1. Trang chủ
  2. » Công Nghệ Thông Tin

Chapter 01

28 0 0
Chapter 01

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

Tổng quan Đầu tiên, chúng ta sẽ tìm hiểu về tam giác CIA nó ko phải là tên viết tắt của tổ chức tinh báo Mỹ v Nó là Confidentiality( bí mật), Integrity(toàn vẹn) and Availability(sẵn sàng) Confidentia[.]

Tổng quan Đầu tiên, tìm hiểu tam giác CIA ko phải tên viết tắt tổ chức tinh báo Mỹ :v Nó Confidentiality( bí mật), Integrity(tồn vẹn) and Availability(sẵn sàng) Confidentiality (bí mật): liệu cần bí mật riêng tư, bạn chủ sở hữu bạn không xem Integrity (tồn vẹn): liệu thay đổi tác giả, trình truyền liệu khơng thêm vào hay xóa Availability (sẵn sàng): người dùng yêu cầu liệu phải đáp ứng Ví dụ bạn đặt password kết hợp chữ, số, ký tự đặt biệt tăng tính bảo mật bạn khó để nhớ cần sử dụng bạn khó khăn Authenticity ( xác thực): xác thực người dùng xác thực đầu vào đáng tin cậy Accountability (trách nhiệm): hành động thực thể truy tìm cần thiết kết thực thể Có dạng cơng: Passive (bị động): thu thập thông tin hệ thống không ảnh hưởng đến tài nguyên hệ thống loại thường gặp dạng là: lấy cắp nội dung tin nhắn phân tích lưu lượng truy cập dạng phịng Dễ ngừng khó phát -> trọng phòng chống Active (chủ động): thay đổi tài nguyên hệ thống ảnh hưởng đến hoạt động Các loại thường gặp dạng này: (Masquerade) giả danh, (Replay) gửi lại gói tin, (Modification of mesages) thay đổi nội dung tin nhắn, (Denial of service) từ chối dịch vụ dạng cần phải phát xâm nhập khơi phục lại hệ thống Khó ngừng dễ phát -> trọng detect recovery Security Services (X.800) Authentication ( Xác thực): đảm bảo thực thể giao tiếp điều xác Trong trường hợp tin nhắn nhất, đảm bảo tin nhắn từ nguồn xác thực Trong trường hợp tương tác liên tục, đảm bảo thực thể xác thực kết nối khơng có can thiệp bên thứ ba, người giả mạo bên giao tiếp Hai dịch vụ chứng thực cụ thể quy định X.800:  Xác thực thực thể Peer  Xác thực nguồn gốc liệu Access Control ( kiểm soát truy cập): ngăn ngừa việc sử dụng tài nguyên trái phép Có khả hạn chế kiểm soát truy cập vào hệ thống máy chủ ứng dụng liên kết thơng tin Vì vậy, truy cập phải xác định xác thực, phân quyền cho cá nhân Data Confidentiality ( Bí mật liệu): bảo vệ liệu không bị tiết lộ trái phép.Bảo vệ truyền liệu khỏi kiểu công thụ động: dịch vụ rộng bảo vệ tất liệu truyền user khoảng thời gian; dạng hẹp bảo vệ tin nhắn đơn trường cụ thể tin nhắn Data Integrity ( toàn vẹn liệu): đảm bảo liệu nhận gửi thực thể có thẩm quyền Áp dụng cho dịng tin nhắn, tin nhắn đơn, trường chọn tin nhắn Đảm bảo tin nhắn nhận không bị trùng lặp, thêm, thay đổi, xếp lại, replay Non-Repudiation (chống chối bỏ): bảo vệ chống việc chối bỏ giao tiếp Khi thông điệp gửi, người nhận chứng minh người gửi bị cáo buộc thực tế gửi tin nhắn Khi nhận tin nhắn, người gửi chứng minh người nhận cáo buộc thực tế nhận tin nhắn Availability(sẵn sàng): tài nguyên truy cập/ sử dụng Câu 1: What is the OSI security architecture ? Kiến trúc bảo mật OSI khuôn khổ mà cung cấp cách có hệ thống quy định yêu cầu cho bảo mật mơ tả đặc tính phương pháp tiếp cận để đáp ứng yêu cầu Tài liệu định nghĩa công an ninh, chế, dịch vụ, mối quan hệ loại Câu 2: What is the difference between passive and active security threats ? Sol : Các công thụ động phải thực với nghe trộm, giám sát, truyền Thư điện tử, chuyển file, trao đổi client / server (Electronic mail, file transfers, and client/server exchanges ) ví dụ truyền theo dõi Các cơng chủ động : bao gồm việc sửa đổi liệu truyền nỗ lực để đạt quyền truy cập trái phép vào hệ thống máy tính Câu 3: List and briefly define categories of passive and active security attacks Sol : công thụ động: release nội dung tin nhắn phân tích lưu lượng công chủ động: giả danh (masquerade), phát lại (replay), sửa đổi thông điệp (modification messages), từ chối dịch vụ (denial of service) Câu : liệt kê định nghĩa ngắn gọn loại dịch vụ an ninh ? + Authentication (Sự xác thực) : đảm bảo giao tiếp đối tượng tun bố + Access Control (Kiểm sốt truy cập): Phịng chống việc sử dụng trái phép tài nguyên + Data Confidentiality (Bảo mật liệu) – bảo vệ liệu khơng bị tiết lộ trái phép + Data Integrity (Tồn vẹn liệu) - Đảm bảo liệu nhận gửi đơn vị có thẩm quyền + Non-Repudiation (Khơng thối thác) - bảo vệ chống lại từ chối bên giao tiếp + Availability – tài nguyên truy cập / hữu dụng Câu : liệt kê định nghĩa ngắn gọn loại chế bảo mật ? (security mechanisms)  Security mechanisms: Được biết đến kiểm soát (control)  Security mechanisms: Tính thiết kế để phát (detect), ngăn chặn (prevent), phục hồi (recover) từ cơng an ninh  Khơng có chế mà hỗ trợ tất dịch vụ cần thiết  Tuy nhiên yếu tố đặc biệt làm tảng cho nhiều chế bảo mật sử dụng: kỹ thuật mã hóa Chương Kỹ thuật mã hóa cổ điển Tìm hiểu về: mã hóa đối xứng, kỹ thuật thay thế, kỹ thuật chuyển vị, Steganography (loại chèn thơng điệp vào thư, hình ảnh, chèn vào thứ quen thuộc mà khơng ngờ tới) Có yêu cầu cho việc bảo mật mã hóa: Cần giải thuật mã hóa hóa mạnh Người gửi người nhận phải trao đổi khóa cách an tồn phải giữ bí mật khóa Nếu người khám phá khóa biết giải thuật, tất giao tiếp bị phá vỡ Phân loại: Theo tổ chức mã hóa: thay chuyển vị, kết hợp Theo khóa: 1, Theo xử lý plaintext: block(khối), stream(bit) Tân công Crytanalysis (phân tích mã hóa) Brute-force(Qt cạn): Crytanalysis: Tấn cơng dựa vào tính chất thuật tốn cộng với số kiến thức đặc điểm chung rõ Tấn công khai thác đặc điểm thuật toán để cố gắng để suy luận rõ cụ thể để suy khóa sử dụng.( dựa vào điểm yếu thuật toán) Brute-force: Kẻ cơng cố gắng khóa phần ciphertext thu plaintext Tính trung bình, nửa số tất khóa phải cố gắng để đạt thành cơng.( dựa vào điểm yếu khóa) Kỹ thuật thay thế: Là chữ plaintext thay chữ khác số ký hiệu Plaintext xem chuỗi bit, sau thay bao gồm việc thay mẫu bit plaintext với mẫu ciphertext bit Kỹ thuật chuyển vị: Một loại khác đồ đạt cách thực số loại hoán vị chữ plaintext Rail Fence: For example, to encipher the message “meet me after the toga party” with rail fence of depth 2, we write the following(chuyển vị) mematrhtgpry etefeteoaat  The encrypted message is: MEMATRHTGPRYETEFETEOAAT Caesar Cipher(thay thế): plain: meet me after the toga party cipher: PHHW PH DIWHU WKH WRJD SDUWB Monoalphabetic Ciphers: Dễ phá ảnh hưởng tần suất xuất chữ Playfair Ciphers: Dựa vào matrix 5x5 Vigenère Cipher: Ma trận bảng chữ Steganography: Một thay cho mã hóa Giấu tồn tin: sử dụng mực vô hình, trốn LSB hình ảnh đồ họa file âm thanh, ẩn "tiếng ồn" Specific Security Mechanisms (Cơ chế bảo mật cụ thể) • Encipherment (Mã hóa) • Digital signatures (chữ ký số) • Access controls (kiểm sốt truy cập) • Data integrity (Tồn vẹn liệu) • Authentication exchange ( Trao đổi xác thực) • Traffic padding ( đệm lưu lượng) • Routing control (Kiểm sốt định tuyến) • Notarization (Cơng chứng) Pervasive Security Mechanisms (Cơ chế bảo mật phổ biến ) • trusted functionality (chức đáng tin cậy) • security labels (nhãn an ninh) • event detection (phát kiện) • security audit trails (con đường kiểm tra an ninh) • security recovery (phục hồi an ninh) A Model for Network Security Sử dụng mơ hình địi hỏi chúng ta:  Thiết kế thuật tốn thích hợp cho việc chuyển đổi an ninh  Tạo thơng tin bí mật (các khóa) sử dụng thuật tốn  Phát triển phương pháp để phân phối chia sẻ thơng tin bí mật Block Ciphers + DES Phân biệt Block cipher Stream cipher: block cipher khối plaintext mã hóa tạo ciphertext có độ dài 1block thường 64 128 bits stream cipher mã hóa liệu số dòng 1bit 1byte thời điểm Nguyên lý Block Cipher: Dựa vào a Feistel Cipher Structure Cần thiết phải giải mã ciphertext để khơi phục tin nhắn hiệu Giống thay vùng rộng lớn Cần 264 entries cho 64-bit block DES sinh từ năm 1977 DES sử dụng 64bits-block khóa 56bits-key + bit khác sử dụng bit chẵn lẻ đơn giản thiết lập tùy tiện Sử dụng 16 Round cho mã hóa Ngày nay, AES thay cho DES Chapter 03: Mã hóa key cơng khai Người dùng có khóa public private Khi A gửi liệu cho B, A dùng public key B để mã hóa B dùng private key B để giải mã liệu nhận Khi A muốn ký chữ ký số cho mình: A dùng private key cuả ký vào, bên B dùng public key A để kiểm tra chữ ký số Ngày nay, thường dùng khóa cơng khai để mã hóa key mã hóa đối xứng Vì giải thuật mã hóa khóa cơng khai sử dụng tốt mã hóa lượng liệu nhỏ, liệu lớn thường tốn nhiều thời gian Giải thuật RSA dựa độ khó việc “phân tích số nguyên tố” Chapter 04A: Hàm Hash Đặc điểm: Giá trị hàm Hash giá trị có độ dài xác định độ dài tin nhắn Hàm Hash dùng để xác định toàn vẹn liệu Hash functions dùng để chức khác: Phát xâm nhập hay virus Tạo one-way password file Collision Resistant Attacks: Bằng cách tìm H(x)=H(y); có xác suất thực m/2 SHA1: 160bits Chapter 04B: Message Authetication Codes(MAC) Message authentication chế dịch vụ sử dụng để xác minh tính tồn vẹn thơng điệp Xác định liệu khơng bi sửa đổi, xóa replay danh tính người gửi xác thực MAC thuật toán mà yêu cầu sử dụng khóa bí mật MAC có thơng điệp có độ dài biến đổi khóa bí mật đầu vào tạo mã xác thực Cách Một: MAC kết hợp hàm băm số trường hợp với khóa bí mật Cách khác: sử dụng mã hóa khối đối xứng cách mà tạo output có độ dài cố định từ input độ dài biến đổi Message Authentication Requirements: Disclosure: phát hành nội dung tin nhắn cho người q trình khơng sở hữu chìa khóa mã hóa thích hợp Traffic analysis: phát mơ hình lưu lượng bên Masquerade: đầu vào tin nhắn từ nguồn gian lận Content modification: Những thay đổi nội dung tin nhắn, bao gồm chèn, xóa, chuyển vị, sửa đổi Sequence modification: Bất kỳ sửa đổi cho chuỗi thông điệp bên, bao gồm chèn, xóa, xếp lại Timing modification: Delay phát lại tin nhắn Source repudiation: nguồn thối Destination repudiation: đích thối MAC : đảm bảo message từ nguồn không bị sửa đổi; xác thực trình tự thời hạn;chữ ký số đảm bảo chống chối bỏ từ nguồn đích Hash function: Một chức mà ánh xạ tin nhắn có độ dài thành giá trị hash Message authentication code (MAC) Một function thơng điệp khóa bí mật tạo value độ dài cố độ dài dài cố định phục vụ xác thực định phục vụ xác thực Brute-Force Attacks(Two lines of attack): Attack the key space • If an attacker can determine the MAC key then it is possible to generate a valid MAC value for any input x Attack the MAC value • Objective is to generate a valid tag for a given message or to find a message that matches a given tag Cryptanalysis Cryptanalytic attacks seek to exploit some property of the algorithm to perform some attack other than an exhaustive search An ideal MAC algorithm will require a cryptanalytic effort greater than or equal to the brute-force effort There is much more variety in the structure of MACs than in hash functions, so it is difficult to generalize about the cryptanalysis of MACs Chapter 05: Chữ ký số Chữ ký số công cụ xác thực để người tạo message đính kèm code mà hoạt động chữ ký ngồi đời thật Thông thường chữ ký tạo cách hash of the message and encrypting the message with the creator’s private key Chữ ký số đảm bảo nguồn toàn vẹn tin nhắn, sử dụng secure hash algorithm(SHA) Attacks and Forgeries(tấn công giả mạo chữ ký): Attacks:key-only attack, known message attack,generic(chung) chosen message attack, directed(hướng) chosen message attack, adaptive(thích nghi) chosen message attack Break success levels: total break,selective forgery(giả mạo chọn lựa), existential forgery(giả mạo hữu) Digital Signature Requirements: phải phụ thuộc vào thông điệp ký phải sử dụng thông tin cảu người gửi • để ngăn chặn hai giả mạo phủ nhận phải tương đối dễ dàng để sản xuất phải tương đối dễ dàng để nhận xác minh tính tốn để khơng thể giả mạo(computationally infeasible to forge): • với message trường hợp tồn chữ ký số • với chữ ký số giả mạo cho thông điệp đưa be practical save digital signature in storage Direct Digital Signatures: liên quan đến người gửi người nhận giả định người nhận có khóa cơng khai người gửi Confidentiality: mã hóa với key tạo Handshake Protocol; thông điệp nén trước mã hóa AES, IDEA, RC2-40, DES-40, DES, 3DES, Fortezza, RC440, RC4-128 message integrity: MAC; similar to HMAC but with different padding Change Cipher Spec Protocol: The Change Cipher Spec Protocol ba giao thức SSL-cụ thể mà sử dụng SSL Record Protocol, đơn giản Mục đích tin nhắn để gây trạng thái chờ đợi để chép vào tình trạng tại, cập nhật mật mã sử dụng kết nối SSL Alert Protocol: Được sử dụng để chuyển tải thông báo SSL-liên quan đến thực thể ngang hàng Như với ứng dụng khác có sử dụng SSL, thông điệp cảnh báo nén mã hóa SSL Handshake Protocol: ( bắt tay): most complex part of SSL is the Handshake Protocol Cho phép server client: • để xác nhận lẫn • để đàm phán mật mã thuật toán MAC • Đàm phán khóa mật mã sử dụng để bảo vệ liệu gửi ghi SSL Bao gồm loạt tin nhắn giai đoạn • Thiết lập khả bảo mật • Authentication Server Exchange Key • Client Authentication Exchange Key • Finish Cryptographic tính tốn Hai hạng mục tiếp tục quan tâm: việc tạo bí mật tổng thể chia sẻ phương tiện trao đổi khóa • lần giá trị 48-byte • tạo cách sử dụng trao đổi khóa an tồn (RSA / Diffie Hellman) sau băm thơng tin hệ thơng số mật mã bí mật từ bậc thầy • khách hàng bí mật ghi MAC, máy chủ viết bí mật MAC, khách hàng ghi chính, máy chủ ghi trọng, khách hàng ghi IV, máy chủ ghi IV • tạo cách băm mật chủ TLS TLS sáng kiến tiêu chuẩn IETF mà mục đích để tạo phiên tiêu chuẩn Internet SSL với khác biệt nhỏ • in record format version number • sử dụng HMAC cho MAC • hàm giả ngẫu nhiên bí mật mở rộng dựa HMAC sử dụng SHA-1 MD5 • có mã cảnh báo thêm • số thay đổi thuật tốn mã hóa hỗ trợ • Những thay đổi loại giấy chứng nhận đàm phán • Những thay đổi tính tốn mật mã & đệm HTTPS HTTPS (HTTP over SSL) • combination of HTTP & SSL/TLS to secure communications between browser & server documented in RFC2818 no fundamental change using either SSL or TLS use https:// URL rather than http:// • and port 443 rather than 80 encrypts • URL, document contents, form data, cookies, HTTP headers connection initiation • TLS handshake then HTTP request(s) connection closure • have “Connection: close” in HTTP record • TLS level exchange close_notify alerts • can then close TCP connection • must handle TCP close before alert exchange sent or completed SH (Secure Shell)  protocol for secure network communications • designed to be simple & inexpensive  SSH1 provided secure remote logon facility • replace TELNET & other insecure schemes • also has more general client/server capability  SSH2 fixes a number of security flaws  documented in RFCs 4250 through 4254  SSH clients & servers are widely available  method of choice for remote login/ X tunnels SSH Transport Layer Protocol  server authentication occurs at transport layer, based on server/host key pair(s) • server authentication requires clients to know host keys in advance  packet exchange • establish TCP connection • can then exchange data  identification string exchange, algorithm negotiation, key exchange, end of key exchange, service request • using specified packet format SSH User Authentication Protocol  authenticates client to server  three message types: • SSH_MSG_USERAUTH_REQUEST • SSH_MSG_USERAUTH_FAILURE • SSH_MSG_USERAUTH_SUCCESS  authentication methods used • public-key, password, host-based SSH Connection Protocol  runs on SSH Transport Layer Protocol  assumes secure authentication connection  used for multiple logical channels • SSH communications use separate channels • either side can open with unique id number • flow controlled • have three stages:  opening a channel, data transfer, closing a channel • four types:  session, x11, forwarded-tcpip, direct-tcpip Port Forwarding  convert insecure TCP connection into a secure SSH connection • SSH Transport Layer Protocol establishes a TCP connection between SSH client & server • client traffic redirected to local SSH, travels via tunnel, then remote SSH delivers to server  supports two types of port forwarding • local forwarding – hijacks selected traffic • remote forwarding – client acts for server Chapter 08: IP Security IP security khả năng thêm vào version Internet Protocol (IPv4 ỏ IPv6) cách thêm headers Chức năng: xác thực(authentication); Confidentiality(bảo mật); key management (quản lý khóa) Chức xác thực sử dụng HMAC message authentication code Xác thực áp dụng cho tồn gói IP ban đầu (chế độ đường hầm) đến tất gói tin ngoại trừ tiêu đề IP (transport mode) Tính bí mật cung cấp định dạng mã hóa gọi đóng gói tải trọng an ninh(encapsulating security payload) Cả hai tunnel transport mode cung cấp IKE định nghĩa số kỹ thuật để quản lý khoá IP Security Tổng quan  Năm 1994, Hội đồng Kiến trúc Internet (IAB) đưa báo cáo có tựa đề "An ninh kiến trúc Internet" (RFC 1636)  Báo cáo xác định khu vực quan trọng cho chế bảo mật  Trong số cần thiết để bảo đảm sở hạ tầng mạng từ giám sát trái phép kiểm soát lưu lượng truy cập mạng cần thiết để đảm bảo người dùng cuối người sử dụng lưu lượng truy cập cách sử dụng xác thực kỹ thuật mã hóa  Để đảm bảo an ninh, IAB bao gồm xác thực mã hóa tính bảo mật cần thiết hệ IP, mà ban hành IPv6  May mắn thay, khả bảo mật thiết kế để sử dụng với IPv4 IPv6 tương lai  Điều có nghĩa nhà cung cấp bắt đầu cung cấp tính bây giờ, nhiều nhà cung cấp có số khả IPsec sản phẩm họ  Các đặc điểm kỹ thuật IPsec hữu tập hợp tiêu chuẩn Internet Các ứng dụng IPsec  IPsec cung cấp khả để bảo đảm liên lạc mạng LAN, mạng private cơng cộng WANs, Internet Ví dụ việc sử dụng bao gồm: • Bảo vệ kết nối văn phịng chi nhánh qua Internet • Bảo vệ truy cập từ xa qua Internet • Thiết lập mạng diện rộng mạng nội kết nối với đối tác • Tăng cường an ninh thương mại điện tử Lợi ích IPsec  Trong tường lửa router, cung cấp bảo mật mạnh mẽ mà áp dụng cho tất lưu lượng truy cập qua vành đai  IPsec tường lửa có khả chống bỏ qua tất lưu lượng truy cập từ bên phải sử dụng IP tường lửa phương tiện lối vào từ Internet vào tổ chức

Ngày đăng: 11/04/2023, 11:00

Xem thêm:

Tài liệu cùng người dùng

Tài liệu liên quan