Đồ án Nghiên cứu công nghệ IPSec, phát hiện xâm nhập và thương mại điện tử

BÁO CÁO TỐT NGHIỆPGiáo viên hướng dẫn: T.S Hồ Văn Canh.Sinh viên thực hiện: Vũ Thị Tố Uyên.Mã số: 080334 Lớp: CT802.BỘ GIÁO DỤC VÀ ĐÀO TẠOTRƯỜNG ĐH DÂN LẬP HẢI PHÒNGNghiên cứu công nghệ IPSec, phát hiện xâm nhậpvà thương mại điện tử.ĐỀ TÀI:KHOA: CÔNG NGHỆ THÔNG TINKHÓA: 8HẢI PHÒNG – 7/2008iso 9001 : 20001/25Đặt vấn đềSự ra đời của TMĐT như một xu hướng tất yếu.Vấn đề đặt ra là làm sao để trao đổi thông tin một cách an toàn?Sự bùng nổ các giải pháp mạng riêng ảo VPN (Virtual Private Network).Cần có công nghệ bảo mật trên đường truyền công cộng (Public Channels).Chọn IPSec làm đối tượng để nghiên cứu.2Chương I: Tìm hiểu về TMĐT.Chương II: Vấn đề an ninh – an toàn TMĐT.Chương III: Kỹ thuật mạng riêng ảo (VPN).Chương IV: Tổng quan về công nghệ IPSec.Cấu trúc bảo mật IPSecCác chế độ IPSecGiao thức ISA/KMPƯu – nhược điểmGiao thức SSLSo sánh IPSec và SSLChương V: Hệ thống phát hiện xâm nhập.Kết luận.Đề tài khóa luận bao gồm các nội dung sau:3TMĐT:Trao đổi thông tin thương mại thông qua các phương tiện điện tử .Không cần viết ra giấy bất cứ công đoạn nào của quá trình giao dịch.Các hình thức hoạt động chủ yếu của TMĐT:Thư điện tử (Email).Thanh toán điện tử (Electronic Payment).Trao đổi dữ liệu điện tử (EDI-Electronic Data Interchange).Bán lẻ hàng hóa hữu hình1.Tìm hiểu về TMĐT.4...1.Tìm hiểu về TMĐT.Các thành phần của TMĐT bao gồm 3 thành phần chính:Các tổ chức.Các quá trình thực thi thương mại.Các mạng.Quá trình thực thi TMĐT:Xây dựng Website và kết nối Internet.Hệ thống được tích hợp hệ thống kinh doanh điện tử với máy chủ Web.TMĐT định hướng vào khách hàng.52.Vấn đề an toàn trong TMĐTGiải pháp bảo vệ máy chủ thương mại:Kiểm soát truy nhập và xác thực.Kiểm soát với hệ điều hành.Sử dụng bức tường lửa.Giải pháp bảo vệ máy khách:Bảo vệ bằng các chứng chỉ số.Trình duyệt Internet của Microsoft.Sử dụng phần mềm chống Virus.Giải pháp mã hóa bảo vệ thông tin trên đường truyền:Mã hóa.Giao thức SSL và S-HTTPGiao thức IPSec.63. Kỹ thuật mạng riêng ảo VPN Mạng riêng sử dụng hệ thống mạng công cộng. Kết nối các địa điểm hoặc người dùng từ xa với một LAN ở trung tâm. Tạo ra các “Liên kết ảo” truyền qua Internet. Giải pháp mạng riêng ảo VPN (Virtual Private Network): 73. Kỹ thuật mạng riêng ảo VPNCác loại mạng VPN: VPN Site-to-Site: Intranet VPN và Extranet VPN. VPN Access Remote.83. Kỹ thuật mạng riêng ảo VPNBảo mật trong VPN:Tường lửa.Mã truy cập.Máy chủ AAA.Giao thức SSL.Giao thức IPSecCác lợi ích sử dụng VPNKết nối.Chi phí.Quản lý.Doanh thu.94. Tổng quan về IPSec Giao thức bảo mật mạng IPSec (Internet Protocol Security): Phát triển bởi IETF. Xác thực (Authenticating). Mã hóa (Encrypting). Cung cấp cơ cấu bảo mật ở tầng 3 (Network Layer). IPv4: 32Bits. IPv6: 128Bits.Hình 4.1: Vị trí của IPSec trong mô hình OSI104. Tổng quan về IPSecSecurity Parameter Index (SPI).Destination IP Adress.Security Protocol.ApplicationDataIP PacketAH/ESPHostileNetworkApplicationDataIP PacketSTAH/ESPSTSAEncryption AlgoAuthentication AlgoEncryption KeyAuthentication KeySAEncryption AlgoAuthentication AlgoEncryption KeyAuthentication KeySecurityAssociationHình 4.5 Mô hình thiết lập SA IPSec Security Associations (SAs):114. Tổng quan về IPSecHàm xác thực: Sử dụng hàm băm (MD5)Authentication Header (AH): bảo vệ quá trình truyền dữ liệu khi sử dụng IP.Hình 4.6: Mô hình AH Header0 - 7 bit8 - 15 bit16 - 23 bit24 - 31 bitNext headerPayload lengthRESERVEDSecurity parameters index (SPI)Sequence numberAuthentication data (variable)124. Tổng quan về IPSecHàm bảo mật: Sử dụng hàm mật mã có khóa (Dựa theo chế độ Cipher Block Chain_DES CBC).Encapsulated Security Payload (ESP): cung cấp xác thực, độ toàn vẹn, đảm bảo tính bảo mật cho gói tin.Hình 4.7: Mô hình ESP Header0 - 7 bit8 - 15 bit16 - 23 bit24 - 31 bitSecurity parameters index (SPI)Sequence numberPayload data (variable)Padding (0-255 bytes)Pad LengthNext HeaderAuthentication Data (variable)134. Tổng quan về IPSecCác chế độ IPSec:Transport ModeTunnel ModeAH và ESP đều có thể làm việc.Hình 4.8: Các chế độ IPSec144. Tổng quan về IPSecTransport Mode:Bảo vệ giao thức tầng trên và các ứng dụng.IPSec Header được chèn giữa IP Header và Header của giao thức tầng trên.Hình 4.9: Transport modeHình 4.10: AH Transport modeHình 4.11: ESP Transport mode154. Tổng quan về IPSecTunnel Mode:Bảo vệ toàn bộ gói dữ liệu.IPSec Header được chèn vào giữa phần đầu nguyên bản và phần đầu mới của IP.Hình 4.12: Tunnel modeHình 4.13: AH Tunnel modeHình 4.14: ESP Tunnel mode164. Tổng quan về IPSecXác thực người đối thoại.Thiết lập và quản lý khóa mật mã.Tạo và quản lý SA.Giảm mối đe dọa. Hình 4.15: Mô hình ISA/KMP – OakleyApplicationDataIP PacketAH/ESPHostileNetworkApplicationDataIP PacketAH/ESPISA/KMP SAIPSec SAISA/KMP SAIPSec SAPhase 1Phase 2 Giao thức ISA/KMP: hỗ trợ cả AH và ESP.174. Tổng quan về IPSecƯu điểm:Bảo vệ bất kỳ giao thức nào chạy trên IP và bất kỳ môi trường nào mà IP chạy trên nó.Cơ chế chung để bảo mật IP.IPSec làm cho các tấn công ở tầng phía trên IP khó khăn hơn.Người dùng không phải làm bất kỳ thao tác nào.Hạn chế:Không bảo mật ở dạng End-to-End.Xác thực máy, không xác thực người dùng.Không an toàn sử dụng với hệ thống không an toàn.Không ngăn được các phân tích truyền thông mạng.185. Giao thức SSL1994, Nescape.Giao thức đa mục đích.Tạo ra các giao tiếp giữa hai chương trình ứng dụng trên cổng định trước.Mã hóa toàn bộ thông tin gửi/nhận.SSLv2SSLv3HTTPNNTPFPTSSLTCPIPHình 4.16 Vị trí SSL trong mô hình OSI Giao thức SSL (Secure Socket Layer):195. Giao thức SSLƯu điểm của SSL:Xác định được mối quan hệ với các tầng giao thức khác như thế nào.SSL bảo vệ chính nó với các Client xâm nhập bất hợp pháp dữ liệu trên đường truyền.Nhược điểm của SSL:Việc trao đổi khóa phiên giữa Client và Server là quá lâu.SSL của Netscape, được quản lý bởi Mỹ. Do đó, khi xuất khẩu ra khỏi nước Mỹ, chỉ được phép dùng với độ dài khóa là 40bits.Không có xác thực giữa Client và Server.20So sánh hai giao thức SSL và IPSecSo sánh các nhược điểm bảo mật của hai công nghệ:Nhược điểm cơ bản của SSL:Việc trao đổi khóa phiên.Hạn chế độ dài khóa.Không có xác thực.Khả năng truy cập các ứng dụng, dịch vụ hạn chế hơn.Nhược điểm cơ bản của IPSec: Không có khả năng bảo mật CSDL trong mạng nội bộ.IPSec yêu cầu có phần mềm Client.Vậy giải pháp nào tốt nhất cho các kết nối từ xa?216. Hệ thống phát hiện xâm nhậpHệ thống phát hiện xâm nhập Intrution Detection Systems (IDSs):Cung cấp cho việc bảo vệ an toàn thông tin mạng ở mức độ cao hơn.Phát hiện, cảnh báo các hành vi bất hợp pháp, và cho biết thông tin về cuộc tấn công.Cách làm việc của IDSs:Host IDSs: Tìm kiếm các dấu hiệu của các hành vi bất hợp pháp thông qua mỗi đầu vào trong các bản ghi kiểm tra.Quan sát các máy, hệ điều hành và các ứng dụng.Network IDSs: Nhận dữ liệu từ các Agent mà nó nhận biết được và phân tích dữ liệu.Quan sát các chuyển dịch trên mạng.226. Hệ thống phát hiện xâm nhậpHệ thống phát hiện bất thường: Bản mô tả sơ lược nhóm người dùng.Phương pháp: Lấy mẫu thống kê, dựa trên những nguyên tắcMỗi Profile định nghĩa cho người dùng thông thường và hoạt động mạng.Hệ thống phát hiện dựa trên dấu hiệu:Các File dấu hiệu.Mỗi File dấu hiệu là một tập những quy tắc dùng để định nghĩa các hoạt động xâm nhập thông thường.Hệ thống giám sát đích:Báo cáo đối tượng đích đã bị thay đổi chưa?Sử dụng thuật toán mật mã để tính toán, kiểm tra mật mã với mỗi File đích Các phương pháp phát hiện xâm nhập:23Kết luậnKhóa luận đã trình bày được:Vấn đề TMĐT và an ninh trong TMĐT. Đưa ra một số giải pháp đang được ứng dụng: Kiểm soát truy cập và xác thực người dùng.Kiểm soát với hệ điều hành và tường lửa.Các biện pháp mã hóa dữ liệu trên đường truyền.Một vài đặc điểm về mạng riêng ảo.Nghiên cứu công nghệ bảo mật IPSec.Hệ thống phát hiện xâm nhập IDSs.Một số vấn đề chưa được đi sâu như tìm hiểu các công cụ phát hiện xâm nhập mạng. Nếu có điều kiện nghiên cứu, khóa luận nên được bổ sung để hoàn thiện hơn. 24Em xin bày tỏ lòng biết ơn sâu sắc đến Thầy giáo T.S Hồ Văn Canh đã tận tình hướng dẫn em trong quá trình thực hiện đồ án. Em xin cảm ơn các Thầy Cô giáo trong bộ môn Công Nghệ Thông Tin, Trường ĐH Dân lập Hải Phòng.Em mong nhận được ý kiến đóng góp của các Thầy Cô và Các bạn.Em xin trân thành cảm ơn!Lời cảm ơn!25