Xem mẫu
Đề tài: Hệ Thống Lọc Gói Trong IPv6
GVHD: Nguyễn Thị Phương Dung
Phần I : Lý Thuyết............................................................................................................ 4
1. Hệ thống lọc gói IPv4............................................................................................ 5
1.1
Hệ thống lọc gói trong IPv4 kiểu phi trạng thái......................................... 6
1.1.1
Lọc dựa trên cổng kết nối.................................................................... 7
1.1.2
Lọc dựa trên các cờ TCP...................................................................... 9
1.1.3
Lọc dựa trên địa chỉ.............................................................................. 9
1.1.4
Lọc các gói phân mảnh ....................................................................... 11
1.1.5
Lọc các gói ICMP................................................................................ 12
1.1.6
Lọc dựa trên Options của IP.............................................................. 12
1.1.7
Lọc các lưu lượng đường hầm ........................................................... 13
1.1.8
IPsec ..................................................................................................... 14
1.2
Hệ thống lọc gói trong IPv4 kiểu có trạng thái ........................................ 16
1.2.1
Lọc dựa vào giao thức TCP................................................................ 17
1.2.2
Lọc các gói UDP .................................................................................. 19
1.2.3
Lọc các gói ICMP................................................................................ 19
1.2.4
Lọc gói dựa trên đặc điểm của lưu lượng ......................................... 20
1.2.5
Lọc các gói phân mảnh ......................................................................... 21
2. Hệ thống lọc gói trong IPv6................................................................................ 22
2.1
Hệ thống lọc gói trong IPv6 kiểu phi trạng thái....................................... 23
2.1.1
Lọc gói dựa trên địa chỉ...................................................................... 24
2.1.2
Lọc các gói ICMPv6............................................................................ 24
2.1.3
Lọc các tiêu đề mở rộng của IPv6...................................................... 25
2.1.3.1 Tiêu đề mở rộng Hop-by-Hop........................................................ 25
2.1.3.2 Tiêu đề mở rộng Destination.......................................................... 25
2.1.3.3 Tiêu đề mở rộng Routing ............................................................... 26
2.1.3.4 Tiêu đề mở rộng Fragment ............................................................ 26
2.1.3.5 IPsec ................................................................................................. 27
2.1.4
Kỹ thuật chuyển tiếp từ IPv4 sang IPv6 ........................................... 28
2.1.5
Lọc các gói tin tại biên của hệ thống mạng IPv6.............................. 28
2.2
Hệ thống lọc gói trong IPv6 kiểu có trạng thái ........................................ 30
2.2.1
Flow Label ........................................................................................... 30
2.2.2
Flow label và lọc gói có trạng thái ..................................................... 31
Phần II : Triển khai hệ thống lọc gói IPv6 trên FreeBSD.......................................... 32
3. Giới thiệu FreeBSD............................................................................................. 33
4. Công cụ lọc gói IPv6 trong FreeBSD................................................................. 34
5. Triển khai hệ thống lọc gói IPv6........................................................................ 36
5.1
Đặt vấn đề .................................................................................................... 36
5.2
Yêu cầu......................................................................................................... 36
5.3
Mô hình mạng ............................................................................................. 36
5.4
Tài nguyên sử dụng..................................................................................... 37
5.5
Thực hiện ..................................................................................................... 37
5.5.1
Xây dựng FreeBSD router ................................................................. 38
5.5.2
Xây dựng Web server IPv6 ................................................................ 38
5.5.3
Xây dựng DNS server IPv6 ................................................................ 38
5.5.4
Cấu hình SSH cho phép điều khiển truy cập từ xa.......................... 40
5.6
Xây dựng kịch bản và triển khai lọc gói ................................................... 41
Sinh viên: Nguyễn Thanh Sơn
1
Đề tài: Hệ Thống Lọc Gói Trong IPv6
GVHD: Nguyễn Thị Phương Dung
5.6.1
Kiểm thử lưu lượng ICMPv6............................................................. 41
5.6.2
Kiểm thử lưu lượng DNS.................................................................... 43
5.6.3
Kiểm thử lưu lượng Web.................................................................... 44
5.6.4
Điều khiển lưu lượng SSH.................................................................. 45
Phần III :
Kết Luận ............................................................................................... 48
Phần Phụ lục
Giới Thiệu Hạ Tầng IPv6 ............................................................... 50
6. Giới thiệu IPv6 .................................................................................................... 50
7. Hạ tầng IPv6........................................................................................................ 50
7.1
Tiêu đề IPv6..................................................................................................... 50
7.2
Tiêu đề mở rộng .............................................................................................. 51
7.3
Cấu trúc địa chỉ mới ....................................................................................... 55
7.3.1
Định danh Interface (interface ID)........................................................ 56
7.4
Các loại địa chỉ trong IPv6............................................................................. 56
7.4.1
Địa chỉ Unicast......................................................................................... 57
7.4.2
Địa chỉ Anycast........................................................................................ 60
7.4.3
Địa chỉ Multicast ..................................................................................... 60
7.5
Giao thức ICMPv6.......................................................................................... 61
7.6
Giao thức Neighbor discovery ....................................................................... 62
7.6.1
Các loại thông điệp Neighbor Discovery............................................... 62
7.6.2
Định dạng của Neighbor Discovery options ......................................... 64
7.6.3
Neighbor Discovery và các thông điệp Options tương ứng................. 66
7.6.4
Các chức năng hoạt động của Neighbor Discovery ............................. 67
7.6.4.1 Duplicate address detection ............................................................... 67
7.6.4.2 Neighbor Unreachability Detection................................................... 67
7.6.4.3 Network prefix assignment ................................................................ 67
7.6.4.4 Tự động cấu hình địa chỉ.................................................................... 68
Sinh viên: Nguyễn Thanh Sơn
2
Đề tài: Hệ Thống Lọc Gói Trong IPv6
GVHD: Nguyễn Thị Phương Dung
Lời giới thiệu
Hệ thống lọc gói cho phép lọc lưu lượng vào và ra hệ thống mạng của tổ chức,
nhằm chống lại những truy cập trái phép hoặc hạn chế những truy cập ra bên ngoài.
Khi hệ thống mạng internet có xu hướng chuyển dần sang môi trường IPv6 để
thỏa mãn nhu cầu về không gian địa chỉ, cũng như những ưu điểm trong hổ trợ điều khiển
chất lượng dịch vụ và bảo mật truyền thông, thì hệ thống lọc gói IPv6 vẫn tiếp tục được
sử dụng, phát triển khả năng kiểm tra và ngăn chặn bước đầu trong chiến lược bảo mật hệ
thống mạng của một tổ chức.
Do tính thời sự của nhu cầu chuyển tiếp sang mạng IPv6 cũng như sự cấp thiết
bảo mật hệ thống mạng, Tôi đã chọn đề tài “nghiên cứu Hệ Thống Lọc Gói Trong IPv6”
cho đồ án tốt nghiệp của mình.
Đề tài được triển khai trên hệ thống mã nguồn mở, sử dụng hệ điều hành
FreeBSD và được chia thành 4 phần như sau:
Phần 1: lý thuyết hệ thống lọc gói, giới thiệu về lý thuyết lọc gói của IPv4 và
IPv6.
Phần 2: thực hành, giới thiệu và mô tả những ưu điểm của FreeBSD. Triển khai
hệ thống lọc gói trên FreeBSD.
Phần 3: kết luận, đánh giá những kết quả đạt được của đồ án, những thiếu xót, hạn
chế và hưóng phát triển của đề tài.
Phần phụ lục: trong phần này, giới thiệu về hạ tầng mạng IPv6 nhằm làm rõ hơn
lý thuyết lọc gói của IPv6.
Tháng 11, năm 2006
Sinh viên
Nguyễn Thanh Sơn
Sinh viên: Nguyễn Thanh Sơn
3
Đề tài: Hệ Thống Lọc Gói Trong IPv6
GVHD: Nguyễn Thị Phương Dung
Phần I : Lý Thuyết
Trong phần này, tập trung làm rõ lý thuyết lọc gói, phân tích các loại lưu lượng,
nhận dạng và đưa ra cách giải quyết. Từ đó, có cái nhìn tổng quan về hệ thống lọc gói,
tạo tiền đề triển khai trên hệ thống thực.
Nội dung chính của phần này gồm:
1.
Hệ thống lọc gói IPv4
1.1
Hệ thống lọc gói trong IPv4 kiểu phi trạng thái
1.2
Hệ thống lọc gói trong IPv4 kiểu có trạng thái
2.
Hệ thống lọc gói trong IPv6
2.1
Hệ thống lọc gói trong IPv6 kiểu phi trạng thái
2.2
Hệ thống lọc gói trong IPv6 kiểu có trạng thái
Sinh viên: Nguyễn Thanh Sơn
4
Đề tài: Hệ Thống Lọc Gói Trong IPv6
GVHD: Nguyễn Thị Phương Dung
1. Hệ thống lọc gói IPv4
Lọc gói là một hệ thống thực hiện việc kiểm tra và lọc lưu lượng trên một host
hay tại một ví trí cần thiết trong hạ tầng mạng của một tổ chức.
Các thành tố chính của một hệ thống lọc gói là:
•
Chính sách (policy)
•
Luật (rules): áp dụng cụ thể chính sách vào hệ thống lọc gói thông qua
công tác nhận diện lưu lượng và điều khiển lưu lượng tương ứng. Cụ thể
như :
o
Nhận diện lưu lượng: hệ thống lọc gói dựa vào một số tiêu chí để
nhận diện lưu lượng như: điểm xuất phát của lưu lượng, điểm đến lưu
lượng , lọai lưu lượng (web, mail, telnet..), đặc điểm lưu lượng
(fragment, cờ TCP (syn, cờ rst…).
o
Điều khiển lưu lượng: hệ thống lọc gói điều khiển lưu lượng
bằng cách cho phép các gói tin đi qua (allow), chặn các gói tin lại
(drop) hoặc chuyển tiếp các gói tin (forward)…
Hệ thống lọc gói hoạt động thông qua cơ chế so khớp các gói tin dựa trên các luật
được định nghĩa trước.
Trong hệ thống lọc gói IPv4 có hai trường hợp: lọc gói trong IPv4 kiểu phi trạng
thái và lọc gói trong IPv4 kiểu có trạng thái.
Sinh viên: Nguyễn Thanh Sơn
5
nguon tai.lieu . vn
GVHD: Nguyễn Thị Phương Dung
Phần I : Lý Thuyết............................................................................................................ 4
1. Hệ thống lọc gói IPv4............................................................................................ 5
1.1
Hệ thống lọc gói trong IPv4 kiểu phi trạng thái......................................... 6
1.1.1
Lọc dựa trên cổng kết nối.................................................................... 7
1.1.2
Lọc dựa trên các cờ TCP...................................................................... 9
1.1.3
Lọc dựa trên địa chỉ.............................................................................. 9
1.1.4
Lọc các gói phân mảnh ....................................................................... 11
1.1.5
Lọc các gói ICMP................................................................................ 12
1.1.6
Lọc dựa trên Options của IP.............................................................. 12
1.1.7
Lọc các lưu lượng đường hầm ........................................................... 13
1.1.8
IPsec ..................................................................................................... 14
1.2
Hệ thống lọc gói trong IPv4 kiểu có trạng thái ........................................ 16
1.2.1
Lọc dựa vào giao thức TCP................................................................ 17
1.2.2
Lọc các gói UDP .................................................................................. 19
1.2.3
Lọc các gói ICMP................................................................................ 19
1.2.4
Lọc gói dựa trên đặc điểm của lưu lượng ......................................... 20
1.2.5
Lọc các gói phân mảnh ......................................................................... 21
2. Hệ thống lọc gói trong IPv6................................................................................ 22
2.1
Hệ thống lọc gói trong IPv6 kiểu phi trạng thái....................................... 23
2.1.1
Lọc gói dựa trên địa chỉ...................................................................... 24
2.1.2
Lọc các gói ICMPv6............................................................................ 24
2.1.3
Lọc các tiêu đề mở rộng của IPv6...................................................... 25
2.1.3.1 Tiêu đề mở rộng Hop-by-Hop........................................................ 25
2.1.3.2 Tiêu đề mở rộng Destination.......................................................... 25
2.1.3.3 Tiêu đề mở rộng Routing ............................................................... 26
2.1.3.4 Tiêu đề mở rộng Fragment ............................................................ 26
2.1.3.5 IPsec ................................................................................................. 27
2.1.4
Kỹ thuật chuyển tiếp từ IPv4 sang IPv6 ........................................... 28
2.1.5
Lọc các gói tin tại biên của hệ thống mạng IPv6.............................. 28
2.2
Hệ thống lọc gói trong IPv6 kiểu có trạng thái ........................................ 30
2.2.1
Flow Label ........................................................................................... 30
2.2.2
Flow label và lọc gói có trạng thái ..................................................... 31
Phần II : Triển khai hệ thống lọc gói IPv6 trên FreeBSD.......................................... 32
3. Giới thiệu FreeBSD............................................................................................. 33
4. Công cụ lọc gói IPv6 trong FreeBSD................................................................. 34
5. Triển khai hệ thống lọc gói IPv6........................................................................ 36
5.1
Đặt vấn đề .................................................................................................... 36
5.2
Yêu cầu......................................................................................................... 36
5.3
Mô hình mạng ............................................................................................. 36
5.4
Tài nguyên sử dụng..................................................................................... 37
5.5
Thực hiện ..................................................................................................... 37
5.5.1
Xây dựng FreeBSD router ................................................................. 38
5.5.2
Xây dựng Web server IPv6 ................................................................ 38
5.5.3
Xây dựng DNS server IPv6 ................................................................ 38
5.5.4
Cấu hình SSH cho phép điều khiển truy cập từ xa.......................... 40
5.6
Xây dựng kịch bản và triển khai lọc gói ................................................... 41
Sinh viên: Nguyễn Thanh Sơn
1
Đề tài: Hệ Thống Lọc Gói Trong IPv6
GVHD: Nguyễn Thị Phương Dung
5.6.1
Kiểm thử lưu lượng ICMPv6............................................................. 41
5.6.2
Kiểm thử lưu lượng DNS.................................................................... 43
5.6.3
Kiểm thử lưu lượng Web.................................................................... 44
5.6.4
Điều khiển lưu lượng SSH.................................................................. 45
Phần III :
Kết Luận ............................................................................................... 48
Phần Phụ lục
Giới Thiệu Hạ Tầng IPv6 ............................................................... 50
6. Giới thiệu IPv6 .................................................................................................... 50
7. Hạ tầng IPv6........................................................................................................ 50
7.1
Tiêu đề IPv6..................................................................................................... 50
7.2
Tiêu đề mở rộng .............................................................................................. 51
7.3
Cấu trúc địa chỉ mới ....................................................................................... 55
7.3.1
Định danh Interface (interface ID)........................................................ 56
7.4
Các loại địa chỉ trong IPv6............................................................................. 56
7.4.1
Địa chỉ Unicast......................................................................................... 57
7.4.2
Địa chỉ Anycast........................................................................................ 60
7.4.3
Địa chỉ Multicast ..................................................................................... 60
7.5
Giao thức ICMPv6.......................................................................................... 61
7.6
Giao thức Neighbor discovery ....................................................................... 62
7.6.1
Các loại thông điệp Neighbor Discovery............................................... 62
7.6.2
Định dạng của Neighbor Discovery options ......................................... 64
7.6.3
Neighbor Discovery và các thông điệp Options tương ứng................. 66
7.6.4
Các chức năng hoạt động của Neighbor Discovery ............................. 67
7.6.4.1 Duplicate address detection ............................................................... 67
7.6.4.2 Neighbor Unreachability Detection................................................... 67
7.6.4.3 Network prefix assignment ................................................................ 67
7.6.4.4 Tự động cấu hình địa chỉ.................................................................... 68
Sinh viên: Nguyễn Thanh Sơn
2
Đề tài: Hệ Thống Lọc Gói Trong IPv6
GVHD: Nguyễn Thị Phương Dung
Lời giới thiệu
Hệ thống lọc gói cho phép lọc lưu lượng vào và ra hệ thống mạng của tổ chức,
nhằm chống lại những truy cập trái phép hoặc hạn chế những truy cập ra bên ngoài.
Khi hệ thống mạng internet có xu hướng chuyển dần sang môi trường IPv6 để
thỏa mãn nhu cầu về không gian địa chỉ, cũng như những ưu điểm trong hổ trợ điều khiển
chất lượng dịch vụ và bảo mật truyền thông, thì hệ thống lọc gói IPv6 vẫn tiếp tục được
sử dụng, phát triển khả năng kiểm tra và ngăn chặn bước đầu trong chiến lược bảo mật hệ
thống mạng của một tổ chức.
Do tính thời sự của nhu cầu chuyển tiếp sang mạng IPv6 cũng như sự cấp thiết
bảo mật hệ thống mạng, Tôi đã chọn đề tài “nghiên cứu Hệ Thống Lọc Gói Trong IPv6”
cho đồ án tốt nghiệp của mình.
Đề tài được triển khai trên hệ thống mã nguồn mở, sử dụng hệ điều hành
FreeBSD và được chia thành 4 phần như sau:
Phần 1: lý thuyết hệ thống lọc gói, giới thiệu về lý thuyết lọc gói của IPv4 và
IPv6.
Phần 2: thực hành, giới thiệu và mô tả những ưu điểm của FreeBSD. Triển khai
hệ thống lọc gói trên FreeBSD.
Phần 3: kết luận, đánh giá những kết quả đạt được của đồ án, những thiếu xót, hạn
chế và hưóng phát triển của đề tài.
Phần phụ lục: trong phần này, giới thiệu về hạ tầng mạng IPv6 nhằm làm rõ hơn
lý thuyết lọc gói của IPv6.
Tháng 11, năm 2006
Sinh viên
Nguyễn Thanh Sơn
Sinh viên: Nguyễn Thanh Sơn
3
Đề tài: Hệ Thống Lọc Gói Trong IPv6
GVHD: Nguyễn Thị Phương Dung
Phần I : Lý Thuyết
Trong phần này, tập trung làm rõ lý thuyết lọc gói, phân tích các loại lưu lượng,
nhận dạng và đưa ra cách giải quyết. Từ đó, có cái nhìn tổng quan về hệ thống lọc gói,
tạo tiền đề triển khai trên hệ thống thực.
Nội dung chính của phần này gồm:
1.
Hệ thống lọc gói IPv4
1.1
Hệ thống lọc gói trong IPv4 kiểu phi trạng thái
1.2
Hệ thống lọc gói trong IPv4 kiểu có trạng thái
2.
Hệ thống lọc gói trong IPv6
2.1
Hệ thống lọc gói trong IPv6 kiểu phi trạng thái
2.2
Hệ thống lọc gói trong IPv6 kiểu có trạng thái
Sinh viên: Nguyễn Thanh Sơn
4
Đề tài: Hệ Thống Lọc Gói Trong IPv6
GVHD: Nguyễn Thị Phương Dung
1. Hệ thống lọc gói IPv4
Lọc gói là một hệ thống thực hiện việc kiểm tra và lọc lưu lượng trên một host
hay tại một ví trí cần thiết trong hạ tầng mạng của một tổ chức.
Các thành tố chính của một hệ thống lọc gói là:
•
Chính sách (policy)
•
Luật (rules): áp dụng cụ thể chính sách vào hệ thống lọc gói thông qua
công tác nhận diện lưu lượng và điều khiển lưu lượng tương ứng. Cụ thể
như :
o
Nhận diện lưu lượng: hệ thống lọc gói dựa vào một số tiêu chí để
nhận diện lưu lượng như: điểm xuất phát của lưu lượng, điểm đến lưu
lượng , lọai lưu lượng (web, mail, telnet..), đặc điểm lưu lượng
(fragment, cờ TCP (syn, cờ rst…).
o
Điều khiển lưu lượng: hệ thống lọc gói điều khiển lưu lượng
bằng cách cho phép các gói tin đi qua (allow), chặn các gói tin lại
(drop) hoặc chuyển tiếp các gói tin (forward)…
Hệ thống lọc gói hoạt động thông qua cơ chế so khớp các gói tin dựa trên các luật
được định nghĩa trước.
Trong hệ thống lọc gói IPv4 có hai trường hợp: lọc gói trong IPv4 kiểu phi trạng
thái và lọc gói trong IPv4 kiểu có trạng thái.
Sinh viên: Nguyễn Thanh Sơn
5