Gúi Tin (Packet):

Một phần của tài liệu AN TOÀN VÀ BẢO MẬT MẠNG (Trang 28)

1.1 Packet là gỡ?

- Như chỳng ta đó biết cỏc tớn hiệu trao đổi giữa hai mỏy tớnh là cỏc tớn hiệu điện dưới dạng cỏc bớt nhị phõn 0/1.

- Với việc truyền dữ liệu dưới dạng cỏc bớt nhị phõn đơn thuần thỡ chỳng ta khụng thể nào biết được thụng tin nhận được là thụng tin gỡ, nú thuộc kiểu dạng dữ liệu nào, và nú gởi cho ứng dụng mạng nào trờn mỏy nhõn gúi tin.

- Để khắc phục cỏc khú khăn đú người ta đưa ra khỏi niệm gúi tin (data packet). Theo khỏi niệm này thỡ thụng tin dữ liệu trước khi được gởi đi nú sẽđược chia thành nhiều phần nhỏ, cỏc phần nhỏ này trước khi được gởi đi nú sẽđược đúng vào một khuụn dạng nào đú gọi là gúi tin sau đú nú mới được gởi đi. Trong gúi tin cú một phần dựng để chứa đựng cỏc thụng tin về nơi gởi và nhận, cũng như cỏc phương phỏp kiểm soỏt lỗi, mó húa, … gọi là phần mào đầu của gúi tin (data packet header)

- Giao thức TCP/IP là một trong những giao thức phổ biến nhất hiện nay sử dụng phương thức truyền dữ liệu dưới dạng gúi tin. Trong giao thức này nú cú rất nhiều loại gúi tin như: gúi TCP, gúi IP, gúi UDP,…

1.2 Gúi IP:

Đõy là loại gúi tin được sử dụng trong giao thức IP (internet protocol) ở lớp Internet trong mụ hỡnh TCP/IP

Gúi tin này cú chức năng là đảm bảo cho việc truyền dữ liệu một cỏch chớnh xỏc từ mỏy đến mỏy.

Version : trường này cú 4 bit nú cho biết phiờn bàn của giao thức IP đang được sử dụng . Số version nỏy hết sức quan trọng nhất là ngày nay ta đang tồn tại hai phiờn bản IP song song . Một số phần mềm ứng dụng trờn giao thức này khi xử lý một IP datagram nú bắt buột phải biết được số version , nếu nú khụng nhõn biết được số version thỡ coi như gúi tin dú bị lỗi và khụng được chấp nhận đểđược xử lý tiếp theo .

Header Length : trường này cú độ dài 4 bớt , nú cho biết số word được sử dụng IP header , ta sừ dụng trường này bởi vỡ IP header cú hai cấu trỳc là short_IP_header cú 20 byte , long_IP_header cú 24 byte do cú sử dụng trường option .

Type Of Service : cú độ dài 1 byte cho biết cỏch thức sử lý gúi tin khi nú được truyền trờn mạng .

Ba bớt đầu tiờn cho biết mức độưu tiờn của gúi tin 000 : thấp nhất

111: cao nhất Bit D quy định vềđộ trễ

1 : yờu cầu độ trễ thấp 0 : bỡnh thường

Bit T chỉ thụng lương yờu cầu 1 : yờu cầu thụng lượng cao 0 : bỡnh thường

Bớt R chỉđộ tin cậy yờu cầu 1 : độ tin cậy cao 0 : bỡnh thường Bit M yờu cầu về chi phớ

1 : chi phớ thấp 0 : bỡnh thường Bớt Z chưa được sử dụng .

Total Length : Cho biết độ dài của toàn bộ của một IP datagram bao gồm cả header , đơn vị tớnh là byte . Nú cú giỏ trị thấp nhất là 20byte và lớn nhất là 65535 byte . Trường này dựng để xỏc định độ lớn của phần data .

Identification : cú độ dài 16 bớt , dựng cho việc đỏnh số cỏc gúi tin khi truyền đi , nú cho biết thứ tự của gúi tin , số thứ tự này được cho bởi đầu phỏt và khụng bị thay đổi trong quỏ trỡnh đi từ nguồn tới đớch .

DF (don’t fragment): bớt này cho biết gúi tin đú cú được phộp chia nhỏ trong suốt quỏ trỡnh truyền hay khụng

1 : khụng cho phộp chia nhỏ 0 : cho phộp chia nhỏ

MD (more fragment) : cho biết sau nú cũn cú gúi tin nào khỏc hay khụng . 1 : cũn một gúi tin đứng sau nú

0 : khụng cũn gúi tin nào đứng sau nú bớt này chỉđược sử dụng khi DF cú giỏ trị 0

Fragment offset : cú độ dài 13 bớt , đơng vị tớnh của trường này là octect ( 1 ( 1 octect = 8 byte ) nú cho biết vị trớ của octect đầu tiờn cựa gúi bị phõn mảnh trong quỏ trỡnh truyền so với vị trớ của octect thứ 0 của gúi gốc . Trường này chỉ được sử dụng khi DF cú giỏ trị là 1 .

Time To Live : cú độ dài 1 byte , nú qui định thới gian sống của một gúi tin , đơn vị tớnh là số nỳt mạng mà nú đi qua , thời gian sống được thuyết lập khi gúi tin được gởi đi , và cứ mỗi lần đi qua một nỳt mạng thời gian sống của nú giảm đi một , nếu thời gian sồng bằng 0 trước khi gúi tin đi tới đớch thỡ nú sẽ bị hủy . Mục đớch là hạn chế tắc ngẽn trờn đường truyền .

Protocol : cú độ dài 1 byte , nú cho biết giao thức được sử dụng ở lớp trờn . VD : TCP ( 6 ) ; UDP ( 17 ) ……

Header Checksum : cú 16 bit dựng để kiểm tra lỗi của IP header , trường này cú thề thay đồi sau mổi lần qua một nỳt mạng nếu DF = 1 . Trường này dựng phương phỏp kiểm tra lỗi CRC .

Source/Destination address : chi biết địa chỉ nguồn và địa chỉđớch , mỗi trường cú độ dài 32 bớt .

Option : trường này cú độ dày từ 3 đến 4 byte , nú cú thểđược hoặc khụng được sử dụng . Nú cung cấp cỏc thụng tin về kiểm tra lổi , đo lường , ….

FC (flag copy) : bớt này cú chức năng là cú sao chộp trường option khi phõn mảnh (đoạn) hay khụng .

1 : sao chộp trường option cho tất cả cỏc phõn đoạn .

0 : chỉ cú phõn đoạn đầu tiờn cú trường option , cỏc phõn đoạn cũn lại thỡ khụng cú trường option .

Class : cú 2 bớt nú cú cỏc giỏ trị sau :

00 : dựng cho điều khiển datagram 10 : dựng cho mục đớch điều hành bản giỏ trị của trường type cựa option :

FC class Number option í nghĩa

1 00 00000 Marks the end of the options list 1 00 00001 No option (used for padding)

1 00 00010 Security options (military purposes only) 1 00 00011 Loose source routing

1 00 00111 Activates routing record (adds fields) 1 00 01000 Tream ID

1 00 01001 Strict source routing

Length : cho biết độ dài của trường option bao gồm cà trường type và length

Option data : dựng để chứa đựng cỏc thụng tin liờn quan do đến trường type .

Padding : trường này được sử dụng khi trường option cú độ dài nhỏ hơn 4 byte , trờn thực tế trường này chỉ là bộđệm lút them vào để cho dầy cấu trỳc khung.

Data : dựng để chứa dữ liệu của gúi tin . Nú cú độ dài khụng cốđịnh , tựy thuộc vào độ lớn của thụng tin truyền đi cũng như mụi trường mạng .

1.3. Gúi UDP:

Chức năng và cấu trỳc:

Chức năng:

Đõy là gúi tin được sử dụng trong giao thức UDP chức năng của nú là đảm bảo cho dữ liệu được truyền từứng dụng trờn host nguồn đến một ứng dụng trờn host đớch một cỏch chớnh xỏc dựa trờn phương phỏp hoạt động khụng kết nối.

Cấu trỳc gúi tin:

Source port number : cho biết địa chỉ của ứng dụng nguồn gởi gúi UDP đi .

Destination port number : cho biết địa chỉ của ứng dụng đớch sẽ nhận gúi UDP đú

UDP length : cho biết độ dài của gúi UDP bao gồm cả phần header và phần data .

UDP checksum : đõy là vựng tựy chọn , nú cú thể được hoặc khụng được sử dụng , khi khụng được sử dụng nú cú giỏ trị là 0 , nhưng khi muốn đảm bảo sự an toàn cũng nhưđộ chớnh xỏc của gúi tin thỡ trường này mới được sử dụng .

Hoạt Động Của UDP

Đúng gúi UDP :

hỡnh 4.2 : quỏ trỡnh đúng gúi UDP Hoạt động :

Đõy là một giao thức hoạt động theo phương thức khụng liờn kết . Tức là khi một ứng dụng trờn host nguồn muốn gởi dữ liệu đến host đớch mà sử dụng giao thức UDP thỡ nú chỉ việc gởi dữ liệu đi mà khụng cần biết dữ liệu đú cú tới được host đớch hay khụng .

UDP chỉ được sử dụng với cỏc ứng dụng khụng yờu cầu độ tin cậy cao hoặc đũi hỏi tớnh thời gian thực như : TFTP , BOOTP , Multimedia (intenet vedeo , VoIP ….)

1.4 Gúi TCP:

Sequence number : đơn vị tớnh là octect , nú cho biết vị trớ của byte đầu tiờn trong trường data trong luồng dữ liệu truyền đi . Trường này cú giỏ trị từ 0 đến 232 −1 .

Khi mới bắt đầu kết nối sequence number chứa đựng giỏ trị đầu tiờn của nú , giỏ trị này do host nguồn chọn và thường khụng cú giỏ trị cốđịnh . Khi gúi dữ liệu đầu tiờn được gởi đi nú cú giỏ trị bằng giỏ trịđầu cộng thờm 1 .

Tổng quỏt trường sequence number cú thểđược tớnh như sau : )

( _

_numbern =sequence numbern−1+len datan−1 sequence

Acknowledgement number : trướng này cho biết gúi tin mà nơi gởi muốn thụng bỏo cho nơi nhận biết là nú đang đợi phớa nhận gởi cho nú gúi tin cú số sequence number cú giỏ trị bắng với giỏ trị của Acknowledgement number , khi nhận được thụng bỏo này nơi nhận xỏc định được rằng cỏc gới tin mà nú gởi đến đầu kia trước đú đó đến đớch an toàn .

Hlen : cho biết độ dài của phần TCP header , nhờ vào trường này mà đầu thu biết được trường Option cú được xử dụng hay khụng .

Reserved : trường này hiện chưa được sử dụng .

Flag bit : trường này cú 6 bớt cờ , mỗi bớt được sử dụng vào cỏc mục đớch khỏc nhau , nú gồm cỏc bớt sau :

URG : cho biết trường Urgent pointer cú hiệu lực hay khụng ACK : cho biết ACK number cú được sử dụng hay khụng PHS : 1 _ đưa thẳng lờn lớp trờn khụng cần kiểm tra .

0 _ kiểm tra trước khi đưa lờn lớp trờn . RST : yờu cầu thiết lập lại kết nối .

SYN : thiết lập lại số trỡnh tự . FIN : kết thỳc truyền tải .

Window : cho biết độ lớn của của host nguồn

Checksum : dựng để kiểm tra lỗi của của gúi TCP , việc kiểm tra lỗi do đầu nhận thực hiện . Việc tớnh toỏn do phớa gởđảm nhận . TCP sử dụng mó CRC để kiểm tra lỗi .

Khi tớnh toỏn trường Header checksum người ta thờm vào gúi UDP một phần đầu giả , nội dung của phần đầu giả này giống như nội dung của phần đầu giả của UDP :

Urgent pointer :đõy là trường con trỏ khần cấp , nú cú cỏc chức năng như : Ngăn cản một quỏ trỡnh nào đú trong quỏ trỡnh truyền tải

Dựng để chỉ ra ranh giới giữa giữa phần dữ liệu khẩn cấp v1 phần dữ liệu thường (trong TCP phần dữ liệu khẩn cấp được đặt trước) .

Option : trường này là tỳy chọn , nú cú cấu trỳc giống như trường Option cựa IP :

Type : cho biết loại thụng điệp option Length : cho biết độ dài của trường option Optiondata : chứa nội dung của trường option Cỏc loại thụng điệp option :

Type number length means

0 - Kết thỳc của option list 1 - Khụng sử dụng 2 4 Cho biết kớch thước tối đa của 1 phõn đoạn 3 3 Thụng bỏo về sự thay đổi của cửa sổ 4 2 Shack permit 5 X shack 8 10 Timestamp 2. Bo Mt Vi Lc Gúi:

2.1. Khỏi Quỏt Về Lọc Gúi:

Bảo mật dựa trờn lọc gúi tin là phương phỏp bảo mật dựa trờn cỏc thụng tin ở phần header của cỏc gúi tin, thụng qua cỏc thụng tin này mà ta cú thể quy định gúi tin nào được phộp hay khụng được phộp trển qua bộ lọc.

Cỏc thụng tin mà chỳng ta quan tõm đến là cỏc thụng tin nhưđịa chỉ của mỏy gởi và nhận gúi tin, địa chỉ của ứng dụng nhận và gởi gúi tin, giao thức sử dụng trong suốt qua trỡnh trao đổi thụng tin giữa hai mỏy.

2.2 Cỏc Bước Để Xõy Dựng Luật Bảo Mật Trong IPSEC:

Bước 1: Xỏc định b lc gúi tin:

- Bộ lọc gúi tin cú chức năng cho phộp hay ngăn cấm một hay một số loại gúi tin được phộp hay khụng được phộp truyển qua nú.

- Cỏc bước xõy dựng bộ lọc như sau: > Khởi động IPSEC:

ặ vào administrative tool

ặ Local security policy

ặ Right click lờn IP security policies

ặ manage ip filter list …..

ặ xuất hiện hộp thoại:

ặ chọn mục manage ip filter list and filter action

ặ chọn add để tiến hành tạo bộ lọc mới: Xuất hiện hộp thoại sau:

- name: cho phộp khai bỏo tờn của bộ lọc

- Description: cho phộp gừ vào cỏc mụ tả chi tiết của bộ lọc - Filters: cho phộp khai bỏo cỏc chức năng của bộ lọc - Add: cho phộp thờm vào bộ lọc 1 chức năng mới

- Edit …: cho phộp hiệu chỉnh (thay đổi) 1 chức năng cú sẳn của bộ lọc - Remove: cho phộp xúa 1 chức năng của bộ lọc

• Chọn add để thờm 1 chức năng vào bộ lọc

Hộp thoại này cho phộp ta khai bỏo địa chỉ ip của mỏy gởi gúi tin

ặ next ặ xuất hiện hộp thoại: ip trafic destination

Hộp thoại này cho phộp khai bỏo địa chỉ ip của mỏy nhận gúi tin

Hộp thoại này cho phộp xỏc định giao thức sử dụng trong bộ lọc là giao thức gỡ

ặ next ặ xuất hiện hộp thoại: ip protocol port

Hộp thoại này cho phộp khai bỏo địa chỉ port của ứng dụng gởi và ứng dụng nhận gúi tin

- From any port/ from this port: mục này cho phộp khai bỏo địa chỉ port của ứng dụng gởi gúi tin

- To any port/ to this port: mục này cho phộp khai bỏo địa chỉ port của ứng dụng nhận gúi tin.

ặ next ặ finish: để hoàn tất việc xõy dựng 1 chức năng cho bộ lọc

Chỳ ý:tới bước này chỳng ta cú thể bấm ok để kết thỳc việc xõy dựng bộ lọc, hoặc chon add để thờm vào bộ lọc 1 chức năng lọc khỏc.

Bước 2: xỏc định cỏc hành động ca b lc:

Chỳng ta cú 3 loại hành động cơ bản của bộ lọc:

ắ Permit: cho phộp

ắ Block: ngăn cấm (khúa)

ắ Negotiate security: mó húa dữ liệu khi truyền

ặ chọn add để tạo hành động mới cho bộ lọc:

Name: cho phộp khai bỏo tờn của hành động Description: phần mụ tả chi tiết cho hành động đú

ặ next ặ filter action general option: hộp thoại này cho phộp khai bỏo cỏc hành động tương ứng của bộ lọc như: ngăn cản, cho phộp, mó húa dữ liệu:

ặ next ặ finish để hoàn tất việc tạo action filter

Bước 3: xõy dng lut:

ặ right click lờn ip security policy local computer

ặ chọn create ip security policy

ặ xuất hiện hộp thoại: ip security policy name: mục này cho phộp khai bỏo tờn của luật đang được xõy dựng:

ặ xuất hiện hộp thoại:

ặ chọn add để thờm vào luật 1 chớnh sỏch mới

ặ next ặ …ặ xuất hiện hộp thoại

- all net connection: co hiệu lực cho tất cả cỏc mạng - local area network: co hiệu lực chỉ trong mạng nội bộ

- remote access: chỉ cú hiệu lực với cỏc mỏy sử dụng dịch vụ truy nhập từ xa.

ặ next ặ … ặ xuất hiện hộp thoại ip filter list hộp thoại này cho phộp chọn bộ lọc.

ặ next ặxuất hiện hộp thoại filter action: hộp thoại này cho phộp chỳng ta chọn hành động tương ứng của bộ lọc

ặ chọn ok để hoàn tất quỏ trỡnh cài đặt 1 chớnh sỏch lọc cho luật (rule)

ặ tới đậy chỳng ta cú thể chọn close để hoàn tất việc xõy dựng 1 luật, hoặc chọn add để thờm 1 chớnh sỏch mới vào trong luật.

2.3 Lọc Gúi IP Dựa Trờn Thiết Bị Phần Cứng

Chỳng ta sử dụng modem Drayteck 2800

Sau khi nhập đỳng user/pass trỡnh duyệt xuất hiện màng hỡnh cấu hỡnh thiết bị như sau:

Một phần của tài liệu AN TOÀN VÀ BẢO MẬT MẠNG (Trang 28)

Tải bản đầy đủ (PDF)

(79 trang)