Tải bản đầy đủ (.doc) (74 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị mạng

Đồ án tốt nghiệp Nghiên cứu công nghệ bảo mật gói IP (IPSec) và ứng dụng bảo mật thông tin trên mạng

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.22 MB, 74 trang )

Đồ án tốt nghiệp
MỤC LỤC
MỤC LỤC i
DANH MỤC CÁC HÌNH VẼ ii
DANH MỤC CÁC TỪ VIẾT TẮT iv
LỜI NÓI ĐẦU 1
Chương 1 3
GIỚI THIỆU TỔNG QUAN VỀ TÌNH HÌNH AN NINH MẠNG 3
Chương 2 19
NGHIÊN CỨU VỀ BỘ GIAO THỨC BẢO VỆ GÓI IP-IPSEC 19
Chương 3 50
ỨNG DỤNG IPSEC VÀO VIỆC XÂY DỰNG CÁC MẠNG AN TOÀN 50
3.1.2. Các thành phần của OpenSwan 50
3.2.3.Kiểm tra hoạt động và tính an toàn 64
Vũ Thị Mai Lớp: AT3B

i
Đồ án tốt nghiệp
DANH MỤC CÁC HÌNH VẼ
Hình 1.1:Tấn công SYN 15
Hình 1.2: Tấn công Ping of Death 16
Hình 1.3: Mô hình kiểu tấn công phân tán DDOS 17
Hình 2.1: Kiến trúc bộ giao thức IPSec 21
Hình 2.2 : Tiêu đề AH 24
Hình 2.3 Gói tin IP trước và sau khi xử lý AH trong chế độ Transport 25
Hình 2.4: Khuôn dạng gói tin AH trong chế độ Tunnel 25
Hình 2.5 Gói IP sau khi tiêu đề ESP và Trailer ESP được thêm vào 28
Hình 2.6 Khuôn dạng ESP 28
Hình 2.7: Gói ESP trong chế độ Transport 29
Hình 2.8: Gói ESP trong chế độ Tunnel 30
Hình 2.9: Hai chế độ IPSec 32


Hình 2.10: IPSec – chế độ Transport 33
Hình 2.11: IPSec – chế độ Tunnel 34
Hình 2.12: Kết hợp AH và ESP trong chế độ Transport 35
Hình 2.13: Kết hợp AH và ESP trong chế độ Tunnel 36
Hình 2.14 : Message 1 39
Hình 2.15: Message 2 40
Hình 2.16: Message 3 40
Hình 2.17: Message 1 của phase2 42
Hình 2.18: Trao đổi thông điệp trong chế độ Main IKE 43
Hình 2.19: Mô tả một phiên giao dịch trong chế độ IKE Aggressive 43
Hình 2.20: Trao đổi thông điệp trong chế độ Quick IKE, thuộc pha thứ II 44
Hình 2.21: Trao đổi thông điệp trong chế độ Newgroup IKE 45
Hình 2.22: IPSec – Xử lý đầu ra với hệ thống các Host 46
Hình 2.23: IPSec – Xử lý hướng nội với các hệ thống máy chủ Host 47
Hình 2.24: IPSec – Xử lý đầu ra với các hệ thống cổng kết nối 48
Hình 2.25: IPSec – Xử lý đầu vào với các cổng kết nối 49
Hình 3.1: Mô hình ứng dụng của phần mềm OpenSwan 52
Hình 3.2: Mô hình cài đặt hệ thống dùng Openswan 53
Hình 3.3: thực hiện ipsec verify 64
Hình 3.4:Thực hiện lệnh service ipsec status 64
Hình 3.5 :Máy client không kết nối được với nhau khi IPSec chưa hoạt động 65
Hình 3.6 :Máy client kết nối được với nhau khi IPSec hoạt động 65
Hình 3.7 : Gói tin thu được tại eth0 khi IPSec chưa hoạt động 67
Hình 3.8 :Gói tin ở dạng ICMP ở dạng rõ có thể dễ dàng đọc được 67
Vũ Thị Mai Lớp: AT3B

ii
Đồ án tốt nghiệp
Hình 3.9 : Gói tin thu được tại eth0 khi IPSec hoạt động 67
Hình 3.10 :Gói tin ở dạng ESP đã được mã hóa 68

Vũ Thị Mai Lớp: AT3B

iii
Đồ án tốt nghiệp
DANH MỤC CÁC TỪ VIẾT TẮT
CNTT Công nghệ thông tin
IP Internet Protocol
IPSec Internet Protocol Security
DNS Domain Name System
URL Uniform Resource Locator
WPA Wifi Protectedd Access
WEP Wired Equivalent Privacy
TKIP Temporal Key Integrity Protocol
AES Advanced Encryption Standard
SSID Service Set Identifier
FHSS Frequency Hopping Spread Spectrum
IEEE Institute of Electrical and Electronic
Engineers
OFMD Orthogonal Frequency Multiplexing Division
ARP Address Resolution Protocol
DoS Denial of Service
DDoS Distributed Denial of Service
TCP Transmision Control Protocol
VPN Virtual Private Network
ESP Encapsulating Security Payload
AH Authentication Header
SPI Security Paramaters Index
SN Sequence Number
IKE Internet Key Exchange
SAKMP Internet Security Association and Key

Management Protocol
PKI Public Key Infrastructure
SA Security Association
HMAC Hash Based Message Authentication Code
IANA Internet Assigned Numbers Authority

Vũ Thị Mai Lớp: AT3B

iv
Đồ án tốt nghiệp
LỜI NÓI ĐẦU
Ứng dụng của công nghệ thông tin ngày càng đóng vai trò quan trọng
trong mọi lĩnh vực. Đó chính là sự trao đổi, chia sẻ, truyền và lưu trữ thông
tin trên hệ thống mạng. Tuy nhiên vấn đề bảo vệ thông tin đã và đang trở
thành một vấn đề nóng, và ngày càng cần thiết với các cá nhân, tổ chức,
doanh nghiệp.
Việc đảm bảo an toàn thông tin trên mạng là công việc hết sức cần
thiết và có giá trị thực tiễn đối với các công ty, các tổ chức đã đưa công
nghệ thông tin vào sử dụng.Cho dù chúng ta đang làm việc ở đâu, trên
mạng Internet công cộng hay đang duy trì một mạng riêng, việc bảo mật
các dữ liệu luôn là các yêu cầu cốt lõi và thiết yếu.
Chúng ta thường để ý quá nhiều đến việc bảo mật trên đường biên và
chống lại những cuộc tấn công từ bên ngoài vào mà ít để ý đến các cuộc tấn
công nội mạng, đây là nơi mà dường như các cuộc tân công thường xẩy ra
nhiều hơn.Để có thể bảo vệ tốt nguồn dữ liệu mạng, chúng ta cần có một
chiến lược bảo mật chắc chắn gồm nhiều lớp bảo mật được kết hợp với
nhau. Các tổ chức cũng thường triển khai các giới hạn để bảo mật đường
biên mạng và bảo mật các truy nhập đến các tài nguyên bằng cách thiết lập
các kiểm soát truy nhập và xác thực. Nhưng việc bảo mật các gói IP thực
sự và nội dung của nó vẫn thường bị bỏ qua.

Trong đồ án chuyên nghành an toàn thông tin, dưới sự hướng dẫn của
thầy giáo Th.s Nguyễn Thanh Sơn, em đã tiếp cận nghiên cứu đề tài
“Nghiên cứu công nghệ bảo mật gói IP (IPSec) và ứng dụng bảo mật thông
tin trên mạng”. Em đã tìm hiểu về giao thức bảo mật gói IP (IPSec) với các
mục đích, tính năng, cách xác định, triển khai cũng như việc thực thi và
quản lý IPSec trên hệ thống mã nguồn mở Linux, được xem là một công cụ
trong chiến lược xây dựng hệ thống bảo mật một cách vững chắc.
Đề tài gồm 3 chương :
Chương I : Giới thiệu tổng quan về tính hình an ninh mạng
Nội dung chương này sẽ trình bày về các nguy cơ,các mối đe dọa về
việc mất an toàn thông tin và thực trạng về vấn đề bảo mật an ninh
mạng từ đó đưa ra giải pháp phòng chống các kiểu tấn công trên mạng.
Vũ Thị Mai Lớp:
AT3B
1
Đồ án tốt nghiệp
Chương II: Nghiên cứu về bộ giao thức bảo vệ gói IP-IPSEC
Nội dung chương này sẽ trình bày về tổng quan về IPSec,kiến trúc và
nguyên lý hoạt động của bộ giao thức IPSec.
Chương III: Khai thác sử dụng bộ phần mềm bảo mật gói IP theo công
nghệ IPSEC
Giới thiệu về phần mềm OpenSwan và ứng dụng của nó sau đó sẽ triển
khai cài đặt và khai thác sử dụng phần mềm trên hệ điều hành mã nguồn mở
ubuntu
Trong quá trình nghiên cứu và phát triển ứng dụng chắc cũng không
tránh khỏi thiếu sót. Rất mong nhận được sự đóng góp ý kiến của các thầy cô
và các bạn.
Em xin chân thành cảm ơn các thầy, các cô khoa An toàn thông tin –
Học viện mật mã đã tận tình dạy dỗ, truyền đạt cho em nhiều kiến thức quý
báu.

Đặc biệt em xin tỏ lòng biết ơn sâu sắc đến thầy Th.s Nguyễn Thanh
Sơn người đã tận tình giúp đỡ, định hướng và truyền đạt nhiều kinh nghiệm
để đề tài có thể được thực hiện và hoàn thành.
Xin chân thành cảm ơn các bạn trong khoa An toàn thông tin – Học Viện
Kỹ Thuật Mật Mã.
Hà Nội, tháng 05 năm 2011
Sinh viên
Vũ Thị Mai
Vũ Thị Mai Lớp:
AT3B
2
Đồ án tốt nghiệp
Chương 1
GIỚI THIỆU TỔNG QUAN VỀ TÌNH HÌNH AN NINH
MẠNG
1.1.Tổng quan tình hình an ninh mạng những năm gần đây
1.1.1.Thực trạng về vấn đề bảo mật và an ninh mạng
Theo CERT, năm qua có hơn 52.000 vụ tấn công, tăng gần gấp đôi so
với con số 21.756 vụ của năm trước, trong đó bao gồm cả các vụ do virus và
những vụ tấn công trên mạng.
- Số lượng các Trojan truy cập từ xa và mở cửa sau (backdoor) tăng lên.
- Các cuộc tấn công vào những hệ thống Unix nhiều hơn.
- Các loại worm Windows 32 lây lan mạnh mẽ qua e-mail giống như
Nimda và SirCam trở nên phổ biến.
- Các virus macro và script xuất hiện nhiều hơn. Chúng được viết ra một
cách dễ dàng nhờ các công cụ tạo virus sẵn có trên Internet.
- Nhiều loại worm Internet có dạng giống như Code Red tấn công trực
tiếp vào các máy chủ Web.
- Số lượng các cuộc tấn công từ chối dịch vụ tăng lên.
- Những mã độc hại và virus được truyền qua hệ thống nhắn tin của điện

thoại di động và các thiết bị không dây cũng sẽ tăng nhanh
- Những kẻ viết virus chủ yếu sẽ vẫn sử dụng thủ thuật cũ như ảnh sex,
các nhân vật nổi tiếng (trường hợp virus Kournikova) hoặc nhiều mưu
mẹo khác để lừa người nhận e-mail mở file đính kèm chứa mã độc hại
để đánh cắp các thông tin của người dùng như mật khẩu,tài khoản của
người dùng
1.1.2.Các vụ tấn công qua mạng Internet
Ở đây chỉ liệt kê các vụ tấn công nổi tiếng và gây hậu quả nghiêm trọng
1. Cuộc tấn công đầu tiên liên quan đến máy chủ DNS xảy ra vào tháng
01/2001 và mục tiêu đầu tiên là trang Register.com.
2. Vào tháng 02/2001, máy chủ của Cục Tài chính Ireland bị tấn công , thủ
phạm là những sinh viên đến từ trường Maynooth, một trường Đại học tại
Ireland.
Vũ Thị Mai Lớp:
AT3B
3
Đồ án tốt nghiệp
4. Kể từ khi các máy tính dự định cung cấp dịch vụ cho tất cả người dùng
Internet, đã có 2 vụ tấn công nhằm làm sập mạng Internet. Vụ đầu tiên xảy ra
vào tháng 10/2002, làm gián đoạn 9/13 máy chủ. Vụ thứ hai xảy ra vài năm
2007 làm gián đoạn 2 trong số các máy chủ.
5. Trong những tuần đầu của cuộc chiến Nam Ossetia 2008, một tấn công
hướng vào các trang web của chính phủ Georgia có chứa tin nhắn:
“win+love+in+Russia”, gây tình trạng quá tải và đóng cửa nhiều máy chủ ở
Georgia tấn công vào các trang web bao gồm các trang web của tổng thống
Georgia, Mikhail Saakashvili làm các trang web này không thể hoạt động
trong 24 giờ và cả ngân hàng quốc gia của Georgia.
6. Trong năm 2009, xảy ra cuộc phản đối bầu cử tại Iran, các nhà hoạt động
nước ngoài đang tìm cách giúp đỡ phe đối lập tham gia vào các cuộc tấn công
chống lại chính phủ của Iran. Trang web chính thức của chính phủ Iran

(ahmedinejad.ir) không thể truy cập được.
7. Tháng 06/2009, một số trang mạng xã hội, bao gồm Twitter, Facebook,
Livejournal và các trang blog, Google bị tấn công . Người dùng không truy
cập vào Twitter, cập nhật trên Facebook cũng khó khăn hơn.
8. Vào tháng 7 – 8/2010, máy chủ của trung tâm ứng dụng văn phòng Ireland
bị tấn công DDoS vào bốn kỳ khác nhau. Gây khó khăn cho hàng ngàn học
sinh. Các cuộc tấn công hiện đang bị điều tra.
9. Vào ngày 28/11/2010, Wikileaks.org bị tấn công. Cuộc tấn công này xảy ra
ngay khi WikiLeaks chuẩn bị tung ra những tài liệu mật của chính phủ Mỹ.
Bộ Ngoại giao Mỹ sau khi biết thông tin này đã quyết định thông báo trước
đến các chính phủ khác về những gì mà tổ chức WikiLeaks sẽ phát tán.
WikiLeaks tuyên bố trên Twitter rằng, ngay cả khi trang web có bị sập,
các tờ báo trên toàn thế giới vẫn sẽ đăng tải những đoạn trích dẫn trong những
tài liệu được tung ra.
10. Vào 8/12/2010, Một nhóm những kẻ tấn công tấn công đồng loạt trang
web của hãng MasterCard, Visa để trả đũa cho việc chủ Wikileaks bị tạm
giam ở Anh. Cuộc tấn công đã đánh sập thành công website của Mastercard,
PostFinance và Visa. PostFinance, ngân hàng đã đóng băng tài khoản của
Julian Assange, bị ngưng hoạt động hơn 16 giờ đồng hồ.
1.1.3.Những nguy hiểm đối với người truy cập mạng và cách phòng tránh
Vũ Thị Mai Lớp:
AT3B
4
Đồ án tốt nghiệp
 Nguy cơ mất thông tin cá nhân
• Gần đây, không thiếu những trường hợp dở khóc dở cười do người
dùng vô tình để lọt thông tin cá nhân của mình vào tay kẻ xấu. Trong
thời đại kết nối, rất có thể lúc nào đó bạn đã chia sẻ thông tin riêng tư
của mình trên các mạng xã hội, về ngôi trường đã học, quê quán, ngày
sinh… Theo thống kê, các thông tin này thường được người dùng chọn

để trả lời câu hỏi bảo mật mỗi khi họ muốn lấy lại mật khẩu.
• Cách phòng tránh
- Trước hết, bạn nên kiểm tra chế độ cài đặt riêng tư trên Facebook.
Sau khi đăng nhập, vào Setting > Privacy Setting. Tại đây bạn có
thể giấu thông tin cá nhân không muốn cho người khác xem, ngoại
trừ bạn bè.
- Một lời khuyên hữu ích là không nên chấp nhận thư mời kết bạn
của người lạ vì kẻ tấn công có thể lợi dụng để lấy thông tin của
bạn.
- Mỗi khi tham gia các trò chơi, hoạt động trên mạng, bạn luôn cần
phải cân nhắc có nên chia sẻ thông tin cá nhân của mình với nhà
cung cấp dịch vụ hay không.
- Chỉ giao dịch với các công ty mà chúng ta tin tưởng: hãy tìm hiểu
rõ chính sách thông tin riêng tư của các trang web, dịch vụ chúng
ta sử dụng. Chỉ nên giao dịch, mua bán với những trang web
chúng ta thật sự tin tưởng, có chính sách bảo vệ thông tin nhạy
cảm. Nên sử dụng tính năng duyệt web riêng tư để làm chủ mọi
tình huống.
- Sử dụng tính năng duyệt web riêng tư: Các phiên bản trình duyệt
hiện nay từ IE, Firefox, Safari và Chrome đều kèm theo tính năng
duyệt web riêng tư private browsing. Tên gọi có thể khác nhau
như InPrivate Browsing (IE), Private Browsing (Firefox), nhưng
chúng đều có tính năng tương tự là xóa sạch tất cả thông tin cá
nhân từ lịch sử duyệt, mật khẩu, bộ nhớ đệm… của phiên duyệt
hiện tại miễn là bạn khởi động lại trình duyệt.
 Nguy hiểm từ những kẻ xấu trên mạng xã hội
Vũ Thị Mai Lớp:
AT3B
5
Đồ án tốt nghiệp

Khi liên kết bạn bè trên mạng xã hội như Facebook, LinkedIn, Twitter…
bạn không biết ai là người đáng tin cậy chính vì vậy phải cảnh giác những
người này bởi họ có thể chiếm quyền kiểm soát tài khoản từ bạn bè của bạn
thông qua phần mềm hiểm độc, phishing…. Một trong số những phương án
thường thấy là kẻ tấn công gửi đi các thông điệp chứa liên kết dẫn tới trang
web chứa mã độc để dụ người dùng.
 Nguy hiểm từ phần mềm diệt virus giả mạo - Scareware
• Scareware là phần mềm diệt virus giả mạo, thường đi kèm thông điệp
“cảnh báo” giả, yêu cầu bạn phải cài chúng để ngăn virus.
• Cách phòng tránh
- Bình tĩnh trước các thông báo giả mạo: chúng ta cần bình tĩnh để
xử lý, cần làm quen với thông báo an ninh của các phần mềm
diệt virus hay tham khảo thông tin từ bạn bè lẫn các nguồn đáng
tin cậy như báo chí về CNTT, bạn sẽ dễ dàng nhận ra đâu là cảnh
báo giả mạo.
- Cài đặt phần mềm bảo vệ cho máy: Trường hợp máy tính chưa
có phần mềm an ninh, chúng ta lo lắng liệu thông báo từ
scareware có phải là thật hay không, hãy tự kiểm tra bằng công
cụ quét trực tuyến có tên HouseCall của Trend Micro, hoặc thử
tiện ích Malicious Software Removal Tool của Microsoft.
- Cập nhật trình duyệt: Trang web lừa đảo là nơi hay có những
thông báo an ninh giả mạo nhất. Hầu hết các trình duyệt web và
phần mềm an ninh mới nhất hiện nay tích hợp công cụ tự động
kiểm tra nội dung trang web. Do đó, tốt nhất để tự phòng vệ, bạn
nên cập nhật trình duyệt web lên phiên bản mới nhất.
 Nguy hiểm từ trojan gửi qua tin nhắn
• Lợi dụng sơ hở của chúng ta, kẻ tấn công có thể gửi tin nhắn tới điện
thoại di động dưới hình thức một thông điệp từ nhà cung cấp dịch vụ.
Loại trojan có trong tin nhắn sẽ dẫn chúng ta tới các trang web chứa mã
độc hoặc chúng có thể thay đổi cấu hình cài đặt của thiết bị để đánh cắp

thông tin đăng nhập, mật khẩu…
• Cách phòng tránh
Vũ Thị Mai Lớp:
AT3B
6
Đồ án tốt nghiệp
Kiểm tra nguồn thông tin: Nếu nhận được tin nhắn từ nguồn đáng
tin cậy nhưng lại dẫn bạn tới trang yêu cầu cài đặt hoặc cập nhật
phần mềm, hãy lập tức thoát ứng dụng gửi - nhận tin nhắn và liên
lạc với nhà cung cấp dịch vụ để xác thực.Các công ty danh tiếng
sẽ không bao giờ gửi tin nhắn tới điện thoại và yêu cầu cài đặt
hoặc cập nhật phần mềm mới.
 Nguy cơ mất thiết bị, lộ dữ liệu
• Các thiết bị xách tay như laptop hay điện thoại di động rất tiện dụng
nhưng đôi khi có thể làm chúng ta khốn khổ nếu lỡ bị mất hoặc có kẻ
đánh cắp, vì như vậy sẽ coi như mất sạch toàn bộ dữ liệu đã nhọc công
tìm kiếm. Nguy hiểm hơn, những thông tin nhạy cảm có thể bị lọt vào
tay người xấu.
• Cách phòng tránh
- Mã hóa dữ liệu: Để tự bảo vệ mình,hãy sử dụng công cụ mã hóa
dữ liệu mang tên BitLocker của Microsoft (chỉ hỗ trợ Vista và
Windows 7) hoặc TrueCrypt (miễn phí, mã mở) để bảo vệ dữ liệu
của mình trước nguy cơ bị truy cập trái phép.
- Sử dụng mật khẩu đủ mạnh: Kèm với phương án mã hóa dữ
liệu,hãy sử dụng mật khẩu đủ mạnh để tăng cường an ninh. Mật
khẩu càng dài càng tốt, kèm theo ký tự lạ càng an toàn. Ngay cả
khi trên máy có một tài khoản người dùng,vẫn nên tạo mật khẩu
đăng nhập.
- Khóa BIOS: Khi khóa BIOS hay ổ đĩa cứng bằng mật khẩu (hoặc
cả hai), bạn có thể đảm bảo rằng không ai có thể khởi động máy

tính của mình. Có nhiều cách truy cập vào BIOS khác nhau, tùy
vào từng nhà sản xuất, có thể phải nhấn một trong số các nút Del,
Esc, F10…Đặt mật khẩu ổ đĩa cứng để tránh người lạ truy xuất.
- Trong trường hợp bạn lo lắng dữ liệu cá nhân trên trình duyệt, bạn
có thể nhờ vào tiện ích FireFound, một phụ kiện của Firefox.
Công cụ này có thể tự động xóa mật khẩu, lịch sử duyệt web,
cookies trình duyệt.
 Nguy hiểm trước các điểm truy cập Wi-Fi miễn phí
Vũ Thị Mai Lớp:
AT3B
7
Đồ án tốt nghiệp
• Mạng Wi-Fi dường như có mặt ở khắp nơi. Tuy nhiên, lợi dụng sơ hở
của người dùng, tin tặc có thể thiết lập một mạng Wi-Fi mở, chứa mã
độc để tấn công khi người dùng truy cập
• Cách phòng tránh
- Xác thực tên của mạng Wi-Fi: Nếu muốn kết nối tới mạng không
dây tại quán cà phê hay ở nơi công cộng, điều đầu tiên hãy tìm
SSID của mạng. SSID là tên mạng không dây, sẽ giúp chúng ta
đoán định liệu tín hiệu không dây kết nối có đúng hay không.
- Khi nghi ngờ, hãy dừng kết nối. Hạn chế truy cập mạng từ các
điểm phát tín hiệu không dây lạ.
 Nguy hiểm từ phần mềm dính lỗi chưa được vá
• Các sản phẩm của Microsoft luôn là đích ngắm của tin tặc nhưng không
phải lúc nào nhà sản xuất cũng có thể ngay lập tức vá được lỗi mới phát
hiện. Ngày nay, các phần mềm thứ ba như Adobe Flash, Firefox…
cũng trở thành mục tiêu của những kẻ tấn công, khi thông qua các công
cụ này kẻ tấn công có thể xâm nhập vào hệ thống của người dùng.
• Cách phòng tránh
- Sử dụng hai công cụ tường lửa và trình diệt virus. Có một cách dễ

dàng hơn cập nhật hệ thống lên các bản mới nhất.
- Ngoài ra, có thể dùng tiện ích Secunia Personal Software
Inspector hỗ trợ quét lỗi ứng dụng, đưa ra cảnh báo cần cập nhật.
1.2.Các kiểu tấn công trên mạng và các giải pháp phòng chống
1.2.1.Kĩ thuật bắt gói tin dùng Sniff
Sniffer là một hình thức nghe lén trên hệ thống mạng, dựa trên những đặc
điểm của cơ chế TCP/IP.
Những điều kiện để Sniff xảy ra:
- Sniff có thể hoạt động trong mạng Lan, mạng WAN, mạng WLAN.
- Điều kiện cần chỉ là dùng cùng Subnet Mark khi Sniffer.
- Ngoài ra ta còn cần một công cụ để bắt và phân tích gói tin như:
Cain&Abel, Ettercap, HTTP sniffer.
Vũ Thị Mai Lớp:
AT3B
8
Đồ án tốt nghiệp
1.2.1.1.Các loại Sniff và cơ chế hoạt động
 Active sniff
- Môi trường: chủ yếu hoạt động trong môi trường có các thiết bị chuyển
mạch gói.Phổ biến hiện nay là các dạng mạch sử dụng switch.
- Cơ chế hoạt động: Chủ yếu hiện nay thường dùng cơ chế ARP và
RARP (2 cơ chế chuyển đổi từ IP sang MAC và từ MAC sang IP) bằng
cách phát đi các gói tin đầu độc, mà cụ thể ở đây là phát đi các gói
thông báo cho máy gởi gói tin là “tôi là người nhận” mặc dù không
phải là “người nhận”.
- Đặc điểm: do phải gởi gói tin đi nên có thể chiếm băng thông
mạng.Nếu sniff quá nhiều máy trong mạng thì lượng gói gởi đi sẽ rất
lớn (do liên tục gởi đi các gói tin giả mạo) có thể dẫn đến nghẽn mạng
hay gây quá tải trên chính NIC của máy đang dùng sniff .
Ngoài ra các sniffer còn dùng một số kỹ thuật để ép dòng dữ liệu đi qua NIC

của mình như:
- MAC fooding: làm tràn bộ nhớ switch từ đó switch sẽ chạy chế độ
forwarding mà không chuyển mạch gói.
- Giả MAC: các sniffer sẽ thay đổi MAC của mình thành MAC của
một máy hợp lệ và qua được chức năng lọc MAC của thiết bị.
- Đầu độc DHCP để thay đổi gateway của client.
 Passive sniff
- Môi trường: chủ yếu hoạt động trong môi trường không có các thiết bị
chuyển mạch gói.Phổ biến hiện nay là các dạng mạng sử dụng hub, hay
các mạng không dây.
- Cơ chế hoạt động: do không có các thiết bị chuyển mạch gói nên các
host phải bị broadcast các gói tin đi trong mạng từ đó có thể bắt gói tin
lại xem Đặc điểm: do các máy tự broadcast các gói nên hình thức sniff
này rất khó phát hiện.
Vũ Thị Mai Lớp:
AT3B
9
Đồ án tốt nghiệp
1.2.1.2.Cách phòng chống Sniff.
 Active Sniff:
- Công cụ kiểm tra băng thông: Như đã nêu trên các sniffer có thể gây
nghẽn mạng do đó có thể dùng các công cụ kiểm tra băng thông. Tuy
nhiên, cách làm này không hiệu quả.
- Công cụ bắt gói tin: Các sniffer phải đầu độc arp nên sẽ gởi arp đi liên
tục, nếu dùng các công cụ này ta có thể thấy được ai đang sniff trong
mạng.Cách này tương đối hiệu quả hơn, nhưng có một vài công cụ sniff
có thể giả IP và MAC để đánh lừa.
- Thiết bị: Đối với thiết bị ta có thể dùng các loại có chức năng lọc MAC
để phòng chống.Riêng với switch có thể dùng thêm chức năng VLAN
trunking, có thể kết hợp thêm chức năng port security (tương đối hiệu

quả do dùng VLAN và kết hợp thêm các chức năng bảo mật).
- Cách khác: Ngoài ra ta có thể cấu hình SSL, tuy hiệu quả, nhưng chưa
cao vẫn có khả năng bị lấy thông tin.
Đối với người dùng:
- Dùng các công cụ phát hiện Sniff (đã kể trên): Khi có thay đổi về thông
tin arp thì các công cụ này sẽ cảnh báo cho người sử dụng.
- Cẩn trọng với các thông báo từ hệ thống hay trình duyệt web: Do một
số công cụ sniff có thể giả CA (Cain & Abel) nên khi bị sniff hệ thống
hay trình duyệt có thể thông báo là CA không hợp lệ.
- Tắt chức năng Netbios (người dùng cấp cao) để quá trình quét host của
các sniffer không thực hiện được. Tuy nhiên cách này khó có thể áp
dụng thực tế nguyên nhân là do switch có thể đã lưu MAC trong bảng
thông tin của nó thông qua quá trình hoạt động.
 Passive sniff
• Dạng sniff này rất khó phát hiện cũng như phòng chống.
• Thay thế các hub bằng các switch, lúc này các gói tin sẽ không còn
broadcast đi nữa , nhưng lúc này ta lại đứng trước nguy cơ bị sniff dạng
active.
1.2.2.Phishing
Vũ Thị Mai Lớp:
AT3B
10
Đồ án tốt nghiệp
- Nguyên tắc của phishing là bằng cách nào đó “lừa” người dùng gửi
thông tin nhạy cảm như tên, địa chỉ, mật khẩu, số thẻ tín dụng, mã thẻ
ATM… đến kẻ lừa đảo (scammer). Các thực hiện chủ yếu là mô phỏng
lại giao diện trang web đăng nhập (login page) của các website có thật,
kẻ lừa đảo sẽ dẫn dụ nạn nhân (victim) điền các thông tin vào trang đó
rồi truyền tải đến anh ta (thay vì đến server hợp pháp) để thực hiện
hành vi đánh cắp thông tin bất hợp pháp mà người sử dụng không hay

biết.
- Theo thời gian, những cuộc tấn công phishing nhằm vào các ngân hàng
trực tuyến, các dịch vụ thương mại điện tử, thanh toán trên mạng,… và
hầu hết các ngân hàng lớn ở Mỹ, Anh, Úc hiện đều bị tấn công bởi
phishing nhằm vào mục tiêu đánh cắp credit card.
1.2.2.1.Cơ chế hoạt động.
Để thực hiện phishing cần hai bước chính:
- Tìm cách dụ nạn nhân mở địa chỉ trang web đăng nhập giả. Cách làm
chính là thông qua đường liên kết của email.
- Tạo một web lấy thông tin giả.
1.2.2.2.Cách phòng phòng chống.
- Cẩn thận với những email lạ, đặc biệt là những email yêu cầu cung cấp
thông
- Để tránh “mất hết tài khoản”, mỗi tài khoản nên đặt mật khẩu khác
nhau, và nên thay đổi thường xuyên
- Nên thường xuyên cập nhật các miếng vá lỗ hổng bảo mật cho trình
duyệt (web browser). Cài thêm chương trình phòng chống virus, diệt
worm, trojan và tường lửa là không bao giờ thừa.
1.2.3.SQL injection
SQL injection là một kĩ thuật cho phép những kẻ tấn công lợi dụng lỗ
hổng trong việc kiểm tra dữ liệu nhập trên các ứng dụng web và các thông
báo lỗi của hệ quản trị cơ sở dữ liệu để thi hành các câu lệnh SQL bất hợp
pháp. Nếu tấn công thành công những kẻ tấn công có thể thực hiện các thao
tác xóa, hiệu chỉnh, … do có toàn quyền trên cơ sở dữ liệu của ứng dụng,
thậm chí là server mà ứng dụng đó đang chạy. Lỗi này thường xảy ra trên các
ứng dụng web có dữ liệu được quản lí bằng các hệ quản trị cơ sở dữ liệu như
SQL Server, MySQL, Oracle, DB2, Sysbase.
Vũ Thị Mai Lớp:
AT3B
11

Đồ án tốt nghiệp
Nhìn chung có bốn kiểu tấn công phổ biến sau:
- Vượt qua kiểm tra lúc đăng nhập (authorization by pass).
- Sử dụng câu lệnh SELECT.
- Sử dụng câu lệnh INSERT.
- Sử dụng các stored-procedures.
1.2.3.1.Dạng tấn công vượt qua kiểm tra đăng nhập.
Với dạng tấn công này, tin tặc có thể dễ dàng vượt qua các trang đăng
nhập nhờ vào lỗi khi dùng các câu lệnh SQL thao tác trên cơ sở dữ liệu của
ứng dụng web. Xét một ví dụ điển hình, thông thường để cho phép người
dùng truy cập vào các trang web được bảo mật, hệ thống thường xây dựng
trang đăng nhập để yêu cầu người dùng nhập thông tin về tên đăng nhập và
mật khẩu. Sau khi người dùng nhập thông tin vào, hệ thống sẽ kiểm tra tên
đăng nhập và mật khẩu có hợp lệ hay không để quyết định cho phép hay từ
chối thực hiện tiếp.
Ví dụ, nếu người dùng nhập chuỗi sau vào trong cả 2 ô nhập liệu
username/password của trang login.htm là: ' OR ' ' = ' '. Lúc này, câu truy
vấn sẽ được gọi thực hiện là.
SELECT * FROM T_USERS WHERE USR_NAME ='' OR ''='' and
USR_PASSWORD= '' OR ''=''.
Câu truy vấn này là hợp lệ và sẽ trả về tất cả các bản ghi của T_USERS
và đoạn mã tiếp theo xử lí người dùng đăng nhập bất hợp pháp này như là
người dùng đăng nhập hợp lệ.
1.2.3.2.Dạng tấn công sử dụng câu lệnh SELECT.
Dạng tấn công này phức tạp hơn. Để thực hiện được kiểu tấn công này,
kẻ tấn công phải có khả năng hiểu và lợi dụng các sơ hở trong các thông báo
lỗi từ hệ thống để dò tìm các điểm yếu khởi đầu cho việc tấn công.
Trong các tình huống thông thường, đoạn mã này hiển thị nội dung của
tin có ID trùng với ID đã chỉ định và hầu như không thấy có lỗi. Tuy nhiên,
giống như ví dụ đăng nhập ở trước, đoạn mã này để lộ sơ hở cho một lỗi SQL

injection khác. Kẻ tấn công có thể thay thế một ID hợp lệ bằng cách gán ID
cho một giá trị khác, và từ đó, khởi đầu cho một cuộc tấn công bất hợp pháp,
ví dụ như: 0 OR 1=1
Vũ Thị Mai Lớp:
AT3B
12
Đồ án tốt nghiệp
Câu truy vấn SQL lúc này sẽ trả về tất cả các article từ bảng dữ liệu vì nó
sẽ thực hiện câu lệnh: SELECT * FROM T_NEWS WHERE NEWS_ID=0 or
1=1.
1.2.3.3.Dạng tấn công sử dụng câu lệnh INSERT.
Thông thường các ứng dụng web cho phép người dùng đăng kí một tài
khoản để tham gia. Chức năng không thể thiếu là sau khi đăng kí thành công,
người dùng có thể xem và hiệu chỉnh thông tin của mình. SQL injection có
thể được dùng khi hệ thống không kiểm tra tính hợp lệ của thông tin nhập
vào.
Ví dụ, một câu lệnh INSERT có thể có cú pháp dạng: INSERT INTO
TableName VALUES ('Value One', 'Value Two', 'Value Three'). Nếu đoạn
mã xây dựng câu lệnh SQL có dạng:
Thì chắc chắn sẽ bị lỗi SQL injection, bởi vì nếu ta nhập vào trường thứ
nhất ví dụ như: ' + (SELECT TOP 1 FieldName FROM TableName) + '. Lúc
này câu truy vấn sẽ là: INSERT INTO TableName VALUES(' ' + (SELECT
TOP 1 FieldName FROM TableName) + ' ', 'abc', 'def'). Khi đó, lúc thực hiện
lệnh xem thông tin, xem như bạn đã yêu cầu thực hiện thêm một lệnh nữa đó
là: SELECT TOP 1 FieldName FROM TableName.
1.2.3.4.Dạng tấn công sử dụng stored-procedures
Việc tấn công bằng stored-procedures sẽ gây tác hại rất lớn nếu ứng
dụng được thực thi với quyền quản trị hệ thống 'sa'. Ví dụ, nếu ta thay đoạn
Vũ Thị Mai Lớp:
AT3B

13
Đồ án tốt nghiệp
mã tiêm vào dạng: ' ;EXEC xp_cmdshell ‘cmd.exe dir C: '. Lúc này hệ thống
sẽ thực hiện lệnh liệt kê thư mục trên ổ đĩa C:\ cài đặt server. Việc phá hoại
kiểu nào tuỳ thuộc vào câu lệnh đằng sau cmd.exe.
1.2.3.5.Cách phòng chống sql injection.
Để phòng chống ta có hai mức sau:
 Kiểm soát chặt chẽ dữ liệu nhập vào: Để phòng tránh các nguy cơ có
thể xảy ra, hãy bảo vệ các câu lệnh SQL là bằng cách kiểm soát chặt
chẽ tất cả các dữ liệu nhập nhận được từ đối tượng Request (Request,
Request.QueryString,Request.Form,Request.Cookies,Request.ServerVa
riables).
 Thiết lập cấu hình an toàn cho hệ quản trị cơ sở dữ liệu: Cần có cơ chế
kiểm soát chặt chẽ và giới hạn quyền xử lí dữ liệu đến tài khoản người
dùng mà ứng dụng web đang sử dụng. Các ứng dụng thông thường nên
tránh dùng đến các quyền như dbo hay sa. Quyền càng bị hạn chế, thiệt
hại càng ít. Ngoài ra để tránh các nguy cơ từ SQL Injection attack, nên
chú ý loại bỏ bất kì thông tin kĩ thuật nào chứa trong thông điệp chuyển
xuống cho người dùng khi ứng dụng có lỗi. Các thông báo lỗi thông
thường tiết lộ các chi tiết kĩ thuật có thể cho phép kẻ tấn công biết được
điểm yếu của hệ thống.
1.2.4.Tấn công từ chối dịch vụ.
Về cơ bản, tấn công từ chối dịch vụ chỉ là tên gọi chung của cách tấn
công làm cho một hệ thống nào đó bị quá tải không thể cung cấp dịch vụ,
hoặc phải ngưng hoạt động. Tấn công kiểu này chỉ làm gián đoạn hoạt động
của hệ thống chứ rất ít có khả năng thâm nhập hay chiếm được thông tin dữ
liệu của nó.
1.2.4.1.SYN Attack.
Đây là kiểu tấn công mà kẻ tấn công lợi dụng quá trình bắt tay 3 bước
của TCP. Ban đầu Kẻ tấn công gửi các yêu cầu kết nối TCP SYN tới máy

chủ bị tấn công để xử lý lượng gói tin SYN này,máy chủ cần tốn một lượng
bộ nhớ cho kết nối khi có rất nhiều gói SYN ảo tới máy chủ và chiếm hết các
yêu cầu xử lý của máy chủ. Những người dùng khác kết nối tới máy chủ và
cũng thực hiện kết nối TCP SYN và lúc này máy chủ không còn khả năng đáp
lại do đó kết nối không được thực hiện.
Vũ Thị Mai Lớp:
AT3B
14
Đồ án tốt nghiệp
Hình 1.1:Tấn công SYN
1.2.4.2.Tấn công Ping of Death
Kiểu tấn công ping of death dùng giao thức ICMP. Bình thường, ping
được dùng để kiểm tra xem một host có sống hay không. Một lệnh ping thông
thường có hai thông điệp echo request và echo reply. Tiến trình ping bình
thường diễn ra như sau: C:\>ping 192.168.10.10
Pinging 192.168.10.10 with 32 bytes of data:
Reply from 192.168.10.10: bytes=32 time=1ms TTL=150
Reply from 192.168.10.10: bytes=32 time=1ms TTL=150
Reply from 192.168.10.10: bytes=32 time=1ms TTL=150
Reply from 192.168.10.10: bytes=32 time=1ms TTL=150
Ping statistics for 192.168.10.10:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 1ms, Average = 1ms
Khi tấn công bằng Ping of Death, một gói tin echo đựoc gửi có kích
thước lớn hơn kích thước cho phép là 65,536 bytes. Gói tin sẽ bị chia nhỏ ra
thành các segment nhỏ hơn, nhưng khi máy đích kết hợp, host đích nhận thấy
rằng là gói tin quá lớn đối với buffer bên nhận. Kết quả là, hệ thống không thể
quản lý nổi tình trạng bất thường này và sẽ reboot hoặc bị treo.
Vũ Thị Mai Lớp:

AT3B
15
Đồ án tốt nghiệp
Hình 1.2: Tấn công Ping of Death
1.2.4.3.Tấn công Teardrop
Tất cả các dữ liệu chuyển đi trên mạng từ hệ thống nguồn đến hệ thống
đích đều phải trải qua 2 quá trình sau: dữ liệu sẽ được chia ra thành các mảnh
nhỏ ở hệ thống nguồn, mỗi mảnh đều phải có một giá trị offset nhất định để
xác định vị trí của mảnh đó trong gói dữ liệu được chuyển đi. Khi các mảnh
này đến hệ thống đích, hệ thống đích sẽ dựa vào giá trị offset để sắp xếp các
mảnh lại với nhau theo thứ tự đúng như ban đầu.
Khi các packets này đến đích, hệ thống đích sẽ dựa vào offset của các
gói packets để sắp xếp lại cho đúng với thứ tự ban đầu: packet thứ nhất đến
packet thứ hai đến packet thứ ba.
Trong tấn công Teardrop, một loạt gói packets với giá trị offset chồng
chéo lên nhau được gởi đến hệ thống đích. Hệ thống đích sẽ không thể nào
sắp xếp lại các packets này, nó không điều khiển được và có thể bị crash,
reboot hoặc ngừng hoạt động nếu số lượng packets với giá trị offset chồng
chéo lên nhau quá lớn.
1.2.4.4.Tấn công từ chối dịch vụ kiểu phân tán-DDos.
Hầu hết các cuộc tấn công DDoS nhằm vào việc chiếm dụng băng thông
(bandwidth) gây nghẽn mạch hệ thống dẫn đến hệ thống ngưng hoạt động. Để
thực hiện thì kẻ tấn công tìm cách chiếm dụng và điều khiển nhiều máy tính
mạng máy tính trung gian (đóng vai trò zombie) từ nhiều nơi để đồng loạt gửi
ào ạt các gói tin (packet) với số lượng rất lớn nhằm chiếm dụng tài nguyên và
làm tràn ngập đường truyền của một mục tiêu xác định nào đó.
Vũ Thị Mai Lớp:
AT3B
16
Đồ án tốt nghiệp

Hình 1.3: Mô hình kiểu tấn công phân tán DDOS
Hiện nay, đã xuất hiện dạng virus worm có khả năng thực hiện các
cuộc tấn công DDoS. Khi bị lây nhiễm vào các máy khác, chúng sẽ tự động
gửi các yêu cầu phục vụ đến một mục tiêu xác định nào đó vào thời điểm xác
định để chiếm dụng băng thông hoặc tài nguyên hệ thống máy chủ.
1.2.4.5.Cách phòng chống tấn công từ chối dịch vụ
- Nhìn chung, tấn công từ chối dịch vụ không quá khó thực hiện, nhưng
rất khó phòng chống do tính bất ngờ và thường là phòng chống trong
thế bị động khi sự việc đã rồi.
- Việc đối phó bằng cách tăng cường “phần cứng” cũng là giải pháp tốt,
nhưng thường xuyên theo dõi để phát hiện và ngăn chặn kịp thời cái gói
tin IP từ các nguồn không tin cậy là hữu hiệu nhất.
- Khi phát hiện máy chủ mình bị tấn công hãy nhanh chóng truy tìm địa
chỉ IP đó và cấm không cho gửi dữ liệu đến máy chủ.
- Dùng tính năng lọc dữ liệu của router/firewall để loại bỏ các packet
không mong muốn, giảm lượng lưu thông trên mạng và tải của máy
chủ.
- Sử dụng các tính năng trên router/firewall để hạn chế số lượng packet
vào hệ thống.
- Nếu bị tấn công do lỗi của phần mềm hay thiết bị thì nhanh chóng cập
nhật các bản sửa lỗi cho hệ thống đó hoặc thay thế.
- Dùng một số cơ chế, công cụ, phần mềm để chống lại TCP SYN
Flooding.
- Tắt các dịch vụ khác nếu có trên máy chủ để giảm tải và có thể đáp ứng
tốt hơn.
- Nếu được có thể nâng cấp các thiết bị phần cứng để nâng cao khả năng
đáp ứng của hệ thống hay sử dụng thêm các máy chủ cùng tính năng
khác để phân chia tải.Tạm thời chuyển máy chủ sang một địa chỉ khác.
Vũ Thị Mai Lớp:
AT3B

17
Đồ án tốt nghiệp
1.2.5.Tấn công theo kiểu đứng giữa(Man-in-the-middle Attack)
1.2.5.1.Cơ chế hoạt động
Trong kiểu tấn công này, khi hai máy tính đang truyền tin với nhau một
cách bình thường, hacker sẽ chặn các gói dữ liệu gửi đi từ hai máy đó, thay
thế bằng những gói dữ liệu khác và gửi chúng đi. Khi đó, hai máy tính bị giả
mạo đều không hay biết gì về việc dữ liệu của chúng bị thay đổi. Kiểu tấn
công này thường được dùng để lấy những thông tin bảo mật của máy tính
1.2.5.2.Cách thức phòng chống
Chúng ta nhận thấy các thông tin quan trọng và những tập tin riêng tư có
thể bị đánh cắp khá dễ dàng. Để phòng ngừa các trường hợp như vậy, chúng
ta không nên tiến hành các hình thức chứng thực username và password dưới
dạng văn bản đơn thuần (không mã hóa) mà nên mã hóa chúng bằng IPSec
hay SSL. Tuy nhiên, không phải lúc nào chúng ta cũng có thể thực hiện được
các giải pháp này và cũng không phải lúc nào các giải pháp đó cũng mang lại
hiệu quả tốt nhất (vẫn có thể bị các chương trình như dsniff hay ettercap bẻ
khoá). Do đó, trong vai trò quản trị mạng, cách tốt nhất là bạn thường xuyên
giám sát các hành động bất thường trong hệ thống của mình để đưa ra hành
động thích hợp.
Vũ Thị Mai Lớp:
AT3B
18
Đồ án tốt nghiệp
Chương 2
NGHIÊN CỨU VỀ BỘ GIAO THỨC BẢO VỆ GÓI IP-IPSEC
2.1.Tổng quan về IPSec
2.1.1.Khái niệm IPSec
IPSec là từ viết tắt của Internet Protocol SECurity. Đây là công nghệ sử
dụng mật mã để cung cấp đồng thời hai dịch vụ xác thực (authentication) và

mã hóa (encryption). Việc xác thực đảm bảo rằng các gói tin được gửi đi từ
người gửi đích thực và không bị thay đổi trên đường truyền. Công nghệ mã
hóa nhằm chống lại ý định đọc trộm nội dung của các gói tin. IPSec có thể
bảo vệ cho việc truyền dữ liệu bởi bất kỳ một giao thức nào dựa trên IP và bất
kỳ một môi trường nào được sử dụng dưới tầng IP. IPSec còn cung cấp một
các dịch vụ bảo mật ở mức “nền”, không ảnh hưởng gì đối với người sử dụng
bởi việc mã hóa và xác thực được thực hiện ở tầng IP.
Các dịch vụ IPSec cho phép xây dựng các đường hầm (tunnel) an toàn
thông qua các mạng không tin cậy. Dòng dữ liệu đi qua mạng không tin cậy
sẽ được mã hóa bởi máy chạy IPSec (IPSec gateway) ở đầu bên này và được
giải mã bởi IPSec gateway đầu bên kia của đường truyền. Như vậy, chúng ta
thu được một mạng riêng ảo (Virtual Private Network - VPN). Đó là một
mạng được bảo mật hoàn toàn mặc dù nó bao gồm nhiều máy tại nhiều điểm
được nối với nhau dựa trên cơ sở hạ tầng của các mạng không tin cậy (chẳng
hạn như Internet).
2.1.2.Mục đích của IPSec
Với các Administrator, việc hiểu Internet Protocol Security-IPSEC, sẽ
giúp chúng ta bảo vệ thông tin lưu chuyển trên Network an toàn hơn, và cấu
hình IPSEC dùng X.509 certificates có thể tạo ra quy trình xác thực an toàn
trong giao tiếp Network ở mức tối đa. IPSEC là một chuẩn an toàn trong giao
tiếp thông tin giữa các hệ thống, giữa các mạng. Với IPSEC việc kiểm tra, xác
thực, và mã hóa dữ liệu là những chức năng chính. Tất cả những việc này
được tiến hành tại cấp độ IP Packet.
Được dùng để bảo mật dữ liệu cho các chuyển giao thông tin qua mạng.
Admin có thể xác lập một hoặc nhiều chuỗi các Rules, gọilà IPSEC Policy,
những rules này chứa các Filters, có trách nhiệm xác định những loại thông
Vũ Thị Mai Lớp:
AT3B
19
Đồ án tốt nghiệp

tin lưu chuyển nào yêu cầu được mã hóa (Encryption), xác nhận (digital
signing), hoặc cả hai. Sau đó, mỗi Packet được Computer gửi đi sẽ được xem
xét có hay không gặp các điều kiện của chính sách. Nếu gặp những điều kiện
này thì các Packet có thể được mã hóa, được xác nhận số theo những quy định
từ Policy. Quy trình này hòa toàn vô hình với User và Application kích hoạt
truyền thông tin trên mạng.
Do IPSEC được chứa bên trong mỗi gói IP chuẩn, cho nên có thể dùng
IPSEC qua Network, mà không yêu cầu những cấu hình đặc biệt trên thiết bị
hoặc giữa 2 Computer. Tuy nhiên, IPSEC không tiến hành mã hóa một vài
loại giao tiếp mạng như: Broadcast, MultiCast, các packet dùng giao thức xác
thực Kerberos.
Thuận lợi chính khi dùng IPSEC, là cung cấp được giải pháp mã hóa cho
tất cả các giao thức hoạt động tại lớp 3 – Network Layer (OSI model), và kể
cả các giao thức lớp cao hơn.
IPSEC có khả năng cung cấp
• Chứng thực 2 chiều trước và trong suốt quá trình giao tiếp. IPSEC quy
định cho cả 2 bên tham gia giao tiếp phải xác định chính mình trong
suốt quy trình giao tiếp.
• Tạo sự tin cậy qua việc mã hóa, và xác nhận số các Packet. IPSEC có 2
chẽ độ Encapsulating Security Payload (ESP) cung cấp cơ chế mã hóa
dùng nhiều thuật toán khác nhau và Authentication Header (AH) xác
nhận các thông tin chuyển giao, nhưng không mã hóa.
• Tích hợp các thông tin chuyển giao và sẽ loại ngay bất kì thông tin nào
bị chỉnh sửa. Cả hai loại ESP và AH đều kiểm tra tính tích hợp của các
thông tin chuyển giao. Nếu một gói tin đã chỉnh sửa, thì các xác nhận
số sẽ không trùng khớp, kết quả gói tin sẽ bị loại. ESP cũng mã hóa địa
chỉ nguồn và địa chỉ đích như một phần của việc mã hóa thông tin
chuyển giao.
Chống lại các cuộc tấn công Replay (thông tin chuyển giao qua mạng sẽ
bị attacker chặn, chỉnh sửa và được gửi đi sau đó đến đúng địa chỉ người

nhận, người nhận không hề hay biết và vẫn tin rằng đấy là thông tin hợp pháp.
IPSEC dùng kĩ thuật đánh số liên tiếp cho các Packet Data của mình
(Sequence numbers), nhằm làm cho attacker không thể sử dụng lại các dữ liệu
Vũ Thị Mai Lớp:
AT3B
20
Đồ án tốt nghiệp
đã chặn được với ý đồ bất hợp pháp. Dùng Sequence numbers còn giúp bảo
vệ chống việc chặn và đánh cắp dữ liệu, sau đó dùng những thông tin lấy
được để truy cập hợp pháp vào một ngày nào đó
2.2.Kiến trúc và nguyên lý hoạt động của bộ giao thức IPSec
2.2.1.Kiến trúc bộ giao thức IPSec
Công việc bảo mật các gói tin IP được thực hiện bằng hai giao thức: Xác
thực tiêu đề(AH) và đóng gói tải bảo mật(ESP). AH được sử dụng để đảm bảo
tính toàn vẹn của dữ liệu, cung cấp khả năng bảo vệ trước sự giả mạo và chế
độ xác thực đối với máy chủ. ESP cũng thực hiện các chức năng tương tự như
AH nhưng nhưng kèm thêm khả năng bảo mật dữ liệu. Cũng cần nhấn mạnh
rằng cả hai giao thức này đều không chỉ ra bất kỳ một thuật toán mã hoá và
xác thực cụ thể nào mà chỉ tạo ra khả năng ứng dụng tốt nhất một trong các
thuật toán đang hiện hành.

Hình 2.1: Kiến trúc bộ giao thức IPSec
Bộ giao thức IPSec mang lại ba khả năng chính, đó là:
Vũ Thị Mai Lớp:
AT3B
Encapsulating Security
Payload (ESP) protocol
IP Security
architecture
Key management

Protoccol
Domain of
Interpretation
AuthenticationHeader
(AH) Protocol
Encryption
Algorithms
Authentication
21

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×