(NB) Giáo trình An toàn mạng và bảo mật dữ liệu gồm có những nội dung chính sau: Bài 1 - tổng quan về bảo mật và an toàn mạng; bài 2 – an ninh mạng; bài 3 – mật mã và bảo mật dữ liệu; bài 4 – chứng nhận và quản lý khóa; bài 5 – virus và cách phòng chống. Mời các bạn cùng tham khảo.
ỦY BAN NHÂN DÂN QUẬN GÒ VẤP TRƯỜNG TRUNG CẤP NGHỀ QUANG TRUNG - - GIÁO TRÌNH MƠ ĐUN: AN TỒN MẠNG VÀ BẢO MẬT DỮ LIỆU NGHỀ: QUẢN TRỊ MẠNG MÁY TÍNH TRÌNH ĐỘ: TRUNG CẤP (Lưu hành nội bộ) (Ban hành theo Quyết định số:342/QĐ-QT ngày 28 tháng 10 năm 2021 Trường Trung cấp nghề Quang Trung) Tp.HCM, năm 2021 TUYÊN BỐ BẢN QUYỀN: Tài liệu thuộc loại sách giáo trình nên nguồn thơng tin phép dùng nguyên trích dùng cho mục đích đào tạo tham khảo Mọi mục đích khác mang tính lệch lạc sử dụng với mục đích kinh doanh thiếu lành mạnh bị nghiêm cấm LỜI GIỚI THIỆU Việc tổ chức biên soạn giáo trình An toàn mạng bảo mật liệu nhằm phục vụ cho công tác đào tạo ngành Công nghệ thông tin Trường Trung cấp nghề Quang Trung nói chung chun ngành Quản trị mạng máy tính khoa Cơng nghệ thơng tin (CNTT) nói riêng Giáo trình cố gắng lớn tập thể giáo viên khoa CNTT nhằm bước thống nội dung dạy học mơn An tồn mạng bảo mật liệu Nội dung giáo trình xây dựng nhằm cung cấp kiến thức chuyên ngành hình thức bảo mật mã hố thơng tin nhằm đảm bảo an tồn & bảo mật hệ thống mạng máy tính Giáo trình biên soạn ngắn gọn, dễ hiểu, bổ sung nhiều kiến thức kỹ phù hợp với ngành nghề đào tạo mà khơng trái với chương trình khung đào tạo nhà trường Tuy nhóm tác giả có nhiều cố gắng biên soạn, giáo trình không tránh khỏi khiếm khuyết Rất mong nhận góp ý bạn đọc Tp Hồ Chí Minh, 2021 Tham gia biên soạn Khoa Công Nghệ Thông Tin Trường Trung cấp nghề Quang Trung Địa Chỉ: 689 Quang Trung, Phường 8, quận Gị Vấp, Tp.Hồ Chí Minh Tel: 028 35892025 Chủ biên: Trần Bảo Xuyên Mọi góp ý liên hệ: Ths Phạm Đắc Hậu – Trưởng Khoa Công Nghệ Thông Tin Mobible: 0772 039 527 Email: phdhau@gmail.com – phdhau@yahoo.com MỤC LỤC BÀI - TỔNG QUAN VỀ BẢO MẬT VÀ AN TOÀN MẠNG 1 Giới thiệu Bảo mật mạng BÀI – AN NINH MẠNG Giới thiệu lọc gói IP Chính sách IPSec mặc định 13 Tạo sách IPSec 22 Tạo quy tắc ngăn chặn 25 Tạo quy tắc cấp phép 27 Cấu hình chế độ khởi động IPSec 29 Cấu hình phương pháp chứng thực 31 SSL (Secure sockets layer) 33 Bảo mật thư điện tử (Email Security) mã hóa thơng điệp 34 BÀI – MẬT MÃ VÀ BẢO MẬT DỮ LIỆU 37 Cơ mật mã bảo mật liệu 37 Các dịch vụ, kỹ thuật, thuật toán bảo mật liệu 40 BÀI – CHỨNG NHẬN VÀ QUẢN LÝ KHÓA 44 Quản lý khóa 44 Chứng nhận quyền (Certification Authorities) 45 Khóa Cơ sở liệu / Thư mục (Key Database / Directories) 52 Chữ ký số 53 BÀI – VIRUS VÀ CÁCH PHÒNG CHỐNG 58 Giới thiệu tổng quan virus 58 Cách thức lây lan phân loại virus 59 Ngăn chặn xâm nhập virus 64 PHỤ LỤC HÌNH ẢNH BÀI - TỔNG QUAN VỀ BẢO MẬT VÀ AN TOÀN MẠNG Hình 1- Các hình thức cơng mạng Hình 1- Các mức độ bảo vệ mạng BÀI – AN NINH MẠNG Hình 2- - Cấu trúc gói IP Hình 2- Cấu trúc gói tin Hình 2- Gói tin IP 10 Hình 2- Gói tin UDP 11 Hình 2- Q trình đóng gói UDP 11 Hình 2- Gói TCP 12 Hình 2- Header checksum 13 Hình 2- Option 13 Hình 2- Manage ip filter list 14 Hình 2- 10 Manage ip filter lists and filter actions 14 Hình 2- 11 IP filter list 14 Hình 2- 12 Filter wizard 15 Hình 2- 13 IP trafice destination 15 Hình 2- 14 IP protocol type 15 Hình 2- 15 IP protocol port 16 Hình 2- 16 IP filter list 16 Hình 2- 17 Manage filter actions 17 Hình 2- 18 Filter action name 17 Hình 2- 19 Filter action general options 18 Hình 2- 20 Create ip security policy 18 Hình 2- 21 IP security policy name 18 Hình 2- 22 Rules 19 Hình 2- 23 Network type 19 Hình 2- 24 IP filter list 19 Hình 2- 25 Filter Action 20 Hình 2- 26 New rule properties 20 Hình 2- 27 New ip security policy properties 20 Hình 2- 28 Truy cập modem 21 Hình 2- 29 Giao diện quản trị 21 Hình 2- 30 Cấu hình Firewall 21 Hình 2- 31 Ipsec modes 22 Hình 2- 32 Ipsec tunnel 23 Hình 2- 33 Encapsulating Security Payload 23 Hình 2- 34 Five steps of IPSec 25 Hình 2- 35 Dual home host 27 Hình 2- 36 Cấu hình Rule (Truong Phong) 28 Hình 2- 37 Qui định loại nội dung rule 28 Hình 2- 38 Cấu hình rule (Nhan Vien) 29 Hình 2- 39 Mơ hình triển khai IPSec 29 BÀI – MẬT MÃ VÀ BẢO MẬT DỮ LIỆU Hình 3- Q trình mã hóa 39 Hình 3- Mã hóa đối xứng 41 Hình 3- Mã hóa bất đối xứng 42 BÀI – CHỨNG NHẬN VÀ QUẢN LÝ KHĨA Hình 4- DNS manager 45 Hình 4- Kerberos properties 45 Hình 4- Select server roles 46 Hình 4- Select role services 47 Hình 4- Installation progress 47 Hình 4- Credentials 47 Hình 4- Role services 48 Hình 4- Setup type 48 Hình 4- CA type 48 Hình 4- 10 Private key 49 Hình 4- 11 Cryptography for CA 49 Hình 4- 12 CA name 49 Hình 4- 13 Validity period 50 Hình 4- 14 CA database 50 Hình 4- 15 Confirmation 50 Hình 4- 16 Results 50 Hình 4- 17 Tools 51 Hình 4- 18 Cerfiticate Authority local 51 Hình 4- 19 User properties 51 Giáo trình An toàn mạng bảo mật liệu BÀI - TỔNG QUAN VỀ BẢO MẬT VÀ AN TOÀN MẠNG Mã bài: MĐ20 - 01 ❖ Giới thiệu: - Bài trình bày kiến thức tổng quan An tồn mạng hình thức cơng vào hệ thống mạng; triển khai giải pháp bảo vệ Bài trình bày thành mục xếp sau: Giới thiệu Bảo mật mạng ❖ Mục tiêu: - Xác định thành phần hệ thống bảo mật; - Trình bày hình thức cơng vào hệ thống mạng ❖ Nội dung chính: Giới thiệu 1.1 Đối tượng cơng mạng (Intruder) - Là cá nhân tổ chức sử dụng kiến thức mạng công cụ phá hoại (phần mềm phần cứng) để dị tìm điểm yếu, lỗ hổng bảo mật hệ thống, thực hoạt động xâm nhập chiếm đoạt tài nguyên mạng trái phép - Một số đối tượng công mạng là: - Hacker: Là kẻ xâm nhập vào mạng trái phép cách sử dụng công cụ phá mật khai thác điểm yếu thành phần truy nhập hệ thống - Masquerader: Là kẻ giả mạo thông tin mạng Một số hình thức giả mạo giả mạo địa IP, tên miền, định danh người dùng - Eavesdropping: Là đối tượng nghe trộm thông tin mạng, sử dụng công cụ sniffer; sau dùng cơng cụ phân tích debug để lấy thơng tin có giá trị - Những đối tượng cơng mạng nhằm nhiều mục đích khác nhau: ăn cắp thơng tin có giá trị kinh tế, phá hoại hệ thống mạng có chủ định, hành động vô ý thức, thử nghiệm chương trình khơng kiểm tra cẩn thận 1.2 Các lỗ hổng bảo mật: - Các lỗ hổng bảo mật điểm yếu hệ thống ẩn chứa dịch vụ mà dựa vào kẻ cơng xâm nhập trái phép để thực hành động phá hoại chiếm đoạt tài nguyên bất hợp pháp Khoa Công nghệ thông tin – TCN Quang Trung Trang Giáo trình An tồn mạng bảo mật liệu - Nguyên nhân gây lỗ hổng bảo mật khác nhau: lỗi thân hệ thống, phần mềm cung cấp, người quản trị yếu không hiểu sâu sắc dịch vụ cung cấp - Mức độ ảnh hưởng lỗ hổng khác Có lỗ hổng ảnh hưởng tới chất lượng dịch vụ cung cấp, có lỗ hổng ảnh hưởng nghiêm trọng tới toàn hệ thống 1.3 Một số hình thức cơng mạng - Dựa vào lỗ hổng bảo mật mạng: Những lỗ hổng điểm yếu dịch vụ mà hệ thống cung cấp; Ví dụ kẻ công lợi dụng điểm yếu dịch vụ mail, ftp, web để xâm nhập phá hoại Hình 1- Các hình thức cơng mạng Sử dụng cơng cụ để phá hoại: Ví dụ sử dụng chương trình phá khố mật để truy nhập vào hệ thống bất hợp pháp; Lan truyền virus hệ thống; cài đặt đoạn mã bất hợp pháp vào số chương trình - Nhưng kẻ cơng mạng kết hợp hình thức với để đạt mục đích - Mức (Level 1): Tấn công vào số dịch vụ mạng: Web, Email, dẫn đến nguy lộ thơng tin cấu hình mạng Các hình thức cơng mức dùng DoS spam mail - Mức (Level 2): Kẻ phá hoại dùng tài khoảng người dùng hợp pháp để chiếm đoạt tài nguyên hệ thống; (Dựa vào phương thức cơng bẻ khố, đánh cắp mật ); kẻ phá hoại thay đổi quyền truy nhập hệ Khoa Công nghệ thông tin – TCN Quang Trung Trang Giáo trình An tồn mạng bảo mật liệu thống qua lỗ hổng bảo mật đọc thông tin tập tin liên quan đến truy nhập hệ thống /etc/passwd - Từ Mức đến mức 5: Kẻ phá hoại không sử dụng quyền người dùng thơng thường; mà có thêm số quyền cao hệ thống; quyền kích hoạt số dịch vụ; xem xét thơng tin khác hệ thống - Mức 6: Kẻ công chiếm quyền root hệ thống Bảo mật mạng 2.1 Các mức bảo vệ an toàn mạng - Vì khơng có giải pháp an tồn tuyệt đối nên người ta thường phải sử dụng đồng thời nhiều mức bảo vệ khác tạo thành nhiều lớp "rào chắn" hoạt động xâm phạm Việc bảo vệ thông tin mạng chủ yếu bảo vệ thơng tin cất giữ máy tính, đặc biệt server mạng Hình sau mơ tả lớp rào chắn thông dụng để bảo vệ thơng tin trạm mạng Hình 1- Các mức độ bảo vệ mạng Như minh hoạ hình trên, lớp bảo vệ thơng tin mạng gồm: - Lớp bảo vệ quyền truy nhập nhằm kiểm soát tài nguyên (ở thơng tin) mạng quyền hạn (có thể thực thao tác gì) tài nguyên Hiện việc kiểm sốt mức áp dụng sâu tệp - Lớp bảo vệ hạn chế theo tài khoản truy nhập gồm đăng ký tên/ mật tương ứng Đây phương pháp bảo vệ phổ biến đơn giản, tốn có hiệu Mỗi người sử dụng muốn truy nhập vào mạng sử dụng tài nguyên phải có đăng ký tên mật Người quản trị hệ thống có trách nhiệm quản lý, kiểm sốt hoạt động mạng xác định quyền truy nhập người sử dụng khác tuỳ theo thời gian không gian Khoa Công nghệ thông tin – TCN Quang Trung Trang Giáo trình An tồn mạng bảo mật liệu - Lớp thứ ba sử dụng phương pháp mã hoá (encryption) Dữ liệu biến đổi từ dạng "đọc được" sang dạng không "đọc được" theo thuật tốn Chúng ta xem xét phương thức thuật toán mã hoá sử dụng phổ biến phần - Lớp thứ tư bảo vệ vật lý (physical protection) nhằm ngăn cản truy nhập vật lý bất hợp pháp vào hệ thống Thường dùng biện pháp truyền thống ngăn cấm người khơng có nhiệm vụ vào phịng đặt máy, dùng hệ thống khố máy tính, cài đặt hệ thống báo động có truy nhập vào hệ thống - Lớp thứ năm: Cài đặt hệ thống tường lửa (firewall), nhằm ngăn chặn thâm nhập trái phép cho phép lọc gói tin mà ta khơng muốn gửi nhận vào lý 2.2 Các phương thức mã hoá - Một biện pháp bảo mật thường sử dụng áp dụng chế mã hố Sau phân tích số chế mã hố đảm bảo tính an toàn tin cậy liệu thường sử dụng dịch vụ mạng Internet - Đặc điểm chung phương thức mã hóa: ▪ Trong phương thức mã hóa, phương thức chủ yếu tập trung giải vấn đề sau: ✓ Authentication - Hoạt động kiểm tra tính xác thực thực thể giao tiếp ✓ Authorization - Hoạt động kiểm tra thực thể có phép thực quyền hạn cụ thể ✓ Confidential - Tính bảo mật; Xác định mức độ bảo mật phương thức bảo mật ✓ Integrity - Tính tồn vẹn: Kiểm tra tính tồn vẹn liệu sử dụng phương thức bảo mật cụ thể ✓ Nonrepudiation - Tính khơng thể phủ nhận Xác định tính xác thực chủ thể gây hành động ✓ Availability - Khả thực phương thức bảo mật mơi trường điều kiện thực tế - Authentication: ▪ Là hoạt động liên quan đến kiểm tra tính đắn thực thể giao tiếp mạng Một thực thể người, chương trình máy tính, thiết bị phần cứng Các hoạt động kiểm tra tính xác thực đánh giá quan trọng hoạt động phương thức bảo mật Một hệ thống thông thường phải thực kiểm tra tính xác thực thực thể trước thực thể thực kết nối với hệ thống Cơ chế kiểm tra tính xác thực Khoa Công nghệ thông tin – TCN Quang Trung Trang ... khơng có quyền liệu Có thể bảo mật liệu theo kiến trúc end-to-end link-by-link Với mơ hình end-to-end, liệu bảo mật tồn trình xử lý, lưu truyền mạng; Với mơ hình link-by-link liệu bảo vệ đường... 51 Hình 4- 18 Cerfiticate Authority local 51 Hình 4- 19 User properties 51 Giáo trình An tồn mạng bảo mật liệu BÀI - TỔNG QUAN VỀ BẢO MẬT VÀ AN TOÀN MẠNG Mã bài: MĐ20 - 01 ❖ Giới... tin – TCN Quang Trung Trang 11 Giáo trình An tồn mạng bảo mật liệu Hình 2- Gói TCP - Sequence number : đơn vị tính octect , cho biết vị trí byte trường data luồng liệu truyền Trường có giá trị