Đồ án tốt nghiệp Trần Xuân Hào GVHD: Ths Mục lôc Môc lôc Lời cảm ơn Lời nói đầu .5 CHƯƠNG : số kiến thức MạNG MáY TíNH .6 Giao thức mạng 1.1 Giao thøc IP 1.1.1 Tỉng quan vỊ giao thøc IP 1.1.2 Địa IP .7 1.1.3 Mét sè giao thức đợc sử dụng mạng IP 1.1.4 Hoạt động giao thức IP 1.2 Giao thøc TCP 10 1.2.1 Tỉng quan vỊ giao thøc TCP .13 1.2.2 CÊu tróc gãi d÷ liƯu TCP 14 1.2.3 Ba bớc bắt tay tạo tập liên kết (The three- wayhandshake) .14 1.2.4 Bốn bớc bắt tay giải phóng liên kết 16 1.3 Dịch vụ DHCP 16 CHƯƠNG 2: Vấn đề an ninh, an toàn mạng máy tính giải pháp xác thực ngời dùng 17 Tỉng quan vỊ vấn đề an ninh an toàn mạng máy tính 17 2.1 Các giải pháp đảm bảo an ninh 17 2.2 Vấn đề bảo mật hệ thống mạng .18 2.2.1 Các vấn ®Ị chung vỊ b¶o mËt hƯ thèng 18 2.2.2 Một số khái niệm lịch sử bảo mật hệ thống 18 2.2.2.1 Đối tợng công mạng (intruder) 19 2.2.2.2 Các lỗ hổng bảo mËt 19 2.2.2.3 ChÝnh sách bảo mật 20 2.3 Các kiến thức xác thực ngời dùng 20 Đồ án tốt nghiệp Trần Xuân Hào GVHD: Ths 2.3.1 Khái niệm xác thực ngời dùng 20 2.3.2 Các giải ph¸p x¸c thùc ngêi dïng phỉ biÕn 23 2.3.3.2 Giải pháp dùng thẻ thông minh 25 2.3.3.3 Giải pháp xác thực sử dụng kü thuËt sinh tr¾c häc 26 2.4 C¸c giao thøc x¸c thùc .27 Khái niệm chung hệ thống th điện tư 30 3.1 Giíi thiƯu th ®iƯn tö 30 3.1.1Th điện tử ? 30 3.1.2 Lợi ích th điện tử 30 3.2 KiÕn tróc hoạt động hệ thống th điện tử 32 3.2.1.Những nhân tố hệ thống th ®iƯn tư 32 3.2.2 Giíi thiƯu vỊ giao thøc POP vµ IMAP .33 3.2.2.1 POP ( Post Office Protocol) 34 3.2.2.2 IMAP(Internet Mail Access Protocol) 35 3.2.2.3 So sánh POP3 IMAP4 .37 3.2.3 Đờng th 37 3.3 HÖ thèng DNS (Domain Name System) 40 3.3.1 Kh¸i niƯm vỊ hƯ thèng tên miền 40 3.3.2 Cấu tạo tªn miỊn 40 3.3.3 Giíi thiƯu vỊ hƯ thèng DNS 41 3.3.4 CÊu tróc cđa hƯ thèng tªn miền 42 3.3.5 Hoạt động DNS 43 3.3.6 C¸c ghi DNS liên quan DNS hÖ thèng E-mail 45 3.4 Active Directory .48 3.4.1 Giíi thiƯu Active Directory .48 3.4.2 Các thành phần Active Directory 48 Đồ án tốt nghiệp Trần Xuân Hào GVHD: Ths 3.4.3 Cấu trúc cña E-Mail 49 3.5 Quản trị hệ thống Mail server 51 3.5.1 Mục đích quản trị hệ thống Mail server 51 3.5.2 Các công việc cần thiết để quản trị hệ thống th điện tử 52 Chơng 4: Xây dựng mô hình mạng nội triển khai giảI pháp security 54 4.1 Mô hình mạng doanh nghiƯp 54 4.2 Cµi ®Ỉt POP3 SERVER 55 4.2.1 Cài đặt E-mail server POP3 56 4.2.2 Tạo USER sử dụng dịch vô Mail Server .56 4.3 øng dông Certification Authority b¶o mËt Mail Server 60 4.4 Sư dơng Certification authority cho Web Server .66 4.5 ThiÕt lËp IPSec cho việc truyền liệu Server máy trạm 75 4.5.1 Cài đặt công cụ Network monitor .75 4.5.2 Bắt gói tin truyền thông server máy trạm không mà hóa 75 4.5.3 ThiÕt lËp ipsec cho viƯc m· hãa trun d÷ liƯu cho server 77 4.5.3.1 T¹o bé läc m· hãa .77 4.5.3.2 Tạo hành động mà hóa cho bé läc .78 4.5.4 ThiÕt lËp luËt m· hãa cho chÝnh s¸ch ipsec cho server 79 4.5.5 Thiết lập IPSec cho máy trạm .82 KÕt luËn 88 Lêi nhËn xÐt cña giáo viên hớng dẫn 89 Tài liệu tham khảo 90 Đồ án tốt nghiệp Trần Xuân Hào GVHD: Ths Lời cám ơn Để hoàn thành đồ án này, chúng em đà nhận đợc nhiều giúp đỡ, bảo tận tình động viên thầy cô giáo khoa Công Nghệ Thông Tin là thầy giáo THS Trần Xuân Hào Xin chân thành cảm ơn thầy giáo, cô giáo, đặc biệt chúng em xin chân thành cảm ơn quan tâm, giúp đỡ, bảo nhiệt tình Thạc sỹ Trần Xuân Hào Tổ môn Khoa Học Máy Tính khoa CNTT trờng Đại Học Vinh Đồ án tốt nghiệp Trần Xuân Hào GVHD: Ths Lời nói đầu Trong thời đại công nghệ thông tin, việc ứng dụng mạng máy tính trở nên cần thiết mạng máy tính đóng vai trò quan trọng thiếu truyền thông Khi mạng máy tính trở nên phỉ biÕn vµ øng dơng réng r·i, viƯc øng dơng công nghệ thông tin vào mặt đời sống đà mang lại kết to lớn cho xà hội, đặc biệt thơng mại điện tử mạng máy tính nội Nhng với phát triển mạng máy tính vấn đề an ninh an toàn mạng máy tính bị đe dọa từ nhiều nguyên nhân góc độ khác Những trò phá hoại không ngừng gia tăng Sự phá hoại đà gây nhiều hậu nghiêm trọng, đà trở thành loại tội phạm Do cần phải có giải pháp góp phần đảm bảo an toàn cho tài nguyên hệ thống nhu cầu thiết thực cấp bách Vấn đề an ninh an toàn mạng máy tính nói chung vấn đề Security mạng nội nói riêng trở thành vấn đề nóng bỏng Đợc hớng dẫn tận tình thầy giáo THS Trần Xuân Hào chúng em tìm hiểu, nghiên cứu, khai thác tính hệ điều hành để xây dựng mô hình mạng nội doanh Đồ án tốt nghiệp Trần Xuân Hào GVHD: Ths nghiệp, giám sát vấn đề truy cập nguồn tài nguyên hệ thống dùng giải pháp Certification Authority, IP Security để bảo mật nhằm góp phần đảm bảo an ninh, an toàn cho mạng máy tính doanh nghiệp Trong trình làm tốt nghiệp với thời gian không nhiều, vốn kiến thức hạn chế nên không tránh khỏi thiếu sót, mong nhận đợc đánh giá nhận xét góp ý thầy cô bạn để hoàn thiện phát triển đề tài Đồ án gồm chơng Chơng 1: Một số kiến thức giao thức mạng Chơng 2: Vấn đề an ninh an toàn mạng máy tính giải pháp xác thực ngời dùng Chơng 3: Tổng quan hệ thống th điện tử Chơng 4: Xây dựng mô hình mạng nội triển khai giải pháp Security CHƯƠNG : số kiến thức MạNG MáY TíNH Giao thức mạng Việc trao đổi thông tin, cho dù đơn giản nhất, phải tuân theo quy tắc định Ngay hai ngời nói chuyện với mn cho cc nãi chun cã kÕt qu¶ thÝ hai phải ngầm tuân thủ quy tắc: ngời nói ngời phải nghe ngợc lại Việc truyền tín hiệu mạng vậy, cần phải có quy tắc, quy ớc nhiều mặt, từ khuôn dạng (cú pháp, ngữ nghĩa) liệu thủ tục gửi, nhận liệu kiểm soát hiệu chất lợng truyền tin xử lý lỗi cố yêu cầu quy tắc nhiều phức tạp Tập hợp tất quy tắc, quy ớc đợc gọi giao thức (protocol) mạng Rõ ràng Đồ án tốt nghiệp Trần Xuân Hào GVHD: Ths mạng sử dụng giao thức kh¸c t sù lùa chän cđa ngêi thiÕt kÕ Trên thực tế, giao thức phổ biến đợc sử dụng rộng rÃi mạng Internet nh mạng nội giao thức TCP/IP 1.1 Giao thøc IP 1.1.1 Tỉng quan vỊ giao thøc IP Mơc đích giao thức IP kết nối mạng thành liên mạng Giao thức IP nằm tầng mạng(network) mô hình OSI Giao thức IP giao thức kiểu không liên kết(connectionless), tức giai đoạn thiết lập liên kết trớc truyền liệu Khi máy tính tham gia vào trao đổi liệu mạng, sử dụng điều hợp mạng (network adapter) Mỗi điều hợp mạng đợc gắn với địa vật lý cố định nhất, nhà sản xuất định Trong mạng cục bộ, nơi trọng vào phần cứng vận chuyển liệu theo mạng vật lý nhờ sử dụng địa vật lý điều hợp Có nhiều loại mạng mạng có cách thức vận chuyển liệu khác Ví dụ: Một mạng Ethernet, máy tính gửi thông tin trực tiếp tới phận trung gian Bộ điều phối mạng máy tính lắng nghe tất tín hiệu truyền qua lại mạng cục để xác định thông tin có địa nhận giống Tất nhiên, với mạng rộng hơn, điều hợp lắng nghe tất thông tin Khi phận trung gian trở nên tải với số lợng máy tính đợc thêm mới, hình thức hoạt động hoạt động hiệu Đồ án tốt nghiệp Trần Xuân Hào GVHD: Ths Các nhà quản trị mạng thờng phải chia vùng mạng cách sử dụng thiết bị nh định tuyến để giảm lợng giao thông Trên mạng có định tuyến, ngời quản trị cần có cách để chia nhỏ mạng thành phần nhỏ (gọi tiểu mạng) thiết lập cấp độ để thông tin di chuyển tới đích cách hiệu TCP/IP cung cấp khả chia tiểu mạng thông qua địa logic Một địa logic địa đợc thiết lập phần mềm mạng Trong TCP/IP, địa logic máy tính đợc gọi địa IP Sau nghiên cứu kỹ lỡng địa IP 1.1.2 Địa IP Địa IP chuỗi 32bits, đợc sử dụng để định danh máy tính mạng Mỗi giao diện máy tính có hỗ trợ giao thức IP phải đợc gán địa IP (một máy tính gắn với nhiều mạng có nhiều địa IP) Địa IP gồm phần: địa mạng (netid) địa máy (hostid) Mỗi địa IP có độ dài 32 bits đợc tách thành vùng (mỗi vùng byte), biểu thị dới dạng thập phân, bát phân, thập lục phân hay nhị phân Cách viết phổ biến dùng ký pháp thập phân có dấu chấm (dotted decimal notation) để tách vùng Do tổ chức độ lớn mạng (subnet) liên mạng khác nhau, ngời ta chia địa IP thành lớp, ký hiệu A, B, C, D vµ E Trong líp A, B, C chứa địa gán đợc Lớp D dành riêng cho lớp kỹ thuật multicasting Lớp E đợc dành ứng dụng tơng lai Netid địa mạng dùng để nhận dạng mạng riêng biệt Các mạng liên kết phải có địa mạng (netid) riêng cho mạng bit byte đợc dùng để định danh lớp Đồ án tốt nghiệp Trần Xuân Hào GVHD: Ths địa chØ (0 - líp A, 10 - líp B, 110 - líp C, 1110 - líp D vµ 11110 líp E) ta xét cấu trúc lớp địa gán đợc lớp A, lớp B, lớp C Cấu trúc địa IP nh sau: Mạng lớp A: địa mạng (netid) Byte địa host (hostid) byte Mạng lớp B: địa mạng (netid) Byte địa host (hostid) byte Mạng lớp C: địa mạng (netid) Byte địa chØ host (hostid) lµ byte Líp A cho phÐp định danh tới 126 mạng, với tối đa 16 triệu host mạng Lớp đợc dùng cho m¹ng cã sè tr¹m cùc lín Líp B cho phÐp định danh tới 16384 mạng, với tối đa 65534 host mạng Lớp C cho phép định danh tới triệu mạng, với tối đa 254 host mạng Lớp đợc dùng cho mạng có trạm NetId Địa lớp 0xxxxxx HostId xxxxxx xxxxxx A x xx Địa lớp 10xxxxx xxxxxx xx B x xx Địa lớp 110xxxx xxxxxx xx C xxxxxx xx xxxxxx xxxxxx xx xxxxxx x xx xx H×nh 1: CÊu trúc lớp địa xxxxxx xx Một số địa có tính chất đặc biệt: Một địa có hostid = đợc dùng để hớng tới mạng định danh vùng netid Ngợc lại, địa có vùng hostid gồm toàn số đợc dùng để hớng tới tất host nối vào mạng netid, vùng Đồ án tốt nghiệp Trần Xuân Hào GVHD: Ths netid gồm toàn số hớng tới tất host liên mạng Cần lu ý địa IP đợc dùng để định danh host mạng tầng mạng mô hình OSI, chúng địa vật lý (hay địa MAC) trạm mạng cục (Ethernet, Token Ring.) Trong nhiều trờng hợp, mạng đợc chia thành nhiều mạng (subnet), lúc đa thêm vùng subnetid để định danh mạng Vùng subnetid đợc lấy từ vùng hostid, cụ thể líp A, B, C nh vÝ dơ sau: H×nh 2: Ví dụ địa bổ sung vùng subnetid 1.1.3 Một số giao thức đợc sử dụng mạng IP Để mạng với giao thức IP hoạt động đợc tốt ngời ta cần số giao thức bổ sung, giao thức phận giao thức IP giao thức IP dùng đến chóng cÇn Giao thøc ARP (Address Resolution Protocol): ë cần lu ý địa IP đợc dùng để định danh host mạng tầng mạng mô hình OSI, chúng địa vật lý (hay địa MAC) trạm mạng cục (Ethernet, Token Ring) Trên mạng cục hai trạm liên lạc với chúng biết địa vật lý Nh vấn đề đặt phải tìm đợc ánh xạ địa IP (32 bits) địa vật lý trạm Giao 10 Đồ án tốt nghiệp Trần Xuân Hào GVHD: Ths  Trong hép tho¹i Manage IP filter lists and filter actions, chóng ta chän thỴ Manage ip filter lists chọn Add để thêm lọc Trong cưa sỉ ip Filter lists, ë mơc Name chóng ta đặt tên cho lọc ví dụ: bo loc ma hoa” ë mơc Description chóng ta cã thĨ nhËp ghi là:bộ lọc mà hóa, sau nhấp nút Add 4.5.3.2 Tạo hành động mà hóa cho lọc 93 Đồ án tốt nghiệp Trần Xuân Hào GVHD: Ths T¹i cưa sỉ Manager IP filter list and filter action, chóng ta chän thỴ Manager Filter Action nhÊn nót Add để thêm hành động mà hóa cho lọc ”bo loc ma hoa”  Trong cưa sỉ Filter Action Name, mục Name bạn đặt tên cho hành động ví dụ: hành động mà hóa mục mà hóa nhập phần ghi hành động mà hãa” sau ®ã nhÊn nót Next ®Ĩ tiÕp tơc 4.5.4 ThiÕt lËp lt m· hãa cho chÝnh s¸ch ipsec cđa server sử dụng lọc mà hóa hành động mà hóa Tại cửa sổ Console, nhấp đúp vào sách sách cho máy server đà tạo, cưa sỉ “chÝnh s¸ch cho m¸y server” Ên nót Add 94 Đồ án tốt nghiệp Trần Xuân Hào GVHD: Ths Tại hình Welcome cửa sổ Security Rule Winzard, bạn chọn Next để tiếp tục Tại cửa sồ Tunnel Endpoint, giữ mặc định chọn Next để tiếp tục 95 Đồ án tốt nghiệp Trần Xuân Hào GVHD: Ths Tại cửa sổ Network type, giữ mặc định chọn next để tiếp tục T¹i cưa sỉ IP Filter List, chän bé läc “bo loc ma hoa ma dà tạo trên, nhấp Next để tiếp tục 96 Đồ án tốt nghiệp Trần Xuân Hào GVHD: Ths Tại cửa sổ Filter Action, chọn hành động mà hóahanh dong ma hoa mà đà tạo trên, nhấp Next để tiếp tơc  T¹i cưa sỉ Authentication Method , chän mơc Use this string to protect the exchange(preshared key) nhËpvµo tõ khóa: cntt nhấn Next 97 Đồ án tốt nghiệp Trần Xuân Hào GVHD: Ths Tại cửa sổ Completing the Security Rule Winzard, nhấp Finish để kết thúc trình tạo luật mà hóa kết nối máy trạm server  T¹i cưa sỉ Server IPSec Policy Propertices, nhÊp Apply sau nhấp OK để đóng cửa sổ lại Để thực hành động mà hóa ta nhấp chuột phảI vàochính sách cho máy server chọn Assign 4.5.5 Thiết lập IPSec cho máy trạm đợc mà hóa sử dụng khóa là: cntt 98 Đồ án tốt nghiệp Trần Xuân Hào GVHD: Ths Tại máy trạm làm tơng tự nh máy server để máy trạm kết nối đợc với máy Server sử dụng IPSec đà đợc mà hóa với từ khóa là: cntt Tạo lọc mà hóa Tạo hành động mà hóa Thiết lập luật m· hãa cho chÝnh s¸ch cđa server sư dơng “bo loc ma hoa hanh dong ma hoa Tại hộp thoại Console, nhấp đúp chuột vào chinh sach may tram đà tạo, cửa sổ chinh sach may tram , ta chọn Add Tại hình Welcome cđa cưa sỉ Security Rule Winzard, chóng ta chän Next để tiếp tục 99 Đồ án tốt nghiệp Trần Xuân Hào GVHD: Ths Tại cửa sổ Tunnel Endpoint, giữ mặc định nhấp Next để tiếp tục Tại cửa sổ Nextwork Type, giữ mặc định, bạn chọn Next để tiếp tục 100 Đồ án tốt nghiệp Trần Xuân Hào GVHD: Ths Tại cửa sổ Authentication Method, chän môc Use this string to protect the key exchange(preshared key) nhËp vµo tõ khãa: cntt NhÊn next  T¹i cưa sỉ IP Filter List, chän bé läc:”bo loc ma hoa mà ta đà tạo trên,nhấp Next để tiếp tục 101 Đồ án tốt nghiệp Trần Xuân Hào GVHD: Ths Tại cửa sổ Filter Action, chọn hành ®éng m· hãa:”hanh dong ma hoa”, vµ chän Next ®Ĩ tiÕp tơc  T¹i cưa sỉ Completing the New Rule Winzard, nhấp Finish để kết thúc trình tạo luật mà hóa kết nối máy trạm Server 102 Đồ án tốt nghiệp Trần Xuân Hào GVHD: Ths T¹i cưa sỉ “chinh sach may tram Policy Propertices” nhÊp ok để đóng cửa sổ lại Kích hoạt sách mà hóa máy trạm Tại cửa sổ Console, chuột phải vào sách:chinh sach may tram đà tạo, chọn mục Assign để sách có tác dụng 103 Đồ án tốt nghiệp Trần Xuân Hào GVHD: Ths Bắt gói tin truyền thông server máy trạm đà mà hóa Tại máy serber, mở chơng trình network monitor Nhấp vào nút Start capture công cụ để tiến hành bắt gói tin qua card mạng server Tại máy trạm, chóng ta gâ lƯnh “net send 10.0.0.222 **lop 45ktin dai hoc vinh** để gửi tin nhắn đến server Trở lại máy server, cửa sổ chơng trình Network Monitor, nhấn nút STOP Capture để dừng việc bắt gãi tin Råi tiÕp tơc nhÊn Dislay Captured data ®Ĩ tiến hành phân tích gói tin Tại cửa sổ hiển thị gói tin đà bắt đợc, gói tin đà đợc mà hóa với giao thøc ESP (Encap Security Payload ) Ta quan s¸t gãi tin cã Src Other Addr la 10.0.0.3 (tøc lµ gói tin từ máy trạm gửi tin nhắn cho server) Nhờ áp dụng tính IPSec nên nội dung gói tin đà đợc mà hóa Và nh việc truyền liệu đợc bảo đảm đợc tính bảo mật 104 Đồ án tốt nghiệp Trần Xuân Hào GVHD: Ths Ngoài tính mà hóa thi IPSec có số tính khác nh Kết luận Đồ án đà tìm hiểu tính hệ điều hành Window để xây dựng mô hình mạng nội bộ, kết hợp với giải pháp Certification Authority IPSec để Security cho mô hình mạng nội Trong trình làm đồ án với thời gian không nhiều, không tránh khỏi thiếu sót, hạn chế, mong nhận đợc đánh giá nhận xét góp ý thầy cô bạn để hoàn thiện đề tài, đạt đợc mục tiêu đà đặt Chúng em xin chân thành cảm ơn thầy cô giáo khoa CNTT, đặc biệt thầy thầy giáo THS Trần Xuân Hào đà tận tình hớng dẫn, giúp đỡ chúng em hoàn thành đề tài này! 105 Đồ án tốt nghiệp Trần Xuân Hào GVHD: Ths Nhận xet giáo viên hớng dẫn 106 Đồ án tốt nghiệp Trần Xuân Hào GVHD: Ths Tài liệu tham khảo [1] Mạng máy tính Tác giả Ts Phạm Thế Quế [2] Bo mt mng Bí giải pháp Nhóm biên dịch VN_Guide, NXB thống kê 2000 [3] http://www.quantrimang.com [4] http://www.cntt.vn [5] http://www.gccom.net/blog [6] http://vi.wikipedia.org [7] http://www.nhatnghe.com [8] http://www.ilopia.com/Articles/WindowsServer2003/EmailServer aspx 107 ... tới 126 mạng, với tối đa 16 triệu host mạng Lớp đợc dùng cho mạng có số trạm cực lớn Lớp B cho phép định danh tới 16384 mạng, với tối đa 65534 host mạng Lớp C cho phép định danh tới triệu mạng, ... trị mạng thờng phải chia vùng mạng cách sử dụng thiết bị nh định tuyến để giảm lợng giao thông Trên mạng có định tuyến, ngời quản trị cần có cách để chia nhỏ mạng thành phần nhỏ (gọi tiểu mạng) ... E đợc dành ứng dụng tơng lai Netid địa mạng dùng để nhận dạng mạng riêng biệt Các mạng liên kết phải có địa mạng (netid) riêng cho mạng bit byte đợc dùng để định danh lớp Đồ án tốt nghiệp Trần