Đồ án tốt nghiệp Giáo viên hớng dẫn: Thầy giáo Vũ Văn Nam Trờng Đại học Vinh Khoa công nghệ thông tin ------------------ đồ án tốt nghiệp TI: CERTIFICATION AUTHORITY GII PHP XC THC NGI DNG CHO MNG NI B Giỏo viờn hng dn : THS: V Vn Nam Sinh viờn thc hin : Lờ S Tho Lp : 46K2CNTT Sinh viên thực hiện: Lê Sỹ Thảo 1 Đồ án tốt nghiệp Giáo viên hớng dẫn: Thầy giáo Vũ Văn Nam Vinh 05 - 2010 Lời cảm ơn Để hoàn thành đồ án này ngoài sự cố gắng của bản thân, tôi còn nhận đợc sự hớng dẫn tận tình, chu đáo của thầy giáo Vũ Văn Nam giảng viên khoa CNTT trờng ĐH Vinh. Đồng thời, tôi cũng nhận đợc những ý kiến chỉ bảo, giúp đỡ tận tình của các thầy cô giáo trong khoa CNTT và đông đảo bạn bè. Nhân dịp này tôi xin đợc bày tỏ lòng chân thành cảm ơn tới thầy giáo Vũ Văn Nam, các thầy cô giáo,bạn bè và gia đình đã giúp tôi hoàn thành đồ án này. Vì những điều kiện khách quan và chủ quan, đồ án không thể tránh khỏi những thiếu sót. Bởi vậy tôi rất mong đợc sự đóng góp ý kiến của quý thầy cô và các bạn để có thể phát triển đồ án hoán thiện hơn vào dịp khác. Vinh, tháng 05 năm 2010 Ngời thực hiện : Lê Sỹ Thảo Lớp : 46k2 - CNTT Mục lục Sinh viên thực hiện: Lê Sỹ Thảo 2 Đồ án tốt nghiệp Giáo viên hớng dẫn: Thầy giáo Vũ Văn Nam Phần I Chơng I: VấN Đề AN NINH AN TOàN MạNG MáY TíNH Và CáC GIảI PHáP XáC THựC NGƯờI DùNG I. Tổng quan về vấn đề an ninh an toàn mạng máy tính 1. Đe dọa an ninh từ đâu? 2. Các giải pháp cơ bản đảm bảo an ninh II. Vấn đề bảo mật hệ thống và mạng 1. Các vấn đề chung về bảo mật hệ thống và mạng 2. Một số khái niệm và lịch sử bảo mật hệ thống III. Các kiến thức cơ bản về xác thực ngời dùng 1. Khái niệm về xác thực ngời dùng 2. Các giải pháp xác thực ngời dùng phổ biến 3. Các giao thức xác thực 4. Nhận xét Chơng II: TổNG quan về hệ thống th điện tử I. Khái niệm chung về hệ thống th điện tử 1.Giới thiệu th điện tử 1.1. Lợi ích của th điện tử 2. Kiến trúc và hoạt động của hệ thống th điện tử 2.1. Những nhân tố cơ bản của hệ thống th điện tử 2.2. Giới thiệu về giao thức POP và IMAP 2.3. Giới thiệu về giao thức SMTP 3. Đờng đi của th II. Hệ thống DNS 1. Khái niệm về hệ thống tên miền 2. Cấu tạo tên miền 3. Giới thiệu về hệ thống tên miền 4. Cấu trúc của hệ thống tên miền 5. Hoạt động của DNS Sinh viên thực hiện: Lê Sỹ Thảo 3 Đồ án tốt nghiệp Giáo viên hớng dẫn: Thầy giáo Vũ Văn Nam 6. Danh bạ tích cực Active Directory 6.1. Giới thiệu Active Directory 6.2. Các thành phần của Active Directory 7. Cấu trúc của E- Mail Chơng III: quản trị hệ thống th điện tử I. Quản trị hệ thống 1. Mục đích của quản trị hệ thống 2. Các công việc cần thiết để quản trị hệ thống th điện tử Phần II I. Xây dựng mô hình mạng nội bộ doanh nghiệp II. Cài đặt POP3 SERVER để sử dụng các dịch vụ Mail Server và khai thác tính năng của Window để ứng dụng Certification Authority bảo mật Mail Server 1. Cài đặt E-mail server POP3 2. Tạo các USER và sử dụng dịch vụ Mail Server 3. ứng dụng Certification Authority bảo mật Mail Server III. Sử dụng Certification authority cho Web Server CHơng I Sinh viên thực hiện: Lê Sỹ Thảo 4 Đồ án tốt nghiệp Giáo viên hớng dẫn: Thầy giáo Vũ Văn Nam Vấn đề an ninh, an toàn mạng máy tính và các giảI pháp xác thực ngời dùng I. Tổng quan về vấn đề an ninh an toàn mạng máy tính Ban đầu, những trò phá hoại chỉ mang tính chất là trò chơi của những ngời có trí tuệ không nhằm mục đích vụ lợi, xấu xa. Tuy nhiên, khi mạng máy tính trở nên phổ dụng, có sự kết nối của nhiều tổ chức, công ty, cá nhân với nhiều thông tin bí mật, thì những trò phá hoại ấy lại không ngừng gia tăng. Sự phá hoại ấy đã gây ra nhiều hậu quả nghiêm trọng, nó đã trở thành một loại tội phạm. Theo số liệu thống kê của CERT (Computer Emegency Response Team) thì số lợng các vụ tấn công trên Internet đợc thông báo cho tổ chức này là ít hơn 200 vào năm 1989, khoảng 400 vào năm 1991, 1400 năm 1993 và 2241 năm 1994. Những vụ tấn công này nhằm vào tất cả các máy tính có mặt trên Internet, từ các máy tính của các công ty lớn nh AT & T, IBM, các trờng đại học, các cơ quan nhà nớc, các nhà băng . Những con số đa ra này, trên thực tế chỉ là phần nổi của tảng băng. Một phần lớn các vụ tấn công không đợc thông báo vì nhiều lý do khác nhau, nh sự mất uy tín, hoặc chỉ đơn giản là họ không hề biết mình bị tấn công. Thực tế, đe doạ an ninh không chỉ ở bên ngoài tổ chức, mà bên trong tổ chức vấn đề cũng hết sức nghiêm trọng. Đe dọa bên trong tổ chức xẩy ra lớn hơn bên ngoài, nguyên nhân chính là do các nhân viên có quyền truy nhập hệ thống gây ra. Vì họ có quyền truy nhập hệ thống nên họ có thể tìm đợc các điểm yếu của hệ thống, hoặc vô tình họ cũng có thể phá hủy hay tạo cơ hội cho những kẻ khác xâm nhập hệ thống. Và nguy hiểm hơn, một khi họ là kẻ bất mãn hay phản bội thì hậu quả không thể lờng trớc đợc. Tóm lại, vấn đề an ninh an toàn mạng máy tính hoàn toàn là vấn đề con ngời và không ngừng gia tăng, nó có thể bị đe doạ từ bên ngoài hoặc bên trong tổ chức. Vấn đề này đã trở thành mối lo ngại lớn cho bất kì chủ thể nào tham gia vào mạng máy tính toàn cầu. Và nh vậy, để đảm bảo việc trao đổi thông tin an toàn và an ninh cho mạng máy tính, buộc các tổ chức đó phải triển khai các biện pháp bảo vệ đảm bảo an ninh, mà trớc hết là cho chính mình. Sinh viên thực hiện: Lê Sỹ Thảo 5 Đồ án tốt nghiệp Giáo viên hớng dẫn: Thầy giáo Vũ Văn Nam 1. Các giải pháp cơ bản đảm bảo an ninh Nh trên ta đã thấy, an ninh an toàn mạng máy tính có thể bị đe doạ từ rất nhiều góc độ và nguyên nhân khác nhau. Đe doạ an ninh có thể xuất phát từ bên ngoài mạng nội bộ hoặc cũng có thể xuất phát từ ngay bên trong tổ chức. Do đó, việc đảm bảo an ninh an toàn cho mạng máy tính cần phải có nhiều giải pháp cụ thể khác nhau. Tuy nhiên, tổng quan nhất có ba giải pháp cơ bản sau: Giải pháp về phần cứng. Giải pháp về phần mềm. Giải pháp về con ngời. Đây là ba giải pháp tổng quát nhất mà bất kì một nhà quản trị an ninh nào cũng phải tính đến trong công tác đảm bảo an ninh an toàn mạng máy tính. Mỗi giải pháp có một u nhợc điểm riêng mà ngời quản trị an ninh cần phải biết phân tích, tổng hợp và chọn lựa để tạo khả năng đảm bảo an ninh tối u nhất cho tổ chức mình. Tóm lại, vấn đề an ninh an toàn mạng máy tính là một vấn đề lớn, nó yêu cầu cần phải có một giải pháp tổng thể, không chỉ phần mềm, phần cứng máy tính mà nó đòi hỏi cả vấn đề chính sách về con ngời. Và vấn đề này cần phải đợc thực hiện một cách thờng xuyên liên tục, không bao giờ triệt để đợc vì nó luôn nảy sinh theo thời gian. Tuy nhiên, bằng các giải pháp tổng thể hợp lý, đặc biệt là giải quyết tốt vấn đề chính sách về con ngời ta có thể tạo ra cho mình sự an toàn chắc chắn hơn. 2. Vấn đề bảo mật hệ thống và mạng 2.1. Các vấn đề chung về bảo mật hệ thống và mạng Đặc điểm chung của một hệ thống mạng là có nhiều ngời sử dụng chung và phân tán về mặt địa lý nên việc bảo vệ tài nguyên phức tạp hơn nhiều so với việc môi trờng một máy tính đơn lẻ, hoặc một ngời sử dụng. Hoạt động của ngời quản trị hệ thống mạng phải đảm bảo các thông tin trên mạng là tin cậy và sử dụng đúng mục đích, đối tợng đồng thời đảm bảo mạng hoạt động ổn định không bị tấn công bởi những kẻ phá hoại. Sinh viên thực hiện: Lê Sỹ Thảo 6 Đồ án tốt nghiệp Giáo viên hớng dẫn: Thầy giáo Vũ Văn Nam Nhng trên thực tế là không một mạng nào đảm bảo là an toàn tuyệt đối, một hệ thống dù đợc bảo vệ chắc chắn đến mức nào thì cũng có lúc bị vô hiệu hóa bởi những kẻ có ý đồ xấu. 2.2. Một số khái niệm và lịch sử bảo mật hệ thống 2.2.1. Đối tợng tấn công mạng (intruder) Đối tợng là những cá nhân hoặc tổ chức sử dụng những kiến thức về mạng và các công cụ phá hoại (gồm phần cứng hoặc phần mềm) để dò tìm các điểm yếu và các lỗ hổng bảo mật trên hệ thống, thực hiện các hoạt động xâm nhập và chiếm đoạt tài nguyên trái phép. Một số đối tợng tấn công mạng nh: Hacker: là những kẻ xâm nhập vào mạng trái phép bằng cách sử dụng các công cụ phá mật khẩu hoặc khai thác các điểm yếu của thành phần truy nhập trên hệ thống. Masquerader: Là những kẻ giả mạo thông tin trên mạng nh giả mạo địa chỉ IP, tên miền, định danh ngời dùng. Eavesdropping: Là những đối tợng nghe trộm thông tin trên mạng, sử dụng các công cụ Sniffer, sau đó dùng các công cụ phân tích và debug để lấy đợc các thông tin có giá trị. Những đối tợng tấn công mạng có thể nhằm nhiều mục đích khác nhau nh ăn cắp các thông tin có giá trị về kinh tế, phá hoại hệ thống mạng có chủ định, hoặc có thể đó là những hành động vô ý thức. 2.2.2. Các lỗ hổng bảo mật Các lỗ hổng bảo mật là những điểm yếu trên hệ thống hoặc ẩn chứa trong một dịch vụ mà dựa vào đó kẻ tấn công có thể xâm nhập trái phép vào hệ thống để thực hiện những hành động phá hoại chiếm đoạt tài nguyên bất hợp pháp. Có nhiều nguyên nhân gây ra những lỗ hổng bảo mật: có thể do lỗi của bản thân hệ thống, hoặc phần mềm cung cấp hoặc ngời quản trị yếu kém không hiểu sâu về các dịch vụ cung cấp. Sinh viên thực hiện: Lê Sỹ Thảo 7 Đồ án tốt nghiệp Giáo viên hớng dẫn: Thầy giáo Vũ Văn Nam Mức độ ảnh hởng của các lỗ hổng tới hệ thống là khác nhau. Có lỗ hổng chỉ ảnh hởng tới chất lợng dịch vụ cung cấp, có lỗ hổng ảnh hởng tới toàn bộ hệ thống hoặc phá hủy hệ thống. 2.2.3. Chính sách bảo mật Chính sách bảo mật là tập hợp các quy tắc áp dụng cho những ngời tham gia quản trị mạng, có sử dụng các tài nguyên và các dịch vụ mạng. Đối với từng trờng hợp phải có chính sách bảo mật khác nhau. Chính sách bảo mật giúp ngời sử dụng biết trách nhiệm của mình trong việc bảo vệ các tài nguyên trên mạng, đồng thời còn giúp cho nhà quản trị mạng thiết lập các biện pháp đảm bảo hữu hiệu trong quá trình trang bị, cấu hình và kiểm soát hoạt động của hệ thống và mạng. 3. Các kiến thức cơ bản về xác thực ngời dùng Khi ngời sử dụng muốn truy nhập vào một hệ thống máy tính, thông th- ờng, ngời sử dụng cần cung cấp các thông tin nhận dạng cho máy tính. Khi nhận đợc các thông tin ấy, máy tính kiểm tra xem ngời sử dụng có quyền truy nhập vào hệ thống không. Đây cũng là một nguyên tắc cơ bản đợc áp dụng cho một ngời khi muốn trao đổi thông tin với ngời khác: Trớc tiên cần phải xác định ngời tham gia trao đổi thông tin có đúng là ngời muốn trao đổi không. Do đó cần phải có một phơng thức để cung cấp đặc điểm nhận dạng nhằm đảm bảo ngời trao đổi thông tin là hợp lệ. Quá trình này đợc gọi là xác thực ngời sử dụng. Trên thế giới cũng nh ở Việt Nam, vấn đề xác thực ngời dùng đang đợc quan tâm và đã có nhiều giải pháp đợc sử dụng và nghiên cứu. Có rất nhiều cách để xác thực: ngời sử dụng có thể cung cấp các thông tin mà chỉ có ngời đó mới biết: ví dụ mật khẩu, mã số cá nhân, hoặc ngời đó có thể cung cấp các thông tin riêng khác nh số chứng minh th, thẻ từ, thẻ thông minh. Trong đó, mỗi giải pháp lại có những u điểm và nhợc điểm riêng khác nhau. 3.1. Khái niệm về xác thực ngời dùng Xác thực ngời dùng là một quá trình qua đó hệ thống có thể xác minh rằng một ai đó thực sự là họ. Quá trình xác thực sẽ xác định xem một ngời có phải là Sinh viên thực hiện: Lê Sỹ Thảo 8 Đồ án tốt nghiệp Giáo viên hớng dẫn: Thầy giáo Vũ Văn Nam ngời đợc sử dụng hệ thống không. Nó thờng đi kèm với quá trình xác định quyền hạn của ngời đó trong hệ thống. 3.2. Các giải pháp xác thực ngời dùng phổ biến 3.2.1. Giải pháp sử dụng tên và mật khẩu Mô tả Đây là giải pháp truyền thống hay đợc sử dụng nhất, là giải pháp sử dụng tài khoản của hệ thống. Mỗi tài khoản bao gồm tên truy nhập (username) và mật khẩu (password). Tên truy nhập dùng để phân biệt các ngời dùng khác nhau (th- ờng là duy nhất trong hệ thống), còn mật khẩu để xác thực lại ngời sử dụng tên đó có đúng là ngời dùng thật sự không. Mật khẩu thờng do ngời sở hữu tên truy nhập tơng ứng đặt và đợc giữ bí mật chỉ có ngời đó biết. Khi ngời dùng muốn đăng nhập và sử dụng tài nguyên hệ thống thì phải đăng nhập bằng cách nhập tên và mật khẩu của mình. Trớc hết, hệ thống sẽ đối chiếu tên truy nhập của ngời dùng đa vào với cơ sở dữ liệu tên ngời dùng, nếu tồn tại tên ngời dùng nh vậy thì hệ thống tiếp tục đối chiếu mật khẩu đợc đa vào tơng ứng với tên truy nhập trong cơ sở dữ liệu. Qua 2 lần đối chiếu nếu thỏa mãn thì ngời đăng nhập là ngời dùng hợp lệ của hệ thống. Ưu điểm Thiết kế và sử dụng đơn giản, tốn ít tài nguyên. Hệ thống chỉ gồm một cơ sở dữ liệu ngời dùng với 2 thông tin chủ yếu là tên truy nhập và mật khẩu. Tơng ứng với mỗi tên truy nhập là quyền sử dụng của ngời đó trong hệ thống. Do đó các thông tin này không chiếm nhiều tài nguyên. Ngời dùng dễ hiểu và dễ sử dụng. Chi phí để thực hiện giải pháp này là rẻ so với các giải pháp khác. Nó không phụ thuộc vào các thiết bị phần cứng mà chỉ dựa trên phần mềm. Giải pháp này có khả năng làm việc trên mọi hệ điều hành. Do đó, việc thực hiện giải pháp này khá dễ dàng và không tốn kém. Nhợc điểm Giải pháp này có nhợc điểm lớn nhất là không có đợc sự bảo mật cao. Vì ngời dùng thờng có tên đăng nhập nhiều ngời dùng có. Mặt khác, ngời dùng th- Sinh viên thực hiện: Lê Sỹ Thảo 9 Đồ án tốt nghiệp Giáo viên hớng dẫn: Thầy giáo Vũ Văn Nam ờng chọn mật khẩu dễ nhớ hoặc không cẩn thận khi gõ mật khẩu, do vậy dễ bị tấn công. Kẻ tấn công có nhiều phơng pháp để đạt đợc mật khẩu nh thâm nhập vào hệ thống đọc file mật khẩu, dự đoán mật khẩu, vét cạn các từ trong từ điển để tìm mật khẩu, hoặc có thể lừa ngời dùng để lộ mật khẩu. Một số biện pháp để tăng thêm tính bảo mật cho giải pháp này: Đặt mật khẩu phức tạp: Mật khẩu phải chứa tối thiểu 6 ký tự, không trùng với tên đăng nhập, chứa các loại ký tự là chữ cái, chữ số, ký tự đặc biệt. Nếu đặt nh vậy thì kẻ muốn tấn công cũng sẽ rất khó đoán đợc mật khẩu. Thay đổi mật khẩu: quy định sau một thời gian nhất định mật khẩu sẽ không còn tác dụng đối với hệ thống và ngời dùng phải đặt lại mật khẩu khác. Mật khẩu sẽ đợc thay đổi nên khả năng kiểm soát tình trạng an toàn của mật khẩu cao hơn. Mã hóa thông tin: Trong môi trờng làm việc là mạng, những nhà thiết kế th- ờng dùng biện pháp mã hóa thông tin đăng nhập từ một máy khách nào đó trớc khi chúng đợc gửi đi tới máy chủ của hệ thống. Do đó, khả năng bị mất cắp mật khẩu sẽ giảm đi rất nhiều khi kẻ xấu bắt gói tin đăng nhập trên đờng truyền. Hiện nay, giải pháp mật khẩu sử dụng một lần (one-time password) đợc sử dụng rất nhiều trong các ứng dụng. Các mật khẩu trong danh sách chỉ có thể sử dụng một lần duy nhất mà không thể sử dụng lại trong những lần đăng nhập sau. Có 2 cách để hệ thống mật khẩu sử dụng một lần có thể làm việc là: Danh sách các mật khẩu đợc tạo ra một cách ngẫu nhiên bởi hệ thống và đợc sao làm 2 bản, một bản cho ngời dùng và một bản cho hệ thống. Danh sách mật khẩu đợc tạo ra theo yêu cầu của ngời sử dụng và đợc hệ thống công nhận. Quá trình thực hiện: Sử dụng thuật toán MD4 (hiện nay là MD5) từ một giá trị cho trớc (do ngời dùng hoặc do máy ngẫu nhiên tạo ra) để tạo ra khóa đầu tiên, tiếp tục áp dụng thuật toán MD4 cho khóa đầu tiên để đợc khóa thứ 2 và cứ áp dụng liên tục thuật toán MD4 để sinh ra các khóa nối tiếp nhau. Khi xác thực ngời dùng, hệ thống phải biết một trong các khóa (khóa thứ n) , nó sẽ hỏi ngời dùng khóa trớc đó (khóa thứ n-1). Nếu ngời dùng nhập đúng khóa n-1 thì Sinh viên thực hiện: Lê Sỹ Thảo 10 . TOàN MạNG MáY TíNH Và CáC GIảI PHáP XáC THựC NGƯờI DùNG I. Tổng quan về vấn đề an ninh an toàn mạng máy tính 1. Đe dọa an ninh từ đâu? 2. Các giải pháp. xác thực ngời dùng 1. Khái niệm về xác thực ngời dùng 2. Các giải pháp xác thực ngời dùng phổ biến 3. Các giao thức xác thực 4. Nhận xét Chơng II: TổNG quan