1. Trang chủ
  2. » Công Nghệ Thông Tin

An ninh mạng IP

124 2,3K 13

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 124
Dung lượng 20,15 MB

Nội dung

Nhưng với những kết nối truy nhập từ xa có mối liên hệ với doanh nghiệp qua mạng Internet sử dụng đường kết nối không chuyên dụng để kết nối tới mạng của doanh nghiệp thì nguy cơ có nhữn

Trang 1

LỜI NÓI ĐẦU

Với chiến lược phát triển toàn diện mang tính chất đón đầu về công nghệ nhằm tạo ra tiềm lực to lớn, đủ sức cạnh tranh về chất lượng và sự đa dạng hóa các dịch vụ giá thành thấp, năng suất lao động cao, Tập đoàn Bưu chính Viễn thông Việt nam có chiến lược và kế hoạch chuyển đổi mạng Viễn thông số sang mạng thế hệ sau (NGN) Mạng NGN có hạ tầng thông tin duy nhất dựa trên công nghệ chuyển mạch gói, triển khai dịch vụ một cách đa dạng và nhanh chóng, đáp ứng sự hội tụ giữa thoại và số liệu, giữa cố định và di động, bắt nguồn từ sự tiến bộ của công nghệ thông tin và các

ưu điểm của công nghệ chuyển mạch gói nói chung và công nghệ IP nói riêng và công nghệ truyền dẫn quang băng rộng Cấu trúc của mạng thế hệ sau và các nguyên tắc hoạt động của nó về cơ bản khác nhiều so với cấu trúc của mạng PSTN hiện nay Do vậy đội ngũ kỹ sư và cán bộ kỹ thuật Viễn thông cần phải được bồi dưỡng cập nhật kiến thức về công nghệ mới này, có như vậy họ mới đủ khả năng và trình độ vận hành khai thác quản lý và triển khai các dịch vụ Viễn thông một cách an toàn và hiệu quả.

Chương trình “Bồi dưỡng kỹ sư điện tử viễn thông về công nghệ IP và NGN”

của Tập đoàn được xây dựng với mục đích cung cấp kiến thức và kỹ năng cơ bản liên quan tới công nghệ IP và NGN cho các cán bộ kỹ thuật đang trực tiếp quản lý và khai thác hệ thống trang thiết bị tại cơ sở nhằm đáp ứng yêu cầu về chuyển đổi công nghệ mạng lưới và dịch vụ viễn thông của Tập đoàn.

Cuốn tài liệu “An ninh mạng IP” bao gồm 6 chương, trình bày các vấn đề cơ bản

về an ninh mạng IP.

Chương 1 Tổng quan về an ninh mạng

Chương 2 Chiến lược đảm bảo an toàn mạng.

Chương 3 Chính sách, giải pháp và thiết bị bảo vệ mạng.

Chương 4 Bảo vệ dữ liệu bằng mật mã và chứng thực người sử dụng.

Chương 5 Giới thiệu về an ninh mạng không dây.

Chương 6 Case Study.

Trong quá trình biên soạn, mặc dù giáo viên đã rất cố gắng, tuy nhiên không thể tránh khỏi những thiếu sót Rất mong nhận được ý kiến đóng góp của các bạn đọc để những lần xuất bản sau chất lượng của tài liệu được tốt hơn.

TRUNG TÂM ĐÀO TẠO BƯU CHÍNH VIỄN THÔNG 1

Trang 2

MỤC LỤC

LỜI NÓI ĐẦU i

MỤC LỤC ii

DANH SÁCH HÌNH iv

DANH SÁCH BẢNG vi

CHƯƠNG 1 1

1.1 TOÀN CẢNH VỀ VẤN ĐỀ AN NINH MẠNG 2

1.2 CÁC NGUY CƠ, CÁC KIỂU TẤN CÔNG 3

1.2.1 Các nguy cơ tấn công 3

1.2.2 Các kiểu tấn công 4

CHƯƠNG 2 8

1.3 CÁC YÊU TỐ AN NINH MẠNG 9

1.3.1 Quyền và tính hiệu lực 9

1.3.2 Xác thực 9

1.3.3 Sự tin cậy 10

1.3.4 Tính toàn vẹn 10

1.3.5 Tính không thể chối bỏ 11

1.4 CHIẾN LƯỢC ĐẢM BẢO AN TOÀN MẠNG 11

1.4.1 Chiến lược phòng thủ 11

1.4.2 Phòng thủ theo chiều sâu 12

1.5 CÁC KỸ THUẬT PHÒNG THỦ 15

CHƯƠNG 3 22

1.6 CHÍNH SÁCH AN TOÀN THÔNG TIN (Information security policy) 23

1.6.1 Tài liệu chính sách an toàn thông tin (Information security policy document) 23

1.6.2 Nhận xét và đánh giá (Review and evaluation) 23

1.6.3 Một ví dụ về chính sách an toàn thông tin 24

1.7 GIẢI PHÁP BẢO VỆ MẠNG 27

1.7.1 Giới thiệu chung về VPN 27

1.7.2 FIREWALL 35

1.7.3 Hệ thống phát hiện xâm nhập (IDS) 52

CHƯƠNG 4 61

Trang 3

1.8 ĐỊNH NGHĨA MẬT MÃ 62

1.9 ỨNG DỤNG 62

1.9.1 Phương pháp mã hóa dữ liệu 62

1.9.2 Chữ ký điện tử 63

1.9.3 Chứng chỉ số 64

1.10 KẾT CHƯƠNG 94

CHƯƠNG 5 97

1.11 GIỚI THIỆU VỀ AN NINH MẠNG KHÔNG DÂY (Wireless) 98

1.12 AN NINH MẠNG CHO MẠNG LAN KHÔNG DÂY (Wireless LAN) 101

CHƯƠNG 6 107

1.13 GIỚI THIỆU VỀ DENIAL OF SERVICE (DoS) 108

1.14 MỘT SỐ KIỂU TẤN CÔNG DoS PHỔ BIẾN 108

1.14.1 Tấn công Ping of Death 108

1.14.2 SYN Floods 109

1.14.3 Tấn công Land 109

1.14.4 Tấn công WinNuke 109

1.14.5 Teardrop 110

1.14.6 Tấn công Smurf 110

1.14.7 UDP Flooding 110

1.14.8 Tấn công DNS 111

1.14.9 Tấn công Distributed DoS (DDoS) 111

1.14.10 Tấn công DRDoS (Distributed Reflection Denial of Service) 111

1.15 MỘT SỐ CÔNG CỤ TẤN CÔNG DoS 111

THUẬT NGỮ VIẾT TẮT 114

TÀI LIỆU THAM KHẢO 118

Trang 4

DANH SÁCH HÌNH

Hình 2.1 Phòng thủ theo chiều sâu 12

Hình 2.2 Các lớp bảo vệ 14

Hình 2.3 Sơ đồ các lớp phòng thủ để đến được file 15

Hình 2.4 Lược đồ thực hiện việc xác thực truy nhập 18

Hình 2.5 Time-base Token 19

Hình 3.1 Các mức mã hóa và xác thực 29

Hình 3.2 Tunnel Mode và Transport Mode 31

Hình 3.3 Tunnel Mode và Transport Mode 32

Hình 3.4 Mô hình Firewall 35

Hình 3.5 Lọc gói tin 38

Hình 3.6 Mô hình Multi-homed 38

Hình 3.7 Mô hình Screened Host 39

Hình 3.8 Mô hình DMZ 39

Hình 3.9 Các phương pháp thực thi Firewall 40

Bảng 3.1 Một số câu hỏi liên quan đến chính sách Firewall 44

Hình 3.10 Các mức lọc gói tin 45

Hình 3.11 Kết nối cổng 46

Bảng 3.2 Một số rule trong firewall với cổng xác định 46

Hình 3.12 Kiểm tra gói tin stateful 50

Hình 3.13 Kịch bản cho mạng hỗn hợp 52

Hình 3.14 Phân tích sự chuyển đổi trạng thái 55

Hình 3.15 Các vị trí đặt NIDS trong mạng 57

Hình 3.16 Mô hình điều khiển tập trung 57

Hình 3.17 Mô hình điều khiển phân tán 58

Hình 3.18 Mô hình điều khiên phân tán dựa trên Agent 58

Hình 4.1 Sử dụng mật khẩu chứng thực cho máy khách kết nối tới máy dịch vụ 66

Hình 4.2 Chứng chỉ số chứng thực cho máy khách kết nối tới máy dịch vụ 66

Hình 4.3 Chứng chỉ khóa công khai dựa trên CA 69

Trang 5

Hình 4.4 Chứng thực đệ qui 71

Hình 4.5 Khuôn dạng chứng chỉ trong phiên bản v1 và v2 của X 509 73

Hình 4.6 Cấu trúc đặt tên theo X.500 74

Hình 4.7 Tên đối tượng 75

Hình 4.8 Khuôn dạng chứng chỉ X.509 v3 77

Hình 4.9 Thu hồi chứng chỉ 85

Hình 4.10 Thu hồi chứng chỉ theo khuôn dạng X509 v3 87

Hình 4.11 Quá trình hủy bỏ chứng chỉ 88

Hình 5.1 Enterprise Access Server trong Gateway Mode 101

Hình 5.2 Enterprise Access Server trong Controller Mode 102

Hình 5.3 Mô hình bảo mật không cho mạng không dây 102

Hình 5.4 Quá trình mã hóa và giải mã 103

Hình 5.5 Mô hình xác nhận 104

Hình 5.6 Xác nhận 802.1x EAP-TLS 105

Hình 5.7 802.1x EAP-TLS trong Controller Mode 105

Hình 6.1 Mô hình tấn công DoS 108

Trang 6

DANH SÁCH BẢNG

Trang 8

1.1 TOÀN CẢNH VỀ VẤN ĐỀ AN NINH MẠNG

Trong thế giới ngày nay, việc tấn công các mạng máy tính ngày càng trở nên dễ dàng hơn Có rất nhiều công cụ đễ hỗ trợ, công nghệ ngày càng phát triển tạo ra những máy tính có cấu hình mạnh hơn, cộng thêm với việc bảo mật chưa thật sự được chú trọng Hiện nay còn nhiều doanh nghiệp không cho rằng đây là mối đe doạ nghiêm trọng Họ không nhìn nhận thấy tầm quan trọng của việc tạo ra một mạng an toàn Họ không nhìn nhận thấy sự cần thiết phải chi những khoản tiền cho việc bảo vệ những tài sản điện tử của họ Nhưng thực tế cho thấy là rất cần thiết Hãy xem xét những số liệu thống kê gần đây (số liệu từ Viện An Toàn Máy Tính - CSI và Cục Điều Tra Liên Bang Mỹ - FBI):

Ước tính tổng số thiệt hại lên đến hàng triệu USD (thiệt hại tăng lên nhiều ở năm tiếp theo) do những hành vi đánh cắp thông tin trong vòng 5 năm, và con số ước tính như sau:

Tuy nhiên, với những bằng chứng thực tế cho thấy các cuộc tấn công mạng đang trở nên ngày một nghiêm trọng hơn với những thiệt hại rất lớn về kinh tế trên thế giới Ngay lúc này, các tổ chức doanh nghiệp cũng đã bắt đầu nhận thức được vấn đề này và

đã có ý thức bảo vệ mình trước các cuộc tấn công ngày càng gia tăng Rõ ràng là phòng thủ là cần thiết và là việc làm cấp bách

Hệ thống mạng của doanh nghiệp cho những người dùng được phép truy nhập những thông tin nhạy cảm một cách nhanh chóng với cách thức có vẻ an toàn Nhưng với những kết nối truy nhập từ xa có mối liên hệ với doanh nghiệp qua mạng Internet

sử dụng đường kết nối không chuyên dụng để kết nối tới mạng của doanh nghiệp thì nguy cơ có những người dùng không được phép cũng có thể có được kết nối để truy nhập thông tin nhạy cảm này

Trang 9

Sơ hở về an ninh mạng đôi khi do người sử dụng gây nên, họ đáp ứng đủ những đòi hỏi mà hệ thống yêu cầu, hệ thống sẵn sàng hoạt động và họ thực hiện công việc của mình và khi đó họ cho rằng mình an toàn Nhưng chỉ có những người quản trị mạng mới thực sự biết được an ninh mạng là vấn đề quyết định, họ biết rằng cần thực hiện kế hoạch thận trọng từng bước để xây dựng môi trường mạng an toàn Vì ở đó các chức năng hỗ trợ và thực hiện công việc kinh doanh trong hệ thống được xây dựng tin cậy.

An ninh mạng cần phải được coi là chiến lược trong hoạt động của doanh nghiệp

Nó phải được bắt đầu như một phần công việc của quy trình lập kế hoạch cho chiến lược và là kế hoạch hành động đầu tiên trong chiến lược, và cho đầu tư ngân sách thực hiện an ninh mạng

Phòng thủ mạng được bắt đầu với các vấn đề an toàn cơ bản Những vấn đề then chốt được trình bày chi tiết ở phần tiếp theo

1.2 CÁC NGUY CƠ, CÁC KIỂU TẤN CÔNG

1.2.1 Các nguy cơ tấn công

o Nguy cơ xâm nhập bất hợp pháp hệ thống máy tính trên mạng

- Quét do thám hệ thống: quét Ping, quét TCP (Transmission Control Protocol), quét UDP (User DataGram Protocol), quét hệ điều hành, quét tìm kiếm accout thâm nhập…

- Xâm nhập hệ thống: truy tìm account, đoán mật khẩu qua mạng, bẻ khoá mật khẩu, khai thác từ xa các lỗi DoS (Denial of Service - tấn công từ chối dịch vụ), tràn bộ đệm, khai thác quan hệ uỷ quyền

- Cài đặt cửa sau (backdoor) và truy cập từ xa

- Tấn công hệ thống máy tính bằng virus, trojan và các phần mềm gián điệp

- Tấn công với lỗi RPC (Remote Procedure Call - Lời gọi thủ tục từ xa)

o Nguy cơ tấn công mạng

- Xâm nhập vào mạng từ bên ngoài Internet

- Xâm nhập bất hợp pháp vào mạng thông qua dial-up, VPN (Virtual Private Network)

- Các thiết bị mạng, SNMP (Simple Network Management Protocol), RIP (Routing Information Protocol)

- Phát hiện, đánh lừa, và xuyên qua firewall

- Truy cập uỷ nhiệm ngoài không được chứng thực

- Tấn công mạng bằng worm

- Tấn công bằng spam

o Nguy cơ tấn công phần mềm máy chủ dịch vụ

- Tấn công DNS (Domain Name Service)

Trang 10

- Tấn công Web server.

- Tấn công SMTP (Simple Mail Transfer Protocol) sendmail

- Tấn công IMAP/POP3 (Internet Mail Access Protocol/Post Office Protocol)

- Tấn công Database server

- Tấn công từ chối dịch vụ DoS: Ping-of-Death, SYN flood, …

o Nguy cơ mất an toàn thông tin trong giao dịch và thương mại điện tử

- Đánh cắp thông tin bằng các chương trình spy, virus

- Giả mạo thông tin trong thư tín và giao dịch

- Nghe lén thông tin

- Đánh cắp, làm sai lệch thông tin qua tấn công SQL injection

- Sử dụng credit card phi pháp và đánh cắp tài khoản ngân hàng

o Nguy cơ mất an toàn thông tin trên mạng WLAN

- Quét dò sóng mạng, tấn công xâm nhập mạng

- Bẻ khoá WEP (Giao thức an toàn của mạng không dây)

- Giả mạo điểm truy cập không dây WAP

- Tấn công từ chối dịch vụ

o Vấn đề trên mạng thông tin di động

- Vấn đề lan truyền các tin đồn thất thiệt trên mạng nhắn tin SMS

- Lợi dụng mạng nhắn tin để tấn công đe doạ chủ thuê bao điện thoại di động

1.2.2 Các kiểu tấn công

Hiện nay theo một số chuyên gia, có 4 dạng nguy cơ tấn công trên mạng máy tính:

- Tấn công do thám

- Tấn công truy nhập

- Tấn công từ chối dịch vụ (Denial of Service)

- Virus, trojan horse, worm, mã độc hại

Tiếp theo là khai thác các lỗ hổng đó để giành quyền truy nhập với quyền quản trị

hệ thống bằng nhiều cách như cài đặt backdoor, cài đặt trojan horse, keylogger để nắm quyền kiểm soát hệ thống máy tính mục tiêu

Kiểu tấn công do thám này gồm một số kiểu như:

Trang 11

- Phân tích các gói tin: Telnet, FTP, SNMP, POP, HTTP

- Quét các cổng của máy tính mục tiêu: Nhận dạng các máy chủ trên mạng (sử dụng hệ điều hành gì, hệ điều hành đó có điểm yếu nào), nhận dạng các dịch

vụ đang hoạt động ở máy mục tiêu, các điểm yếu dễ khai thác và tấn công

- Tra cứu các thông tin liên quan đến mục tiêu trên mạng Internet: Nơi đăng ký hosting, địa chỉ IP, hệ thống tên miền Qua đó, tìm và thu thập các điểm yếu

dễ bị tấn công của hệ thống đó

TẤN CÔNG TRUY NHẬP

Kẻ tấn công hệ thống bằng cách truy vấn dữ liệu, giành quyền truy nhập, tấn công truy nhập, khai thác điểm yếu dễ bị tấn công trong các dịch vụ xác thực, các dịch vụ FTP, các dịch vụ Web để giành quyền đăng nhập Web account với các dữ liệu bí mật

và nhạy cảm Tấn công truy nhập bao gồm:

- Tấn công password: bao gồm tấn công dò tìm password đối với các password yếu, sử dụng trojan horse, phân tích gói tin, giả mạo địa chỉ IP

- Tấn công khai thác, lợi dụng độ tin cậy trong mạng, lợi dụng sự tin cậy về mối quan hệ trong mạng để làm bàn đạp tấn công vào một hệ thống khác

- Kiểu tấn công port redirection: đó là kiểu tấn công mà kẻ tấn công đã "dàn xếp" qua các dịch vụ máy chủ công cộng, thông qua dịch vụ máy chủ công cộng này kẻ tấn công cài đặt phần mềm vào máy chủ mạng bên trong Từ bên ngoài kẻ tấn công có thể thiết lập kết nối vào mạng bên trong (mục tiêu) qua tiến trình port redirection dựa trên dịch vụ máy chủ công cộng mà dựa vào đó

có thể dễ dàng vượt qua sự kiểm soát của firewall

- Kiểu tấn công man_in_the_middle_attack: đó là kiểu tấn công thông qua phân tích các gói tin mạng, phân tích các giao thức truyền tải và định tuyến Sửa đổi, thay nội dung dữ liệu trên đường truyền

vụ từ các máy trạm khác DoS bao gồm các kiểu tấn công phổ biến sau:

Trang 12

Tấn công kiểu SYN flood Lợi dụng cách thức hoạt động của kết nối TCP/IP, hacker bắt đầu quá trình thiết lập một kết nối TPC/IP tới mục tiêu muốn tấn công mà không gửi trả gói tin ACK, khiến cho mục tiêu luôn rơi vào trạng thái chờ (đợi gói tin ACK từ phía yêu cầu thiết lập kết nối) và liên tục gửi gói tin SYN ACK để thiết lập kết nối Một cách khác là giả mạo địa chỉ IP nguồn của gói tin yêu cầu thiết lập kết nối SYN và cũng như trường hợp trên, máy tính đích cũng rơi vào trạng thái chờ vì các gói tin SYN ACK không thể đi đến đích do địa chỉ IP nguồn là không có thật Kiểu tấn công SYN flood được các hacker áp dụng để tấn công một hệ thống mạng có băng thông lớn hơn hệ thống của hacker.

tấn công:

Kiểu tấn công Land Attack cũng tương tự như SYN flood, nhưng hacker sử dụng chính IP của mục tiêu cần tấn công để dùng làm địa chỉ IP nguồn trong gói tin, đẩy mục tiêu vào một vòng lặp vô tận khi cố gắng thiết lập kết nối với chính nó

Hacker gửi gói tin UDP echo với địa chỉ IP nguồn là cổng loopback của chính mục tiêu cần tấn công hoặc của một máy tính trong cùng mạng Với mục tiêu sử dụng cổng UDP echo (port 7) để thiết lập việc gửi và nhận các gói tin echo trên 2 máy tính (hoặc giữa mục tiêu với chính nó nếu mục tiêu có cấu hình cổng loopback), khiến cho 2 máy tính này dần dần sử dụng hết băng thông của chúng, và cản trở hoạt động chia sẻ tài nguyên mạng của các máy tính khác trong mạng

Tấn công kiểu DDoS (Distributed Denial of Service) Đây là cách thức tấn công rất nguy hiểm Hacker xâm nhập vào các hệ thống máy tính, cài đặt các chương trình điều khiển từ xa, và sẽ kích hoạt đồng thời các chương trình này vào cùng một thời điểm để đồng loạt tấn công vào một mục tiêu Với DDoS, các hacker có thể huy động tới hàng trăm thậm chí hàng ngàn máy tính cùng tham gia tấn công cùng một thời điểm (tùy vào sự chuẩn bị trước đó của hacker) và có thể "ngốn" hết băng thông của mục tiêu trong nháy mắt

Tấn công sử dụng các nguồn tài nguyên khác:

Kẻ tấn công lợi dụng các nguồn tài nguyên mà nạn nhân cần sử dụng để tấn công Những kẻ tấn công có thể thay đổi dữ liệu và tự sao chép dữ liệu mà nạn nhân cần lên nhiều lần, làm CPU bị quá tải và các quá trình xử lý dữ liệu bị đình trệ

Trang 13

Kiểu tấn công này cần một hệ thống rất quan trọng, đó là mạng khuyếch đại Hacker dùng địa chỉ của máy tính cần tấn công bằng cách gửi gói tin ICMP echo (Internet Control Message Protocol) cho toàn bộ mạng (broadcast) Các máy tính trong mạng sẽ đồng loạt gửi gói tin ICMP reply cho máy tính mà hacker muốn tấn công Kết quả là máy tính này sẽ không thể xử lý kịp thời một lượng lớn thông tin và dẫn tới bị treo máy

Trong mạng chuyển mạch gói, dữ liệu được chia thành nhiều gói tin nhỏ, mỗi gói tin có một giá trị offset riêng và có thể truyền đi theo nhiều con đường khác nhau để tới đích Tại đích, nhờ vào giá trị offset của từng gói tin mà dữ liệu lại được kết hợp lại như ban đầu Lợi dụng điều này, hacker có thể tạo ra nhiều gói tin có giá trị offset trùng lặp nhau gửi đến mục tiêu muốn tấn công Kết quả là máy tính đích không thể sắp xếp được những gói tin này và dẫn tới bị treo máy vì bị "vắt kiệt" khả năng xử lý

KIỂU TẤN CÔNG IP Spoofing - GIẢ MẠO ĐỊA CHỈ IP

Kẻ tấn công ở trong hoặc ngoài mạng đóng vai như một máy tính tin cậy để trao đổi thông tin Có 2 kỹ thuật được sử dụng để giả mạo địa chỉ IP:

- Kẻ tấn công sử dụng địa chỉ IP nằm trong dải địa chỉ IP được tin cậy

- Kẻ tấn công sử dụng địa chỉ IP bên ngoài được uỷ quyền và được tin cậy.Kiểu tấn công IP Spoofing được dùng để lan truyền mã độc hại hoặc các lệnh bên trong dòng dữ liệu trao đổi giữa các máy tính Nếu kẻ tấn công thay đổi được bảng định tuyến và trỏ đến một địa chỉ IP giả mạo thì ở đó kẻ tấn công có thể nhận được toàn bộ các gói tin mạng khi đó được thay đổi địa chỉ giả mà giống như một user đáng tin cậy

VIRUS, TROJAN HORSE, WORM, MÃ ĐỘC HẠI

Đây là phương pháp các hacker dùng các đoạn mã có chứa Virus, trojan horse, worm, mã độc hại để lấy cắp thông tin phục vụ mục đích của mình Hacker thường dùng mail, hoặc yahoo; … để phát tán virus

Trang 14

CHƯƠNG 2

CHIẾN LƯỢC ĐẢM BẢO AN TOÀN MẠNG

Nội dung chương 2 bao gồm:

Trang 15

mà không gây cản trở đến các hoạt động của hệ thống mạng và dịch vụ đối với những người được phép truy nhập.

Quyền và tính hiệu lực cần tạo ra sự tin cậy và được đảm bảo theo nội dung sau:

Hệ thống luôn sẵn sàng với các chức năng theo yêu cầu và được cấu hình đúng đắn cho các hoạt động cơ bản

- Có các quản lý tương xứng để bảo vệ chống lại những truy nhập không được phép và những lỗi không cố ý cũng như do phần mềm gây ra

- Có những giới hạn an ninh ở khu vực nhạy cảm để ngăn chặn hoặc dừng những khai thác có chủ ý của Hacker

Sự tin cậy là hoàn toàn cần thiết vì nếu thiếu tin cậy thì các mục tiêu an ninh khác

sẽ khó có thể hội tụ được Tuy nhiên, sự tin cậy không thể là sự hứa hẹn thực hiện một lần mà đòi hỏi liên tục của sự nỗ lực và nỗ lực cao nhất

Cơ sở khoá công khai (PKI - Public Key Infrastructure) là một cách tốt nhất để xác thực thông qua chứng chỉ số và chữ ký số Số lượng các nhân tố được sử dụng để hiển thị nhận diện của người dùng hoặc chứng minh nhận dạng của người dùng thông qua xác thực đủ mạnh bao gồm:

Trang 16

- Nhân tố thứ nhất được cung cấp đó là thông tin người dùng biết như là Password hoặc PIN (Personal Identification Number) Điều này hoàn toàn dựa trên việc lấy lại những mẩu thông tin từ bộ nhớ hoặc từ việc đăng nhập password như với việc truy nhập mạng.

- Nhân tố thứ hai được cung cấp là người dùng có gì bổ xung thêm vào thông tin người dùng biết Ví dụ như những thông tin gần gũi như thẻ ra vào cửa hoặc thẻ ATM với mã PIN RSA SecureID Token được sử dụng kết hợp với

mã Password, hoặc thẻ Smart Card có thể đảm bảo về an ninh với mã PIN sử dụng để truy nhập và những điều trên đảm bảo cho nhân tố thứ hai

- Nhân tố thứ ba cung cấp việc xác thực mạnh đó là thử nhận dạng của người dùng, hay xác thực người dùng là ai bằng sinh trắc học Sinh trắc học sử dụng các thuộc tính sinh lý học để nhận diện người dùng, như vân tay, quét võng mạc, hình dạng bàn tay, nhận diện giọng nói, quét mống mắt, đặc tính về ứng

sử như nhận diện nhấn phím hoặc nhận diện chữ ký Các kết quả này là sự xác thực mạnh, vì người sử dụng không chỉ được kiểm tra nhận diện thông qua xác thực số về những gì họ biết và những gì họ có mà họ còn được kiểm tra xác thực vật lý thông qua thông số sinh trắc học

dữ liệu cơ bản của thông tin và dữ liệu đòi hỏi sự tin cậy:

Thông tin mang nội dung về dữ liệu kỹ thuật hoặc thông tin nguồn, ví dụ như thông tin về kiểu số và phiên bản của phần mềm của hệ thống firewall cần được lưu giữ cẩn thận vì nếu bị tiết lộ có thể tiềm ẩn khả năng cho hacker tấn công hoặc hỗ trợ cho hacker khai thác tấn công hệ thống của người dùng

Những thông tin mang tính thời điểm, nó có thể chỉ là sự tin cậy về thời gian và sau đó nó chẳng còn ý nghĩa nữa cũng như thông tin riêng tư sau khi đã được tiết lộ nhưng tới thời điểm đó cần phải được giữ kín

Những thông tin mà nó làm lộ cơ cấu tổ chức hay liên quan đến hệ thống mà thông qua đó những người không được phép có thể khai thác những nguồn lợi của xã hội hoặc những cơ hội khác

Những thông tin cá nhân và riêng tư của chính cá thể đó, như những thông tin cốt yếu trong sự vận hành của doanh nghiệp cũng như những thông tin khác mà có thể chắc chắn mang lại cho hacker cơ hội khai thác doanh nghiệp dễ dàng

Trang 17

Tính toàn vẹn là nguyên tắc an ninh mà đảm bảo tính chính xác liên tục của dữ liệu

và thông tin mang trong dữ liệu trao đổi trong mạng Tính liên tục của toàn vẹn dữ liệu

là tối cao Dữ liệu cần được bảo vệ tránh việc sửa đổi dữ liệu không được phép, sự giả mạo hoặc bất cứ thay đổi nào, không cần quan tâm dù có hay không có sự đe dọa làm thay đổi tính toàn vẹn một cách chủ ý mà chỉ coi như đó là tai nạn từ thiên nhiên đem tới Việc nhận thư nêu ở trên hoặc trao đổi dữ liệu thì tính toàn vẹn cần được kiểm tra

để chắc chắn rằng dữ liệu không bị tráo đổi, sửa đổi, thêm, bớt đi bởi những người không được phép trong quá trình trao đổi Chống lại những sửa đổi đó, PKI sẽ đảm bảo tính toàn vẹn dữ liệu thông qua chứng chỉ số và thuật toán mã hoá Tính toàn vẹn

1.3.5 Tính không thể chối bỏ

An toàn phải được thiết lập để bảo vệ các bên trong trao đổi dữ liệu và từ chối sự can thiệp của các bên sau khi tiến trình trao đổi kinh doanh đã được thực hiện Thông qua PKI người gửi cũng như người nhận đều được công nhận xác thực liên quan đến nhận diện cá nhân của họ từ cả 2 phía Thiết lập này có trách nhiệm tự giải trình cho các bên liên quan trong phiên giao dịch Có 3 dạng chối bỏ cần được ngăn chặn đó là:

- Chối bỏ nguồn gốc của dữ liệu, người tạo ra dữ liệu từ chối chưa bao giờ tạo

ra hoặc viết dữ liệu thông tin đó

- Chối bỏ nhận, người mà từ chối chưa bao giờ nhận được dữ liệu đó sau khi đã nhận dữ liệu

- Chối bỏ sự đưa ra dữ liệu về thời gian, về thời gian ngày tháng thực của dữ liệu đó Sự chậm trễ thời gian sẽ giúp cho người chối bỏ chấp hành hay thực hiện yêu cầu nào đó

1.4 CHIẾN LƯỢC ĐẢM BẢO AN TOÀN MẠNG

Để bảo vệ tốt mạng máy tính của mình người quản trị an ninh mạng cần thực hiện làm giảm thiểu hoặc giảm bớt các tác động đe doạ tới an ninh mạng đang hiện hữu và trong tương lai Thực hiện kỹ thuật và chiến lược phòng chống để đảm bảo an toàn cho mạng Điều này cần phải được thực hiện chắc chắn, cẩn thận để bảo vệ những thông tin và dữ liệu nhạy cảm

1.4.1 Chiến lược phòng thủ

Trang 18

Nếu tất cả các mối đe doạ tới hệ thống mạng và tất cả các điểm yếu dễ bị tấn công của hệ thống đã được nhận biết thì việc lên kế hoạch bố trí phòng thủ cần được thực hiện và triển khai để bảo vệ an toàn hệ thống Thậm chí có thể phòng thủ ở tình trạng tĩnh (không thay đổi) với các điều khiển dứt khoát ở từng vị trí do sự đe dọa đã được biết Vành đai an toàn sử dụng firewall là một ví dụ của phòng thủ ở trạng thái tĩnh Mối đe doạ đã được giả lập và được thông báo, khi đó các luật sẽ được sinh ra cho mạng của doanh nghiệp.

Nếu mối đe doạ không được nhận rõ, bất cứ giả lập nào cũng có thể thất bại đối với việc phòng thủ mạng Do đó người quản trị phải cân nhắc dựa vào các căn cứ và tạo lập phòng thủ cho mạng của doanh nghiệp

1.4.2 Phòng thủ theo chiều sâu

Phòng thủ theo chiều sâu là trạng thái mà tất cả các thông tin quan trọng về kỹ thuật mạng được bảo vệ chống lại các cuộc tấn công trực tiếp tại bất cứ mức nào trong mạng Giả lập đối với firewall hoặc một phần của vành đai an ninh không thể đủ để bảo vệ các thông tin quan trọng của mạng

o Chủ động phòng thủ theo chiều sâu:

Hình 2.1 Phòng thủ theo chiều sâu

Trusted System (Security)

Active Defense-In-Depth

Trang 19

Vành đai an ninh là ranh giới đầu tiên của phòng thủ mạng và thường được bảo vệ bằng lọc gói tin hoặc dựa trên các luật của firewall Với mục đích đạt được hiệu quả cao nhất thì firewall cần có các thuộc tính và các luật để đảm bảo:

- Dựa trên thuộc tính lọc gói tin và bản ghi luật quản lý lưu lượng (traffic) với chính sách an ninh được thiết lập

- Firewall xác định rõ tất cả các kết nối mạng

- Tất cả luồng thông tin vào và ra đều phải đi qua firewall

o Hệ thống phát hiện xâm nhập (IDS - Intrusion Detection System)

IDS là hệ thống kết hợp cả phần cứng và phần mềm mà cho phép hiển thị và lựa chọn thông tin hệ thống mạng và phân tích chúng để phát hiện ra các cuộc tấn công hoặc các cuộc xâm nhập Một số IDS có khả năng tự động đối phó với các cuộc tấn công hoặc xâm nhập dựa trên tra cứu dấu hiệu tấn so sánh với thư viện Một số IDS sử dụng phần mềm để scanner tương tự như Scanner Internet, đó có thể là các công cụ đầu tiên để phân tích điểm yếu dễ bị tấn công của mạng Kiểu scanner này có thể thực hiện ở 2 chế độ định kỳ và theo ý muốn để xác định lỗ hổng của hạ tầng mạng và các điểm yếu dễ bị tấn công của hệ điều hành, routers, các chương trình ứng dụng, và các thiết bị truyền thông

o Đối phó cuộc tấn công

Đối phó cuộc tấn công bao gồm một số thực hành đối phó tấn công hoặc đối phó với những vấn đề sự cố ngẫu nhiên mà thực tế có thể xảy ra, và cũng có thể là giả thiết, giả lập để thực hành Để thực hành tất cả các cuộc tấn công được thực hiện cùng một cách cho tới khi được kiểm soát bởi người quản trị mà trong thực tế phải được xác định đó là cuộc tấn công giả tưởng hoặc mô phỏng tấn công để tập huấn Trong bất cứ trường hợp nào, các đối phó cần được giữ bí mật đối với bên ngoài mạng an ninh nhằm gây khó khăn cho các hacker hoặc làm giảm thiểu việc các điểm yếu của hệ thống bị khai thác

o Các kỹ thuật phòng thủ

Mạng cần có nhiều lớp phòng thủ Các khái niệm về lớp phòng thủ là khái niệm cũ

và đơn giản: Nhiều lớp phòng thủ khiến hacker sẽ phải đi qua nhiều lớp và điều này rất khó khăn để hacker thực hiện thành công mục đích của mình

Có thể dùng firewall để khoá các cổng và một phần khác của firewall chạy Network Access Translation (NAT) để ẩn giấu địa chỉ IP mạng bên trong Đây là kỹ thuật phòng thủ vòng ngoài của hệ thống an ninh và tất cả các mạng quan trọng cần thiết phải có

Và thêm vào đó là việc đánh số cổng giao thức, như vậy tạo ra con đường một chiều mặc dù cổng trước cho phép vào ra cả hai chiều truyền thông

o Back Doors

Trang 20

Một trong những vấn đề nghiêm trọng đối với an ninh mạng đó là backdoor Nếu người sử dụng cài đặt modem và tạo kết nối trực tiếp Internet, thì điều mà các hacker cần đó là tìm kiếm backdoor Một khi backdoor được tìm thấy, hacker có thể xâm nhập và khai phá mạng từ bên trong

Lược đồ khái niệm các lớp phòng thủ

Hình 2.2 Các lớp bảo vệ

Trang 21

1.5 CÁC KỸ THUẬT PHÒNG THỦ

Vậy kỹ thuật phòng thủ chính xác là gì và triển khai trên mạng như thế nào? Có rất nhiều kỹ thuật không hoàn toàn là phòng thủ nhưng được dùng trong kỹ thuật phòng thủ mạng

Sơ đồ các lớp phòng thủ để đến được file:

Hình 2.3 Sơ đồ các lớp phòng thủ để đến được file

Cách tốt nhất để xem xét lớp phòng thủ mạng đó là bắt đầu từ vòng ngoài với vành đai và làm việc theo cách nào đó để đạt được mục đích đánh giá Và mục tiêu nói chung lại đó là các ứng dụng trên máy chủ

Nhìn từ phía ngoài đối với phòng thủ mạng đó là chính sách an ninh Có rất nhiều người băn khoăn về việc firewall là vành đai đầu tiên của phòng thủ, nhưng điều này vẫn còn tranh cãi về tính đúng đắn Không có chính sách đặt ra thì firewall không thể được cấu hình đúng đắn, do đó điều đầu tiên đó là chính sách Cần phải hiểu hết sức rõ ràng về mục tiêu an ninh mạng Chính sách phải bao trùm hết các vấn đề như ai có thể làm gì, khi nào và làm như thế nào Chính sách cũng phải có mục tiêu rõ ràng với mỗi yêu cầu được sử dụng trong phòng thủ mạng

Sau khi chính sách an ninh được đặt ra và thông qua thì việc thực thi hệ thống phòng thủ cần được bắt đầu Các router phải được cấu hình, thông qua danh sách điều khiển truy nhập, để thực hiện công việc của hệ thống firewall và đưa ra một vài mức lọc gói tin

Firewall có thể thực hiện NAT và dịch vụ proxy NAT sẽ đảm bảo rằng địa chỉ mạng bên trong sẽ được bảo vệ bí mật, và dịch vụ proxy sẽ tạo các yêu cầu tài nguyên với các ứng xử bên trong mạng

Di chuyển qua các lớp vượt qua firewall, các phần thông tin tiếp theo đó là IDS Thông qua IDS có thể biết được sự chuyên nghiệp hay không của chính sách an ninh khi xâm nhập xảy ra, và có thể thực hiện chức năng này cả ở bên trong mạng và những tấn công từ bên ngoài vào mạng Vẫn còn những vấn đề khó lường với phòng thủ mạng, đó là vấn đề xác thực Máy chủ sẽ yêu cầu form xác thực để tránh việc truy xuất

dữ liệu tài nguyên không được phép

Trang 22

Sau khi xác thực với máy chủ đó là các file an ninh Mỗi file hay mỗi một tài nguyên cần được thiết kế với mức an ninh riêng biệt Người ra lệnh thực hiện an ninh

là người truy nhập vào file này, với quyền truy nhập mà mỗi người được cấp Và file

an ninh này thậm chí có thể chỉ ra thời gian truy nhập và ngày tháng năm người dùng

đã truy nhập file này

Vấn đề tiếp theo đó là mức an ninh vật lý, việc quản lý người ra vào cơ quan, ra vào trụ sở và sử dụng máy tính đó là một phần của chiến lược phòng thủ

o Mục tiêu của kiểm soát truy nhập

Bất cứ mạng nào, quan trọng hay không về vấn đề phòng thủ đều yêu cầu xác thực người sử dụng là thành viên Quá trình này gọi là kiểm soát truy nhập Tất cả các mạng đều cần có hệ thống kiểm soát để chắc chắn những thành viên truy nhập vào mạng là được phép và hợp lệ

o Kiểm soát truy nhập

Với một mạng, một điều quyết định của vấn đề an ninh đó là xác định ai được quyền truy nhập cái gì Đó là công việc mang tính chuyên nghiệp của vấn đề an ninh

để đảm bảo rằng những người không được phép không thể truy nhập vào tài nguyên của hệ thống Hoặc xác định trạng thái kiểm soát truy nhập Điều này bảo vệ tài nguyên của hệ thống

Có 2 dạng kiểm soát truy nhập có thể được áp dụng:

- Mandatory Access Control (MAC) kiểm soát truy nhập bắt buộc

- Discretionary Access Control (DAC) kiểm soát truy nhập tuỳ ý khi cần thiết Chính sách an ninh sẽ định nghĩa dạng kiểm soát nào sẽ được sử dụng

o Kiểm soát truy nhập có tính bắt buộc

MAC là chính sách kiểm soát truy nhập hỗ trợ cho hệ thống để bảo vệ thông tin nhạy cảm hoặc thông tin bí mật Các cơ quan chính phủ thường dùng MAC, dữ liệu an ninh cần được phân loại với các mức như mật, tối mật, và phân quyền truy nhập theo mức Để thực hiện điều này thì cần có mạng con để che chắn và sử dụng firewall

để cho phép truy nhập với mức của người sử dụng

o Kiểm soát truy nhập khi cần thiết

DAC là chính sách kiểm soát truy nhập mà dùng để nhận dạng người sử dụng hay nhóm người sử dụng thuộc nhóm được quyền truy nhập và do quản trị thực hiện để kiểm soát ai truy nhập, truy nhập cái gì, kiểu truy nhập thực hiện cũng như các quyền đọc, ghi, update, xóa

o Xác thực

Một khi chính sách kiểm soát truy nhập được đặt ra, ở đó cần có một cơ chế để kiểm tra người sử dụng yêu cầu truy nhập

Trang 23

Một phương pháp truyền thống đó là kiểm tra password Password là giá trị của người dùng tạo ra riêng biệt, hoặc được sinh ra từ hệ thống cho người sử dụng Trong bất cứ trường hợp nào người sử dụng cần phải nhớ password và nhập vào khi có yêu cầu đăng nhập Sự xác thực mạnh chỉ khi người sử dụng không chỉ đưa ra nhận dạng

số mà cần cả nhận dạng vật lý như vân tay,

o Bằng chứng xác thực

Với một số tổ chức, phương pháp truyền thống dùng password là không đủ và cần thực hiện cả giải pháp sinh trắc học Và một số thông tin xác thực có thể mang theo như thiết bị lưu động Một trong những phương pháp xác thực thông tin nổi tiếng được biết đến đó là xác thực thông tin an ninh ID RSA

o Challenge Response Token

Challenge Response Token là kỹ thuật xác thực sử dụng kiểu tính toán mà trong đó chứa chìa khoá nhận diện an ninh hoặc thuật toán như Network Access Server (NAS) Mỗi Challenge Response Token được tải xuống trước (pre-load) với dữ liệu được

mã hoá DES (Data Encryption Standard) mã hoá khoá và PIN của người dùng và so sánh với Username Không phải yếu tố này hay yếu tố kia được trích ra từ thiết bị lưu trữ

Token ở trên đòi hỏi người sử dụng phải thực hiện từng bước để truy nhập mạng

an toàn với việc sử dụng kỹ thuật challenge/response:

- Việc kích hoạt token bằng việc thay đổi PIN chỉ do người sử dụng biết Người dùng nhập vào mã PIN do mình lựa chọn cho token

- Người dùng bắt đầu với một chuỗi đăng nhập

- Người dùng gõ User ID vào yêu cầu đăng nhập của PC

- NAS sẽ kiểm tra mã PIN và User ID để xác thực với server như 1 phần của yêu cầu đăng nhập

- Xác thực tại server sẽ sinh ra 1 chuỗi ngẫu nhiên và gửi trả lại cho người dùng thông qua kết nối NAS

- Sau đó chuỗi này được gửi tới người dùng nơi đòi hỏi yêu cầu đăng nhập

- Người dùng gõ chuỗi ngẫu nhiên này vào token và giá trị ngẫu nhiên này sau

đó được mã hoá bên trong token bởi khoá DES

- Token hiển thị giá trị đã được mã hoá

- Người dùng gõ giá trị trả lời đã được mã hoá vào yêu cầu đăng nhập của PC thông qua bàn phím

- Xác thực tại server nhận giá trị trả lời (đã được mã hoá) và sử dụng khoá DES tương tự như token đã dùng, quá trình này được thực hiện và kiểm tra người dùng và token

Trang 24

- Xác thực server sẽ gửi message tới NAS để cho phép người dùng được truy nhập.

Hình 2.4 Lược đồ thực hiện việc xác thực truy nhập

o Kiểm tra tính hợp lệ trên cơ sở token:

Đây là kỹ thuật an toàn nhằm kiểm tra tính hợp lệ của người dùng khi truy cập đến một máy chủ, mạng hoặc một hệ thống an toàn nào đó Những thiết bị này giúp loại trừ những truy cập mất an toàn (là những truy cập trong đó mật khẩu người dùng bị gửi đi đến những nơi có thể bị theo dõi) Những người lấy được mật khẩu này có thể đóng giả như người dùng và truy cập vào hệ thống an toàn Một giải pháp là tránh gửi mật khẩu đi dưới bất kỳ hình thức nào qua các kênh an toàn Đây là mục đích của việc

sử dụng token

Token là một thiết bị vật lý có kích thước như thẻ tín dụng được cài đặt trong máy tính, nó tạo thông tin cho người dùng trong quá trình nhập vào hệ thống Token cung cấp phương pháp xác thực hai nhân tố (two-factor authentication), trong đó, người dùng cung cấp những gì mình biết (mật khẩu), và cái mà họ có (do token tạo ra) Hai thành phần này giúp định danh người dùng và sau đó kiểm tra tính hợp lệ của người dùng Các cơ quan thường gán token cho người dùng ở xa hoặc lưu động, có nhu cầu truy cập hệ thống từ bên ngoài

SecurID là một token của Security Dynamics, dùng kỹ thuật dựa theo thời gian, trong đó, thiết bị hiển thị một số thay đổi từng phút đồng bộ với máy chủ an toàn Khi người dùng vào hệ thống, họ được yêu cầu nhập giá trị trên card SecurID Vì giá trị này thay đổi liên tục (chỉ dùng một lần), nó không thể dùng lại bởi người khác

Trang 25

Cũng có các thiết bị token dựa trên phần mềm có khả năng cung cấp chức năng giống như các token phần cứng Chúng gồm chương trình chạy trên máy xách tay Tuy vậy, một số người cho rằng phương pháp này ít an toàn hơn là token phần cứng vì hệ thống phần mềm có thể dễ dàng sửa đổi.

ActiveCard, nhà sản xuất các thiết bị kiểm tra dựa trên token, dùng các chế độ vận hành dưới đây:

Trong chế độ “challenge/response”, một người dùng thử truy cập đến hệ thống an toàn được máy chủ gửi đến một yêu cầu (challenge) Giá trị ký tự số này xuất hiện trên màn hình người dùng và người dùng nhập nó vào thiết bị token Thiết bị này tính giá trị phản hồi (dùng thuật toán đặc biệt) dựa trên một thách thức ngẫu nhiên và một khóa

bí mật Phản hồi này xuất hiện trên màn hình thiết bị và người dùng nhập giá trị này vào Máy chủ thực hiện các bước tương tự để tạo đáp ứng bằng cách dùng yêu cầu và khóa mật Nếu phản hồi này trùng với phản hồi của người dùng, người dùng được truy cập hệ thống

Trong chế độ “time-plus-event challenge/response”, token và phần mềm kiểm tra mật khẩu dựa trên bộ đếm sự kiện và đồng hồ bên trong Việc kiểm tra đồng bộ thời gian/sự kiện dùng các mật khẩu đã được token và máy chủ xử lý Kết quả là đạt mức

an toàn mạnh hơn

Kerberos là hệ máy chủ an toàn, cung cấp token dựa trên phần mềm và phương pháp kiểm tra mật khẩu sử dụng một lần Các hệ an toàn khác có thể cài đặt phương pháp kiểm tra dựa trên token gồm RADIUS (Remote Authentication Dial-In User Service) và TACACS (Terminal Access Controller Access Control System)

Trang 26

Time-based Token sử dụng kỹ thuật mà ở đó token an toàn và server an toàn sử dụng thuật toán giống nhau Để đạt được truy nhập, người dùng nhận được mã sinh ra

do token và thêm vào giá trị username và PIN để tạo ra password đã được mã hoá Passcode được kết hợp với giá trị này và thời gian hiện thời, sau đó được mã hoá với thuật toán và gửi tới server Server xác thực người dùng bằng cách sinh ra giá trị mà cho phép truy nhập đã được đăng ký PIN trước và sử dụng giá trị mầm và thuật toán tương tự để thông qua người dùng và token của họ

o Ảnh hưởng của phòng thủ

An ninh mạng bảo vệ tất cả các thông tin về kỹ thuật của doanh nghiệp bao gồm máy tính, server, cơ sở dữ liệu, các chương trình ứng dụng, các thiết bị ngoại vi, và một điều có lẽ là quan trọng nhất đó là dữ liệu An ninh mạng cho phép người dùng được phép truy nhập với công nghệ thông tin một cách nhanh chóng, ở bất cứ nơi nào

và với khách hàng trong và ngoài môi trường an toàn

Thực hiện kiểm soát an ninh, dù có hay không các lớp phòng thủ hay kiểu nào đó

để với mục đích che giấu các chức năng của mạng

Dù sao đi nữa không thể phủ nhận ảnh hưởng của phòng thủ đối với mạng Nhưng mục tiêu của phòng thủ đó là làm giảm ảnh hưởng trên mạng

o Firewall

Firewall là tuyến đầu tiên trong phòng thủ mạng Tất cả các gói tin đi vào mạng nên đi qua firewall một cách hợp thức Firewall hiện đại nhìn chung được kết hợp giữa phần mềm và phần cứng Firewall có thể được yêu cầu thực hiện lọc các gói tin, dịch địa chỉ mạng và dịch vụ proxy

Firewall có thể từ chối tác động từ mạng bằng cách block truy nhập tới nguồn tài nguyên Có thể thực hiện điều này bằng cách cấu hình firewall, khi đó các truy nhập mạng trở nên không hợp lệ

o Mã hoá

Tiến trình mã hoá đó là thực hiện chuyển đổi bản dữ liệu đọc được thành không thể đọc được thông qua thuật toán mã hoá Phía nhận được bản mã cần thực hiện tính toán tương tự để giải mã và đọc được bản dữ liệu đó

o Password

Sự bắt buộc khó khăn đối với người dùng đó là sử dụng password trong việc đăng nhập hay mở khoá máy tính Điều này được đòi hỏi khi đăng nhập mạng, và sử dụng password là một vấn đề khó khăn, đối với mạng đòi hỏi một password mạnh nhưng người dùng lại có thời gian hạn chế để tạo ra password Những nhân viên quản trị mạng nên giành nhiều thời gian để hướng dẫn người dùng cách tạo ra password mạnh

Trang 27

Một trong những cách tạo ra password mạnh mà người dùng có thể dễ dàng nhớ đó

là sử dụng những thành ngữ (cụm từ) mà có thể không bao giờ gặp trong thực tế thay

vì những từ Cách này yêu cầu người dùng nhớ cụm từ mà cụm từ này có mối liên hệ tới ngày sinh và không mang lại rủi ro về an ninh Ví dụ:

I was Born on June 27! Có thể tạo ra password là: IwBoJ27!

Điều này chứng minh là có thể dễ dàng tạo ra những password mạnh và dễ nhớ nếu người dùng được hướng dẫn để tạo ra chúng

o Hệ thống phát hiện xâm nhập - IDS

Mặc dù một số thứ tương tự như IDS có thể không ảnh hưởng đến mạng, nhưng trong thực tế thì điều này có thể xảy ra Thực tế là IDS không ảnh hưởng nhiều lắm đến các gói tin khi các gói tin truyền qua mạng Tuy nhiên, nếu IDS không được cấu hình đúng đắn thì không thể phân biệt được đâu là lưu lượng (traffic) và đâu là xâm nhập, và như vậy những người làm an ninh hệ thống sẽ mất thời gian để tìm kiếm những tấn công không có thực và khi đó IDS sẽ gây ra vấn đề như gửi những thông tin sai gây ảnh hưởng tới mạng thậm chí nhóm an toàn hệ thống có thể dừng việc phòng thủ hoặc phản ứng chậm chạp

o Kiểm toán (sự kiện mạng)

Auditing: Liên quan đến các máy tính, kiểm tra các trang thiết bị, các chương trình, các hoạt động và các thủ tục để xác định mức độ hiệu quả của cả hệ thống đang vận hành, nhất là khía cạnh bảo đảm tính nguyên vẹn và tính an toàn bảo mật của dữ liệu

Trang 28

CHƯƠNG 3

CHÍNH SÁCH, GIẢI PHÁP

& THIẾT BỊ BẢO VỆ MẠNG

Nội dung chương 3 bao gồm:

 Chính sách an toàn thông tin

Trang 29

1.6 CHÍNH SÁCH AN TOÀN THÔNG TIN (Information security policy)

Mục tiêu: chính sách an toàn thông tin nhằm đưa ra sự hỗ trợ và định hướng cho vấn đề an toàn thông tin

Vấn đề quản lý các chính sách định hướng rõ ràng và chứng tỏ khả năng hỗ trợ, các cam kết về an toàn thông tin qua việc đưa ra và duy trì các chính sách về an toàn thông tin đối với một tổ chức

1.6.1 Tài liệu chính sách an toàn thông tin (Information security policy

document)

Tài liệu chính sách cần được phê chuẩn bởi nhà quản lý và cung cấp phổ biến cho mọi nhân viên, thêm vào đó là cách tiếp cận của tổ chức đối với vấn đề an toàn thông tin Tối thiểu bao gồm các hướng dẫn dưới đây:

- Định nghĩa về an toàn thông tin, mục tiêu và tầm quan trọng của an toàn khi thiết lập cơ chế cho việc chia sẻ thông tin (tham chiếu phần giới thiệu);

- Đưa ra mục tiêu của sự quản lý, mục đích và nguyên lý của an toàn thông tin

- Bản tóm tắt về các chính sách an toàn thông tin, các chuẩn cũng như các yêu cầu có tính chất quan trọng cho một tổ chức, ví dụ như:

- Tuân thủ các yêu cầu luật pháp và hợp đồng

- Các yêu cầu về kiến thức an ninh mạng

- Ngăn chặn, nhận dạng virus và các phần mềm hiểm độc khác

- Quản lý tính liên tục trong kinh doanh

- Các hậu quả của sự vi phạm các chính sách an toàn thông tin

- Định nghĩa chung và các trách nhiệm cụ thể cho vấn đề quản lý an toàn thông tin bao gồm các báo cáo về các vấn đề an toàn nói chung

- Tham chiếu các tài liệu có thể hỗ trợ các chính sách, như các chính sách về an toàn thông tin và các thủ tục cho các hệ thống thông tin cụ thể hoặc các quy tắc an toàn cho người dùng

Các chính sách này cần được phổ biến cho các tổ chức cũng như người dùng có liên quan

1.6.2 Nhận xét và đánh giá (Review and evaluation)

Cần có người chịu trách nhiệm cho việc duy trì và đánh giá các chính sách theo quy trình đã đưa ra ở phần trên Quy trình đó cần đảm bảo rằng các nhận xét đưa ra cần được thực hiện nhằm tạo ra các thay đổi có ảnh hưởng cơ bản đến sự đánh giá rủi

ro ban đầu, chẳng hạn như các sự cố an toàn mang tính chất quan trọng, các nguy cơ mới hoặc các thay đổi về cơ sở hạ tầng kỹ thuật trong tổ chức

Quá trình đó cần được ghi lại theo một trình tự, các nhận xét có tính định kỳ như dưới đây:

Trang 30

- Tính hiệu quả của các chính sách, số lượng cũng như các tác động của các vấn

đề bảo mật đã ghi lại, …

- Chi phí và ảnh hưởng của các phép kiểm soát đến hiệu quả kinh doanh

- Hiệu quả của việc thay đổi kỹ thuật

1.6.3 Một ví dụ về chính sách an toàn thông tin

Phần này sẽ giới thiệu các chính sách về password

o Khái quát chung

Password là một khía cạnh quan trọng trong an ninh mạng máy tính Đó chính là phòng tuyến bảo vệ đầu tiên đối user account (tài khoản cá nhân - tài khoản người sử dụng) Một password "yếu" có thể trở thành một sự "thoả hiệp" cho việc xâm nhập vào mạng máy tính của doanh nghiệp hay cơ quan Vấn đề này được hiểu là tất cả nhân viên của công ty hay doanh nghiệp (những người thường xuyên truy nhập mạng của doanh nghiệp) phải có trách nhiệm thực hiện các biện pháp thích hợp ở một mức nào

đó để lựa chọn và đảm bảo an toàn password của họ

o Mục tiêu

Mục tiêu của chính sách này là thiết lập các tiêu chuẩn cho việc tạo ra các password "mạnh", bảo vệ các password này và thường xuyên thay đổi theo thời gian quy định

o Phạm vi của chính sách

Phạm vi điều chỉnh của chính sách với tất cả mọi người có account hoặc người có trách nhiệm về account (hoặc với bất cứ dạng form nào có hỗ trợ hoặc yêu cầu password) trên bất cứ hệ thống nào có truy nhập vào mạng, hoặc truy nhập vào nơi lưu trữ thông tin riêng tư

Tất cả các password ở mức người sử dụng (email, web, desktop computer, ) cần phải được thay đổi ít nhất 6 tháng một lần, khuyến nghị có thể thay đổi 4 tháng một lần

Password không được đưa vào nội dung email hoặc bất cứ form giao dịch điện tử nào

Trang 31

Các chuỗi cần được định nghĩa không trùng với các chuỗi tiêu chuẩn như "public,"

"private" và "system" và phải khác với password sử dụng để đăng nhập các giao diện tương tác và hàm khoá hash phải được sử dụng nơi sử dụng SNMP (ví dụ SNMPv2)Các password của các mức hệ thống và mức user phải thoả mãn các quy tắc đã được mô tả phần tiếp theo

Nguyên tắc chung xây dựng password:

Password được sử dụng với mục đích khác nhau tại công ty, doanh nghiệp Một số password được sử dụng phổ biến bao gồm: user level account, web account, email account, screen saver protection, voicemail password, and local router logins Một số

hệ thống hỗ trợ sử dụng thẻ one-time token (sử dụng password thay đổi hay password dùng một lần), mỗi người sử dụng cần hiểu biết cách lựa chọn password mạnh khi sử dụng

Password yếu thường có các đặc tính sau:

Độ dài password nhỏ hơn 8 ký tự

Password là một từ có trong từ điển (tiếng Anh hoặc ngôn ngữ nào đó)

Password nói chung sử dụng những từ như:

+ Tên của gia đình, tên vật nuôi, tên bạn bè, nhân viên cộng tác, các thuộc tính tưởng tượng,

+ Tên và những vấn đề liên quan đến máy tính, các lệnh, các vị trí, tên các thứ kèm theo, phần cứng, phần mềm

+ Các từ như tên công ty, "sanjose", "sanfran" hoặc bất cứ từ nguồn gốc nào

+ Ngày sinh và những thông tin cá nhân như địa chỉ, số điện thoại, …

+ Các từ hay số có kiểu như: aaabbb, qwerty, zyxwvuts, 123321,

+ Bất cứ những từ đã trình bày ở trên nhưng được trình bày ngược lại

+ Bất cứ những từ đã trình bày ở trên và được thêm trước và sau nó là số (e.g., secret1, 1secret)

Password mạnh thường có các thuộc tính sau:

Password bao gồm các ký tự thường và viết hoa (như: a-z, A-Z)

Password bao gồm số và các ký tự câu ngữ pháp cũng như các ký tự như: 0-9, !

Trang 32

Password không bao giờ được viết hoặc lưu trữ on-line Cố gắng tạo password mà

có thể dễ nhớ Một cách để làm như vậy đó là tạo password dựa trên tên bài hát, các câu khẳng định, hoặc các cụm từ khác Ví dụ như "This May Be One Way To Remember", "TmB1w2R!" hoặc "Tmb1W>r~"

Các tiêu chuẩn bảo vệ password:

Không sử dụng cùng một password cho account của công ty và những truy nhập không thuộc phạm vi công ty quản lý (account cá nhân ISP, lựa chọn kinh doanh và phúc lợi ) Không sử dụng cùng password cho việc truy nhập ở các hệ thống khác nhau Ví dụ, lựa chọn một password cho hệ thống engineering và password riêng cho

hệ thống IT Cũng tương tự như vậy, chọn password riêng biệt cho NT account và UNIX account

Không được chia sẻ password với bất kỳ ai, kể cả người hỗ trợ quản lý hay thư ký Tất cả password cần được giữ gìn như thông tin mật một cách thận trọng

Những việc không được làm

+ Không được tiết lộ password qua điện thoại với bất kỳ ai

+ Không được tiết lộ password qua email

+ Không được tiết lộ password với sếp

+ Không được nói về password trước mặt người khác

+ Không được gợi ý về password

+ Không được tiết lộ password qua bản thăm dò ý kiến hay các form về bảo mật+ Không được chia sẻ password với các thành viên khác trong gia đình

+ Không được tiết lộ password với người cộng tác

Nếu có ai đó yêu cầu password thì hãy chuyển cho họ xem tài liệu này hoặc bảo họ gọi điện thoại tới bộ phận có trách nhiệm bảo mật thông tin

Không sử dụng thuộc tính lưu password của các ứng dụng (như Eudora, OutLook, Netscape Messenger )

Không được viết, lưu password tại văn phòng Không được lưu password trên file

ở bất kỳ hệ thống máy tính nào mà không được mã hoá

Thay đổi password cứ 6 tháng 1 lần (trừ password mức hệ thống, thay đổi 3 tháng

1 lần) Khuyến nghị thay đổi cứ 4 tháng 1 lần

Nếu password hoặc account bị nghi ngờ là đã có sự thoả hiệp, báo cáo ngay sự việc cho bộ phận chịu trách nhiệm về an toàn thông tin và thay đổi toàn bộ password.Kiểm tra độ tin cậy của password được thực hiện thường xuyên bởi bộ phận chịu trách nhiệm về an toàn thông tin Nếu password có nguy cơ bị lộ thì người dùng cần được yêu cầu đổi password

Các tiêu chuẩn phát triển ứng dụng:

Trang 33

Các chuyên viên phát triển ứng dụng phải nắm chắc nội dung các chương trình phòng ngừa mất an toàn sau:

• Nên xây dựng hỗ trợ xác thực với mỗi cá nhân riêng biệt, không hỗ trợ nhóm

• Không lưu password dưới dạng bản rõ, hay bất kỳ dạng nào dễ khám phá

• Nên cung cấp phần mềm giữ vai trò quản lý, để một user có thể thực hiện chức năng mà không cần phải biết password

nếu có thể

Sử dụng password và cụm từ cho truy nhập từ xa:

Truy nhập mạng với truy nhập từ xa cần phải được kiểm soát và sử dụng password xác thực một lần hoặc hệ thống khoá công khai/bí mật với passphrase mạnh

Passphrase:

Passphrase là khái niệm chung được sử dụng trong xác thực khoá công khai/bí mật Hệ thống khoá công khai bí mật định nghĩa mối quan hệ toán học giữa khoá công khai mọi người đều biết và khoá bí mật chỉ có người sử dụng biết, không có passphrase để "unlock" mở khoá riêng thì người dùng không thể truy nhập thành công.Passphrase không giống như password Passphrase là kiểu dài hơn của password

và do đó an toàn hơn Passphrase là một kiểu điển hình của nhiều từ phức tạp Do đó,

nó an toàn hơn với kiểu tấn công từ điển

Một passphrase tốt gồm đặc tính có độ dài và chứa các ký tự thường và hoa và số

và ký tự về câu Ví dụ: "The*?#>*@TrafficOnThe101Was*&#!#ThisMorning"

Tất cả các luật cho password cũng áp dụng cho passphrase

1.7 GIẢI PHÁP BẢO VỆ MẠNG

1.7.1 Giới thiệu chung về VPN

Sự mở rộng của Internet toàn cầu và sự thống trị của các ứng dụng trên nền IP based applications) đã mở đường cho các nhà cung cấp dịch vụ trong việc phát triển và cung cấp các dịch vụ mới cho khách hàng Một trong những giải pháp mang tính thời

(IP-sự hiện nay đổi với tất cả các nhà cung cấp truy nhập (IAP) và cung cấp dịch vụ (ISP)

là VPN (Virtual Pravate Network) Đây là giải pháp mang lại hiệu quả cao về kinh tế, chất lượng cũng như sự đảm bảo độ tin cậy dữ liệu cho khách hàng Để đáp ứng nhu cầu sử dụng VPN, đồng thời đa dạng hoá các loại hình dịch vụ cung cấp cho khách hàng

o Khái niệm về VPN

Ngày nay, có rất nhiều định nghĩa khác nhau về VPN, xét về bản chất VPN được định nghĩa như sau:

Trang 34

“VPN là một mạng ảo được xây dựng tích hợp trên môi trường mạng công cộng,

cơ chế hoạt động của mạng ảo này tương tự như 01 mạng riêng”

o Công nghệ VPN

Ngoài cách phân loại VPN theo phân lớp OSI, người ta còn có thể chia VPN theo phương pháp thiết lập: kiểu “overlay” hay kiểu “peer” Trong phương thức xây dựng kiểu “overlay”, mạng được xây dựng bằng cách tạo đường hầm từ điểm này sang điểm khác mà ít quan tâm đến các hop trên 1 đường hầm Như vậy, có thể coi kết nối từ điểm này sang điểm khác theo kiểu point-to-point từ hai điểm kết đầu cuối Với phương thức thiết lập theo mô hình “peer”, dữ liệu truyền đi trên mạng theo từng hop

và như vậy giống với mô hình truyền dữ liệu theo giao thức IP truyền thống Hiện có 3 nguyên lý xây dựng mạng VPN trên nền tảng hạ tầng mạng IP công cộng:

o Kết hợp IP access-list và chính sách định tuyến

Đây là mô hình VPN không rành mạch và khó thực thi: Nhà cung cấp sẽ thực hiện filter lưu lượng cũng như các thông tin định tuyến giữa các site đầu cuối Có hai yêu cầu chính cho mô hình này là phải thuê mạng lưới của 1 nhà cung cấp dịch vụ duy nhất và địa chỉ IP phải xác định Loại VPN này có thể xếp vào loại “peer” vì mỗi một điểm trên mạng lưới đều tham gia vào quá trình định tuyến cho lưu lượng của mạng VPN Hạn chế cơ bản của nguyên lý xây dựng VPN này là khi mạng VPN càng phát triển sẽ càng khó quản lý, quá phức tạp và không linh hoạt khi ta tiếp tục xây dựng các kết nối peer

o Mã hóa và tạo đường hầm

Có rất nhiều phương thức tạo đường hầm khác nhau được sử dụng, và phương thức mã hóa thì được lựa chọn và phụ thuộc vào chính sách của mỗi công ty khác nhau Các giao thức tạo đường hầm có thể là GRE, L2TP, L2F, PPTP Phương thức

mã hóa có thể là theo một chuẩn mã hóa phát triển riêng hoặc theo IPSec Đây là VPN kiểu “overlay” bởi vì dữ liệu mã hóa của mạng VPN chạy bên trong các đường hầm được xây dựng từ điểm này tới điểm kia

VPN trên công nghệ IPSec: IPSec là chuẩn mở qui định khả năng mã hoá và bảo mật dữ liệu mạng dùng riêng được truyền tải trên mạng công cộng Chuẩn IPSec được phát triển bởi IETF (Internet Engineering Task Force), đảm bảo tính bảo mật, nguyên vẹn, và khả năng xác thực cho các dữ liệu mạng dùng riêng VPN Khả năng mã hoá và xác thực có thể được thực hiện trên nhiều mức khác nhau như hình minh hoạ dưới đây:

Trang 35

Hình 3.1 Các mức mã hóa và xác thực

Tuy nhiên, IPSec thực hiện công việc mã hoá và xác thực tại layer 3, cung cấp một giải pháp bảo mật end-to-end trong bản thân cấu trúc của mạng lưới Do vậy, các hệ thống đầu cuối cũng như các ứng dụng không cần thiết phải thay dổi nhưng vẫn tận dụng được ưu thế của một cơ chế bảo mật mạnh Các gói tin bảo mật giống như các gói tin IP thông thuờng nên có thể dễ dàng định tuyến trên mạng IP mà không cần sự thay đổi đặc biệt nào liên quan đến cấu hình các thiết bị mạng lưới Chỉ những thiết bị kết nối mạng VPN mới thực sự cần giải mã dữ liệu Đặc tính này giảm tối đa chi phí thiết lập và bảo trì mạng

Công nghệ IPSec: IPSec kết hợp nhiều công nghệ bảo mật tạo thành một hệ thống duy nhất cung cấp khả năng bảo toàn dữ liệu, và mức độ xác thực rất cao IPSec thường bao gồm các công nghệ sau:

- Cơ chế trao đổi khoá mã Diffie-Hellman giữa các thực thể trên mạng VPN

- Cơ chế mã hoá theo kiểu chìa khoá công cộng (public key) sử dụng trao đổi

mã hoá Diffie-Hellman đảm bảo nhận dạng hai thực thể để tránh kiểu tấn công man-in-the-midle

- Các thuật toán mã hoá như DES hay 3DES để mã hoá dữ liệu

- Thuật toán băm khoá mã (key hash) như HMAC kết hợp với các thuật toán băm truyền thống như MD5 hay SHA để cung cấp cơ chế xác thực có độ bảo mật cao

- Hệ thống cấp certificate (digital certificate) được cung cấp bởi một hệ thống certificate hoạt động theo nguyên lý giống như sử dụng ID card

IPSec kết hợp các công nghệ bảo mật để đảm bảo tính nguyên vẹn, mã hoá và xác thực cho các gói tin IP IPSec bao gồm một nhóm các giao thức:

RFC 2401: Kiến trúc bảo mật cho giao thức IP

RFC 2402: Qui định về phần header xác thực AH

RFC 2403: Sử dụng HMAC-MD5-96 trong ESP hay AH

RFC 2404: Sử dụng HMAC-SHA-1-96 trong ESP hay AH

Trang 36

RFC 2405: Thuật toán mã hoá ESP DES-CBC Cipher với Explicit IV.

RFC 2406: IP Encapsulating Security Payload (ESP)

RFC 2407: Giao thức Internet IP security Domain of Interpretation trong ISAKMP

RFC 2408: Giao thức Internet Security Association and Key Management ISAKMP

RFC 2409: Internet Key Exchange (IKE)

RFC 2410: Thuật toán Null Encryption và khả năng sử dụng với IPSec

RFC 2412: Giao thức OAKLEY Key Determination

Các chuẩn trên xác định:

Giao thức IP bảo mật: Định nghĩa các thông tin cần thêm vào gói tin IP để đảm bảo tính nguyên vẹn, điều khiển mã hoá và xác thực cũng như định nghĩa cơ chế mã hoá dữ liệu

Sự trao đổi khoá mã: Cơ chế thương lượng phương thức bảo mật giữa hai thực thể

và phương thức trao đổi khoá mã Người ta có thể không nhất thiết phải sử dụng IKE nhưng việc tự định nghĩa phương thức bảo mật là rất khó khăn và đòi hỏi khối lượng công việc thực hiện lớn

Nên sử dụng IKE trong các ứng dụng để có thể mở rộng qui mô của mạng lưới VPN

Cấu trúc của gói tin IPSec: IPSec định nghĩa một tập hợp các tiêu đề được gắn thêm vào gói tin IP để tạo gói tin IPSec mới Phần tiêu đề này được đặt sau phần tiêu

đề của gói tin chưa mã hoá và trước giao thức layer 4 (thông dụng là UDP hay TCP) Phần tiêu đề mới cung cấp thông tin để bảo mật phần nội dung của các gói tin IP như sau:

Authentication Header AH: Phần tiêu đề này khi được gắn kết vào gói tin IP sẽ đảm bảo được tính xác thực và sự nguyên vẹn của gói tin bao gồm luôn cả trường bất biến trong tiêu đề của gói tin IP AH không cung cấp sự bảo mật cho thông tin chứa bên trong AH sử dụng thuật toán băm khoá mã nhiều hơn là sử dụng cơ chế chữ ký điện tử Chữ ký điện tử rất phù hợp cho việc thiết lập nhận dạng nhau cho các thực thể

ở hai đầu của VPN, nhưng việc xử lý phức tạp phần tiêu đề sẽ làm giảm tốc độ và băng thông của mạng

Encapsulating Security Payload (ESP): Phần tiêu đề này khi được gắn kết vào gói tin IP sẽ cho phép bảo vệ tính bảo mật, sự nguyên vẹn và tính xác thực của gói tin IP Nếu ESP được sử dụng để kiểm tra tính toàn vẹn của gói tin IP thì nó sẽ không bao gồm trường bất biến của tiêu đề gói tin

Trang 37

AH hay ESP có thể được sử dụng độc lập hoặc sử dụng đồng thời, mặc dù trong phần lớn các ứng dụng việc sử dụng một cơ chế là đủ IPSec không định nghĩa thuật toán bảo mật cho cả AH lẫn ESP mà thay vào đó là cung cấp một cơ chế mở cho việc

áp dụng các các thuật toán mã hoá chuẩn công nghiệp Ban đầu, phần lớn việc thiết lập IPSec đều hỗ trợ MD5 của RSA Data Security hay Secure Hash Algorithm (SHA) được chính phủ Mỹ chuẩn hoá cho sử dụng để xác thực và kiểm tra tính nguyên vẹn Thuật toán DES hiện nay được sử dụng rộng rãi nhất mặc dù các RFC có khuyến nghị thêm các thuật toán như IDEA, Blowfish hay RC4 IPSec cung cấp 2 mode hoạt động chính là “tunnel mode” và “transport mode” như minh hoạ dưới đây:

Hình 3.2 Tunnel Mode và Transport Mode

Trong transport mode, chỉ có phần dữ liệu bên trong gói tin được bảo mật và mã hoá còn phần tiêu đề của gói tin được giữ nguyên Mode hoạt động này cho lợi điểm là chỉ làm tăng kích thước gói tin lên một vài byte mà thôi Nhưng đồng thời mode hoạt động này cũng cho phép các thiết bị trên mạng có thể phát hiện ra địa chỉ đi và địa chỉ đến của gói tin Nhờ tính chất của mode hoạt động transport cho phép người ta có thể thực hiện các tác vụ điều khiển đặc biệt như QoS (Quality of Service) trên các thiết bị mạng lưới trung gian dựa vào thông tin tiêu đề Tuy nhiên, phần tiêu đề của các giao thức mức 4 vẫn được mã hoá và không cho phép phân tích nội dung của gói tin Mode hoạt động này có một điểm hạn chế là do để lộ phần tiêu đề gói tin làm cho những tin tặc hoàn toàn có khả năng phân tích lưu lượng Ví dụ tin tặc có thể phát hiện việc 1 CEO có thể gửi thư cho 1 CEO khác với khối lượng nhiều Nhưng tin tặc hoàn toàn chỉ biết được lưu lượng dữ liệu gửi đi chứ không thể xem được nội dung bên trong là email hay một ứng dụng khác

Trang 38

Trong tunnel mode, toàn bộ gói tin nguyên thuỷ được mã hoá và đóng thành phần

dữ liệu của gói tin IPSec mới Mode này khiến cho các thiết bị mạng lưới như router đóng vai trò như một IPSec proxy có nghĩa là router sẽ thực hiện việc mã hoá gói tin Router nguồn sẽ thực hiện mã hoá gói tin và gửi chúng theo đường hầm IPSec đến router đích Tại router đích nó sẽ thực hiện quá trình giải mã gói tin và đưa chúng tới máy tính đích Lợi điểm cơ bản của mode tunnel là các thiết bị cuối không cần phải sửa đổi cấu hình mà vẫn sử dụng được cơ chế mã hoá của IPSec Mode tunnel cũng chống lại khả năng phân tích lưu lượng Với mode tunnel thì tin tặc chỉ có thể biết được điểm kết thúc của đường hầm mà không biết đích xác địa chỉ đích và địa chỉ nguồn của gói tin thậm chí cả khi đích chính là thiết bị nơi kết thúc đường hầm

Theo định nghĩa của IETF, IPSec transport mode được sử dụng chỉ khi thiết bị cả hai đầu đều hiểu IPSec như trong hình vẽ dưới Trong rất nhiều trường hợp, tunnel mode được sử dụng cho phép thiết lập IPSec trên các hệ thống mà không đòi hỏi phải sửa đổi hệ điều hành hay các ứng dụng chạy trên PC, server hay host

Hình 3.3 Tunnel Mode và Transport Mode

Trang 39

Mô hình mã hoá Security Association (SA): IPSec cung cấp rất nhiều lựa chọn để xác thực và mã hoá Mỗi một kết nối IPSec cung cấp khả năng mã hoá hoặc tính nguyên vẹn và xác thực hoặc cả hai Khi dịch vụ mã hoá đã được xác định, hai đầu cuối liên lạc cần quyết định việc sử dụng thuật toán gì (ví dụ: IDEA, DES cho mã hoá

và MD5 và SHA cho tính nguyên vẹn) Sau khi quyết định thuật toán, hai thiết bị cần liên lạc phải chia sẻ khoá mã riêng cho phiên kết nối Như ta thấy, khi thực hiện trao đổi, có một số thông tin cần phải được giám sát Mô hình mã hoá (security association)

là phương pháp để IPSec sử dụng để giám sát thông tin liên quan đến một phiên kết nối IPSec Một SA là mối quan hệ giữa hai hay nhiều hơn 2 thực thể và miêu cả cách thức mà các thực thể mạng IPSec sử dụng dịch vụ mã hoá để trao đổi thông tin 1 cách bảo mật Thuật ngữ này có thể gây sự nhầm lẫn vì thực ra thuật ngữ SA được sử dụng nhiều hơn IPSec Ví dụ IKE SA miêu tả các tham số bảo mật giữa hai đầu cuối IKE

SA có tính đơn hướng có nghĩa là một phiên trao đổi thông tin từ A đến B đồng nghĩa với việc có hai kết nối bảo mật A sang B và B sang A SA được định nghĩa một cách duy nhất do sử dụng ngẫu nhiên một chỉ số duy nhất gọi là chỉ số các tham số bảo mật SPI (security parameter index) và địa chỉ IP của thiết bị đích Khi một hệ thống gửi thông tin cần bảo mật bằng IPSec, hệ thống tìm kiếm SA trong database của mình và ứng dụng một tiến trình đặc biệt và chèn SPI vào phần tiêu đề của gói tin mã hoá IPSec Khi thiết bị hỗ trợ IPSec phía bên kia nhận được gói tin, nó kiểm tra SA trong database, căn cứ vào địa chỉ đích và số SPI và xử lý gói tin như mong muốn Nói vắn tắt ta có thể cho rằng SA là một bản tóm tắt của các chính sách bảo mật được trao đổi giữa 2 thiết bị

Giao thức quản lý khoá mã Internet (IKMP–Internet Key Management Protocol): Giao thức IPSec luôn mặc định là đã có một SA tồn tại tuy nhiên lại không có cơ chế tạo ra SA đó Khuyến nghị của IETF chia quá trình thực hiện ra thành 2 phần: IPSec cung cấp khả năng xử lý cho mức gói dữ liệu trong khi IKMP thực hiện thương lượng

mô hình SA sử dụng Sau khi cân nhắc việc sử dụng 1 số các biến thể, bao gồm cả Simple Key Internet Protocol (SKIP) hay Photuris, IETF quyết định lựa chọn IKE là phương thức chuẩn hoá để cấu hình SA cho giao thức IPSec IKE tạo ra một đường hầm có xác thực và mã hoá giữa 2 thực thể và sau đó sẽ thực hiện thương lượng SA sử dụng cho IPSec Quá trình này đòi hỏi cả hai thực thể thực hiện xác thực lẫn nhau và tạo lập ra một mã khoá dùng chung

Khả năng xác thực: Hai thực thể IPSec hai đầu của một đường hầm phải xác thực lẫn nhau IKE là một giao thức có tính khả chuyển và hỗ trợ nhiều phương pháp xác thực khác nhau Trong thực tế người ta thường sử dụng các phương pháp xác thực như sau :

Trang 40

Khoá mã chia sẻ (Preshared Key): Một khoá mã giống nhau được cài đặt cố định trên cả hai hệ thống đầu cuối Các đối tác IKE xác thực lẫn nhau bằng cách tính toán

và gửi thông tin đã mã hoá có bao gồm cả khoá mã Nếu như đối tác có khả năng độc lập tạo ra dữ liệu mã hoá bằng cách sử dụng mã khoá tương tự, thì có nghĩa là hai đối tác chia sẻ chung mã khoá bí mật và như vậy là đã thực hiện xác thực đối tác phía bên kia

Mã hoá khoá mã công cộng (Public Key Cryptography): mỗi một đầu cuối tạo ra 1

số ngẫu nhiên (gọi là nonce) và mã hoá số này bằng mã khoá công cộng (public key) của đầu cuối bên kia Khả năng mỗi một đầu cuối tính toán được mã khoá chứa đựng nonce của đầu cuối bên kia, có thể giải mã với mã khoá riêng của mình (private key) cũng như các thông tin công cộng và riêng khác tạo khả năng xác thực cho cả hai phía

Cơ chế này tạo sự giao dịch có tính năng từ chối có nghĩa là cả hai đầu đều có khả năng từ chối thông minh trong phiên trao đổi thông tin Hiện tại chỉ thuật toán mã khoá công cộng của RSA được chấp nhận sử dụng

Chữ ký điện tử: Mỗi một thiết bị mã hoá một tập dữ liệu và gửi đến đầu đối tác bên kia Phương thức này giống hệt phương thức trên trừ một điểm là phương thức sử dụng chữ ký điện tử có khả năng từ chối Hiện nay các hãng sản xuất đều hỗ trợ cả thuật toán mã khoá công cộng RSA và chuẩn chữ ký điện tử (Digital Signature Standard–DSS)

Cả hai phương thức sử dụng chữ ký điện tử và mã hoá mã khoá công cộng đều có

sử dụng chứng thực certificate xác nhận tính hợp lệ của phép ánh xạ public/private IKE cho phép certificate được truy cập tới một cách độc lập hay cho phép 2 thiết bị có thể trao đổi certificate như là 1 trong nhiều bước hoạt động của IKE

Trao đổi khoá mã: Cả hai thực thể phải có một mã khóa chung trong phiên làm việc để mã hoá đường hầm IKE Giao thức Diffie-Hellman sử dụng để thoả thuận mã khoá chung cho phiên làm việc Quá trình trao đổi cũng được xác thực để tránh các cuộc tấn công kiểu man-in-the-midle

Sử dụng IKE kết hợp với IPSec: Hai bước xác thực và trao đổi mã khoá tạo nên IKE SA và một đường hầm bảo mật giữa hai thiết bị Một đầu của đường hầm đàm phán để sử dụng 1 tập hợp các thuật toán, đầu phía bên kia sẽ chấp nhận sử dụng 1 trong các thuật toán đó hay là xoá bỏ toàn bộ kết nối Khi cả hai đầu đã thiết lập được

sẽ sử dụng thuật toán nào, cả hai phải có được mã khoá sử dụng cho IPSec, với AH hay ESP hay cả hai IPSec sử dụng mã khoá chung khác so với mã khoá IKE Mã khoá chung IPSec có thể là kết quả của việc sử dụng giao thức Diffie-Hellman để có thể chắc chắn đảm bảo khả năng chuyển thông tin bảo mật hoàn hảo Hoặc mã hoá trên cũng có thể thực hiện tạo bằng cách làm mới thông tin bảo mật chia sẻ từ mã khoá có được từ giao thức khởi điểm Diffie-Hellman mà đã tạo ra IKE SA bằng cách băm (hash) với các số ngẫu nhiên Phương thức đầu tiên cho khả năng bảo mật cao nhưng lại làm cho hệ thống chạy chậm hơn Sau khi thực hiện toàn bộ quá trình trên người ta

Ngày đăng: 17/06/2014, 07:26

Nguồn tham khảo

Tài liệu tham khảo Loại Chi tiết
[1] SCNP-Hardening the Infrastructure - Warren Peterson, Shrinath Tandur, Uday O.Ali Pabrai Khác
[2] SNCP-Network Defense and Countermeasures - Warren Peterson, Shrinath Tandur Khác
[3] Certificate Authentication - Roger A. Grimes Khác
[4] Certificate Server - Beth Sheresh, Doug Sheresh, Robert Cowart Khác
[5] Creating a New Certificate Template in Windows Server 2003 Standard Edition - Randy Franklin Smith Khác
[6] Digital Certificates 101 - William Wong Khác
[7] Understanding Network Security - Mark Joseph Edwards Khác
[8] What is IPSec - John Savill Khác
[9] Securing the Network Management Process - Laura E. Hunter Khác
[10] The Network Management Problem - Stephen Morris Khác
[11] Wireless Security Considerations - Steve Milroy Khác
[12] Core Tech: Wireless Security - Paul Thurrott Khác
[13] Securing Your Wireless Networks - Paul Thurrott Khác
[14] Wireless Network Security - Bob Chronister Khác
[15] Developing Policies - Thomas R. Peltier Khác
[16] What's Your Policy - Mark Joseph Edwards Khác
[17] Denial of Service in Windows NT4.0 - Ken Pfeil Khác

Xem thêm

HÌNH ẢNH LIÊN QUAN

Hình 2.1 Phòng thủ theo chiều sâu - An ninh mạng IP
Hình 2.1 Phòng thủ theo chiều sâu (Trang 18)
Hình 2.2 Các lớp bảo vệ - An ninh mạng IP
Hình 2.2 Các lớp bảo vệ (Trang 20)
Hình 3.1 Các mức mã hóa và xác thực - An ninh mạng IP
Hình 3.1 Các mức mã hóa và xác thực (Trang 35)
Hình 3.2 Tunnel Mode và Transport Mode - An ninh mạng IP
Hình 3.2 Tunnel Mode và Transport Mode (Trang 37)
Hình 3.3 Tunnel Mode và Transport Mode - An ninh mạng IP
Hình 3.3 Tunnel Mode và Transport Mode (Trang 38)
Bảng 3.1 Một số câu hỏi liên quan đến chính sách Firewall - An ninh mạng IP
Bảng 3.1 Một số câu hỏi liên quan đến chính sách Firewall (Trang 50)
Hình 3.15 Các vị trí đặt NIDS trong mạng - An ninh mạng IP
Hình 3.15 Các vị trí đặt NIDS trong mạng (Trang 63)
Hình 3.16 Mô hình điều khiển tập trung - An ninh mạng IP
Hình 3.16 Mô hình điều khiển tập trung (Trang 63)
Hình 3.17 Mô hình điều khiển phân tán - An ninh mạng IP
Hình 3.17 Mô hình điều khiển phân tán (Trang 64)
Hình 3.18 Mô hình điều khiên phân tán dựa trên Agent - An ninh mạng IP
Hình 3.18 Mô hình điều khiên phân tán dựa trên Agent (Trang 64)
Hình 4.3 Chứng chỉ khóa công khai dựa trên CA - An ninh mạng IP
Hình 4.3 Chứng chỉ khóa công khai dựa trên CA (Trang 75)
Hình 4.4 Chứng thực đệ qui - An ninh mạng IP
Hình 4.4 Chứng thực đệ qui (Trang 77)
Hình 4.5 Khuôn dạng chứng chỉ trong phiên bản v1 và v2 của X. 509 - An ninh mạng IP
Hình 4.5 Khuôn dạng chứng chỉ trong phiên bản v1 và v2 của X. 509 (Trang 79)
Hình 4.6 Cấu trúc đặt tên theo X.500 - An ninh mạng IP
Hình 4.6 Cấu trúc đặt tên theo X.500 (Trang 80)
Hình 4.7 Tên đối tượng - An ninh mạng IP
Hình 4.7 Tên đối tượng (Trang 81)
Hình 4.8 Khuôn dạng chứng chỉ X.509 v3 - An ninh mạng IP
Hình 4.8 Khuôn dạng chứng chỉ X.509 v3 (Trang 83)
Hình 4.9 Thu hồi chứng chỉ - An ninh mạng IP
Hình 4.9 Thu hồi chứng chỉ (Trang 91)
Hình 4.10 Thu hồi chứng chỉ theo khuôn dạng X509 v3 - An ninh mạng IP
Hình 4.10 Thu hồi chứng chỉ theo khuôn dạng X509 v3 (Trang 93)
Hình 4.11 Quá trình hủy bỏ chứng chỉ - An ninh mạng IP
Hình 4.11 Quá trình hủy bỏ chứng chỉ (Trang 94)
Hình 5.1 Enterprise Access Server trong Gateway Mode - An ninh mạng IP
Hình 5.1 Enterprise Access Server trong Gateway Mode (Trang 107)
Hình 5.2 Enterprise Access Server trong Controller Mode - An ninh mạng IP
Hình 5.2 Enterprise Access Server trong Controller Mode (Trang 108)
Hình 5.3 Mô hình bảo mật không cho mạng không dây Dievice Authorisation: các Client không dây có thể bị ngăn chặn theo địa chỉ phần - An ninh mạng IP
Hình 5.3 Mô hình bảo mật không cho mạng không dây Dievice Authorisation: các Client không dây có thể bị ngăn chặn theo địa chỉ phần (Trang 108)
Hình 5.4 Quá trình mã hóa và giải mã - An ninh mạng IP
Hình 5.4 Quá trình mã hóa và giải mã (Trang 109)
Hình 5.6 Xác nhận 802.1x EAP-TLS - An ninh mạng IP
Hình 5.6 Xác nhận 802.1x EAP-TLS (Trang 111)
Hình 5.7 802.1x EAP-TLS trong Controller Mode - An ninh mạng IP
Hình 5.7 802.1x EAP-TLS trong Controller Mode (Trang 111)
Hình 6.1 Mô hình tấn công DoS - An ninh mạng IP
Hình 6.1 Mô hình tấn công DoS (Trang 114)

TỪ KHÓA LIÊN QUAN

TRÍCH ĐOẠN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w