AN TOÀN VÀ BẢO MẬT CÁC GIAO THỨC MẠNG THEO MÔ HÌNH TCPIP

MỤC LỤC BẢNG KÝ HIỆU iii DANH MỤC HÌNH VẼ iv LỜI NÓI ĐẦU v CHƯƠNG 1: TỔNG QUAN VỀ MÔ HÌNH TCPIP VÀ CÁC TẦNG TRONG MÔ HÌNH 1 1.1. Cấu trúc phân tầng của mô hình TCPIP 1 1.1.1. Tầng truy nhập mạng Network Acces Layer 1 1.1.2. Tầng Internet – Internet Layer 1 1.1.3. Tầng giao vận Transport Layer 1 1.1.4. Tầng ứng dụng – Application Layer 2 1.2. Các đặc tính của TCPIP 2 1.3. Tầm quan trọng và vấn đề an toàn bảo mật trong mô hình TCPIP 3 CHƯƠNG 2: AN TOÀN VÀ BẢO MẬT CÁC GIAO THỨC MẠNG Ở CÁC TẦNG TRONG MÔ HÌNH TCPIP 4 2.1. An toàn và bảo mật các giao thức mạng ở tầng ứng dụng (application layer) 4 2.1.1. Tầng ứng dụng (application layer) và các giao thức chính hoạt động ở tầng ứng dụng 4 2.1.2. Giao thức truyền tập tin FTP (File Transfer Protocol) 4 2.1.3. Giao thức truyền tải siêu văn bản HTTP (Hypertext Transfer Protocol) 5 2.1.4. Giao thức truyền tải thư tín đơn giản SMTP (Simple Mail Transfer Protocol) 6 2.1.5. Giao thức telnet (TErminaL NETwork) 6 2.1.6. Các kiểu tấn công giao thức tầng ứng dụng 7 2.1.7. Các phương pháp phòng tránh 12 2.2. An toàn và bảo mật các giao thức mạng ở tầng giao vận (transport layer) 13 2.2.1. Tầng giao vận và các giao thức chính hoạt động ở tầng giao vận 13 2.2.2 TCP và UDP 13 2.2.3. Các kiểu tấn công thông dụng trên giao thức TCP 15 2.2.4. Tấn công trên giao thức UDP 18 2.3. An toàn và bảo mật các giao thức mạng ở tầng internet (internet layer) 19 2.3.1. Các giao thức tầng mạng – Network Layer Protocols 19 2.3.2. Các kiểu tấn công các giao thức tầng mạng 21 2.4. Tầng truy nhập mạng (network access layer) 23 2.4.1 Lớp truy nhập mạng và các công nghệ đặc biệt được dùng trên mạng 23 2.4.2. Ethernet 23 2.4.3. Token ring 23 2.4.4. Token bus 24 2.4.5. Các kiểu tấn công các giao thức tầng truy nhập mạng 25 CHƯƠNG 3. TRIỂN KHAI HỆ THỐNG IPSECVPN TRÊN WINSERVER 2003 30 3.1. Ipsecvpn 30 3.2. Cài đặt ipsecvpn trên winsever 2003 32 TÀI LIỆU THAM KHẢO 39 BẢNG KÝ HIỆU TCPIP Bộ giao thức TCPIP (Internet protocol suite hoặc IP suite hoặc TCPIP protocol suite bộ giao thức liên mạng) FTP (File Transfer Protocol) IP Internet Protocol ICMP Internet Control Message Protocol HTTP Hypertext Transfer Protocol SMTP Simple Mail Transfer Protocol telnet TErminaL NETwork DNS Domain name system DHCP Dynamic Host Configuration Protocol Ip Internet protocol UDP User Datagram Protocol TCP Transmission Control Protocol MAC Media Access Control ARP Address Resolution Protocol VPN virtual private network Ipsec IP SECURITY PROTOCOL DANH MỤC HÌNH VẼ Hình 1.1: Mô hình TCPIP 1 Hình 2.1: Mô hình HTTP đơn giản 5 Hình 2.2: Sơ đồ tấn công giả mạo phản hồi DNS 8 Hình 2.3: Tấn công giả mạo DNS bằng phương pháp giả mạo DNS ID 9 Hình 2.4: SYN Attack 15 Hình 2.5: RST Injection 16 Hình 2.6: Data injection 17 Hình 2.7 : Cấu trúc gói tin IP ( IP datagram ) 19 Hình 2.8: Tấn công DoS – Teardrop 21 Hình 2.9: Tấn công Smurf 22 Hình 3.1: Cài đặt Windows Server 2003 và nâng cấp lên domain (khoacntt.vn) 33 Hình 3.2: Cài đặt Windows Server 2003 ,join domain khoacntt và cài vpn sever 33 Hình 3.3 : Cài đặt Windows Server 2003 ,join domain khoacntt và cài vpn sever 34 Hình 3.4: Kết nối vpn client vào vpn sever 34 Hình 3.5: Kết nối vpn client vào vpn sever 35 Hình 3.6: Cài Network Monitor Tool trên VPN server để bắt gói tin 35 Hình 3.7: Cấu hình IPSec trên DC và VPN client, tương tự nhau 36 Hình 3.8: Mở Network Monitor Tool trên VPN server để bắt gói tin từ domain và vpn client 36 Hình 3.9 : Gói tin đã được mã hóa. 37 LỜI NÓI ĐẦU Trong cuộc sống hiện đại với sự phát triển chóng mặt của khoa học công nghệ như ngày nay mạng máy tính internet là điều không thể thiếu với hầu như tất cả các lĩnh vực. Chính tầm quan trọng và ảnh hưởng đó mạng máy tính ( internet) không những trở thành công cụ hữu ích để phát triển khoa học công nghệ, học tập, công việc, cả chính trị xã hội mà còn là công cụ để những kẻ xấu lợi dụng làm tổn hại đến những hoạt động công việc, chính trị xã hội đó, một số có thể làm tổn hại rất lớn gây hậu quả khôn lường. Mô hình TCPIP ra đời nó có thể coi là nền tảng của mạng internet, gồm rất nhiều các giao thức phục vụ cho các hoạt động khác nhau. Một nền tảng quan trọng như thế ắt sẽ không tránh khỏi các điểm yếu mà kẻ xấu có thể lợi dụng để làm việc xấu, những điểm yếu đó chính là điểm yếu ở các giao thức mạng trong mô hình này. Đi đôi với việc sử dụng các giao thức là công việc đảm bảo an toàn, bảo mật cho nó. Trong đề tài “ An toàn và bảo mật các giao thức trong mô hình TCPIP” nhóm chúng em xin trình bày tổng quan các tầng, các giao thức của mô hình TCPIP, các giao thức chính cũng như vấn đề bảo mật của chúng ở các tầng, sau đó là một số giải pháp phòng tránh được biết đến để hạn chế rủi ro mất an toàn Để thực hiện thành công đề tài nhóm xin chân thành cảm ơn sự hướng dẫn tận tình, giúp đỡ của thầy giáo Phạm Văn Hưởng đã góp ý, hướng dẫn trong quá trình nhóm triển khai tìm hiểu đề tài. Nhóm cũng xin cảm hơn các thầy cô phụ trách chuyên đề 4 đã lắng nghe báo cáo hàng tuần và đưa ra góp ý chân thành, giúp nhóm hoàn thiện đề tài từng bước đến khi hoàn thành bản báo cáo cuối cùng này Do kinh nghiệm và kiến thức chưa được sâu sắc nên trong báo cáo về đề tài của nhóm mong quý thầy cô góp ý thêm để nhóm có thể hoàn thiện tốt hơn các đề tài nghiên cứu về sau Xin chân thành cảm ơn

KHOA CÔNG NGHỆ THÔNG TIN

ĐỀ TÀI THỰC TẬP CƠ SỞ

AN TOÀN VÀ BẢO MẬT CÁC GIAO THỨC MẠNG THEO MÔ

HÌNH TCP/IP

Cán bộ hướng dẫn: Phạm Văn Hưởng

Sinh viên thực hiện:

- Phạm Hữu Thiết

- Tô Quang Hiền

- Tạ Thị Thanh Thùy Lớp: AT8B

HÀ NỘI 2014

KHOA CÔNG NGHỆ THÔNG TIN

ĐỀ TÀI THỰC TẬP CƠ SỞ

AN TOÀN VÀ BẢO MẬT CÁC

GIAO THỨC MẠNG THEO MÔ

HÌNH TCP/IP

Nhận xét của cán bộ hướng

dẫn:

.

Điểm chuyên cần:

Điểm báo cáo:

Xác nhận của cán bộ hướng dẫn

BẢNG KÝ HIỆU iv

TCP\IP iv

Bộ giao thức TCP/IP (Internet protocol suite hoặc IP suite hoặc TCP/IP protocol suite - bộ giao thức liên mạng) iv

FTP iv

(File Transfer Protocol) iv

IP iv

Internet Protocol iv

ICMP iv

Internet Control Message Protocol iv

HTTP iv

Hypertext Transfer Protocol iv

SMTP iv

Simple Mail Transfer Protocol iv

telnet iv

TErminaL NETwork iv

DNS iv

Domain name system iv

DHCP iv

Dynamic Host Configuration Protocol iv

Ip iv

Internet protocol iv

UDP iv

User Datagram Protocol iv

TCP iv

Transmission Control Protocol iv

MAC iv

Media Access Control iv

ARP iv

Address Resolution Protocol iv

VPN iv

virtual private network iv

IP SECURITY PROTOCOL iv

DANH MỤC HÌNH VẼ v

LỜI NÓI ĐẦU vi

CHƯƠNG 1: TỔNG QUAN VỀ MÔ HÌNH TCP/IP VÀ CÁC TẦNG TRONG MÔ HÌNH 1

1.1.1.Tầng truy nhập mạng - Network Acces Layer 1

1.1.3 Tầng giao vận - Transport Layer 2

1.1.4 Tầng ứng dụng – Application Layer 2

CHƯƠNG 2: AN TOÀN VÀ BẢO MẬT CÁC GIAO THỨC MẠNG Ở CÁC TẦNG TRONG MÔ HÌNH TCP/IP 4

2.1.1 Tầng ứng dụng (application layer) và các giao thức chính hoạt động ở tầng ứng dụng 4

2.1.2 Giao thức truyền tập tin FTP (File Transfer Protocol) 4

2.1.3 Giao thức truyền tải siêu văn bản HTTP (Hypertext Transfer Protocol) 5

2.1.4 Giao thức truyền tải thư tín đơn giản SMTP (Simple Mail Transfer Protocol) 6

2.1.5 Giao thức telnet (TErminaL NETwork) 6

2.1.6 Các kiểu tấn công giao thức tầng ứng dụng 7

2.2.2 TCP và UDP 13

2.3.1.Các giao thức tầng mạng – Network Layer Protocols 19

CHƯƠNG 3 TRIỂN KHAI HỆ THỐNG IPSEC/VPN TRÊN WINSERVER 2003 30

3.2 Cài đặt ipsec/vpn trên winsever 2003 31

TÀI LIỆU THAM KHẢO 39

TCP\IP Bộ giao thức TCP/IP (Internet protocol suite hoặc IP

suite hoặc TCP/IP protocol suite - bộ giao thức liên

mạng)FTP (File Transfer Protocol)

IP Internet Protocol

ICMP Internet Control Message Protocol

HTTP Hypertext Transfer Protocol

SMTP Simple Mail Transfer Protocol

telnet TErminaL NETwork

DNS Domain name system

DHCP Dynamic Host Configuration Protocol

Ip Internet protocol

UDP User Datagram Protocol

TCP Transmission Control Protocol

MAC Media Access Control

ARP Address Resolution Protocol

VPN virtual private network

Ipsec IP SECURITY PROTOCOL

Hình 1.1: Mô hình TCP/IP 1

Hình 2.1: Mô hình HTTP đơn giản 5

Hình 2.2: Sơ đồ tấn công giả mạo phản hồi DNS 7

Hình 2.3: Tấn công giả mạo DNS bằng phương pháp giả mạo DNS ID 9

Hình 2.4: SYN Attack 15

Hình 2.5: RST Injection 16

Hình 2.6: Data injection 17

Hình 2.7 : Cấu trúc gói tin IP ( IP datagram ) 19

Hình 2.8: Tấn công DoS – Teardrop 21

Hình 2.9: Tấn công Smurf 22

Hình 3.2: Cài đặt Windows Server 2003 và nâng cấp lên domain (khoacntt.vn) 33 Hình 3.3: Cài đặt Windows Server 2003 ,join domain khoacntt và cài vpn sever 33 Hình 3.4 : Cài đặt Windows Server 2003 ,join domain khoacntt và cài vpn sever 34 Hình 3.5: Kết nối vpn client vào vpn sever 34

Hình 3.6: Kết nối vpn client vào vpn sever 35

Hình 3.7: Cài Network Monitor Tool trên VPN server để bắt gói tin 35

Hình 3.8: Cấu hình IPSec trên DC và VPN client, tương tự nhau 36

Hình 3.10: Mở Network Monitor Tool trên VPN server để bắt gói tin từ domain và vpn client 37

Hình 3.11 : Gói tin đã được mã hóa 37

Trong cuộc sống hiện đại với sự phát triển chóng mặt của khoa học công nghệ như ngày nay mạng máy tính internet là điều không thể thiếu với hầu như tất cả các lĩnh vực Chính tầm quan trọng và ảnh hưởng đó mạng máy tính ( internet) không những trở thành công cụ hữu ích để phát triển khoa học công nghệ, học tập, công việc, cả chính trị xã hội mà còn là công cụ để những kẻ xấu lợi dụng làm tổn hại đến những hoạt động công việc, chính trị xã hội đó, một số

có thể làm tổn hại rất lớn gây hậu quả khôn lường Mô hình TCP\IP ra đời nó cóthể coi là nền tảng của mạng internet, gồm rất nhiều các giao thức phục vụ cho các hoạt động khác nhau Một nền tảng quan trọng như thế ắt sẽ không tránh khỏi các điểm yếu mà kẻ xấu có thể lợi dụng để làm việc xấu, những điểm yếu

đó chính là điểm yếu ở các giao thức mạng trong mô hình này Đi đôi với việc

sử dụng các giao thức là công việc đảm bảo an toàn, bảo mật cho nó

Trong đề tài “ An toàn và bảo mật các giao thức trong mô hình TCP\IP” nhóm chúng em xin trình bày tổng quan các tầng, các giao thức của mô hình TCP\IP, các giao thức chính cũng như vấn đề bảo mật của chúng ở các tầng, sau

đó là một số giải pháp phòng tránh được biết đến để hạn chế rủi ro mất an toàn

Để thực hiện thành công đề tài nhóm xin chân thành cảm ơn sự hướng dẫn tận tình, giúp đỡ của thầy giáo Phạm Văn Hưởng đã góp ý, hướng dẫn trong quátrình nhóm triển khai tìm hiểu đề tài Nhóm cũng xin cảm hơn các thầy cô phụ trách chuyên đề 4 đã lắng nghe báo cáo hàng tuần và đưa ra góp ý chân thành, giúp nhóm hoàn thiện đề tài từng bước đến khi hoàn thành bản báo cáo cuối cùng này

Do kinh nghiệm và kiến thức chưa được sâu sắc nên trong báo cáo về đề tài của nhóm mong quý thầy cô góp ý thêm để nhóm có thể hoàn thiện tốt hơn các

đề tài nghiên cứu về sau !

Xin chân thành cảm ơn !

CHƯƠNG 1: TỔNG QUAN VỀ MÔ HÌNH TCP/IP VÀ CÁC TẦNG

TRONG MÔ HÌNH 1.1 Cấu trúc phân tầng của mô hình TCP/IP

TCP/IP là mô hình mở để kết nối mạng TCP/IP được thiết kế gồm 4 tầngđược mô tả Dưới đây là mô hình TCP/IP cùng các giao thức tương ứng với cáctầng

Hình 1.1: Mô hình TCP/IP

1.1.1 Tầng truy nhập mạng - Network Acces Layer

Tầng truy nhập mạng bao gồm các giao thức mà nó cung cấp khả năngtruy nhập đến một kết nối mạng Tại tầng này, hệ thống giao tiếp với rất nhiềukiểu mạng khác nhau.Cung cấp các trình điều khiển để tương tác với các thiết bịphần cứng ví dụ như Token Ring, Ethernet, FDDI…

1.1.2 Tầng Internet – Internet Layer

Tầng Internet cung cấp chức năng dẫn đường các gói tin Vì vậy tại tầngnày bao gồm các thủ tục cần thiết giữa các hosts và gateways để di chuyển cácgói giữa các mạng khác nhau Một gateway kết nối hai mạng, và sử dụng kết nối

mạng bao gồm IP ( Internet Protocol ), ICMP ( Internet Control MessageProtocol )

1.1.3 Tầng giao vận - Transport Layer

Tầng giao vận phân phát dữ liệu giữa hai tiến trình khác nhau trên cácmáy tính host Một giao thức đầu vào tại đây cung cấp một kết nối logic giữacác thực thể cấp cao.Các dịch vụ có thể bao gồm việc điều khiển lỗi và điềukhiển luồng Tại tầng này bao gồm các giao thức Transmission Control Protocol( TCP ) và User Datagram Protocol ( UDP )

1.1.4 Tầng ứng dụng – Application Layer

Tầng này bao gồm các giao thức phục vụ cho việc chia sẻ tài nguyên vàđiều khiển từ xa ( remote access ) Tầng này bao gồm các giao thức cấp cao màchúng được sử dụng để cung cấp các giao diện với người sử dụng hoặc các ứngdụng Một số giao thức quan trọng như File Transfer Protocol ( FTP ) cho truyềnthông, HyperText Transfer Protocol ( HTTP ) cho dịch vụ World Wide Web, vàSimple Network Management Protocol ( SNMP ) cho điều khiển mạng Ngoài

ra còn có : Domain Naming Service ( DNS ), Simple Mail Transport Protocol( SMTP ) Post Office Protocol ( POP ) Internet Mail Access Protocol ( IMAP), Internet Control Message Protocol ( ICMP )…

1.2 Các đặc tính của TCP/IP

Sự phổ dụng của giao thức TCP/IP trên internet không phải vì các giaothưc này có trên internet hay các cơ quan quân sự bắt phải sử dụng chúng Cácgiao thức này đáp ứng những đòi hỏi của truyền dữ liệu toàn cầu vào đúng thờigian cần thiết , và chúng có một số đặc tính quan trọng sau :

• Bộ giao thức TCP/IP không bị ràng buộc vào một phần cúng hay hệđiều hành nào TCP/IP là cách lý tưởng để liên kết các phần mềm và phần cứngkhác nhau ngay khi cả bạn sử dụng chúng để giao tiếp với nhau không quainternet

• Bộ giao thức TCP/IP độc lập với các phần cứng của máy tính Đặc tínhnày cho phép TCP/IP tích hợp các kiểu mạng máy tính khác nhau Bộ giao thứcTCP/IP có thể sử dụng Ethernet, token ring , dial- up line và hầu như trên cácmạng vật lý truyền tin khác nhau

• Bộ giao thức TCP/IP có chế độ đánh địa chỉ chung cho phép các máy

sử dụng TCP/IP giao tiếp với máy có địa chỉ đúng trên toàn mạng , ngay cả đốivới mạng máy tính rất lớn như mạng toàn cầu

• Bộ giao thức TCP/IP đã chuẩn hóa các bộ giao thức ở tầng trên hướngđến tính ổn định , dể sử dụng cho các dịch vụ trên mạng

1.3 Tầm quan trọng và vấn đề an toàn bảo mật trong mô hình TCP/IP

Các giao thức TCP/IP có vai trò xác định quá trình liên lạc trong mạng vàquan trọng hơn cả là định nghĩa “hình dáng” của một đơn vị dữ liệu và nhữngthông tin chứa trong nó để máy tính đích có thể dịch thông tin một cách chínhxác TCP/IP và các giao thức liên quan tạo ra một hệ thống hoàn chỉnh quản lýquá trình dữ liệu được xử lý, chuyển và nhận trên một mạng sử dụng TCP/IP

TCP/IP là một hệ thống (hoặc bộ) giao thức, và một giao thức là một hệthống các quy định và thủ tục

Một hệ thống giao thức như TCP/IP phải đảm bảo khả năng thực hiệnnhững công việc sau:

Cắt thông tin thành những gói dữ liệu để có thể dễ dàng đi qua bộ phậntruyền tải trung gian

- Tương tác với phần cứng của adapter mạng

- Xác định địa chỉ nguồn và đích: Máy tính gửi thông tin đi phải có thểxác định được nơi gửi đến Máy tính đích phải nhận ra đâu là thông tin gửi chomình

- Định tuyến: Hệ thống phải có khả năng hướng dữ liệu tới các tiểu mạng,cho dù tiểu mạng nguồn và đích khác nhau về mặt vật lý

Kiểm tra lỗi, kiểm soát giao thông và xác nhận: Đối với một phương tiệntruyền thông tin cậy, máy tính gửi và nhận phải xác định và có thể sửa chữa lỗitrong quá trình vận chuyển dữ liệu

Chấp nhận dữ liệu từ ứng dụng và truyền nó tới mạng đích

* Vấn đề bảo mật trên các mạng TCP/IP

Vấn đề bảo vệ mạng, chính xác hơn là bảo vệ thông tin được lưu trữ và dichuyển trên mạng, để chống lại những người xâm phạm và kẻ phá hoại (gọichung là hacker), kể cả trong và ngoài hệ thống mạng, được những người quảntrị mạng đặt lên hàng đầu trong công tác quản trị mạng Hacker không chỉ tấncông vào các mạng TCP/IP, nhưng mối đe doạ tiềm ẩn đối với các mạng này làrất lớn, vì TCP/IP là một giao thức mở nên các hacker có thể tìm thấy những lỗhổng của nó một cách dễ dàng bằng cách thử nhiều kiểu tấn công khác nhau

CHƯƠNG 2: AN TOÀN VÀ BẢO MẬT CÁC GIAO THỨC MẠNG Ở

CÁC TẦNG TRONG MÔ HÌNH TCP/IP 2.1 An toàn và bảo mật các giao thức mạng ở tầng ứng dụng (application layer)

2.1.1 Tầng ứng dụng (application layer) và các giao thức chính hoạt động ở

tầng ứng dụng

- Gồm nhiều giao thức cung cấp cho các ứng dụng người dùng

Được sử dụng để định dạng và trao đổi thông tin người dùng

- Một số giao thức thông dụng trong tầng này là:

+ Giao Thức Truyền Tập Tin FTP (File Transfer Protocol)

+ Giao thức truyền tải siêu văn bản HTTP (Hypertext Transfer Protocol)+ Giao Thức Truyền Thư Đơn Giản SMTP (Simple Mail TransferProtocol)

+ Giao thức telnet (TErminal NETwork)

2.1.2 Giao thức truyền tập tin FTP (File Transfer Protocol)

* Giao thức FTP cho phép chuyển các tệp tin từ một máy trạm này sangmột trạm khác, bất kể máy đó ở đâu và sử dụng hệ điều hành gì, chỉ cần chúngđược nối với nhau thông qua mạng Internet và có cài đặt FTP

* Các phương thức truyền dữ liệu trong FTP

- Stream mode

Trong phương thức này, dữ liệu được truyền đi dưới dạng các byte khôngcấu trúc liên tiếp Thiết bị gửi chỉ đơn thuần đầy luồng dữ liệu qua kết nối TCPtới phía nhận Không có một trường tiêu đề nhất định được sử dụng trongphương thức này làm cho nó khá khác so với nhiều giao thức gửi dữ liệu rời rạckhác Phương thức này chủ yếu dựa vào tính tin cậy trong truyền dữ liệu củaTCP Do nó không có cầu trúc dạng header, nên việc báo hiệu kết thúc file sẽđơn giản được thực hiện việc phía thiết bị gửi ngắt kênh kết nối dữ liệu khi đãtruyền xong

- Block mode

Đây là phương thức truyền dữ liệu mang tính quy chuẩn hơn, với việc dữliệu được chia thành nhiều khối nhỏ và được đóng gói thành các FTP blocks.Mỗi block này có một trường header 3 byte báo hiệu độ dài, và chứa thông tin

về các khối dữ liệu đang được gửi Một thuật toán đặc biệt được sử dụng đểkiểm tra các dữ liệu đã được truyền đi và để phát hiện, khởi tạo lại đối với mộtphiên truyền dữ liệu đã bị ngắt

-Compressed mode

Đây là một phương thức truyền sử dụng một kỹ thuật nén khá đơn giản, là

“run-length encoding” – có tác dụng phát hiện và xử lý các đoạn lặp trong dữliệu được truyền đi để giảm chiều dài của toàn bộ thông điệp

2.1.3 Giao thức truyền tải siêu văn bản HTTP (Hypertext Transfer

Protocol)

Tiêu chuẩn Hypertext Transfer Protocol (HTTP) – Giao thức truyền siêuvăn bản được ứng dụng để truyền tải tài liệu và các tệp siêu văn bản giữa máychủ Web (Web server) và máy khách Web (Web client) thông qua một trìnhduyệt Web Cụ thể hơn, HTTP là một giao thức ở tầng ứng dụng trong các hệthống thông tin phân tán, cộng tác, siêu phương tiện (hypermedia), cho phép mộtmáy khách gửi yêu cầu đơn giản dạng tệp siêu văn bản đến máy chủ và nhận đápứng từ máy chủ

Hình 2.1: Mô hình HTTP đơn giản

An toàn bảo mật của giao thức HTTP phiên bản 1.1 cũng là một vấn đềhết sức quan trọng đối với các nhà phát triển ứng dụng, nhà cung cấp thông tin

và người dùng cuối Các vấn đề an toàn bảo mật cần xem xét bao gồm: Bảo vệthông tin cá nhân (lạm dụng thông tin đăng nhập máy chủ, truyền thông tin nhạycảm, mã hóa thông tin nhạy cảm ở dạng URI, vấn đề riêng tư khi kết nối đểnhận các tiêu đề), các tấn công tệp tin và tên đường dẫn, hệ thống tên miền(Domain Name System – DNS) giả, các tiêu đề giả, các vấn đề sắp xếp nộidung, vấn đề xác thực và máy khách không hoạt động, vấn đề về proxy vàcache, các tấn công từ chối dịch vụ trên proxy Do đó, để đảm bảo an toàn khi

truyền thông trên mạng, có thể sử dụng HTTPS (Hypertext Transfer ProtocolSecure – đây là sự kết hợp giữa giao thức HTTP và giao thức bảo mật SSL(Secure Socket Layer) hay TLS (Transport Layer Security) cho phép trao đổithông tin một cách bảo mật trên Internet).

2.1.4 Giao thức truyền tải thư tín đơn giản SMTP (Simple Mail Transfer

Protocol)

* Giao thức SMTP là giao thức tiêu chuẩn trên Internet cho việc chuyểnthư điện tử giữa các máy tính SMTP được thiết kế để chuyển giao những thôngđiệp text đơn giản và cũng hỗ trợ cho những ứng dụng multimedia SMTP thựchiện bên trên một phiên kết nối Telnet

* Mục tiêu chính của SMTP là truyền thư tin cậy và hiệu quả trên môitrường mạng, SMTP độc lập với hệ thống con truyền thư cụ thể và chỉ yêu cầuluồng dữ liệu có thứ tự đáng tin cậy Một đặc tính quan trọng của SMTP là khảnăng truyền thư thông qua nhiều mạng khác nhau, thường được gọi là “chuyểntiếp thư SMTP”

* Có ba bước trong các giao dịch thư SMTP:

- Phiên giao dịch bắt đầu với một lệnh MAIL cho biết định danh bên gửi

- Bước thứ hai là một chuỗi các lệnh RCPT để xác định thông tin của bênnhận

- Cuối cùng, một lệnh DATA khởi tạo việc truyền dữ liệu thư và đượcngắt kết nối bởi một dấu hiệu dữ liệu “kết thúc thư”, đồng thời cũng khẳng địnhgiao dịch

2.1.5 Giao thức telnet (TErminaL NETwork)

* Telnet là ứng dụng sử dụng giao thức telnet cho phép người dùng có thểđăng nhập vào một hệ thống ở xa và làm việc giống như đang sử dụng máy tínhnội bộ vậy Người sử dụng dùng chưng trình Telnet Client (chương trình Telnettrên máy tính trên máy khách) thực hiện một số kết nối TCP với một TelnetServer (chưng trình phục vụ telnet trên máy chủ) ở cổng 23

* Vấn đề an toàn và khắc phục nhược điểm của Telnet

Nếu bạn truyền một file nhạy cảm thông qua Internet, có khả năng một kẻxấu có thể chặn lại và đọc dữ liệu Thậm chí, nếu bạn dăng nhập vào một máy

tính từ xa khác bằng việc sử dụng một chương trình như Telnet, username vàpassword của bạn có thể bị lộ khi chúng được truyền trên mạng

Làm sao để ngăn chặn những vấn đề nghiêm trọng đó? Bạn có thể cài mộtfirewall hoặc bạn có thể dùng nhiều giải pháp khác nhau với độ phức tạp và giáthành khác nhau nhưng có lẽ phương pháp hiệu quả và an toàn nhất là bạn có thểdùng một chương trình mã hóa để chuyển dữ liệu thành một đoạn code bí mật

mà không ai có thể đọc được, ví dụ như dùng SSH

2.1.6 Các kiểu tấn công giao thức tầng ứng dụng

- Tấn công giả mạo DNS (DNS Cache Poisoning)

Hiện có hai cơ chế tấn công giả mạoDNS của hacker như sau:

- Giả mạo các phản hồi DNS

Hình 2.2: Sơ đồ tấn công giả mạo phản hồi DNS

+ Hacker gửi hàng loạt yêu cầu phân giải địa chỉ (DNS Requests) tới máychủ DNS nạn nhân (DNS Server A).

+ Các tên miền cần phân giải đã được hacker tính toán sao cho DNSServer A không thể tìm thấy trong bộ đệm (Cache) của nó và buộc phải chuyểntiếp (Request forwarding) tới máy chủ DNS tiếp theo (DNS Server B) Máy A

và B có thể thuộc cùng một tổ chức hoặc các tổ chức khác nhau nhưng đượcthiết lập để làm việc được với nhau Mỗi trao đổi phân giải (tức là yêu cầu tìmđúng địa chỉ IP cho một tên miền) giữa A và B được xác thực thông qua một mã

số giao dịch TID (Transaction ID) ngẫu nhiên Thuật toán sinh ra các mã số nàyđược thiết lập sẵn cho các máy phân giải địa chỉ

Tuy nhiên, điểm yếu ở đây chính là việc số TID này chỉ là một số

16 bit (giá trị nhỏ hơn 65535) và mọi trao đổi giữa A và B đều diễn ra trên mộtcổng cố định của A Sở dĩ nói đây là một điểm yếu bởi vì với phạm vi giá trị nhỏhơn 65535 và cổng giao dịch cố định thì hacker có thể biết được chính xác mã

số giao dịch nào đang được trao đổi giữa A và B

+ Sau đó, trước khi máy A kịp nhận các gói tin trả lời từ máy B, hacker đãgửi liên tiếp các gói tin giả mạo (fake responses) bản tin trả lời của máy B (tức

là một địa chỉ IP do hacker quản lý) tới cổng cố định nói trên của A Chỉ cầnmột trong các gói tin giả mạo này có TID trùng với TID mà máy A đang chờ thìmáy A sẽ chấp nhận Lúc này, gói tin trả lời thật từ máy B (response) sẽ khôngđược máy A xử lý nữa, mà máy A sẽ gửi trả lại cho máy người dùng một địa chỉ

IP sai lệch (của hacker)

- Giả mạo địa chỉ DNS

Hình 2.3: Tấn công giả mạo DNS bằng phương pháp giả mạo DNS IDTheo như hình 2.3, cơ chế tấn công giả mạo địa chỉ DNS sẽ như sau:+ Giả sử DNS Cache Server (như trên hình) đã có lưu thông tin địa chỉcủa trang example.jp, nhưng Hacker (Malicious User) lại thực hiện thay đổi địachỉ này bằng địa chỉ của một trang giả mạo khác (Bogus Website).

+ Khi máy tính nạn nhân (Internal User) tiến hành gửi yêu cầu đến DNSCache Server, thì DNS Cache Server sẽ vô tình gửi trả lại (response) thông tinđịa chỉ của example.jp đã bị giả mạo cho nạn nhân

Sau khi nhận được địa chỉ đã giả mạo từ DNS Cache Server, nạn nhân sẽ

vô tình truy cập vào website độc hại (Bogus Website) mà kẻ tấn công đã tạo ranhằm lấy cắp thông tin mật

Như vậy chúng ta có thể thấy, chính sự trao đổi giữa các máy chủ DNStrong quá trình phân giải tên miền là một lỗ hổng để các hacker can thiệp vào,kết quả là trả về các ứng dụng không mong muốn cho khách hàng, hoặc các ứngdụng ăn cắp thông tin mà khách hàng không hề biết Theo đánh giá của DanKaminsky có đến 84% máy chủ mà ông kiểm tra đều dính phải lỗ hổng nguyhiểm này Và hiện tại còn 31% server có nguy cơ bị tấn công và ở Việt Nam,tình trạng các máy chủ DNS vẫn có nguy cơ bị tấn công rất cao

Lỗ hổng DNS cache poisoning đã xuất hiện lần đầu tiên vào những năm

90 Từ đó đến nay, hacker đã sử dụng nhiều phương pháp khác nhau để khaithác lỗ hổng này.Đây là lỗi trong thiết kế của giao thức DNS.Với mỗi phươngpháp khai thác, các nhà sản xuất phần mềm DNS Server cũng đã cung cấp cácbản vá để ngăn chặn và vấn đề đã được khắc phục.Tuy nhiên, gần đây hacker đã

tìm ra được phương thức tấn công mới, tiếp tục khai thác lỗ hổng DNS cachepoisoning.

* Subdomain Exploit DNS Cache Poisoning – Kiểu tấn công DNS CachePoisoning thời gian gần đây

Tấn công Subdomain Exploit DNS Cache Poisoning thực chất vẫn là tấncông DNS Cache Poisoning Nhưng điểm quan trọng nhất trong phương phápkhai thác lỗ hổng DNS cache poisoning lần này là việc hacker sử dụng các tênmiền con (subdomain) để tạo ra các yêu cầu phân giải địa chỉ hợp lệ Các tênmiền con được tạo ngẫu nhiên với số lượng lớn, điều này đảm bảo các tên miềnnày chưa từng tồn tại trong cache của máy chủ A và buộc A phải tạo ra cùng sốlượng tương ứng các yêu cầu chuyển tiếp tới máy chủ B Kết quả là xác suất mộtgói tin giả mạo trả lời của B do hacker tạo ra có TID trùng với TID mà máy Ađang chờ được nâng cao lên nhiều lần Cơ hội đầu độc thành công bộ đệm củamáy chủ A cũng vì thế được nâng cao

* Tấn công dịch vụ DHCP (Dynamic Host Configuration Protocol)DHCP là giao thức cấu hình Host động Giao thức này cung cấp phươngpháp thiết lập các thông số TCP/IP cần thiết cho hoạt động của mạng, giúp giảmkhối lượng công việc cho quản trị hệ thống Tuy có nhiều ưu điểm, nhưng giaothức DHCP hoạt động lại khá đơn giản, suốt quá trình trao đổi thông điệp giữaDHCP Server và DHCP Client không có sự xác thực hay kiểm soát truy cập nêncũng phát sinh một số điểm yếu về an toàn

Suốt quá trình trao đổi thông điệp giữa DHCP Server và DHCP Clientkhông có sự xác thực hay kiểm soát truy cập DHCP Server không thể biết đượcrằng nó đang liên lạc với một DHCP Client bất hợp pháp hay không, ngược lạiDHCP Client cũng không thể biết DHCP Server đang liên lạc có hợp phápkhông Như vậy sẽ có hai tình huống xảy ra:

- Khi DHCP Client là một máy trạm bất hợp pháp

Khi kẻ tấn công thỏa hiệp thành công với một DHCP Client hợp pháptrong hệ thống mạng, sau đó thực hiện việc cài đặt, thực thi một chương trình.Chương trình này liên tục gửi tới DHCP Server các gói tin yêu cầu xin cấp địachỉ IP với các địa chỉ MAC nguồn không có thực, cho tới khi dải IP có sẵn trênDHCP Server cạn kiệt vì bị nó thuê hết Điều này dẫn tới việc DHCP Server

bị ngưng trệ, các máy trạm khác không thể truy nhập vào hệ thống mạng đểtruyền thông với các máy tính trong mạng.

Trường hợp tấn công này chỉ làm cho các máy tính đăng nhập vào hệthống mạng (sau khi bị tấn công) không thể sử dụng dịch vụ DHCP, dẫn đếnkhông vào được hệ thống mạng Còn các máy trạm khác đã đăng nhập trước đóvẫn hoạt động bình thường

Đây là kiểu tấn công từ chối dịch vụ DHCP dễ dàng nhất mà kẻ tấn công

có thể thực hiện Kẻ tấn công chỉ cần rất ít thời gian và băng thông là có thể thựchiện được cuộc tấn công này

- Khi DHCP Server là một máy chủ bất hợp pháp

Khi kẻ tấn công phá vỡ được các hàng rào bảo vệ mạng và đoạt đượcquyền kiểm soát DHCP Server, nó có thể tạo ra những thay đổi trong cấu hìnhcủa DHCP Server theo ý muốn Kẻ tấn công có thể tấn công hệ thống mạng theocác cách sau:

Tấn công DoS hệ thống mạng: Kẻ tấn công thiết lập lại dải IP, subnetmask của hệ thống để các máy trạm hợp pháp không thể đăng nhập vào hệ thốngmạng được, tạo ra tình trạng DoS trong mạng

Tấn công theo kiểu DNS redirect: Kẻ tấn công đổi các thiết lập DNS đểchuyển hướng yêu cầu phân dải tên miền của Client tới các DNS giả mạo, kếtquả là Client có thể bị dẫn dụ tới các website giả mạo được xây dựng nhằm mụcđích đánh cắp thông tin tài khoản của người dùng hoặc website có chứa các mãđộc, virus, trojan sẽ được tải về máy Client

Tấn công theo kiểu Man-in-the-middle: Kẻ tấn công thay đổi Gatewaymặc định trỏ về máy của chúng, để toàn bộ thông tin mà Client gửi ra ngoài hệthống mạng sẽ được chuyển tới máy này thay vì tới Gateway mặc định thực sự.Sau khi xem được nội dung thông tin, gói tin sẽ được chuyển tiếp đến Gatewaythực sự của mạng và Client vẫn truyền bình thường với các máy ngoài mạng màngười dùng không hề biết họ đã để lộ thông tin cho kẻ tấn công

2.1.7 Các phương pháp phòng tránh

* Phương pháp bảo vệ sự tấn công dịch vụ DNS

Thông thường thì rất khó để người dùng có thể nhận biết được máy tínhcá nhân của mình đang bị tấn công thông qua hệ thống DNS

Đơn giản nhất chúng ta có thể kiểm tra địa chỉ DNS server trên máy tínhcủa mình, kiểm tra nội dung file host (Hệ điều hành windows) Chú ý sự thayđổi bất thường về giao diện, nội dung của các website thông thường

Để phòng tránh, chúng ta cần thiết lập địa chỉ DNS server trỏ về các DNSserver tin cậy, thường xuyên kiểm tra các thông số cấu hình DNS, cài đặt cácphần mềm antivirus để bảo vệ máy tính và truy cập tốt hơn

* Các phương pháp bảo vệ sự tấn công DHCP

Với tấn công từ chối dịch vụ bằng cách sử dụng một DHCP Client bấthợp pháp, ta có thể khắc phục bằng cách sử dụng các switch có tính năng bảomật cao, giúp hạn chế số lượng địa chỉ MAC có thể sử dụng trên một cổng Mụcđích là để ngăn chặn việc có quá nhiều địa chỉ MAC sử dụng trên một cổng đótrong một khoảng thời gian giới hạn, nếu vượt qua giới hạn này cổng sẽ bị đónglại ngay lập tức Thời gian cổng hoạt động trở lại tùy thuộc vào giá trị mặc định

do người quản trị mạng thiết lập

Với cuộc tấn công theo kiểu Man- in- the-Middle sử dụng DHCP Servergiả mạo, ta có thể khắc phục bằng cách sử dụng các switch có tính năng bảo mậtDHCP snooping Tính năng này chỉ cho kết nối đến DHCP trên một hoặc một sốcổng tin cậy nhất định Chỉ có những cổng này mới cho phép gói tin DHCPResponse hoạt động Cổng này được người quản trị mạng kết nối đến DHCPServer thật trong hệ thống với mục đích ngăn chặn không cho DHCP Server giảmạo hoạt động trên những cổng còn lại

Ngoài ra, chúng ta có thể sử dụng các phương pháp bảo mật cơ bản choDHCP Server gồm: Bảo mật về mặt vật lý cho các DHCP Server; Sử dụng hệthống file NTFS để lưu trữ dữ liệu hệ thống; Triển khai sử dụng các giải phápAnti - virus mạnh cho hệ thống; Thường xuyên cập nhật các bản vá lỗi cho cácphần mềm và Windows; Các dịch vụ hay các phần mềm không sử dụng thì nên

gỡ bỏ; Thực hiện việc Quản lý DHCP với người dùng có quyền hạn tối thiểu

sử dụng đến; Sử dụng việc lọc địa chỉ MAC; Giám sát hoạt động của DHCPbằng cách xem các file log và xem thông tin thống kê của hệ thống trên DHCPServer.

2.2 An toàn và bảo mật các giao thức mạng ở tầng giao vận (transport layer)

2.2.1 Tầng giao vận và các giao thức chính hoạt động ở tầng giao vận

Tầng giao vận là một tầng thuộc mô hình TCP/IP, Có trách nhiệm thiếtlập phiên truyền thông giữa các máy tính và quy định cách truyền dữ liệu cungcấp truyền thông logic chạy trên các host khác nhau

Các giao thức transpot chạy trên các hệ thống đầu cuối

•phía gửi: cắt các thông điệp ứng dụng thành các đoạn, chuyển cho lớpnetwork

•phía nhận: tái kết hợp các đoạn thành các thông điệp, chuyển cho lớpapplication

2 giao thức chính trong tầng này gồm:

+ UDP (User Datagram Protocol): Còn gọi là Giao Thức Gói NgườiDùng UDP cung cấp các kênh truyền thông phi kết nối nên nó không đảm bảotruyền dữ liệu 1 cách tin cậy Các ứng dụng dùng UDP thường chỉ truyền nhữnggói có kích thước nhỏ, độ tin cậy dữ liệu phụ thuộc vào từng ứng dụng

+ TCP (Transmission Control Protocol): Ngược lại với UDP, TCP cungcấp các kênh truyền thông hướng kết nối và đảm bảo truyền dữ liệu 1 cách tincậy TCP thường truyền các gói tin có kích thước lớn và yêu cầu phía nhận xácnhận về các gói tin đã nhận

dùng nhiều cổng

Có Chỉ số cổng nhận dạng duy nhấtmột tiến trình trên máy gửi và máynhận

Truyền tin cậy Có TCP công nhận dữ liệu, gửi lại

những phân đoạn bị mất Các trườngsequence và ACK trong TCP header

Không hỗ trợ

Kiểm soát dòng Có TCP dùng các cửa sổ trượt để kiểm

tra các cửa sổ của máy gửi

Chú ý rằng UDP hoạt động tương tự như TCP trong vấn đề port number

và kiểm tra lỗi phần header Trường UDP length chỉ ra chiều dài của nguyênthông điệp UDP bao gồm cả header và data

Các kết nối TCP và các cổng

Hai ứng dụng dùng TCP phải thiết lập một kết nối TCP trước khi dữ liệu

có thể được truyền Mỗi kết nối sẽ tồn tại giữa một cặp TCP sockets với socketđược định nghĩa như là một kết hợp của địa chỉ IP, cổng được dùng, giao thứclớp transport Quá trình thiết lập kết nối, khởi tạo socket bao gồm giá trị cổngnguồn và cổng đích, chỉ số tuần tự và ACK Hình 6-2 mô tả tiến trình bắt tay balần trong thiết lập TCP và quá trình hủy một kết nối TCP

Trong quá trình thiết lập kết nối, hai host sẽ chọn lựa cổng, chọn lựa chỉ

số tuần tự sequence-number và dùng các chỉ số của TCP để nhận ra thông điệptrong quá trình bắt tay ba chiều Đầu tiên, đối với vấn đề cổng, bên server phảilắng nghe các yêu cầu kết nối từ client, trong trường hợp này là cổng 80 Phíaclient sẽ chọn một cổng chưa dùng làm source port, thường là giá trị 1024 hoặclớn hơn Lưu ý rằng khi so sánh các segment trong tiến trình trên, giá trị port làkhông đổi Trong phần header của TCP có bao gồm vài trường có giá trị 1-bit,

gọi là các cờ Các cờ này phục vụ cho các mục đích khác nhau Các cờ SYN vàACK sẽ chỉ ra một segment có phải là segment đầu tiên hay là thứ hai trong mộtkết nối TCP mới Một segment có cờ SYN sẽ là segment đầu tiên trong một kếtnối TCP Một segment có cả SYN và ACK sẽ là segment thứ hai trong một kếtnối Các cờ này cho phép các host dễ dàng nhận ra các yêu cầu kết nối mới Chỉ

số ban đầu có thể được gán về bất kỳ giá trị hợp lệ nào và thường không đượcgán về 0 Hãy nhớ rằng trong quá trình khôi phục lỗi, việc sử dụng các giá trịnày là độc lập trong cả hai chiều

2.2.3 Các kiểu tấn công thông dụng trên giao thức TCP

* SYN Attack

Hình 2.4: SYN AttackKiểu tấn công TCP SYN flood là một kiểu tấn công trực tiếp vào máy chủbằng cách tạo ra một số lượng lớn các kết nối TCP nhưng không hoàn thành cáckết nối này Phía kẻ tấn công sẽ khởi tạo nhiều TCP, trong mỗi kết nối chỉ để cờTCP SYN Máy chủ sẽ gửi lại trả lời với TCP SYN và ACK Nhưng sau đó máytấn công đơn giản là không trả lời thông điệp thứ ba như mong đợi của servertheo tiến trình bắt tay ba chiều Server lúc này sẽ tốn bộ nhớ và tài nguyên trongkhi chờ các phiên TCP timeouts hoặc trước khi các kết nối đang thiết lập dang

dở được dọn dẹp Máy server lúc này có thể từ chối các kết nối TCP khác và cácthiết bị cân bằng tải trong các server farm lúc này có thể chia tải không cânbằng Các firewall có hỗ trợ cơ chế stateful có thể ngăn ngừa kiểu tấn công TCPSYN attack này

Một cách để ngăn ngừa kiểu tấn công SYN attack là đơn giản loại bỏ cácgói TCP header trong đó cỉ có cờ SYN được thiết lập Nói cách khác, loại bỏ tất