Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 21 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
21
Dung lượng
483,45 KB
Nội dung
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG CƠ SỞ TẠI THÀNH PHỐ HỒ CHÍ MINH TIỂU LUẬN MƠN HỌC MẠNG MÁY TÍNH ĐỀ TÀI: AN NINH MẠNG MÁY TÍNH VÀ GIAO THỨC IPSEC Sinh viên thực hiện: Huỳnh Ngọc Dương Mã số sinh viên: N19DCCN033 Lớp: D19CQCN03-N TPHCM 10/2021 MỤC LỤC I TỔNG QUAN VỀ AN NINH MẠNG .3 An tồn mạng gì? Các đặc trưng kỹ thuật an toàn mạng .4 Các lỗ hổng điểm yếu mạng Các hình thức cơng mạng phổ biến cách phòng tránh .6 II 4.1 Tấn công phần mềm độc hại (Malware) .6 4.2 Tấn công giả mạo (Phishing) 4.3 Tấn công từ chối dịch vụ (Dos Ddos) 4.4 Tấn công trung gian (Man-in-the-middle attack) 11 4.5 Khai thác lỗ hổng Zero-day 12 Giới thiệu chung giao thức IPSec .13 Khái niệm: IPSec gì? .13 Sơ lược lịch sử IPSec 13 III Cấu trúc thông điệp giao thức IPSec phân tích ý nghĩa trường tin .13 Định dạng tiêu đề (AH) 13 Đóng gói tải trọng bảo mật (ESP) 15 Trao đổi khóa Internet (IKE) 16 IV Phương thức hoạt động giao thức IPSec .16 Transport Mode (chế độ vận chuyển) 16 Tunnel mode (chế độ đường hầm) 17 V Kết luận 18 An ninh mạng máy tính .18 Giao thức IPSec 18 CÁC TỪ VIẾT TẮT 19 TÀI LIỆU THAM KHẢO 20 I.TỔNG QUAN VỀ AN NINH MẠNG An tồn mạng gì? Mục tiêu việc kết nối mạng để nhiều người sử dụng, từ vị trí địa lý khác sử dụng chung tài nguyên, trao đổi thông tin với Do đặc điểm nhiều người sử dụng lại phân tán mặt vật lý nên việc bảo vệ tài nguyên thông tin mạng, tránh mát, xâm phạm cần thiết cấp bách An toàn mạng hiểu cách bảo vệ, đảm bảo an toàn cho tất thành phần mạng bao gồm liệu, thiết bị, sở hạ tầng mạng đảm bảo tài nguyên mạng sử dụng tương ứng với sách hoạt động ấn định với người có thẩm quyền tương ứng An tồn mạng bao gồm: Xác định xác khả năng, nguy xâm phạm mạng, cố rủi ro thiết bị, liệu mạng để có giải pháp phù hợp đảm bảo an tồn mạng Đánh giá nguy cơng Hacker đến mạng, phát tán virus Phải nhận thấy an toàn mạng vấn đề quan trọng hoạt động, giao dịch điện tử việc khai thác sử dụng tài nguyên mạng Một thách thức an toàn mạng xác định xác cấp độ an tồn cần thiết cho việc điều khiển hệ thống thành phần mạng Đánh giá nguy cơ, lỗ hổng khiến mạng bị xâm phạm thơng qua cách tiếp cận có cấu trúc Xác định nguy ăn cắp, phá hoại máy tính, thiết bị, nguy virus, bọ gián điệp , nguy xoá, phá hoại CSDL, ăn cắp mật khẩu, nguy hoạt động hệ thống nghẽn mạng, nhiễu điện tử Khi đánh giá hết nguy ảnh hưởng tới an ninh mạng có biện pháp tốt để đảm bảo an ninh mạng Sử dụng hiệu công cụ bảo mật (ví dụ Firewall ) biện pháp, sách cụ thể chặt chẽ Về chất phân loại vi phạm thành hai loại vi phạm thụ động vi phạm chủ động Thụ động chủ động hiểu theo nghĩa có can thiệp vào nội dung luồng thơng tin có bị tráo đổi hay không Vi phạm thụ động nhằm mục đích nắm bắt thơng tin Vi phạm chủ động thực biến đổi, xoá bỏ thêm thông tin ngoại lai để làm sai lệch thơng tin gốc nhằm mục đích phá hoại Các hành động vi phạm thụ động thường khó phát ngăn chặn hiệu Trái lại vi phạm chủ động dễ phát lại khó ngăn chặn Các đặc trưng kỹ thuật an tồn mạng a) Xác thực (Authentification): Kiểm tra tính xác thực thực thể giao tiếp mạng Một thực thể người sử dụng, chương trình máy tính, thiết bị phần cứng Các hoạt động kiểm tra tính xác thực đánh giá quan trọng hoạt động phương thức bảo mật Một hệ thống thông thường phải thực kiểm tra tính xác thực thực thể trước thực thể thực kết nối với hệ thống Cơ chế kiểm tra tính xác thực phương thức bảo mật dựa vào mơ hình sau: Đối tượng cần kiểm tra cần phải cung cấp thơng tin trước, ví dụ Password, mã số thông số cá nhân PIN (Personal Information Number) Kiểm tra dựa vào mơ hình thơng tin có, đối tượng kiểm tra cần phải thể thơng tin mà chúng sở hữu, ví dụ Private Key, số thẻ tín dụng Kiểm tra dựa vào mơ hình thơng tin xác định tính nhất, đối tượng kiểm tra cần phải có thơng tin để định danh tính ví dụ thơng qua giọng nói, dấu vân tay, chữ ký Có thể phân loại bảo mật VPN theo cách sau: mật truyền thống hay mật lần; xác thực thông qua giao thức (PAP, CHAP, RADIUS…) hay phần cứng (các loại thẻ card: smart card, token card, PC card), nhận diện sinh trắc học (dấu vân tay, giọng nói, quét võng mạc ) b) Tính khả dụng (Availability): Tính khả dụng đặc tính mà thơng tin mạng thực thể hợp pháp tiếp cận sử dụng theo yêu cầu, cần thiết nào, hồn cảnh Tính khả dụng nói chung dùng tỷ lệ thời gian hệ thống sử dụng bình thường với thời gian trình hoạt động để đánh giá Tính khả dụng cần đáp ứng yêu cầu sau: Nhận biết phân biệt thực thể, khống chế tiếp cận (bao gồm việc khống chế tự tiếp cận khống chế tiếp cận cưỡng bức), khống chế lưu lượng (chống tắc nghẽn ), khống chế chọn đường (cho phép chọn đường nhánh, mạch nối ổn định, tin cậy), giám sát tung tích (tất kiện phát sinh hệ thống lưu giữ để phân tích nguyên nhân, kịp thời dùng biện pháp tương ứng) c) Tính bảo mật (Confidentialy): Tính bảo mật đặc tính tin tức khơng bị tiết lộ cho thực thể hay q trình khơng uỷ quyền biết khơng đối tượng lợi dụng Thông tin cho phép thực thể uỷ quyền sử dụng Kỹ thuật bảo mật thường phòng ngừa dị la thu thập (làm cho đối thủ khơng thể dị la thu thập thơng tin), phịng ngừa xạ (phòng ngừa tin tức bị xạ nhiều đường khác nhau, tăng cường bảo mật thơng tin (dưới khống chế khố mật mã), bảo mật vật lý (sử dụng phương pháp vật lý để đảm bảo tin tức không bị tiết lộ) d) Tính tồn vẹn (Integrity): Là đặc tính thơng tin mạng chưa uỷ quyền khơng thể tiến hành biến đổi được, tức thông tin mạng lưu giữ trình truyền dẫn đảm bảo khơng bị xố bỏ, sửa đổi, giả mạo, làm rối loạn trật tự, phát lại, xen vào cách ngẫu nhiên cố ý phá hoại khác Những nhân tố chủ yếu ảnh hưởng tới tồn vẹn thơng tin mạng gồm: cố thiết bị, sai mã, bị tác động người, virus máy tính… Một số phương pháp bảo đảm tính tồn vẹn thơng tin mạng: - Giao thức an tồn kiểm tra thơng tin bị chép, sửa đổi hay chép Nừu phát thơng tin bị vơ hiệu hố - Phương pháp phát sai sửa sai Phương pháp sửa sai mã hoá đơn giản thường dùng phép kiểm tra chẵn - lẻ - Biện pháp kiểm tra mật mã ngăn ngừa hành vi xuyên tạc cản trở truyền tin - Chữ ký điện tử: bảo đảm tính xác thực thơng tin - u cầu quan quản lý trung gian chứng minh tính chân thực thơng tin e) Tính khống chế (Accountlability): Là đặc tính lực khống chế truyền bá nội dung vốn có tin tức mạng f) Tính khơng thể chối cãi (Nonreputation): Trong q trình giao lưu tin tức mạng, xác nhận tính chân thực đồng thực thể tham gia, tức tất thực thể tham gia chối bỏ phủ nhận thao tác cam kết thực Các lỗ hổng điểm yếu mạng a) Các lỗ hổng bảo mật hệ thống điểm yếu tạo ngưng trệ dịch vụ, thêm quyền người sử dụng cho phép truy nhập không hợp pháp vào hệ thống Các lỗ hổng tồn dịch vụ Sendmail, Web,Ftp hệ điều hành mạng Windows NT, Windows 95, UNIX; ứng dụng Các loại lỗ hổng bảo mật hệ thống chia sau: Lỗ hổng loại C: cho phép thực phương thức công theo kiểu từ chối dịch vụ DoS (Dinal of Services) Mức nguy hiểm thấp, ảnh hưởng chất lượng dịch vụ, làm ngưng trệ, gián đoạn hệ thống, không phá hỏng liệu chiếm quyền truy nhập Lổ hổng loại B: cho phép người sử dụng có thêm quyền hệ thống mà khơng cần thực kiểm tra tính hợp lệ Mức độ nguy hiểm trung bình, lỗ hổng thường có ứng dụng hệ thống, dẫn đến lộ thơng tin u cầu bảo mật Lỗ hổng loại A: Các lỗ hổng cho phép người sử dụng cho thể truy nhập vào hệ thống bất hợp pháp Lỗ hổng nguy hiểm, làm phá hủy tồn hệ thống b) Các phương thức công mạng: Kẻ phá hoại lợi dụng lỗ hổng để tạo lỗ hổng khác tạo thành chuỗi lỗ hổng Để xâm nhập vào hệ thống, kẻ phá hoại tìm lỗ hổng hệ thống, từ sách bảo mật, sử dụng cơng cụ dị xét (như SATAN, ISS) để đạt quyền truy nhập Sau xâm nhập, kẻ phá hoại tiếp tục tìm hiểu dịch vụ hệ thống, nắm bắt điểm yếu thực hành động phá hoại tinh vi Các hình thức cơng mạng phổ biến cách phịng tránh 4.1 Tấn cơng phần mềm độc hại (Malware) 4.1.1 Tấn công Malware gì? Tấn cơng Malware hình thức công qua mạng phổ biến Malware bao gồm: Spyware (phần mềm gián điệp) Ransomware (mã độc tống tiền) Virus Worm (phần mềm độc hại lây lan với tốc độ nhanh) Thông thường, Hacker tiến hành công người dùng thông qua lỗ hổng bảo mật Hoặc lừa người dùng Click vào đường Link Email (Phishing) để cài phần mềm độc hại tự động vào máy tính Một cài đặt thành công, Malware gây hậu nghiêm trọng: Chặn truy cập vào hệ thống mạng liệu quan trọng (Ransomware) Cài đặt thêm phần mềm độc hại khác vào máy tính người dùng Đánh cắp liệu (Spyware) Phá hoại phần cứng, phần mềm, làm hệ thống bị tê liệt, hoạt động 4.1.2 Cách phòng chống Malware Sao lưu liệu thường xuyên: Việc giúp bạn lo lắng liệu bị phá hủy Thường xuyên cập nhật phần mềm: Các cập nhật phần mềm (trình duyệt, hệ điều hành, phần mềm diệt Virus,…) vá lỗi bảo mật tồn phiên cũ, đảm bảo an tồn thơng tin cho người dùng Cẩn thận với Link File lạ: Đây phương thức lừa đảo phổ biến Hacker Chúng gửi Email nhắn tin qua Facebook, đính kèm Link Download nói File quan trọng chứa nội dung hấp dẫn Khi tải về, File thường nằm dạng docx, xlxs, pptx hay pdf, thực chất File exe (chương trình chạy được) Ngay lúc người dùng Click mở File, mã độc bắt đầu hoạt động 4.2 Tấn cơng giả mạo (Phishing) 4.2.1 Tấn cơng Phishing gì? Phishing (tấn cơng giả mạo) hình thức cơng mạng giả mạo thành đơn vị uy tín để chiếm lòng tin yêu cầu người dùng cung cấp thông tin cá nhân cho chúng Thông thường, Hacker giả mạo ngân hàng, ví điện tử, trang giao dịch trực tuyến công ty thẻ tín dụng để lừa người dùng chia sẻ thơng tin cá nhân như: tài khoản & mật đăng nhập, mật giao dịch, thẻ tín dụng thông tin quan trọng khác Phương thức công thường thực thông qua việc gửi Email tin nhắn Người dùng mở Email Click vào đường Link giả mạo yêu cầu đăng nhập Nếu “cắn câu”, tin tặc có thơng tin cá nhân người dùng tức khắc Phương thức Phishing phát lần vào năm 1987 Thuật ngữ kết hợp từ: Fishing For Information (câu thơng tin) Phreaking (trị lừa đảo sử dụng điện thoại người khác khơng trả phí) Do tương đồng việc “câu cá” “câu thông tin người dùng”, nên thuật ngữ Phishing đời 4.2.2 Các phương thức công Phishing Giả mạo Email Đây hình thức Phishing Tin tặc gửi Email đến người dùng danh nghĩa đơn vị/tổ chức uy tín nhằm dẫn dụ người dùng truy cập đến Website giả mạo Những Email giả mạo thường tinh vi giống với Email chủ, khiến người dùng nhầm lẫn trở thành nạn nhân công Dưới số cách mà tin tặc thường ngụy trang: Địa người gửi (VD: Địa sales.congtyA@gmail.com giả mạo thành sale.congtyA@gmail.com) Thiết kế cửa sổ Pop-up giống hệt gốc (cả màu sắc, Font chữ, …) Sử dụng kỹ thuật giả mạo đường dẫn để lừa người dùng (VD: đường dẫn congtyB.com nhấn vào điều hướng đến contyB.com) Sử dụng hình ảnh thương hiệu tổ chức lớn để tăng độ tin cậy Giả mạo Website Giả mạo Website công Phishing làm giả trang toàn Website Trang làm giả thường trang đăng nhập để cướp thông tin người dùng Website giả thường có đặc điểm sau: Thiết kế giống đến 99% so với Website gốc Đường dẫn khác ký tự (VD: facebook.com fakebook.com, microsoft.com mircosoft.c om,…) Ln có thơng điệp khuyến khích người dùng cung cấp thơng tin cá nhân 4.2.3 Cách phịng chống cơng Phishing Cảnh giác với Email có xu hướng thúc giục bạn nhập thơng tin cá nhân, thông tin nhạy cảm (thông tin thẻ tín dụng, thơng tin tài khoản, ) Khơng Click vào đường dẫn gửi đến Email không chắn an tồn Khơng trả lời thư rác, lừa đảo Ln cập nhật phần mềm, ứng dụng đề phịng lỗ hổng bảo mật bị cơng 4.3 Tấn công từ chối dịch vụ (Dos Ddos) 4.3.1 Tấn công từ chối dịch vụ (Dos Ddos) gì? DoS (Denial of Service) “đánh sập tạm thời” hệ thống, máy chủ mạng nội Để thực điều này, Hacker thường tạo lượng Traffic/Request khổng lồ thời điểm, khiến cho hệ thống bị tải Theo đó, người dùng truy cập vào dịch vụ khoảng thời gian mà công DoS diễn Một hình thức biến thể DoS DDoS (Distributed Denial of Service): Tin tặc sử dụng mạng lưới máy tính (Botnet) để cơng người dùng.vấn đề máy tính thuộc mạng lưới Botnet thân bị lợi dụng trở thành công cụ công 4.3.2 Một số hình thức cơng Ddos Tấn cơng gây nghẽn mạng (UDP Flood Ping Flood) Mục tiêu: Gây tải hệ thống mạng lượng truy cập lớn đến từ nhiều nguồn để chặn truy cập thực người dùng Phương thức: Gây nghẽn đối tượng gói UDP ICMP Tấn cơng SYN flood (TCP) Mục tiêu: Gây cạn tài nguyên máy chủ, ngăn chặn việc nhận yêu cầu kết nối Phương thức: Lợi dụng trình “bắt tay” chặng TCP, gửi yêu cầu SYN đến máy chủ phản hồi gói SYN-ACK Nhưng khơng gửi lại gói ACK, điều khiến cho tài nguyên máy chủ bị sử dụng hết vào việc đợi gói ACK gửi Tấn công khuếch đại DNS Mục tiêu: Làm tải hệ thống phản hồi từ giải mã DNS Phương thức: Mạo danh địa IP máy bị công để gửi yêu cầu nhiều giải mã DNS Các giải mã hồi đáp IP máy có kích thước gói liệu lớn kích thước yêu cầu tới 50 lần 4.3.3 Cách phịng chống cơng Ddos Theo dõi lưu lượng truy cập bạn: Với cách này, bạn phát vụ công DDoS nhỏ mà tin tặc thường dùng để Test lực mạng lưới trước công thật Nếu bạn xác định địa máy tính thực cơng: tạo ACL (danh sách quản lý truy cập) tường lửa để thực chặn IP 4.4 Tấn công trung gian (Man-in-the-middle attack) Tấn cơng trung gian (MitM), cịn gọi công nghe lén, xảy kẻ công xâm nhập vào giao dịch/sự giao tiếp đối tượng Một chen vào thành công, chúng đánh cắp liệu giao dịch 10 4.4.1 Các hình thức cơng trung gian Sniffing: Sniffing Packet Sniffing kỹ thuật sử dụng để nắm bắt gói liệu vào hệ thống Packet Sniffing tương tự với việc nghe trộm điện thoại Sniffing xem hợp pháp sử dụng cách Doanh nghiệp thực để tăng cường bảo mật Packet Injection: Kẻ cơng đưa gói liệu độc hại vào với liệu thông thường Bằng cách này, người dùng chí khơng nhận thấy tệp/phần mềm độc hại chúng đến phần luồng truyền thông hợp pháp Những tập tin phổ biến công trung gian công từ chối dịch vụ Gỡ rối phiên: Bạn gặp thông báo “Phiên hoạt động hết hạn” chưa? Nếu thực toán trực tuyến điền vào biểu mẫu, hẳn bạn biết thuật ngữ Khoản thời gian từ lúc bạn đăng nhập vào tài khoản ngân hàng bạn đến đăng xuất khỏi tài khoản gọi phiên Các phiên mục tiêu tin tặc Bởi chúng có khả chứa thơng tin kín đáo Trong hầu hết trường hợp, Hacker thiết lập diện phiên Và cuối nắm quyền kiểm sốt Các cơng thực thi theo nhiều cách khác Loại bỏ SSL: SSL Stripping SSL Downgrade Attack lồi nói đến công MiTM, nguy hiểm Chứng SSL/TLS giữ liên lạc chúng tơi an tồn trực tuyến thơng qua mã hóa Trong công SSL, kẻ công loại bỏ kết nối SSL/TLS chuyển giao thức từ HTTPS an tồn sang HTTP khơng an tồn 4.4.2 Cách phịng chống công trung gian Đảm bảo Website bạn truy cập cài SSL Không mua hàng gửi liệu nhạy cảm dùng mạng công cộng Không nhấp vào Link Email độc hại 11 Có cơng cụ bảo mật thích hợp cài đặt hệ thống bạn Tăng cường bảo mật cho hệ thống mạng gia đình bạn 4.5 Khai thác lỗ hổng Zero-day 4.5.1 Lỗ hỏng Zero-day gì? Lỗ hổng zero- day (0-day Vulnerability) thực chất lỗ hổng bảo mật phần mềm phần cứng mà người dùng chưa phát Chúng tồn nhiều môi trường khác như: Website, Mobile Apps, hệ thống mạng doanh nghiệp, phần mềm – phần cứng máy tính, thiết bị IoT, Cloud, … 4.5.2 Cách phòng chống Zero-day Thường xuyên cập nhật phần mềm hệ điều hành Triển khai giám sát bảo mật theo thời gian thực Triển khai hệ thống IDS IPS Sử dụng phần mềm quét lỗ hổng bảo mật II Giới thiệu chung giao thức IPSec Khái niệm: IPSec gì? IPSec từ viết tắt thuật Internet Protocol Security, IPSec bao gồm hệ thống giao thức để bảo mật q trình truyền thơng tin tảng Internet Protocol Bao gồm xác thực và/hoặc mã hoá (Authenticating and/or Encrypting) cho gói Internet Protocol q trình truyền thông tin IPSec bao gồm giao thức cung cấp cho mã hoá xác thực, phát triển Internet Engineering Task Force (IETF) Mục đích việc phát triển IPSec cung cấp cấu bảo mật tầng (Network layer) mô hình OSI IPsec phần bắt bược 12 IPv6, lựa chọn sử dụng IPv4 Trong chuẩn thiết kết cho phiên IP giống nhau, phổ biến áp dụng triển khai tảng IPv4 Sơ lược lịch sử IPSec Khi Internet Protocol phát triển vào đầu năm 80, tính bảo mật khơng nằm vị trí ưu tiên cao Tuy nhiên, số lượng người dùng Internet tiếp tục phát triển, nhu cầu bảo mật cao mà ngày tăng Để giải nhu cầu này, Cơ quan An ninh Quốc gia tài trợ cho phát triển giao thức bảo mật vào năm 80, chương trình Secure Data Network Systems (Hệ thống mạng liệu bảo mật) Điều dẫn đến phát triển Security Protocol (Giao thức bảo mật) Layer cuối Network Layer Security Protocol Nhiều kỹ sư làm việc dự án suốt năm 90 IPSec phát triển nhờ nỗ lực IPSec tiêu chuẩn mã nguồn mở phần IPv4 III Cấu trúc thông điệp giao thức IPSec phân tích ý nghĩa trường tin Định dạng tiêu đề (AH) AH phát triển Phịng thí nghiệm Nghiên cứu Hải qn Hoa Kỳ vào đầu năm 1990 phần bắt nguồn từ công việc tiêu chuẩn IETF trước để xác thực Giao thức Quản lý Mạng đơn giản (SNMP) phiên AH thành viên giao thức IPsec AH đảm bảo tính tồn vẹn kết nối cách sử dụng hàm băm khóa chia sẻ bí mật thuật tốn AH AH đảm bảo nguồn gốc liệu cách xác thực gói IP Tùy chọn số thứ tự bảo vệ nội dung gói IPsec chống lại phát công phát lại, cách sử dụng cửa sổ trượt kỹ thuật loại bỏ gói tin cũ Trong IPv4, AH ngăn chặn công chèn tùy chọn Trong IPv6, AH bảo vệ chống lại công chèn tiêu đề công chèn tùy chọn Trong IPv4, AH bảo vệ tải trọng IP tất trường tiêu đề sơ đồ IP ngoại trừ trường thay đổi (tức trường thay đổi chuyển tiếp) tùy chọn IP Tùy chọn bảo mật IP (RFC 1108) Các trường tiêu đề IPv4 thay đổi (và khơng xác thực) DSCP / ToS, ECN, Flags, Fragment Offset, TTL Header Checksum Trong IPv6, AH bảo vệ hầu hết tiêu đề sở IPv6, AH, tiêu đề mở rộng khơng thể thay đổi sau AH tải trọng IP Bảo vệ cho 13 tiêu đề IPv6 loại trừ trường thay đổi: DSCP , ECN , Nhãn dòng Giới hạn Hop AH hoạt động trực tiếp IP, sử dụng giao thức IP số 51 Sơ đồ gói AH sau cho thấy cách gói AH xây dựng diễn giải: Tiêu đề (8 bit) Loại tiêu đề tiếp theo, cho biết giao thức lớp bảo vệ Giá trị lấy từ danh sách số giao thức IP Payload Len (8 bit) Độ dài Tiêu đề xác thực tính đơn vị octet, trừ Ví dụ: giá trị AH × (trường AH có độ dài cố định 32 bit) + × (trường ICV 32 bit) - giá trị AH có nghĩa 24 octet Mặc dù kích thước đo đơn vị octet, độ dài tiêu đề cần phải bội số octet mang gói IPv6 Hạn chế khơng áp dụng cho Tiêu đề xác thực chứa gói IPv4 Để dành (16 bit) Được bảo lưu để sử dụng tương lai (tất số lúc đó) Chỉ số tham số bảo mật (32 bit) Giá trị tùy ý sử dụng (cùng với địa IP đích) để xác định liên kết bảo mật bên nhận Số thứ tự (32 bit) Một số thứ tự đơn điệu tăng nghiêm ngặt (tăng cho gói gửi) để ngăn chặn cơng phát lại Khi tính phát phát lại bật, số thứ tự không sử dụng lại, liên kết bảo mật phải thương lượng lại trước cố gắng tăng số thứ tự vượt giá trị lớn Giá trị kiểm tra tính tồn vẹn (bội số 32 bit) Giá trị kiểm tra độ dài thay đổi Nó chứa phần đệm để chỉnh trường thành ranh giới octet cho IPv6 ranh giới octet cho IPv4 Đóng gói tải trọng bảo mật (ESP) 14 ESP phát triển Phịng thí nghiệm Nghiên cứu Hải quân năm 1992 phần dự án nghiên cứu DARPA phản hồi xuất cơng khai Nhóm cơng tác IETF SIPP soạn thảo vào tháng 12 năm 1993 bảo mật phần mở rộng cho SIPP Đây ESP bắt nguồn từ Bộ Quốc phòng Mỹ SP3D giao thức, bắt nguồn từ ISO Network-Layer Security Protocol (NLSP) Đặc tả giao thức SP3D xuất NIST vào cuối năm 1980, thiết kế dự án Hệ thống Mạng Dữ liệu Bảo mật Bộ Quốc phòng Hoa Kỳ Đóng gói Bảo mật Payload (ESP) thành viên giao thức IPsec Nó cung cấp nguồn gốc xác thực thông qua nguồn xác thực , tính tồn vẹn liệu thơng qua hàm băm bảo mật thơng qua mã hóa bảo vệ cho gói IP ESP hỗ trợ cấu hình mã hóa - xác thực - khơng khuyến khích sử dụng mã hóa mà khơng xác thực khơng an tồn Khơng giống AH, ESP chế độ truyền tải khơng cung cấp tính tồn vẹn xác thực cho tồn gói IP Tuy nhiên, chế độ đường hầm , tồn gói IP ban đầu đóng gói với tiêu đề gói thêm vào, bảo vệ ESP cấp cho tồn gói IP bên (bao gồm tiêu đề bên trong) tiêu đề bên (bao gồm tùy chọn IPv4 bên phần mở rộng IPv6 tiêu đề) không bảo vệ ESP hoạt động trực tiếp IP, sử dụng giao thức IP số 50 Sơ đồ gói ESP sau cho thấy cách gói ESP xây dựng diễn giải: Chỉ số tham số bảo mật (32 bit) Giá trị tùy ý sử dụng (cùng với địa IP đích) để xác định liên kết bảo mật bên nhận Số thứ tự (32 bit) Một số thứ tự tăng đơn điệu (tăng cho gói gửi) để bảo vệ khỏi phát cơng phát lại Có đếm riêng biệt giữ cho hiệp hội bảo mật Dữ liệu tải trọng (biến) 15 Nội dung bảo vệ gói IP gốc, bao gồm liệu sử dụng để bảo vệ nội dung (ví dụ: Vectơ khởi tạo cho thuật toán mật mã) Loại nội dung bảo vệ trường Tiêu đề Tiếp theo Padding (0-255 octet) Đệm để mã hóa, để mở rộng liệu trọng tải đến kích thước phù hợp với kích thước khối mật mã mã hóa để chỉnh trường Chiều dài đệm (8 bit) Kích thước phần đệm (tính octet) Tiêu đề (8 bit) Loại tiêu đề Giá trị lấy từ danh sách số giao thức IP Giá trị kiểm tra tính tồn vẹn (bội số 32 bit) Giá trị kiểm tra độ dài thay đổi Nó chứa phần đệm để chỉnh trường thành ranh giới octet cho IPv6 ranh giới octet cho IPv4 Trao đổi khóa Internet (IKE) IKE hay trao đổi khóa Internet giao thức bảo mật mạng thiết kế để trao đổi khóa mã hóa thông qua cầu nối bảo mật (Security Association - SA) thiết bị Cầu nối bảo mật thiết lập thuộc tính bảo mật chia sẻ thực thể mạng để hỗ trợ giao tiếp an toàn Giao thức quản lý khóa (ISAKMP) cầu nối bảo mật Internet cung cấp khuôn khổ để xác thực trao đổi khóa ISAKMP cho biết cách thiết lập cầu nối bảo mật (SA) cách kết nối trực tiếp hai máy chủ sử dụng IPsec IKE cung cấp khả bảo vệ nội dung gói tin khung mở để triển khai thuật toán tiêu chuẩn SHA MD5 Thuật toán IPSec tạo mã định danh cho gói tin, cho phép thiết bị xác định xem gói tin có hay khơng Các gói khơng phép bị loại bỏ không trao cho người nhận IV Phương thức hoạt động giao thức IPSec Các giao thức IPsec AH ESP triển khai chế độ truyền tải từ máy chủ đến máy chủ, chế độ đường hầm mạng Transport Mode (chế độ vận chuyển) Transport mode cung cấp chế bảo vệ cho liệu lớp cao (TCP, UDP ICMP) Trong Transport mode, phần IPSec header chèn vào phần IP header phần header giao thức tầng trên, hình mơ tả bên dưới, AH ESP đặt sau IP header nguyên thủy Vì có tải (IP payload) mã hóa IP header ban đầu giữ nguyên vẹn Transport mode dùng hai host hỗ trợ IPSec Chế độ transport có thuận lợi thêm vào vài bytes cho packets 16 cho phép thiết bị mạng thấy địa đích cuối gói Khả cho phép tác vụ xử lý đặc biệt mạng trung gian dựa thông tin IP header Tuy nhiên thông tin Layer bị mã hóa, làm giới hạn khả kiểm tra gói Tunnel mode (chế độ đường hầm) Khơng giống Transport mode, Tunnel mode bảo vệ tồn gói liệu Tồn gói liệu IP đóng gói gói liệu IP khác IPSec header chèn vào phần đầu nguyên phần đầu IP.Tồn gói IP ban đầu bị đóng gói AH ESP IP header bao bọc xung quanh gói liệu Tồn gói IP mã hóa trở thành liệu gói IP Chế độ cho phép thiết bị mạng, chẳng hạn router, hoạt động IPSec proxy thực chức mã hóa thay cho host Router nguồn mã hóa packets chuyển chúng dọc theo tunnel Router đích giải mã gói IP ban đầu chuyển hệ thống cuối Vì header có địa nguồn gateway Với tunnel hoạt động hai security gateway, địa nguồn đích mã hóa Tunnel mode dùng hai đầu kết nối IPSec security gateway địa đích thật phía sau gateway khơng có hỗ trợ IPSec 17 V Kết luận An ninh mạng máy tính Xét đến gia tăng nhanh chóng việc triển khai cơng nghệ, an tồn, an ninh mạng trở thành nhu cầu thiết yếu toàn cầu nỗ lực điều chỉnh biện pháp bảo vệ, dù trực tiếp hay gián tiếp, để ngăn chặn hệ thống khỏi cơng mạng An tồn, an ninh mạng bao gồm việc áp dụng trì quy trình liên quan đến việc phát sớm mối đe dọa mạng giảm thiểu rủi ro, điều kiện tiên để áp dụng hệ sinh thái máy tính bền vững có trách nhiệm bảo vệ hoạt động xã hội đại dựa công nghệ Các công an ninh mạng gây ảnh hưởng đến kinh doanh: tài (đánh cắp thông tin, trộm cắp tiền của, gián đoạn giao dịch, hợp đồng, ), danh tiếng ( khách hàng, doanh số, giảm lợi nhuận, ), pháp lý Ngoài cịn ảnh hưởng đến ngành cơng nghiệp khác Vì cần phải biết lỗ hỏng, điểm yếu mạng, hình thức cơng phổ biến biện pháp để tránh bị công mạng Giao thức IPSec Về bản, mã hóa xác thực gói liệu internet Khơng nghi ngờ nữa, IPSec mang lại lợi đáng kể cho môi trường mạng Tuy nhiên, tương tự công nghệ mạng khác, IPSec có ưu nhược điểm riêng Do đó, trước triển khai IPSec, cần phải xem xét ưu nhược điểm chúng - Ưu điểm IPSec Chuẩn giao thức rãnh Hoạt động độc lập cho ứng dụng mức cao Giấu địa mạng, không sử dụng dịch địa mạng NAT Đáp ứng phát triển kỹ thuật mã hóa - Nhược điểm IPSec Không quản lý NSD Không khả tương tác nhà cung cấp 18 Không hỗ trợ giao diện 19 PIN Dos Ddos TCP SYN UDP DNS ICMP IP ACL Mitm SSL TLS IPS IDS IPSec IETF AH IPv DSCP ECN TTL ESP DARPA NLSP IKE ISAKMP SHA MD5 NAT NSD 20 TÀI LIỆU THAM KHẢO Tài liệu mạng máy tính Phạm Thế Quế https://www.ods.vn/tai-lieu/cac-hinh-thuc-tan-cong-mang-pho-bien-hiennay-va-cach-phong-tranh.html https://en.wikipedia.org/wiki/IPsec#Modes_of_operation https://quantrimang.com/ipsec-la-gi-174155 http://www.netone.vn/Trangchu/Hotrokythuat/Kienthuccanban/tabid/366 / arid/1645/Default.aspx 21 ... nối IPSec security gateway địa đích thật phía sau gateway khơng có hỗ trợ IPSec 17 V Kết luận An ninh mạng máy tính Xét đến gia tăng nhanh chóng việc triển khai cơng nghệ, an tồn, an ninh mạng. .. IV Phương thức hoạt động giao thức IPSec Các giao thức IPsec AH ESP triển khai chế độ truyền tải từ máy chủ đến máy chủ, chế độ đường hầm mạng Transport Mode (chế độ vận chuyển) Transport mode... động giao thức IPSec .16 Transport Mode (chế độ vận chuyển) 16 Tunnel mode (chế độ đường hầm) 17 V Kết luận 18 An ninh mạng máy tính .18 Giao thức