Bảo mật cho mạng máy tính và các ứng dụng Web Lời cảm ơn Để có được đồ án này, tôi xin bầy tỏ lòng biết ơn sâu sắc đến tập thể các thầy giáo, cô giáo trường Đại học Bách khoa Hà Nội nói chung và khoa Công nghệ thông tin nói riêng đã tận tình giảng dạy và truyền đạt cho tôi những kiến thức và kinh nghiệm quý báu trong suốt những năm học vừa qua. Tôi xin chân thành cảm ơn thầy giáo Thạc sĩ Lương Mạnh Bá, bộ môn Công nghệ phần mềm - Khoa Công nghệ thông tin đã cho tôi nhiều ý kiến đóng góp quý báu, tận tình giúp đỡ tôi về kiến thức cũng như tài liệu trong suốt quá trình làm đồ án. Nhờ sự quan tâm chỉ bảo và những đóng góp quý báu của thầy, tôi mới có thể hoàn thành đồ án này. Cuối cùng, xin cảm ơn gia đình và bạn bè, những người đã ở bên tôi trong suốt những năm học vừa qua ./. Sinh viên : Đỗ Trường Thọ - CNPM K44 Trang 1 Bảo mật cho mạng máy tính và các ứng dụng Web MỤC LỤC MỞ ĐẦU 1.Đặt vấn đề……………………………………………………………………4 2.Nhiệm vụ và bố cục của đồ án……………………………………………….5 CHƯƠNG 1: TỔNG QUAN VỀ MẠNG MÁY TÍNH VÀ ỨNG DỤNG WEB 7 I.MẠNG MÁY TÍNH VÀ CÁC VẤN ĐỀ LIÊN QUAN…………………… 8 1.Khái niệm mạng………………………………………………………….8 2.Kiến trúc mạng………………………………………………………… 9 2.1.Kiến trúc phân tầng…………………………………………… 9 2.2.Kiến trúc mạng theo mô hình OSI ……………………………10 3.Internet và họ giao thức TCP/IP……………………………………… 11 4.Các dịch vụ thông tin trên mạng……………………………………… 16 4.1.Dịch vụ tên miền - DNS (Domain Name Sevice)…………… 16 4.2.Đăng nhập từ xa (Telnet)………………………………………17 4.3.Truyền tệp FTP……………………………………………… 17 4.4.Thư điện tử…………………………………………………….17 5.Địa chỉ IP……………………………………………………………… 18 II.ỨNG DỤNG WEB ….…………………………………………… …… 24 1.Kiến trúc ứng dụng Web……………………………………………… 24 1.1.World Wide Web………………………………………………24 1.2.HyperText Markup Language (HTML)……………………… 25 1.3.HyperText Tranfer Protocol (HTTP)………………………… 26 2.Các vấn đề liên quan…………………………………………………….27 CHƯƠNG 2: CÁC VẤN ĐỀ VỀ AN NINH MẠNG, THỰC TRẠNG VÀ GIẢI PHÁP…………………………………………………………………………… 32 I.VẤN ĐỀ AN NINH MẠNG HIỆN NAY… ………………… ……………33 1.Thực trạng về vấn đề an toàn an ninh mạng…………………………….33 2.Những khái niệm về an ninh mạng…………………………………… 36 2.1.Đối tượng cần đảm bảo an ninh……………………………… 36 2.2.Thế nào là đảm bảo an toàn hệ thống………………………….37 II.PHÂN LOẠI CÁC PHƯƠNG PHÁP TẤN CÔNG MẠNG…….………… 38 1.Thăm dò thu thập thông tin về hệ thống……………………………… 38 2.Xâm nhập hệ thống trái phép……………………………………………39 3.Giả mạo(Spoofing)…………………………………………………… 40 4.Tấn công gây từ chối dịch vụ……………………………………………40 III.NHỮNG GIẢI PHÁP TĂNG CƯỜNG AN NINH CHO HỆ THỐNG MẠNG 1.Giải pháp an ninh mạng bằng giao thức……………………………… 43 2.Giải pháp an ninh mạng bằng hệ thống…………………………………44 CHƯƠNG 3: BẢO MẬT CHO CÁC ỨNG DỤNG WEB……………………….47 1.Các vấn đề bảo mật phía Client……………………………………………… 48 Sinh viên : Đỗ Trường Thọ - CNPM K44 Trang 2 Bảo mật cho mạng máy tính và các ứng dụng Web 2.Các vấn đề về Transport……………………………………………………….50 3.Các vấn đề từ phía Server…………………………………………………… 50 4.Các vấn đề về Web Application……………………………………………….54 5.Các vấn đề từ phía lập trình……………………………………………………56 CHƯƠNG 4: ỨNG DỤNG CÁC KẾT QUẢ NGHIÊN CỨU………………………… 61 1.Lựa chọn ứng dụng…………………………………………………………….62 2.Giải pháp……………………………………………………………………….62 3.Một số kết quả thử nghiệm…………………………………………………….74 TÀI LIỆU THAM KHẢO……………………………………………………………….77 Sinh viên : Đỗ Trường Thọ - CNPM K44 Trang 3 Bảo mật cho mạng máy tính và các ứng dụng Web MỞ ĐẦU 1.Đặt vấn đề Song song với việc xây dựng nền tảng về công nghệ thông tin, cũng như phát triển các ứng dụng máy tính trong sản xuất, kinh doanh, khoa học, giáo dục, xã hội thì việc bảo vệ những thành quả đó là một điều không thể thiếu và thực sự cần thiết. Ngày nay, khi Internet trở thành một kho tàng thông tin khổng lồ, phục vụ hữu hiệu trong sản xuất, kinh doanh, đã trở thành đối tượng cho nhiều người tấn công với các mục đích khác nhau. Đôi khi cũng chỉ là để thử tài hoặc đùa bỡn với người khác, nhưng hậu quả của nó thì không lường hết trước được. Cùng với sự phát triển không ngừng của Internet và các dịch vụ trên Internet, số lượng các vụ tấn công trên Internet cũng ngày càng tăng theo cấp số nhân. Trong khi các phương tiện thông tin đại chúng ngày càng nhắc nhiều đến Internet với những khả năng truy nhập thông tin dường như vô tận của nó, thì các tài liệu chuyên môn bắt đầu đề cập nhiều đến vấn đề bảo đảm và an toàn dữ liệu cho các máy tính được kết nối vào mạng Internet. Theo số liệu của CERT (Computer Emegency Response Team) số lượng các vụ tấn công trên Internet được thông báo cho tổ chức này là ít hơn 200 vào năm 1989, khoảng 400 vào năm 1991, khoảng 1400 vào năm 1993 và 2241 vào năm 1994. Những con số thống kê này cho chúng ta thấy số lượng các vụ tấn công ngày càng nhiều, những vụ tấn công này nhằm vào tất cả các máy tính có mặt trên Internet, các máy tính của các công ty lớn như AT&T, IBM, các trường đại học, các cơ quan nhà nước, các tổ chức quân sự, các hệ thống ngân hàng. Hơn nữa, các vụ tấn công này chỉ như là phần nổi của tảng băng, một phần không nhỏ các vụ tấn công không được thông báo vì nhiều lý do, trong đó có thể kể đến nỗi lo bị mất uy tín hoặc đơn giản những người quản trị hệ thống không hề hay biết những cuộc tấn công nhằm vào hệ thống của họ. Sinh viên : Đỗ Trường Thọ - CNPM K44 Trang 4 Bảo mật cho mạng máy tính và các ứng dụng Web Không chỉ số lượng các cuộc tấn công tăng lên nhanh chóng, mà các phương pháp tấn công cũng ngày càng được hoàn thiện. Điều đó một phần cũng là do các nhân viên quản trị hệ thống được kết nối với Internet ngày càng đề cao cảnh giác. Cũng theo CERT, những cuộc tấn công thời kỳ 1988-1989 chủ yếu đoán tên người sử dụng - mật khẩu (UserID-Password) hoặc sử dụng một số lỗi của các chương trình và hệ điều hành làm vô hiệu hoá hệ thống bảo vệ, tuy nhiên các cuộc tấn công vào thời gian gần đây bao gồm cả các thao tác như giả mạo địa chỉ IP, theo dõi thông tin truyền qua mạng, chiếm các phiên làm việc từ xa. Bảo mật ứng dụng Web trong thương mại điện tử (eBusiness) là một công việ khó khăn và rất phức tạp. Mọi vấn đề trong e-Business phải được bảo mật trong cả mức mạng và mức ứng dụng. Trong khi bảo mật mức mạng đã được quan tâm bao gồm từ việc điều khiển truy cập đến việc bảo mật việc truyền dữ liệu và việc xác thực cũng có thể được địa chỉ hoá sử dụng các sản phẩm thương mại có sẵn, bảo mật ứng dụng ít được quan tâm hơn. Ngày nay, hầu hết các Web site thương mại điện tử có thể bị phá vỡ ở mức ứng dụng. Các kỹ thuật tấn công như là thao tác với các vùng ẩn, giả mạo tham số hay mối nguy hiểm từ cookie có thể dễ dàng bị khai thác, kết quả là đạt được quyền truy nhập, đánh cắp dữ liệu, thay đổi giá cả, phá huỷ hoặc làm suy yếu và có thể là cho site đó ngừng hoạt động. Các lỗ hổng mà cho phép các lỗi này tồn tại như là hệ quả của các thiếu sót trong thiết kế, xây dựng, và kiểm thử việc phát triển mã bên trong. Việc cố gắng khắc phục tất cả các lỗi đòi hỏi rất nhiều nhân lực làm việc liên tục để có thể kiểm tra và sửa chữa các lỗi trong ứng dụng. 2.Nhiệm vụ và bố cục của đồ án Đồ án này tập trung vào các vấn đề bảo mật cho mạng máy tính và ứng các ứng dụng Web, tổng hợp các kết quả nghiên cứu liên quan đến vấn đề an ninh cho các ứng dụng Web trong giai đoạn hiện nay, khi mà Internet đã được ứng dụng rất sâu rộng trong rất nhiều lĩnh vực khác nhau. Sinh viên : Đỗ Trường Thọ - CNPM K44 Trang 5 Bảo mật cho mạng máy tính và các ứng dụng Web Các nhiệm vụ chính của đồ án như sau: 1. Tìm hiểu kiến trúc mạng máy tính, các giao thức truyền thông trên mạng 2. Tìm hiểu kiến trúc của các ứng dụng Web 3. Phân tích các lỗ hổng bảo mật trên mạng máy tính và trên ứng dụng Web. 4. Xây dựng ứng dụng minh hoạ cho các vấn đề lý thuyết nghiên cứu Sinh viên : Đỗ Trường Thọ - CNPM K44 Trang 6 Bảo mật cho mạng máy tính và các ứng dụng Web Chương 1 TỔNG QUAN VỀ MẠNG MÁY TÍNH VÀ ỨNG DỤNG WEB Sinh viên : Đỗ Trường Thọ - CNPM K44 Trang 7 I. Mạng máy tính và các vấn đề liên quan 1.Khái niệm Mạng 2.Kiến trúc Mạng máy tính 3.Internet và họ giao thức TCP/IP 4.Các dịch vụ thông tin trên Internet 5.Địa chỉ IP II. Ứng dụng Web 1.Kiến trúc ứng dụng Web 2.Các vấn đề liên quan Bảo mật cho mạng máy tính và các ứng dụng Web I.MẠNG MÁY TÍNH VÀ CÁC VẤN ĐỀ LIÊN QUAN 1.Khái niệm Mạng (Network) Là một hệ thống liên kết các đối tượng hay con người lại với nhau. Khái niệm mạng mà chúng ta quan tâm : mạng máy tính - là một tập hợp các máy tính được nối với nhau bởi các đường truyền vật lý theo một kiến trúc nào đó. Người ta nhận thấy rằng có thể tiết kiệm rất nhiều tiền của, công sức, tài nguyên khi áp dụng các kỹ thuật mạng. Do đó họ đã liên tục xây dựng thêm các mạng mới và mở rộng các mạng sẵn có cho riêng mình, và như vậy mỗi mạng ra đời thì gần như là theo các kỹ thuật khác nhau, phương thức khác nhau, cùng các loại phần cứng, phần mềm khác nhau. Hậu quả là các kỹ thuật mạng mới không tương thích với nhau. Điều này gây rất nhiều khó khăn cho các mạng dùng đặc tả khác nhau thông tin với nhau. Một giải pháp đầu tiên cho vấn đề tạo ra các mạng là mạng cục bộ, mạng LAN. LAN có thể kết nối tất cả các workstation, các thiết bị ngoại vi, các thiết bị đầu cuối, và các thiết bị khác trong một phạm vi hẹp như trong một phòng hay trong một toà nhà. Tuy nhiên khi yêu cầu mô hình lớn hơn thì LAN (Local Area Network) không đáp ứng được yêu cầu mặt khác yêu cầu trao đổi thông tin không chỉ trong nội bộ mà còn với các mạng khác là cần thiết. Và như vậy, WAN (Wide Area Network) ra đời, sau đó là GAN (Global Area Network). Rõ ràng việc phân chia các loại mạng ở đây là trên cơ sở khoảng cách địa lý vì vậy nó chỉ mang tính chất tương đối. Sinh viên : Đỗ Trường Thọ - CNPM K44 Trang 8 Bảo mật cho mạng máy tính và các ứng dụng Web 2.Kiến trúc mạng máy tính Là cách kết nối các máy tính với nhau , tập các quy tắc, các quy ước mà tất cả các thực thể tham gia phải tuân theo (đó chính là các giao thức). 2.1.Kiến trúc phân tầng Mỗi hệ thống thành phần của mạng được xem như là một cấu trúc đa tầng, trong đó mỗi tầng được xây trên tầng trước nó. Mục đích của mỗi tầng là để cung cấp một số dịch vụ nhất định cho tầng cao hơn. Hệ thống A Hệ thống B Tầng N Tầng N Tầng i+1 Tầng i+1 Tầng i Tầng i Tầng i-1 Tầng i-1 Tầng 1 Tầng 1 Nguyên tắc kiến trúc phân tầng : o Số lượng tầng, chức năng các tầng của mỗi hệ thống trong một mạng là như nhau. o Xác định mối quan hệ giữa 2 tầng kề nhau và mối quan hệ giữa 2 tầng đồng mức. Sinh viên : Đỗ Trường Thọ - CNPM K44 Trang 9 Giao thức tầng N Giao thức tầng i+1 Giao thức tầng i Giao thức tầng i-1 Giao thức tầng 1 Giao diện i+1/i Giao diện i/i-1 Đường truyền Bảo mật cho mạng máy tính và các ứng dụng Web o Dữ liệu không truyền trực tiếp từ tầng i của hệ thống này sang tầng i của hệ thống khác (trừ tầng thấp nhất trực tiếp sử dụng đường truyền vật lý để truyền các xâu bit từ hệ thống này sang hệ thống khác) 2.2.Kiến trúc mạng theo mô hình OSI : Khi thiết kế kiến trúc mạng, các nhà thiết kế tự do lựa chọn kiến trúc mạng riêng cho mô hình của mình, dẫn đến tình trạng không tương thích giữa các mạng. Vì vậy mô hình OSI ra đời do tổ chức tiêu chuẩn hoá quốc tế (International Organization for Standardization – ISO) đưa ra. Mô hình OSI cũng xuất phát từ kiến trúc phân tầng trình bày ở trên, bao gồm 7 tầng : Hệ thống A Hệ thống B 7.Application 6.Presentation 5.Session 4.Transport 3.Network 2.Data Link 1.Physical Sinh viên : Đỗ Trường Thọ - CNPM K44 Trang 10 Giao thức tầng 7 Giao thức tầng 5 Giao thức tầng 4 Giao thức tầng 3 Giao thức tầng 1 Đường truyền Giao thức tầng 2 Giao thức tầng 6 [...]... phần địa chỉ mạng và địa chỉ máy Lớp A: - Format: N.H.H.H - Bit đầu tiên là 0 Sinh viên : Đỗ Trường Thọ - CNPM K44 Trang 19 Bảo mật cho mạng máy tính và các ứng dụng Web - 7 bit tiếp theo của N dành cho địa chỉ network nên có tối đa 27 – 2 mạng - 24 bit còn lại dành cho địa chỉ host nên mỗi mạng thuộc lớp A sẽ có tối đa 224 – 2 máy - Nguyên nhân của việc trừ 2 trong cách tính số mạng và số máy là đều... sai máy chủ: Sinh viên : Đỗ Trường Thọ - CNPM K44 Trang 33 Bảo mật cho mạng máy tính và các ứng dụng Web Đây là nguyên nhân tạo ra đa phần các lỗ hổng bảo mật Rất nhiều khi người quản trị không nhận biết được các dịch vụ đang chạy trên máy chủ của họ Tương tự như vậy đối với hệ điều hành và ứng dụng Sự thay đổi nhanh chóng của công nghệ làm cho chỉ một số ít người có thể theo kịp Và như thế thì các máy. .. nguyên đó tồn tại và sau đó chuyển cho ứng dụng Web xử lý, khi có kết quả , Web server sẽ trả về cho client Sinh viên : Đỗ Trường Thọ - CNPM K44 Trang 29 Bảo mật cho mạng máy tính và các ứng dụng Web Hiện tại có một số Web server thông dụng như Microsoft IIS, Apache, AOL/Netscape’s Enterprise Server hay Sun’s iPlanet 2.6 Web Application (Web App.) Khái niệm kiến trúc “n-tier” : lớp Web App có thể bao... quản trị và lập trình viên đủ trình độ, nhưng không dễ tìm ra các chuyên gia bảo mật giỏi Không thể đào tạo đội ngũ chuyên gia bảo mật trong vài ngày Đó là một quá trình rất dài, phải bắt đầu từ các kiến thức cơ bản như TCP/IP, phần cứng, hệ Sinh viên : Đỗ Trường Thọ - CNPM K44 Trang 34 Bảo mật cho mạng máy tính và các ứng dụng Web điều hành, mã hoá và lập trình Nhưng như vậy mới chỉ đủ cho các hiểu... vấn sử dụng chuỗi vừa nhập Lớp data có thể bao gồm cơ sở dữ liệu mà trong đó có chứa các chỉ mục của filename, và gửi kết quả này về client 2.7 Phân biệt giữa Web Server và Web App Đơn giản chúng ta có thể hiểu rằng, Web server là một dịch vụ Web, trong khi Web App lại là một ứng dụng chạy trên dịch vụ này Sinh viên : Đỗ Trường Thọ - CNPM K44 Trang 31 Bảo mật cho mạng máy tính và các ứng dụng Web Chương... tới điểm Với các mạng lớn hơn, việc quản lý địa chỉ là giao thức theo thứ bậc Địa chỉ IP được gán trong một khối dựa Sinh viên : Đỗ Trường Thọ - CNPM K44 Trang 21 Bảo mật cho mạng máy tính và các ứng dụng Web trên các vùng khác nhau Các mặt nạ này cung cấp một phương thức phân đoạn và giảm số lượng các địa chỉ mạng mà các thiết bị mạng cần biết Ví dụ, địa chỉ ma trận IP sẽ tương tự như cách gửi mail,... mình tăng cường khả năng bảo mật cho máy tính và hệ thống mạng của họ Cách đây 10 năm, những người đã cài đặt các hệ thống máy chủ có rất ít hiểu biết và kỹ năng về bảo mật Và ngay cả hiện nay, trong số những người vẫn thường cài đặt hệ thống máy chủ vẫn còn thiếu nhiều kinh nghiệm về bảo mật. Chúng ta luôn được trấn an bởi những thông báo từ các công ty lớn về các phương pháp bảo mật của họ Nhưng không... mạng và 255 host, tổng số là 255x255=65534 địa chỉ (loại trừ 2 địa chỉ 0 và 65535) Bây giờ giả sử chúng ta xây dựng một mạng với 4 site và có 10 host cho mỗi site Địa chỉ lớp C mà chúng ta được dùng là 198.62.193.0, chúng ta sử dụng Sinh viên : Đỗ Trường Thọ - CNPM K44 Trang 22 Bảo mật cho mạng máy tính và các ứng dụng Web 240 mặt nạ mạng con để chia mặt nạ lớp C, điều này cho phép chúng ta có 14 mạng. .. tự Trang 11 Bảo mật cho mạng máy tính và các ứng dụng Web Application layer Host-to-host layer Internet layer Physical layer 4 3 2 1 Đi từ trên xuống dưới, lớp ứng dụng sẽ xử lý thông tin và ra lệnh gửi/nhận đến lớp TCP để truyền và nhận dữ liệu TCP phụ trách việc truyền và nhận dữ liệu TCP giúp cho lớp ứng dụng (Application layer) sử dụng lớp IP (lớp IP là vì lớp Internet chỉ có IP) một cách trong... thức 2.Giải pháp an ninh mạng bằng hệ thống Sinh viên : Đỗ Trường Thọ - CNPM K44 Trang 32 Bảo mật cho mạng máy tính và các ứng dụng Web I.VẤN ĐỀ AN NINH MẠNG HIỆN NAY 1.Thực trạng về vấn đề an toàn an ninh mạng Trong vài năm trở lại đây vấn đề an toàn trên mạng đã thu hút rất nhiều sự quan tâm Sự hỗn độn và thay đổi chóng mặt của internet là yếu tố chính làm cho người dùng và các doanh nghiệp phải tự . CNPM K44 Trang 6 Bảo mật cho mạng máy tính và các ứng dụng Web Chương 1 TỔNG QUAN VỀ MẠNG MÁY TÍNH VÀ ỨNG DỤNG WEB Sinh viên : Đỗ Trường Thọ - CNPM K44 Trang 7 I. Mạng máy tính và các vấn đề liên. 5 Bảo mật cho mạng máy tính và các ứng dụng Web Các nhiệm vụ chính của đồ án như sau: 1. Tìm hiểu kiến trúc mạng máy tính, các giao thức truyền thông trên mạng 2. Tìm hiểu kiến trúc của các ứng. CNPM K44 Trang 3 Bảo mật cho mạng máy tính và các ứng dụng Web MỞ ĐẦU 1.Đặt vấn đề Song song với việc xây dựng nền tảng về công nghệ thông tin, cũng như phát triển các ứng dụng máy tính trong sản