Chơng trình KC-01: Nghiên cứu khoa học phát triển công nghệ thông tin truyền thông Đề tài KC-01-01: Nghiên cứu số vấn đề bảo mật an toàn thông tin cho mạng dùng giao thức liên mạng máy tính IP Báo cáo kết nghiên cứu Phần mềm bảo mật mạng dùng giao thức IP Quyển 4A: Các phần mềm bảo mật gói IP hệ điều hành Linux Hà NộI-2002 Báo cáo kết nghiên cứu Phần mềm bảo mật mạng dùng giao thức IP Quyển 4A: Các phần mềm bảo mật gói IP hệ điều hành Linux Chủ trì nhóm thực hiện: TS Trần Duy Lai Mục lục Phần I Lập trình mạng Linux Chơng 1-Mạng IP Linux Tổng quan truyền thông thông điệp 1.1 Đờng dẫn truyền thông mạng 1.2 Chång giao thøc (Protocol Stack) 1.3 CÊu tróc cđa gói 1.4 Định tuyến Internet (Internet Routing) Khởi tạo mạng 2.1 Tổng quan 2.2 Khởi động 2.3 Các hàm liªn quan KÕt nèi (Connection) 3.1 Tỉng quan 3.2 Cấu trúc Socket 3.3 Socket định tuyến 3.4 Quá trình kết nối 3.5 Các hàm Linux Gửi thông điệp (Sending messages) 4.1 Tổng quan 4.2 Các bớc gửi liệu 4.3 Các hàm Linux Nhận thông điệp 5.1 Tổng quan 5.2 Các bớc nhận liệu 5.3 Các hàm Linux IP Forwarding 6.1 Tổng quan 6.2 Các bớc chuyển IP 6.3 Các hàm Linux Internet Protocol Routing 7.1 Tæng quan 7.2 Bảng định tuyến (Routing Tables) 7.3 Các hàm Linux Kết luận Chơng II- Lập trình mạng Linux Các khái niệm Cài đặt sk_buffs Các thủ tục hỗ trợ mức cao Thiết bị mạng 4.1 Cấu trúc thiết bị mạng 4.2 Đặt tên cho thiết bị mạng 4.3 Đăng ký thiết bị 4.4 Cấu trúc thiết bị 4.5 Hàng đợi Các hàm (methods) thiết bị mạng 5.1 Setup 5.2 TruyÒn frame 5.3 Frame Headers 5.4 Reception (nhận) Các hàm tùy chọn (optional functionality) 6.1 Activation Shutdown (Kích hoạt tắt) 6.2 Configuration Statistics Multicasting Các thủ tục hỗ trợ Ethernet PHần II Các sản phẩm bảo mật gói IP A Phần mỊm TRANSCRYPT Chѭѫng 1-Giҧi pháp Transcrypt Tỉng quan 1.1 Các tầng mạng mà hoá 1.2 Định tuyến IP mạng riêng ảo (Virtual Private Network) 1.3 Cách làm việc Transcrypt 1.4 Các thành phần TRANSCRYPT 1.5 Mà nguồn Mô tả giao thức 2.1 Mà hoá gói 2.2 Trao đổi khoá 2.3 Các vấn đề bảo mật 3.Gii phỏp can thip mұt mã Transcrypt 3.1 Gói tin ÿ˱ͫc g͵i ÿi 3.2 Nhn gúi tin Chơng 2-Phần mềm TRANSCRYPT Quá trình cài đặt 1.1 Điều kiện tiên 1.2 Mà nguồn TRANSCRYPT 1.3 Biên dịch 1.4 Cài đặt chơng trình TRANSCRYPT 1.5 Thiết lập cấu hình 1.6 Chạy chơng trình TRANSCRYPT Cấu hình phần mềm TRANSCRYPT 2.1 Các tuỳ chọn đặc biệt 2.2 Danh sách tất tham số 2.3 Lỗi điều khiển transcryptd Cài đặt TRANSCRYPT mô hình thử nghiệm 3.1 Cấu hình mạng 3.2 Thiết lập file cấu hình để thực kết nối TRANSCRYPT B Phần mềm IP-Crypto Chơng 1- Giải pháp bảo mật IP-CRYPTO Qun lý cỏc gói tin mҥng nhân Linux Kӻ thuұt tҥo card mҥng ҧo cách gӱi gói tin qua card mҥng ҧo Nhұn gói tin mҥng nhân Linux Các mơ hình bҧo mұt gói tin ӣ tҫng IP IP-Crypto 4.1 Mơ hình ho̩t ÿ͡ng vͣi s͹ t̩o l̵p ÿ˱ͥng h̯m IP-Crypto (tunnel mode) 4.2 B̫o m̵t ͧ t̯ng IP cho phiên truy͉n thông giͷa hai máy (Transport mode) 4.3 Ĉ͓nh d̩ng gói tin ÿóng viên ESP (Encapsulating Security Payload Packet Format) Quá trình gӱi gói tin IP-Crypto Nhұn gói tin IP-Crypto Chơng 2-Phần mềm IP-CRYPTO Mó ngun ca IP-CRYPTO Quá trình biên dӏch cài ÿһt IP-CRYPTO 2.1 Các yêu c̯u 2.2 Cài ÿ̿t ͧ ch͇ ÿ͡ kernel 2.3 Cài ÿ̿t ͧ ch͇ ÿ͡ module ThiӃt lұp cҩu hình cho IP-CRYPTO 3.1 C̭u hình m̩ng 3.2 C̭u hình IP-CRYPTO Các tӋp sau cài ÿһt C PHÇN MÒM dl-cryptor Chѭѫng 1-Bҧo mұt ӣ tҫng DataLink Cҩu trúc gói tin MAC (Medium Access Control) Lұp trình module bҧo mұt mҥng 2.1 L̵p trình module 2.2 Cài ÿ̿t xoá b͗ module 2.3 Module b̫o m̵t m̩ng ͧ t̯ng datalink Chѭѫng 2-Phҫn mӅm DL-Cryptor Mã nguӗn DL-Cryptor Quá trình biên dӏch cài ÿһt DL-Cryptor 2.1 Các yêu c̯u 2.2 D͓ch nhân mͣi 2.3 Biên d͓ch module datalink ThiӃt lұp cҩu hình cho DL-Cryptor DL-Cryptor trao ÿәi khóa tӵ ÿӝng D GI¶I PH¸P MËT M· Chѭѫng 1-Mã dӳ liӋu bҵng mã khӕi Mã khӕi MK1 1.1 Giíi thiƯu chung vỊ m· khối 1.2 Các cấu trúc mà khối 1.3 Nghiên cứu mô hình mà khối an toàn-chứng minh đợc 1.4 Mô hình mà khối MK-1 MK1 phần mềm bảo mật gói IP 2.1 Mode ho̩t ÿ͡ng cͯa mã kh͙i MK1 2.2 Khoá dùng MK1 Chѭѫng 2-Trao ÿәi khoá tӵ ÿӝng Thӫ tөc trao ÿәi khố có xác thӵc Ĉӏnh nghƭa cӫa thӫ tөc an toàn Các ÿһc trѭng mà thӫ tөc cҫn có Thđ tơc STS (tr¹m-tíi-tr¹m) Chѭѫng trình kex (key exchange) – Version 1.0 Sư dơng chơng trình KEX Các đặc tính KEX Trao đổi khoá tự động TransCrypt Trao đổi khoá tự động IP-Crypto 10 Trao đổi khoá tự động DL-Cryptor Phần I Lập trình mạng Linux Chơng Mạng IP Linux Tổng quan truyền thông thông điệp Mục trình bày tổng quan toàn hệ thống truyền tin mạng Linux Nó cung cấp số thảo luận cách cấu hình, cấu trúc liệu mô tả sở việc dẫn đờng IP 1.1 Đờng dẫn truyền thông mạng Hình 1: Truyền thông điệp qua Linux kernel Internet Protocol (IP) đợc coi trái tim hệ thống thông tin mạng Linux Trong Linux đợc gắn chặt với khái niệm tầng (nh transport, network, điều giúp cho cã thĨ sư dơng mét giao thøc kh¸c nh† ATM) IP kèm với khái niệm gói tin Hoạt động IP tầng mạng cách routing (dẫn đờng) forwarding (chuyển tiếp) nh encapsulating (bọc liệu), hình giúp cho bạn hiểu đợc cách Linux kernel chuyển gói tin qua Khi ứng dụng cần truyền thông, gửi gói tin thông qua socket tới tầng Giao vận (transport) (TCP UDP) sau gói tin đợc gửi tới tầng mạng (Network layer-IP) Trong tầng mạng, nhân tiến hành tìm kiếm tuyến (đờng dẫn) tới máy tính đích thông qua bảng định tuyến (routing cache) từ th«ng tin chun gãi cđa nã (FIB - Forwarding Information Base) Nếu gói tin đợc chuyển cho máy tính khác, kernel đánh địa cho gói gửi tới giao diện truyền tầng liên kết (link layer output interface) (thờng thiết bị Ethernet), nơi cuối thùc hiƯn viƯc gưi gãi tin thiÕt bÞ vËt lý Khi gói tin đợc truyền qua thiết bị vật lý, giao diện tiếp nhận nhận đợc kiểm tra xem gãi tin nµy cã thùc sù gưi cho hay không Nếu đúng, gửi gói tin lên tầng IP, tầng thực tìm ®†êng ®i ®Õn ®Ých cđa gãi NÕu gãi ®†ỵc chun tới máy tính khác, tầng IP gửi trả lại cho giao diện truyền (output interface) Nếu gói tin đợc gửi cho chơng trình ứng dụng, tầng IP chuyển lên tầng giao vận socket chơng trình ứng dụng đọc gói sẵn sàng Theo cách này, socket giao thức thực hàm định dạng kiểm tra khác Tất trình đợc thực với tham chiếu bảng bảng điều khiển (jump table) để phân tách thủ tục phần lớn chúng đợc khởi tạo trình khởi động máy tính Mục sau trình bày chi tiết trình khởi tạo 1.2 Chồng giao thức (Protocol Stack) Protocol Stack phần kernel code Với cấu trúc giao thức mạng theo cách làm cho hỗ trợ nhiều giao thức thời điểm Trong phần lu ý chủ yếu đến TCP/IP protocol stack đợc phân tích mô phần dới ... cứu Phần mềm bảo mật mạng dùng giao thức IP Quyển 4A: Các phần mềm bảo mật gói IP hệ điều hành Linux Chủ trì nhóm thực hiện: TS Trần Duy Lai Mục lục Phần I Lập trình mạng Linux Chơng 1 -Mạng IP Linux. .. TRANSCRYPT B Phần mềm IP- Crypto Chơng 1- Giải pháp bảo mật IP- CRYPTO Quҧn lý gói tin mҥng nhân Linux Kӻ thuұt tҥo card mҥng ҧo cách gӱi gói tin qua card mҥng ҧo Nhұn gói tin mҥng nhân Linux Các mơ... phục gói bị quản lý truyền thông Cả hai chép phần payload gói ngời dùng nhân Dù sao, hai giao thức phần tầng trung gian ứng dụng Mạng ã IP layer: IP giao thức tầng Mạng chuẩn Nó kiểm tra gói tin