TitleBảo mật dịch vụ hệ thống mạng máy tính

Xuất phát từ những thực tế nêu trên, hiện nay trên thế giới đã xuất hiện rất nhiều công nghệ liên quan đến bảo mật hệ thống và mạng máy tính.. Việc nắm bắt những công nghệ này là hết sức

Đại học quốc gia hà nội

Trường đại học công nghệ

- -

Nguyễn Minh Tuấn



Bảo mật dịch vụ hệ thống mạng máy tính

Ngành: Kỹ thuật điện tử viễn thông Chuyên ngành: Kỹ thuật Vô tuyến điện tử và thông tin liên lạc

Mã số: 2.07.00

Luận văn thạc sĩ

Hà nội – 2005

Mục lục

Mở đầu 1 Chương 1: Các vấn đề chung về mạng máy tính và bảo mật hệ thống 3 1.1 Căn bản về mạng máy tính: 3

1.1.1 Khái niệm chung:

1.1.1.1 Các thành phần của mạng máy tính: 3 1.1.1.2 Phân loại mạng máy tính: 3 1.1.2 Mạng Internet và bộ giao thức TCP/IP

1.2 Các vấn đề chung về bảo mật hệ thống và mạng Error! Bookmark not defined

1.2.1 Các vấn đề về an ninh mạng: Error! Bookmark not defined

1.2.1.1 Một số khái niệm về bảo mật Error! Bookmark not defined

1.2.1.2 Lịch sử bảo mật mạng và hệ thống: Error! Bookmark not defined

1.2.1.3 Một số hình thức tấn công mạng Error! Bookmark not defined

1.2.1.4 Các mức bảo vệ an toàn mạng Error! Bookmark not defined

1.2.2 Các phương thức mã hoá Error! Bookmark not defined

1.2.2.1 Đặc điểm chung của các phương thức mã hóa: Error! Bookmark not defined

1.2.2.2 Các phương thức mã hóa: Error! Bookmark not defined Chương 2: Các lỗ hổng và phương thức tấn công Mạng phổ biến 31 2.1 Các lỗ hổng và điểm yếu của mạng Error! Bookmark not defined

2.1.1 Các lỗ hổng Error! Bookmark not defined

2.1.1.1 Phân loại lỗ hổng bảo mật: Error! Bookmark not defined

2.1.1.2 ảnh hưởng của các lỗ hổng bảo mật trên mạng Internet: Error! Bookmark not defined

2.1.1.3 Các biện pháp phát hiện hệ thống bị tấn công: Error! Bookmark not defined

2.1.2 Một số điểm yếu của hệ thống: Error! Bookmark not defined

2.1.2.1 Deamon fingerd: Error! Bookmark not defined

2.1.2.2 File hosts.equiv: Error! Bookmark not defined

2.1.2.3 Thư mục /var/mail Error! Bookmark not defined

2.1.2.4 Chức năng proxy của FTPd: Error! Bookmark not defined

2.1.3 Bảo mật dịch vụ Web: Error! Bookmark not defined

2.1.3.1 Lý do: Error! Bookmark not defined

2.1.3.2 Phương thức hoạt động của dịch vụ Web Error! Bookmark not defined

2.1.3.3 Các vấn đề bảo mật đối với dịch vụ Web Error! Bookmark not defined 2.2 Một số phương thức tấn công mạng phổ biến Error! Bookmark not defined

2.2.1 Scanner Error! Bookmark not defined

2.2.1.1 Khái niệm về Scanner? Error! Bookmark not defined

2.2.1.2 Cơ chế hoạt động của các chương trình Scanner Error! Bookmark not defined

2.2.2 Password Cracker: Error! Bookmark not defined

2.2.3 Trojans Error! Bookmark not defined

2.2.3.1 Khái niệm về Trojan Error! Bookmark not defined

2.2.3.2 Phương thức lây lan của các chương trình trojan: Error! Bookmark not defined

2.2.3.3 ảnh hưởng của các chương trình trojans: Error! Bookmark not defined

2.2.4 Sniffer: Error! Bookmark not defined

2.2.4.1 Khái niệm về sniffer: Error! Bookmark not defined

2.2.4.2 Hoạt động của sniffer: Error! Bookmark not defined

2.2.4.3 Mức độ nguy hại của sniffer Error! Bookmark not defined

2.2.4.4 Một số chương trình sniffer Error! Bookmark not defined

2.2.4.5 Phát hiện hệ thống bị sniffer: Error! Bookmark not defined

2.2.4.6 Các biện pháp hạn chế sniffer Error! Bookmark not defined Chương 3: Các biện pháp bảo vệ mạng máy tính 55 3.1 Các biện pháp kiểm soát hệ thống Error! Bookmark not defined

3.1.1 Kiểm soát hệ thống qua logfile: Error! Bookmark not defined

3.1.1.1 Hệ thống Logfie trong Unix: Error! Bookmark not defined

3.1.1.2 Một số công cụ hữu ích hỗ trợ phân tích logfile: Error! Bookmark not defined

3.1.1.3 Các công cụ ghi log thường sử dụng trong Windows NT: Error! Bookmark not defined

3.2 Các biện pháp tạo kết nối an toàn Error! Bookmark not defined

3.2.1 Giới thiệu chung: Error! Bookmark not defined

3.2.2 Các hoạt động của giao thức SSL đối với dịch vụ Error! Bookmark not defined

3.2.3 SSL Handshake Error! Bookmark not defined

3.2.4 Quá trình kiểm tra tính xác thực của Server được mô tả như sau: Error! Bookmark not defined

3.2.5 Quá trình kiểm tra tính xác thực ở phía Client: Error! Bookmark not defined

3.3 Xây dựng hệ thống firewalls Error! Bookmark not defined

3.3.1 Giới thiệu chung: Error! Bookmark not defined

3.3.1.1 Định nghĩa: Error! Bookmark not defined

3.3.1.2 Chức năng của firewalls: Error! Bookmark not defined

3.3.1.3 Phân loại: Error! Bookmark not defined

3.3.1.4 Nguyên tắc hoạt động của firewalls: Error! Bookmark not defined

3.3.2 Kiến trúc chung của firewall: Error! Bookmark not defined

3.3.2.1 Kiến trúc của hệ thống có firewall: Error! Bookmark not defined

3.3.2.2 Các thành phần của hệ thống firewalls: Error! Bookmark not defined

3.3.2.3 Các bước cần thiết xây dựng firewall Error! Bookmark not defined

3.3.3 Một số phần mềm firewalls thường sử dụng: Error! Bookmark not defined

3.4 Xây dựng chính sách bảo mật Error! Bookmark not defined Chương 4: Xây dựng mô hình bảo mật hệ thống mạng máy

tính……… …94

4.1 Hiện trạng hệ thống mạng máy tính của trường Đại học Quốc gia Hà

nội…… 94

4.2 Những nhược điểm của mạng thông tin Đại học Quốc gia Hà

nội………….… 95

4.3 Quy hoạch lại hệ thống mạng Đại học quốc gia Hà nội……… … 96

4.3.1 Mục tiêu quy hoạch……… 96 4.3.2 Kế hoạch thực hiện quy hoạch lại hệ thống mạng máy tính của ĐHQG HN… 96 4.3.3 Kết quả thực

hiện……… 97

Kết luận 140 Tài liệu tham khảo 141

Các hình trong Khóa Luận

Hình 1 - So sánh mô hình mạng TCP/IP và mô hình OSI Error! Bookmark not defined Hình 2 - Khuôn dạng segment trong TCP Error! Bookmark not defined Hình 3 - Cấu trúc địa chỉ lớp A Error! Bookmark not defined Hình 4 - Cấu trúc địa chỉ lớp B Error! Bookmark not defined Hình 5 - Cấu trúc địa chỉ lớp C Error! Bookmark not defined Hình 6 - Cơ chế hoạt động của sâu Internet Error! Bookmark not defined Hình 7 - Các hình thức tấn công mạng Error! Bookmark not defined Hình 8 - Các mức độ bảo vệ mạng Error! Bookmark not defined Hình 9 - Phương thức mã hóa đối xứng Error! Bookmark not defined Hình 10 - Phương thức mã hóa phi đối xứng Error! Bookmark not defined Hình 11 - Mã hóa một chiều Error! Bookmark not defined Hình 12 - Các loại lỗ hổng bảo mật và mức độ ngưy hiểm Error! Bookmark not defined Hình 13 - Một phiên làm việc của dịch vụ Web Error! Bookmark not defined Hình 14 - Hoạt động của các chương trình CGI Error! Bookmark not defined Hình 15 - Hoạt động của các chương trình bẻ khóa Error! Bookmark not defined Hình 16 - Các vị trí đặt sniffer trên 1 segment mạng Error! Bookmark not defined Hình 17 - Ghi logs trong Windows 2000 Error! Bookmark not defined Hình 18 - Công cụ Event View của Windows 2000 Error! Bookmark not defined Hình 19 - Chi tiết 1 thông báo lỗi trong Windows 2000 Error! Bookmark not defined Hình 20 - Cấu hình dịchvụ ghi logs trong Windows 2000 Error! Bookmark not defined Hình 21 - Vị trị của SSL trong mô hình TCP/IP Error! Bookmark not defined Hình 22 - Quá trình kiểm tra xác thực ở phía Server Error! Bookmark not defined Hình 23 - Quá trình kiểm tra xác thực của client Error! Bookmark not defined Hình 24 - Kiến trúc hệ thống mạng không có firewall Error! Bookmark not defined Hình 25 - Kiến trúc hệ thống cò firewall Error! Bookmark not defined Hình 26 - Các thành phần của hệ thống firewalls Error! Bookmark not defined

Mở đầu

Sự phát triển của công nghệ thông tin, công nghệ mạng máy tính và đặc biệt là mạng Internet ngày càng phát triển đa dạng và phong phú Các dịch vụ trên mạng Internet đã xâm nhập vào hầu hết các lĩnh vực trong đời sống xã hội Các thông tin trao đổi trên Internet cũng đa dạng cả về nội dung và hình thức, trong đó có rất nhiều thông tin cần bảo mật cao bởi tính kinh tế, tính chính xác và tin cậy của nó

Bên cạnh đó, những dịch vụ mạng ngày càng có giá trị, yêu cầu phải đảm bảo tính ổn định và an toàn cao Tuy nhiên, các hình thức phá hoại mạng cũng trở nên tinh vi và phức tạp hơn, do đó đối với mỗi hệ thống, nhiệm vụ bảo mật đặt ra cho người quản trị là hết sức quan trọng và cần thiết

Xuất phát từ những thực tế nêu trên, hiện nay trên thế giới đã xuất hiện rất nhiều công nghệ liên quan đến bảo mật hệ thống và mạng máy tính Việc nắm bắt những công nghệ này là hết sức cần thiết vì công tác bảo mật của các hệ thống mạng Internet Việt Nam nói chung và mạng nội bộ của khách hàng cũng không nằm ngoài các yêu cầu trên

Chính vì vậy, Tôi đã lựa chọn đề tài này để tìm hiểu, các vấn đề mà tôi tìm hiểu và nghiên cứu là như sau:

 Các vấn đề chung về hệ thống và các dịch vụ cung cấp trên mạng Internet

 Các điểm yếu và lỗ hổng bảo mật thường có trên một số hệ thống cung cấp dịch vụ

 Các phương thức tấn công mạng phổ biến và các biến pháp phòng chống

 Thiết lập các chính sách bảo mật đối với hệ thống

Tôi biên soạn và cấu trúc tài liệu làm bốn phần, gồm:

Chương 1: Trình bày các vấn đề chung về mạng máy tính và bảo mật hệ thống Chương 2: Trình bày các vấn đề về lỗ hổng bảo mật, điểm yếu của hệ thống và một

số dịch vụ cung cấp;

Chương 3: Trình bày một số giải pháp bảo mật hệ thống và mạng như: tạo kết nối bảo mật, firewalls, xây dựng chính sách bảo mật

Chương 4: Phần mô tả một số bài thực hành được làm trong khoá luận này

Bảo mật hệ thống là một vấn đề rộng và mới đối với Việt Nam, tôi nhận được sự nhiệt tình hướng dẫn của thầy Nguyễn Kim Giao, cùng với những góp ý quý báu của các anh chị làm việc tại công ty Điện toán và Truyền số liệu (VDC), sự nhiệt tình trong phần thực hành của các anh chị và các bạn đồng nghiệp tại Viện Công nghệ Thông tin - Đại học

Quốc gia Hà Nội đã góp sức cho tôi hoàn thành khóa luận này Tôi tự nhận thấy kinh nghiệm và kỹ thuật còn hạn chế, nội dung chắc chắn sẽ còn sai sót, hy vọng các đọc giả tham gia đóng góp nhiều ý kiến bổ sung để tôi hoàn thiện kiến thức của mình hơn nữa

Chương 1: Các vấn đề chung về mạng máy tính và bảo mật hệ thống

1.1 Căn bản về mạng máy tính:

1.1.1 Khái niệm chung:

1.1.1.1 Các thành phần của mạng máy tính:

Mạng máy tính là một tập hợp các máy tính được nối với nhau bởi các đường truyền vật lý theo một kiến trúc nào đó Việc hình thành các mạng máy tính cho phép nâng cao hiệu quả khai thác tài nguyên chung từ những vị trí địa lý khác nhau

Hai thành phần cơ bản của mạng máy tính đó là đường truyền vật lý và kiến trúc mạng

Đường truyền vật lý dùng để chuyển các tín hiệu điện tử giữa các máy tính Các tín hiệu điện tử đó biểu thị các giả trị dữ liệu dưới dạng các xung nhị phân (on - off) Tất cả các tín hiệu được truyền giữa các máy tính đều thuộc một dạng sóng điện từ (EM) nào đó, trải từ các tần số radio tới sóng cực ngắn (viba) và tia hồng ngoại Tuỳ theo tần số của sóng điện từ có thể dùng các đường truyền vật lý khác nhau để truyền các tín hiệu

Kiến trúc mạng thể hiện cách nối các máy tính với nhau ra sao và tập hợp các qui tắc, qui ước mà tất cả các thực thể tham gia truyền thông trên mạng phải tuân theo để đảm bảo cho mạng hoạt động tốt

Các cách nối các máy tính được gọi là hình trạng (topology) của mạng

Các tập hợp qui tắc, qui ước truyền thông được gọi là giao thức (protocol) của mạng

1.1.1.2 Phân loại mạng máy tính:

Phân loại theo khoảng cách địa lý là cách phổ biến và thông dụng nhât Theo cách phân loại này ta có các loại mạng sau:

 Mạng cục bộ: Là mạng được cài đặt trong một phạm vi nhỏ (trong một toà nhà, một trường học ); khoảng cách tối đa giữa các máy tính chỉ vài km trở lại

 Mạng đô thị: Là mạng được cài đạt trong phạm vi một đô thị hoặc một trung tâm kinh tế - xã hội; khoảng cách tối đa giữa các máy tính khoảng vài chục km trở lại

 Mạng diện rộng (WAN): Phạm vi của mạng trải rộng trong phạm vi một quốc gia, hoặc giữa các quốc gia trên toàn thế giới Mạng Internet ngày này là một ví dụ điển hình của mạng WAN

Ngoài cách phân loại trên, người ta còn có thể phân loại mạng theo kiến trúc mạng (topo mạng và giao thức sử dụng) Theo cách phân loại này, có các loại mạng như:

 Mạng SNA của IBM

 Mạng ISO (theo kiến trúc chuẩn quốc tế)

 Mạng TCP/IP

Trong phạm vi của tài liệu này, chúng ta quan tâm đến các vấn đề về bảo mật mạng Internet và các hệ thống xây dựng dựa trên nền bộ giao thức TCP/IP Vì vậy, trong phần sau đây chúng ta sẽ tìm hiểu một số khái niệm thường được sử dụng trên mạng Internet và bộ giao thức TCP/IP

1.1.2 Mạng Internet và bộ giao thức TCP/IP

1.1.2.1 Mạng Internet:

Thuật ngữ "Internet" được xem như là một "mạng của các mạng" hay một liên kết mạng có tính toàn cầu Công nghệ Internet ra đời cho phép người sử dụng trên toàn cầu có thể chia xẻ, trao đổi thông tin với nhau trong nhiều lĩnh vực Có thể nói các dịch vụ của mạng Internet có mặt trong hầu khắp các lĩnh vực của cuộc sống ngày nay

Năm 1969, cơ quan nghiên cứu và phát triển tiên tiến thuộc Bộ quốc phòng Mỹ (Advanced Research Project Agency) đã xây dựng thành công mạng ARPANet, cho phép kết nối 4 trung tâm máy tính trên toàn nước Mỹ, phục vụ mục đích quân sự Khởi đầu ARPANet sử dụng bộ giao thức NCP (Network Control Protocol)

Vào giữa những năm 1970, họ giao thức TCP/IP (Transmission Control Protocol/Internet Protocol) được Vint Cerf (Đại học Stanford) và Robert Kahn (BBN) phát triển, ban đầu cùng tồn tại với NCP và đến năm 1983 thì hoàn toàn thay thế NCP trong mạng ARPANet

Vào đầu những năm 1980, mạng ARPANet được tách làm hai phần: phần dân sự phục vụ mục đích nghiên cứu vần giữ tên là ARPANet và phần quân sự có tên là mạng MILNET

Tháng 11/1986, Uỷ ban khoa học quốc gia Mỹ NSF (National Science Foundation) đã thúc đẩy việc xây dựng một mạng xương sống cho phép kết nối 5 trung tâm máy tính lớn trên toàn

liên bang Mỹ Năm 1987, mạng NSFNet ra đời với tốc độ đường truyền cao 1.5Mb/s cho phép nối các trung tâm máy tính với nhau

Việc ra đời mạng xương sống NSFNet và các mạng vùng đã trở thành tiền thân của mạng Internet ngày nay Một xa lộ thông tin mới được hình thành cho phép kết nối mạng của các trường đại học, các viện nghiên cứu đã tham gia của cộng đồng Internet Sau đó, các cơ quan chính phủ, các tổ chức kinh doanh cũng tham gia vào mạng Internet Về mặt địa lý Internet nhanh chóng vượt ra khỏi nước Mỹ và trở thành một mạng toàn cầu Đến nay, theo số liệu thống

kê của tập đoàn dữ liệu quốc tế IDG thì số lượng người sử dụng mạng Internet đã lên đến hơn

150 triệu người

TÀI LIỆU THAM KHẢO

Tiếng Việt:

1 Nguyễn Hồng Sơn (2002), “Giáo trình hệ thống mạng máy tính”

2 Nguyễn Thúc Hải (1997), “Mạng máy tính và hệ thống mở”, NXB Giáo dục

3 Công ty Điện toán và Truyền số liệu (9-2000) Tài liệu khóa học “Bảo mật hệ thống và mạng máy tính”

Tiếng Anh:

4 Jason Hiner (Otc 18, 2000), “Setting up a VPN with Windows 2000”

5 Chris Brenton (1999 Synbex), “Mastering Network Sercurity”

6 Cisco Systems (2004), “Cisco Networking Academy CCNA semester 2 v3.0”

7 Cisco Systems (2004), “Cisco Networking Academy CCNP semester 2 v3.0”

8 Cisco Systems (2004), “Cisco CCIE Security Student Guide v1.1” Modul 10 Page

783

9 Cisco Systems (2004), “CSVPN Student Guide v4.0 Cisco Secure Virtual Private Network”