Đồ án tốt nghiệp GVHD: Ths. Trần Xuân Hào Trờng đại học vinh Khoa công nghệ thông tin -- -- Trần văn chung nguyễn thị xuân hoài đồ án tốt nghiệp đại học tìm hiểu & khai thác một số tính năng của hệ điều hành nhằm đảm bảo an ninh mạng nội bộ Giáo viên hớng dẫn: ThS. Trần Xuân Hào Vinh, 05/2009 Nhóm sinh viên thực hiện: Nguyễn Thị Xuân Hoài & Trần Văn Chung 1 Đồ án tốt nghiệp GVHD: Ths. Trần Xuân Hào Mục lục Mục lục 1 Lời cảm ơn 4 Lời nói đầu .5 CHƯƠNG 1 : một số kiến thức cơ bản về MạNG MáY TíNH .6 1. Giao thức mạng .6 1.1. Giao thức IP .6 1.1.1. Tổng quan về giao thức IP 6 1.1.2. Địa chỉ IP 7 1.1.3. Một số giao thức đợc sử dụng trong mạng IP .9 1.1.4. Hoạt động của giao thức IP .9 1.2. Giao thức TCP 10 1.2.1. Tổng quan về giao thức TCP .13 1.2.2. Cấu trúc gói dữ liệu TCP 14 1.2.3. Ba bớc bắt tay tạo tập liên kết (The three- way-handshake) 14 1.2.4. Bốn bớc bắt tay giải phóng liên kết 16 1.3. Dịch vụ DHCP .16 CHƯƠNG 2: Vấn đề an ninh, an toàn mạng máy tính và các giải pháp xác thực ngời dùng .17 2. Tổng quan về vấn đề an ninh an toàn mạng máy tính .17 2.1. Các giải pháp cơ bản đảm bảo an ninh 17 2.2. Vấn đề bảo mật hệ thống và mạng 18 2.2.1. Các vấn đề chung về bảo mật hệ thống 18 2.2.2. Một số khái niệm và lịch sử bảo mật hệ thống .18 2.2.2.1. Đối tợng tấn công mạng (intruder) 19 2.2.2.2. Các lỗ hổng bảo mật 19 Nhóm sinh viên thực hiện: Nguyễn Thị Xuân Hoài & Trần Văn Chung 2 Đồ án tốt nghiệp GVHD: Ths. Trần Xuân Hào 2.2.2.3. Chính sách bảo mật 20 2.3. Các kiến thức cơ bản về xác thực ngời dùng .20 2.3.1. Khái niệm về xác thực ngời dùng .20 2.3.2. Các giải pháp xác thực ngời dùng phổ biến 23 2.3.3.2. Giải pháp dùng thẻ thông minh .25 2.3.3.3. Giải pháp xác thực sử dụng các kỹ thuật sinh trắc học .26 2.4. Các giao thức xác thực .27 Chơng 3: tổng quan về hệ thống th điện tử 30 3. Khái niệm chung về hệ thống th điện tử 30 3.1. Giới thiệu th điện tử 30 3.1.1Th điện tử là gì ? .30 3.1.2. Lợi ích của th điện tử 30 3.2. Kiến trúc và hoạt động của hệ thống th điện tử .32 3.2.1.Những nhân tố cơ bản của hệ thống th điện tử 32 3.2.2. Giới thiệu về giao thức POP và IMAP 33 3.2.2.1. POP ( Post Office Protocol) .34 3.2.2.2. IMAP(Internet Mail Access Protocol) .35 3.2.2.3. So sánh POP3 và IMAP4 .37 3.2.3. Đờng đi của th .37 3.3. Hệ thống DNS (Domain Name System) .40 3.3.1. Khái niệm về hệ thống tên miền .40 3.3.2. Cấu tạo tên miền .40 3.3.3 Giới thiệu về hệ thống DNS .41 3.3.4. Cấu trúc của hệ thống tên miền 42 3.3.5. Hoạt động của DNS 43 3.3.6. Các bản ghi của DNS và liên quan giữa DNS và hệ thống E-mail .45 3.4. Active Directory .48 3.4.1 Giới thiệu Active Directory .48 3.4.2. Các thành phần của Active Directory .48 Nhóm sinh viên thực hiện: Nguyễn Thị Xuân Hoài & Trần Văn Chung 3 Đồ án tốt nghiệp GVHD: Ths. Trần Xuân Hào 3.4.3 Cấu trúc của E-Mail .49 3.5. Quản trị hệ thống Mail server 51 3.5.1. Mục đích của quản trị hệ thống Mail server .51 3.5.2. Các công việc cần thiết để quản trị hệ thống th điện tử 52 Chơng 4: Xây dựng mô hình mạng nội bộ và triển khai giảI pháp security .54 4.1. Mô hình mạng doanh nghiệp .54 4.2. Cài đặt POP3 SERVER 55 4.2.1. Cài đặt E-mail server POP3 56 4.2.2. Tạo các USER và sử dụng dịch vụ Mail Server .56 4.3. ứng dụng Certification Authority bảo mật Mail Server 60 4.4. Sử dụng Certification authority cho Web Server 66 4.5. Thiết lập IPSec cho việc truyền dữ liệu giữa Server và các máy trạm .75 4.5.1. Cài đặt công cụ Network monitor .75 4.5.2. Bắt gói tin truyền thông giữa server và máy trạm khi không mã hóa 75 4.5.3. Thiết lập ipsec cho việc mã hóa truyền dữ liệu cho server .77 4.5.3.1. Tạo bộ lọc mã hóa 77 4.5.3.2. Tạo hành động mã hóa cho bộ lọc .78 4.5.4. Thiết lập luật mã hóa cho chính sách ipsec cho server .79 4.5.5. Thiết lập IPSec cho máy trạm .82 Kết luận 88 Tài liệu tham khảo 89 Nhóm sinh viên thực hiện: Nguyễn Thị Xuân Hoài & Trần Văn Chung 4 Đồ án tốt nghiệp GVHD: Ths. Trần Xuân Hào Lời cảm ơn Để hoàn thành đồ án này, chúng em đã nhận đợc rất nhiều sự giúp đỡ, chỉ bảo tận tình và động viên của các thầy cô giáo khoa Công Nghệ Thông Tin nhất là là thầy giáo THS Trần Xuân Hào. Xin chân thành cảm ơn các thầy giáo, cô giáo, đặc biệt chúng em xin chân thành cảm ơn sự quan tâm, giúp đỡ, chỉ bảo nhiệt tình của Thạc sỹ Trần Xuân Hào Tổ bộ môn Khoa Học Máy Tính khoa CNTT trờng Đại Học Vinh. Nhóm sinh viên thực hiện: Nguyễn Thị Xuân Hoài & Trần Văn Chung 5 Đồ án tốt nghiệp GVHD: Ths. Trần Xuân Hào Lời nói đầu Trong thời đại công nghệ thông tin, việc ứng dụng mạng máy tính càng trở nên cần thiết và mạng máy tính đóng một vai trò quan trọng không thể thiếu trong truyền thông. Khi mạng máy tính trở nên phổ biến và ứng dụng rộng rãi, việc ứng dụng công nghệ thông tin vào mọi mặt của đời sống đã mang lại những kết quả to lớn cho xã hội, đặc biệt là trong thơng mại điện tử của mạng máy tính trong nội bộ. Nhng cùng với sự phát triển của mạng máy tính thì vấn đề an ninh an toàn mạng máy tính cũng bị đe dọa từ nhiều nguyên nhân và góc độ khác nhau. Những trò phá hoại không ngừng gia tăng. Sự phá hoại ấy đã gây ra nhiều hậu quả nghiêm trọng, nó đã trở thành một loại tội phạm. Do vậy cần phải có những giải pháp góp phần đảm bảo an toàn cho tài nguyên của hệ thống là một nhu cầu thiết thực và cấp bách. Vấn đề an ninh an toàn mạng máy tính nói chung và vấn đề Security mạng nội bộ nói riêng trở thành một trong những vấn đề nóng bỏng. Đợc sự hớng dẫn tận tình của thầy giáo THS Trần Xuân Hào chúng em tìm hiểu, nghiên cứu, khai thác các tính năng của hệ điều hành để xây dựng mô hình mạng nội bộ doanh nghiệp, giám sát các vấn đề truy cập trên các nguồn tài nguyên của hệ thống và dùng giải pháp Certification Authority, IP Security để bảo mật nhằm góp phần đảm bảo an ninh, an toàn cho mạng máy tính của doanh nghiệp. Trong quá trình làm tốt nghiệp với thời gian không nhiều, vốn kiến thức còn hạn chế nên không tránh khỏi những thiếu sót, rất mong nhận đợc sự đánh giá nhận xét và góp ý của thầy cô và các bạn để hoàn thiện và phát triển đề tài. Đồ án gồm 4 chơng Chơng 1: Một số kiến thức cơ bản về giao thức mạng. Chơng 2: Vấn đề an ninh an toàn mạng máy tính và giải pháp xác thực ngời dùng. Chơng 3: Tổng quan về hệ thống th điện tử. Chơng 4: Xây dựng mô hình mạng nội bộ và triển khai giải pháp Security Nhóm sinh viên thực hiện: Nguyễn Thị Xuân Hoài & Trần Văn Chung 6 Đồ án tốt nghiệp GVHD: Ths. Trần Xuân Hào CHƯƠNG 1 : một số kiến thức cơ bản về MạNG MáY TíNH 1. Giao thức mạng Việc trao đổi thông tin, cho dù là đơn giản nhất, cũng đều phải tuân theo những quy tắc nhất định. Ngay cả hai ngời nói chuyện với nhau muốn cho cuộc nói chuyện có kết quả thí ít nhất cả hai cùng phải ngầm tuân thủ quy tắc: khi ngời này nói thì ngời kia phải nghe và ngợc lại. Việc truyền tín hiệu trên mạng cũng vậy, cần phải có những quy tắc, quy ớc về nhiều mặt, từ khuôn dạng (cú pháp, ngữ nghĩa) của dữ liệu cho tới các thủ tục gửi, nhận dữ liệu kiểm soát hiệu quả và chất lợng truyền tin và xử lý các lỗi và các sự cố. yêu cầu về quy tắc càng nhiều và phức tạp hơn. Tập hợp tất cả những quy tắc, quy ớc đó đợc gọi là giao thức (protocol) của mạng. Rõ ràng là các mạng có thể sử dụng các giao thức khác nhau tuỳ sự lựa chọn của ngời thiết kế. Trên thực tế, giao thức phổ biến hiện nay đợc sử dụng rộng rãi trong mạng Internet cũng nh các mạng nội bộ là bộ giao thức TCP/IP. 1.1. Giao thức IP 1.1.1. Tổng quan về giao thức IP Mục đích chính của giao thức IP là kết nối các mạng con thành liên mạng. Giao thức IP nằm trong tầng mạng(network) của mô hình OSI. Giao thức IP là giao thức kiểu không liên kết(connectionless), tức là không có giai đoạn thiết lập liên kết trớc khi truyền dữ liệu. Khi một máy tính tham gia vào trao đổi dữ liệu trong mạng, nó sử dụng một bộ điều hợp mạng (network adapter). Mỗi một bộ điều hợp mạng này đợc gắn với một địa chỉ vật lý cố định và duy nhất, do nhà sản xuất quyết định. Trong mạng cục bộ, những nơi chỉ chú trọng vào phần cứng sẽ vận chuyển dữ liệu theo mạng vật lý nhờ sử dụng địa chỉ vật lý của bộ điều hợp. Có nhiều loại mạng và mỗi mạng có cách thức vận chuyển dữ liệu khác nhau. Ví dụ: Một mạng Ethernet, một máy tính gửi thông tin trực tiếp tới bộ phận trung gian. Bộ điều phối mạng của mỗi máy tính sẽ lắng nghe tất cả các tín hiệu truyền qua lại trong mạng cục bộ để xác định thông tin nào có địa chỉ nhận giống Nhóm sinh viên thực hiện: Nguyễn Thị Xuân Hoài & Trần Văn Chung 7 Đồ án tốt nghiệp GVHD: Ths. Trần Xuân Hào của mình. Tất nhiên, với những mạng rộng hơn, các bộ điều hợp không thể lắng nghe tất cả các thông tin. Khi các bộ phận trung gian trở nên quá tải với số lợng máy tính đợc thêm mới, hình thức hoạt động này không thể hoạt động hiệu quả. Các nhà quản trị mạng thờng phải chia vùng mạng bằng cách sử dụng các thiết bị nh bộ định tuyến để giảm lợng giao thông. Trên những mạng có định tuyến, ngời quản trị cần có cách để chia nhỏ mạng thành những phần nhỏ (gọi là tiểu mạng) và thiết lập các cấp độ để thông tin có thể di chuyển tới đích một cách hiệu quả. TCP/IP cung cấp khả năng chia tiểu mạng thông qua địa chỉ logic. Một địa chỉ logic là địa chỉ đợc thiết lập bằng phần mềm của mạng. Trong TCP/IP, địa chỉ logic của một máy tính đợc gọi là địa chỉ IP. Sau đây chúng ta sẽ nghiên cứu kỹ lỡng hơn về địa chỉ IP. 1.1.2. Địa chỉ IP Địa chỉ IP là một chuỗi 32bits, đợc sử dụng để định danh các máy tính trong mạng. Mỗi giao diện trong một máy tính có hỗ trợ giao thức IP đều phải đợc gán 1 địa chỉ IP (một máy tính có thể gắn với nhiều mạng do vậy có thể có nhiều địa chỉ IP). Địa chỉ IP gồm 2 phần: địa chỉ mạng (netid) và địa chỉ máy (hostid). Mỗi địa chỉ IP có độ dài 32 bits đợc tách thành 4 vùng (mỗi vùng 1 byte), có thể biểu thị dới dạng thập phân, bát phân, thập lục phân hay nhị phân. Cách viết phổ biến nhất là dùng ký pháp thập phân có dấu chấm (dotted decimal notation) để tách các vùng. Do tổ chức và độ lớn của các mạng con (subnet) của liên mạng có thể khác nhau, ngời ta chia các địa chỉ IP thành 5 lớp, ký hiệu là A, B, C, D và E. Trong lớp A, B, C chứa địa chỉ có thể gán đợc. Lớp D dành riêng cho lớp kỹ thuật multicasting. Lớp E đợc dành những ứng dụng trong tơng lai. Netid trong địa chỉ mạng dùng để nhận dạng từng mạng riêng biệt. Các mạng liên kết phải có địa chỉ mạng (netid) riêng cho mỗi mạng. ở đây các bit đầu tiên của byte đầu tiên đợc dùng để định danh lớp địa chỉ (0 - lớp A, 10 - lớp B, 110 - lớp C, 1110 - lớp D và 11110 - lớp E). ở đây ta xét cấu trúc của các lớp địa chỉ có thể gán đợc là lớp A, lớp B, lớp C. Cấu trúc của các địa chỉ IP nh sau: Nhóm sinh viên thực hiện: Nguyễn Thị Xuân Hoài & Trần Văn Chung 8 Đồ án tốt nghiệp GVHD: Ths. Trần Xuân Hào Mạng lớp A: địa chỉ mạng (netid) là 1 Byte và địa chỉ host (hostid) là 3 byte. Mạng lớp B: địa chỉ mạng (netid) là 2 Byte và địa chỉ host (hostid) là 2 byte. Mạng lớp C: địa chỉ mạng (netid) là 3 Byte và địa chỉ host (hostid) là 1 byte. Lớp A cho phép định danh tới 126 mạng, với tối đa 16 triệu host trên mỗi mạng. Lớp này đợc dùng cho các mạng có số trạm cực lớn. Lớp B cho phép định danh tới 16384 mạng, với tối đa 65534 host trên mỗi mạng. Lớp C cho phép định danh tới 2 triệu mạng, với tối đa 254 host trên mỗi mạng. Lớp này đợc dùng cho các mạng có ít trạm. NetId HostId Địa chỉ lớp A 0xxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx Địa chỉ lớp B 10xxxxxx xxxxxxxx xxxxxxxx xxxxxxxx Địa chỉ lớp C 110xxxxx xxxxxxxx xxxxxxxx xxxxxxxx Hình 1: Cấu trúc các lớp địa chỉ Một số địa chỉ có tính chất đặc biệt: Một địa chỉ có hostid = 0 đợc dùng để hớng tới mạng định danh bởi vùng netid. Ngợc lại, một địa chỉ có vùng hostid gồm toàn số 1 đợc dùng để hớng tới tất cả các host nối vào mạng netid, và nếu vùng netid cũng gồm toàn số 1 thì nó hớng tới tất cả các host trong liên mạng. Cần lu ý rằng các địa chỉ IP đợc dùng để định danh các host và mạng ở tầng mạng của mô hình OSI, và chúng không phải là các địa chỉ vật lý (hay địa chỉ MAC) của các trạm trên đó một mạng cục bộ (Ethernet, Token Ring.). Trong nhiều trờng hợp, một mạng có thể đợc chia thành nhiều mạng con (subnet), lúc đó có thể đa thêm các vùng subnetid để định danh các mạng con. Vùng subnetid đợc lấy từ vùng hostid, cụ thể đối với lớp A, B, C nh ví dụ sau: Hình 2: Ví dụ địa chỉ khi bổ sung vùng subnetid 1.1.3. Một số giao thức đợc sử dụng trong mạng IP Nhóm sinh viên thực hiện: Nguyễn Thị Xuân Hoài & Trần Văn Chung 9 Đồ án tốt nghiệp GVHD: Ths. Trần Xuân Hào Để mạng với giao thức IP hoạt động đợc tốt ngời ta cần một số giao thức bổ sung, các giao thức này đều không phải là bộ phận của giao thức IP và giao thức IP sẽ dùng đến chúng khi cần. Giao thức ARP (Address Resolution Protocol): ở đây cần lu ý rằng các địa chỉ IP đợc dùng để định danh các host và mạng ở tầng mạng của mô hình OSI, và chúng không phải là các địa chỉ vật lý (hay địa chỉ MAC) của các trạm trên đó một mạng cục bộ (Ethernet, Token Ring). Trên một mạng cục bộ hai trạm chỉ có thể liên lạc với nhau nếu chúng biết địa chỉ vật lý của nhau. Nh vậy vấn đề đặt ra là phải tìm đợc ánh xạ giữa địa chỉ IP (32 bits) và địa chỉ vật lý của một trạm. Giao thức ARP đã đợc xây dựng để tìm địa chỉ vật lý từ địa chỉ IP khi cần thiết. Giao thức RARP (Reverse Address Resolution Protocol): Là giao thức ngợc với giao thức ARP. Giao thức RARP đợc dùng để tìm địa chỉ IP từ địa chỉ vật lý. Giao thức ICMP (Internet Control Message Protocol): Giao thức này thực hiện truyền các thông báo điều khiển (báo cáo về các tình trạng các lỗi trên mạng) giữa các gateway hoặc một nút của liên mạng. Tình trạng lỗi có thể là: một gói tin IP không thể tới đích của nó, hoặc một router không đủ bộ nhớ đệm để lu và chuyển một gói tin IP. Một thông báo ICMP đợc tạo và chuyển cho IP, IP sẽ "bọc" (encapsulate) thông báo đó với một IP header và truyền đến cho router hoặc trạm đích. 1.1.4. Hoạt động của giao thức IP Khi giao thức IP đợc khởi động nó trở thành một thực thể tồn tại trong máy tính và bắt đầu thực hiện những chức năng của mình, lúc đó thực thể IP là cấu thành của tầng mạng, nhận yêu cầu từ các tầng trên nó và gửi yêu cầu xuống các tầng dới nó. Đối với thực thể IP ở máy nguồn, khi nhận đợc một yêu cầu gửi từ tầng trên, nó thực hiện các bớc sau đây: Tạo một IP datagram dựa trên tham số nhận đợc. Tính checksum và ghép vào header của gói tin. Ra quyết định chọn đờng: hoặc là trạm đích nằm trên cùng mạng hoặc một gateway sẽ đợc chọn cho chặng tiếp theo. Nhóm sinh viên thực hiện: Nguyễn Thị Xuân Hoài & Trần Văn Chung 10