Một định nghĩa hoàn chỉnh hơn về an toàn thông tin – Là vấn đề bảo vệ tính toàn vẹn, tính bảo mật, và tính khả dụng của thông tin trên các thiết bị lưu trữ, thao tác, và truyền dẫn thông tin thông qua các sản phẩm, con người, và các thủ tục An toàn và an ninh mạng 9 Các khái niệm an toàn thông tin (1) • Tính bảo mật – Bảo vệ những hạn chế cho phép về truy nhập và tiết lộ thông tin • Bao gồm các biện pháp bảo vệ tính riêng tư cá nhân và thông tin độc quyền • Tính toàn vẹn – Bảo vệ thông tin khỏi bị sửa đổi hoặc triệt tiêu một cách không thích hợp • Bao gồm đảm bảo tính không thể chối bỏ và tính xác thực của thông tin
AN TOÀN VÀ AN NINH MẠNG Chương GIỚI THIỆU An toàn an ninh mạng Bối cảnh xã hội • Thế giới đứng trước thách thức công khủng bố với an ninh thắt chặt • Công nghệ thông tin nạn nhân số lượng lớn chưa có cơng • An tồn thơng tin thành phần cốt lõi công nghệ thông tin – Bảo vệ thông tin điện tử có giá trị • Nhu cầu chuyên gia CNTT biết bảo vệ an toàn mạng máy tính lớn An tồn an ninh mạng Bối cảnh cơng nghệ • Hai biến đổi lớn u cầu an tồn thơng tin thời gian gần – Trước an tồn thơng tin đảm bảo biện pháp vật lý hành – Sử dụng máy tính tạo yêu cầu công cụ tự động để bảo vệ file thông tin lưu trữ khác – Sử dụng mạng phương tiện truyền thông tạo yêu cầu biện pháp bảo vệ liệu truyền An toàn an ninh mạng Làm rõ khái niệm an tồn thơng tin • An tồn – Trạng thái không bị nguy hiểm rủi ro • Trạng thái hay điều kiện tồn biện pháp bảo vệ thiết lập trì • An tồn thơng tin – Mơ tả nhiệm vụ bảo vệ thơng tin khn dạng số • An tồn thơng tin hiểu thơng qua xem xét mục tiêu cách thức thực An toàn an ninh mạng Mục tiêu an tồn thơng tin • Đảm bảo biện pháp bảo vệ thực cách thích hợp • Bảo vệ thơng tin có giá trị người tổ chức – Giá trị đặc tính bảo mật, tồn vẹn, khả dụng • Bảo vệ đặc tính thơng tin thiết bị lưu trữ, thao tác, truyền thơng tin An tồn an ninh mạng Cách thức thực ATTT • Thông qua kết hợp thực thể – Phần cứng, phần mềm, truyền thơng • Ba lớp bảo vệ – Sản phẩm • An ninh vật lý xung quanh liệu – Con người • Những người cài đặt sử dụng sản phẩm an ninh – Thủ tục • Kế hoạch sách đảm bảo sử dụng đắn sản phẩm An toàn an ninh mạng Các thành phần an tồn thơng tin An toàn an ninh mạng Định nghĩa an tồn thơng tin • Một định nghĩa hồn chỉnh an tồn thơng tin – Là vấn đề bảo vệ tính tồn vẹn, tính bảo mật, tính khả dụng thông tin thiết bị lưu trữ, thao tác, truyền dẫn thông tin thông qua sản phẩm, người, thủ tục An toàn an ninh mạng Các khái niệm an tồn thơng tin (1) • Tính bảo mật – Bảo vệ hạn chế cho phép truy nhập tiết lộ thơng tin • Bao gồm biện pháp bảo vệ tính riêng tư cá nhân thơng tin độc quyền • Tính tồn vẹn – Bảo vệ thơng tin khỏi bị sửa đổi triệt tiêu cách khơng thích hợp • Bao gồm đảm bảo tính khơng thể chối bỏ tính xác thực thơng tin An toàn an ninh mạng 10 Các chọn lọc SA • IPSec cho phép luồng IP gửi phải áp dụng nhiều SA kết hợp miễn trừ – Cách thức gắn kết luồng IP với SA định nghĩa CSDL sách an ninh (SPD) • Nhiều đề mục SPD gắn với SA • Một đề mục SPD gắn với nhiều SA – Mỗi đề mục SPD có chọn lọc luồng IP sau • • • • • • Địa IP đích Địa IP nguồn Định danh người dùng Mức độ nhạy cảm liệu Giao thức tầng giao vận Các cổng nguồn đích An ninh Mạng 218 Phần đầu xác thực • Đảm bảo tồn vẹn xác thực gói IP – Cho phép hệ thống đầu cuối hay thiết bị mạng xác thực người dùng ứng dụng – Tránh giả mạo địa – Chống lại hình thức cơng lặp lại • Sử dụng mã xác thực thơng báo • Bên gửi bên nhận phải có khóa bí mật dùng chung An ninh Mạng 219 Khuôn dạng AH An ninh Mạng 220 Dịch vụ chống lặp lại • Bên gửi – Khởi tạo đếm số thứ tự giá trị – Mỗi lần gửi gói tin tăng đếm lên đặt giá trị đếm vào trường số thứ tự gói tin – Nếu đếm đạt tới 232 – kết thúc SA thời • Bên nhận – Cài đặt cửa sổ chống lặp lại độ dài W, với ô tận bên phải số thứ tự N lớn nhận • Nếu gói tin nằm cửa sổ, mới, MAC hợp lệ tương ứng đánh dấu • Nếu gói tin nằm bên phải cửa sổ MAC hợp lệ dịch cửa sổ tận bên phải đánh dấu An ninh Mạng 221 Minh họa chống lặp lại An ninh Mạng 222 Chế độ giao vận đường hầm An ninh Mạng 223 Phần đầu ESP • Đảm bảo bảo mật nội dung bảo mật luồng tin hữu hạn • Có thể cung cấp dịch vụ xác thực giống với AH • Cho phép sử dụng nhiều giải thuật mã hóa, phương thức mã hóa, cách độn khác – DES, 3DES, RC5, IDEA, CAST, – CBC, – Độn cho trịn kích thước khối, kích thước trường, che dấu lưu lượng luồng tin An ninh Mạng 224 Khuôn dạng ESP An ninh Mạng 225 Giao vận đường hầm ESP • Chế độ giao vận ESP dùng để mã hóa có thêm chức xác thực liệu IP – Chỉ mã hóa liệu khơng mã hóa phần đầu – Dễ bị phân tích lưu lượng – Áp dụng cho truyền tải hai điểm cuối • Chế độ đường hầm mã hóa tồn gói tin IP – Phải bổ xung phần đầu cho bước chuyển – Áp dụng cho mạng riêng ảo, truyền tải thông qua cầu nối An ninh Mạng 226 Kết hợp liên kết an ninh • Mỗi SA cài đặt hai giao thức AH ESP • Để cài đặt hai cần kết hợp SA với – Tạo thành gói liên kết an ninh – Có thể kết thúc điểm cuối khác giống • Kết hợp theo cách – Gần với giao vận – Tạo đường hầm theo nhiều bước • Cần xem xét thứ tự xác thực mã hóa An ninh Mạng 227 Ví dụ kết hợp SA An ninh Mạng 228 Quản lý khóa • Có chức sản sinh phân phối khóa • Hai bên giao tiếp với nói chung cần khóa – Mỗi chiều cần khóa: cho AH, cho ESP • Hai chế độ quản lý khóa – Thủ cơng • Quản trị hệ thống khai báo khóa thiết lập cấu hình • Thích hợp với mơi trường nhỏ tương đối tĩnh – Tự động • Cho phép tạo khóa theo u cầu cho SA • Thích hợp với hệ phân tán lớn có cấu hình ln thay đổi • Gồm thành phần Oakley ISAKMP An ninh Mạng 229 Oakley • Là giao thức trao đổi khóa dựa giải thuật Diffie-Hellman • Bao gồm số cải tiến quan trọng – Sử dụng cookie để ngăn cơng gây q tải • Cookie cần phụ thuộc vào bên giao tiếp, sinh bên khác với bên sinh cookie, sinh kiểm tra cách nhanh chóng – Hỗ trợ việc sử dụng nhóm với tham số DiffieHellman khác – Sử dụng giá trị nonce để chống công lặp lại – Xác thực trao đổi Diffie-Hellman để chống công người An ninh Mạng 230 ISAKMP • Viết tắt Internet Security Association and Key Management Protocol • Cung cấp cấu cho việc quản lý khóa • Định nghĩa thủ tục khuôn dạng thông báo cho việc thiết lập, thỏa thuận, sửa đổi, hủy bỏ liên kết an ninh • Độc lập với giao thức trao đổi khóa, giải thuật mã hõa, phương pháp xác thực An ninh Mạng 231 Các khuôn dạng ISAKMP An ninh Mạng 232 ... ngăn ngừa An toàn an ninh mạng 20 Giả mạo An toàn an ninh mạng 21 Lặp lại An toàn an ninh mạng 22 Sửa đổi thông báo An toàn an ninh mạng 23 Từ chối dịch vụ An toàn an ninh mạng 24 Dịch vụ an ninh... trì • An tồn thơng tin – Mô tả nhiệm vụ bảo vệ thông tin khn dạng số • An tồn thơng tin hiểu thông qua xem xét mục tiêu cách thức thực An toàn an ninh mạng Mục tiêu an tồn thơng tin • Đảm bảo biện... thể An tồn an ninh mạng 11 Các định nghĩa an toàn • An tồn máy tính – Tên chung cho tập công cụ thiết kế để bảo vệ liệu chống lại tin tặc • An tồn mạng – Các biện pháp bảo vệ liệu truyền dẫn • An