Kỹ thuật lọc gói tin và ứng dụng trong bảo vệ mạng tại trung tâm GDTX tỉnh vĩnh phúc

89 0 0
  • Loading ...
1/89 trang

Thông tin tài liệu

Ngày đăng: 07/05/2020, 23:18

ĐÀO THỊ MINH BỘ GIÁO DỤC VÀ ĐÀO TẠO VIỆN ĐẠI HỌC MỞ HÀ NỘI CÔNG NGHỆ THÔNG TIN LUẬN VĂN THẠC SỸ CHUYÊN NGÀNH: CÔNG NGHỆ THÔNG TIN TÊN ĐỀ TÀI:KỸ THUẬT LỌC GÓI TIN VÀ ỨNG DỤNG TRONG BẢO VỆ MẠNG KHÓA HỌC 2015 - 2017 HỌ VÀ TÊN TÁC GIẢ: ĐÀO THỊ MINH HÀ NỘI - NĂM 2017 BỘ GIÁO DỤC VÀ ĐÀO TẠO VIỆN ĐẠI HỌC MỞ HÀ NỘI LUẬN VĂN THẠC SỸ TÊN ĐỀ TÀI: KỸ THUẬT LỌC GÓI TIN VÀ ỨNG DỤNG TRONG BẢO VỆ MẠNG HỌ VÀ TÊN TÁC GIẢ: ĐÀO THỊ MINH CHUYÊN NGÀNH : CÔNG NGHỆ THÔNG TIN MÃ SỐ: 60.48.02.018 HƯỚNG DẪN KHOA HỌC: PGS.TS NGUYỄN VĂN TAM HÀ NỘI - NĂM 2017 ii LỜI CAM ĐOAN Những kết nghiên cứu trình bày luận văn hồn tồn trung thực khơng vi phạm điều luật sở hữu trí tuệ pháp luật Việt nam Các thông tin thứ cấp sử dụng luận văn có nguồn gốc trích dẫn rõ ràng Tơi hồn tồn trách nhiệm tính xác thực luận văn Hà Nội, tháng 10 năm 2017 Tác giả luận văn Đào Thị Minh i LỜI CẢM ƠN Trước hết xin gửi lời biết ơn sâu sắc tới PGS.TS Nguyễn Văn Tam dành nhiều thời gian tâm huyết hướng dẫn, nghiên cứu giúp hồn thành luận văn Để hồn thành chương trình cao học viết luận văn này, nhận hướng dẫn, giúp đỡ góp ý nhiệt tình thầy giáo Viện Đại học Mở Hà Nội Tôi xin chân thành cảm ơn thầy tận tình dạy bảo tơi suốt suốt q trình học tập nghiên cứu Đồng thời, tơi xin cảm ơn Ban giám đốc, đồng nghiệp Trung tâm GDTX tỉnh Vĩnh Phúc tạo điều kiện hỗ trợ cho nhiều suốt thời gian học tập nghiên cứu thực đề tài luận văn thạc sỹ cách hồn chỉnh Điều đặc biệt tơi cần nhắc đến gia đình nhỏ tơi, Mẹ anh chị em nhà người cha kính u tơi Mặc dù tơi cố gắng nhiều để thực luận văn, nhiên khó tránh khỏi thiếu sót Tơi mong nhận thơng cảm đóng góp ý kiến thầy cô bạn Học viên Đào Thị Minh ii MỤC LỤC Trang LỜI CAM ĐOAN i LỜI CẢM ƠN ii MỤC LỤC iii DANH KÝ HIỆU CÁC TỪ VIẾT TẮT v DANH MỤC CÁC HÌNH VẼ vii MỞ ĐẦU 1 Lý chọn đề tài Mục đích mục tiêu nghiên cứu Phương pháp nghiên cứu Nội dung nghiên cứu CHƯƠNG TỔNG QUAN VỀ AN TOÀN VÀ BẢO MẬT TRONG MẠNG IP 1.1 Các kỹ thuật công mạng IP [3] 1.1.1 Kỹ thuật thu thập, chặn bắt thông tin 1.1.2 Kỹ thuật công xâm nhập mạng 1.2.3 Kỹ thuật công từ chối dịch vụ DoS, DdoS [6] 1.2 Giải pháp an toàn bảo vệ mạng IP 10 1.2.1 Các mạng riêng ảo (VPN - Virtual Private Network) [8] 10 1.2.2 Giải pháp mật mã thông tin (Cryptography) [3] 10 1.2.3 Giải pháp phát phòng tránh xâm nhập IDS, IPS [4] 16 Kết luận chương 1: 19 CHƯƠNG 2: TƯỜNG LỬA VÀ KỸ THUẬT LỌC GÓI TIN 21 2.1 Giới thiệu tường lửa (Firewall) [2] 21 2.1.1 Định nghĩa, chức Bức tường lửa.(BTL) 21 2.1.2 Phân loại tường lửa 22 2.1.3 Kiến trúc chế hoạt động tường lửa lọc gói [6] 26 2.2 Kỹ thuật lọc gói tin [1] 30 2.2.1 Kỹ thuật lọc gói khơng trạng thái [4] 32 iii 2.2.1.1 Giải thuật lọc gói khơng trạng thái 32 2.2.1.2 Lọc gói dựa tiêu đề TCP/UDP 34 2.2.1.3 Lọc gói dựa tiêu đề gói tin IP 39 2.2.1.4 Mặc định từ chối so với mặc định cho phép 41 2.2.2 Kỹ thuật lọc gói trạng thái đầy đủ 42 2.2.2.1 Giải thuật lọc gói trạng thái đầy đủ 42 2.2.2.2 Theo dõi trạng thái 44 2.2.2.3 Lưu giữ kiểm tra trạng thái 47 2.2.2.4 Theo dõi số trình tự TCP 48 2.2.2.5 Kiểm tra giao thức 49 2.2.3 Sự khác kỹ thuật lọc gói khơng trạng thái kỹ thuật lọc gói trạng thái đầy đủ 49 Kết luận chương 2: 50 CHƯƠNG BÀI TOÁN THỬ NGHIỆM BỨC TƯỜNG LỬA LỌC GÓI TIN CHO IP 52 3.1 Bài toán thử nghiệm 52 3.1.1 Xây dựng sách lọc gói khơng trạng thái 53 3.1.2 Xây dựng sách lọc gói trạng trái đầy đủ 54 3.2 Phân tích, lựa chọn công cụ thử nghiệm 55 3.3 Kết thử nghiệm đánh giá 59 Kết luận chương 3: 61 Phần kết luận: Tóm tắt kết đạt được, hướng phát triển 62 TÀI LIỆU THAM KHẢO 64 PHỤ LỤC 65 Phụ lục 1: Cài đặt IPtables 65 Phụ lục 2: Cài đặt thử nghiệm FWBINLDER 68 iv DANH KÝ HIỆU CÁC TỪ VIẾT TẮT Viết tắt ACK Tiếng anh Tiếng việt Giao thức điều khiển truyền vận Acknowledgement Header xác thực thêm vào sau AH Authentication Header AES Advanced Encryption Standard Thuật tốn mã hóa khối DA Destination Address Địa IP đích DES Data Encryption Standard Thuật tốn mã đối xứng DNS Domain Name System Hệ thống tên miền DoS Denial of Service Tấn công từ chối dịch vụ DDoS Distributed Denial of Service Tấn công từ chối dịch vụ phân tán DNAT Destination Network Address Translation NAT động header gói tin IP Phương thức đóng gói bảo vệ ESP Encapsulated Security Payload liệu ICMP Internet Control Message Protocol IDEA International Data Encryption Algorithm: giao thức gói Internet Protocol Giao thức thiết bị mạng router dùng để gửi Thuật tốn mã hóa liệu Đặt kiểm sốt email mail IMAP Internet Message Access Protocol server Internet Protocol Giao thức truyền mạng Internet IPv6 Internet Protocol version Giao thức IP phiên IPv4 Internet Protocol version Giao thức IP phiên IDS Intruction Detect System IP Hệ thống phát xâm nhập v IPS Hệ thống phòng tránh truy cập trái Intrusion Prevention System: phép Giao thức sử dụng IPX Internetwork packet Exchange hệ điều hành mạng LAN Local area network Mạng cục MAC NAT Điều khiển địa truyền thông Media Address Controller Phương thức chuyển đổi địa Network Address Translation RSA phương thức mã hố RSA Rivest Shamir Adleman cơng khai SA Security Association Địa IP nguồn SYN Synchronous Idle Character SNMP Simple Network Management Protocol Tập hợp giao thức SMTP Simple Mail Transfer Protocol Giao thức truyền tải thư tín UDP User Datagram Protocol Giao thức thông tin người sử dụng OSI Open Systems Interconnection Ký tự đồng hố Mơ hình tham chiếu kết nối hệ thống mở Là tải toàn thông điệp email POP TCP Post Office Protocol: client server yêu cầu Transmission Control Protocol Giao thức điều khiển kết nối Mạng riêng tổ chức sử dụng đường truyền công cộng Virtual Private Network VPN vi DANH MỤC CÁC HÌNH VẼ Trang Hình 1:Kỹ thuật bắt gói tin thụ động Hình 2: Kỹ thuật Sniffers chủ động Hình 3: Kỹ thuật Tấn công kiểu Smurf Hình 4: Kỹ thuật Tấn cơng kiểu SYN flood Hình 5: Kỹ thuật Tấn cơng DdoS Hình 6: Phân loại cơng DDoS Hình 7: Mạng riêng ảo 10 Hình Sơ đồ thuật toán mã hoá 12 Hình Vị trí IDS mạng 17 Hình 10 Vị trí TPS mạng 19 Hình Firewall lọc gói 22 Hình 2 Tường lửa ứng dụng 24 Hình Tường lửa nhiều tầng 25 Hình Kiến trúc máy chủ trung gian 26 Hình Kiến trúc máy chủ sàng lọc 27 Hình Kiến trúc mạng sàng lọc 28 Hình Mơ hình sử dụng nhiều Bastion Host 28 Hình Kiến trúc ghép chung Router Router 29 Hình Kiến trúc ghép chung Bastion Host Router ngồi 29 Hình 10 Các luồng gói tin tường lửa lọc gói 31 Hình 11 Tiêu đề mảng tin TCP 35 Hình 12 Tiêu đề mảng tin UDP 35 Hình 13 Các cổng giao thức TCP 37 Hình 14 Quá trình bắt tay ba bước giao thức TCP 38 Hình 15 Tiêu đề gói tin IP 39 Hình 16 Thơng điệp ICMP gói tin IP 46 Hình Sơ đồ kết nối mạng trường học 52 vii Hình Netfilter Iptables nhân Linux 56 Hình 3 Các sách luật lọc gói khơng trạng thái 59 Hình Các luật lọc gói tin khơng trạng thái cài đặt 60 Hình Các sách luật lọc gói trạng thái đầy đủ 60 Hình Các luật lọc gói trạng thái đầy đủ cài đặt 61 viii công cụ mã nguồn mở IPTables Hướng phát triển đề tái - Tiếp tục nghiên cứu để hoàn thiện tốt hệ thống bảo vệ an toàn mạng phục vụ cho nhu cầu đơn vịmình - Tìmhiểu,nghiêncứuthêmcáckỹthuậtmớihiệuquảhơncáckỹthuậtđangcó IPV6 Ưu điểm Nhìn chung báo cáo em nêu lên điểm cần ý mặt lý thuyết, trình bày sơ lược khái niệm, cấu trúc địa IP, tính bật Hạn chế Do luận văn thực khn khổ quỹ thời gian trình độ thân có hạn, với số khó khăn định tiếp cận với công nghệ tương đối mới, hệ thống phức tạp, đồ án mắc phải số lỗi sau: Phân tích chưa sâu mặt lý thuyết, chưa demo q trình lọc gói tin IPv6 Chưa đưa mơ hình thử nghiệm đạt chuẩn Ipv6 Phân tích thiết kế hệ thống mạng cho đơn vị sơ sài, dừng lại việc cấu hình server Chưa đưa phương án bảo mật cho hệ thống mạng IPv6 Đối với Trung tâm GDTX tỉnh Vĩnh Phúc bước đầu tiếp cận với công nghệ IPv6 với quy mô nhỏ chưa đầu tư đầy đủ sở hạ tầng em hy vọng tương lai mở rộng triển khai IPv6 tồn hệ thống để truy cập vào hệ thống mạng rộng lớn bắt kịp phát triển công nghệ 63 TÀI LIỆU THAM KHẢO Tiếng việt: [1] Phan Đình Diệu (1999), Lý thuyết mật mã an tồn thơng tin, Đại học Quốc gia Hà Nội [2] NguyễnThúcHải (1997),Mạngmáytínhvàcáchệthốngmở,NhàxuấtbảnGiáodục Tiếng Anh: [3] Alan G Konheim (2007), Computer Security and Cryptography,John Wiley & Sons, Inc [4] Meenakshi Patel, Sanjay Sharma (2012), Detection of malicious attack in manet a behavioral approach, IEEE [5] Mrinal Buddekar (August 28, 2013), Install ip6tables for IPv6 on CentOS 32/64bit Linux [6] Nur Amalina1 Raed Alsaqour (2013), “Enhanced network security system using firewalls”, ARPN Journal of Engineering and Applied Sciences, VOL.8, NO12 [7] Orla McGann B.Eng (January 2005), IPv6 Packet Filtering, Masters Thesis of the National University of Ireland Maynooth [8] Smriti Salaria1 , Er Nishi Madaan (2014), “Firewall and Its Policies Management”, Journal of Computer Science and Information Technology, IJCSMC, Vol 3, Issue 4, April 2014, pg.359 – 367, India [9] Walter C Snyder (2010) Evaluating the effectiveness of packet filter firewall applications in a “dual stack” Internet Protocol environment Master of Science in Computer Networking and System Administration, In Rochester Institute of Technology 64 PHỤ LỤC Phụ lục 1: Cài đặt IPtables IPtables thường cài đặt mặc định hệ thống Bạn kiểm tra xem iptables cài đặt hệ thống cách sử dụng lệnh : iptables –vertion Nếu iptables chưa cài đặt, bạn chạy cài đặt theo lệnh sau: apt-get install iptables 65 Trước thao tác tạo luật cho hệ thống firewall phải kiểm tra luật có firewall Sử dụng lệnh iptable –L –v account root Trên Ubuntu, Iptables chuỗi lệnh services nên bạn start, stop hay restart Một cách đơn giản để vơ hiệu hóa bạn xóa hết toàn quy tắc thiết lập lệnh flush: 66 Để xây dựng hệ thống firewall iptable server thiết phải có card mạng , card internal nối với mạng nội card external để truy cập internet Để cấu hình tham số card mạng dùng lênh nano /etc/network/interface với quyền root , tham số cấu IP address , Netmask , gateway dựa thực tế triển khai hệ thống firewall 67 Phụ lục 2: Cài đặt thử nghiệm FWBINLDER Cài đặt firewall builder lệnh apt-get install fwbuilder - Tạo firewall binlder Bước 68 Bước 2 Tạo policy cho firewall 10 69 Cấu hình IP cho server chạy firewall 70 Đóng sổ comment firewnall cách nhắp chuột phải task bar ruler /User/Firewall/ Chèn ruler cho firewall 71 Chọn tên câu hình cho server dùng phương pháp kéo thả , Server chạy firewall nên thả vào destination Tiếp theo chọn điều kiện với firewall Mọi điều kiện có sẵn nên ta chọn Library Standar , Nhập điều kiện filter kéo thả vào firewall builder 72 Vì firewall thiết lập để chặn ssh nên ta kéo ssh vào phần Service Như với firewall ta cấm máy trạm dùng dịch vụ ssh tới máy chủ có IP 192.168.5.199 Chèn thêm rule khác firewall bàng cách nhắp chuột vào dâu + mà xanh 73 Thêm rule firewall cho phép ping đến server từ nơi 74 Sau Compile save ta file chay với tên hình vẽ Chạy file để thực thi firewall thiết lập 75 Kiểm tra lại xem tham số firewall lệnh iptables –L Như firewall thiết lập test với điều kiện đặt firewall Ping từ máy mạng có dải IP 76 Kết có trả lời accept gói tin firewall Thử truy cập ssh từ máy mạng đến máy chủ 77 ... lửa lọc gói [6] 26 2.2 Kỹ thuật lọc gói tin [1] 30 2.2.1 Kỹ thuật lọc gói khơng trạng thái [4] 32 iii 2.2.1.1 Giải thuật lọc gói khơng trạng thái 32 2.2.1.2 Lọc gói. .. VỀ AN TOÀN VÀ BẢO MẬT TRONG MẠNG IP 1.1 Các kỹ thuật công mạng IP [3] 1.1.1 Kỹ thuật thu thập, chặn bắt thông tin 1.1.2 Kỹ thuật công xâm nhập mạng 1.2.3 Kỹ thuật công... GIÁO DỤC VÀ ĐÀO TẠO VIỆN ĐẠI HỌC MỞ HÀ NỘI LUẬN VĂN THẠC SỸ TÊN ĐỀ TÀI: KỸ THUẬT LỌC GÓI TIN VÀ ỨNG DỤNG TRONG BẢO VỆ MẠNG HỌ VÀ TÊN TÁC GIẢ: ĐÀO THỊ MINH CHUYÊN NGÀNH : CÔNG NGHỆ THÔNG TIN MÃ
- Xem thêm -

Xem thêm: Kỹ thuật lọc gói tin và ứng dụng trong bảo vệ mạng tại trung tâm GDTX tỉnh vĩnh phúc , Kỹ thuật lọc gói tin và ứng dụng trong bảo vệ mạng tại trung tâm GDTX tỉnh vĩnh phúc

Gợi ý tài liệu liên quan cho bạn