Tải bản đầy đủ (.pdf) (26 trang)
  1. Trang chủ
    2. >>
  2. Kỹ Thuật - Công Nghệ
    3. >>
  3. Kĩ thuật Viễn thông

Xây dụng giải pháp an toàn mạng thông tin trên IPv6 tại LTC (tt)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.06 MB, 26 trang )

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
---------------------------------------

CHANTHASENG THANYPHONE

XÂY DỰNG GIẢI PHÁP AN TOÀN MẠNG THÔNG TIN TRÊN
IPV6 TẠI LTC

CHUYÊN NGÀNH: KỸ THUẬT VIỄN THÔNG
MÃ SỐ: 60.52.02.08

TÓM TẮT LUẬN VĂN THẠC SĨ

HÀ NỘI – 2017


Luận văn được hoàn thành tại:

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

Người hướng dẫn khoa học: TS. NGUYỄN CHIẾN TRINH

Phản biện 1: PGS.TS. Bạch Nhật Hồng
Phản biện 2: TS. Ngô Đức Thiện

Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ Bưu chính
Viễn thông
Vào lúc: ............... giờ.............. ngày ......... tháng ........... năm ...................

Có thể tìm hiểu luận văn tại:
- Thư viện của Học viện Công nghệ Bưu chính Viễn thông




1

MỞ ĐẦU
Một trong những vấn đề quan trọng mà công nghệ mạng trên thế giới đang phải nghiên
cứu giải quyết là sự phát triển với tốc độ quá nhanh của mạng lưới Internet toàn cầu. Sự phát
triển này cùng với sự tích hợp dịch vụ, triển khai những dịch vụ mới, kết nối nhiều mạng với
nhau, như mạng di động với mạng Internet đã đặt ra vấn đề thiếu tài nguyên dùng chung. Việc
sử dụng hệ thống địa chỉ hiện tại cho mạng Internet là IPv4 sẽ không thể đáp ứng nổi sự phát
triển của mạng lưới Internet toàn cầu trong thời gian sắp tới.
Ngày nay với sự phát triển bùng nổ của công nghệ thông tin, hầu hết các thống tin của
các tổ chức, cá nhân đều được lưu trữ trên hệ thống mạng an toàn trên IPv6, cùng với sự phát
triển của tổ chức công ty doanh nghiệp, công ty LTC là những đòi hỏi ngày càng cao của môi
trường hoạt động cần phải chia sẻ thông tin trên mạng của mình cho nhiều đối tượng khác
nhau thông qua mạng. Việc bảo mật, rò rỉ thông tin có thể ảnh hưởng nghiệm trọng đến tài
nguyên thông tin tài chính, danh tiếng tổ chức, cá nhân.
Các phương thức tấn công thông qua mạng IP ngày càng tinh vi, phức tạp có thể đẫn
đến mất mát thông tin, thậm chí có thể làm sụp đổ hoàn toàn hệ thống an toàn mạng thông tin
của LTC. Vì vậy an toàn mạng thông tin là nhiệm vụ quan trọng, năng nề và khó đoán đối với
hệ thống thông tin.
Internet cho phép chúng ta truy cập tới mọi nơi trên thế giới thông qua một số dịch vụ.
Ngồi trước máy tính của mình có thể biết được thông tin trên toàn cầu, nhưng cũng chính vì
thế mà hệ thống máy tính của bạn có thể bị xâm nhập vào bất kỳ lúc nào mà bạn không hề
được biết trước. Do vậy việc bảo vệ hệ thống thông tin là một vấn đề cần phải đảm bảo an
toàn thông tin và trên công ty LTC đang triển khai mạng IPv6 cũng bắt buộc phải có IPsec và
tường lửa để bảo vệ hệ thống mạng thông tin
Nhận thức rõ tầm quan trọng của vấn đề, em quyết định lựa chọn và nghiên cứu đề tài
“Xây dụng giải pháp an toàn mạng thông tin trên IPv6 tại LTC”.
Bài luận văn gồm 3 chương chính với các nội dung chủ yếu như sau:



2

Chương I- TỔNG QUAN VỀ CÔNG NGHỆ IPV6
1.1.

Nguyên nhân phát triển IPv6 và sự khác biệt của IPv6 so với IPv4

1.1.1. Nguyên nhân phát triển IPv6
1.1.1.1. Sự cạn kiệt không gian địa chỉ IPv4
1.1.1.2. Hạn chế về công nghệ và nhược điểm của IPv4
1.1.1.3. Giải pháp thay thế
1.1.2. Sự khác biệt của IPv6 so với IPv4
Địa chỉ IPv6 có chiều dài gấp 4 lần chiều dài địa chỉ IPv4, gồm 128 bít. Trong việc
đánh số thiết bị bằng địa chỉ IPv6, so với địa chỉ IPv4 có hai điểm khác biệt cơ bản sau

1.2.

Mục tiêu trong thiết kế IPv6.

1.3.

Cấu trúc địa chỉ IPv6.

1.3.1. Không gian địa chỉ IPv6

Hình 1.1. Kiến trúc IPv6 (IPv6 Architecture)

1.3.2. Biểu diễn địa chỉ IPv6.

1.3.2.1. Biểu diễn của địa chỉ
Địa chỉ IPv6 dài 128 bit, được chia làm 8 nhóm, mỗi nhóm gồm 16 bit, được ngăn cách
với nhau bằng dấu hai chấm “:”. Mỗi nhóm được biểu diễn bằng 4 số hexa.


3

1.3.2.2. Biểu diễn của Address Prefixes
1.3.3. Định dạng gói tin trong IPv6.
1.4.

Phân loại địa chỉ IPv6

1.5.

Một số quy trình hoạt động cơ bản của IPv6.

1.5.1. Quy trình phân giải địa chỉ lớp hai (link layer) từ địa chỉ IPv6 lớp ba (network
layer)
1.5.2. Kiểm tra trùng lặp địa chỉ trên một đường kết nối (Duplicate Address
Detection - DAD)
1.5.3. Kiểm tra tính có thể kết nối tới được của node lân cận (Neighbor
Unreachability Detection)
1.5.4. Tìm kiếm router trên đường kết nối (Router Discovery)
1.5.5. Đánh số lại thiết bị IPv6
1.6.

Các giao thức liên quan đến IPv6.

1.7. Kết luận chương 1

Trong phần này, học viên trình bày các lý do ra đời không gian địa chỉ mới IPv6 thay
thế không gian địa chỉ hiện tại IPv4 cũng như các vấn đề liên quan đến cấu trúc địa chỉ IPv6,
các dạng địa chỉ IPv6. Bên cạnh các kiến thức tổng quan, học viên đi sâu phân tích, so sánh
các ưu điểm của thế hệ địa chỉ IPv6 so với IPv4.
Với vai trò vô cùng quan trọng của hệ thống Internet, trong khi không gian địa chỉ IPv4
đã bước vào giai đoạn cạn kiệt, việc phát triển, ứng dụng không gian địa chỉ IPv6 thay thế
nhưng đảm bảo không gián đoạn mạng Internet toàn cầu là vô cùng cấp bách. Trong chương
2 học viên đề cập đến các công nghệ hỗ trợ chuyển đổi hệ thống mạng cho một tổ chức, doanh
nghiệp từ hạ tầng IPv4 sang hạ tầng IPv6.


4

CHƯƠNG II-TỔNG QUAN VÀ CƠ CHẾ HOẠT ĐỘNGAN TOÀN
MẠNG THÔNG TIN TRÊN IPV6
2.1. Tổng quan về giao thức bảo mật IPSec
a) Mục đích của IPSec
IPSec là một bộ các giao thức và thuật toán mã hóa cung cấp khả năng bảo mật tại lớp
Internet (Internet Layre) mà không cần phải quan tâm đến các ứng dụng gửi hay nhận dữ liệu.
b) IPSec có 2 mục đích chính
c) Chống lại các cuộc tấn công bảo mật
d) Do thám gói dữ liệu (Packet Sniffing)
e) Thay đổi dữ liệu
f) Nhận dạng giả mạo
g) Tấn công ngang đường (man-in-the-middle attack)
h) Tấn công từ chối dịch vụ (DoS)

2.1.1. Các tính năng bảo mật của IPSec
2.1.1.1. Sự kết hợp bảo mật tự động
2.2. Các giao thức chính sử dụng trong IPSec

2.2.1. IP Security Protocol (IPSec)
Authentication Header (AH): Cung cấp tính toàn vẹn phi kết nối và chứng thực nguồn
gốc dữ liệu cho các gói dữ liệu IP và bảo vệ chống lại các cuộc tấn công replay.
Encapsulation Security Protocol (ESP): Cung cấp tính năng bảo mật, chứng thực
nguồn gốc dữ liệu, tính toàn vẹn phi kết nối và dịch vụ chống replay.

2.2.2. Cấu trúc IPSec:


5
Cấu trúc IPSec

Giao thức ESP

Giao thức AH

Thuật toán mật mã

Thuật toán xác thực

Miền thực thi

Quản lý khóa

Hình 2.1: Cấu trúc của IPSec

2.2.3. Ưu điểm của IPSec
2.3. Sự khác biệt an toàn trên IPv4 và IPv6
Nhà thiết kế IPv6 đã làm giảm sự phức tạp này (sắp xếp hợp lý header) để làm cho
nó dễ dàng hơn cho các router và các hệ thống mạng để xác minh mỗi gói và chuyển tiếp nó

sử dụng một bảng định tuyến.
Mặc dù kiến trúc an toàn yêu cầu theo lớp phương pháp tiếp cận, phải quan tâm xem
xét phương pháp so sánh an toàn và ngược lại trong IPv4 và môi trường IPv6. Nhưng chúng
ta đã biết, tính chất an toàn và cơ sở dịch vụ an toàn dung để bảo mật giữ gìn cơ sở hạ tầng
mạng và dữ liệu đi qua mạng này là một trong hai môi trường IPv4 và IPv6.
Sự so sánh giữa IPv4 và IPv6 phân tích đe dọa bằng Darrin Miller và Sean Convery
đã thực hiện sự cho thấy điểm tương đồng của có thể có đe dọa và kỹ thuật giảm trong hai
loại của hệ thống mạng. Tài liệu hướng dẫn an toàn IPv6 đã được bảo hành từ đầu và không
được cung cấp như đã bổ sung triển khai IPv4.
Quan trọng là phải nhận ra những tiến bảo mật đã được kết hợp vào base IPv6 kỹ
thuật giao thức RFC 2406 và lợi thế bổ sung của việc giới thiệu lại mô hình bảo mật đầu cuối
đến đầu cuối mà không có một số hạn chế kế thừa tại các mạng IPv4 hiện nay.
Các nhà thiết kế của giao thức IPv6 đã biết xem xét các lỗ hổng bảo mật trên mạng
IPv4 ảnh hưởng đến thời điểm đó và có thể kiến trúc một giải pháp giảm thiếu nhiều rủi ro
của nhưng lỗ hổng đã biết. Các vấn của bão pháp song, tấn công phân mảnh và các dịch vụ
bảo mật như thiết bị xác thực, toàn vẹn dữ liệu và bảo mật.


6
Mạng IPv4 dễ bị ảnh hưởng bởi nhiều loại tấn công khác nhau. Các tiêu chuẩn IPv6
cung cấp tốt hơn giảm nhẹ phân mảnh tấn công bởi vì yêu cầu rằng:
Sự phân mảnh bị cấm bởi các thiết bị trung gian điều này có một lợi ích thế tinh tế khi
nào nó được xác định rõ ràng giữa một số những người giao tiếp mà không có giao thông bi
phân mảnh sẽ được sử dụng.
Không cho phép chồng chéo các mảnh điều này nghĩa là bằng cách xác định chỉ có
quy định cụ thể hiện nay có thể tạo ra lưu lượng phân mảnh.
Thiết bị được yêu cầu bỏ lắp ráp các gói tin đó nhỏ hơn 1280 byte tối thiểu MTU.
Khuếch đại truyền tin là mối quan tâm khác trong mạng IPv4. Đặc điểm IPv6 loại bỏ
khái niệm của truyền tin dành riêng từ giao thức:”ICPMv6 gói tin không nên được tạo ra như
một phản ứng đến một gói với địa chỉ đích multicast IPv6, một lớp liên kết multicast địa chỉ

hoặc lớp liên kết địa chỉ truyền tin”. Tiêu chuẩn IPv6 cũng bắt buộc tất cả các thiết bị hỗ trợ
IPv6, hỗ trợ IPSec cung cấp các dịch vụ xác thực, tính toàn vẹn và bảo mật dịch vụ tại lớp
mạng. Trong giao thức IPv4 phải trang bị thêm các tiêu đề IPSec vào nguyên cấu tạo IPv4,
IPv6 có khả năng hỗ trợ IPSec trong cấu trúc gói tin được định nghĩa sử dụng mở rộng tiêu
đề.

2.4. Mô hình cuối tới cuối [4]
2.5. IPv6 Security
2.5.1 ICMPv6
2.5.1.1. ICMPv6 messages

Hình 2.3: Đóng gói ICMP

ICMPv6 message là lớp 2 của thông tin ICMPv6 (như ICMPv4), có hai loại bản tin:
a) Error messages:
b) Information messages:


7

2.5.1.2. Tấn công ICMP
ICMPv6 là sử dụng bởi nút IPv6 để báo cáo lỗi đã gặp trong xử lý các gói tin, và để
thực hiện tất cả chức năng lớp mạng, như vậy với chẩn đoán (ICMP “ping”). ICMPv6 là một
phần toàn bộ của IPv6, và cơ sở giao thức (tất cả thông tin và đối đải theo yêu cầu của đặc tả
này) phải được thực hiện đầy đủ bởi mỗi nút IPv6.
 Neighbor Discovery Protocol (NDP) Neighbor Advertisement (NA) và Neighbor
Solicitation (NS)
 Router Advertisements (RA) and Router Solicitation (RS)
 Path MTU Discovery (PMTUD)
 Multicast Listener Discovery (MLD)

 Multicast Router Discovery (MRD)

2.6.1.3. Cấu hình tự dộng IPv6
Send me
Router
Advertisement

FE80::310:BAFF:FE64:1D
Title

2001:1234:1:1/64 network

Router
Advertisement

Assign
2001:1234:1:1:310:BAFF:F
E64:1D

Hình 2.5: Cầu hình tự động IPv6 [3]

 Máy chủ mới sẽ gủi yêu cầu Router Solitation (RS) yêu cầu đến nhóm đa truy nhập
các bộ định tuyến (FF02::0).
 Bộ định tuyến sẽ trả lại Routing Advertisement (RA).
 Máy chủ mới sẽ tim hiểu đầu vào mạng. 2001:1234:1:1:/64
 Máy chủ mới sẽ được chỉ định địa chỉ mạng mới phần đầu+giao diện ID
2001:1234:1:1:310:BAFF:FE64:1D

2.6. Phân tán tường lửa
1.4.1. 2.6.1. Lọc tường lửa

2.6.1.1. Phân loại lọc tường lửa





Tường lửa cá nhân hay tường lửa hệ thống:
Tường lửa dựa trên nền phần mềm hay phần cứng:
Lọc tại tầng mạng hay tầng ứng dụng:
Tường lửa dùng công nghệ lọc gói hay dò trạng thái


8

2.6.1.2. Vị trí lắp đặt của Firewall trong hệ thống
2.6.1.3. Các phân vùng mạng kết nối vào Firewall
2.6.1.4. Các tính năng mở rộng thường được tích hợp vào tường lửa
 Phát hiện và chống tấn công:
 Mạng riêng ảo (VPN):
 Bộ đệm web (Proxy):

2.6.2.5. Nguy cơ khi sử dụng tường lửa
2.7. Kết luận chương
Trong chương 2 đã cập đến các giao thức bảo mật IPsec trên IPv6, những nguyên tắt
cơ bản an toàn và mô hình cuối tới cuối. Trong thời gian phát triển, bảo đảm hệ thống thông
tin.IPSec là một phương thức chuẩn để cung cấp các dịch vụ bảo mật cho các gói IP. IPSec
là nền tảng cho việc phát triển và sử dụng các công cụ bảo mật khác mạnh hơn về sau. Nó
giúp ta bảo vệ được dữ liệu người dùng và nguồn tài nguyên trên mạng. IPSec thực chất là
sử dụng các mẫu bảo mật có sẵn nhưng lại có khả năng bảo mật cao và hiệu quả
Hơn nữa trên thực tế về vấn đề bảo mật thông tin trên mạng lưới cũng cần phải có hệ

thống tường lửa quan sát đảm bảo hệ thống chặn nhưng thông tin mà không hợp lệ, để giảm
thời gian và nhiệm vụ của quản trị viên. Để quan sát đảm bảo hệ thống từ tấn công và các
thông tin giả mạo.
Trên đây là các công nghệ phục vụ việc an ninh mạng trên IPv6 để đảm bảo hệ thống
mạng hoạt động không gián đoạn. Trong chương 3, tác giá sẽ trình bày về mô hình thử nghiệm
an toàn mạng thông tin trên IPv6 tại LTC và kết quả khi thử nghiệm hệ thống mạng trên IPv6
tại LTC.

CHƯƠNG III-MÔ HÌNH THỬ NGHIỆM VÀ ĐÁNH GIÁ GIẢI
PHÁP AN TOÀN MẠNG THÔNG TIN TRÊN IPV6 CHO LTC
3.1. Lịch sử của công ty LTC
Trước năm 1993 chính phủ Cộng hòa Dân chủ Nhân dân Lào đã tiếp tục pháp triển
triển khai hệ thống truyền thông Bưu chính Viễn thông Lào theo quy hoạch tổng thể (Master


9
Plan) quy hoạch đó vẫn là một công việc cơ sở bổ nhiệm yếu tố của sự phát triển, hệ thống
viễn thông toàn cầu có những Bộ giao thông Truyền thông Bưu chính và Xây dựng Hướng
dẫn và quản lý trong đó công ty Bưu chính viễn thông Lào là Lao Telecom Company 100%
và vẫn là ứng xử công việc một công ty cá nhân.
Trong năm 1994 chính phủ đã mở rộng cho công ty cổ phần vào đầu tư doanh nghiệp
bởi bưu chính viễn thông trong đất nước Cộng hòa Dân chủ Nhân dân Lào, công ty Sinnavat
Interchennel đã có nhân dịp đầu tư với chính phủ và đã xây dựng công ty đầu tư là công ty
Lào Sinnavat telecom để tiếp tục chương trình phát triển viễn thông thế kỷ III theo kế hoạch
chính quyết định nhà nước đã công bố.
Vào năm 1995 chính phủ Lào có chính sách cho riêng biệt công ty bưu chính và viễn
thông Lào thành 2 công ty như: công ty Bưu chính Lào và công ty Viễn thông Lào.
Trong năm 1996 sự yêu cầu với sử dụng hệ thống Bưu chính Viễn thông của Lào đã
tăng tưởng nhiều hơn, nhà nước Cộng hòa Dân chủ Nhân dân Lào quyết định hợp tác với
công ty Sinnavat Interchennel để xây dựng công ty Bưu chính Viễn thông Lào chính thức phụ

thuộc với công ty Lao telecom với Lao Vannavat telecom là thành hai công ty cổ phần của
nhà nước Lào 51% và công ty Sinnavat Interchennel 49% trong thời gian dài 25 năm.
Công ty Lao Tellecom khai giảng dích vụ khách hang từ 11/10/1996 đã phúc vụ dích
vụ khách hàng viễn thông, bưu chính hoàn toàn như: dích vụ điện thuội hệ thống Digital GSM
và CDMA, dịch vụ Internet và V.V.


10

3.2. Hướng dẫn thực hành tốt nhất để triển khai an toàn thông tin trên IPv6
Tunnel Brocker

IPv4

IPv6
Dual Stack IPv4/IPv6
Backbone

Tunnel Endpoit
for IPv4 Noc

IPv6

NetFlow,
SNMP

Syslog,TFTP,AAA,DNS,
SMTP

IPv6


Hình 3.1: Mẫu kiến trúc IPv6 [4]

3.2.1. Hướng dẫn chính sách an toàn
3.3. Kế hoạch triển khai an toàn mạng thông tin tại LTC
3.3.1. Mục tiêu yêu cầu
3.3.2. Nhiệm vụ công tác trọng tâm
3.3.3. Tổ chức thực hiện
3.4. Giải pháp an toàn hệ thống mạng IPv6 tại LTC
3.4.1. Giải pháp an toàn IPv6 tại LTC
3.4.2. Giải pháp tường lửa cho LTC

INTERNET

FIREWALL

Hình 3.2: Hệ thông tường lửa mạng

HOME NETWORK


11
Giải pháp firewall cứng là chúng ta sử dụng những thiết bị phần cứng chuyên dụng:
Cisco, Fortiget, HP, Juniper....
Giải pháp firewall mềm là chúng ta sử dụng các phần mềm chạy trên server (máy tính)
để thực hiện các chức năng quản lý và kiểm soát ra vào internet trong mạng nội bộ. Có rất
nhiều phần mềm firewall nổi tiếng: ISA, TMG.

3.4.2.1. Giải pháp tường lửa nâng cao
3.4.3. Để xuất mô hình triển khai an toàn mạng tại LTC

internet

FIREWALL
WIFI

WAN

PC LAN

SERVER

DNZ

Hình 3.4: Quy hoạch mạng firewall tại LTC

Nhiều giải pháp bảo mật hiện nay thiếu khả năng biến hóa và chủ động phản ứng trong
thời gian thực đối với các mối đe dọa thay đổi liên tục. Ngoài ra, việc thiếu sự liên kết chặt
chẽ giữa các thiết bị bảo mật, như bức tường lửa (Firewalls) và hệ thống chống xâm nhập IPS
(Intrusion Prevention Systems), trong sự kết hợp với các tính năng riêng rẽ tương ứng với
từng vị trí mạng, như các cơ chế bảo vệ khác nhau đối với môi trường mạng tại các văn phòng
chi nhánh nhỏ, các môi trường mạng quy mô lớn hay các trung tâm Data Center, tạo ra một
thách thức cho việc xác định các lỗ hổng bảo mật tương ứng.
Các giải pháp hiện nay là một sự trộn lẫn các sản phẩm, các công nghệ khác nhau và
không có sự liên kết chặt chẽ nên các nhà quản trị phải đối mặt với thách thức về việc hiểu và
quản lý nhiều thiết bị bảo mật và quản lý các hệ thống. Thách thức này còn tăng lên theo cấp
số nhân khi một người muốn xác định nguyên nhân cốt lõi của một cuộc tấn công, cần phải


12
xem các báo cáo cũng như các file logs từ nhiều hệ thống và hàng 12 ram thiết bị trải dài trên

nhiều địa điểm khác nhau. Điều này làm cho việc phân tích trở nên rất khó khăn và làm tăng
các lỗ hổng bảo mật trên hệ thống mạng, dẫn tới sự ngưng trệ của hệ thống cũng như dịch vụ.

3.5. Thử nghiệm giải pháp an toàn tại LTC
3.5.1. Thử nghiệm IPSec IPv6 trên GNS3
Như hiện tại công ty LTC vẫn chưa triển khai áp dụng IPv6, một số liệu ít hay chưa có
đầy đủ và còn tự tìm nguyên cứu để xây hệ thống nên rất khó để tạo mô hình hệ thống an toàn
mạng thực tế và sau đây sẽ là một mô hình thử nghiệm để có thể áp dụng IPSec VPN IPv6
cho LTC như sau:
INTERNET

LTC
NETWORK

ISP SERVER
Mạng dịch vụ
SERVER LTC
SERVICE CLient
LTC
NETWORK

Hình 3.5: Mô hình triển khai an toàn mạng Tại LTC

3.5.1.1. Hoạt động thử nghiệm IPSec VPN IPv6 site to site
Cấu hình IPv6 IPSec VPN













Cấu hình access-list:
Tạo ISAKMP Policy:
IKE policy encryption:
IKE policy hash
IKE key exchance
IKE lifetime
IKE authentication
Tạo Pre Shared Key
Pre-shared keys
RSA signature
RSA encrypted nonces


13




Cấu hình IPSec transform set
Creating the crypto map
Apply crypto map to an interface
Tạo ra đường truyền quan trọng và phân tích IPSec đường hầm giữa các đồng nghiệp


Hình 3.6: Lab cấu hình IPsec VPN

3.5.1.2. Kết quả thử nghiệm
Kết quả cổng kết nối

 Đã kết nối mạng thử nghiệm IPSec VPN trên hạ tầng IPv6 trong việc kêt

nối hai

nút mạng

 Kiểm tra kết nối (ping) giữa hai Host cài đặt địa chỉ thuần IPv6 kết quả hoạt động
tốt.

 Tạo thành công Tunnel IPv6 Ipsec
Sau khi thử nghiệm triển khai và cấu hình hệ thống như sơ đồ, xuất phát từ các host
trong hai đầu cuối, học viện thực hiện lệnh ping kiểm tra kết nối đến host từ host A đến B kết
quả như hình dưới đây.

Hình 3.7: Kết nối từ nút A đến B

Trong hình dưới đây là kiểm tra trạng thái isakmp


14

Hình 3.8: Kiểm tra trạng thái isakmp

Hình 3.9: kiểm tra trạng thái IPSes


Hình 3.10: Kiểm tra trạng thái Peer

Sau khi cấu hình các bước đã thiết lập, đây là một trạng thái kiểm tra sử dụng tunnel –
group để khởi tạo các thiết lập riêng biệt đối với tunnel, trong các tunnel của mô hình site to


15
site, Set peer nên sử dụng địa chỉ IP của các peer làm group – name trên đương kết nối khởi
tạo tunnel IPSec.

1.4.2. 3.5.2. Thử nghiệm tường lửa trên phần mềm PFSense
3.5.2.1. Hoạt động dịch vụ thử nghiệm tấn công
Trong một cách tấn công thông qua mạng IPv6 trước khi không có tường lửa em sử
dụng BT5 r3 (Backtrack 5 r3) để tấn công DOS (là viết tắt của từ chối dịch vụ tấn công). Khi
hacker gửi rất nhiều lưu lượng truy cập rác đến một máy chủ, trong một số tiền như vậy để
giao thông không có thật tiêu thụ tất cả các tài nguyên trên máy chủ cụ làm cho nó không sử
dụng được cho người sử dụng hợp pháp và trong trường hợp xấu nhất có thể gây ra các máy
chủ để đóng cửa tạm thời được gọi là một cuộc tấn công DOS .

Hình 3.11: Lab mô hình tấn công Host

Các bước thử nghiệm tấn công:
Bước 1: Cài đặt Backtrack 5 r3 trên phần mềm VMware

Hình 3.12: IOS BT5r3

Bước 2: Sau khi tim được một địa chỉ IP cần tấn công rồi sử dụng IOS BT5 r3


16


Hình 3.13: Ping6 đến máy cần tấn công

Bước 3: Mở terminal và đánh thông tin sau đây:
#cd /usr/local/bin/
#flood_router6 eth0

Bước 4: Xem trên máy trước và sau khi bị tấn công sẽ thực hiện như sau

Hình 3.14: Trước khi tấn công

Trước khi tấn công thấy trên Windown Task manager vẫn nguyên CPU vấn sử dụng
được bình thường.


17
Hình 3.15: Sâu khi tấn công

Sau khi máy bị tấn công thông qua công giao diện IPv6 sẽ thể hiện trên hình CUP sẽ
lên cao đến 100% và không thể sử dụng được thông thường.

Hình 3.16: Packet của LAN tấn công trên IPv6

Tuy nhiên xem trên bảng packet đây sẽ thấy ra IPv6 trên em1 (LAN) nó tăng lên rất
nhiều so với em2

3.5.2.2. Xây dựng tường lửa phần mềm sử dụng PFSence
Để xây dụng hệ thống tường lửa mạng trên PFSense cần phải cài các phần mềm trên
PFSense như: Snort, Rules và pfBlocker…
INTERNET


modem

Tường lửa

Server

Mạng LAN

Hình 3.17: Hệ thống mạng tường lửa


18

Hình 3.18: PFSense trên Web Browser

Ở đây tạo một WAN server và 2 LAN cho 2 đường truyền 2 mạng cung cấp để sử dụng
LAN1 làm tấn công vào LAN2
Sau khi cài đặt cấu hình tường lửa khi có thông tin tấn công sẽ có cảnh báo trên Log
thông tin xẩy ra trên màn hình PFSense Log IP

Hình 3.19: Hiện thị trên Log IP

Hình 3.20: Log Firewall


19
Hình 3.20: Log Firewall sẽ thế hiện các gói tin ICMPv6 thông qua từ máy IP
2406:6400:c000::6 là máy BT5r3 đã gửi tin vào.


Hình 3.21: Cài đặt Snort trên PFSense

Service –>Snort–> nhập Add chọn WAN hoặc LAN cần cho Snort giám sát, kiểm tra,
chặn thông tin mà không hợp lệ.


20

Hình 3.22: Cấu hình giao diện trên Snort

Giao diện bổ sung cho mạng WAN và LAN hiện Snort không chạy trên nó. Bấm vào
chữ thập (add) nút bắt đầu dịch vụ ids của snort trên giao diện mạng WAN và LAN.
Thông báo cảnh báo sẽ được hiển thị trong hình ở trên. Do đó snort quy tắc nên được
thêm vào sau khi quy tắc thông tin cập nhật bước.


21
Màn hình sau đây xuất hiện sau khi nhập vào toàn cầu thiết thực đơn cài đặt quy tắc
của snort.

Hình 3.23: Tạo giao diện trên Snort

Như thể hiện trong ảnh chụp snort sau đang chạy trên giao diện mạng WAN và LAN.
Hình ảnh sau đây xuất hiện sau khi nhập vào toàn cầu thiết thực đơn cài đặt quy tắc của snort.

Hình 3.24: Cấu hình các chức năng ngăn chặn cho Snort

Sau khi nhấp vào nút chỉnh sửa, chọn thể loại LAN tùy chọn cho quy tắc snort. Hãy
chọn quy tắc mong muốn từ danh sách toàn diện này cho giao diện mạng LAN và WAN.



22

Hình 3.25: System Log

Trên hình ảnh trên cảnh báo Alert trên system log đây là môđun quan trọng nhất của
Snort. Nó chịu trách nghiệm phát hiện các dấu hiệu xâm nhập. Môđun phát hiện sử dụng các
Rules định nghĩa trước để so sánh với dữ liệu thu thập được từ đó xác định xem cho hợp lệ
hay không.

Hình 3.26: System Log trên NTP


23

Hình 3.27: Gói tin bị chặn tấn công trên BT5r3

3.6. Đánh giá an toàn mạng
3.7. Kết luận chương
Chương III em đã thử nghiệm cấu hình IPSec IPv6 và xây dựng tường lửa để khảo sát
bắt thông tin tấn công ICMPv6 và xây dựng tường lửa để bảo vệ thông tin bằng PFSense 2.3.4
sử dụng Snort.
IPv6 Security là một trong những tính năng ưu viê ̣t nổi bật của IPv6. Nó giúp phần
làm tăng cường tính an toàn an ninh thông tin khi trao đổi, giao dịch trên mạng Internet.
IPv6sec cũng được lựa chọn là giao thức bảo mật sử dụng trong mạng riêng ảo và thích hợp
trong việc đảm bảo kết nối.


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×