Mục lục Contents GIAO THỨC AN TOÀN MẠNG CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN MẠNG Các khái niệm chung: - An tồn máy tính: khái niệm chung để công cụ thiết kế nhằm bảo vệ liệu máy tính - An tồn mạng máy tính: Việc sử dụng rộng rãi hệ thống phân tán, mạng máy tính thiết bị truyền thơng để vận chuyển bảo vệ liệu máy tính - Hai trạng thái liệu: + Được lưu trữ + Đường truyền kênh - Ba khía cạnh attt + Các cơng + Các dịch vụ at + Các kỹ thuật at Trình bày công bị động công chủ động, cho ví dụ - Khái niệm cơng: hành động dẫn đến lộ thông tin tổ chức - Tấn cơng (attack) hoạt động có chủ ý kẻ phạm tội lợi dụng thương tổn hệ thống thông tin tiến hành phá vỡ tính sẵn sàng, tính tồn vẹn tính bí mật hệ thống thông tin Tấn công bị động a) Tấn công bị động: Là kiểu công chặn bắt thông tin nghe trộm quan sát truyền tin - Mục đích kẻ cơng biết thông tin truyền mạng - Tấn công bị động khó bị phát chúng khơng thay đổi Tấn công chặn bắt thông tin liệu Khai thác nội dung thông điệp Phân tích dịng liệu b) Tấn cơng chủ động: Là công sửa đổi luồng liệu hay tạo luồng liệu giả, chia làm loại nhỏ sau: • Giả mạo (Masquerade): Một thực thể (người dùng, máy tính, chương trình, ) giả mạo thực thể khác • Phát lại (Replay): Thụ động bắt thơng báo sau truyền lại nhằm đạt mục đích bất hợp pháp • Sửa đổi thông báo (Modification of messages): Một phận thông báo hợp lệ sửa đổi thông báo bị làm trễ thay đổi trật tự để đạt mục đích bất hợp pháp • Từ chối dịch vụ: Ngăn cấm việc sử dụng bình thường quản lý tiện ích truyền thơng - Tấn công chủ động dễ phát lại khó ngăn chặn tuyệt đối, địi hỏi việc bảo vệ vật lý tất phương tiện truyền thông lúc, nơi Tấn công chủ động Ngăn chặn thơng tin ( tính sẵn sàng ) Thay đổi thơng tin ( tính tồn vẹn) Chèn thơng tin giả ( tính tồn vẹn) - c) Một số kỹ thuật cơng mạng Tấn cơng thăm dị Tấn cơng sử dụng mã độc Tấn công xâm nhập Tấn công từ chối dịch vụ Tấn công sử dụng kỹ nghệ xã hội Các dịch vụ an toàn kỹ thuật an toàn mạng, khái niệm giao thức an toàn a) Các dịch vụ an toàn mạng: - K/n: Là dịch vụ nâng cao an toàn hệ thống xử lý liệu truyền tin tổ chức Các dịch vụ nhằm chống lại công tin tặc sử dụng hay nhiều chế an toàn để cung cấp dịch vụ Có thể phân loại sau: - Dịch vụ bảo mật: Nhằm chống lại công thụ động vào liệu kênh truyền Đối với loại đánh cắp nội dung thơng tin, vài mức bả vệ Đây loại dịch vụ nhằm bảo vệ liệu kênh hai người dùng khoảng thời gian - Dịch vụ xác thực: Dịch vụ xác thực liên quan đến việc xác thực truyền thông Trong trường hợp nhận thông báo, dịch vụ xác thực đảm bảo người nhận xác thực nguồn gốc thông báo Trong trường hợp tương tác diễn khoảng thời gian dịch vụ xác thực đảm bảo:  Tại thời điểm thiết lập kết nối, dịch vụ xác thực đảm bảo hai thực thể tham gia kết nối xác thực lẫn  Trong thời gian kết nối, dịch vụ đảm bảo khơng thể có bên thứ ba đóng giả hai thực thể truyền thơng hợp pháp - Dịch vụ đảm bảo tính tồn vẹn:  Đảm bảo tính tồn vẹn hướng kết nối đảm bảo dòng liệu nhận gửi bị lặp lại, chèn thêm vào, thay đổi, thay đổi trật tự gửi lại Dịch vụ nhắm vào thay đổi dòng liệu vấn đề từ chối dịch vu  Đảm bảo tính tồn vẹn khơng kết nối liên quan với thông báo riêng rẽ nói chung nhằm chống lại việc thay đổi nội dung thông báo - Dịch vụ chống chối bỏ: nhằm ngăn chặn người gửi người nhận chối bỏ việc gửi thông báo nhận thông báo Như thông báo gửi, người nhận chúng minh người gửi thông báo Tương tự, thông báo nhận, người gửi chứng minh người nhận thơng báo - Dịch vụ kiểm sốt truy cập: nhằm hạn chế kiểm soát truy cập tới hệ thống máy chủ ứng dụng qua kênh truyền thông - Dịch vụ đảm bảo tính sẵn sàng: Đảm bảo ngăn ngừa phục hồi lại sẵn sang tài nguyên hệ thống Bí mật Mơ hình an tồn Truy nhập Mơ hình vi phạm b) Các kỹ thuật an toàn mạng: - Sẵn K/n: sànglà kỹ thuật thiết kế để phát hiện, ngăn ngừa loại bỏ Toàn vẹn Sửa đổi Phá hoại công - Định danh: việc gắn định danh cho người dùng kiểm tra tồn định danh Các kỹ thuật an toàn bao gồm: - Cấp quyền: việc xác định chủ thể xác thực phép thực thao tác lên đối tượng hệ thống - Xác thực: trình kiểm tra tính chân thực danh tính xác lập q trình định danh - Mã hóa: phương pháp để biến thơng tin từ định dạng bình thường sang dạng thông tin hiểu khơng có phương tiện giải mã - Ký: Chữ ký điện tử thông tin kèm theo liệu nhằm mục đích xác định người chủ liệu - Cơng chứng: c) - Các khái niệm giao thức an toàn mạng: Một giao thức an toàn (giao thức mật mã) giao thức trừu tượng hay cụ thể mà thực chức liên quan đến an toàn áp dụng phương pháp mật mã Nó thường kết hợp với khía cạnh sau: • Trao đổi, thỏa thuận khóa • Xác thực thực thể • Mã hóa đối xứng xác thực thơng báo • An tồn truyền thơng liệu mức ứng dụng • Các phương pháp chống chối bỏ - Giao thức an toàn mạng kiểu giao thức mật mã sử dụng để bảo vệ liệu máy tính liệu truyền thơng - Một số tác vụ giao thức an toàn mạng thường bảo mật việc truyền file, giao dịch Web mạng riêng ảo: • Giao thức xác thực • Giao thức VPN • Giao thức an tồn email • Giao thức an tồn mạng không dây CHƯƠNG 2: CÁC GIAO THỨC XÁC THỰC Khái niệm xác thực, giao thức xác thực, thuật ngữ sử dụng giao thức xác thực - Xác thực: hành vi xác nhận thật thuộc tính kiện tổ chức Điều liên quan đến việc xác nhận danh tính người chương trình phần mềm, liệu máy tính, truy tìm nguồn gốc vật đảm bảo sản phẩm cơng bố cơng khai - Giao thức xác thực: kiểu giao thức mật mã với mục đích xác thực thực thể có nhu cầu truyền thơng an tồn, có nhiều kiểu giao thức xác thực(như AKA, CRAM-MD5, CAVE-based authentication….) - Một số thuật ngữ: • Authenticator: điểm cuối liên kết yêu cầu xác thực Authenticator coi Network Access Server (NAS) RADIUS client • Supplicant: thực thể xác thực Authenticator Supplicant kết nối với Authenticator điểm cuối phân đoạn LAN kiểu điểm- điểm liên kết khơng dây 802.11 • Network Access Server (NAS): Server cung cấp dịch vụ truy cập vào mạng NAS coi Authenticator RADIUS client • Authentication Server : Server xác thực thực thể cung cấp dịch vụ xác thực tới Authenticator Dịch vụ kiểm tra yêu cầu định danh từ Supplicant • Peer: Điểm cuối khác két nối PPP, phân đoạn LAN kiểu điểm- điểm, liên kết không dây Peer xác thực Authenticator • AAA (Authentication, Authorization, Accouting): cung cấp mơ hình, hạ tầng cho chế điều khiển truy nhập mạng Các dịch vụ điều khiển truy nhập mạng cung cấp AAA là:  Authentication: dịch vụ kiểm tra định danh người dùng thiết bị  Authorization: dịch vụ gán quyền cho yêu cầu truy nhập mạng  Accouting: kiểm tốn, phân tích tính cước,… Các giao thức xác thực: PAP/CHAP, KERBEROS, EAP, RADIUS, Chuẩn 802.1x a) PAP (Password Authentication Protocol): • Các đặc điểm bản: - PAP (Password Authentication Protocol, RFC1334): giao - thức bắt tay hai chiều có sử dụng mật Xác thực dựa mật giao thức mà hai thực thể chia sẻ - mật trước sử dụng mật sở xác thực PAP sử dụng giao thức PPP để xác nhận người dùng trước cho phép họ truy cập vào tài nguyên hệ thống • Các thành phần - Client (Remote User) Server (Authenticator) • Cơ chế hoạt động PAP thực hai bước xác thực sau: 10 + Kiểm sốt truy cập khơng tiếp tục + Khi STA xác thực gắn kết với AP attacker gửi thơng điệp sử dụng địa MAC STA + Việc phát lại thơng điệp STA xảy • Về vấn để tồn vẹn liệu: Sử dụng mã kiểm tra CRC-32 • Về vấn đề mã hóa: Sử dụng mã hóa yếu RC4, độ dài khóa 40bit 104 bít Sử dụng IV có độ dài 24 bít( cỡ 17tr giá trị IV, STA tr trung bình 500 frame(có độ dài tối đa giây số lượng IV sư dụng khoảng 7h, IV bị lặp lại sau 7h) • Vấn đề khóa: Sử dụng khóa chia sẻ trước, khơng có trao đổi khó tự động, khơng có cách quản lý sở khóa an tồn, khơng làm khóa cách an tồn • Vấn đề chống công phát lại: WEP không thiết kế để chống cơng phát lại  WPA Độ an tồn - Phân phối khóa hiệu - Giới thiệu giao thức TKIP cải tiến so với WEP + Xác thực mạnh với 802.1x EAP + Tăng độ dài IV độ dài khóa mã 104 bít + Sử dụng thuật tốn tồn vẹn Michael Ưu điểm - Giải vấn đề WEP cách giới thiệu khái niệm PTK kiến trúc khóa sử dụng hàm dẫn xuất khóa thay ghép nối khóa trực tiếp để tạo khóa cho gói tin 71 Nhược điểm - Chia sẻ khóa trước: WPA sử dụng chế độ chia sẻ khóa trước, dễ bị cơng - Tồn vẹn liệu: Sử dụng thuật tốn Michael- 64 bit để xác thực, tốt mã kiểm tra CRC32 - Mã hóa: Sử dụng mã hóa yếu RC4  WPA2 Độ an toàn WPA2 = RSN: Mã hóa: o Sử dụng thuật tốn AES • Chế độ CCMP (Counter mode (CRT) CBC-MAC) (bắt buộc) • Cần phần cứng hỗ trợ AES Giao thức TKIP (RC4 => chạy phần cứng cũ, Michael, vá lỗ hổng WEP) (tùy chọn) Xác thực: o 802.1X/EAP (TKIP, EAP-TLS) Toàn vẹn: o CCMP (Counter Mode CBC-MAC Protocol) = CRT + CBC-MAC o Chống công phát lại: – Dùng số thứ tự gói tin (48 bit) – PN để ngăn chặn cơng phát lại • An tồn chống cơng ngắt kết nối hủy xác thực • An tồn cho truyền thơng ngang hàng (chế độ(Ad-hoc)WPA2 (802.11i) Ưu điểm Chống công phát lại: – Dùng số thứ tự gói tin (48 bit) – PN để ngăn chặn cơng phát lại • An tồn chống công ngắt kết nối hủy xác thực • An tồn cho truyền thơng ngang hàng (chế độ(Ad-hoc)WPA2 (802.11i) Nhược điểm 72 26.So sánh khác ba giao thức WEP- WPA- WPA2/ WEP-WPA So sánh WEP- WPA- WPA2 WEP RC4 Mã hóa Quay vịng khóa Phân phối khóa Xác thực Khơng Gõ tay vào thiết bị Dùng WEP WPA RC4 với TKIP Các khóa phiên động Phân phối tự động WPA2 AES Có thể dung 802.1x & EAP Có thể dung 802.1x & EAP Các khóa phiên động Phân phối tự động So sánh WEP- WPA- 802.11i Trao đổi phân phối khóa WEP Trao đổi thay đổi khóa thủ cơng WPA Trao đổi khóa tự động, mặc định 600s trao đổi PTK GTK, ngày trao đổi lại PMK, GMK 802.11i Trao đổi khóa tự động, mặc định 600s trao đổi lại PTK GTK, ngày trao đổi lại PMK GMK 73 Thuật tốn mã hóa Độ dài khóa Độ dài IV Khóa mã hóa/gói tin Toanf vẹn cho phần Header Toàn vẹn liệu RC4 RC4 AES-ở chế độ CCM 40 bít, 104 bít mã hóa, 32 bít xác thực CRC 24 bít 128 bít mã hóa, 64 bít xác thực Michae l 128 48 bít Mỗi gói tin sử dụng giá trị IV CRC32 Sử dụng hàm trộn TKIP 128 bít IV cho AES CBCMAC thay đổi 48 bít, 128 bít Counter cho AESCTR thay đổi 16 bít (đủ lớn max=(64*7395*8/128)=2958 khối 128 bít) Khơng cần thiết CRC32 Địa nguồnđích bảo vệ thuật tốn Michae l Mã MICsử dụng thuật tốn Michae Tồn vẹn theo CBC-MAC Tồn vẹn theo CBC-MAC 74 Replay Khơn g l Có Có So sánh WEP- WPA- WPA2 WEP WPA WPA2 Là thành phần tùy chọn Tiêu chuẩn an ninh wifi alliance đặt Tương tự WPA Khuyến nghị nên sd xác thực 802.1X/EAP để nhận khóa tự động, có hỗ trợ Tương tự WPA tiêu IEEE 802.11 chuẩn Khóa WEP đc cấu hình thủ cơng AP STA cài đặt thủ công WEP Sử dụng mã hóa dịng Tương tự WEP Sử dụng mã hóa khối, có hỗ trợ mã hóa dịng Mã hóa gói tin dựa vào thay đổi giá trị IV, giá trị đc kết hợp trực tiếp với PMK để hình thành khóa Sd phương pháp mã hóa liên tiếp phức tạp hơn, qt tạo khóa có thơng qua khóa trung gian PTK Tương tự WPA 75 Độ dài khóa nhỏ, 64 bít 128 bit Độ dài khóa lớn, kết hợp nhiều thành phần thơng Tương tự WPA tin để sinh khóa Sd thuật tốn CRC để ktra Sd thuật toán Michael để Sd CCMP/AES để tính tính tồn vẹn dl, độ tin cậy thấp tính toán mã MIC Độ tin cậy cao CRC mã MIC, độ tin cậy cao K có khả xác thực chiều Hỗ trợ khả xác thực chiều, sd IEEE Tương tự WPA 802.1X/EAP Phương pháp đơn giản, k yc cao lực phần Phức tạp WEP k yc cao phần cứng cứng Thích hợp vs mạng quy mơ nhỏ Phù hợp mạng quy mơ nhỏ trung bình Phức tạp, yc cao lực xử lý phần cứng Thiwchs hợp với mạng quy mô lớn doanh nghiệp 76 So sánh WEP WPA WEP Chia sẻ khóa bí mật (manual key sharing) Mã pháp RC4 Sinh khóa gói tin cách ghép nối IV trực tiếp với khóa chia sẻ trước Hạn chế khơng gian khóa ( khóa tĩnh, IV ngắn, phương pháp sinh sử dụng khóa trực tiếp), việc thay đổi IV tùy chọn Thuật tốn khóa vẹn liệu CRC32, khơng xác thực header Khơng có giải pháp chống công replay Không hỗ trợ mạng STA xác thực mạng WLAN WPA Sử dụng 802.1x EAP cho xác thực thỏa thuận khóa tự động Nhưng hỗ trợ manual key sharing giống WEP Mã pháp RC4 Giải vấn đề WEP cách (a) giới thiệu khái niệm PTK kiến trúc khóa (b) sử dụng hàm dẫn xuất khóa thay ghép nối trực tiếp để tạo khóa mã cho gói tin Tăng kích cỡ IV lên 48 bít, sử dụng PTK để la,f tươi khóa cho phiên liwwn lạc, làm tăng khơng gian khóa IV đưuọc đặt thiết lập PTK Thuật tốn tồn vẹn liệu Michael, xác thực địa nguồn đích Sử dụng IV số thứ tự để chống công replay Sử dụng 802.1x EAP cho phép xác thực hai chiều 77 27 Bổ sung Các nâng cấp TKIP để khắc phục điểm yếu WEP Điểm yếu Sự tương quan IV với khóa yếu Tấn cơng phát lại Dễ bị giả mạo Nâng cấp Hàm trộn khóa cho mơi gói tin Đánh số thứ tự IV MIC 78 ... Tấn công xâm nhập Tấn công từ chối dịch vụ Tấn công sử dụng kỹ nghệ xã hội Các dịch vụ an toàn kỹ thuật an toàn mạng, khái niệm giao thức an toàn a) Các dịch vụ an toàn mạng: - K/n: Là dịch vụ. .. thống thông tin Tấn công bị động a) Tấn công bị động: Là kiểu công chặn bắt thông tin nghe trộm quan sát truyền tin - Mục đích kẻ công biết thông tin truyền mạng - Tấn cơng bị động khó bị phát chúng... thuật at Trình bày cơng bị động cơng chủ động, cho ví dụ - Khái niệm công: hành động dẫn đến lộ thông tin tổ chức - Tấn cơng (attack) hoạt động có chủ ý kẻ phạm tội lợi dụng thương tổn hệ thống