LUẬN Thực đề tài tìm hiểu “Một số kỹ thuật lọc gói tin IP”, sau trình học tập tìm hiểu em đạt đƣợc kết sau: A NHỮNG KẾT QUẢ CHÍNH CỦA LUẬN VĂN Đã trình bày khái quát An toàn bảo mật mạng IP Hệ thống hóa số kỹ thuật lọc gói tin: - Kỹ thuật lọc gói tin tĩnh - Kỹ thuật lọc gói tin động Luận văn có trình bày số giải pháp bảo vệ mạng, sử dụng giải pháp kỹ thuật tƣờng lửa Đã xây dựng chƣơng trình tạo bảng sách hệ thống bảo vệ an tồn mạng IP dựa hai kỹ thuật lọc gói tin tĩnh động sử dụng công cụ mã nguồn mở IP Tables B HƢỚNG PHÁT TRIỂN CỦA ĐỀ TÀI Tiếp tục nghiên cứu để hoàn thiện tốt hệ thống bảo vệ an toàn mạng phục vụ cho nhu cầu đơn vị Tìm hiểu, nghiên cứu thêm kỹ thuật hiệu kỹ thuật có Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ ... 27 Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ v KỸ THUẬT LỌC GÓI TIN 27 2.1 Kỹ thuật lọc gói tin .27 2.2 Kỹ thuật lọc gói tin tĩnh... Hệ thống hóa số kỹ thuật lọc gói tin: - Kỹ thuật lọc gói tin tĩnh - Kỹ thuật lọc gói tin động Luận văn có trình bày số giải pháp bảo vệ mạng, sử dụng giải pháp kỹ thuật tƣờng lửa Đã xây dựng chƣơng... hiểu ? ?Một số kỹ thuật lọc gói tin IP? ??, sau q trình học tập tìm hiểu em đạt đƣợc kết sau: A NHỮNG KẾT QUẢ CHÍNH CỦA LUẬN VĂN Đã trình bày khái qt An tồn bảo mật mạng IP Hệ thống hóa số kỹ thuật lọc