Nhưng với những kết nối truy nhập từ xa có mối liên hệ với doanh nghiệp qua mạng Internet sử dụng đường kết nối không chuyên dụng để kết nối tới mạng của doanh nghiệp thì nguy cơ có nhữn
Trang 1LỜI NÓI ĐẦU
Với chiến lược phát triển toàn diện mang tính chất đón đầu về công nghệ nhằm tạo ra tiềm lực to lớn, đủ sức cạnh tranh về chất lượng và sự đa dạng hóa các dịch vụ giá thành thấp, năng suất lao động cao, Tập đoàn Bưu chính Viễn thông Việt nam có chiến lược và kế hoạch chuyển đổi mạng Viễn thông số sang mạng thế hệ sau (NGN) Mạng NGN có hạ tầng thông tin duy nhất dựa trên công nghệ chuyển mạch gói, triển khai dịch vụ một cách đa dạng và nhanh chóng, đáp ứng sự hội tụ giữa thoại và số liệu, giữa cố định và di động, bắt nguồn từ sự tiến bộ của công nghệ thông tin và các
ưu điểm của công nghệ chuyển mạch gói nói chung và công nghệ IP nói riêng và công nghệ truyền dẫn quang băng rộng Cấu trúc của mạng thế hệ sau và các nguyên tắc hoạt động của nó về cơ bản khác nhiều so với cấu trúc của mạng PSTN hiện nay Do vậy đội ngũ kỹ sư và cán bộ kỹ thuật Viễn thông cần phải được bồi dưỡng cập nhật kiến thức về công nghệ mới này, có như vậy họ mới đủ khả năng và trình độ vận hành khai thác quản lý và triển khai các dịch vụ Viễn thông một cách an toàn và hiệu quả.
Chương trình “Bồi dưỡng kỹ sư điện tử viễn thông về công nghệ IP và NGN”
của Tập đoàn được xây dựng với mục đích cung cấp kiến thức và kỹ năng cơ bản liên quan tới công nghệ IP và NGN cho các cán bộ kỹ thuật đang trực tiếp quản lý và khai thác hệ thống trang thiết bị tại cơ sở nhằm đáp ứng yêu cầu về chuyển đổi công nghệ mạng lưới và dịch vụ viễn thông của Tập đoàn.
Cuốn tài liệu “An ninh mạng IP” bao gồm 6 chương, trình bày các vấn đề cơ bản
về an ninh mạng IP.
Chương 1 Tổng quan về an ninh mạng
Chương 2 Chiến lược đảm bảo an toàn mạng.
Chương 3 Chính sách, giải pháp và thiết bị bảo vệ mạng.
Chương 4 Bảo vệ dữ liệu bằng mật mã và chứng thực người sử dụng.
Chương 5 Giới thiệu về an ninh mạng không dây.
Chương 6 Case Study.
Trong quá trình biên soạn, mặc dù giáo viên đã rất cố gắng, tuy nhiên không thể tránh khỏi những thiếu sót Rất mong nhận được ý kiến đóng góp của các bạn đọc để những lần xuất bản sau chất lượng của tài liệu được tốt hơn.
TRUNG TÂM ĐÀO TẠO BƯU CHÍNH VIỄN THÔNG 1
Trang 2MỤC LỤC
LỜI NÓI ĐẦU i
MỤC LỤC ii
DANH SÁCH HÌNH iv
DANH SÁCH BẢNG vi
CHƯƠNG 1 1
1.1 TOÀN CẢNH VỀ VẤN ĐỀ AN NINH MẠNG 2
1.2 CÁC NGUY CƠ, CÁC KIỂU TẤN CÔNG 3
1.2.1 Các nguy cơ tấn công 3
1.2.2 Các kiểu tấn công 4
CHƯƠNG 2 8
1.3 CÁC YÊU TỐ AN NINH MẠNG 9
1.3.1 Quyền và tính hiệu lực 9
1.3.2 Xác thực 9
1.3.3 Sự tin cậy 10
1.3.4 Tính toàn vẹn 10
1.3.5 Tính không thể chối bỏ 11
1.4 CHIẾN LƯỢC ĐẢM BẢO AN TOÀN MẠNG 11
1.4.1 Chiến lược phòng thủ 11
1.4.2 Phòng thủ theo chiều sâu 12
1.5 CÁC KỸ THUẬT PHÒNG THỦ 15
CHƯƠNG 3 22
1.6 CHÍNH SÁCH AN TOÀN THÔNG TIN (Information security policy) 23
1.6.1 Tài liệu chính sách an toàn thông tin (Information security policy document) 23
1.6.2 Nhận xét và đánh giá (Review and evaluation) 23
1.6.3 Một ví dụ về chính sách an toàn thông tin 24
1.7 GIẢI PHÁP BẢO VỆ MẠNG 27
1.7.1 Giới thiệu chung về VPN 27
1.7.2 FIREWALL 35
1.7.3 Hệ thống phát hiện xâm nhập (IDS) 52
CHƯƠNG 4 61
Trang 31.8 ĐỊNH NGHĨA MẬT MÃ 62
1.9 ỨNG DỤNG 62
1.9.1 Phương pháp mã hóa dữ liệu 62
1.9.2 Chữ ký điện tử 63
1.9.3 Chứng chỉ số 64
1.10 KẾT CHƯƠNG 94
CHƯƠNG 5 97
1.11 GIỚI THIỆU VỀ AN NINH MẠNG KHÔNG DÂY (Wireless) 98
1.12 AN NINH MẠNG CHO MẠNG LAN KHÔNG DÂY (Wireless LAN) 101
CHƯƠNG 6 107
1.13 GIỚI THIỆU VỀ DENIAL OF SERVICE (DoS) 108
1.14 MỘT SỐ KIỂU TẤN CÔNG DoS PHỔ BIẾN 108
1.14.1 Tấn công Ping of Death 108
1.14.2 SYN Floods 109
1.14.3 Tấn công Land 109
1.14.4 Tấn công WinNuke 109
1.14.5 Teardrop 110
1.14.6 Tấn công Smurf 110
1.14.7 UDP Flooding 110
1.14.8 Tấn công DNS 111
1.14.9 Tấn công Distributed DoS (DDoS) 111
1.14.10 Tấn công DRDoS (Distributed Reflection Denial of Service) 111
1.15 MỘT SỐ CÔNG CỤ TẤN CÔNG DoS 111
THUẬT NGỮ VIẾT TẮT 114
TÀI LIỆU THAM KHẢO 118
Trang 4DANH SÁCH HÌNH
Hình 2.1 Phòng thủ theo chiều sâu 12
Hình 2.2 Các lớp bảo vệ 14
Hình 2.3 Sơ đồ các lớp phòng thủ để đến được file 15
Hình 2.4 Lược đồ thực hiện việc xác thực truy nhập 18
Hình 2.5 Time-base Token 19
Hình 3.1 Các mức mã hóa và xác thực 29
Hình 3.2 Tunnel Mode và Transport Mode 31
Hình 3.3 Tunnel Mode và Transport Mode 32
Hình 3.4 Mô hình Firewall 35
Hình 3.5 Lọc gói tin 38
Hình 3.6 Mô hình Multi-homed 38
Hình 3.7 Mô hình Screened Host 39
Hình 3.8 Mô hình DMZ 39
Hình 3.9 Các phương pháp thực thi Firewall 40
Bảng 3.1 Một số câu hỏi liên quan đến chính sách Firewall 44
Hình 3.10 Các mức lọc gói tin 45
Hình 3.11 Kết nối cổng 46
Bảng 3.2 Một số rule trong firewall với cổng xác định 46
Hình 3.12 Kiểm tra gói tin stateful 50
Hình 3.13 Kịch bản cho mạng hỗn hợp 52
Hình 3.14 Phân tích sự chuyển đổi trạng thái 55
Hình 3.15 Các vị trí đặt NIDS trong mạng 57
Hình 3.16 Mô hình điều khiển tập trung 57
Hình 3.17 Mô hình điều khiển phân tán 58
Hình 3.18 Mô hình điều khiên phân tán dựa trên Agent 58
Hình 4.1 Sử dụng mật khẩu chứng thực cho máy khách kết nối tới máy dịch vụ 66
Hình 4.2 Chứng chỉ số chứng thực cho máy khách kết nối tới máy dịch vụ 66
Hình 4.3 Chứng chỉ khóa công khai dựa trên CA 69
Trang 5Hình 4.4 Chứng thực đệ qui 71
Hình 4.5 Khuôn dạng chứng chỉ trong phiên bản v1 và v2 của X 509 73
Hình 4.6 Cấu trúc đặt tên theo X.500 74
Hình 4.7 Tên đối tượng 75
Hình 4.8 Khuôn dạng chứng chỉ X.509 v3 77
Hình 4.9 Thu hồi chứng chỉ 85
Hình 4.10 Thu hồi chứng chỉ theo khuôn dạng X509 v3 87
Hình 4.11 Quá trình hủy bỏ chứng chỉ 88
Hình 5.1 Enterprise Access Server trong Gateway Mode 101
Hình 5.2 Enterprise Access Server trong Controller Mode 102
Hình 5.3 Mô hình bảo mật không cho mạng không dây 102
Hình 5.4 Quá trình mã hóa và giải mã 103
Hình 5.5 Mô hình xác nhận 104
Hình 5.6 Xác nhận 802.1x EAP-TLS 105
Hình 5.7 802.1x EAP-TLS trong Controller Mode 105
Hình 6.1 Mô hình tấn công DoS 108
Trang 6DANH SÁCH BẢNG
Trang 81.1 TOÀN CẢNH VỀ VẤN ĐỀ AN NINH MẠNG
Trong thế giới ngày nay, việc tấn công các mạng máy tính ngày càng trở nên dễ dàng hơn Có rất nhiều công cụ đễ hỗ trợ, công nghệ ngày càng phát triển tạo ra những máy tính có cấu hình mạnh hơn, cộng thêm với việc bảo mật chưa thật sự được chú trọng Hiện nay còn nhiều doanh nghiệp không cho rằng đây là mối đe doạ nghiêm trọng Họ không nhìn nhận thấy tầm quan trọng của việc tạo ra một mạng an toàn Họ không nhìn nhận thấy sự cần thiết phải chi những khoản tiền cho việc bảo vệ những tài sản điện tử của họ Nhưng thực tế cho thấy là rất cần thiết Hãy xem xét những số liệu thống kê gần đây (số liệu từ Viện An Toàn Máy Tính - CSI và Cục Điều Tra Liên Bang Mỹ - FBI):
Ước tính tổng số thiệt hại lên đến hàng triệu USD (thiệt hại tăng lên nhiều ở năm tiếp theo) do những hành vi đánh cắp thông tin trong vòng 5 năm, và con số ước tính như sau:
Tuy nhiên, với những bằng chứng thực tế cho thấy các cuộc tấn công mạng đang trở nên ngày một nghiêm trọng hơn với những thiệt hại rất lớn về kinh tế trên thế giới Ngay lúc này, các tổ chức doanh nghiệp cũng đã bắt đầu nhận thức được vấn đề này và
đã có ý thức bảo vệ mình trước các cuộc tấn công ngày càng gia tăng Rõ ràng là phòng thủ là cần thiết và là việc làm cấp bách
Hệ thống mạng của doanh nghiệp cho những người dùng được phép truy nhập những thông tin nhạy cảm một cách nhanh chóng với cách thức có vẻ an toàn Nhưng với những kết nối truy nhập từ xa có mối liên hệ với doanh nghiệp qua mạng Internet
sử dụng đường kết nối không chuyên dụng để kết nối tới mạng của doanh nghiệp thì nguy cơ có những người dùng không được phép cũng có thể có được kết nối để truy nhập thông tin nhạy cảm này
Trang 9Sơ hở về an ninh mạng đôi khi do người sử dụng gây nên, họ đáp ứng đủ những đòi hỏi mà hệ thống yêu cầu, hệ thống sẵn sàng hoạt động và họ thực hiện công việc của mình và khi đó họ cho rằng mình an toàn Nhưng chỉ có những người quản trị mạng mới thực sự biết được an ninh mạng là vấn đề quyết định, họ biết rằng cần thực hiện kế hoạch thận trọng từng bước để xây dựng môi trường mạng an toàn Vì ở đó các chức năng hỗ trợ và thực hiện công việc kinh doanh trong hệ thống được xây dựng tin cậy.
An ninh mạng cần phải được coi là chiến lược trong hoạt động của doanh nghiệp
Nó phải được bắt đầu như một phần công việc của quy trình lập kế hoạch cho chiến lược và là kế hoạch hành động đầu tiên trong chiến lược, và cho đầu tư ngân sách thực hiện an ninh mạng
Phòng thủ mạng được bắt đầu với các vấn đề an toàn cơ bản Những vấn đề then chốt được trình bày chi tiết ở phần tiếp theo
1.2 CÁC NGUY CƠ, CÁC KIỂU TẤN CÔNG
1.2.1 Các nguy cơ tấn công
o Nguy cơ xâm nhập bất hợp pháp hệ thống máy tính trên mạng
- Quét do thám hệ thống: quét Ping, quét TCP (Transmission Control Protocol), quét UDP (User DataGram Protocol), quét hệ điều hành, quét tìm kiếm accout thâm nhập…
- Xâm nhập hệ thống: truy tìm account, đoán mật khẩu qua mạng, bẻ khoá mật khẩu, khai thác từ xa các lỗi DoS (Denial of Service - tấn công từ chối dịch vụ), tràn bộ đệm, khai thác quan hệ uỷ quyền
- Cài đặt cửa sau (backdoor) và truy cập từ xa
- Tấn công hệ thống máy tính bằng virus, trojan và các phần mềm gián điệp
- Tấn công với lỗi RPC (Remote Procedure Call - Lời gọi thủ tục từ xa)
o Nguy cơ tấn công mạng
- Xâm nhập vào mạng từ bên ngoài Internet
- Xâm nhập bất hợp pháp vào mạng thông qua dial-up, VPN (Virtual Private Network)
- Các thiết bị mạng, SNMP (Simple Network Management Protocol), RIP (Routing Information Protocol)
- Phát hiện, đánh lừa, và xuyên qua firewall
- Truy cập uỷ nhiệm ngoài không được chứng thực
- Tấn công mạng bằng worm
- Tấn công bằng spam
o Nguy cơ tấn công phần mềm máy chủ dịch vụ
- Tấn công DNS (Domain Name Service)
Trang 10- Tấn công Web server.
- Tấn công SMTP (Simple Mail Transfer Protocol) sendmail
- Tấn công IMAP/POP3 (Internet Mail Access Protocol/Post Office Protocol)
- Tấn công Database server
- Tấn công từ chối dịch vụ DoS: Ping-of-Death, SYN flood, …
o Nguy cơ mất an toàn thông tin trong giao dịch và thương mại điện tử
- Đánh cắp thông tin bằng các chương trình spy, virus
- Giả mạo thông tin trong thư tín và giao dịch
- Nghe lén thông tin
- Đánh cắp, làm sai lệch thông tin qua tấn công SQL injection
- Sử dụng credit card phi pháp và đánh cắp tài khoản ngân hàng
o Nguy cơ mất an toàn thông tin trên mạng WLAN
- Quét dò sóng mạng, tấn công xâm nhập mạng
- Bẻ khoá WEP (Giao thức an toàn của mạng không dây)
- Giả mạo điểm truy cập không dây WAP
- Tấn công từ chối dịch vụ
o Vấn đề trên mạng thông tin di động
- Vấn đề lan truyền các tin đồn thất thiệt trên mạng nhắn tin SMS
- Lợi dụng mạng nhắn tin để tấn công đe doạ chủ thuê bao điện thoại di động
1.2.2 Các kiểu tấn công
Hiện nay theo một số chuyên gia, có 4 dạng nguy cơ tấn công trên mạng máy tính:
- Tấn công do thám
- Tấn công truy nhập
- Tấn công từ chối dịch vụ (Denial of Service)
- Virus, trojan horse, worm, mã độc hại
Tiếp theo là khai thác các lỗ hổng đó để giành quyền truy nhập với quyền quản trị
hệ thống bằng nhiều cách như cài đặt backdoor, cài đặt trojan horse, keylogger để nắm quyền kiểm soát hệ thống máy tính mục tiêu
Kiểu tấn công do thám này gồm một số kiểu như:
Trang 11- Phân tích các gói tin: Telnet, FTP, SNMP, POP, HTTP
- Quét các cổng của máy tính mục tiêu: Nhận dạng các máy chủ trên mạng (sử dụng hệ điều hành gì, hệ điều hành đó có điểm yếu nào), nhận dạng các dịch
vụ đang hoạt động ở máy mục tiêu, các điểm yếu dễ khai thác và tấn công
- Tra cứu các thông tin liên quan đến mục tiêu trên mạng Internet: Nơi đăng ký hosting, địa chỉ IP, hệ thống tên miền Qua đó, tìm và thu thập các điểm yếu
dễ bị tấn công của hệ thống đó
• TẤN CÔNG TRUY NHẬP
Kẻ tấn công hệ thống bằng cách truy vấn dữ liệu, giành quyền truy nhập, tấn công truy nhập, khai thác điểm yếu dễ bị tấn công trong các dịch vụ xác thực, các dịch vụ FTP, các dịch vụ Web để giành quyền đăng nhập Web account với các dữ liệu bí mật
và nhạy cảm Tấn công truy nhập bao gồm:
- Tấn công password: bao gồm tấn công dò tìm password đối với các password yếu, sử dụng trojan horse, phân tích gói tin, giả mạo địa chỉ IP
- Tấn công khai thác, lợi dụng độ tin cậy trong mạng, lợi dụng sự tin cậy về mối quan hệ trong mạng để làm bàn đạp tấn công vào một hệ thống khác
- Kiểu tấn công port redirection: đó là kiểu tấn công mà kẻ tấn công đã "dàn xếp" qua các dịch vụ máy chủ công cộng, thông qua dịch vụ máy chủ công cộng này kẻ tấn công cài đặt phần mềm vào máy chủ mạng bên trong Từ bên ngoài kẻ tấn công có thể thiết lập kết nối vào mạng bên trong (mục tiêu) qua tiến trình port redirection dựa trên dịch vụ máy chủ công cộng mà dựa vào đó
có thể dễ dàng vượt qua sự kiểm soát của firewall
- Kiểu tấn công man_in_the_middle_attack: đó là kiểu tấn công thông qua phân tích các gói tin mạng, phân tích các giao thức truyền tải và định tuyến Sửa đổi, thay nội dung dữ liệu trên đường truyền
vụ từ các máy trạm khác DoS bao gồm các kiểu tấn công phổ biến sau:
Trang 12Tấn công kiểu SYN flood Lợi dụng cách thức hoạt động của kết nối TCP/IP, hacker bắt đầu quá trình thiết lập một kết nối TPC/IP tới mục tiêu muốn tấn công mà không gửi trả gói tin ACK, khiến cho mục tiêu luôn rơi vào trạng thái chờ (đợi gói tin ACK từ phía yêu cầu thiết lập kết nối) và liên tục gửi gói tin SYN ACK để thiết lập kết nối Một cách khác là giả mạo địa chỉ IP nguồn của gói tin yêu cầu thiết lập kết nối SYN và cũng như trường hợp trên, máy tính đích cũng rơi vào trạng thái chờ vì các gói tin SYN ACK không thể đi đến đích do địa chỉ IP nguồn là không có thật Kiểu tấn công SYN flood được các hacker áp dụng để tấn công một hệ thống mạng có băng thông lớn hơn hệ thống của hacker.
tấn công:
Kiểu tấn công Land Attack cũng tương tự như SYN flood, nhưng hacker sử dụng chính IP của mục tiêu cần tấn công để dùng làm địa chỉ IP nguồn trong gói tin, đẩy mục tiêu vào một vòng lặp vô tận khi cố gắng thiết lập kết nối với chính nó
Hacker gửi gói tin UDP echo với địa chỉ IP nguồn là cổng loopback của chính mục tiêu cần tấn công hoặc của một máy tính trong cùng mạng Với mục tiêu sử dụng cổng UDP echo (port 7) để thiết lập việc gửi và nhận các gói tin echo trên 2 máy tính (hoặc giữa mục tiêu với chính nó nếu mục tiêu có cấu hình cổng loopback), khiến cho 2 máy tính này dần dần sử dụng hết băng thông của chúng, và cản trở hoạt động chia sẻ tài nguyên mạng của các máy tính khác trong mạng
Tấn công kiểu DDoS (Distributed Denial of Service) Đây là cách thức tấn công rất nguy hiểm Hacker xâm nhập vào các hệ thống máy tính, cài đặt các chương trình điều khiển từ xa, và sẽ kích hoạt đồng thời các chương trình này vào cùng một thời điểm để đồng loạt tấn công vào một mục tiêu Với DDoS, các hacker có thể huy động tới hàng trăm thậm chí hàng ngàn máy tính cùng tham gia tấn công cùng một thời điểm (tùy vào sự chuẩn bị trước đó của hacker) và có thể "ngốn" hết băng thông của mục tiêu trong nháy mắt
Tấn công sử dụng các nguồn tài nguyên khác:
Kẻ tấn công lợi dụng các nguồn tài nguyên mà nạn nhân cần sử dụng để tấn công Những kẻ tấn công có thể thay đổi dữ liệu và tự sao chép dữ liệu mà nạn nhân cần lên nhiều lần, làm CPU bị quá tải và các quá trình xử lý dữ liệu bị đình trệ
Trang 13Kiểu tấn công này cần một hệ thống rất quan trọng, đó là mạng khuyếch đại Hacker dùng địa chỉ của máy tính cần tấn công bằng cách gửi gói tin ICMP echo (Internet Control Message Protocol) cho toàn bộ mạng (broadcast) Các máy tính trong mạng sẽ đồng loạt gửi gói tin ICMP reply cho máy tính mà hacker muốn tấn công Kết quả là máy tính này sẽ không thể xử lý kịp thời một lượng lớn thông tin và dẫn tới bị treo máy
Trong mạng chuyển mạch gói, dữ liệu được chia thành nhiều gói tin nhỏ, mỗi gói tin có một giá trị offset riêng và có thể truyền đi theo nhiều con đường khác nhau để tới đích Tại đích, nhờ vào giá trị offset của từng gói tin mà dữ liệu lại được kết hợp lại như ban đầu Lợi dụng điều này, hacker có thể tạo ra nhiều gói tin có giá trị offset trùng lặp nhau gửi đến mục tiêu muốn tấn công Kết quả là máy tính đích không thể sắp xếp được những gói tin này và dẫn tới bị treo máy vì bị "vắt kiệt" khả năng xử lý
• KIỂU TẤN CÔNG IP Spoofing - GIẢ MẠO ĐỊA CHỈ IP
Kẻ tấn công ở trong hoặc ngoài mạng đóng vai như một máy tính tin cậy để trao đổi thông tin Có 2 kỹ thuật được sử dụng để giả mạo địa chỉ IP:
- Kẻ tấn công sử dụng địa chỉ IP nằm trong dải địa chỉ IP được tin cậy
- Kẻ tấn công sử dụng địa chỉ IP bên ngoài được uỷ quyền và được tin cậy.Kiểu tấn công IP Spoofing được dùng để lan truyền mã độc hại hoặc các lệnh bên trong dòng dữ liệu trao đổi giữa các máy tính Nếu kẻ tấn công thay đổi được bảng định tuyến và trỏ đến một địa chỉ IP giả mạo thì ở đó kẻ tấn công có thể nhận được toàn bộ các gói tin mạng khi đó được thay đổi địa chỉ giả mà giống như một user đáng tin cậy
• VIRUS, TROJAN HORSE, WORM, MÃ ĐỘC HẠI
Đây là phương pháp các hacker dùng các đoạn mã có chứa Virus, trojan horse, worm, mã độc hại để lấy cắp thông tin phục vụ mục đích của mình Hacker thường dùng mail, hoặc yahoo; … để phát tán virus
Trang 14CHƯƠNG 2
CHIẾN LƯỢC ĐẢM BẢO AN TOÀN MẠNG
Nội dung chương 2 bao gồm:
Trang 15mà không gây cản trở đến các hoạt động của hệ thống mạng và dịch vụ đối với những người được phép truy nhập.
Quyền và tính hiệu lực cần tạo ra sự tin cậy và được đảm bảo theo nội dung sau:
Hệ thống luôn sẵn sàng với các chức năng theo yêu cầu và được cấu hình đúng đắn cho các hoạt động cơ bản
- Có các quản lý tương xứng để bảo vệ chống lại những truy nhập không được phép và những lỗi không cố ý cũng như do phần mềm gây ra
- Có những giới hạn an ninh ở khu vực nhạy cảm để ngăn chặn hoặc dừng những khai thác có chủ ý của Hacker
Sự tin cậy là hoàn toàn cần thiết vì nếu thiếu tin cậy thì các mục tiêu an ninh khác
sẽ khó có thể hội tụ được Tuy nhiên, sự tin cậy không thể là sự hứa hẹn thực hiện một lần mà đòi hỏi liên tục của sự nỗ lực và nỗ lực cao nhất
Cơ sở khoá công khai (PKI - Public Key Infrastructure) là một cách tốt nhất để xác thực thông qua chứng chỉ số và chữ ký số Số lượng các nhân tố được sử dụng để hiển thị nhận diện của người dùng hoặc chứng minh nhận dạng của người dùng thông qua xác thực đủ mạnh bao gồm:
Trang 16- Nhân tố thứ nhất được cung cấp đó là thông tin người dùng biết như là Password hoặc PIN (Personal Identification Number) Điều này hoàn toàn dựa trên việc lấy lại những mẩu thông tin từ bộ nhớ hoặc từ việc đăng nhập password như với việc truy nhập mạng.
- Nhân tố thứ hai được cung cấp là người dùng có gì bổ xung thêm vào thông tin người dùng biết Ví dụ như những thông tin gần gũi như thẻ ra vào cửa hoặc thẻ ATM với mã PIN RSA SecureID Token được sử dụng kết hợp với
mã Password, hoặc thẻ Smart Card có thể đảm bảo về an ninh với mã PIN sử dụng để truy nhập và những điều trên đảm bảo cho nhân tố thứ hai
- Nhân tố thứ ba cung cấp việc xác thực mạnh đó là thử nhận dạng của người dùng, hay xác thực người dùng là ai bằng sinh trắc học Sinh trắc học sử dụng các thuộc tính sinh lý học để nhận diện người dùng, như vân tay, quét võng mạc, hình dạng bàn tay, nhận diện giọng nói, quét mống mắt, đặc tính về ứng
sử như nhận diện nhấn phím hoặc nhận diện chữ ký Các kết quả này là sự xác thực mạnh, vì người sử dụng không chỉ được kiểm tra nhận diện thông qua xác thực số về những gì họ biết và những gì họ có mà họ còn được kiểm tra xác thực vật lý thông qua thông số sinh trắc học
dữ liệu cơ bản của thông tin và dữ liệu đòi hỏi sự tin cậy:
Thông tin mang nội dung về dữ liệu kỹ thuật hoặc thông tin nguồn, ví dụ như thông tin về kiểu số và phiên bản của phần mềm của hệ thống firewall cần được lưu giữ cẩn thận vì nếu bị tiết lộ có thể tiềm ẩn khả năng cho hacker tấn công hoặc hỗ trợ cho hacker khai thác tấn công hệ thống của người dùng
Những thông tin mang tính thời điểm, nó có thể chỉ là sự tin cậy về thời gian và sau đó nó chẳng còn ý nghĩa nữa cũng như thông tin riêng tư sau khi đã được tiết lộ nhưng tới thời điểm đó cần phải được giữ kín
Những thông tin mà nó làm lộ cơ cấu tổ chức hay liên quan đến hệ thống mà thông qua đó những người không được phép có thể khai thác những nguồn lợi của xã hội hoặc những cơ hội khác
Những thông tin cá nhân và riêng tư của chính cá thể đó, như những thông tin cốt yếu trong sự vận hành của doanh nghiệp cũng như những thông tin khác mà có thể chắc chắn mang lại cho hacker cơ hội khai thác doanh nghiệp dễ dàng
Trang 17Tính toàn vẹn là nguyên tắc an ninh mà đảm bảo tính chính xác liên tục của dữ liệu
và thông tin mang trong dữ liệu trao đổi trong mạng Tính liên tục của toàn vẹn dữ liệu
là tối cao Dữ liệu cần được bảo vệ tránh việc sửa đổi dữ liệu không được phép, sự giả mạo hoặc bất cứ thay đổi nào, không cần quan tâm dù có hay không có sự đe dọa làm thay đổi tính toàn vẹn một cách chủ ý mà chỉ coi như đó là tai nạn từ thiên nhiên đem tới Việc nhận thư nêu ở trên hoặc trao đổi dữ liệu thì tính toàn vẹn cần được kiểm tra
để chắc chắn rằng dữ liệu không bị tráo đổi, sửa đổi, thêm, bớt đi bởi những người không được phép trong quá trình trao đổi Chống lại những sửa đổi đó, PKI sẽ đảm bảo tính toàn vẹn dữ liệu thông qua chứng chỉ số và thuật toán mã hoá Tính toàn vẹn
1.3.5 Tính không thể chối bỏ
An toàn phải được thiết lập để bảo vệ các bên trong trao đổi dữ liệu và từ chối sự can thiệp của các bên sau khi tiến trình trao đổi kinh doanh đã được thực hiện Thông qua PKI người gửi cũng như người nhận đều được công nhận xác thực liên quan đến nhận diện cá nhân của họ từ cả 2 phía Thiết lập này có trách nhiệm tự giải trình cho các bên liên quan trong phiên giao dịch Có 3 dạng chối bỏ cần được ngăn chặn đó là:
- Chối bỏ nguồn gốc của dữ liệu, người tạo ra dữ liệu từ chối chưa bao giờ tạo
ra hoặc viết dữ liệu thông tin đó
- Chối bỏ nhận, người mà từ chối chưa bao giờ nhận được dữ liệu đó sau khi đã nhận dữ liệu
- Chối bỏ sự đưa ra dữ liệu về thời gian, về thời gian ngày tháng thực của dữ liệu đó Sự chậm trễ thời gian sẽ giúp cho người chối bỏ chấp hành hay thực hiện yêu cầu nào đó
1.4 CHIẾN LƯỢC ĐẢM BẢO AN TOÀN MẠNG
Để bảo vệ tốt mạng máy tính của mình người quản trị an ninh mạng cần thực hiện làm giảm thiểu hoặc giảm bớt các tác động đe doạ tới an ninh mạng đang hiện hữu và trong tương lai Thực hiện kỹ thuật và chiến lược phòng chống để đảm bảo an toàn cho mạng Điều này cần phải được thực hiện chắc chắn, cẩn thận để bảo vệ những thông tin và dữ liệu nhạy cảm
1.4.1 Chiến lược phòng thủ
Trang 18Nếu tất cả các mối đe doạ tới hệ thống mạng và tất cả các điểm yếu dễ bị tấn công của hệ thống đã được nhận biết thì việc lên kế hoạch bố trí phòng thủ cần được thực hiện và triển khai để bảo vệ an toàn hệ thống Thậm chí có thể phòng thủ ở tình trạng tĩnh (không thay đổi) với các điều khiển dứt khoát ở từng vị trí do sự đe dọa đã được biết Vành đai an toàn sử dụng firewall là một ví dụ của phòng thủ ở trạng thái tĩnh Mối đe doạ đã được giả lập và được thông báo, khi đó các luật sẽ được sinh ra cho mạng của doanh nghiệp.
Nếu mối đe doạ không được nhận rõ, bất cứ giả lập nào cũng có thể thất bại đối với việc phòng thủ mạng Do đó người quản trị phải cân nhắc dựa vào các căn cứ và tạo lập phòng thủ cho mạng của doanh nghiệp
1.4.2 Phòng thủ theo chiều sâu
Phòng thủ theo chiều sâu là trạng thái mà tất cả các thông tin quan trọng về kỹ thuật mạng được bảo vệ chống lại các cuộc tấn công trực tiếp tại bất cứ mức nào trong mạng Giả lập đối với firewall hoặc một phần của vành đai an ninh không thể đủ để bảo vệ các thông tin quan trọng của mạng
o Chủ động phòng thủ theo chiều sâu:
Hình 2.1 Phòng thủ theo chiều sâu
Trusted System (Security)
Active Defense-In-Depth
Trang 19Vành đai an ninh là ranh giới đầu tiên của phòng thủ mạng và thường được bảo vệ bằng lọc gói tin hoặc dựa trên các luật của firewall Với mục đích đạt được hiệu quả cao nhất thì firewall cần có các thuộc tính và các luật để đảm bảo:
- Dựa trên thuộc tính lọc gói tin và bản ghi luật quản lý lưu lượng (traffic) với chính sách an ninh được thiết lập
- Firewall xác định rõ tất cả các kết nối mạng
- Tất cả luồng thông tin vào và ra đều phải đi qua firewall
o Hệ thống phát hiện xâm nhập (IDS - Intrusion Detection System)
IDS là hệ thống kết hợp cả phần cứng và phần mềm mà cho phép hiển thị và lựa chọn thông tin hệ thống mạng và phân tích chúng để phát hiện ra các cuộc tấn công hoặc các cuộc xâm nhập Một số IDS có khả năng tự động đối phó với các cuộc tấn công hoặc xâm nhập dựa trên tra cứu dấu hiệu tấn so sánh với thư viện Một số IDS sử dụng phần mềm để scanner tương tự như Scanner Internet, đó có thể là các công cụ đầu tiên để phân tích điểm yếu dễ bị tấn công của mạng Kiểu scanner này có thể thực hiện ở 2 chế độ định kỳ và theo ý muốn để xác định lỗ hổng của hạ tầng mạng và các điểm yếu dễ bị tấn công của hệ điều hành, routers, các chương trình ứng dụng, và các thiết bị truyền thông
o Đối phó cuộc tấn công
Đối phó cuộc tấn công bao gồm một số thực hành đối phó tấn công hoặc đối phó với những vấn đề sự cố ngẫu nhiên mà thực tế có thể xảy ra, và cũng có thể là giả thiết, giả lập để thực hành Để thực hành tất cả các cuộc tấn công được thực hiện cùng một cách cho tới khi được kiểm soát bởi người quản trị mà trong thực tế phải được xác định đó là cuộc tấn công giả tưởng hoặc mô phỏng tấn công để tập huấn Trong bất cứ trường hợp nào, các đối phó cần được giữ bí mật đối với bên ngoài mạng an ninh nhằm gây khó khăn cho các hacker hoặc làm giảm thiểu việc các điểm yếu của hệ thống bị khai thác
o Các kỹ thuật phòng thủ
Mạng cần có nhiều lớp phòng thủ Các khái niệm về lớp phòng thủ là khái niệm cũ
và đơn giản: Nhiều lớp phòng thủ khiến hacker sẽ phải đi qua nhiều lớp và điều này rất khó khăn để hacker thực hiện thành công mục đích của mình
Có thể dùng firewall để khoá các cổng và một phần khác của firewall chạy Network Access Translation (NAT) để ẩn giấu địa chỉ IP mạng bên trong Đây là kỹ thuật phòng thủ vòng ngoài của hệ thống an ninh và tất cả các mạng quan trọng cần thiết phải có
Và thêm vào đó là việc đánh số cổng giao thức, như vậy tạo ra con đường một chiều mặc dù cổng trước cho phép vào ra cả hai chiều truyền thông
o Back Doors
Trang 20Một trong những vấn đề nghiêm trọng đối với an ninh mạng đó là backdoor Nếu người sử dụng cài đặt modem và tạo kết nối trực tiếp Internet, thì điều mà các hacker cần đó là tìm kiếm backdoor Một khi backdoor được tìm thấy, hacker có thể xâm nhập và khai phá mạng từ bên trong
Lược đồ khái niệm các lớp phòng thủ
Hình 2.2 Các lớp bảo vệ
Trang 211.5 CÁC KỸ THUẬT PHÒNG THỦ
Vậy kỹ thuật phòng thủ chính xác là gì và triển khai trên mạng như thế nào? Có rất nhiều kỹ thuật không hoàn toàn là phòng thủ nhưng được dùng trong kỹ thuật phòng thủ mạng
Sơ đồ các lớp phòng thủ để đến được file:
Hình 2.3 Sơ đồ các lớp phòng thủ để đến được file
Cách tốt nhất để xem xét lớp phòng thủ mạng đó là bắt đầu từ vòng ngoài với vành đai và làm việc theo cách nào đó để đạt được mục đích đánh giá Và mục tiêu nói chung lại đó là các ứng dụng trên máy chủ
Nhìn từ phía ngoài đối với phòng thủ mạng đó là chính sách an ninh Có rất nhiều người băn khoăn về việc firewall là vành đai đầu tiên của phòng thủ, nhưng điều này vẫn còn tranh cãi về tính đúng đắn Không có chính sách đặt ra thì firewall không thể được cấu hình đúng đắn, do đó điều đầu tiên đó là chính sách Cần phải hiểu hết sức rõ ràng về mục tiêu an ninh mạng Chính sách phải bao trùm hết các vấn đề như ai có thể làm gì, khi nào và làm như thế nào Chính sách cũng phải có mục tiêu rõ ràng với mỗi yêu cầu được sử dụng trong phòng thủ mạng
Sau khi chính sách an ninh được đặt ra và thông qua thì việc thực thi hệ thống phòng thủ cần được bắt đầu Các router phải được cấu hình, thông qua danh sách điều khiển truy nhập, để thực hiện công việc của hệ thống firewall và đưa ra một vài mức lọc gói tin
Firewall có thể thực hiện NAT và dịch vụ proxy NAT sẽ đảm bảo rằng địa chỉ mạng bên trong sẽ được bảo vệ bí mật, và dịch vụ proxy sẽ tạo các yêu cầu tài nguyên với các ứng xử bên trong mạng
Di chuyển qua các lớp vượt qua firewall, các phần thông tin tiếp theo đó là IDS Thông qua IDS có thể biết được sự chuyên nghiệp hay không của chính sách an ninh khi xâm nhập xảy ra, và có thể thực hiện chức năng này cả ở bên trong mạng và những tấn công từ bên ngoài vào mạng Vẫn còn những vấn đề khó lường với phòng thủ mạng, đó là vấn đề xác thực Máy chủ sẽ yêu cầu form xác thực để tránh việc truy xuất
dữ liệu tài nguyên không được phép
Trang 22Sau khi xác thực với máy chủ đó là các file an ninh Mỗi file hay mỗi một tài nguyên cần được thiết kế với mức an ninh riêng biệt Người ra lệnh thực hiện an ninh
là người truy nhập vào file này, với quyền truy nhập mà mỗi người được cấp Và file
an ninh này thậm chí có thể chỉ ra thời gian truy nhập và ngày tháng năm người dùng
đã truy nhập file này
Vấn đề tiếp theo đó là mức an ninh vật lý, việc quản lý người ra vào cơ quan, ra vào trụ sở và sử dụng máy tính đó là một phần của chiến lược phòng thủ
o Mục tiêu của kiểm soát truy nhập
Bất cứ mạng nào, quan trọng hay không về vấn đề phòng thủ đều yêu cầu xác thực người sử dụng là thành viên Quá trình này gọi là kiểm soát truy nhập Tất cả các mạng đều cần có hệ thống kiểm soát để chắc chắn những thành viên truy nhập vào mạng là được phép và hợp lệ
o Kiểm soát truy nhập
Với một mạng, một điều quyết định của vấn đề an ninh đó là xác định ai được quyền truy nhập cái gì Đó là công việc mang tính chuyên nghiệp của vấn đề an ninh
để đảm bảo rằng những người không được phép không thể truy nhập vào tài nguyên của hệ thống Hoặc xác định trạng thái kiểm soát truy nhập Điều này bảo vệ tài nguyên của hệ thống
Có 2 dạng kiểm soát truy nhập có thể được áp dụng:
- Mandatory Access Control (MAC) kiểm soát truy nhập bắt buộc
- Discretionary Access Control (DAC) kiểm soát truy nhập tuỳ ý khi cần thiết Chính sách an ninh sẽ định nghĩa dạng kiểm soát nào sẽ được sử dụng
o Kiểm soát truy nhập có tính bắt buộc
MAC là chính sách kiểm soát truy nhập hỗ trợ cho hệ thống để bảo vệ thông tin nhạy cảm hoặc thông tin bí mật Các cơ quan chính phủ thường dùng MAC, dữ liệu an ninh cần được phân loại với các mức như mật, tối mật, và phân quyền truy nhập theo mức Để thực hiện điều này thì cần có mạng con để che chắn và sử dụng firewall
để cho phép truy nhập với mức của người sử dụng
o Kiểm soát truy nhập khi cần thiết
DAC là chính sách kiểm soát truy nhập mà dùng để nhận dạng người sử dụng hay nhóm người sử dụng thuộc nhóm được quyền truy nhập và do quản trị thực hiện để kiểm soát ai truy nhập, truy nhập cái gì, kiểu truy nhập thực hiện cũng như các quyền đọc, ghi, update, xóa
o Xác thực
Một khi chính sách kiểm soát truy nhập được đặt ra, ở đó cần có một cơ chế để kiểm tra người sử dụng yêu cầu truy nhập
Trang 23Một phương pháp truyền thống đó là kiểm tra password Password là giá trị của người dùng tạo ra riêng biệt, hoặc được sinh ra từ hệ thống cho người sử dụng Trong bất cứ trường hợp nào người sử dụng cần phải nhớ password và nhập vào khi có yêu cầu đăng nhập Sự xác thực mạnh chỉ khi người sử dụng không chỉ đưa ra nhận dạng
số mà cần cả nhận dạng vật lý như vân tay,
o Bằng chứng xác thực
Với một số tổ chức, phương pháp truyền thống dùng password là không đủ và cần thực hiện cả giải pháp sinh trắc học Và một số thông tin xác thực có thể mang theo như thiết bị lưu động Một trong những phương pháp xác thực thông tin nổi tiếng được biết đến đó là xác thực thông tin an ninh ID RSA
o Challenge Response Token
Challenge Response Token là kỹ thuật xác thực sử dụng kiểu tính toán mà trong đó chứa chìa khoá nhận diện an ninh hoặc thuật toán như Network Access Server (NAS) Mỗi Challenge Response Token được tải xuống trước (pre-load) với dữ liệu được
mã hoá DES (Data Encryption Standard) mã hoá khoá và PIN của người dùng và so sánh với Username Không phải yếu tố này hay yếu tố kia được trích ra từ thiết bị lưu trữ
Token ở trên đòi hỏi người sử dụng phải thực hiện từng bước để truy nhập mạng
an toàn với việc sử dụng kỹ thuật challenge/response:
- Việc kích hoạt token bằng việc thay đổi PIN chỉ do người sử dụng biết Người dùng nhập vào mã PIN do mình lựa chọn cho token
- Người dùng bắt đầu với một chuỗi đăng nhập
- Người dùng gõ User ID vào yêu cầu đăng nhập của PC
- NAS sẽ kiểm tra mã PIN và User ID để xác thực với server như 1 phần của yêu cầu đăng nhập
- Xác thực tại server sẽ sinh ra 1 chuỗi ngẫu nhiên và gửi trả lại cho người dùng thông qua kết nối NAS
- Sau đó chuỗi này được gửi tới người dùng nơi đòi hỏi yêu cầu đăng nhập
- Người dùng gõ chuỗi ngẫu nhiên này vào token và giá trị ngẫu nhiên này sau
đó được mã hoá bên trong token bởi khoá DES
- Token hiển thị giá trị đã được mã hoá
- Người dùng gõ giá trị trả lời đã được mã hoá vào yêu cầu đăng nhập của PC thông qua bàn phím
- Xác thực tại server nhận giá trị trả lời (đã được mã hoá) và sử dụng khoá DES tương tự như token đã dùng, quá trình này được thực hiện và kiểm tra người dùng và token
Trang 24- Xác thực server sẽ gửi message tới NAS để cho phép người dùng được truy nhập.
Hình 2.4 Lược đồ thực hiện việc xác thực truy nhập
o Kiểm tra tính hợp lệ trên cơ sở token:
Đây là kỹ thuật an toàn nhằm kiểm tra tính hợp lệ của người dùng khi truy cập đến một máy chủ, mạng hoặc một hệ thống an toàn nào đó Những thiết bị này giúp loại trừ những truy cập mất an toàn (là những truy cập trong đó mật khẩu người dùng bị gửi đi đến những nơi có thể bị theo dõi) Những người lấy được mật khẩu này có thể đóng giả như người dùng và truy cập vào hệ thống an toàn Một giải pháp là tránh gửi mật khẩu đi dưới bất kỳ hình thức nào qua các kênh an toàn Đây là mục đích của việc
sử dụng token
Token là một thiết bị vật lý có kích thước như thẻ tín dụng được cài đặt trong máy tính, nó tạo thông tin cho người dùng trong quá trình nhập vào hệ thống Token cung cấp phương pháp xác thực hai nhân tố (two-factor authentication), trong đó, người dùng cung cấp những gì mình biết (mật khẩu), và cái mà họ có (do token tạo ra) Hai thành phần này giúp định danh người dùng và sau đó kiểm tra tính hợp lệ của người dùng Các cơ quan thường gán token cho người dùng ở xa hoặc lưu động, có nhu cầu truy cập hệ thống từ bên ngoài
SecurID là một token của Security Dynamics, dùng kỹ thuật dựa theo thời gian, trong đó, thiết bị hiển thị một số thay đổi từng phút đồng bộ với máy chủ an toàn Khi người dùng vào hệ thống, họ được yêu cầu nhập giá trị trên card SecurID Vì giá trị này thay đổi liên tục (chỉ dùng một lần), nó không thể dùng lại bởi người khác
Trang 25Cũng có các thiết bị token dựa trên phần mềm có khả năng cung cấp chức năng giống như các token phần cứng Chúng gồm chương trình chạy trên máy xách tay Tuy vậy, một số người cho rằng phương pháp này ít an toàn hơn là token phần cứng vì hệ thống phần mềm có thể dễ dàng sửa đổi.
ActiveCard, nhà sản xuất các thiết bị kiểm tra dựa trên token, dùng các chế độ vận hành dưới đây:
Trong chế độ “challenge/response”, một người dùng thử truy cập đến hệ thống an toàn được máy chủ gửi đến một yêu cầu (challenge) Giá trị ký tự số này xuất hiện trên màn hình người dùng và người dùng nhập nó vào thiết bị token Thiết bị này tính giá trị phản hồi (dùng thuật toán đặc biệt) dựa trên một thách thức ngẫu nhiên và một khóa
bí mật Phản hồi này xuất hiện trên màn hình thiết bị và người dùng nhập giá trị này vào Máy chủ thực hiện các bước tương tự để tạo đáp ứng bằng cách dùng yêu cầu và khóa mật Nếu phản hồi này trùng với phản hồi của người dùng, người dùng được truy cập hệ thống
Trong chế độ “time-plus-event challenge/response”, token và phần mềm kiểm tra mật khẩu dựa trên bộ đếm sự kiện và đồng hồ bên trong Việc kiểm tra đồng bộ thời gian/sự kiện dùng các mật khẩu đã được token và máy chủ xử lý Kết quả là đạt mức
an toàn mạnh hơn
Kerberos là hệ máy chủ an toàn, cung cấp token dựa trên phần mềm và phương pháp kiểm tra mật khẩu sử dụng một lần Các hệ an toàn khác có thể cài đặt phương pháp kiểm tra dựa trên token gồm RADIUS (Remote Authentication Dial-In User Service) và TACACS (Terminal Access Controller Access Control System)
Trang 26Time-based Token sử dụng kỹ thuật mà ở đó token an toàn và server an toàn sử dụng thuật toán giống nhau Để đạt được truy nhập, người dùng nhận được mã sinh ra
do token và thêm vào giá trị username và PIN để tạo ra password đã được mã hoá Passcode được kết hợp với giá trị này và thời gian hiện thời, sau đó được mã hoá với thuật toán và gửi tới server Server xác thực người dùng bằng cách sinh ra giá trị mà cho phép truy nhập đã được đăng ký PIN trước và sử dụng giá trị mầm và thuật toán tương tự để thông qua người dùng và token của họ
o Ảnh hưởng của phòng thủ
An ninh mạng bảo vệ tất cả các thông tin về kỹ thuật của doanh nghiệp bao gồm máy tính, server, cơ sở dữ liệu, các chương trình ứng dụng, các thiết bị ngoại vi, và một điều có lẽ là quan trọng nhất đó là dữ liệu An ninh mạng cho phép người dùng được phép truy nhập với công nghệ thông tin một cách nhanh chóng, ở bất cứ nơi nào
và với khách hàng trong và ngoài môi trường an toàn
Thực hiện kiểm soát an ninh, dù có hay không các lớp phòng thủ hay kiểu nào đó
để với mục đích che giấu các chức năng của mạng
Dù sao đi nữa không thể phủ nhận ảnh hưởng của phòng thủ đối với mạng Nhưng mục tiêu của phòng thủ đó là làm giảm ảnh hưởng trên mạng
o Firewall
Firewall là tuyến đầu tiên trong phòng thủ mạng Tất cả các gói tin đi vào mạng nên đi qua firewall một cách hợp thức Firewall hiện đại nhìn chung được kết hợp giữa phần mềm và phần cứng Firewall có thể được yêu cầu thực hiện lọc các gói tin, dịch địa chỉ mạng và dịch vụ proxy
Firewall có thể từ chối tác động từ mạng bằng cách block truy nhập tới nguồn tài nguyên Có thể thực hiện điều này bằng cách cấu hình firewall, khi đó các truy nhập mạng trở nên không hợp lệ
o Mã hoá
Tiến trình mã hoá đó là thực hiện chuyển đổi bản dữ liệu đọc được thành không thể đọc được thông qua thuật toán mã hoá Phía nhận được bản mã cần thực hiện tính toán tương tự để giải mã và đọc được bản dữ liệu đó
o Password
Sự bắt buộc khó khăn đối với người dùng đó là sử dụng password trong việc đăng nhập hay mở khoá máy tính Điều này được đòi hỏi khi đăng nhập mạng, và sử dụng password là một vấn đề khó khăn, đối với mạng đòi hỏi một password mạnh nhưng người dùng lại có thời gian hạn chế để tạo ra password Những nhân viên quản trị mạng nên giành nhiều thời gian để hướng dẫn người dùng cách tạo ra password mạnh
Trang 27Một trong những cách tạo ra password mạnh mà người dùng có thể dễ dàng nhớ đó
là sử dụng những thành ngữ (cụm từ) mà có thể không bao giờ gặp trong thực tế thay
vì những từ Cách này yêu cầu người dùng nhớ cụm từ mà cụm từ này có mối liên hệ tới ngày sinh và không mang lại rủi ro về an ninh Ví dụ:
I was Born on June 27! Có thể tạo ra password là: IwBoJ27!
Điều này chứng minh là có thể dễ dàng tạo ra những password mạnh và dễ nhớ nếu người dùng được hướng dẫn để tạo ra chúng
o Hệ thống phát hiện xâm nhập - IDS
Mặc dù một số thứ tương tự như IDS có thể không ảnh hưởng đến mạng, nhưng trong thực tế thì điều này có thể xảy ra Thực tế là IDS không ảnh hưởng nhiều lắm đến các gói tin khi các gói tin truyền qua mạng Tuy nhiên, nếu IDS không được cấu hình đúng đắn thì không thể phân biệt được đâu là lưu lượng (traffic) và đâu là xâm nhập, và như vậy những người làm an ninh hệ thống sẽ mất thời gian để tìm kiếm những tấn công không có thực và khi đó IDS sẽ gây ra vấn đề như gửi những thông tin sai gây ảnh hưởng tới mạng thậm chí nhóm an toàn hệ thống có thể dừng việc phòng thủ hoặc phản ứng chậm chạp
o Kiểm toán (sự kiện mạng)
Auditing: Liên quan đến các máy tính, kiểm tra các trang thiết bị, các chương trình, các hoạt động và các thủ tục để xác định mức độ hiệu quả của cả hệ thống đang vận hành, nhất là khía cạnh bảo đảm tính nguyên vẹn và tính an toàn bảo mật của dữ liệu
Trang 28CHƯƠNG 3
CHÍNH SÁCH, GIẢI PHÁP
& THIẾT BỊ BẢO VỆ MẠNG
Nội dung chương 3 bao gồm:
Chính sách an toàn thông tin
Trang 291.6 CHÍNH SÁCH AN TOÀN THÔNG TIN (Information security policy)
Mục tiêu: chính sách an toàn thông tin nhằm đưa ra sự hỗ trợ và định hướng cho vấn đề an toàn thông tin
Vấn đề quản lý các chính sách định hướng rõ ràng và chứng tỏ khả năng hỗ trợ, các cam kết về an toàn thông tin qua việc đưa ra và duy trì các chính sách về an toàn thông tin đối với một tổ chức
1.6.1 Tài liệu chính sách an toàn thông tin (Information security policy
document)
Tài liệu chính sách cần được phê chuẩn bởi nhà quản lý và cung cấp phổ biến cho mọi nhân viên, thêm vào đó là cách tiếp cận của tổ chức đối với vấn đề an toàn thông tin Tối thiểu bao gồm các hướng dẫn dưới đây:
- Định nghĩa về an toàn thông tin, mục tiêu và tầm quan trọng của an toàn khi thiết lập cơ chế cho việc chia sẻ thông tin (tham chiếu phần giới thiệu);
- Đưa ra mục tiêu của sự quản lý, mục đích và nguyên lý của an toàn thông tin
- Bản tóm tắt về các chính sách an toàn thông tin, các chuẩn cũng như các yêu cầu có tính chất quan trọng cho một tổ chức, ví dụ như:
- Tuân thủ các yêu cầu luật pháp và hợp đồng
- Các yêu cầu về kiến thức an ninh mạng
- Ngăn chặn, nhận dạng virus và các phần mềm hiểm độc khác
- Quản lý tính liên tục trong kinh doanh
- Các hậu quả của sự vi phạm các chính sách an toàn thông tin
- Định nghĩa chung và các trách nhiệm cụ thể cho vấn đề quản lý an toàn thông tin bao gồm các báo cáo về các vấn đề an toàn nói chung
- Tham chiếu các tài liệu có thể hỗ trợ các chính sách, như các chính sách về an toàn thông tin và các thủ tục cho các hệ thống thông tin cụ thể hoặc các quy tắc an toàn cho người dùng
Các chính sách này cần được phổ biến cho các tổ chức cũng như người dùng có liên quan
1.6.2 Nhận xét và đánh giá (Review and evaluation)
Cần có người chịu trách nhiệm cho việc duy trì và đánh giá các chính sách theo quy trình đã đưa ra ở phần trên Quy trình đó cần đảm bảo rằng các nhận xét đưa ra cần được thực hiện nhằm tạo ra các thay đổi có ảnh hưởng cơ bản đến sự đánh giá rủi
ro ban đầu, chẳng hạn như các sự cố an toàn mang tính chất quan trọng, các nguy cơ mới hoặc các thay đổi về cơ sở hạ tầng kỹ thuật trong tổ chức
Quá trình đó cần được ghi lại theo một trình tự, các nhận xét có tính định kỳ như dưới đây:
Trang 30- Tính hiệu quả của các chính sách, số lượng cũng như các tác động của các vấn
đề bảo mật đã ghi lại, …
- Chi phí và ảnh hưởng của các phép kiểm soát đến hiệu quả kinh doanh
- Hiệu quả của việc thay đổi kỹ thuật
1.6.3 Một ví dụ về chính sách an toàn thông tin
Phần này sẽ giới thiệu các chính sách về password
o Khái quát chung
Password là một khía cạnh quan trọng trong an ninh mạng máy tính Đó chính là phòng tuyến bảo vệ đầu tiên đối user account (tài khoản cá nhân - tài khoản người sử dụng) Một password "yếu" có thể trở thành một sự "thoả hiệp" cho việc xâm nhập vào mạng máy tính của doanh nghiệp hay cơ quan Vấn đề này được hiểu là tất cả nhân viên của công ty hay doanh nghiệp (những người thường xuyên truy nhập mạng của doanh nghiệp) phải có trách nhiệm thực hiện các biện pháp thích hợp ở một mức nào
đó để lựa chọn và đảm bảo an toàn password của họ
o Mục tiêu
Mục tiêu của chính sách này là thiết lập các tiêu chuẩn cho việc tạo ra các password "mạnh", bảo vệ các password này và thường xuyên thay đổi theo thời gian quy định
o Phạm vi của chính sách
Phạm vi điều chỉnh của chính sách với tất cả mọi người có account hoặc người có trách nhiệm về account (hoặc với bất cứ dạng form nào có hỗ trợ hoặc yêu cầu password) trên bất cứ hệ thống nào có truy nhập vào mạng, hoặc truy nhập vào nơi lưu trữ thông tin riêng tư
Tất cả các password ở mức người sử dụng (email, web, desktop computer, ) cần phải được thay đổi ít nhất 6 tháng một lần, khuyến nghị có thể thay đổi 4 tháng một lần
Password không được đưa vào nội dung email hoặc bất cứ form giao dịch điện tử nào
Trang 31Các chuỗi cần được định nghĩa không trùng với các chuỗi tiêu chuẩn như "public,"
"private" và "system" và phải khác với password sử dụng để đăng nhập các giao diện tương tác và hàm khoá hash phải được sử dụng nơi sử dụng SNMP (ví dụ SNMPv2)Các password của các mức hệ thống và mức user phải thoả mãn các quy tắc đã được mô tả phần tiếp theo
Nguyên tắc chung xây dựng password:
Password được sử dụng với mục đích khác nhau tại công ty, doanh nghiệp Một số password được sử dụng phổ biến bao gồm: user level account, web account, email account, screen saver protection, voicemail password, and local router logins Một số
hệ thống hỗ trợ sử dụng thẻ one-time token (sử dụng password thay đổi hay password dùng một lần), mỗi người sử dụng cần hiểu biết cách lựa chọn password mạnh khi sử dụng
Password yếu thường có các đặc tính sau:
Độ dài password nhỏ hơn 8 ký tự
Password là một từ có trong từ điển (tiếng Anh hoặc ngôn ngữ nào đó)
Password nói chung sử dụng những từ như:
+ Tên của gia đình, tên vật nuôi, tên bạn bè, nhân viên cộng tác, các thuộc tính tưởng tượng,
+ Tên và những vấn đề liên quan đến máy tính, các lệnh, các vị trí, tên các thứ kèm theo, phần cứng, phần mềm
+ Các từ như tên công ty, "sanjose", "sanfran" hoặc bất cứ từ nguồn gốc nào
+ Ngày sinh và những thông tin cá nhân như địa chỉ, số điện thoại, …
+ Các từ hay số có kiểu như: aaabbb, qwerty, zyxwvuts, 123321,
+ Bất cứ những từ đã trình bày ở trên nhưng được trình bày ngược lại
+ Bất cứ những từ đã trình bày ở trên và được thêm trước và sau nó là số (e.g., secret1, 1secret)
Password mạnh thường có các thuộc tính sau:
Password bao gồm các ký tự thường và viết hoa (như: a-z, A-Z)
Password bao gồm số và các ký tự câu ngữ pháp cũng như các ký tự như: 0-9, !
Trang 32Password không bao giờ được viết hoặc lưu trữ on-line Cố gắng tạo password mà
có thể dễ nhớ Một cách để làm như vậy đó là tạo password dựa trên tên bài hát, các câu khẳng định, hoặc các cụm từ khác Ví dụ như "This May Be One Way To Remember", "TmB1w2R!" hoặc "Tmb1W>r~"
Các tiêu chuẩn bảo vệ password:
Không sử dụng cùng một password cho account của công ty và những truy nhập không thuộc phạm vi công ty quản lý (account cá nhân ISP, lựa chọn kinh doanh và phúc lợi ) Không sử dụng cùng password cho việc truy nhập ở các hệ thống khác nhau Ví dụ, lựa chọn một password cho hệ thống engineering và password riêng cho
hệ thống IT Cũng tương tự như vậy, chọn password riêng biệt cho NT account và UNIX account
Không được chia sẻ password với bất kỳ ai, kể cả người hỗ trợ quản lý hay thư ký Tất cả password cần được giữ gìn như thông tin mật một cách thận trọng
Những việc không được làm
+ Không được tiết lộ password qua điện thoại với bất kỳ ai
+ Không được tiết lộ password qua email
+ Không được tiết lộ password với sếp
+ Không được nói về password trước mặt người khác
+ Không được gợi ý về password
+ Không được tiết lộ password qua bản thăm dò ý kiến hay các form về bảo mật+ Không được chia sẻ password với các thành viên khác trong gia đình
+ Không được tiết lộ password với người cộng tác
Nếu có ai đó yêu cầu password thì hãy chuyển cho họ xem tài liệu này hoặc bảo họ gọi điện thoại tới bộ phận có trách nhiệm bảo mật thông tin
Không sử dụng thuộc tính lưu password của các ứng dụng (như Eudora, OutLook, Netscape Messenger )
Không được viết, lưu password tại văn phòng Không được lưu password trên file
ở bất kỳ hệ thống máy tính nào mà không được mã hoá
Thay đổi password cứ 6 tháng 1 lần (trừ password mức hệ thống, thay đổi 3 tháng
1 lần) Khuyến nghị thay đổi cứ 4 tháng 1 lần
Nếu password hoặc account bị nghi ngờ là đã có sự thoả hiệp, báo cáo ngay sự việc cho bộ phận chịu trách nhiệm về an toàn thông tin và thay đổi toàn bộ password.Kiểm tra độ tin cậy của password được thực hiện thường xuyên bởi bộ phận chịu trách nhiệm về an toàn thông tin Nếu password có nguy cơ bị lộ thì người dùng cần được yêu cầu đổi password
Các tiêu chuẩn phát triển ứng dụng:
Trang 33Các chuyên viên phát triển ứng dụng phải nắm chắc nội dung các chương trình phòng ngừa mất an toàn sau:
• Nên xây dựng hỗ trợ xác thực với mỗi cá nhân riêng biệt, không hỗ trợ nhóm
• Không lưu password dưới dạng bản rõ, hay bất kỳ dạng nào dễ khám phá
• Nên cung cấp phần mềm giữ vai trò quản lý, để một user có thể thực hiện chức năng mà không cần phải biết password
nếu có thể
Sử dụng password và cụm từ cho truy nhập từ xa:
Truy nhập mạng với truy nhập từ xa cần phải được kiểm soát và sử dụng password xác thực một lần hoặc hệ thống khoá công khai/bí mật với passphrase mạnh
Passphrase:
Passphrase là khái niệm chung được sử dụng trong xác thực khoá công khai/bí mật Hệ thống khoá công khai bí mật định nghĩa mối quan hệ toán học giữa khoá công khai mọi người đều biết và khoá bí mật chỉ có người sử dụng biết, không có passphrase để "unlock" mở khoá riêng thì người dùng không thể truy nhập thành công.Passphrase không giống như password Passphrase là kiểu dài hơn của password
và do đó an toàn hơn Passphrase là một kiểu điển hình của nhiều từ phức tạp Do đó,
nó an toàn hơn với kiểu tấn công từ điển
Một passphrase tốt gồm đặc tính có độ dài và chứa các ký tự thường và hoa và số
và ký tự về câu Ví dụ: "The*?#>*@TrafficOnThe101Was*&#!#ThisMorning"
Tất cả các luật cho password cũng áp dụng cho passphrase
1.7 GIẢI PHÁP BẢO VỆ MẠNG
1.7.1 Giới thiệu chung về VPN
Sự mở rộng của Internet toàn cầu và sự thống trị của các ứng dụng trên nền IP based applications) đã mở đường cho các nhà cung cấp dịch vụ trong việc phát triển và cung cấp các dịch vụ mới cho khách hàng Một trong những giải pháp mang tính thời
(IP-sự hiện nay đổi với tất cả các nhà cung cấp truy nhập (IAP) và cung cấp dịch vụ (ISP)
là VPN (Virtual Pravate Network) Đây là giải pháp mang lại hiệu quả cao về kinh tế, chất lượng cũng như sự đảm bảo độ tin cậy dữ liệu cho khách hàng Để đáp ứng nhu cầu sử dụng VPN, đồng thời đa dạng hoá các loại hình dịch vụ cung cấp cho khách hàng
o Khái niệm về VPN
Ngày nay, có rất nhiều định nghĩa khác nhau về VPN, xét về bản chất VPN được định nghĩa như sau:
Trang 34“VPN là một mạng ảo được xây dựng tích hợp trên môi trường mạng công cộng,
cơ chế hoạt động của mạng ảo này tương tự như 01 mạng riêng”
o Công nghệ VPN
Ngoài cách phân loại VPN theo phân lớp OSI, người ta còn có thể chia VPN theo phương pháp thiết lập: kiểu “overlay” hay kiểu “peer” Trong phương thức xây dựng kiểu “overlay”, mạng được xây dựng bằng cách tạo đường hầm từ điểm này sang điểm khác mà ít quan tâm đến các hop trên 1 đường hầm Như vậy, có thể coi kết nối từ điểm này sang điểm khác theo kiểu point-to-point từ hai điểm kết đầu cuối Với phương thức thiết lập theo mô hình “peer”, dữ liệu truyền đi trên mạng theo từng hop
và như vậy giống với mô hình truyền dữ liệu theo giao thức IP truyền thống Hiện có 3 nguyên lý xây dựng mạng VPN trên nền tảng hạ tầng mạng IP công cộng:
o Kết hợp IP access-list và chính sách định tuyến
Đây là mô hình VPN không rành mạch và khó thực thi: Nhà cung cấp sẽ thực hiện filter lưu lượng cũng như các thông tin định tuyến giữa các site đầu cuối Có hai yêu cầu chính cho mô hình này là phải thuê mạng lưới của 1 nhà cung cấp dịch vụ duy nhất và địa chỉ IP phải xác định Loại VPN này có thể xếp vào loại “peer” vì mỗi một điểm trên mạng lưới đều tham gia vào quá trình định tuyến cho lưu lượng của mạng VPN Hạn chế cơ bản của nguyên lý xây dựng VPN này là khi mạng VPN càng phát triển sẽ càng khó quản lý, quá phức tạp và không linh hoạt khi ta tiếp tục xây dựng các kết nối peer
o Mã hóa và tạo đường hầm
Có rất nhiều phương thức tạo đường hầm khác nhau được sử dụng, và phương thức mã hóa thì được lựa chọn và phụ thuộc vào chính sách của mỗi công ty khác nhau Các giao thức tạo đường hầm có thể là GRE, L2TP, L2F, PPTP Phương thức
mã hóa có thể là theo một chuẩn mã hóa phát triển riêng hoặc theo IPSec Đây là VPN kiểu “overlay” bởi vì dữ liệu mã hóa của mạng VPN chạy bên trong các đường hầm được xây dựng từ điểm này tới điểm kia
VPN trên công nghệ IPSec: IPSec là chuẩn mở qui định khả năng mã hoá và bảo mật dữ liệu mạng dùng riêng được truyền tải trên mạng công cộng Chuẩn IPSec được phát triển bởi IETF (Internet Engineering Task Force), đảm bảo tính bảo mật, nguyên vẹn, và khả năng xác thực cho các dữ liệu mạng dùng riêng VPN Khả năng mã hoá và xác thực có thể được thực hiện trên nhiều mức khác nhau như hình minh hoạ dưới đây:
Trang 35Hình 3.1 Các mức mã hóa và xác thực
Tuy nhiên, IPSec thực hiện công việc mã hoá và xác thực tại layer 3, cung cấp một giải pháp bảo mật end-to-end trong bản thân cấu trúc của mạng lưới Do vậy, các hệ thống đầu cuối cũng như các ứng dụng không cần thiết phải thay dổi nhưng vẫn tận dụng được ưu thế của một cơ chế bảo mật mạnh Các gói tin bảo mật giống như các gói tin IP thông thuờng nên có thể dễ dàng định tuyến trên mạng IP mà không cần sự thay đổi đặc biệt nào liên quan đến cấu hình các thiết bị mạng lưới Chỉ những thiết bị kết nối mạng VPN mới thực sự cần giải mã dữ liệu Đặc tính này giảm tối đa chi phí thiết lập và bảo trì mạng
Công nghệ IPSec: IPSec kết hợp nhiều công nghệ bảo mật tạo thành một hệ thống duy nhất cung cấp khả năng bảo toàn dữ liệu, và mức độ xác thực rất cao IPSec thường bao gồm các công nghệ sau:
- Cơ chế trao đổi khoá mã Diffie-Hellman giữa các thực thể trên mạng VPN
- Cơ chế mã hoá theo kiểu chìa khoá công cộng (public key) sử dụng trao đổi
mã hoá Diffie-Hellman đảm bảo nhận dạng hai thực thể để tránh kiểu tấn công man-in-the-midle
- Các thuật toán mã hoá như DES hay 3DES để mã hoá dữ liệu
- Thuật toán băm khoá mã (key hash) như HMAC kết hợp với các thuật toán băm truyền thống như MD5 hay SHA để cung cấp cơ chế xác thực có độ bảo mật cao
- Hệ thống cấp certificate (digital certificate) được cung cấp bởi một hệ thống certificate hoạt động theo nguyên lý giống như sử dụng ID card
IPSec kết hợp các công nghệ bảo mật để đảm bảo tính nguyên vẹn, mã hoá và xác thực cho các gói tin IP IPSec bao gồm một nhóm các giao thức:
RFC 2401: Kiến trúc bảo mật cho giao thức IP
RFC 2402: Qui định về phần header xác thực AH
RFC 2403: Sử dụng HMAC-MD5-96 trong ESP hay AH
RFC 2404: Sử dụng HMAC-SHA-1-96 trong ESP hay AH
Trang 36RFC 2405: Thuật toán mã hoá ESP DES-CBC Cipher với Explicit IV.
RFC 2406: IP Encapsulating Security Payload (ESP)
RFC 2407: Giao thức Internet IP security Domain of Interpretation trong ISAKMP
RFC 2408: Giao thức Internet Security Association and Key Management ISAKMP
RFC 2409: Internet Key Exchange (IKE)
RFC 2410: Thuật toán Null Encryption và khả năng sử dụng với IPSec
RFC 2412: Giao thức OAKLEY Key Determination
Các chuẩn trên xác định:
Giao thức IP bảo mật: Định nghĩa các thông tin cần thêm vào gói tin IP để đảm bảo tính nguyên vẹn, điều khiển mã hoá và xác thực cũng như định nghĩa cơ chế mã hoá dữ liệu
Sự trao đổi khoá mã: Cơ chế thương lượng phương thức bảo mật giữa hai thực thể
và phương thức trao đổi khoá mã Người ta có thể không nhất thiết phải sử dụng IKE nhưng việc tự định nghĩa phương thức bảo mật là rất khó khăn và đòi hỏi khối lượng công việc thực hiện lớn
Nên sử dụng IKE trong các ứng dụng để có thể mở rộng qui mô của mạng lưới VPN
Cấu trúc của gói tin IPSec: IPSec định nghĩa một tập hợp các tiêu đề được gắn thêm vào gói tin IP để tạo gói tin IPSec mới Phần tiêu đề này được đặt sau phần tiêu
đề của gói tin chưa mã hoá và trước giao thức layer 4 (thông dụng là UDP hay TCP) Phần tiêu đề mới cung cấp thông tin để bảo mật phần nội dung của các gói tin IP như sau:
Authentication Header AH: Phần tiêu đề này khi được gắn kết vào gói tin IP sẽ đảm bảo được tính xác thực và sự nguyên vẹn của gói tin bao gồm luôn cả trường bất biến trong tiêu đề của gói tin IP AH không cung cấp sự bảo mật cho thông tin chứa bên trong AH sử dụng thuật toán băm khoá mã nhiều hơn là sử dụng cơ chế chữ ký điện tử Chữ ký điện tử rất phù hợp cho việc thiết lập nhận dạng nhau cho các thực thể
ở hai đầu của VPN, nhưng việc xử lý phức tạp phần tiêu đề sẽ làm giảm tốc độ và băng thông của mạng
Encapsulating Security Payload (ESP): Phần tiêu đề này khi được gắn kết vào gói tin IP sẽ cho phép bảo vệ tính bảo mật, sự nguyên vẹn và tính xác thực của gói tin IP Nếu ESP được sử dụng để kiểm tra tính toàn vẹn của gói tin IP thì nó sẽ không bao gồm trường bất biến của tiêu đề gói tin
Trang 37AH hay ESP có thể được sử dụng độc lập hoặc sử dụng đồng thời, mặc dù trong phần lớn các ứng dụng việc sử dụng một cơ chế là đủ IPSec không định nghĩa thuật toán bảo mật cho cả AH lẫn ESP mà thay vào đó là cung cấp một cơ chế mở cho việc
áp dụng các các thuật toán mã hoá chuẩn công nghiệp Ban đầu, phần lớn việc thiết lập IPSec đều hỗ trợ MD5 của RSA Data Security hay Secure Hash Algorithm (SHA) được chính phủ Mỹ chuẩn hoá cho sử dụng để xác thực và kiểm tra tính nguyên vẹn Thuật toán DES hiện nay được sử dụng rộng rãi nhất mặc dù các RFC có khuyến nghị thêm các thuật toán như IDEA, Blowfish hay RC4 IPSec cung cấp 2 mode hoạt động chính là “tunnel mode” và “transport mode” như minh hoạ dưới đây:
Hình 3.2 Tunnel Mode và Transport Mode
Trong transport mode, chỉ có phần dữ liệu bên trong gói tin được bảo mật và mã hoá còn phần tiêu đề của gói tin được giữ nguyên Mode hoạt động này cho lợi điểm là chỉ làm tăng kích thước gói tin lên một vài byte mà thôi Nhưng đồng thời mode hoạt động này cũng cho phép các thiết bị trên mạng có thể phát hiện ra địa chỉ đi và địa chỉ đến của gói tin Nhờ tính chất của mode hoạt động transport cho phép người ta có thể thực hiện các tác vụ điều khiển đặc biệt như QoS (Quality of Service) trên các thiết bị mạng lưới trung gian dựa vào thông tin tiêu đề Tuy nhiên, phần tiêu đề của các giao thức mức 4 vẫn được mã hoá và không cho phép phân tích nội dung của gói tin Mode hoạt động này có một điểm hạn chế là do để lộ phần tiêu đề gói tin làm cho những tin tặc hoàn toàn có khả năng phân tích lưu lượng Ví dụ tin tặc có thể phát hiện việc 1 CEO có thể gửi thư cho 1 CEO khác với khối lượng nhiều Nhưng tin tặc hoàn toàn chỉ biết được lưu lượng dữ liệu gửi đi chứ không thể xem được nội dung bên trong là email hay một ứng dụng khác
Trang 38Trong tunnel mode, toàn bộ gói tin nguyên thuỷ được mã hoá và đóng thành phần
dữ liệu của gói tin IPSec mới Mode này khiến cho các thiết bị mạng lưới như router đóng vai trò như một IPSec proxy có nghĩa là router sẽ thực hiện việc mã hoá gói tin Router nguồn sẽ thực hiện mã hoá gói tin và gửi chúng theo đường hầm IPSec đến router đích Tại router đích nó sẽ thực hiện quá trình giải mã gói tin và đưa chúng tới máy tính đích Lợi điểm cơ bản của mode tunnel là các thiết bị cuối không cần phải sửa đổi cấu hình mà vẫn sử dụng được cơ chế mã hoá của IPSec Mode tunnel cũng chống lại khả năng phân tích lưu lượng Với mode tunnel thì tin tặc chỉ có thể biết được điểm kết thúc của đường hầm mà không biết đích xác địa chỉ đích và địa chỉ nguồn của gói tin thậm chí cả khi đích chính là thiết bị nơi kết thúc đường hầm
Theo định nghĩa của IETF, IPSec transport mode được sử dụng chỉ khi thiết bị cả hai đầu đều hiểu IPSec như trong hình vẽ dưới Trong rất nhiều trường hợp, tunnel mode được sử dụng cho phép thiết lập IPSec trên các hệ thống mà không đòi hỏi phải sửa đổi hệ điều hành hay các ứng dụng chạy trên PC, server hay host
Hình 3.3 Tunnel Mode và Transport Mode
Trang 39Mô hình mã hoá Security Association (SA): IPSec cung cấp rất nhiều lựa chọn để xác thực và mã hoá Mỗi một kết nối IPSec cung cấp khả năng mã hoá hoặc tính nguyên vẹn và xác thực hoặc cả hai Khi dịch vụ mã hoá đã được xác định, hai đầu cuối liên lạc cần quyết định việc sử dụng thuật toán gì (ví dụ: IDEA, DES cho mã hoá
và MD5 và SHA cho tính nguyên vẹn) Sau khi quyết định thuật toán, hai thiết bị cần liên lạc phải chia sẻ khoá mã riêng cho phiên kết nối Như ta thấy, khi thực hiện trao đổi, có một số thông tin cần phải được giám sát Mô hình mã hoá (security association)
là phương pháp để IPSec sử dụng để giám sát thông tin liên quan đến một phiên kết nối IPSec Một SA là mối quan hệ giữa hai hay nhiều hơn 2 thực thể và miêu cả cách thức mà các thực thể mạng IPSec sử dụng dịch vụ mã hoá để trao đổi thông tin 1 cách bảo mật Thuật ngữ này có thể gây sự nhầm lẫn vì thực ra thuật ngữ SA được sử dụng nhiều hơn IPSec Ví dụ IKE SA miêu tả các tham số bảo mật giữa hai đầu cuối IKE
SA có tính đơn hướng có nghĩa là một phiên trao đổi thông tin từ A đến B đồng nghĩa với việc có hai kết nối bảo mật A sang B và B sang A SA được định nghĩa một cách duy nhất do sử dụng ngẫu nhiên một chỉ số duy nhất gọi là chỉ số các tham số bảo mật SPI (security parameter index) và địa chỉ IP của thiết bị đích Khi một hệ thống gửi thông tin cần bảo mật bằng IPSec, hệ thống tìm kiếm SA trong database của mình và ứng dụng một tiến trình đặc biệt và chèn SPI vào phần tiêu đề của gói tin mã hoá IPSec Khi thiết bị hỗ trợ IPSec phía bên kia nhận được gói tin, nó kiểm tra SA trong database, căn cứ vào địa chỉ đích và số SPI và xử lý gói tin như mong muốn Nói vắn tắt ta có thể cho rằng SA là một bản tóm tắt của các chính sách bảo mật được trao đổi giữa 2 thiết bị
Giao thức quản lý khoá mã Internet (IKMP–Internet Key Management Protocol): Giao thức IPSec luôn mặc định là đã có một SA tồn tại tuy nhiên lại không có cơ chế tạo ra SA đó Khuyến nghị của IETF chia quá trình thực hiện ra thành 2 phần: IPSec cung cấp khả năng xử lý cho mức gói dữ liệu trong khi IKMP thực hiện thương lượng
mô hình SA sử dụng Sau khi cân nhắc việc sử dụng 1 số các biến thể, bao gồm cả Simple Key Internet Protocol (SKIP) hay Photuris, IETF quyết định lựa chọn IKE là phương thức chuẩn hoá để cấu hình SA cho giao thức IPSec IKE tạo ra một đường hầm có xác thực và mã hoá giữa 2 thực thể và sau đó sẽ thực hiện thương lượng SA sử dụng cho IPSec Quá trình này đòi hỏi cả hai thực thể thực hiện xác thực lẫn nhau và tạo lập ra một mã khoá dùng chung
Khả năng xác thực: Hai thực thể IPSec hai đầu của một đường hầm phải xác thực lẫn nhau IKE là một giao thức có tính khả chuyển và hỗ trợ nhiều phương pháp xác thực khác nhau Trong thực tế người ta thường sử dụng các phương pháp xác thực như sau :
Trang 40Khoá mã chia sẻ (Preshared Key): Một khoá mã giống nhau được cài đặt cố định trên cả hai hệ thống đầu cuối Các đối tác IKE xác thực lẫn nhau bằng cách tính toán
và gửi thông tin đã mã hoá có bao gồm cả khoá mã Nếu như đối tác có khả năng độc lập tạo ra dữ liệu mã hoá bằng cách sử dụng mã khoá tương tự, thì có nghĩa là hai đối tác chia sẻ chung mã khoá bí mật và như vậy là đã thực hiện xác thực đối tác phía bên kia
Mã hoá khoá mã công cộng (Public Key Cryptography): mỗi một đầu cuối tạo ra 1
số ngẫu nhiên (gọi là nonce) và mã hoá số này bằng mã khoá công cộng (public key) của đầu cuối bên kia Khả năng mỗi một đầu cuối tính toán được mã khoá chứa đựng nonce của đầu cuối bên kia, có thể giải mã với mã khoá riêng của mình (private key) cũng như các thông tin công cộng và riêng khác tạo khả năng xác thực cho cả hai phía
Cơ chế này tạo sự giao dịch có tính năng từ chối có nghĩa là cả hai đầu đều có khả năng từ chối thông minh trong phiên trao đổi thông tin Hiện tại chỉ thuật toán mã khoá công cộng của RSA được chấp nhận sử dụng
Chữ ký điện tử: Mỗi một thiết bị mã hoá một tập dữ liệu và gửi đến đầu đối tác bên kia Phương thức này giống hệt phương thức trên trừ một điểm là phương thức sử dụng chữ ký điện tử có khả năng từ chối Hiện nay các hãng sản xuất đều hỗ trợ cả thuật toán mã khoá công cộng RSA và chuẩn chữ ký điện tử (Digital Signature Standard–DSS)
Cả hai phương thức sử dụng chữ ký điện tử và mã hoá mã khoá công cộng đều có
sử dụng chứng thực certificate xác nhận tính hợp lệ của phép ánh xạ public/private IKE cho phép certificate được truy cập tới một cách độc lập hay cho phép 2 thiết bị có thể trao đổi certificate như là 1 trong nhiều bước hoạt động của IKE
Trao đổi khoá mã: Cả hai thực thể phải có một mã khóa chung trong phiên làm việc để mã hoá đường hầm IKE Giao thức Diffie-Hellman sử dụng để thoả thuận mã khoá chung cho phiên làm việc Quá trình trao đổi cũng được xác thực để tránh các cuộc tấn công kiểu man-in-the-midle
Sử dụng IKE kết hợp với IPSec: Hai bước xác thực và trao đổi mã khoá tạo nên IKE SA và một đường hầm bảo mật giữa hai thiết bị Một đầu của đường hầm đàm phán để sử dụng 1 tập hợp các thuật toán, đầu phía bên kia sẽ chấp nhận sử dụng 1 trong các thuật toán đó hay là xoá bỏ toàn bộ kết nối Khi cả hai đầu đã thiết lập được
sẽ sử dụng thuật toán nào, cả hai phải có được mã khoá sử dụng cho IPSec, với AH hay ESP hay cả hai IPSec sử dụng mã khoá chung khác so với mã khoá IKE Mã khoá chung IPSec có thể là kết quả của việc sử dụng giao thức Diffie-Hellman để có thể chắc chắn đảm bảo khả năng chuyển thông tin bảo mật hoàn hảo Hoặc mã hoá trên cũng có thể thực hiện tạo bằng cách làm mới thông tin bảo mật chia sẻ từ mã khoá có được từ giao thức khởi điểm Diffie-Hellman mà đã tạo ra IKE SA bằng cách băm (hash) với các số ngẫu nhiên Phương thức đầu tiên cho khả năng bảo mật cao nhưng lại làm cho hệ thống chạy chậm hơn Sau khi thực hiện toàn bộ quá trình trên người ta