CHƯƠNG V MẠNG DIỆN RỘNG GV Lê Văn Hùng 1 ThS Lê Văn Hùng Gi ng viênả Khoa HTTTQL H c vi n Ngân hàngọ ệ Hungolympia2001@gmail com Chương 6 – An ninh mạng máy tính Ph n 1ầ Các m c b o v an toàn thông ti[.]
Chương – An ninh mạng máy tính Phần ThS Lê Văn Hùng Giảng viên Khoa HTTTQL Học viện Ngân hàng Hungolympia2001@gmail.com GV: Lê Văn Hùng Các mức bảo vệ an tồn thơng tin mạng Các mức bảo vệ an tồn thơng tin mạng Quyền truy cập Quyền truy cập cấp cho người dùng ứng dụng cho phép thao tác tài ngun mạng ví dụ đọc, thêm, xóa tập tin máy tính Quyền truy cập gắn với máy trạm, máy chủ cụ thể, thư mục máy chương trình cụ thể tập tin liệu Mã hóa Mã hóa q trình thay đổi thơng tin theo cách làm cho khơng thể đọc trừ người có quyền Mã hóa thường sử dụng thuật toán phương pháp mật mã Các mức bảo vệ an tồn thơng tin mạng Bảo vệ vật lý Bảo mật vật lý bảo vệ phần cứng, liệu, mạng từ hoàn cảnh vật lý kiện gây thiệt hại cho quan, tổ chức An ninh vật lý thường bị đánh giá thấp bị bỏ qua Có ba cách để bảo vệ vật lý: Đầu tiên, tạo trở ngại cho kẻ công tiềm Các biện pháp bao gồm sử dụng nhiều ổ khóa, hàng rào Thứ hai, sử dụng hệ thống giám sát thông báo, chẳng hạn hệ thống phát xâm nhập, báo động, camera, thiết bị cảm biến Thứ ba, phương pháp thực để bắt kẻ cơng khơi phục nhanh chóng từ tai nạn, hỏa hoạn, thiên tai Các mức bảo vệ an tồn thơng tin mạng Tường lửa -Tường lửa chương trình phần mềm hay thiết bị phần cứng dùng để điều khiển truy cập tài nguyên mạng Tường lửa dùng để ngăn chặn xâm nhập trái phép lọc luồng dư liệu độc hại -Tường lửa thường cài mạng để bảo vệ mạng chống lại đe dọa từ bên ngồi, ví dụ đe dọa từ môi trường internet Tường lửa dùng để bảo vệ thông lượng, dải băng mạng riêng để người có quyền làm việc -Chúng ta nên cài tường lửa máy trạm máy chủ Cài tường lửa máy trạm giúp chống lại đe dọa từ internet, từ mạng nội thành phần khác mạng Các mức bảo vệ an tồn thơng tin mạng Quyền hạn tối thiểu (Least Privilege) Mỗi chương trình người sử dụng hệ thống nên hoạt động cách sử dụng quyền hạn tối thiểu cần thiết để hồn thành cơng việc Ngun tắc làm hạn chế thiệt hại mà kết tai nạn lỗi Nó làm giảm số lượng tương tác tiềm quyền hạn chương trình mức tối thiểu cho hoạt động xác, sử dụng khơng chủ ý, không mong muốn, không quyền hạn có khả xảy Bảo vệ theo chiều sâu ( Defence in Depth ) Các mức bảo vệ an tồn thơng tin mạng 4.Tính đơn giản Giữ thứ đơn giản phần quan trọng an tồn liệu Nó làm cho chúng dễ hiều, dễ quản lý dễ khắc pục cố Khi thứ phức tạp làm cho khó hiểu, khó quản lý phức tạp sử lý cố Thêm khó xác định hệ thống phức tạp đủ an tồn hay chưa Sự đơn giản khơng phải ln ln đạt đặc biệt hạ tầng mạng phần mềm Khi lựa chọn giải pháp đơn giản giải pháp phức tạp giải pháp đơn giản dễ thực dễ kiểm định mức độ an toàn Nút thắt: Nút thắt buộc tất luồng, hoạt động phải qua đường đơn kênh Đường dùng để điều khiển tiêu thụ băng thông, lọc nội dung cung cấp dịch vụ xác thực Các mức bảo vệ an tồn thơng tin mạng 5.Liên kết yếu Độ an toàn chuỗi độ an tồn liên kết yếu Độ an toàn sở hạ tầng độ an tồn thành phần yếu Một liên kết yếu xuất Lặp lại vịng để tìm liên kết yếu cải tiến Liên kết yếu tránh khỏi liên kết yếu mạnh tốt liên kết yếu yếu Hỏng an toàn: Hỏng an toàn phương pháp phổ biến để đảm bảo an toàn cho hệ thống Các mức bảo vệ an tồn thơng tin mạng 6.Sự đa dạng bảo vệ - Sự dạng bảo vệ tương tự bảo vệ theo chiều sâu khơng sử dụng lớp khác mà sử dụng loại bảo vệ khác - Thực đúng, đa dạng bảo vệ tạo nên khác biệt đáng kể an ninh hệ thống Tuy nhiên, nhiều nỗ lực để tạo đa dạng bảo vệ không đặc biệt hiệu Một lý thuyết phổ biến sử dụng loại khác hệ thống - Ví dụ, kiến trúc có hai hệ thống lọc gói, tăng tính đa dạng bảo vệ cách sử dụng hệ thống từ nhà cung cấp khác Nếu toàn hệ thống nhau, biết cách đột nhập vào số chúng biết cách đột nhập vào tất hệ thống Các mức bảo vệ an tồn thơng tin mạng - Sử dụng hệ thống bảo mật từ nhà cung cấp khác làm giảm nguy gây lỗi phổ biến lỗi cấu hình Tuy nhiên, có đánh đổi độ phức tạp chi phí Mua sắm lắp đặt nhiều hệ thống khác khó khăn hơn, nhiều thời gian hơn, đắt so với mua sắm lắp đặt hệ thống đơn - Nếu không cẩn thận, tạo đa dạng yếu thay đa dạng bảo vệ Nếu có hai lọc gói khác nhau, số chúng sử dụng trước, sau sử dụng cịn lại giúp bảo vệ điểm yếu - Nếu có hai lọc gói tin khác nhau, lọc riêng biệt cho phép lưu lượng vào, sau sử dụng sản phẩm khác làm cho dễ bị tổn thương hai lọc thay Một số giao thức an ninh Internet Giao thức SSL (Secure Socket Layer) - SSL giao thức cung cấp truyền tin cậy thiết bị đầu cuối SSL record cung cấp dịch vụ an ninh cho giao thức tầng có HTTP Một số giao thức an ninh Internet - Các thành phần SSL gồm ba giao thức tầng cao hơn: Handshake Protocol, The Change Cipher Spec Protocol Alert Protocol - SSL connection (SLL liên kết): cung cấp dịch vụ thích hợp Các liên kết SSL quan hệ ngang hàng Các liên kết tạm thời kết hợp với phiên - SSL session (phiên làm việc): Một phiên làm việc SSL kết hợp client server Một phiên tạo giao thức Handshake Protocol Các phiên xác định tập tham số an toàn bảo mật mà chia sẻ liên kết Một số giao thức an ninh Internet 1.1 SSL Record * Giao thức SSL Record cung cấp hai dịch vụ cho SSL liên kết: Tính bảo mật: Giao thức Handshake Protocol xác định khóa bí mật chia sẻ sử dụng cho mã hóa liệu Tính tồn vẹn: Giao thức Handshake Protocol xác định khóa bí mật chia sẻ sử dụng để tạo mã xác thực thông tin * Hoạt động SSL Record: Truyền liệu: chia liệu thành phần nhỏ, nén liệu, tạo mã xác thực, mã hóa, đặt tiêu đề (header) truyền phần liệu Nhận liệu: Giải mã, xác thực, giải nén, hợp liệu truyền liệu lên tầng Một số giao thức an ninh Internet 1.2 Giao thức The Change Cipher Spec Protocol -The Change Cipher Spec Protocol giao thức đơn giản ba giao thức SSL Giao thức gồm thông điệp chứa byte đơn với giá trị Mục đích byte để thể trạng thái 1.3 Giao thức Alert Protocol -Giao thức Alert Protocol sử dụng để chuyển cảnh báo đến thực thể ngang hàng -Mỗi thông điệp giao thức gồm byte Byte chứa giá trị để thông báo mức độ nghiêm trọng Nếu byte có giá trị SSL kết thúc liên kết Các liên kết khác phiên tiếp tục khơng thiết lập thêm liên kết Byte thứ hai chứa mã cảnh báo đặc biệt Một số giao thức an ninh Internet 1.4 Giao thức Handshake Protocol Phần phức tạp SSL giao thức Handshake Protocol Giao thức cho phép server client xác thực lẫn thỏa thuận thuật tốn khóa mã hóa để bảo vệ liệu Giao thức Handshake Protocol sử dụng trước truyền liệu - Giao thức Handshake protocol gồm bốn giai đoạn * Giai đoạn 1: Thiết lập Giai đoạn thiết lập liên kết logic mức độ bảo mật server client * Giai đoạn 2: Xác thực server trao đổi khóa Server xác thực giai đoạn tạo khóa cơng cộng gửi cho client Một số giao thức an ninh Internet * Giai đoạn 3: Xác thực client trao đổi khóa Client kiểm tra thông tin nhận từ server Client gửi cho server thông điệp xác nhận trạng thái thông tin mà nhận Sau client gửi tiếp thơng điệp mà nội dung phụ thuộc vào kiểu khóa trao đổi * Giai đoạn 4: Kết thúc Client gửi thơng điệp kết thúc bao gồm thuật tốn mới, khóa bí mật Thơng điệp kết thúc thơng báo q trình trao đổi khóa xác thực thành công Một số giao thức an ninh Internet Giao thức HTTPS - Giao thức HTTPS kết hợp hai giao thức HTTP SSL TLS để đảm bảo an toàn truyền thông web server web browser Tải FULL (36 trang): https://bit.ly/3orLrXK Dự phòng: fb.com/TaiHo123doc.net - Khởi tạo liên kết Client khởi tạo liên kết với server cổng thích hợp sau gửi thơng điệp TSL ClientHello để bắt đầu thử tục “bắt tay” Khi thủ tục “bắt tay” kết thúc, client khởi tạo yêu cầu HTTP Một số giao thức an ninh Internet - Một liên kết HTTPS có ba mức: Ở tầng HTTP, HTTP client yêu cầu liên kết với HTTP server việc gửi yêu cầu đến tầng thấp TCP SSL/TLS Ở tầng TLS, phiên thiết lập TLS client TLS server Một yêu cầu TLS thực cần liên kết thực thể TCP client TCP server Tải FULL (36 trang): https://bit.ly/3orLrXK Dự phịng: fb.com/TaiHo123doc.net - Đóng liên kết HTTP client HTTP server yêu cầu đóng liên kết Việc đóng kết nối HTTP yêu cầu đóng liên kết thực thể tầng TLS đóng liên kết tầng TCP Q trình đóng liên kết tầng TLS TCP thực cách gửi thông điệp yêu cầu “đóng liên kết” thực thể tầng Một số giao thức an ninh Internet Giao thức SSH (Secure Shell) - SSH giao thức truyền thơng an tồn mạng SSH thiết kế đơn giản không đắt cài đặt Phiên SSH1 tập trung vào đăng nhập từ xa an toàn thay cho Telnet đăng nhập khác mà khơng an tồn - SSH sử dụng cho truyền file email SSH phiên xem xét số lỗ hổng bảo mật - SSH client server ứng dụng rộng rãi hệ điều hành Nó trở thành phương thức lựa chọn cho đăng nhập từ xa trở thành ứng dụng phổ biến cho cơng nghệ mã hóa bên ngồi hệ thống nhúng - SSH gồm ba giao thức SSH Transport layer protocol, SSH User authentication protocol SSH connection protocol Các giao thức chạy phía giao thức TCP 4358441 ... -Chúng ta nên cài tường lửa máy trạm máy chủ Cài tường lửa máy trạm giúp chống lại đe dọa từ internet, từ mạng nội thành phần khác mạng Các mức bảo vệ an tồn thơng tin mạng Quyền hạn tối thiểu... pháp mật mã Các mức bảo vệ an tồn thơng tin mạng Bảo vệ vật lý Bảo mật vật lý bảo vệ phần cứng, liệu, mạng từ hoàn cảnh vật lý kiện gây thiệt hại cho quan, tổ chức ? ?An ninh vật lý thường bị đánh... bảo vệ an tồn thơng tin mạng Các mức bảo vệ an tồn thơng tin mạng Quyền truy cập Quyền truy cập cấp cho người dùng ứng dụng cho phép thao tác tài ngun mạng ví dụ đọc, thêm, xóa tập tin máy tính