Đang tải... (xem toàn văn)
Mạng LAN và các phương pháp bảo mật
Đồ án tốt nghiệp Nguyễn Quốc Bảo ĐT12- K46 LỜI CẢM ƠN Đồ án được hoàn thành là nhờ sự giúp đỡ tận tình của các thầy cô, các bạn đồng niên và những người thân. Lời đầu tiên em xin bày tỏ lòng biết ơn đến tất cả những người đã giúp đỡ em trong quá trình học tập và hoàn thành đồ án tốt nghiệp này. Đặc biệt em xin bày tỏ lòng biết ơn chân thành nhất tới thầy Nguyễn Hoàng Dũng, người đã trực tiếp hướng dẫn và giúp đỡ em trong quá trình nghiên cứu thực hiện đề tài. Em xin chân thành cảm ơn những ý kiến đóng góp hết sức quý báu của thầy giáo phản biện. Nhân dịp này cho em bày tỏ lòng biết ơn sâu sắc đến các thầy cô trong khoa Điện Tử-Viễn Thông trường Đại Học Bách Khoa Hà Nội trong suốt những năm học qua đã cung cấp cho em rất nhiều những kiến thức phục vụ cho công tác sau này. Sinh viên Nguyễn Quốc Bảo 1 Đồ án tốt nghiệp Nguyễn Quốc Bảo ĐT12- K46 MỤC LỤC LỜI NÓI ĐẦU .6 CHƯƠNG 1: CÁC KHÁI NIỆM CƠ BẢN 8 1. Mạng và kết nối mạng .8 2. Các loại hình mạng 11 CHƯƠNG 2: MỘT SỐ THIẾT BỊ MẠNG THÔNG THƯỜNG 16 1. Cáp .16 2. Card mạng .16 3. Hub 17 4. Bridge 17 5. Switch 17 6. Router 17 7. Card mạng không dây và điểm truy cập 17 CHƯƠNG 3: MÔ HÌNH OSI VÀ TCP/IP 18 1. Mô hình OSI 18 1.1. Kiến trúc phân tầng 18 1.2. Chức năng của các tầng trong mô hình OSI .19 1.3. Quan hệ giữa các tầng trong mô hình OSI .21 2. Mô hình TCP/IP 23 2.1. Kiến trúc phân tầng 23 2.2. Các tầng trong mô hình TCP/IP .24 2.3. Giao thức IP 26 PHẦN 2: THIẾT KẾ MẠNG LAN VÀ WAN .32 CHƯƠNG 1: THIẾT KẾ MẠNG LAN 32 1.Yêu cầu chung 32 2. Lớp 1 .34 3. Lớp 2 .35 4. Lớp 3 .35 1. Lớp truy cập .37 2. Lớp phân bố .38 3. Lớp lõi .39 1. Các bước thiết kế mạng WAN 40 2. Một số topology mạng WAN 41 3. Mô hình phân lớp mạng WAN 43 PHẦN 3: MỘT SỐ PHƯƠNG THỨC TẤN CÔNG VÀ CÁC BIỆN PHÁP BẢO VỆ MẠNG .45 CHƯƠNG 1: MỘT SỐ PHƯƠNG THỨC TẤN CÔNG .45 CHỦ YẾU .45 2 Đồ án tốt nghiệp Nguyễn Quốc Bảo ĐT12- K46 1. Các vấn đề chung 45 2. Tấn công chủ động 46 2.1. Phương pháp tấn công DoS 46 2.2. Phương pháp tấn công DDoS .48 2.3. Tấn công SYN 49 3. Tấn công bị động .51 3.1. Sniffing .51 3.2. Vulnerability scanning 51 4. Tấn công password 51 4.1. Brute force attacks 51 4.2. Dictionary-based attacks 52 CHƯƠNG 2: MỘT SỐ BIỆN PHÁP BẢO VỆ MẠNG .53 1. Switch 53 1.1. Password truy cập và port sercurity 53 1.2. VLAN .55 2. Router 59 2.1. Password truy cập .60 2.2. Access Control Lists .61 3. Tường lửa 63 3.1. Packet filtering firewall .64 3.2. Application layer Gateways .64 3.3. Stateful inspection 66 3.4. Một số mô hình mạng được triển khai bằng firewall 66 4. Thiết bị phát hiện xâm nhập hệ thống .68 4.1. Network-based IDSs .69 4.2. Host-based IDSs .69 4.3. Application-based IDSs 70 PHẦN 4: XÂY DỰNG HỆ THỐNG MÔ PHỎNG 71 CHƯƠNG 1: TỔNG QUAN MẠNG MÔ PHỎNG 71 1. Mô hình mạng mô phỏng 71 1.1 Yêu cầu thiết kế 72 1.2 Mô tả hệ thống .72 2. Các thiết bị triển khai trên hệ thống 73 CHƯƠNG 2: TRIỂN KHAI CẤU HÌNH TRÊN 74 CÁC THIẾT BỊ 74 1. Router 74 1.1. Cấu hình địa chỉ IP .74 1.2. Cấu hình password truy nhập .74 1.3. Cấu hình phương pháp định tuyến .76 1.4. Cấu hình ACLs .76 3 Đồ án tốt nghiệp Nguyễn Quốc Bảo ĐT12- K46 2. Switch 77 2.1. Cấu hình password truy nhập .77 2.2. Cấu hình VLAN .78 KẾT LUẬN .82 NHỮNG THUẬT NGỮ VIẾT TẮT .84 TÀI LIỆU THAM KHẢO .86 4 Đồ án tốt nghiệp Nguyễn Quốc Bảo ĐT12- K46 MỤC LỤC HÌNH HÌNH 1.1.1: MỘT HỆ THỐNG MẠNG ĐƠN GIẢN 9 HÌNH 1.1.2: MỘT SỐ TOPOLOGY MẠNG THÔNG THƯỜNG 11 HÌNH 1.1.3: PEER TO PEER NETWORK 12 HÌNH 1.1.4: CLIENT/SERVER NETWORK 13 HÌNH 1.3.1: MÔ HÌNH OSI 7 TẦNG 19 HÌNH 1.3.2: QUAN HỆ GIỮA CÁC TẦNG TRONG MÔ HÌNH OSI .21 HÌNH 1.3.3: QUÁ TRÌNH ENCAPSULATION 22 HÌNH 1.3.4: SO SÁNH GIỮA OSI VÀ TCP/IP 24 HÌNH 1.3.5: CÁC LỚP ĐỊA CHỈ IP .28 HÌNH 2.1.1: MÔ HÌNH THIẾT KẾ MẠNG LAN .33 HÌNH 2.1.2: CÁC LỚP TRONG THIẾT KẾ MẠNG LAN .34 HÌNH 2.1.3: CÁC GÓI TIN CHẠY TRONG VLAN .36 HÌNH 2.2.1: MÔ HÌNH PHÂN LỚP TRONG THIẾT KẾ MẠNG LAN 38 HÌNH 2.3.1: MÔ HÌNH POINT TO POINT .41 HÌNH 2.3.2: MÔ HÌNH STAR .42 HÌNH 2.3.3: MÔ HÌNH MESH 42 HÌNH 2.3.4: MÔ HÌNH PHÂN LỚP TRONG THIẾT KẾ MẠNG WAN .43 HÌNH 3.1.1: QUÁ TRÌNH BẮT TAY 3 BƯỚC (3- WAY HANDSHAKE). 49 HIÌNH 3.1.2: SYN ATTACK .50 HÌNH 3.2.1: MÔ HÌNH TRIỂN KHAI VLAN .56 HÌNH 3.2.2: VLAN TRUNK 57 HÌNH 3.2.3: APPLICATION LAYER GATEWAY 65 HÌNH 3.2.4: MÔ HÌNH TRIỂN KHAI FIREWALL 66 HÌNH 3.2.5: MÔ HÌNH TRIỂN KHAI KẾT HỢP FIREWALL NHIỀU TẦNG 67 HÌNH 3.2.6: VỊ TRÍ HOẠT ĐỘNG CỦA NIDSS 69 HÌNH 4.1.1: MÔ HÌNH MẠNG MÔ PHỎNG .71 5 Đồ án tốt nghiệp Nguyễn Quốc Bảo ĐT12- K46 LỜI NÓI ĐẦU Ngày nay, tất cả các nước trên thế giới đều đang dành sự đầu tư rất to lơn để phát triển công nghệ thông tin. Cùng với viễn thông, tin học là một thành phần cốt lõi của công nghệ thông tin. Thuật ngữ “mạng máy tính” đã trở nên quen thuộc và trở thành đối tượng nghiên cứu, ứng dụng của rất nhiều người có nghề nghiệp và phạm vi hoạt động khác nhau. Từ khi ra đời, mạng máy tính đã đáp ứng nhu cầu chia sẻ nguồn tài nguyên, giảm chi phí khi muốn trao đổi dữ liệu và được sử dụng trong công tác văn phòng một cách rất tiện lợi. Đến nay, do sự phát triển của xã hội, nhu cầu trao đổi thông tin ngày một nhiều, vì vậy mạng máy tính không ngừng phát triển, không ngừng tối ưu hoá các dịch vụ để đáp ứng yêu cầu đó. Trong những năm gần đây, internet đã trở thành một công cụ rất thuận tiện và phổ biến trong các hoạt động kinh doanh và giải trí. Trong môi trường mạng, một lượng thông tin hay một khối dữ liệu đi từ người gửi đến người nhận thường phải qua nhiều nút với sử dụng khác nhau, không có ai có thể đảm bảo rằng thông tin không bị sao chép, đánh cắp hay xuyên tạc. Do đó việc xây dựng và hoạch định ra một chính sách, triển khai xây dựng hệ thống mạng một cách an toàn nhằm tạo ra một môi trường mạng “trong sạch” đang là một vấn đề được rất nhiều tổ chức, doanh nghiệp, quốc gia quan tâm. Để làm được điều này, các cơ quan tổ chức cần phải xây dựng cho mình một chính sách bảo vệ môi trường mạng của mình một cách thiết thực nhất. Dựa trên những yêu cầu đặt ra ban đầu, thông qua những hiểu biết về việc cấu hình thiết bị mạng, phối kết hợp chúng để chúng phát huy được những điểm mạnh sẵn có và khắc phục được các điểm yếu cho nhau nhằm đạt được mục tiêu chính là bảo vệ an toàn cho hệ thống mạng đó. Với đồ án tốt nghiệp đề tài: ”Mạng LAN và các phương pháp bảo mật”, em muốn nêu lên một số phương pháp giúp cho người quản trị mạng có thể triển khai để bảo vệ mạng trước những tấn công và truy nhập trái phép. 6 Đồ án tốt nghiệp Nguyễn Quốc Bảo ĐT12- K46 Nội dung đồ án được chia thành các phần: Phần 1: Tổng quan về mạng máy tính Phần 2: Thiết kế mạng LAN và WAN Phần 3: Một số phương pháp tấn công và các biện pháp bảo vệ mạng Phần 4: Xây dựng mô hình hệ thống mô phỏng Kết luận 7 Đồ án tốt nghiệp Nguyễn Quốc Bảo ĐT12- K46 PHẦN 1: TỔNG QUAN VỀ MẠNG MÁY TÍNH CHƯƠNG 1: CÁC KHÁI NIỆM CƠ BẢN 1. Mạng và kết nối mạng Ở mức độ cơ bản nhất, mạng (network) bao gồm hai máy tính nối với nhau bằng cáp (cable) sao cho chúng có thể dùng chung dữ liệu. Mọi mạng máy tính cho dù tinh vi phức tạp đến bao nhiêu đi nữa thì cũng đều bắt đầu từ những hệ thống đơn giản như vậy. Đây chính là một thành tựu lớn lao trong công nghệ truyền thông. Mạng máy tính phát sinh từ nhu cầu chia sẻ (share) dữ liệu của người dùng máy tính. Máy tính cá nhân là công cụ tuyệt vời giúp tạo dữ liệu, bảng tính, hình ảnh và nhiều dạng thông tinh khác nhưng lại không cho phép nhanh chóng chia sẻ dữ liệu bạn đã tạo cho mọi người cùng xem và thưởng thức. Không có hệ thống mạng dữ liệu, muốn mang thông tin sang các máy tính khác bạn chỉ có thể dùng tới sự giúp đỡ của đĩa mềm (floppy), hoặc là in tài liệu cần chia sẻ ra giấy. Đó là sự hạn chế rất lớn của việc thiếu môi trường mạng. Đây chính là sự làm việc trong môi trường độc lập, do đó hiệu quả công việc không cao. Nếu một người trong môi trường độc lập nối máy tính của mình với máy tính của nhiều người khác, anh ta sẽ có thể sử dụng dữ liệu trên các máy tính khác, kể cả máy in. Một nhóm máy tính và các thiết bị ngoại vi kết nối với nhau bởi các đường truyền vật lý theo một kiến trúc nào đó được gọi là mạng (network), còn khái niệm các máy tính nối với nhau dùng chung tài nguyên gọi là nối mạng (networking). 8