HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA VIỄN THƠNG I Bài Tiểu Luận Mơn: An Ninh Mạng Thơng Tin Đề tài: Giao thức SSL/TLS Giảng viên hướng dẫn: TS.Hồng Trọng Minh Nhóm thực (12): Nguyễn Đức Tùng Bùi Trọng Long Chu Đức Long Nhật Nhóm mơn học: 02 Hà Nội, 2021 download by : skknchat@gmail.com Bài tập tiểu luận môn ANM Mục lục Mục lục PHÂN CÔNG CÔNG VIỆC Danh mục thuật ngữ viết tắt Danh mục bảng biểu hình vẽ Danh mục bảng biểu: Lời nói đầu PHẦN I Tổng quan SSL/TLS Khái niệm SSL/TLS 1.1 Khái niệm 1.2 Lịch sử đời SSL/TLS Các lợi ích kết nối SSL / TLS bao gồm: Phần II Cấu trúc, đặc điểm hoạt động giao thức SSL/TLS 10 Cấu trúc, đặc điểm hoạt động SSL/TLS 10 Các giao thức SSL 12 2.1 Giao thức bắt tay 12 2.2 Giao thức ghi 19 2.3 Các giao thức khác 20 Các thuật toán sử dụng SSL/TLS 21 Ứng dụng 22 PHẦN III Cải tiến giao thức TLS so với giao thức SSL 22 Phần IV: Một số vấn đề bảo mật Tấn công cách phòng chống .25 Một số vấn đề bảo mật 25 1.1 Sơ lược an ninh mạng 25 1.2 Một số lỗ hổng bảo mật phổ biến 25 Quá trình tấn cơng 26 2.1 Quá trình truyền thông HTTPS 26 Nhóm 12 download by : skknchat@gmail.com Bài tập tiểu luận mơn ANM 2.2 Q trình tấn công 28 Biện pháp phòng chống 31 3.1 Cảnh giác với điểm truy cập Wi-Fi mở tại nơi công cộng 31 3.2 Tất trang web bật SSL 31 3.3 Bật HSTS (Bảo mật truyền tải nghiêm ngặt HTTP) 31 3.4 Cách bảo vệ trước cuộc tấn công từ kẻ trung gian 31 Kết luận 32 Tài liệu tham khảo 33 Nhóm 12 download by : skknchat@gmail.com Bài tập tiểu luận môn ANM PHÂN CÔNG CÔNG VIỆC Tên Bùi Trọng Long Nguyễn Đức Tùng Chu Đức Long Nhật Nhóm 12 download by : skknchat@gmail.com Bài tập tiểu luận môn ANM Danh mục thuật ngữ viết tắt Tên viết tắt SSL TLS TCP HTTPS IETF MAC URL HSTS LDAP CA Nhóm 12 download by : skknchat@gmail.com Bài tập tiểu luận môn ANM Danh mục bảng biểu hình vẽ Danh mục bảng biểu: Bảng Giá trị kiểu chứng chấp nhận…………………………………….17 Bảng Các thuật toán sử dụng SSL/TLS…………………………………………22 Danh mục hình vẽ: Hình Lịch sử đời SSL/TLS………………………………………………… ….8 Hình Cấu trúc SSL…………………… ….………………………………………11 Hình Hoạt đợng SSL/TLS…………………………………………………………12 Hình Vị trí giao thức bắt tay……………………… …………………………………13 Hình Quá trình bắt tay SSL/TLS…………………………………………….……14 Hình Thơng điệp Certificate……………………… …………………………………15 Hình Thông điệp ServerKeyExchange mang tham số Diffie-Hellman, RSA Fortezza………………………………………………………………………………… 16 Hình Thơng điệp CertificateRequest………………………………………… ………16 Hình Thơng điệp ServerHelloDone……………………………………………………17 Hình 10 Thơng điệp ClientKeyExchange với RSA, Diffie-Hellman Fortezza………18 Hình 11 Tạo thơng điệp CertificateVerity……………….………………………………18 Hình 12: Thơng điệp Finished……………………………………………………………19 Hình 13: Vị trí giao thức ghi SSL……… ……………………………………20 Hình 14 Các giai đoạn giao thức ghi……………………………………………20 Hình 15 Thơng điệp ChangeCipherSpec……………………………………………… 21 Hình 16 Định dạng thơng điệp Alert ……………………………………………………21 Hình 17 Máy khách máy chủ thực bắt tay SSL / TLS TLS 1.3 ….………24 Hình 18 Quá trình bắt tay TLS 1.3………………………………………………………24 Hình 19 Quá trình mã hóa liệu HTTP, HTTPS ………………… ……………26 Hình 20 TLS Handshake, FYI………………………………………… ……………27 Hình 21 C̣c tấn cơng SSL Strip………………………………….…………………28 Hình 22 C̣c tấn cơng MitM……………………………………………………………29 Nhóm 12 download by : skknchat@gmail.com Bài tập tiểu luận môn ANM Lời nói đầu Được thiết kế bởi Netscape bao gồm chế bảo mật sản phẩm trình duyệt để tạo truyền thơng an tồn mạng, SSL (Secure Sockets Layer) giao thức bảo mật sử dụng phổ biến Internet nhất hoạt động thương mại điện tử Ban đầu, SSL thiết kế kết hợp với giao thức HTTP sử dụng bởi Web server browser, đã mợt thành phần quan trọng loại truyền thông Internet bảo mật Việt Nam đường hội nhập với công nghệ thông tin giới, hoạt động giao dịch mạng ở Việt Nam diễn sôi nổi, vấn đề bảo mật trở nên quan trọng, việc triển khai SSL điều cần thiết Tuy nhiên đến hầu hết website ở Việt Nam chưa sử dụng SSL giao dịch Trong tiểu luận này, em tiến hành nghiên cứu chi tiết giao thức bảo mật SSL/TLS Chúng em hy vọng với khoá luận đem đến nhìn cụ thể SSL/TLS bảo mật mạng, tầm quan trọng ứng dụng thực tế Nhóm 12 download by : skknchat@gmail.com Bài tập tiểu luận môn ANM PHẦN I Tổng quan SSL/TLS Khái niệm SSL/TLS 1.1 Khái niệm SSL (Lớp cổng bảo mật) người kế nhiệm nó, TLS (Bảo mật lớp truyền tải), giao thức để thiết lập liên kết xác thực mã hóa máy tính nối mạng Mặc dù giao thức SSL đã không chấp nhận phát hành TLS 1.0 vào năm 1999, người ta thường gọi công nghệ liên quan “SSL” “SSL / TLS” SSL một loại bảo mật kỹ thuật số cho phép giao tiếp mã hóa trang web trình duyệt web Cơng nghệ khơng dùng đã thay hồn toàn TLS TLS (Bảo mật tầng truyền tải) mợt phiên SSL cập nhật, an tồn Mục tiêu SSL / TLS làm cho việc truyền thông tin nhạy cảm bao gồm liệu cá nhân, tốn thơng tin đăng nhập trở nên an tồn bảo mật Đây mợt giải pháp thay cho truyền liệu văn túy kết nối bạn với máy chủ khơng mã hóa điều khiến kẻ gian tin tặc khó dò tìm kết nối lấy cắp liệu bạn TLS gì? (Transport Layer Security) TLS (Bảo mật lớp truyền tải), phát hành vào năm 1999, kế thừa giao thức SSL (Lớp cổng bảo mật) để xác thực mã hóa TLS 1.3 định nghĩa RFC 8446 (tháng năm 2018) TLS đảm bảo quyền riêng tư liệu giống cách SSL làm Vì SSL thực không còn sử dụng nữa, thuật ngữ xác mà người nên bắt đầu sử dụng - TLS bao gồm hai phần: +) Lớp bắt tay TLS quản lý mật mã (loại thuật tốn mã hóa) sử dụng, xác thực (sử dụng chứng dành riêng cho tên miền tổ chức bạn) trao đổi khóa (dựa cặp khóa cơng khai-riêng tư từ chứng chỉ) Q trình bắt tay thực một lần để thiết lập kết nối mạng an toàn cho hai bên +) Lớp ghi TLS lấy liệu từ ứng dụng người dùng, mã hóa nó, phân mảnh thành mợt kích thước thích hợp (do mật mã xác định) gửi đến lớp truyền tải mạng Hầu hết người quen thuộc với chứng SSL / TLS, quản trị viên web sử dụng để bảo mật trang web họ cung cấp một cách an toàn cho người thực giao dịch - Chứng SSL gì? (Secure Sockets Layer) +) Một giấy chứng nhận SSL (còn gọi TLS chứng SSL / TLS) một tài liệu kỹ thuật số mà gắn bó với sắc mợt trang web để mợt cặp khóa mã hóa bao gồm mợt khóa cơng khai khóa bí mật Khóa cơng khai, có chứng chỉ, cho phép Nhóm 12 download by : skknchat@gmail.com Bài tập tiểu luận môn ANM trình duyệt web bắt đầu phiên giao tiếp mã hóa với máy chủ web thơng qua giao thức TLS HTTPS Khóa riêng tư giữ an tồn máy chủ sử dụng để ký kỹ thuật số trang web tài liệu khác (chẳng hạn hình ảnh tệp JavaScript) +) Chứng SSL bao gồm thông tin nhận dạng một trang web, bao gồm tên miền và, tùy chọn, thông tin nhận dạng chủ sở hữu trang web Nếu chứng SSL máy chủ web ký bởi tổ chức phát hành chứng tin cậy công khai (CA), chẳng hạn SSL.com, nội dung ký kỹ thuật số từ máy chủ trình duyệt web hệ điều hành người dùng cuối tin tưởng xác thực SSL công nghệ tiêu chuẩn để giữ kết nối internet an toàn bảo vệ bất kỳ liệu nhạy cảm gửi hai hệ thống, ngăn chặn tội phạm đọc sửa đổi bất kỳ thông tin truyền, bao gồm chi tiết cá nhân tiềm ẩn Hai hệ thống máy chủ máy khách (ví dụ: trang web mua sắm trình duyệt) máy chủ đến máy chủ (ví dụ: ứng dụng có thơng tin nhận dạng cá nhân thơng tin bảng lương) Nó thực điều cách đảm bảo liệu truyền người dùng trang web, hai hệ thống khơng thể đọc Nó sử dụng thuật tốn mã hóa để xáo trợn liệu q trình truyền tải, ngăn khơng cho tin tặc đọc nó gửi qua kết nối Thơng tin bất kỳ thơng tin nhạy cảm cá nhân bao gồm số thẻ tín dụng thơng tin tài chính, tên địa khác Chứng SSL một loại chứng X.509 (X.509 định dạng tiêu chuẩn cho chứng khóa công khai, tài liệu kỹ thuật số liên kết an tồn cặp khóa mật mã với danh tính trang web, cá nhân tổ chức) 1.2 Lịch sử đời SSL/TLS Vì SSL v1.0 Netscape chưa phát hành, nhiều phiên SSL sau TLS đã phát hành để tăng khả bảo mật Hình Lịch sử đời SSL/TLS Nhóm 12 download by : skknchat@gmail.com Bài tập tiểu luận môn ANM Giao thức Secure Sockets Layer (SSL) Netscape giới thiệu lần vào năm 1994 Internet ngày phát triển nhu cầu bảo mật truyền tải cho trình duyệt web giao thức TCP khác Phiên 1.0 SSL chưa phát hành có lỡi bảo mật nghiêm trọng Bản phát hành thức SSL, phiên 2.0, đời vào năm 1995 Phiên cuối giao thức SSL, SSL 3.0, phát hành vào tháng 11 năm 1996 Năm 2011, IETF đã thông báo SSL phiên 2.0 không dùng IETF khuyến nghị nên bỏ hoàn toàn SSL v2 theo mợt tài liệu mà họ đã phát hành giao thức có mợt số thiếu sót lớn Chúng bao gồm việc sử dụng MD5 để xác thực tin nhắn, thiếu bảo vệ bắt tay, sử dụng mợt khóa để mã hóa tồn vẹn tin nhắn kết thúc phiên dễ dàng Vào tháng năm 2015, IETF đã thông báo SSL 3.0 không dùng Như đã nêu tài liệu IETF phát, bất kỳ phiên TLS an toàn tất phiên SSL SSL khơng thể sử dụng tính giao thức TLS chẳng hạn Mã hóa xác thực với liệu bổ sung (AEAD), Elliptic Curve Diffie-Hellman (ECDH) Elliptic Curve Digital Signature Algorithm (ECDSA), vé phiên không trạng thái, chế độ hoạt động theo sơ đồ liệu (DTLS) thương lượng giao thức tầng ứng dụng Giao thức Bảo mật tầng truyền tải (TLS) giới thiệu lần vào năm 1999 một nâng cấp lên SSL v3 Tài liệu TLS 1.0 nói khác biệt TLS 1.0 SSL 3.0 đáng kể, chúng đủ đáng kể để loại trừ khả tương tác TLS 1.1 một cập nhật nhỏ cho TLS 1.0 phát hành vào tháng năm 2006 Một số khác biệt phiên bao gồm biện pháp bảo vệ chống lại cuộc tấn công Cipher Block Chaining (CBC) TLS 1.2 phát hành vào tháng năm 2008 Các thay đổi bao gồm thêm hàm giả ngẫu nhiên định bởi bộ mật mã (PRF), thêm bộ mật mã AES, loại bỏ bộ mật mã IDEA DES, một số cải tiến khác Phiên tại TLS, TLS 1.3, phát hành vào tháng năm 2018 Lần này, giao thức đã trải qua một số thay đổi lớn với trọng tâm đơn giản Một số công nghệ khơng an tồn đã bị loại bỏ Giao thức đã xếp hợp lý để có hiệu suất tốt hơn: việc bắt tay yêu cầu một chuyến (trong mợt số trường hợp chí khơng) Các thay đổi khác bao gồm mã hóa thơng tin SNI để bảo mật tốt tiêu chuẩn chữ ký (RSA-PSS) Tất trình duyệt đại hỡ trợ TLS v1.3 Các lợi ích kết nối SSL / TLS bao gồm: - Quyền riêng tư - Giao tiếp hai mạng kết nối bảo mật mợt khóa nhất mà bên thứ ba lấy Xác thực - Danh tính bên giao tiếp xác minh cách sử dụng mật mã khóa cơng khai - Tính tồn vẹn - Mợt thuật tốn xác thực xác định xem mợt thơng báo có bị thay đổi hay khơng Nhóm 12 download by : skknchat@gmail.com Bài tập tiểu luận mơn ANM Hình 17 Máy khách máy chủ thực bắt tay SSL / TLS TLS 1.3 Hình 18 Q trình bắt tay TLS 1.3 Nhóm 12 download by : skknchat@gmail.com Bài tập tiểu luận môn ANM Phần IV: Một số vấn đề bảo mật Tấn công cách phòng chống Một số vấn đề bảo mật 1.1 Sơ lược an ninh mạng Chúng ta thường gặp phải nhầm lần xác thực ủy quyền an ninh mạng Nên hãy làm rõ sư khác biệt hai thuật ngữ này: ❖ Xác thực: Là trình xác định người dùng xác thực họ Một yếu tố phổ biến rõ ràng nhất để xác thực danh tính mật Nếu người dùng đưa thông tin đăng nhập mật trùng khớp với tên người dùng có nghĩa danh tính hợp lệ hệ thống cấp quyền truy cập cho người dùng ❖ 1.2 Ủy quyền: Sảy sau danh tính người dùng đã xác thực đã thành cơng Ủy quyền việc cung cấp tồn bợ một phần vào tài nguyên thông tin quan trọng, quỹ sở liệu để hoàn thành công việc Một số lỗ hổng bảo mật phổ biến ❖ Lỗi tiêm: - Xảy chuyển liệu chưa lọc tới máy chủ SQL, tới trình duyệt, tới máy chủ LDAP bất kì nơi khác Vấn đề kẻ tấn cơng đưa lệnh cho thực thể này, đẫn đến mất liệu chiếm quyền điều khiển trình duyệt khách hàng - Các phòng ngừa: Lọc đầu vào đúng cách xem đầu vào có tin cậy khơng Tất đầu vào lọc đúng cách, trừ tin cậy một cách chắn ❖ Xác thức bị hỏng: sảy mợt số vấn đề như: - URL chứa ip phiên làm rò rỉ tiêu đề giới thiệu tiêu đề cho người khác - Mật khơng mã hóa lưu trữ chuyển tiếp - IP phiên dự dốn được, việc giành lại quyền truy cập rất nhỏ - Có thể cố định phiên - Có thể xảyt xâm nhập phiên, hết thời gian chờ không triển khai đúng cách sử dụng HTTP(khơng có bảo mật SSL),… Nhóm 12 download by : skknchat@gmail.com Bài tập tiểu luận môn ANM Phòng tránh: Cách đơn giản nhất sử dụng mợt framework Bạn thưc điều mợt cách xác, trước dễ dàng Q trình tấn cơng 2.1 Q trình truyền thơng HTTPS - Cần HTTPS lí do: • Quyền riêng tư • Tính tồn vẹn • Nhận dạng - Để bảo mật kết nối xác minh trang web truy cập hợp pháp, HTTPS sử dụng chứng bảo mật từ nhà cung cấp bên thứ ba Chứng gọi chứng SSL SSL tạo nên mợt kết nối an tồn, mã hóa để bảo vệ lớp giao tiếp hai bên trình duyệt máy chủ - Chứng SSL mã hóa kêt nối với cập độ bảo vệ định ở thời điểm ta mua chứng SSL Chứng cung cấp một lớp bảo mật bổ sung cho liệu nhạy cảm mà ta không muốn cho kẻ tấn công bên thứ ba truy cập vào Việc bảo mật bổ sung vơ quan trọng chạy trang web thương mại điện tử Một số ví dụ: - Khi ta muốn bảo mật việc truyền liệu thẻ tín dụng, địa danh tính thực một người thông tin nhạy cảm khác - Khi ta chạy trang web khách hàng tiềm dựa thơng tin thực đó, trường hợp đó, ta muốn sử dụng HTTPS để bảo vệ chống lại cuộc tấn công độc hại vào liệu người dùng HTTPS đem lại rất nhiều lợi ích giá trị với chi phí nhỏ Nếu khơng có chỉ, bên thứ ba dễ dàng quét kết nối để tìm liệu nhạy cảm Hình 19 Quá trình mã hóa liệu HTTP, HTTPS Nhóm 12 download by : skknchat@gmail.com Bài tập tiểu luận môn ANM - TLS giúp mã hóa HTTPS sử dụng để bảo mật Gmail giao thức khác, TLS sử dụng kỹ thuật mật mã để đảm bảo cho liệu không bị giả mạo từ thời điểm gửi đi, giao tiếp với người thực mà thông tin liên lạc đến để ngăn không cho liệu riêng tư bị phát - Mọi thứ bắt đầu bắt tay TLS, q trình bắt đầu mợt phiên giao tiếp sử dụng mã hóa TLS Đây nơi trình xác thực diễn khóa phiên tạo nên Khi hai thiết bị giao tiếp với khóa phiên hồn tồn tạo, từ hai khóa khác hoạt động Kết trình việc giao tiếp sâu hơn, mã hóa nhiều • Khóa riêng tư: Khóa riêng tư kiểm sốt bởi chủ sở hữu mợt trang web giữ Khóa nằm máy chủ web sử dụng để giải mã thông tin mã hóa bởi khóa cơng khai • Khóa cơng khai: Khóa cơng khai khả dụng cho tất muốn tương tác với máy chủ theo một cách an tồn Thơng tin mã hóa khóa gải mã khóa riêng tư Hình 20 TLS Handshake, FYI - Bước quan trọng nhất kết nối bảo mật HTTPS đàm bảo máy chủ web người mà họ nói Nhóm 12 download by : skknchat@gmail.com Bài tập tiểu luận mơn ANM - Đó lí chứng SSL phần quan trọng nhất thiết lập này, đảm bảo chủ sở hữu máy chủ web người mà họ nói chứng nói Nó hoạt đợng giống cách hoạt đợng lái xe, xác nhận danh tính chủ sở hữu máy chủ - Một lớp bảo vệ khỏi một số loại tấn công nhất định ta triển khai HTTPS, điều làm cho trang web ta trở thành yếu tố có giá trị 2.2 Q trình tấn cơng 2.2.1 Các tấn công SSL Strip Người tọa lỗ hổng dải SSL Moxie Marlinspike, một nhà nghiên cứu bảo mật máy tính tiếng người Mỹ Năm 2009, Moxie đã nói điểm yếu SSL tại kiện bảo mật thông tin Black Hat Theo anh, việc khai thác lỗi hổng dải SSL mối đe dọa lớn quyền riêng tư thông tin đăng nhập xảy thời gian thực ❖ Cách thức hoạt động Để mà “srip” SSL, kẻ tấn cơng can thiệp vào q trình chuyển hướng từ HTTP sang HTTPS an toàn chặn yêu cầu từ người dùng đến máy chủ Sau đó, kẻ tấn công tiếp tục thiết lập kết nối HTTPS kẻ tấn cơng máy chủ, kết nối HTTP khơng an tồn với người dùng, hành đợng mợt “cầu nối” chúng Hình 21 C̣c tấn cơng SSL Strip SSL stripping tận dụng cách mà hầu hết người dùng truy cập vào trang web SSL Phần lớn khách truy cập kết nối với trang trang Nhóm 12 download by : skknchat@gmail.com Bài tập tiểu luận môn ANM web chuyển hướng đường 302 họ đến trang SSL thông qua liên kết từ trang web SSL 2.2.2 Các tấn cơng MITM (Man-in-the-Middle) Các cuộc tấn công mạng MitM (Man-in-the-Miđle) cho phép tội phạm bí mật chặn thơng tin liên lạc thay đổi nội dung họ Tấn công MitM kẻ tấn công ngăn chặn giao tiếp hai bên để bí mật nghe trợm sửa đổi lưu lượng truy cập họ Những kẻ tấn cơng sử dụng MitM để lấy cắp thông tin đăng nhập thông tin cá nhân, theo dõi nạn nhân phá hoại thông tin liên lạc phá hoại liệu ❖ Cách thức hoạt đợng Hình 22 C̣c tấn cơng MitM Như tên MitM yêu cầu hâu có mặt kết nối hai bên để quan sát nạn nhân thao túng lưu lượng truy cập Điều đạt thông qua việc can thiệp vào mạng hợp pháp tạo mạng giả mạo mà kẻ tấn cơng tùy ý kiếm sốt MitM thực thơng qua việc đánh chặn giải mã Đầu tiên, kẻ tấn công chặn mạng người dùng trước đến đích Để kẻ tấn cơng thực mợt c̣c tấn công thu động làm cho điểm truy cập Wi-Fi độc hại cung cấp cho người phương pháp phổ biến nhất để thực bước nói Khi có nạn nhân đã kết nối với một điểm phát xong Wi-Fi độc hại, kẻ tấn công có quyền truy cập vào bất kỳ loại trao dổi liệu trưc tuyến Sau trình đánh chặn, bất kỳ lưu lượng truy cập TLS hai chiều đêì dược giải mã mà khơng cần cảnh báo cho người dùng ứng dụng ❖ Các loại tấn công MitM MitM gồm nhiều loại kỹ thuật tấn công mỗi loại đem kết tiềm năng, tùy thuộc mục tiêu nhắm tới Một số kiểu tấn công MitM: Nhóm 12 download by : skknchat@gmail.com Bài tập tiểu luận mơn ANM • Giả mạo IP: Các thiết bị kết nối với internet có địa giao thức internet (IP), địa IP tương tự địa nhà, đường phố bạn Bằng cách này, kẻ tấn cơng lừa bạn nghĩ bạn tương tác với mợt mợt trang web mà không nghi ngờ người khác mạo danh bạn để thực tương tác, từ tấn công truy cập vào thông tin, liệu nhạy cảm • Giả mạo DNS: Là mợt kỹ thuật ḅc người dùng truy cập vào một trang web giả mạo trang web thật mà người dùng định vào Nan nhân nghĩ truy cạp vào trang web đáng tin, an toan tương tác với kẻ tấn công, Mục tiêu kẻ tấn công chuyển lưu lượng truy cập từ trang web thực chiếm thông tin đăng nhập người dùng • Giả mạo HTTPS: Khi kinh doanh mạng internet, URL có HTTPS cho thấy trang web an tồn tin cậy Từ kẻ tấn cơng đánh lừa trình duyệt bạn tin trình duyệt truy cập vào mợt trang web đáng tin cậy Bằng cách chuyển hướng trình duyệt bạn đến mợt trang web khơng an tồn, kẻ tấn cơng theo dõi tương tác bạn với trang web đánh cắp thơng tin mà bạn chia sẻ • Đánh cắp SSL: Kẻ tấn cơng sử dụng máy tính máy chủ bảo mật khác chặn tất thông tin truyền máy chủ máy tình người dùng tương tác với • Đánh cặp Email: Đơi lúc kẻ tấn công nhắm vào tài khoản email ngân hàng tổ chức tài khác, mục đích theo dõi giao dịch tổ chức khác hàng họ Sau có thơng tin khác hàng, kẻ tấn cơng giả mạo địa email ngân hàng gửi hướng dẫn riêng chúng cho khác hàng Kết một số khác hàng không chú ý đưa tiền vào tay chúng • Nghe trợm Wi-FI: Tội phạm thiết lập kết nối Wi-Fi với nhiều tên hợp pháp miễn phí, Khi người dùng kết nối với Wi-Fi đó, kẻ tấn cơng theo dõi hoặt động trực tuyến người dùng chặn thơng tin đăng nhập Thẻ tín dụng • Đánh cắp cookie trình duyệt: Cooker có chưa mợt phần thơng tin nhỏ mà trang web lưa trữ máy tính Tợi phạm chiếm đoạn cookie trình duyệt Những kẻ tấn cơng có Nhóm 12 30 download by : skknchat@gmail.com Bài tập tiểu luận mơn ANM thể có tài khoản mật khẩu, địa thông tin nhạy cảm khác tại Biện pháp phòng chống Từ phương thức tấn công mạng ta nên đưa biện pháp phòng chống giảm thiểu nguy tấn công 3.1 Cảnh giác với điểm truy cập Wi-Fi mở nơi công cộng Các cuộc tấn công SSL strip, phương pháp phổ biến nhất tạo điểm phát sóng cho nạn nhân tự kết nối với Chúng thường thiết lập điểm truy cập giả mạo với tên tương tự với điểm truy cập hợp pháp Kẻ tấn cơng sử dụng quyền kiểm sốt điểm phát sóng để tấn cơng nạn nhân kết nối với máy chủ 3.2 Tất trang web bật SSL Bật HTTPS mã hóa kết nối trình duyệt trang web nên đảm bảo việc truyền liệu quan trọng Không nên truy cập vào trang web HTTPS chưa bật, HTTP khơng an tồn cho phép bất kì thao túng lưu lượng tại bất kì thời điểm máy tính xách tay trang web Nếu có cố nào, trình duyệt web Chrome, Firebox, Coccoc, … hiển thị thông báo cảnh báo người dùng trình duyệt khơng thể xác minh chứng TLS trang web 3.3 Bật HSTS (Bảo mật truyền tải nghiêm ngặt HTTP) Là chế sách bảo mật web giúp bảo vệ trang web chông lại tấn công mạng chiếm quyền điều khiển cookie SSL stripping Cho phép trang web tương tác vs HSTS kết nối HTTPS an tồn, còn HTTP khơng an tồn khơng 3.4 Cách bảo vệ trước tấn công từ kẻ trung gian - Chắc chắn truy cập vào trang web mà HTTPS ở URL - Nên cài đặt giải pháp bảo mật internet toàn diện, phần mềm Norton Security máy tính mình, ln cập nhật phần mềm đảm bảo an tồn cho máy tinh c̣c tấn công MitM thường sử dụng phần mềm độc hại để thực thi - Đảm bảo Wi-Fi tại nhà bảo mật, cập nhật thông tin bộ định tuyến tất thiết bị kết nối mật mạng nhất Nhóm 12 download by : skknchat@gmail.com Bài tập tiểu luận môn ANM Kết luận Qua nghiên cứu sử dụng công nghệ bảo mật SSL/TLS mạng Internet Những kết mà tiểu luận đã đạt là: Phần I chúng em đưa khái niệm bản, lịch sử đời giao thức SSL/TLS Biết lợi ích giao thức truy nhập Internet Phần II chúng em đã tìm hiểu đặc điểm cách hoạt động SSL/TLS nói chung giao thức bắt tay, ghi nói riêng Từ nắm phương thức ý nghĩa ứng dụng giao thức SSL/TLS để biết cải tiến TLS so với SSL Trong phần IV, chúng em tìm hiểu một số vấn đề bảo mật, cách tấn công biện pháp phòng chống ngăn ngừa Trong phần một số vấn đề bảo mật em có tìm hiểu sơ lược an ninh mạng một số lỗ hổng bảo mật phổ biến Các cách tấn cơng em có tìm hiểu SSL strip MitM từ đưa cách cách phòng chống giảm thiểu nguy bị tấn công Tổng kết lại từ kiến thức được giảng dạy tham khảo, tiểu luận đã giúp chúng em hiểu rõ Giao thức SSL/TLS Do hiểu biết còn hạn hẹp nên tiểu luận khơng tránh khỏi thiếu xót Chúng em rất mong thầy châm trước góp ý Chúng em chân thành cảm ơn! Nhóm 12 download by : skknchat@gmail.com Bài tập tiểu luận môn ANM Tài liệu tham khảo References Gigicert (n.d.) From https://www.websecurity.digicert.com/security-topics/what-is-ssl-tls-https Schoen, S (24/03/2010) New Research Suggests That Governments May Fake SSL Certificates Singel, R (03/04/2010) Law Enforcement Appliance Subverts SSL Thomas, S (25/02/2000) SSL & TLS Essentials Viega, J., Matt Messier, & Pravir Chandra (17/06/2002) Network Security with OpenSSL Wikipedia (n.d.) From https://en.wikipedia.org/wiki/Transport_Layer_Security Nhóm 12 download by : skknchat@gmail.com ... nén gói liệu để nhận gói tin hồn chỉnh * Hai giao thức SSL là: • • Giao thức SSL bắt tay Giao thức SSL ghi Các giao thức SSL 2.1 Giao thức bắt tay Giao thức bắt tay (Handshake protocol) cung cấp... tiểu luận môn ANM Hình 13: Vị trí giao thức ghi SSL Giao thức ghi một tầng giao thức Đối với mỡi tầng giao thức nói chung, mợt gói liệu bao gồm trường độ dài, mô tả nội dung liệu Giao thức ghi... skknchat@gmail.com Bài tập tiểu luận môn ANM Danh mục thuật ngữ viết tắt Tên viết tắt SSL TLS TCP HTTPS IETF MAC URL HSTS LDAP CA Nhóm 12 download by : skknchat@gmail.com Bài tập tiểu luận môn ANM Danh mục bảng