Máy tính và mạng máy tính có vai trò hết sức quan trọng trong cuộc sống ngày nay. Ngày nay trong bất kỳ lĩnh vực nào cũng cần đến máy tính, máy tính rất hữu ích với chúng ta.
Trang 1LỜI NÓI ĐẦU
Máy tính và mạng máy tính có vai trò hết sức quan trọng trong cuộc sống ngày nay.Ngày nay trong bất kỳ lĩnh vực nào cũng cần đến máy tính, máy tính rất hữu ích vớichúng ta Chính nhờ có máy tính và sự phát triển của nó đã làm cho khoa học kỹ thuậtphát triển vượt bậc, kinh tế phát triển nhanh chóng và thần kỳ
Cùng với sự ra đời và phát triển của máy tính và mạng máy tính là vấn đề bảo mậtthông tin, ngăn chặn sự xâm phạm và đánh cắp thông tin trong máy tính và thông tin cánhân trên mạng máy tính khi mà ngày càng có nhiều hacker xâm nhập và phá huỷ dữliệu quan trọng làm thiệt hại đến kinh tế của công ty nhà nước
Được sự hướng dẫn nhiệt tình và chu đáo của cô giáo Đỗ Đình Hưng em đã tìm hiểu
và nghiên cứu đồ án tốt nghiệp: “Bảo mật mạng máy tính và Firewall” Đồ án trình bàynhững vấn đề tổng quan về bảo mật mạng, firewall, giới thiệu về IDS, IPS - hai hệthống bảo vệ mạng hiệu quả hiện nay
Do nội dung đồ án rộng và bao gồm nhiều kiến thức mới mẻ, thời gian và kiến thứccòn hạn chế, việc nghiên cứu chủ yếu dựa trên lý thuyết nên chắc chắn đề tài khôngtránh khởi những thiếu sót Em rất mong nhận được sự đóng góp ý kiến của thầy cô giáo
và bạn bè
Với lòng biết ơn sâu sắc, em xin chân thành cảm ơn thầy Đỗ Đình Hưng cùng cácthầy cô giáo trong khoa Điện Tử - Viễn Thông trường Đại Học Bách Khoa Hà Nội vàcác anh trong phòng kỹ thuật trong công ty Cổ phần công nghệ Sao Bắc Đẩu đã nhiệttình hướng dẫn giúp đỡ em hoàn thành đợt thực tập này
Cuối cùng xin cảm ơn bạn bè, người thân đã luôn bên tôi, kịp thời động viên và giúp
đỡ tôi trong thời gian vừa qua
Em xin chân thành cảm ơn !
Hà Nội, tháng 5 năm 2008
Sinh viên
Trang 2Trần Quang Dũng
Tóm tắt đồ án Tên đồ án: Bảo mật mạng máy tính & Firewalls
Với mục đích tìm hiểu về mạng máy tính và các vấn đề về bảo mật mạng, các cáchđảm bảo an ninh mạng như Firewall, IDS, IPS Đồ án gồm hai phần chính:
Phần I: Tổng quan về mạng máy tính.
Phần II: Các chính sách bảo mật mạng.
Đồ án chia thành 6 chương:
Chương 1: Giới thiệu về máy tính và mạng máy tính.
Giới thiệu cấu trúc máy tính và tổng quan về mạng máy tính, các đặc trưng,phân loại và một số mạng máy tính thông dụng hiện nay
Chương 2: Chuẩn hóa mạng máy tính.
Giới thiệu tại sao cần chuẩn hóa mạng, mô hình tham chiếu 7 lớp OSI, cácgiao thức mạng TCP/IP cũng như giới thiệu tổng quan về mạng Internet
Chương 3: Tổng quan về bảo mật mạng.
Giới thiệu tổng quan về bảo mật mạng, các hình thức tấn công, các mức độbảo mật, các biện pháp bảo vệ và kế hoạch thiết kế chính sách bảo mật mạng
Chương 4: Tổng quan về Firewall.
Giới thiệu tổng quan về Firewall chức năng, phân loại firewall, các kiểu kiếntrúc và các thành phần của firewall
Chương 5: Tổng quan về hệ thống IDS và hệ thống IPS.
Giới thiệu tổng quan về hai hệ thống pháp hiện xâm nhập và ngăn chặn xâmnhập, định nghĩa, chức năng,vai trò thành phần và phân loại của chúng
Chương 6: Mô phỏng hệ thống Firewall.
Xây dựng hệ thống Firewall được dùng rộng rãi trong thực tế Các phần mềm
sử dụng và các cách thức tiến hành mô phỏng
Trang 3Summary of final year project Final year project’name: Computer network security and firewall
For learning purpose about computer network and issue of network security,protections of netowrk security such as Firewall, IDS(instrusion detection system) andIPS(Instrusion prevention system) Project include 2 main part:
Part I: Computer network overview.
Part II: Network security Prolicies.
This project is individed 6 chapters:
Chapter 1: Introduction to computer and computer network.
Introduction computer architechture and computer network overview,characters, indivision and some common computer network now
Chapter 2: Standard computer network.
Introduction to why standard network is needed, 7layer OSI reference model,TCP/IP protocols, like introduction tion Internet network overview
Chapter 3: Network security overview.
Network security overview, method of attracks, security levels, method ofsecurity and plan design network security prolicies
Chapter 4: Firewall overview.
Introduction to characters of Firewall overview, division of Firewall,architectures mode and mebers of Firewall
Chapter 5: IDS and IPS overview.
Introduction to IDS and IPS overview, definition, feature, role, element andindivision of them
Chapter 6: Simulation Firewall System.
Build Firewall system that is use wide in fact Sofwares are use and methodsproccess simulation
Trang 4MỤC LỤC
Hình 4.2.b: Stateful Firewall
Hình4.2.c: Deep Packet Layer Firewall
Hình 4.2.1b: B trí NetScreen Firewall ố
4.2.2Ph n m m Check Point Firewalls ầ ề
Network-based IDSs l ph n to n b c a pha ki m tra c a chính sách à ầ à ộ ủ ể ủ
b o m t Network-based IDS l s phát tri n c a s ki m tra th i ả ậ à ự ể ủ ự ể ờ gian th c ki m tra t i các v trí t n t i trong c u trúc h t ng m ng ự ể ạ ị ồ ạ ấ ạ ầ ạ
Ki m tra n y g i l network sensors, phân tích ể à ọ à đườ ng truy n v phát ề à
hi n các tác ệ độ ng không xát th c nh các tác ự ư độ ng nguy h i Ph ạ ụ thu c v o các chi m l ộ à ế ượ ấ c t n công t ch c ổ ứ đượ ự c l a ch n, ki m tra ọ ể các tác độ ng thích h p mang l i ợ ạ
M t trong nh ng u i m chính c a vi c tri n khai h th ng ộ ữ ư đ ể ủ ệ ể ệ ố
Network-based trên h th ng host-based l th c t m qu n lý m ng ệ ố à ự ế à ả ạ
có kh n ng ti p t c ki m tra m ng c a nó không ph i vi c l m thê ả ă ế ụ ể ạ ủ ả ệ à
n o à để ạ m ng phát tri n.vi c c ng thêm các host không c n thi t yêu ể ệ ộ ầ ế
c u thêm các network-based intrusion sensors ầ
c u ầ
Hình 5.1.3.1T ng quan v Network-Based IDS ổ ề
T quan i m v c u trúc, network-based có 3 th nh ph n khác nhau: ừ đ ể ề ấ à ầ network sensor, director v k thu t giao ti p 2 ph n trên à ỹ ậ ế ầ
Hình 5.1.3.1b Ki n trúc Network-Based IDS ế
Network-based IDS sensor ch y trên Linux v có nhi u th nh ph n v ạ à ề à ầ à
m i k t n i bên trong v i u khi n x lý khác nhau M t trong ỗ ế ố à đ ề ể ử ộ
nh ng th nh ph n chính l cidWebServer Web server ữ à ầ à đượ c dùng các servlets khác nhau đẻ cung c p các d ch v cidWebServer giao ấ ị ụ
ti p cùng các tr ng thái c a server, s th c hi n server v IP log ế ạ ủ ự ự ệ à
Trang 5server servlets đượ c dùng Remote Data Exchange Protocol (RDEP) RDEP ph c v nh các giao th c giao ti p c a các sensor ụ ụ ư ứ ế ủ
Network IDSs đượ c phát tri n b i vì khi s phát tri n l lên k ể ở ự ể à ế
ho ch c n th n t i các i m thi t k , các m ng qu n lý, các t ch c ạ ẩ ậ ạ đ ể ế ế ạ ả ổ ự
b o m t có th ki m tra d li u.Khi s ki m tra ả ậ ể ể ữ ệ ự ể đượ c th c hi n d ự ệ ữ
li u ch ang ệ ỉ đ đượ c truy n trong m ng.B i v y các nh qu n lý có ề ạ ở ậ à ả
c h i ơ ộ để tác độ ng v o t i kho n m không c n bi t chính xác à à ả à ầ ế ích t n công l gì b i vì các IDS ki m tra ho n th nh t ng o n
Hình 5.1.3.1c B trí Network-Based IDS Sensor ố
Hi n nay t t c các nh qu n lý m ng ệ ấ ả à ả ạ đề u quan tâm đế n v n ấ đề
b o m t m ng v i cái nhìn ti p t c xây d ng x lý thông qua các ả ậ ạ ớ ế ụ ự ử chính sách b o m t m ng X lý n y l ph ả ậ ạ ử à à ươ ng th c 4 b ứ ướ c bao
g m: b o m t h th ng (secure the system), ki m tra m ng (monitor ồ ả ậ ệ ố ể ạ the network), ki m tra hi u qu c a các gi i pháp v c i thi n các ể ệ ả ủ ả à ả ệ tri n khai b o m t ể ả ậ
Host IDS có th mô t b ng cách phân ph i các agent t p trung trong ể ả ằ ố ậ
m i server c a m ng ỗ ủ ạ để ể hi n th các tác ị độ ng c a m ng trong th i ủ ạ ờ gian th c.Host IDS xác nh ph m vi b o m t v có th c u hình ự đị ạ ả ậ à ể ấ đề
m các áp ng t à đ ứ ự độ ng đượ c ng n ch n t n công t các nguyên ă ặ ấ ừ nhân các m i nguy hi m tr ố ể ướ c khi nó t n công v o h th ng ấ à ệ ố
C u trúc v các th nh ph n c a Host sensor ấ à à ầ ủ
Cisco IDS sensor có hai th nh ph n chính: à ầ
Cisco Secure Agent
Cisco secure Agent l ph n m m b t gói tin à ầ ề ắ đượ c ch y trên m i ạ ỗ server riêng bi t ho c trên workstation ệ ặ để ả b o v ch ng l i các k ệ ố ạ ẻ
t n công ấ
Cisco IDS sensor cung c p các phân tích th i gian th c v tác ấ ờ ự à độ ng
tr l i các t n công xâm nh p Host sensor x lý v phân tích m i v ở ạ ấ ậ ử à ỗ à
Trang 6m i yêu c u t i h i u h nh v các giao di n ch ọ ầ ớ ệ đ ề à à ệ ươ ng trình ng ứ
d ng v phòng ch ng các host n u c n thi t Các agent ó có th ụ à ố ế ầ ế đ ể
i u khi n t t c các tr ng thái trong các files, các b m c a
m ng, vi c ạ ệ đă ng ký v truy nh p COM C u trúc c a Cisco secure à ậ ấ ủ Agent l c u trúc các ph à ấ ươ ng ti n lu t l ánh ch n c a b o m t ệ ậ ệ đ ặ ủ ả ậ agent INCORE (Security Agent’s Intercept Correlate rules engine
architecture).
Các Host sensor Agent đượ à đặ ệ đ ề c c i t h i u h nh Các ph n m m à ầ ề
n y à đượ c ch y cùng h i u h nh ạ ệ đ ề à đề ự ả s b o v ệ đượ đả c m b o ả chính h i u h nh ó Các agents b o v các hosts ch ng l i các ệ đ ề à đ ả ệ ố ạ
t n công ấ đượ c b t ắ đầ u thông qua m ng v c ng b o v ch ng l i ạ à ũ ả ệ ố ạ các t n công các tác ấ độ ng nguy hi m c a ng ể ủ ườ i dùng ng ườ i m log à
v o h i u h nh, web v các lu t FTP C s d li u ch a à ệ đ ề à à ậ ơ ở ữ ệ ứ đự ng các tham s chính sách b o m t, các xác nh ng ố ả ậ đị ườ i dùng ngo i l ạ ệ
v danh sách các ng d ng à ứ ụ đượ c b o v ả ệ
Hình 5.1.3.2a: C u trúc c a Host Sensor Agent ấ ủ
Chúng ta đề u th a nh n r ng s t n công l m h i ừ ậ ằ ự ấ à ạ đế n các d ch v ị ụ thông tin Internet (IIS) trong web server.Các agent core d oán lu ng ự đ ồ
d li u ữ ệ đế n theo các lu t FTP chúng ậ đượ ư c l u tr trong Rules engine, ữ các ng d ng cho chính sách v các thông s ngo i l N u các h nh ứ ụ à ố ạ ệ ế à
ng nguy hi u c phát hi n, các tác ng thích h p c xác
nh rõ
đị
Nh qu n lý Cisco Secure Agent: à ả
Cisco secure Agent manager ch u tránh nhi m trong vi c qu n lý Cisco ị ệ ệ ả secure Agent v vi c giao ti p t các agent Cisco secure Agent à ệ ế ừ
manager cung c p các ch c n ng qu n lý ấ ứ ă ả đố ớ ấ ả i v i t t c các agent trong ki u ki m soát Nó c ng ể ể ũ đượ ấ c c u th nh t các thông báo c a à ừ ủ
t chuwcs b o m t trong tr ổ ả ậ ườ ng h p t n công v các báo cáo chung ợ ấ à Các phiên qu n lý n y ả à đượ c dùng các k thu t mã hóa d li u l ỹ ậ ữ ệ à thi t th c, kín áo v an to n Cisco secure Agent manager có 3 ế ự đ à à
th nh ph n chính: Giao di n à ầ ệ đồ ọ h a ng ườ i dung (GUI), server, các
c nh báo ng ả ườ đ ề i i u khi n C hai GUI v server ể ả à đề đượ u c link t i ớ
c s d li u n i m các thông tin c u hình ơ ở ữ ệ ơ à ấ đượ ư c l u tr ữ
Các agents đượ c k t n i tr c ti p v i server.Khi agent g i c nh báo ế ố ự ế ớ ử ả
t i server, server cung c p các ch d n ng ớ ấ ỉ ẫ ườ đ ề i i u khi n m t cách ể ộ
c n th n t t c các yêu c u chú thích c u hình nh e-mail v trang ẩ ậ ấ ả ầ ấ ư à chú thích.
S tri n khai HIDS trong m ng: ự ể ạ
S phát tri n c a các Host-based IDS thông qua các th ch c m ng ự ể ủ ổ ứ ạ yêu c u các thi t k thông qua r t t t ầ ế ế ấ ố
Trang 7V n ấ đề ơ ả à c b n l xác nh nh ng gì trong chính sách b o m t c a đị ữ ả ậ ủ các công ty, nh thi t k à ế ế đượ đ c áp ng nh n ra v quy t nh h ứ ậ à ế đị ệ
th ng n o ố à đượ c b o v To n v n ả ệ à ẹ đố ượ i t ng trong phase thi t k ế ế xác nh các ki u h th ng khác nhau: l servers UNIX hay Windows đị ể ệ ố à platforms, chúng ta c n b o v ch server hay chúng ta lo l ng v máy ầ ả ệ ỉ ắ ề tính laptop t t nh desktop ố ư …
Hình 5.1.3.2b Tri n khai Host IDS ể
Vi c xem xét s quan tr ng trong phase thi t k l s giao ti p qu n ệ ự ọ ế ế à ự ế ả
lý IDS Các agents giao ti p v i các Agent Manager trên port TCP ế ớ đặ c
bi t i u n y tr nên quan tr ng khi các agents c trú trong m ng ệ Đ ề à ở ọ ư ạ khác trong m ng Agent Manager i u ạ Đ ề đặ c bi t ó úng v i các ệ đ đ ớ agents ch y trong mi n DMZ hay trong nhánh hay remote home office ạ ề Các k ho ch chung ế ạ đố ớ ạ ầ i v i h t ng công ty l s phát tri n các web à ự ể server, các mail server, DNS (domain name system), FTP v các agents à khác trong m ng DMZ ạ Đườ ng truy n t i v t các agents ch y trong ề ớ à ừ ạ các server ó t i các Agents Manager đ ớ đượ c cho phép thông qua
H th ng phát hi n xâm nh p HIPS l m t lo i k thu t t ệ ố ệ ậ à ộ ạ ỹ ậ ươ ng đố i
m i trong th tr ớ ị ườ ng b o m t Ngay t ng y ả ậ ừ à đầ u, nó ã có nhi u l i đ ề ợ ích đượ c ch p thu n v s s d ng v ấ ậ à ự ử ụ à đượ c d oán l s phát ự đ à ẽ tri n nhanh chóng trong t ể ươ ng lai M c dù có ặ đượ ợ c l i th ó, song ế đ
lo i thi t b n y không ạ ế ị à đượ c xác nh rõ r ng h n các k thu t đị à ơ ỹ ậ
c thi t l p nh firewall v antivirus Các t i li u k thu t còn m
Trang 8CÁC HÌNH VẼ SỬ DỤNG TRONG ĐỒ ÁN
Hình 1.1.1a: Cấu trúc tổng quát của máy tính 14
Hình 1.1.1b: Bộ xử lý trung tâm của máy tính (CPU) 15
Hình 1.1 1c: Đơn vị điều khiển của CPU 16
Hình 1 1.2: Các chức năng cơ bản của máy tính 17
Hình 1.2 1: Mạng máy tính với bộ tiền xử lý 18
Hình 1.2.4.3.1: Mạng hình sao (Star) 25
Hình 1.2.4.3.2: Mạng hình vòng (Ring) 26
Hình 1.2.4.3.3: Mạng trục tuyến tính (Bus) 26
Hình 1.2.4.3.4: Mạng vô tuyến – Satellite (Vệ tinh) hoặc Radio 27
Hình 1.2.4.3.5: Mạng kết nối hỗn hợp 28
Hình 1.2.5.2: Mạng diện rộng với kết nối LAN to LAN 30
Hình 2.2.2: Mô hình tham chiếu OSI 7 lớp 33
Trang 9Hình 2 2.4: Quá trình truyền dữ liệu trong mô hình OSI 36
Hình 2.3.1.1a: Mô hình OSI và mô hình kiến trúc của TCP/IP 38
Hình 2.3.1.1.b: Cấu trúc dữ liệu tại các lớp của TCP/IP 39
Hình 2.3.1.2.1a: Cách đánh địa chỉ TCP/IP 40
Hình 2.3.1.2.1b: Bổ sung vùng subnetid 41
Hình 2.3.1.2a: Cấu trúc gói dữ liệu TCP/IP 42
Hình 2.3.1.2.2c: Cổng truy nhập dịch vụ TCP 43
Hình 2.3.1.3: Dùng các gateway để gửi các gói dữ liệu 44
Hình 3.1 Sơ đồ mạng thông dụng hiện nay 48
Hình 3.3 Các mức độ bảo mật mạng 50
Hình 4.2.a: Stateless Firewall 63
Hình 4.2.b: Stateful Firewall 64
Hình 4.2.c: Deep Packet Layer Firewall 64
Hình 4.2.1a: Giao diện PIX 65
Hình 4.2.1b: Bố trí NetScreen Firewall 66
Hình 4.3.1: Sơ đồ kiến trúc Dual–homed Host 67
Hình 4.3.2: Sơ đồ kiến trúc Screened Host 69
Hình 4.3.3: Sơ đồ kiến trúc Screened Subnet Host 70
Hình 4.4.1: Sơ đồ làm việc của Packet Filtering 72
Hình 4.4.2: Kết nối giữa người dùng (Client) với Server qua Proxy 74
Hình 4.4.3: Kết nối qua cổng vòng (Circuit–Level Gateway 77
Hình 5.1.3.1:ổng quan về Network-Based IDS 80
Hình 5.1.3.1b: Kiến trúc Network-Based IDS 80
Hình 5.1.3.1c: Bố trí Network-Based IDS Sensor 81
Hình 5.1.3.2a: Cấu trúc của Host Sensor Agent 83
Trang 10Hình 5.1.3.2b: Triển khai Host IDS 84Hình 5.2.3.1: Triển khai Intrusion Prevention Sensor 88Hình 5.2.3.2 : Xử lý điều khiển truy nhập 93
Các từ viết tắt
ARP Address resolution protocol
ASYN Asychronous
CPU Central Processing Unit
DNS Domain Name System
EDVAC Electronic Discrete Variable Computer
ENIAC Electronic Numerical Integrator And Computer
FTP File Transfer Protocol
GAN Global Area Network
HIDS Host-based Instrusion Detection System
HIPS Host-based Instrusion Prevension System
HTML Hyper Text Markup Language
HTTP Hyper Text Transport Protocol
IP Internet Protocol
ICMP Internet control message protocol
IGMP Internet group management protocol
ISDN Integated Services Digital Network
Trang 11IDS Instrusion Detection System
IPS Instrusion Prevension System
LAN Local Area Network
MAC Media Access Control
MAN Metropolitan Area Network
NIC Network Interface Card
NIDS Network-based Instrusion Detection System
NIPS Network-based Instrusion Prevension System
NSF National Science Foundation
RARP Reverse address resolution protocol
RCP Remote Call Procedure
RIP Routing Information Protocol
SH Session Header
SLIP Serial Line Internet Protocol
SMTP Simple Mail Transfer Protocol
SNMP Simple Network Management Protocol
TCP Transmission Control Protocol
TFTP Trivial File Transfer Protocol
TTL Time To Live
VER Version
WAN Wide Area Network
Trang 12PHẦN I: TỔNG QUAN VỀ MẠNG MÁY TÍNH
CHƯƠNG 1: GIỚI THIỆU VỀ MÁY TÍNH VÀ MẠNG MÁY TÍNH
1.1 Lịch sử máy tính
1.1.1 Cấu trúc tổng quát của máy tính
Máy tính là một hệ thống phức tạp với hàng triệu thành phần điện tử cơ sở Ở mứcđơn giản nhất, máy tính có thể được xem như một thực thể tương tác theo một cách thứcnào đó với môi trường bên ngoài Một cách tổng quát, các mối quan hệ của nó với môitrường bên ngoài có thể phân loại thành các thiết bị ngoại vi hay đường liên lạc
