BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC LẠC HỒNG *** ĐINH TUẤN KHẢI Đinh Tuấn Khải CÔNG NGHỆ THÔNG TIN XÂY DỰNG HỆ THỐNG TƯỜNG LỬA MẠNG NỘI BỘ Luận văn thạc sĩ Cơng nghệ thơng tin KHỐ I Đồng Nai – Năm 2012 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC LẠC HỒNG *** Đinh Tuấn Khải XÂY DỰNG HỆ THỐNG TƯỜNG LỬA MẠNG NỘI BỘ Chuyên ngành : Công nghệ thông tin Mã số : 60.48.02.01 Luận văn thạc sĩ Công nghệ thông tin NGƯỜI HƯỚNG DẪN KHOA HỌC : Ts Đàm Quang Hồng Hải Đồng Nai – Năm 2012 i LỜI CẢM ƠN Tôi xin bày tỏ lòng biết ơn sâu sắc đến Tiến sỹ Đàm Quang Hồng Hải Người tận tình hướng dẫn tơi hồn thành luận văn Tơi vơ cảm ơn Thạc sỹ Phan Mạnh Thường nhà khoa học Bạn bè, đồng nghiệp đóng góp nhiều ý kiến q báu Giúp tơi hồn thiện luận văn Tôi xin chân thành cảm ơn Trường Đại Học Lạc Hồng, Trường Đại Học Công Nghệ Thông Tin, Khoa Cơng nghệ thơng tin, Phịng Nghiên cứu khoa học sau Đại học trường Đại học Lạc Hồng Đã tạo điều kiện thuận lợi cho thực luận văn Tơi xin kính tặng luận văn cho Cha Mẹ Và người thân gia đình Bằng tất tình cảm yêu thương nhất… Đồng Nai, tháng 10 năm 2012 Đinh Tuấn Khải ii LỜI CAM ĐOAN Tôi cam đoan đề tài tơi thực Các số liệu thu thập, kết phân tích, dẫn chứng đề tài trung thực Khơng có trùng lắp, chép từ đề tài, hay cơng trình nghiên cứu khoa học tác giả khác Đồng Nai, tháng 10 năm 2012 Đinh Tuấn Khải iii TÓM TẮT Cùng với phát triển mạng Internet, vấn đề bảo mật an toàn liệu cho hệ thống mạng máy tính giới đặt Đề tài “Xây dựng hệ thống tường lửa mạng nội bộ” với mục tiêu nâng cao tính an tồn cho mạng nội Đầu tiên, Người quản trị quản lý hoạt động hệ thống mạng nội bộ, cho phép cấm chương trình nguy hiểm kết nối Internet Bên cạnh đó, hệ thống bảo vệ virus lây lan mạng nội bộ, hoạt động khác lạ chương trình kiểm tra, duyệt qt báo cáo Với mơ hình hệ thống tường lửa mạng nội đơn giản, dễ sử dụng tích hợp tùy chọn quét virus cho thấy tính khả thi áp dụng cho hệ thống mạng nội tổ chức, doanh nghiệp ngày vii DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT DANH MỤC CÁC KÝ HIỆU SỬ DỤNG TRONG LUẬN VĂN Ký hiệu Thuật ngữ Firewall Firewall system Hacker Hacker, cracker Header File header Macro Macro virus Trojan Trojan horse Virus Computer viruses Worm Computer worm viii DANH MỤC CÁC TỪ VIẾT TẮT SỬ DỤNG TRONG LUẬN VĂN Từ viết tắt Thay cho cụm từ ALE API ASCII BFE CNTT CPU CSDL DMZ DNS DOS FTP HĐH HTTP ICMP IDS IP IPsec ISVs JS LE-EXE LIFO NDF NDIS NE-EXE PE-EXE POT PPP PPT REG SHA SLIP SMTP TCP/IP TDI UDP VBA WFP Application Layer Enforcement Application Programming Interface American Standard Code for Information Interchange Base Filtering Engine Công nghệ thông tin Central Processing Unit Cơ sở liệu DeMilitarized Zone Domain Name System Denial of Service File Transfer Protocol Hệ điều hành Hypertext Transfer Protocol Internet Control Message Protocol Intrusion Detection System Instruction Pointer Protocol security Independent Software Vendors Java Script files LinEar EXEcutable files Last In - First Out Network Diagnostics Framework Network Driver Interface Specification NEw EXEcutable files PortablE EXEcutable files PowerpOint Template files Point-to-Point Protocol PowerPoinT files REGistry files Screened host architecture Serial Line Internet Protocol Simple Mail Transfer Protocol Internet protocol suite Transport Driver Interface User Datagram Protocol Visual Basic Application Windows Filtering Platform ix DANH MỤC BẢNG BIỂU Stt Bảng Mô tả Trang BẢNG 2.1 Phân loại virus máy tính theo kiểu liệu 17 BẢNG 2.2 Lịch trình cập nhật Kaspersky Lab (1995-2004) 18 BẢNG 3.1 Các định dạng vật chủ chứa mã thi hành nhiễm virus máy tính 39 BẢNG 3.2 Các loại tập tin chương trình 40 BẢNG 4.1 So sánh tính với số sản phẩm có 56 x DANH MỤC HÌNH ẢNH Stt Hình Mơ tả Trang HÌNH 2.1 Mơ hình tường lửa bảo vệ hệ thống mạng nội 10 HÌNH 2.2 Kiến trúc Dual – Homed host architecture 11 HÌNH 2.3 Kiến trúc Screened host architecture (SHA) 13 HÌNH 2.4 Kiến trúc Screened subnet architecture 14 HÌNH 3.1 Kiến trúc khả mở rộng WFP 25 HÌNH 3.2 Mơ hình OSI rút gọn 33 HÌNH 3.3 Client gửi yêu cầu đến Server 34 HÌNH 3.4 Server chấp nhận yêu cầu tạo socket để phục vụ Client 35 HÌNH 3.5 Phân loại tập tin chương trình 40 10 HÌNH 4.1 Mơ hình ứng dụng Firewall 41 11 HÌNH 4.2 Sơ đồ hoạt động hệ thống Firewall 42 12 HÌNH 4.3 Mơ hình chức chương trình Firewall Client 43 13 HÌNH 4.4 Giao diện khởi động firewall client 43 14 HÌNH 4.5 Màn hình quản lý việc tạo luật IP 44 15 HÌNH 4.6 Màn hình sau thêm luật 45 16 HÌNH 4.7 Màn hình để chỉnh sửa luật 45 17 HÌNH 4.8 Màn hình sau sửa tập luật 46 18 HÌNH 4.9 Màn hình sau xóa luật 46 19 HÌNH 4.10 Màn hình quản lý luật chương trình 47 20 HÌNH 4.11 Thêm chương trình vào luật cấm thực thi 47 21 HÌNH 4.12 Màn hình quản lý việc phân giải địa trang web dạng IP 48 22 HÌNH 4.13 Chuyển chế độ người dùng 48 23 HÌNH 4.14 Màn hình thơng báo Client chạy chương trình 49 24 HÌNH 4.15 Khung đăng nhập vào tài khoản quản trị 49 25 HÌNH 4.16 Bảng thơng báo chạy chương trình chế độ quản trị 49 26 HÌNH 4.17 Màn hình sau thêm luật chương trình 50 27 HÌNH 4.18 Màn hình Quét virus 50 28 HÌNH 4.19 Quét virus theo thư mục 51 29 HÌNH 4.20 Thơng báo chương trình nhiễm virus 51 xi DANH MỤC HÌNH ẢNH Stt Hình Mơ tả Trang 30 HÌNH 4.21 Mơ hình chức chương trình Firewall Server 52 31 HÌNH 4.22 Giao diện chương trình Firewall Server 52 32 HÌNH 4.23 Quản lý Firewall Client 53 33 HÌNH 4.24 Quản lý luật IP Client từ Server 54 34 HÌNH 4.25 Quản lý luật chương trình Client từ Server 54 35 HÌNH 4.26 Màn hình quản lý việc phân giải IP trang web 54 36 HÌNH 4.27 Màn hình thơng báo có chương trình chạy Client 55 46 HÌNH 4.8 : Màn hình sau sửa tập luật Chọn nút “Xóa” để bỏ luật: Chương trình xóa luật chọn (được tơ xanh) HÌNH 4.9: Màn hình sau xóa luật Chọn “Luật chương trình”: giao diện chứa ba danh sách  Danh sách chương trình bị cấm thực thi  Danh sách chương trình bị chặn khơng cho kết nối Internet  Danh sách chương trình cho phép kết nối Internet 47 HÌNH 4.10 Màn hình quản lý luật chương trình Chọn “Thêm” “Xóa” theo danh sách để cập nhật luật HÌNH 4.11: Thêm chương trình vào luật cấm thực thi 48 Chọn thẻ Phân giải IP: giao diện giúp phân giải tên miền website IP Ở nhập địa “lhu.edu.vn”, chọn “Lấy IP” chương trình phân giải địa IP “118.69.125.40” HÌNH 4.12: Màn hình quản lý việc phân giải địa trang web dạng IP Firewall Client có hai chế độ: Quản trị người dùng HÌNH 4.13: Chuyển chế độ người dùng Ở chế độ “người dùng” chạy chương trình bên Firewall Server lên hộp thoại thơng báo có cho phép chương trình kết nối Internet hay khơng 49 HÌNH 4.14: Màn hình thơng báo Client chạy chương trình Để vào quyền “Quản trị”, menu “Chuyển chế độ” chọn “Quản trị” nhập mật để đăng nhập HÌNH 4.15 : Khung đăng nhập vào tài khoản quản trị Ở chế độ quản trị người quản trị chạy chương trình máy Client trực tiếp báo hình có cho phép chương trình Internet hay khơng mà khơng cần gửi đến Firewall Server HÌNH 4.16: Bảng thơng báo chạy chương trình chế độ quản trị 50 Sau chọn “Chặn” hay “Không chặn” chương trình thêm vào danh sách luật chương cấm hay phép mạng HÌNH 4.17: Màn hình sau thêm luật chương trình Khi chọn “Quét Virus” bao gồm hai thẻ: “Danh mục virus” “Qt virus” HÌNH 4.18: Màn hình Qt virus 51 HÌNH 4.19: Quét virus theo thư mục Tùy chọn quét theo thư mục định, trường hợp người dùng mở tập tin lên chương trình kiểm tra thấy virus chương trình thơng báo hủy việc thực thi tập tin HÌNH 4.20: Thơng báo chương trình nhiễm virus 4.3 Chương trình Firewall Server Firewall Server chương trình quản lý tập trung toàn Client mạng nội có cài Firewall Client 4.3.1 Chức  Quản lý danh sách máy chạy chương trình Firewall Client  Cho phép người quản trị tạo, chỉnh sửa hay xóa luật cho máy  Trao đổi thơng tin với chương trình Firewall Client máy 52 4.3.2 Mơ hình chức HÌNH 4.21: Mơ hình chức chương trình Firewall Server 4.3.3 Giao diện đồ họa Firewall Server Giao diện khởi động Firewall Server Lúc chưa có Firewall Client mạng nội họat động HÌNH 4.22: Giao diện chương trình Firewall Server 53 Khi chương trình Firewall Client mạng nội kích hoạt tên máy IP Client thêm vào danh sách chương trình Firewall Server HÌNH 4.23: Quản lý Firewall Client Chọn máy Client danh sách để cập nhật luật áp luật lên máy tính Client chọn Firewall Server có chức (Thêm luật, Chỉnh sửa, Xóa luật) giống Firewall Client Nhưng đặc biệt, Firewall Server có chức chọn hay nhiều máy Client để áp luật cho máy Client HÌNH 4.24: Quản lý luật IP Client từ Server 54 Chọn “Luật chương trình” HÌNH 4.25: Quản lý luật chương trình Client từ Server Chọn “Phân giải IP” Firewall Server HÌNH 4.26 : Màn hình quản lý việc phân giải IP trang web 55 Khi Firewall Client dùng quyền tài khoản thường người dùng chạy chương trình máy Client gửi Firewall Server lên bảng thông báo cho người quản trị Trong trình đợi thị từ quản trị chương trình bị chặn Internet HÌNH 4.27: Màn hình thơng báo có chương trình chạy Client 4.4 So sánh giải pháp với phần mềm khác - Ý tưởng đề tài sử dụng tảng WEP hệ điều hành Windows để triển khai hệ thống tường lửa máy trạm mạng nội bộ, quản lý tập trung máy server để điều phối, cấu hình cách hiệu tường lửa phân tán hệ thống máy - Việc xây dựng Firewall Server để điều phối thống cấu hình sách điểm mới, cho phép nâng cao hiệu hệ thống firewall máy trạm - Hệ thống firewall máy trạm giải pháp bảo vệ chiều sâu có tính an tồn cao 56 BẢNG 4.1: So sánh tính với số sản phẩm có Firewall Bkav Server- Alarm Internet Client Sản phẩm Zone Firewall Security Ngăn chặn chương trình kết nối internet  Chặn kết nối hướng vào -   Chặn theo cổng   Chặn theo giao thức   Điều phối luật chương trình  Điều phối luật IP  Ngăn chặn virus  Giao tiếp Server – Client    Cập nhật trực tuyến   57 CHƯƠNG KẾT LUẬN 5.1 Kết đạt Theo mục tiêu đặt xây dựng hệ thống tường lửa mạng nội nhằm bảo đảm an toàn cho người dùng đơn giản cho người quản trị quản lý Đề tài đạt được:  Xây dựng Firewall Client chạy máy người dùng, thao tác đơn giản  Xây dựng Firewall Server chạy máy chủ nhằm thuận tiện cho người quản trị theo dõi quản lý máy mạng nội  Cấm hay cho phép chương trình từ máy Client Internet nhằm hạn chế việc gửi liệu ngồi  Quản lý chương trình người dùng, thời điểm qui định chương trình thực thi  Tính ngăn chặn virus máy tính tích hợp 5.2 Hạn chế đề tài, hướng khắc phục Đề tài bước đầu xây dựng hệ thống tường lửa mạng nội theo nhu cầu thực tế, với tính cịn đơn giản Hạn chế việc thu thập, gia tăng tập virus mẫu Việc làm cần có thời gian (thu thập mẫu virus từ nhiều nguồn), kinh phí (mua tập mẫu) nhân lực (chuyên gia) Virus máy tính loại liệu đặc biệt nguy hiểm, không dễ kiếm số lượng lớn thời gian ngắn (do cạnh tranh thương mại nên antivirus thường không chia xẻ tập mẫu virus cho hãng “đối thủ”) Để thu thập mẫu virus nhanh thời gian ngắn, xây dựng hệ sandbox tạo “vùng trũng” thu hút virus hệ thống mạng Tuy nhiên, phương án cần kinh phí lớn để trang bị server, networking, thuê leased line, hosting, chi phí trì domain, nhân lực thiết kế vận hành hệ thống… 58 5.3 Hướng phát triển tương lai Tich hợp tính chống cơng SQL Injection, DDOS Lọc liệu gói tin mạng, chặn theo gói tin Để đáp ứng nhu cầu thực tiễn xã hội, với tình hình lây nhiễm virus ngày nhiều, vấn đề virus máy tính cần quan tâm nghiên cứu TÀI LIỆU THAM KHẢO TÀI LIỆU TIẾNG VIỆT [1] Hoàng Kiếm, Nguyễn Quang Sơn, Trần Duy Lai Bảo vệ thơng tin phịng chống virus máy tính NXB Khoa học Kỹ thuật Việt Nam, 1990 TÀI LIỆU TIẾNG ANH [2] Bordera M The Computer Virus War Is The Legal System Fighting or Surrendering Computer & The Law Project Computer and Law, University of Buffalo School of Law, 1997 [3] Brent Chapman and Elizabeth D Zwicky, Building Internet Firewalls, 1995 [4] David Ferbrache A Pathology of Computer Viruses Springer-Verlag, 1992 [5] Eugene H Spafford Computer Viruses as Artificial Life Journal of Artificial Life, MIT Press, 1994 [6] Fred Cohen Computer Viruses PhD thesis, University of Southern California, 1985 [7] Joseph Rabaiotti Counter Intrusion Software PhD Thesis, Computer Science, Cardiff University, pp 38- 43, 2007 [8] Leonard Adleman An abstract theory of computer viruses In Lecture Notes in Computer Science, vol 403 Springer-Verlag, 1990 [9] Mani Radhakrishman and Jon Solworth, Socket Programming in C/C++ [10] Neil J.Rubenking Security in windows 7: Windows filtering platform, 2009 [11] Péter Ször The Art of Computer Virus Research and Defense Addison Wesley Professional Press (ISBN 0-321-30454-3) February 03, 2005 CÁC ĐỊA CHỈ INTERNET [12] Kaspersky Lab Anti-virus Software, 2008 http://www.kaspersky.com [13] Massachusetts Institute of Technology Technology Review (US-2006) http://www.technologyreview.com/read_article.aspx?id=17608&ch=infotech [14] The Free Dictionary, Farlex Inc (USA, 2008): http://encyclopedia.thefreedictionary.com/Anti-virus%20software [15] The National Academy of Engineering Committee on Engineering's Grand Challenges (USA, 2008): http://www.engineeringchallenges.org [16] WFP Architecture http://msdn.microsoft.com/enus/library/windows/desktop/aa366509%28v=vs.85%29.aspx ...BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC LẠC HỒNG *** Đinh Tuấn Khải XÂY DỰNG HỆ THỐNG TƯỜNG LỬA MẠNG NỘI BỘ Chuyên ngành : Công nghệ thông tin Mã số : 60.48.02.01 Luận văn thạc sĩ Công nghệ thông. .. tiêu đề tài xây dựng hệ thống tường lửa mạng nội bộ, tiếp đến tích hợp nhận dạng virus máy tính với tiêu chí bản: - Xây dựng hệ thống tường lửa có khả cấm chương trình nguy hiểm cố gắng mạng - Quyết... 1.1.1 Lý chọn đề tài Ngày công nghệ thông tin trở thành lĩnh vực mũi nhọn công phát triển kinh tế xã hội Cùng với công nghệ sinh học lượng mới, công nghệ thông tin (CNTT) vừa công cụ, vừa động lực